Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2014/2015
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
2
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Resumen
En el presente documento se explican las bases de administracin de la seguridad de
Windows Server 2012 con directivas de grupo, partiendo de cero, instalando en primer lugar el
sistema operativo, diseando la estructura del dominio e implementando el mismo, se detalla la
creacin del bosque, as como la administracin de los elementos ms importantes que lo
componen, el establecimiento y configuracin correctamente de Active Directory y de las
unidades organizativas y usuarios con sus correspondientes roles utilizando un caso de estudio
de una empresa real. El proyecto se centra en el tema de la configuracin segura del sistema
Windows Server 2012 mediante directivas de grupo.
Palabras clave: Sistema operativo, directivas de grupo, directorio activo, seguridad, Windows
Server 2012.
Abstract
This document security management bases of Windows Server 2012 with Group are
explained, from scratch, installing the operating system, the domain structure designing and
implementing of it, creating is detailed forest as well as administration of the most important
elements that compose it, the establishment and configuration of Active Directory correctly and
organizational units and users with corresponding roles using a case study of a real company.
The project will focus more on the issue of securitization of Windows Server 2012 system
through Group Policies.
Keywords: Operating system, group policy object, Active Directory, security, Windows Server
2012.
3
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
4
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
ndice de contenidos
ndice de capturas ............................................................................................................... 7
ndice de figuras ................................................................................................................. 11
ndice de tablas................................................................................................................... 11
1. Introduccin ................................................................................................................. 13
1.1. Motivacin ................................................................................................................ 13
1.2. Objetivo .................................................................................................................... 14
1.3. Materiales utilizados .................................................................................................. 17
2. Instalacin del sistema .................................................................................................. 18
3. Active Directory ........................................................................................................... 27
3.1. Diseo ....................................................................................................................... 27
3.2. Creacin bosque ........................................................................................................28
3.3. Instalacin y configuracin de roles que ejercer el servidor ........................................ 37
3.4. Servicios de escritorio remoto .................................................................................... 56
3.5. Administracin de AD DS ......................................................................................... 67
3.5.1. Unidades organizativas, grupos de usuarios y usuarios ..........................................68
3.5.2. Equipos .............................................................................................................. 79
4. Configuracin de la seguridad del sistema mediante directivas de grupo .........................82
4.1. Introduccin a la seguridad mejorada en WS 2012 ......................................................82
4.2. Directivas de grupo: conceptos generales ................................................................... 88
4.3. Directivas por defecto ................................................................................................89
4.4. Preparativo previos a las configuraciones de seguridad ................................................89
4.5. Directivas de auditoria ............................................................................................... 91
4.5.1. Auditar el acceso a recursos y carpetas compartidas.............................................. 92
4.5.2. Auditar las modificaciones sobre los objetos de AD.............................................. 97
4.6. Gestin de la seguridad ............................................................................................ 100
4.6.1. Directivas de contrasea muy especfica ............................................................ 100
4.6.1.1. Utilizando la modificacin ADSI ................................................................ 102
4.6.1.2. Utilizando la interfaz grfica ........................................................................112
4.6.2. Implementacin de directivas de seguridad.......................................................... 115
4.6.2.1. Trabajo con plantilla de seguridad ................................................................ 115
4.6.2.2. Anlisis de seguridad .................................................................................. 127
4.6.2.3. Configuracin de la seguridad del sistema ................................................... 130
4.6.2.4. Restaurar la configuracin de seguridad inicial ............................................ 132
5
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
6
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
ndice de capturas
Captura 1 Eleccin del idioma y formato de hora y moneda ......................................... 18
Captura 2 Inicio de la instalacin del sistema ................................................................ 19
Captura 3 Activacin de Windows .................................................................................. 19
Captura 4 Seleccin del sistema operativo a instalar ....................................................20
Captura 5 Trminos de licencia del software de Microsoft ............................................ 21
Captura 6 Seleccin de tipo de instalacin ...................................................................... 21
Captura 7 Particiones del disco duro ............................................................................... 22
Captura 8 Instalacin del sistema ................................................................................... 22
Captura 9 Reinicio del sistema para continuar la instalacin ...................................... 23
Captura 10 Configuracin del usuario Administrador del Sistema .............................. 23
Captura 11 Inicio del sistema ........................................................................................... 24
Captura 12 Acceso al sistema ........................................................................................... 24
Captura 13 Ventana del Administrador del servidor ..................................................... 25
Captura 14 Configuracin del adaptador de red del servidor ....................................... 26
Captura 15 Administrador del servidor, Agregar roles y caractersticas .................28
Captura 16 Descripcin del asistente Agregar roles y caractersticas ....................... 29
Captura 17 Asistente, Seleccin del tipo de instalacin ............................................... 29
Captura 18 Asistente, Seleccionar servidor de destino ................................................30
Captura 19 Asistente, Seleccin de roles de servidor ...................................................30
Captura 20 Agregar caractersticas al rol seleccionado................................................ 31
Captura 21 Asistente, Seleccionar caractersticas ....................................................... 31
Captura 22 Descripcin del rol AD DS ............................................................................ 32
Captura 23 Listado de instalacin del rol ....................................................................... 32
Captura 24 Proceso de instalacin del rol....................................................................... 33
Captura 25 Advertencia del rol AD instalado ................................................................. 33
Captura 26 Asistente AD, Configuracin de implementacin ................................... 34
Captura 27 Asistente AD, Servicio de DNS ................................................................... 34
Captura 28 Asistente AD, NetBIOS............................................................................... 35
Captura 29 Asistente AD, Rutas de acceso ................................................................... 35
Captura 30 Asistente AD, Listado de configuracin ................................................... 36
Captura 31 Asistente AD, Instalacin ........................................................................... 36
Captura 32 Administrador del servidor con los roles instalados .................................. 37
Captura 33 Listados de roles instalados y que se pueden instalar ................................38
Captura 34 Agregar caractersticas a los roles ..............................................................38
Captura 35 Servicios del rol Acceso remoto .................................................................... 39
Captura 36 Rol Hyper-V, Seleccin del conmutador................................................... 39
Captura 37 Rol Hyper-V, Protocolo que se utilizar en la migracin ....................... 40
Captura 38 Rol Hyper-V, Seleccin de los almacenes ................................................ 40
Captura 39 Descripcin del rol Windows Server Essentials .......................................... 41
Captura 40 Caractersticas del rol IIS ............................................................................ 41
Captura 41 Rol de Servicios de impresin y documentacin ......................................... 42
Captura 42 Agregar caractersticas al rol Servidor de aplicaciones ............................ 42
Captura 43 Descripcin del rol servidor DHCP .............................................................. 43
Captura 44 Instalacin de los roles ................................................................................. 43
Captura 45 Proceso de instalacin de los roles ............................................................... 44
7
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
8
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
9
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
10
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
ndice de figuras
Figura 1 Topologa de la red de la empresa .................................................................... 14
Figura 2 Bosque de la empresa ........................................................................................28
Figura 3 Unidades Organizativas ...................................................................................68
ndice de tablas
Tabla 1 Roles de la carpeta Logstica .............................................................................. 16
Tabla 2 Roles de la carpeta Facturacin ......................................................................... 16
Tabla 3 Roles de la carpeta Administracin ................................................................... 17
Tabla 4 Introduccin de cambios en la auditora de seguridad ....................................84
Tabla 5 Funcionalidades nuevas o actualizadas en las polticas de seguridad ............ 85
Tabla 6 Agregacin de nuevas caractersticas a Schannel SSP en WS 2012 ................ 87
Tabla 7 Funcionalidades de las GPO ...............................................................................89
11
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
12
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
1. Introduccin
1.1. Motivacin
Los sistemas de informacin en las empresas tienen un gran impacto al ir trabajando con
grandes volmenes de informacin, conforme va pasando el tiempo y evolucionando la
tecnologa. Para organizar y gestionar esta gran cantidad de informacin se necesita un sistema
que garantice la disponibilidad, el acceso y la seguridad de la misma, al menor coste posible.
Los sistemas corporativos basados en red permiten a las empresas gestionar estos recursos,
posibilitando su uso compartido, ofreciendo herramientas que garanticen la seguridad y la
disponibilidad de los mismos. En estos sistemas se puede gestionar el acceso a los recursos,
dividir la empresa en sus distintos departamentos (con sus respectivos empleados) organizarlos
en unidades organizativas, compartir tanto escneres e impresoras en red (normalmente suelen
ser unidades multifuncin), etc.
Los sistemas operativos de Microsoft van cogiendo cada vez ms importancia y aceptacin
en el mundo empresarial, debido a que ofrece una solucin estable y fiable para los sistemas de
informacin de cualquier empresa, debido a que son los ms utilizados por los usuarios. La
ltima versin de sistema operativo de Microsoft para este propsito es Windows Server (en
adelante WS) 2012, tiene diferentes versiones para cada empresa y son las siguientes:
El sistema operativo est diseado para trabajar de forma ptima con Windows 8, 8.1 y
prximamente con Windows 10, al igual que con su predecesor Windows 7. Existe adems la
posibilidad de trabajar directamente sobre el servidor, bien para administrar el mismo o bien
para ejecutar aplicaciones instaladas all, como su antecesor Windows Server 2008.
13
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
1.2. Objetivo
El objetivo fundamental que persigue este Trabajo de Final de Grado (en adelante TFG) es
establecer una gua que pueda dotar al futuro graduado en Ingeniera Informtica de los
conocimientos necesarios para disear, implementar, configurar y evaluar la seguridad de los
sistemas WS 2012 utilizando directivas de grupo, intentado que se ajuste al mximo a la
realidad que se encontrar al incorporarse al mercado laboral. Para ese fin se utilizar un caso de
estudio de una empresa real en la cual se implementar. La figura 1 muestra una pequea
distribucin de la topologa de red de la empresa, la cual se ver afectada cuando se implemente
el estudio realizado en este TFG.
CASO DE ESTUDIO
Dentro de la compaa Car Volum S.L., los usuarios, ordenadores y recursos generales se
quiere mejorar la organizacin de ellos en los diferentes departamentos: Logstica,
Facturacin, Administracin e Sistemas y TI.
Departamento de Logstica:
Este departamento est formado por los ordenadores y usuarios que se encargan de todo lo
relacionado con la administracin de las mercancas que se deben distribuir a sus
correspondientes destinos. En particular, el departamento consiste en los siguientes ordenadores,
usuarios, roles y recursos:
14
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Departamento de Facturacin:
Este departamento est formado por los ordenadores y usuarios que se encargan de elaborar
las facturas emitidas desde los departamentos Operadores TTE y Logstica. En particular, el
departamento consiste en los siguientes ordenadores, usuarios, roles y recursos:
Departamento de Administracin:
Este departamento est formado por los ordenadores y usuarios que se encargan de
administrar las facturas emitidas a los clientes como a los acreedores. Las funciones generales
son: contabiliza las facturas emitidas y recibidas, cobra a los clientes, pagar a los proveedores y
a los empleados, y liquida los impuestos en las fechas correspondientes. En particular, el
departamento consiste en los siguientes ordenadores, usuarios, roles y recursos:
Este departamento est formado por los ordenadores y usuarios que participan en la
administracin del dominio. En particular, el departamento consiste en los siguientes
ordenadores, usuarios, roles y recursos:
15
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Esta seccin detalla los diferentes niveles de acceso que deben definirse para cada uno de
los recursos (carpetas, archivos, etc.) de la compaa. Para cada recurso, sus niveles de acceso
deben cumplirse independientemente del ordenador desde donde el recurso vaya a ser accedido.
Cada nivel de acceso se asocia con uno o ms roles previamente definidos en este documento,
de tal forma que solo los usuarios que desempean tales roles deben tener concedido dicho
nivel.
NIVEL DE ROLES
DESCRIPCIN
ACCESO RELACIONADOS
Este nivel contempla todos los permisos posibles; esto
incluye crear, modificar, borrar, cambio de permisos y
Completo Domain Admins
toma de posesin de cualquier fichero y subcarpeta del
proyecto.
Este nivel incluye permisos para crear, borrar, leer y
modificar cualquier fichero o subcarpeta; sin embargo,
Modificacin Logstica
no incluye el cambio de atributos de proteccin de
ficheros o subcarpetas.
Este nivel incluye acceso de lectura para todo fichero y
carpeta existente en la carpeta; sin embargo, crear,
Lectura Domain Users
modificar o borrar ficheros o subcarpetas no est
permitido.
Tabla 1 Roles de la carpeta Logstica
NIVEL DE ROLES
DESCRIPCIN
ACCESO RELACIONADOS
Este nivel contempla todos los permisos posibles; esto
incluye crear, modificar, borrar, cambio de permisos y
Completo Domain Admins
toma de posesin de cualquier fichero y subcarpeta del
proyecto.
Este nivel incluye permisos para crear, borrar, leer y
Facturacin modificar cualquier fichero o subcarpeta; sin embargo,
Modificacin
Administracin no incluye el cambio de atributos de proteccin de
ficheros o subcarpetas.
Este nivel incluye acceso de lectura para todo fichero y
carpeta existente en la carpeta; sin embargo, crear,
Lectura Domain Users
modificar o borrar ficheros o subcarpetas no est
permitido.
Tabla 2 Roles de la carpeta Facturacin
16
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
NIVEL DE ROLES
DESCRIPCIN
ACCESO RELACIONADOS
Este nivel contempla todos los permisos posibles; esto
incluye crear, modificar, borrar, cambio de permisos y
Completo Domain Admins
toma de posesin de cualquier fichero y subcarpeta del
proyecto.
Este nivel incluye permisos para crear, borrar, leer y
modificar cualquier fichero o subcarpeta; sin embargo,
Modificacin Administracin
no incluye el cambio de atributos de proteccin de
ficheros o subcarpetas.
Este nivel incluye acceso de lectura para todo fichero y
carpeta existente en la carpeta; sin embargo, crear,
Lectura Domain Users
modificar o borrar ficheros o subcarpetas no est
permitido.
Tabla 3 Roles de la carpeta Administracin
El sistema operativo usado para la instalacin de los servidores que aparecen en este trabajo
ser de la familia WS 2012, en concreto, se instalar Microsoft Windows Server 2012 R2
Standard, instalado bajo licencia obtenida en el marco del programa Microsoft Dream Spark,
que facilita a los estudiantes de la Universidad Politcnica de Valencia la descarga de software
de Microsoft.
Se manejar la versin del sistema Standard debido a que en la empresa, donde se realizar
en un futuro la implementacin de este TFG, contiene varias mquinas virtuales y el nmero de
empleados es superior a 30 en la sede central ms otros tantos distribuidos por los diferentes
almacenes y sucursales en varias comunidades, dichos usuarios se conectarn por va VPN a la
sede principal de la empresa.
17
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Para la realizacin de pruebas dichos recursos nos bastan aunque en la empresa donde se
pretende implementar la configuracin documentada en este TFG el servidor dispone de los
siguientes recursos:
El servidor del laboratorio cuenta con los requisitos para implementar el sistema operativo
WS 2012 R2. Sabiendo las caractersticas del servidor se proceder con la instalacin del
sistema operativo, en la primera ventana de la instalacin se configurar el idioma del sistema
como tambin el formato de hora y moneda como se muestra en la captura 1.
18
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Seguidamente pedir la clave de activacin del sistema operativo, la clave que se utilizar
ser la proporcionada mediante el programa Microsoft Dream Spark para estudiantes, cuando
se instale dicho sistema en la empresa se utilizar una clave comprada. Una vez introducida la
clave se clicar en Siguiente.
19
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Para facilitar las tareas de administracin del sistema a instalar se seleccionar la versin
con GUI y se clicar en Siguiente.
20
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Posteriormente, en la siguiente ventana, habiendo ledo los trminos de licencia del software
de Microsoft, se aceptarn marcando la casilla Acepto los trminos de licencia y se clicar en
Siguiente.
Despus se proceder con la configuracin de las particiones que tendr el disco duro. Para
tal fin y como es una instalacin nueva se clicar en la opcin Personalizada: instalar solo
Windows (avanzado).
21
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Como en la empresa se utiliza una cabina de discos, la particin secundaria del disco duro
del servidor de pruebas no ser necesaria ya que el servidor trabaja con mquinas virtuales, con
lo cual se le asignarn una cuota de disco a cada mquina y a cada usuario.
Una vez creadas las particiones se seleccionar la particin donde ir el sistema y se clicar
en Siguiente. El sistema empezar con instalacin como se observa en la captura 8.
22
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez se reinicie el servidor en la primera ventana que aparece pedir que se le asigne una
contrasea al administrador, esta ventana solo aparecer una vez. Se pondr la contrasea y se
finalizar la instalacin clicando en Finalizar.
23
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Las capturas 11 y 12 aparecen cada vez que se inicie el sistema. En la captura 11 se pulsar
la combinacin de teclas que aparece con lo que abrir la ventana de acceso que se observa en la
captura 12 donde se pondr la contrasea, el usuario que aparezca siempre ser el ltimo que
hubiera iniciado sesin en el sistema. Una vez puesta la contrasea se pulsar la tecla Intro o
se clicar la flecha de azul al lado de la contrasea.
24
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
La primera ventana que se muestra al iniciar sesin con el usuario administrador ser la del
Administrador del servidor, la cual siempre se abrir a los administradores del sistema a no
ser que se configure lo contrario.
En esta ventana aparecen todos los roles o configuraciones que estn configurados en el
sistema, como podemos observar en la captura 13 algunos roles ya vienen instalados por
defecto.
Antes de empezar con la instalacin de los roles, configuracin de las polticas de seguridad,
etc. es necesario a tener en cuenta la estructura de la red de la empresa, dicha red est formada
por cuatro subredes (en un futuro se crearn ms redes) de hasta 254 ordenadores. Las redes se
han distribuido de la siguiente manera:
Red: 192.168.0.0/22
25
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Como el servidor estar en la sede principal habr que configurarle una IP esttica (en la
empresa dicho sistema ser una mquina virtual) de la siguiente manera:
IP: 192.168.1.2
Mascara: 255.255.255.0
Puerta de Enlace: 192.168.1.1
DNS: 8.8.8.8 / 8.8.4.4 (Se pondrn los DNS de Google por ejemplo)
26
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
3. Active Directory
Active Directory (en adelante AD) es un servicio establecido en uno o varios servidores en
donde se crean objetos tales como usuarios, equipos o grupos, con el objetivo de administrar los
inicios de sesin en los equipos conectados a la red, as como tambin la administracin de
polticas.
3.1. Diseo
La unidad principal de la estructura lgica de AD es el dominio. Un dominio es un conjunto
de ordenadores, equipos, usuarios, recursos, etc., que comparten una base de datos de directorio
comn. Los distintos dominios seguirn una estructura de nombres basada en DNS, en el que
cada subdominio se crear agregando un identificador a la izquierda del nombre del dominio
padre. El uso de dominios permite conseguir los siguientes objetivos:
Delimitar la seguridad.
Replicar la informacin.
Aplicar directivas de grupo.
Delegar permisos administrativos.
Para que el dominio funcione debe estar dentro de un rbol, el cual est dentro de un
bosque. Un bosque est formado por uno o varios rboles, estos rboles estarn formados por
uno o varios dominios.
El primer domino que se crea en AD es el domino raz del boque, al mismo tiempo se crear
el rbol y el bosque que lo contienen, dicho bosque recibir el mismo nombre del dominio raz.
Los siguientes dominios que se creen y se inserte en el rbol pasaran a ser un dominio
secundario o hijo del principal. Toda la estructura antes mencionada est controlada por los
controladores de domino, que son aquellos servidores que ejecutan software capaz de mantener
la estructura del AD.
27
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Como se observar en la Figura 2 la empresa solo contar con un bosque que contiene un
rbol con un nico domino.
28
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se ejecutar el asistente para agregar roles y caractersticas. En dicha ventana se explica que
hace el asistente, como buena prctica se debera leer y se marcar la casilla Omitir esta pgina
de manera predeterminada para que no vuelva a parecer en otras instalaciones de roles o
caractersticas y se clicar en Siguiente para proseguir con la instalacin.
29
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
A continuacin, se elegir que servidor ejercer este rol, en este caso solo tenemos un
servidor de pruebas, en la empresa donde se pondr en funcionamiento este caso de estudio
contar de varias mquinas virtuales. Se seleccionar el servidor y se clicar en Siguiente.
En la ventana de roles del servidor aparecer una lista con todos los roles que se pueden
instalar en nuestro servidor, por ahora solo se instalar un rol en el servidor ms adelante se
instalarn el resto de roles necesarios. Se seleccionar el rol Servicios de dominio de Active
Directory.
30
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Al seleccionar este rol se abrir una ventana en la cual preguntar si se quieren agregar las
caractersticas necesarias para el funcionamiento este rol, se clicar en Agregar caractersticas
para aceptar estas caractersticas.
Se comprobar que el rol que se va instalar esta seleccionado marcado, comprobado esto se
clicar en Siguiente. En la ventana de caracterstica no se marcar ninguna, debido a que
dichas caractersticas se han aceptado antes para que se instalarn con el rol. Por consiguiente,
se clicar en Siguiente.
31
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la siguiente ventana aparecer una breve descripcin del rol AD DS, se leer y se clicar
en Siguiente.
32
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
33
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
34
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Siguiendo con el asistente se pondr el nombre de dominio NetBIOS2 que ser CV como
el del dominio AD DS y se clicar en Siguiente.
2NetBIOS (Network Basic Input/Output System): Es una especificacin de interfaz para acceso
a servicios de red.
35
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la siguiente ventana se revisar que la configuracin para que sea la correcta, sino se
volver para atrs, y se clicar en Siguiente.
36
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
37
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
38
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
39
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Segundo se configurar la migracin de las mquinas virtuales para as poder recibir o enviar
mquinas virtuales a travs de la red, esto se utilizar para copias de seguridad de las mquinas
virtuales de la empresa. Se marcar la casilla Habilitar este servidor para enviar y recibir
migraciones en vivo de mquinas virtuales, se seleccionar el protocolo de autentificacin
Kerberos y se clicar en Siguiente.
40
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En el rol Experiencia con Windows Server Essentials aparecer una breve descripcin la cual
se leer y clicar en Siguiente.
En el rol IIS se marcar el servicio Servidor FTP, debido a que la empresa se utiliza para
compartir archivos con sus lectores de cdigos de barras. Una vez marcada la casilla se clicar
en Siguiente.
41
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
42
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En el rol Servidor DHCP aparecer una descripcin del mismo la cual se leer y se clicar en
Siguiente.
43
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Como pas en la instalacin del rol AD DS aparecern advertencias para configurar algunos
aspectos de los roles que se acaban de instalar.
44
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
45
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
El siguiente a configurar ser el servicio Web Application Proxy del rol IIS, en la primera
ventana de configuracin nos aparece la descripcin del servicio, se leer y se clicar en
Siguiente.
46
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
47
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez configurado el servicio de Web Application Proxy ahora se proceder con la
configuracin del rol de acceso remoto. En la primera ventana de configuracin se seleccionar
la primera opcin Implementar DirectAccess y VPN que es la recomendada y es la que se
necesita.
48
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
49
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
50
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez hecha a configuracin bsica del servidor DHCP se proceder con la creacin de un
nuevo mbito en el cual se configurar el rango de IP que sern ofrecidas por el servidor a los
equipos de la red. Para ello en la ventana de servidor DHCP se clicar con el botn derecho
sobre IPv4 y se acceder a mbito nuevo.
51
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se abrir la primera ventana del asistente del mbito, la cual es descriptiva, en la que se
clicar en Siguiente para empezar con el asistente.
52
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
53
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
54
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
55
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Con este ltimo rol se tendrn configurados todos los roles que tiene la empresa en el
servidor de pruebas para asemejarse lo mximo posible al real.
56
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la empresa se utiliza mucho este servicio para trabajar con el software ERP que usa, por
ello en este TFG se implementar. Se proceder instalando el rol de escritorio remoto tal y como
se ha hecho con los roles anteriores, excepto que en la ventana de seleccin del tipo de
instalacin se elegir la segunda opcin la de Instalacin de Servicios de Escritorio remoto.
Una vez seleccionada se clicars en Siguiente.
57
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Basados en mquina virtual, generan el escritorio del usuario a partir de una mquina
virtual de Hyper-V
Basados en sesin, lo hacen en base a una sesin de usuario en el servidor.
En este caso se seleccionar el segundo tipo, debido a que los empleados de la empresa
utilizan este sistema, y se clicar en Siguiente.
58
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Con la seleccin del tipo de implementacin del escritorio basado en sesin, se instalarn
los siguientes roles:
59
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
60
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
61
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez instalado el rol de escritorio remoto se proceder con la configuracin del mismo.
El sistema nos advertir de que el servicio estar disponible durante 120 das, tras terminar este
periodo se deshabilitar. La empresa dispone de un paquete de licencias aunque en esta caso se
simularemos que se dispone de l.
Para la activacin del servicio, en la ventana del Administrador del servidor, se acceder al
Servicios de Escritorio remoto. En susodicha ventana se clicar en Administracin de
licencias.
62
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
63
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez agregado el servidor de licencias habr que configurar la distribucin de las
licencias. Para ello en la ventana de Servicios de Escritorio remoto se clicar en
TAREAS\Editar propiedades de la implementacin.
64
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
65
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
El sistema advertir de que se debe tener privilegios de administrador para aadir el servidor,
en dicha ventana se clicar en Continuar.
66
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Instalado y configurado el rol de Escritorio remoto estar funcionando durante 120 das
que son suficientes para la realizacin de las pruebas.
3.5. Administracin de AD DS
AD DS se utiliza para crear una infraestructura escalable, segura y administrable para la
administracin de usuarios, unidades organizativas y recursos, y proporcionar compatibilidad
con aplicaciones habilitadas para el directorio.
Tambin proporciona una base de datos distribuida que almacena y administra informacin
acerca de los recursos de red y datos especficos de las aplicaciones habilitadas para el uso de
directorios. La organizacin de los elementos de la red en una estructura de contencin
jerrquica ofrece las siguientes ventajas:
67
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
68
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Primero, se crearn las OU. Las OU son contenedores administrativos dentro del AD que son
usadas para coleccionar o agrupar objetos que comparten unos requerimientos comunes para la
administracin, configuracin o visibilidad. Para crearlas se acceder a las herramientas
administrativas y se clicar en Usuarios y equipos de Active Directory. Se abrir la ventana de
usuarios y equipos en la que se seleccionar el dominio local cv,local y se clicars en Crear
un nuevo departamento en el contenedor actual.
69
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Segundo, se proceder con la creacin de los usuarios que pertenecern a cada departamento
en el AD. Se acceder a la OU, a la pertenecer el usuario, y se clicar en Crear un nuevo
usuario en el contenedor actual.
En la siguiente ventana se escribir la contrasea, entre las opciones a elegir la nica opcin
que se marcar ser La contrasea nunca expira y se clicar en Siguiente.
70
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la ltima ventana del objeto nos aparecer la descripcin del usuario y se proceder con
la creacin en la cual se clicar en Finalizar para crear al usuario.
Tercero, se proceder con la creacin de los grupos a los cuales pertenecern cada usuario, al
pertenecer a susodicho grupo se les otorgarn permisos y la capacidad de realizar diversas tareas
en el equipo dentro del dominio. En cada OU se crear un grupo al que pertenecern los
usuarios de la misma unidad. Para crear el grupo se acceder a la OU y clicar en Crear un
nuevo grupo en el contenedor actual.
71
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se abrir la ventana Nuevo objeto: Grupo en la que se escribir el nombre del grupo, se
elegir el mbito, en este caso se seleccionar el mbito Dominio local, y se seleccionar la
opcin Seguridad en el tipo de grupo. Se clicar en Aceptar para crear el grupo.
As se crearn los dems grupos, el nico grupo que no se crear es el de los administradores
del sistema que pertenecen a la OU de Sistemas y TI los cuales sus miembros se aadirn al
grupo de seguridad Administradores creado automticamente en la instalacin del sistema
operativo.
Cuarto, se proceder aadiendo a los usuarios como miembros en sus respectivos grupos.
Pare ello se har doble clic sobre el grupo, se abrir la ventana de propiedades del grupo en la
que se acceder a la pestaa Miembros y all se clicar en Agregar.
72
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Con esto los usuarios estarn agregados al grupo, as se proceder con los dems grupos.
73
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Quinto, se crearn los directorios compartidos donde tendrn acceso los usuarios, aadiendo
los grupos con sus permisos en los respectivos directorios. Los directorios se crearn, en el caso
del servidor de pruebas, en la unidad C:/.
Una vez creados los directorios se proceder agregando los grupos a los que pertenecen los
usuarios, para ello se acceder a las propiedades del directorio en la pestaa Seguridad y se
clicar en Opciones avanzadas.
74
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Por ltimo, Una vez aadidos los grupos con sus respectivos permisos en los directorios se
compartirn los directorios creados. Para ello se acceder al Administrador del servidor a la
seccin Servicios de archivos y almacenamiento. En esa ventana se acceder a Recursos
compartidos en la cual se clicar en TAREA/Nuevo recurso compartido.
75
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
76
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la tercera ventana el nombre se dejar por defecto, ya que en este caso tiene el mismo
nombre que el departamento y se clicar en Siguiente.
77
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la quinta ventana en la que se especifican los permisos, no hara falta hacer nada debido a
que ya se han configurado anteriormente los permisos, con lo cual se clicar en Siguiente.
78
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
3.5.2. Equipos
Se puede unir un equipo a un dominio de varias formas, en ese caso es necesario que se cree
la cuenta del equipo en el dominio. sta creacin se puede realizar de forma automtica o desde
la herramienta administrativa Usuarios y equipos de Active Directory, de igual forma a como
anteriormente se han creado a los usuarios. En este caso se harn de forma automtica, debido a
que en la empresa del caso de estudio lo realiza de esta forma, el sistema ser el encargado de
crear la cuenta en la carpeta Computers del dominio cv.local de AD.
El equipo que se utilizar para las pruebas tiene instalado el sistema Windows 8.1, en
susodicho equipo accedemos a la ventana Sistema que se encuentra en Panel de
control/Sistema y seguridad. En esta esta ventana, en la seccin Configuracin de nombre,
dominio y grupo de trabajo del equipo se clicar en Cambiar configuracin.
79
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se abrir la ventana de propiedades del sistema donde en la pestaa Nombre del equipo se
clicar en Cambiar.
80
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Cuando se aade un equipo al domino nos solicita las credenciales de un usuario con
privilegios de administrador para poder realizar dicha accin. Tras proporcionar las credenciales
el sistema mostrar una ventana con el resultado de dicha operacin y solicitar el reinicio del
equipo. Una vez se reinicie el equipo estar preparado para que cualquier usuario del dominio
pueda iniciar sesin en l.
En conjunto con el equipo de Windows 8.1 se crear una mquina virtual con Windows 7
x64 el cual se agregar el AD de la misma forma como se ha hecho con el equipo mencionado
anteriormente.
81
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
BitLocker:
Este mecanismo una manera sencilla y segura de cifrar los datos y desde su aparicin se han
ido aadiendo mltiples funcionalidades y mejoras, que son las siguientes:
82
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Secure Boot:
Este mecanismo de proteccin evita que se cargue un MBR (Master Boot Record) de un
sistema desconocido, para que cargue un MBR el arranque del sistema operativo vendr firmado
digitalmente. Esta firma se comprobar antes de lanzar el arranque del sistema o al liberar las de
cifrado desde el chip TPM (Trusted Plataform Module) para que se descifren los discos con el
mecanismo BitLocker.
Secure Boot viene incorporado de serie en los firmwares UEFI (evolucin de la BIOS) y es
totalmente compatible con el estndar UEFI 2.3.1 que no se requiere un chip TPM.
DNSSEC:
Este mtodo utiliza varias maneras de validar la autenticidad de las respuestas DNS,
principalmente mediante firmas digitales y claves criptogrficas, que son las siguientes:
83
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Firma de zona: cuando se firma una zona DNS con DNSSEC, la firma se aplica
individualmente a todos los registros contenidos en ella. Esto agiliza la gestin de los
registros sin tener que volver a firmar toda la zona.
Anclaje de veracidad: es una clave pblica previamente configurada y asociada a una
zona especfica del DNS para la realizar validaciones de las solicitudes.
NRPT (Tabla de directivas de resolucin de nombre): son una serie de reglas que se
pueden configurar para especificar ciertos parmetros de DNS o incluso
comportamientos especiales para ciertas entradas DNS.
Auditora de seguridad:
WS 2012 dispone de mecanismos para auditar si las normas establecidas son efectivas. Las
auditorias de seguridad ayudan a detectar comportamientos anmalos, identificar y mitigar
brechas en la seguridad del sistema e impedir el comportamiento irresponsable del usuario,
creando un registro de la actividad del mismo el cual se podr utilizar para un anlisis forense.
Para realizar una tarea de auditora eficiente es necesario tener en cuenta ciertos aspectos,
que son los siguientes:
3Tabla sacada de la pgina 254 del libro Windows Server 2012 para IT Pros. Edicin
Informtica64, 2012.
84
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se han mejorado las auditoras de acceso a archivos e inicio de sesin con las directivas de
auditora basadas en expresiones, esta nueva caracterstica permite crear directivas de auditora
concretas mediante la utilizacin de expresiones basadas en notificaciones de usuario, de equipo
y de recurso. WS 2012 tambin permite configurar directivas para auditar dispositivos extrables
generando un evento cada vez que el usuario obtiene acceso a un dispositivo de almacenamiento
extrable.
Polticas de seguridad:
NUEVA O
FUNCIONALIDADES
ACTUALIZADA
Actualizacin remota de las polticas de grupo. Nueva
Soporte a las polticas de grupo local para Microsoft Windows 8 NT. Nueva
AppLocker:
AppLocker permite gestionar de manera sencilla que aplicaciones pueden ser instaladas en
los equipos mediante directivas. Este mecanismo utiliza reglas, junto con las propiedades de los
archivos, para gestionar el control de acceso a las aplicaciones y decidir a grupos o usuarios se
les aplican dichas reglas.
85
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
hacen que WS 2012 se pueda generar reglas para archivos ejecutables, Windows installer,
scripts y aplicaciones empaquetadas.
SmartScreen:
A medida que se navega por la web la caracterstica analiza el cdigo de los sitios web
que se visita en tiempo real y determina si tiene algn cdigo sospechoso, en caso
afirmativo se avisara al usuario para que actu con precaucin mientras navega por la
web.
Utilizacin una lista dinmica de sitios phishing y de software malintencionado,
notificados por los usuarios o entidades.
Comparar los archivos descargados con una lista de malware que se sabe que no son de
confianza al ser notificados por usuarios y entidades.
Schannel SSP:
Novedades aadidas:
Permite hospedar varios sitios web con autenticacin SSL en un puerto y direccin IP
nica.
Reduccin del uso de memoria cuando se hospedan varios sitios web con autenticacin
SSL en un nico servidor.
Permite una mayor cantidad de conexiones de usuarios a los sitios web SSL
simultneamente.
Permite dar consejos a los usuarios finales a travs de la interfaz del equipo para
seleccionar el certificado correcto durante el proceso de autenticacin.
Caractersticas mejoradas:
Soporte TLS para las extensiones SNI (Indicacin de nombre de servidor) para que la
comunicacin entre el cliente y el servidor se asegure de forma adecuada, el cliente es el
encargado de solicitar el certificado al servidor.
Protocolo DTLS proporciona privacidad en las comunicaciones UDP, tambin permite
que las aplicaciones cliente/servidor se comuniquen de acuerdo a como fueron
diseadas para evitar interceptaciones, alteraciones o falsificacin de los mensajes.
86
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
User Account Control (en adelante UAC) es el encargado de mostrar una serie de
notificaciones cuando las aplicaciones intenten realizar algn cambio en el equipo. El control de
cuentas de usuario es quien enva las notificaciones siempre y cuando estos cambios requieran
del permiso del administrador. Se puede configurar atendiendo a 4 niveles que son los
siguientes:
5Tabla sacada de la pgina 262 del libro Windows Server 2012 para IT Pros. Edicin
Informtica64, 2012.
87
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Si UAC y AppLocker se utilizan conjuntamente se tendr control sobre las aplicaciones que
se ejecuten en los equipos y de los cambios que estas puedan realizar en l.
88
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
NUEVA O
FUNCIONALIDAD DESCRIPCIN
ACTUALIZADA
Programa una actualizacin de
Actualizacin remota de la
Nueva directiva de grupo remota para uno o
directiva de grupo
ms equipos.
Mejoras del informe de
Ahora los resultados de la directiva de
resultados de la directiva de Actualizada
grupo incluyen ms informacin.
grupo
Muestra el estado de replicacin de
Estado de la infraestructura de
Nueva Active Directory y SYSVOL en
la directiva de grupo
relacin con la directiva de grupo.
Tabla 7 Funcionalidades de las GPO6
Default Domain Policy. Esta directiva se sita en la raz del dominio y afecta al
conjunto de unidades organizativas. Los parmetros que contiene son de contrasea y
de bloqueo, al igual se pueden configurar los parmetros comunes a todos los objetos
del dominio o parmetros de auditora.
Default Domain Controller Policy. Esta directiva se sita y afecta a la unidad
organizativa Domain Controllers. Los parmetros de la directiva se reservan a los
controladores de domino y se pueden configurar los siguientes tipos de parmetros:
o Directivas de asignaciones de derechos: permiten atribuir permisos
suplementarios a un usuario.
o Directiva de opciones de seguridad: permite la configuracin de los parmetros
de auditora as como otros parmetros.
89
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
90
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una buena prctica es importar la configuracin de seguridad del sistema antes de realizar
todos los cambios previstos, para ello se acceder a Herramientas administrativas/Directivas de
seguridad local donde all se clicar con el botn derecho sobre la directiva y se exportar con
el nombre, por ejemplo, Seguridad base.
91
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
92
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
A ese usuario se le dar control total sobre el directorio. Una vez realizado esta accin se
saldr de la configuracin avanzada aceptando los cambios.
Despus, se proceder con la creacin de las directivas de grupo que auditar el acceso.
Para ello se acceder a Herramientas administrativas/Administracin de directivas de grupo.
93
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
94
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Para auditar el acceso la directiva que se activar ser Auditar el acceso a objetos,
haciendo doble clic sobre ella se abrir la ventana de propiedades de la auditoria en la cual se
activar casilla Definir esta configuracin de directivas y posteriormente se seleccionar la
opcin Error. Se aplicar y aceptar para guardar la configuracin.
95
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se abrir un ventana Smbolo del sistema para reiniciar las directivas de grupo sin tener
que reiniciar el servidor, para que estas funcionen, con el comando gpupdate /force.
Se proceder con las pruebas de acceso a los recursos, para ello se iniciar sesin en la
mquina virtual con el usuario de pruebas y se intentar acceder al recurso. Al intentar acceder
le aparecer el error de la captura 132 al usuario.
96
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
97
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
98
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
99
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En WS 2008 aparecen dos nuevas clases que tambin las encontramos en WS 2012, dichas
clases son las siguientes:
100
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
101
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la ventana del editor se clicar con el botn derecho sobre Editor ADSI y en sus
opciones se clicar en Conectar a.
102
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
103
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Con ello se ejecutar el asistente para un nuevo objeto PSO, dicho objeto se configurar
con las siguientes caractersticas:
104
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la tercera ventana se le asignar que prioridad deber tener sobre otras PSO, como es
una configuracin de seguridad y debe tener mayor prioridad el valor que se le asignar ser 1,
cuanto mayor sea el valor menor prioridad tendr el PSO.
105
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
106
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
107
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la octava ventana se le asignar el tiempo de vida mnimo que tendrn las contraseas,
esta duracin ser de un da escrito de la siguiente manera 01:00:00:00 (Formato
DIAS:HORAS:MINUTOS:SEGUNDOS) y se clicar en Siguiente.
En la novena ventana se le asignar el tiempo de vida mximo que tendrn las contraseas,
esta duracin ser de 30 das (30:00:00:00) y se clicar en Siguiente.
108
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la dcima ventana se asignar los intentos de inicio de sesin antes de que se bloquee la
cuenta, se podr el valor 3 y se clicar en Siguiente.
109
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
110
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Despus, se proceder con la agregacin de usuarios y grupos a los que afectar, para ello
se har doble clic sobre el PSO, en la ventana de propiedades que se nos abre se seleccionar de
la lista msDS-PSO Applies to y se clicar en Editar.
111
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
112
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se observar que aparece en ese contenedor el PSO creado anteriormente con el editor
ADSI. Para crear otro contener grficamente en la lista de la derecha se clicar en
Nuevo/Configuracin de contrasea.
Una vez configurado el objeto como muestra en la captura 162 se clicar Aceptar para
crear el PSO.
113
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se puede comprobar cmo afecta a los usuarios, como por ejemplo se podra para ver cmo
afecta al usuario Manuel. Para ello se acceder a cv (local)/Departamento Sistemas y TI, se
seleccionar al usuario y en la lista de la derecha se clicar en Ver configuracin de
contrasea. La ventana que se abrir corresponder al PSO del cual es afectado.
114
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
115
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
116
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez creada la plantilla, primero se configurarn las directivas de cuentas, se empezar
configurando la directiva de contraseas. Para configurar cada directiva bastar con hacer doble
clic sobre ellas.
117
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
118
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
119
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
120
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
121
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
122
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
La directiva Inicio de sesin interactivo: pedir al usuario que cambie la contrasea antes
de que expire se habilitar y se le asignar 7 das.
123
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
La directiva Inicio de sesin interactivo: texto del mensaje para los usuarios que intentan
iniciar una sesin se habilitar y se le asignar texto que mejor le convenga a la empresa.
La directiva Inicio de sesin interactivo: ttulo del mensaje para los usuarios que intentan
iniciar una sesin se habilitar y se le asignar el correspondiente con el texto del mensaje.
124
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez configuradas las directivas se configurarn los Grupos restringidos para aadir
al grupo Administradores del sistema, a los usuarios Administrador, Fede y Manuel. Para
agregar el grupo se clicar con el botn derecho sobre Grupos restringidos y se clicar en
Agregar grupo.
125
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
126
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Aadido el complemento se har clic con el botn derecho sobre l y se clicar en Abrir
base de datos.
127
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
En la ventana Abrir base de datos se escribir el nombre la base de datos (en adelante
BD), en este caso ser Seguridad del sistema BD, y se clicar en Abrir.
128
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Una vez creada la base de datos e importado la plantilla se proceder con el anlisis, para
ello se clicar con el botn derecho sobre el complemento y se clicar en la opcin Analizar el
equipo ahora.
Se dejar la ruta por defecto y se clicar en Aceptar, con esto empezar el proceso de
anlisis.
129
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
130
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se dejar la ruta por defecto y se clicar en Aceptar para que comience la configuracin
del sistema.
131
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
132
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
133
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
134
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Se observar que el color del texto de la carpeta ha cambiado a un color verde, todas las
subcarpetas y archivos sern del mismo color verde.
Para realizar las pruebas uno de los archivos de la carpeta no estar cifrado, el descifrado se
har de la misma forma que cuando se cifr la carpeta.
135
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
136
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
Solo las personas autorizadas pueden ver los archivos encriptados o modificar ese atributo.
Para este caso de estudio todava no se han barajado este tipo de restricciones por consiguiente
se descifrar la carpeta y sus subcarpetas y archivos desmarcando la opcin Cifrar contenido
para proteger datos y posteriormente seleccionando la opcin Aplicar cambios a esta carpeta y
a todas las subcarpetas y archivos, el color del texto de las carpetas y archivos volver a estar
negro.
137
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
5. Conclusiones
Como se ha observado en el TFG, haciendo hincapi en el apartado 4, mediante la
utilizacin de directivas de grupo se puede configurar la seguridad del sistema WS 2012 R2.
Este tipo de configuracin ha cambiado en pocos aspectos con respecto a su antecesor WS 2008
R2. Los sistemas de WS a lo largo de sus ediciones Microsoft ha ido enfocado ms
grficamente y organizada, como se observa en su ltima edicin WS 2012, en la configuracin
de seguridad y otros aspectos del sistema.
Uno de los mayores desafos a los que se enfrenta un sistema de informacin es la seguridad
de los datos que contenga la empresa, debido a que un sistema no puede asegurarse al 100%.
Dicho esto, una parte de la seguridad va dirigida a planes de contingencias para amenazas
futuras (catstrofes naturales, ataques al sistema, etc.) mediante antivirus, firewalls, SAIs, etc.
La otra parte es la configuracin de las directivas de seguridad del sistema y concienciando a los
usuarios con aspectos bsicos en seguridad, por ejemplo que el usuario tenga sus contraseas
apuntas en papel o en algn documento en texto plano en el ordenador de trabajo o casa, esto
provocar una vulnerabilidad en el sistema de la empresa.
Con la realizacin del TFG hemos enriquecido las bases de conocimiento adquiridas en el
Grado en Ingeniera Informtica y adems las hemos ampliado, con lo cual nos ayudar con la
configuracin del sistema WS 2012 R2 cuando se realice el proyecto en la empresa. Un posible
futuro TFG sera profundizar en todas las opciones de seguridad de las cuales hemos dado una
breve descripcin en el apartado 4.1.
138
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
6. Referencias bibliogrficas
Active Directory [Wiki en Internet]. St. Petersburg (FL): Wikimedia Foundation, 2015.
[Consulta: de mayo a julio 2015]. Disponible en:
http://es.wikipedia.org/wiki/Active_Directory
Benichou, Juli. Las directivas de grupo (GPO) en Windows Server 2008 y 2008 R2:
implementacin, funcionalidades, depuracin. Cornell de Llobregat (Barcelona):
Ediciones ENI, 2012.
Bonnet, Nicols. Windows Server 2012 R2 Instalacin y Configuracin. Cornell de
Llobregat (Barcelona): Ediciones ENI, 2014.
Bonnet, Nicols. Windows Server 2012 R2 Instalacin y configuracin: Examen n.
70-410: 42 prcticas, 145 preguntas-respuestas. Cornell de Llobregat (Barcelona):
Ediciones ENI, 2014.
Bonnet, Nicols. Windows Server 2012 Las bases imprescindibles para administrar y
configurar su servidor. Cornell de Llobregat (Barcelona): Ediciones ENI, 2013.
Bonnet, Nicols. Windows Server 2012 R2 Las bases imprescindibles para
administrar y configurar su servidor. Cornell de Llobregat (Barcelona): Ediciones
ENI, 2014.
Deman, Thierry; Elmaleh, Freddy; Neild, Sbastien; Van Jones, Maxence. Windows
Server 2008 R2 Administracin avanzada. Cornell de Llobregat (Barcelona):
Ediciones ENI, 2012.
Deman, Thierry; Elmaleh, Freddy; Neild, Sbastien; Van Jones, Maxence. Windows
Server 2012 R2: Administracin avanzada. Cornell de Llobregat (Barcelona):
Ediciones ENI, 2014.
Gonzlez Prez, Pablo; Alonso Franco, Francisco Jess; Remondo lvarez, Alejandro;
San Romn Moreno, Sergio; lvarez Martn, Carlos; Alonso, Chema. Windows Server
2012 para IT Pros. Mstoles (Madrid): Edicin Informtica64, 2012.
In SlideShare. Novedades en Windows Server 2012 R2 [En lnea]. LinkedIn
Corporation, 2014. [Consulta: de marzo a julio 2015]. Disponible en:
https://technet.microsoft.com/es-es/library/Cc770842(v=WS.10).aspx
Jos ngel Fernndez. Novedades en Windows Server 2012 R2 [En lnea]. TechNet
Spain: IT Pro Evangelist, 2013. [Consulta: de marzo a julio 2015]. Disponible en:
http://blogs.technet.com/b/estechnet/archive/2013/11/06/novedades-en-windows-server-
2012-r2.aspx
Jair Gmez Arias. Windows Server 2012 Configuracin y administracin de
directivas de contraseas [En lnea]. JGAITPro, 2012. [Consulta: de marzo a julio
2015]. Disponible en: http://blogs.itpro.es/jairgomez/2012/05/09/windows-server-2012-
configuracin-y-administracin-de-directivas-de-contraseas/
Microsoft. Directiva de grupo [En lnea]. Redmond (Estados Unidos): Microsoft, 2012.
[Consulta: de marzo a julio 2015]. Disponible en: https://technet.microsoft.com/es-
es/windowsserver/bb310732.aspx
Microsoft. Gua paso a paso de la directiva de auditora de seguridad avanzada [En
lnea]. Redmond (Estados Unidos): Microsoft, 2011. [Consulta: de marzo a julio 2015].
Disponible en: https://technet.microsoft.com/es-es/library/Dd408940(v=WS.10).aspx
139
Administracin de Directivas de Grupo para la configuracin segura de Sistemas
Corporativos basados en Windows Server 2012
140