INFORME DE LABORATORIO

Carlos Eduardo González Páez

Fabián Estiben Parra Santana
Aduer Andrés Castillo Castro
Jhonatan Estiven Amaya Castelblanco
Joselin Bonilla Bolivar

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERIA
INGENIERÍA DE SISTEMAS
DISEÑO DE MODELOS DE SEGURIDAD
BOGOTÁ
2020
 INFORME DE LABORATORIO

Carlos Eduardo González Páez

Fabián Estiben Parra Santana
Aduer Andrés Castillo Castro
Jhonatan Estiven Amaya Castelblanco
Joselin Bonilla Bolivar

IMPLEMENTACIÓN DE AAA EN CONTROLADOR DE DOMINIO

Diseño de Modelos de Seguridad

Docente Iván Méndez Alvarado

UNIVERSIDAD COOPERATIVA DE COLOMBIA

FACULTAD DE INGENIERIA
INGENIERÍA DE SISTEMAS
BOGOTÁ
2020

2
 CONTENIDO

TABLA DE IMÁGENES......................................................................................................4
RESUMEN.......................................................................................................................... 5
1. INTRODUCCIÓN.........................................................................................................6
2. OBJETIVO...................................................................................................................... 7
3. JUSTIFICACIÓN.............................................................................................................8
4. ALCANCE....................................................................................................................... 9
5. DESARROLLO............................................................................................................. 10
5.1 Sistemas Operativos...........................................................................................10
5.2 Instalación y configuración de Windows Server 2012 R2....................................10
5.3 Promoción de Servidor a controlador de dominio................................................10
5.4 Creación de usuarios y vinculación de equipos cliente.......................................12
5.5 Asignación de políticas de seguridad y directivas de grupo................................13
5.6 Servidor de archivos y permisos de usuarios......................................................17
CONCLUSIONES............................................................................................................. 19
REFERENCIAS................................................................................................................. 20

3
 TABLA DE IMÁGENES

Ilustración 1 Asignación manual de ip fija, mascara de subred y Gateway en el servidor. 11

Ilustración 2 Acceso al servidor dentro del dominio creado...............................................12
Ilustración 3 Acceso a equipo cliente vinculado al dominio...............................................13
Ilustración 4 Usuario Andrea miembro del grupo opers. de servidores.............................14
Ilustración 5 Horas de inicio de sesión del usuario Paula..................................................15
Ilustración 6 Sub-unidades organizativas para asignación de GPO's................................15
Ilustración 7 GPO creado para sub-unidad organizativa...................................................16
Ilustración 8 Lista de políticas y directivas de grupo..........................................................16
Ilustración 9 Permisos de usuario Raquel en el archivo EXA 1.........................................17
Ilustración 10 Permisos de la carpeta RAI&CA.................................................................18

4
 RESUMEN

La seguridad de los sistemas informáticos y de la información requieren de la

gestión efectiva de los protocolos y lineamientos establecidos por las directivas y
máximos responsables de una compañía, por todo esto, asumir el compromiso de
actuar como factor incluyente dentro de dicho sistema, cumpliendo con los
lineamientos y parámetros que lo definen como tal, es factor esencial en buen
funcionamiento del componente tecnológico de toda empresa.

5
 1. INTRODUCCIÓN

El presente documento expone el proceso de instalación de un controlador de

dominio en el cual se ha implementado un control de acceso para usuarios basado
en un modelo AAA; se describen los aspectos que permiten administrar los
permisos, políticas y directivas de grupo asociadas a los usuarios y equipos en
red, cumpliendo con los requerimientos solicitados en el enunciado del laboratorio
propuesto en clase “Diseño de Modelos de Seguridad”. En el cuerpo del
documento se pueden encontrar el objetivo del laboratorio, la justificación de la
misma, una descripción del alcance que tuvo esta práctica, el desarrollo de la
misma y las conclusiones que dejan ver los aprendizajes y competencias
desarrolladas a lo largo de todo el proceso.

6
 2. OBJETIVO

Comprender los aspectos que definen el control de acceso basado en un modelo

AAA, por medio de la instalación e implementación de un controlador de dominio
que administre la confidencialidad de usuarios en una red local, estableciendo
políticas y directivas de grupo a partir de un enunciado dado.

7
 3. JUSTIFICACIÓN

Este informe de laboratorio presenta un material que da cuenta de los resultados

obtenidos en el proceso de instalación e implementación de un controlador de
dominio el cual fue configurado estableciendo en los usuarios que componen el
sistema, políticas y directivas de grupo frente a una situación específica planteada.

Este procedimiento comprende una competencia fundamental en el quehacer del

ingeniero de sistemas, por lo que manejar las herramientas que ofrecen los
sistemas operativos para servidores es un capital imprescindible, no solo en la
cualificación individual dentro del rubro de manejo de equipos, sino también
porque hace parte de la piedra angular de todos los procesos asociados a la
seguridad de los sistemas informáticos y de la información.

Por todo lo anterior, desarrollar este laboratorio permite el afianzamiento de

competencias previas en torno a los sistemas operativos y una compresión de los
aspectos más básicos de la confidencialidad, el acceso de los usuarios al sistema
y las políticas de seguridad frente al mismo, exponiendo un caso real de
requerimiento que permite poner en práctica lo anteriormente nombrado.

8
 4. ALCANCE

Al ser un caso práctico, el alcance de este laboratorio permea lo que, como futuros
ingenieros de sistemas, podremos encontrar en el campo laboral, pues el
enunciado presenta un requerimiento que se debe cumplir en su totalidad y que,
de tener algún fallo, puede representar una vulnerabilidad dentro del sistema.

También permite explorar los conocimientos que se tienen de los sistemas

operativos empleados en la práctica, las competencias adquiridas en clases
anteriores y su aplicación en un escenario de la vida real, en el que se emplean
maquinas virtualizadas pero que puede llegar a ser en un futuro, equipos puestos
a disposición para la configuración y que se suman a las responsabilidades que se
tienen a la hora de implementar este dominio.

9
 5. DESARROLLO

5.1 Sistemas Operativos

Para configurar el controlador de dominio, se virtualizó una máquina servidor con

Windows Server 2012 R2 en el software de Oracle VM VirtualBox 1.

Las dos máquinas cliente que se añadieron al dominio también se virtualizaron en

Oracle VM VirtualBox y se configuraron con el sistema operativo de Windows 7
Professional de 32 Bits.

5.2 Instalación y configuración de Windows Server 2012 R2

Para la instalación de la máquina virtual, se asignó una memoria RAM de 2048 Mb

y un disco duro con capacidad de 20 Gb, esto con el fin de darle al servidor los
requerimientos básicos para poder soportar las configuraciones solicitadas y para
no saturar el equipo que aloja las máquinas cuando se virtualicen todas ellas al
mismo tiempo.

Se instaló el sistema operativo de manera estándar con una ISO de evaluación

descargada gratuitamente de la página de Microsoft 2. Dentro del proceso de
instalación se asignó como primer nombre de usuario “Administrador” y se asignó
una contraseña.

5.3 Promoción de Servidor a controlador de dominio

Una vez dentro del ambiente del sistema operativo Windows Server 2012 R2,
procedimos a asignar manualmente la configuración del adaptador de red LAN, en
el protocolo de internet versión IPV4 dentro del centro de redes y recursos
compartidos.

10
 Ilustración 1 Asignación manual de ip fija, mascara de subred y Gateway en el servidor

Una vez hechas estas configuraciones, accedimos al administrador del servidor y

agregamos el rol de características de Active Directory, el asistente para la
instalación indicó que el servidor debía ser promovido a controlador de dominio
para dicha característica así que lo permitimos, en dicho proceso se instaló de
manera automática el rol de servidor DNS y se asignó la misma dirección ip del
servidor, 192.168.0.22, dirección que más adelante usaremos para apuntar desde
los equipos cliente.

Una vez terminado el proceso continuamos con la instalación del rol, por lo cual
agregamos un nuevo Bosque al que llamamos dominio.UCC, nos solicita que
asignemos una contraseña para el administrador del dominio y después de seguir
los pasos dentro del asistente, el equipo se reinicia y el acceso al servidor ahora
se hace dentro del dominio que se ha creado.

11
 Ilustración 2 Acceso al servidor dentro del dominio creado

5.4 Creación de usuarios y vinculación de equipos cliente

Una vez se instaló correctamente el rol de directorio activo dentro del servidor, se
procedió a crear la unidad organizativa para el directorio activo, esto se hizo
dentro del programa Usuarios y equipos de Active Directory. Se creó una unidad
organizativa llamada Usuarios y allí se fueron creando uno a uno los usuarios del
enunciado, en primera medida solo se crearon las credenciales básicas de acceso
con el fin de poder usarlas para la posterior vinculación de los equipos clientes al
dominio.

En este punto y ya con los usuarios creados en el directorio activo, procedimos a

vincular los dos equipos cliente con el dominio. Este proceso se llevó a cabo
configurando el protocolo de internet versión 4, IPV4 en ambas máquinas, por lo
cual se asignaron de manera manual las direcciones Ip dentro del rango en el que
se le asignó previamente al servidor.

La dirección Ip que se asignó al primer equipo fue la 192.168.0.24 y al segundo

equipo la 192.168.0.26, ambos con mascara de subred 255.255.255.0, Gateway
192.168.0.1 y servidor DNS preferido la dirección Ip del servidor, 192.168.0.22.

Para confirmar que los equipos estuviesen en red con el servidor, se hizo ping
desde ambos apuntando a la dirección de la máquina, una vez que se confirmó

12
que había respuesta, se procedió a vincular los dos equipos en el dominio, para
esto fuimos a las propiedades del sistema desde el panel de control y cambiamos
el grupo de trabajo al que estaban vinculados los equipos por el dominio,
accedimos con las credenciales de uno de los usuarios que habíamos creado en
el directorio activo y así las máquinas quedaron vinculadas al dominio.

Ilustración 3 Acceso a equipo cliente vinculado al dominio

5.5 Asignación de políticas de seguridad y directivas de grupo

Para dar cumplimiento a los requerimientos solicitados en el enunciado propuesto

para el laboratorio, hicimos uso del programa Usuarios y equipos de Active
Directory para organizar los usuarios en unidades organizativas que nos permitan
aplicarles, de manera específica, las políticas y directivas de grupo que definen los
permisos establecidos cuando ingresan al sistema. Dentro del programa pudimos
asignar ciertos permisos que se solicitaban en los primeros puntos del enunciado,
por ejemplo, para permitir que el usuario Andrea pueda iniciar desde cualquier
equipo y además de eso, pueda tener acceso al servidor controlador de dominio,
tuvimos que vincularla en un grupo de la carpeta Builtin alojada en la raíz de
nuestro Bosque, el grupo llamado Opers.de servidores le permite a Andrea iniciar
sesión en el servidor sin tener permisos exclusivos del Administrador.

13
 Ilustración 4 Usuario Andrea miembro del grupo opers. de servidores

Desde el programa también se pudo configurar la condición de exigir el cambio de

contraseña para todos los usuarios después de iniciar sesión por primera vez, y se
asignaron las horas en las que los usuarios pueden acceder a los equipos en red.
Para realizar estas configuraciones, hicimos click derecho sobre el usuario en
específico, abrimos sus propiedades y nos dirigimos a la pestaña Cuenta, una vez
allí seleccionamos la opción de que el usuario deba cambiar la contraseña en el
siguiente inicio de sesión, y ajustamos horarios en el botón Horas de inicio de
sesión, ajustando las franjas horarias de acuerdo al enunciado. Para el usuario
Paula, se adicionó la condición de que solo pueda iniciar sesión en el equipo 1
pulsando en el botón Iniciar sesión en y añadiendo el equipo en cuestión.

14
 Ilustración 5 Horas de inicio de sesión del usuario Paula

Para la aplicación de las demás políticas que permitieran asignar los permisos a
los usuarios y que no se podían ejecutar desde el administrador del directorio
activo, usamos el programa Administración de directivas de grupo; como de
antemano sabíamos que ciertos permisos solo se pueden aplicar creando o
heredando una GPO para cada unidad organizativa, se crearon nuevas unidades
organizativa dentro de la que se había hecho originalmente para alojar los
usuarios, y se fueron organizando y nombrando de tal forma que se pudiese tener
un control a la hora de asignar las directivas de grupo para cada caso.

Ilustración 6 Sub-unidades organizativas para asignación de GPO's

15
Una vez creada esta disposición y ubicados los usuarios dentro de la misma
teniendo presentes los requerimientos solicitados, ingresamos al programa
Administración de directivas de grupo y empezamos a crear las GPO para cada
una, buscando entre la lista del editor de administración de directivas de grupo la
que nos permita asignarles a los usuarios los permisos que se solicitan en el
enunciado. También se editó el Default Domain Policy habilitado las directivas que
obligan que las contraseñas sean de mínimo 10 caracteres, tengan complejidad y
que se bloqueé la cuenta si la contraseña se ingresa dos veces consecutivas de
forma errónea.

Ilustración 7 GPO creado para sub-unidad organizativa

Ilustración 8 Lista de políticas y directivas de grupo

16
5.6 Servidor de archivos y permisos de usuarios

Para configurar el servidor de archivos no tuvimos que agregar un nuevo rol o

característica al servidor, creamos la carpeta RAI&CA en el disco local C, dentro
de la carpeta creamos los archivos de texto EXA 1 y EXA 2. Hecho esto nos
dirigimos a las propiedades de los archivos y configuramos la seguridad de cada
archivo añadiendo los permisos solicitados en el enunciado.

Ilustración 9 Permisos de usuario Raquel en el archivo EXA 1

Configurados los permisos, nos dirigimos al administrador del servidor y en la

sección de servicios de archivos y almacenamiento ubicamos la carpeta RAI&CA
en el elemento de recursos compartidos. Desde allí editamos las propiedades de
la carpeta permitiendo la visualización por parte de todos los usuarios.

17
 Ilustración 10 Permisos de la carpeta RAI&CA

Asignados los permisos de visualización de la carpeta, iniciamos sesión con los

usuarios en uno de los equipos vinculados en el dominio y se creó un acceso
directo a la carpeta para acceder a ella fácilmente.

18
 CONCLUSIONES

- Al realizar el laboratorio propuesto se pudo comprender la importancia que

tienen las políticas de seguridad en el diseño de un dominio en red, puesto
que priorizar ciertas características en los diferentes usuarios dentro del
mismo, ayuda a la preservación del sistema informático y de la información
dentro de las empresas y compañías.

- Así mismo se pudieron poner en práctica algunos de los conceptos teóricos

vistos en clase en temas de control de acceso, confidencialidad y
protección de activos, como también el afianzamiento de competencias que
se adquirieron en clases anteriores y que propenden por la formación
integral de los futuros ingenieros de sistemas.

19
 REFERENCIAS

[1] VirtualBox, por Oracle Corporation (2007, enero 15) versión Libre.
[2] Windows Server 2012 R2, por Microsoft (2013, junio 3) recuperada de:
https://www.microsoft.com/es-es/evalcenter/evaluate-windows-server-2012-r2”

20