CyOps1.1 Chp02 Instructor Supplemental Material

Capítulo 2: Sistema
operativo Windows
Materiales del Instructor
Operaciones de ciberseguridad v1.1

Materiales del instructor: Guía de planificación del capítulo 2
 Esta presentación en PowerPoint se divide en dos partes:
 Guía de planificación para el instructor

• Información para ayudarlo a familiarizarse con el capítulo
• Ayuda didáctica
 Presentación de la clase del instructor
• Diapositivas opcionales que puede utilizar en el aula
• Comienza en la diapositiva # 9
 Nota: Elimine la Guía de Planificación de esta presentación antes de compartirla con otras personas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
operativo Windows
Guía de planificación
Capítulo 2: Actividades
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
2.0.1.2 Actividad de clase Identificación de los procesos en ejecución
2.1.2.9 Actividad interactiva Identificación del subárbol del registro de Windows
2.1.2.10 Práctica de laboratorio Exploración de procesos, subprocesos, controles y el registro de Windows
2.2.1.10 Práctica de laboratorio Creación de cuentas de usuario
2.2.1.11 Práctica de laboratorio Uso de Windows PowerShell
2.2.1.12 Práctica de laboratorio Administrador de tareas de Windows
2.2.1.13 Práctica de laboratorio Recursos de supervisión y administración de sistema en Windows
2.2.2.7 Actividad interactiva Identificación de comandos de Windows
2.2.2.8 Actividad interactiva Identificación de la herramienta de Windows
Capítulo 2: Evaluación
 Los estudiantes deben completar el capítulo 2 "Evaluación" después de completar el capítulo 2.
 Los cuestionarios, las prácticas de laboratorio y otras actividades se pueden utilizar para evaluar
informalmente el progreso de los estudiantes.
Capítulo 2: Prácticas recomendadas
Antes de enseñar el capítulo 2, el instructor debe:
 Completar la "Evaluación" del capítulo 2.
 Repasar los comandos de la CLI y el sistema operativo Windows.
 Hacer énfasis en los siguientes conceptos de Windows:

• Arquitectura de Windows
• Uso de applets del Panel de control para configurar Windows
• Uso de la ejecución como administrador para hacer cambios en el sistema que los usuarios estándar no tienen permitido hacer
• Cómo funciona la política de seguridad
• Configuración de Windows Defender y Firewall de Windows
 Resalte las herramientas disponibles para el administrador:
• CLI y comandos PowerShell
• La administración remota de computadoras mediante el WMI y Escritorio remoto
• Administrador de tareas y Monitor de recursos
• Configuración de red
Capítulo 2: Ayuda adicional
 Para obtener ayuda adicional sobre las estrategias de enseñanza, incluidos los planes de
lección, las analogías para los conceptos difíciles y los temas de conversación, visite los
Foros comunitarios.
 Si tiene planes o recursos de lección que desee compartir, cárguelos en los Foros
comunitarios a fin de ayudar a otros instructores.
operativo Windows

Capítulo 2: secciones y objetivos
 2.1 Descripción general de Windows
• Explicar el funcionamiento del sistema operativo Windows.
• Describir la historia del sistema operativo Windows.
• Explicar la arquitectura de Windows y su funcionamiento.
 2.2 Administración de Windows

• Explicar cómo proteger las terminales con Windows.
• Explicar cómo configurar y supervisar Windows.
• Explicar cómo Windows se puede mantener seguro.
2.1 Descripción general de
Windows
Historia de Windows
Sistema operativo de disco
 Sistema operativo de disco (DOS): sistema
operativo que la computadora utiliza a fin de
habilitar estos dispositivos de almacenamiento
de datos para leer y escribir archivos.
 MS-DOS, creado por Microsoft, utiliza una línea de
comando como interfaz para que las personas
creen programas y manipulen archivos de datos.
 Las primeras versiones de Windows constaban de
una interfaz gráfica de usuario (GUI) que se
ejecutaba en MS-DOS.
 En versiones más recientes de Windows, creadas
en NT, el propio sistema operativo controla
directamente la computadora y su hardware.
Historia de Windows
Versiones de Windows
 Desde el año 1993 hubo más de
20 versiones de Windows basadas en el
sistema operativo NT.
 A partir de Windows XP, comenzó a estar
disponible una edición de 64 bits.
 Windows de 64 bits teóricamente puede
trabajar con 16,8 millones terabytes de RAM
 Con cada nuevo lanzamiento de Windows,
el sistema operativo se ha mejorado con la
incorporación de más funciones.
Historia de Windows
GUI de Windows
 Windows tiene una interfaz gráfica de usuario
(Graphical User Interface, GUI) para que los
usuarios trabajen con software y archivos de
datos.
 La sección principal de la GUI es el escritorio, que
contiene la barra de tareas
 La barra de tareas incluye el menú Inicio y Buscar,
elementos de inicio rápido y área de notificaciones.
 Al hacer clic con el botón secundario sobre un
icono aparecerá una lista adicional de funciones,
que se conoce como un menú contextual.
 El explorador de archivos de Windows es una
herramienta que se utiliza para desplazarse por el
sistema de archivos completo de un equipo.
Historia de Windows
Vulnerabilidades en el sistema operativo
 Para aprovechar una vulnerabilidad de un sistema
operativo, el atacante debe utilizar una técnica o
herramienta para atacarla.
 Recomendaciones de seguridad habituales del sistema
operativo Windows:
• Implemente protección contra virus o malware.
• No admita servicios desconocidos o sin gestionar.
• Use cifrado.
• Implemente una política de seguridad sólida.
• Revise la configuración del firewall periódicamente.
• Establezca permisos de compartición de archivos
correctamente.
• Utilice contraseñas seguras.
• Inicie sesión como administrador solo cuando sea necesario.
Arquitectura y operaciones de Windows
Capa de abstracción de hardware
 Una capa de abstracción de hardware
(Hardware Abstraction Layer, HAL) es un código
que maneja toda la comunicación entre el
hardware y el kernel.
 El kernel es el núcleo del sistema operativo y
controla toda la computadora.
 Se encarga de todas las solicitudes de entrada
y salida, la memoria y todos los periféricos
conectados a la computadora.
Modo de usuario y modo de kernel
 Una CPU puede operar en dos modos
diferentes cuando la computadora tiene
Windows instalado: el modo de usuario y
el modo de kernel.
 Las aplicaciones instaladas se ejecutan
en el modo de usuario, y el código del
sistema operativo lo hace en el modo de
kernel.
Sistemas de archivos de Windows
 Un sistema de archivos determina cómo se organiza la información en
los medios de almacenamiento.
• Windows es compatible con los siguientes sistemas de archivos:
• Tabla de asignación de archivos (FAT)
• exFAT
• Sistema de archivos jerárquico + (HFS+)
• Sistema de archivos extendido (EXT)
• Sistema de archivos de nueva tecnología (NTFS)
 NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una marca de hora.
 Los datos que contiene el archivo se guardan en el atributo $DATA y se denominan flujo de datos.
 Los discos duros se dividen en áreas denominadas particiones.
 Cada partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como
archivos de datos o aplicaciones.
Proceso de arranque de Windows
 Existen dos tipos de firmware para
computadoras: sistema básico de
entrada y salida (BIOS), e interfaz de
firmware extensible unificada (UEFI).
 UEFI se diseñó para reemplazar el BIOS
y admitir las nuevas funciones.
 Ya sea BIOS o UEFI, después de
encontrar una instalación válida de
Windows, se ejecuta el archivo
Bootmgr.exe.
Inicio y apagado de Windows
 Las diferentes entradas en estos lugares del registro definen
qué servicios y aplicaciones se inician, tal como indica su tipo de
entrada.
• HKEY_LOCAL_MACHINE
• HKEY_CURRENT_USER
 Algunos tipos son Run, RunOnce, RunServices,
RunServicesOnce y Userinit.
 Hay cinco fichas que contienen las opciones de configuración:
• General
• Arranque
• Servicios
• Inicio
• Herramientas
 Siempre es mejor cerrar correctamente la computadora que
apagarla.
Procesos, subprocesos y servicios
 Un proceso es cualquier programa que se esté
ejecutando.
 Un subproceso es una parte del proceso que
puede ejecutarse.
 En Windows, es posible ejecutar varios
subprocesos al mismo tiempo.
 Algunos de los procesos que ejecuta Windows
son servicios: programas que se ejecutan en
segundo plano para respaldar el sistema
operativo y las aplicaciones.
Asignación de la memoria e identificadores
 El espacio para la dirección postal virtual de un
proceso es el conjunto de direcciones virtuales que
puede utilizar el proceso.
 Cada proceso en una computadora con Windows de

32 bits admite un espacio para la dirección postal
virtual que hace posible manipular hasta 4 GB.
 Cada proceso en una computadora con Windows

de 64 bits admite un espacio para la dirección
postal virtual de 8 TB.
 Cada proceso de espacio del usuario se ejecuta en

un espacio para la dirección postal privado,
separado de otros procesos de espacio del usuario.
 RamMap de Sysinternal: se usa para visualizar la

asignación de la memoria.
Registro de Windows  En el registro de Windows se almacena toda la información
sobre el hardware, las aplicaciones, los usuarios y la
configuración del sistema.
 El registro es una base de datos jerárquica donde el nivel más

alto se conoce como subárbol, debajo están las claves y, luego,
las subclaves.
 Estas son las cinco secciones del registro de Windows:
• HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario

con una sesión iniciada actualmente.
• HKEY_USERS (HKU): contiene datos sobre todas las cuentas de
usuario.
• HKEY_CLASSES_ROOT (HKCR): contiene datos sobre los
registros de vinculación e integración de objetos (OLE).
• HKEY_LOCAL_MACHINE (HKLM): contiene datos relacionados
con el sistema.
• HKEY_CURRENT_CONFIG (HKCC): contiene datos sobre el perfil
de hardware actual.
 La navegación es muy similar a la del explorador de archivos de

Windows.
Práctica de laboratorio: exploración de procesos, subprocesos, controles y
registro de Windows
2.2 Administración de Windows
Configuración y monitoreo de Windows
Ejecución como administrador
 A veces, es necesario ejecutar o instalar
software que exige privilegios de
administrador.
 Use "Ejecutar como administrador" o abra
un símbolo del sistema de administrador.
Usuarios y dominios locales
 Los usuarios y grupos locales se administran con
el applet del panel de control lusrmgr.msc.
 Un grupo tiene un nombre y un conjunto

específico de permisos asociados con él. Un
usuario asignado a un grupo tendrán los permisos
asignados a dicho grupo.
 Un dominio es un tipo de servicio de red en el que

todos los usuarios, grupos, computadoras,
periféricos y ajustes de seguridad se almacenan
en una base de datos, que también los controla.
• Esta base de datos se almacena en
computadoras o grupos de computadoras que se
denominan controladores de dominio (DC).
CLI y PowerShell
 La interfaz de línea de comandos (CLI) de
Windows se puede usar para ejecutar
programas, recorrer el sistema de archivos,
y administrar archivos y carpetas.
 Otro entorno llamado Windows PowerShell
puede usarse para crear scripts que
automaticen las tareas que la CLI regular
no puede crear.
Instrumentación de la administración de Windows
 Windows Management Instrumentation
(WMI) se utiliza para administrar
computadoras remotas.
 Actualmente, algunos ataques utilizan WMI
para conectarse con sistemas remotos,
modificar el registro y ejecutar comandos.
En consecuencia, el acceso debería ser
estrictamente limitado.
El comando net
 El comando net puede ir seguido de muchos otros comandos, que pueden combinarse con
cambios para concentrarse en resultados específicos.
 Para ver una lista de los comandos net, escriba net help en la petición de ingreso de
comando.
Administrador de tareas y Monitor de recursos
 El Administrador de tareas ofrece mucha
información sobre lo que se está ejecutando y el
desempeño general de la computadora.
 El Monitor de recursos se utiliza cuando se
necesita información más detallada del uso de
recursos.
Redes
 Para configurar las propiedades de redes de
Windows y probar la configuración de redes, se
emplea el Centro de redes y recursos compartidos.
 Use la herramienta netsh.exe para configurar los
parámetros de red desde una petición de ingreso de
comando.
 Para probar el adaptador de red, escriba ping
127.0.0.1 en la petición de ingreso de comando.
 También se debe probar el sistema de nombre de
dominio (DNS) mediante el comando nslookup.
 Use netstat en la línea de comando para ver los
detalles de las conexiones de red activas.
Acceso a los recursos de red
 El protocolo de bloqueo de mensaje del servidor
(SMB) se utiliza para compartir recursos de la red.
 Para conectar con los recursos se utiliza el
formato convención de nomenclatura universal
(UNC).
 Un recurso compartido administrativo se identifica
con el signo de dólar ($) que aparece después de
su nombre.
 El protocolo de escritorio remoto (RDP) puede
utilizarse para iniciar sesión en un host remoto y
realizar cambios de configuración, instalar el
software o solucionar problemas.
Servidor de Windows
 En centros de datos se utiliza principalmente
otra versión de Windows: Windows Server.
 Servicios que incluyen los hosts del servidor
de Windows:
• Servicios de red
• Servicios de archivos
• Servicios web
• Administración
Práctica de laboratorio: creación de cuentas de usuario
Práctica de laboratorio: uso de Windows PowerShell
Práctica de laboratorio: Administrador de tareas de Windows
Práctica de laboratorio: monitoreo y administración de los recursos del
sistema en Windows
Seguridad de Windows
El comando netstat
 El comando netstat puede usarse para
buscar conexiones entrantes o salientes
no autorizadas.
 Vincule las conexiones a los procesos en
ejecución en el Administrador de tareas
mediante netstat – abno.
 Para ver los ID de los procesos en el
Administrador de tareas, ábralo, haga clic
con el botón secundario en el encabezado
de la tabla y seleccione PID.
Visor de eventos
 El Visor de eventos de Windows registra
el historial de eventos del sistema, de
aplicaciones y de seguridad.
 Windows incluye dos categorías de
registros de eventos: registros de
Windows y registros de aplicaciones y
servicios.
 Una vista personalizada incorporada que
se denomina Eventos administrativos e
incluye todos los eventos críticos, de
error y de advertencia de todos los
registros administrativos.
Administración de actualizaciones de Windows
 Para garantizar el máximo nivel de
protección contra ataques, siempre
asegúrese de que Windows esté
actualizado con los últimos service packs y
parches de seguridad.
 Windows verifica sistemáticamente el sitio
web de Windows Update en busca de
actualizaciones de alta prioridad que ayuden
a proteger una computadora de las
amenazas de seguridad más recientes.
 Para configurar los ajustes de actualización
de Windows, busque Windows Update y
haga clic en la aplicación.
Política de seguridad local
 La directiva de seguridad local de Windows se
puede utilizar para las computadoras
independientes que no forman parte de un
dominio de Active Directory.
 La opción Directiva de contraseñas se encuentra

debajo de Directivas de cuenta y permite definir
los criterios para las contraseñas de todos los
usuarios en la computadora local.
 Utilice la Directiva de bloqueo de cuenta en

Directivas de cuenta para evitar los intentos de
inicio de sesión forzosos.
 También puede configurar reglas de Firewall y

de los derechos del usuario.
Política de seguridad local
 Windows trae preinstalada una protección
contra virus y spyware llamada Windows
Defender.
 Windows Defender le permite realizar
análisis manuales de la computadora y
dispositivos de almacenamiento, y
actualizar las definiciones de virus y
spyware en la ficha de actualización.
Firewall de Windows
 Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan
diversas aplicaciones.
 Al abrir solo los puertos requeridos en
un firewall se implementa una política
de seguridad restrictiva.
 La mayoría de los dispositivos ahora
vienen con una configuración
altamente restrictiva.
2.3 Resumen del capítulo
Resumen del capítulo
 En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al
día de hoy, hubo más de 40 versiones de sistemas operativos Windows para equipos de escritorio,
Windows Server y Windows para dispositivos móviles.
 La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en
dos modos independientes: modo de kernel y modo de usuario. Las aplicaciones instaladas se
ejecutan en el modo de usuario, y el código del sistema operativo lo hace en el modo de kernel.
 NTFS formatea el disco en cuatro importantes estructuras de datos:
• Sector de arranque de la partición
• Tabla maestra de archivos (Master File Table, MFT)
• Archivos del sistema
• Área de archivos
Resumen (continuación)
 Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.
 Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.
 Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más alto
se conoce como sección. Estas son las cinco secciones del Registro de Windows:
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)
 En este capítulo también aprendieron a configurar, monitorear y preservar la seguridad
de Windows. Para hacer esto normalmente tienen que ejecutar programas como
Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el
acceso a las cuentas de administrador e invitado, y utilizar diversas herramientas para
administradores, como las siguientes:
• Todos los comandos disponibles para la CLI y para PowerShell
• La administración remota de computadoras mediante el WMI y Escritorio remoto
• Administrador de tareas y Monitor de recursos
• Configuración de red
 Como administrador, puede usar todas las herramientas de seguridad de Windows; por
ejemplo:
• El comando netstat para buscar conexiones entrantes y salientes no autorizadas
• El Visor de eventos para acceder a registros donde se documenta el historial de eventos
del sistema, de seguridad y de aplicaciones
• Configuración y programación de Windows Update
• Política de seguridad local de Windows para asegurar computadoras independientes que
no forman parte de un dominio de Active Directory
• Configuración de Windows Defender para protección integrada antivirus y antispyware
• Configuración del Firewall de Windows para afinar la configuración predeterminada
 Como analistas especializados en ciberseguridad tienen que comprender los aspectos
básicos del funcionamiento de Windows y qué herramientas se pueden utilizar para
preservar la seguridad de los terminales Windows.
Capítulo 2
Nuevos términos y comandos
 Flujo de datos alternativos (ADS)  Capa de abstracción de hardware  Procesos
 Sistema básico de entrada y salida (HAL)  Registro
(BIOS)  Sistema de archivos jerárquico +  Monitor de recursos
 Base de datos de la configuración (HFS+)  Bloque de mensajes del servidor
de arranque (BCD)  Núcleo (SMB)
 Interfaz de línea de comandos (CLI)  Firma de código del modo de kernel  Servicios
 Sistema operativo de disco (DOS) (KMCS)  Subsistema administrador de
 Dominio  Registro principal de arranque sesiones (SMSS)
 Controlador de dominio (DC) (MBR)  Archivos del sistema
 Cifrado  Tabla maestra de archivos (Master  Administrador de tareas
 Visor de eventos File Table, MFT)  Subprocesos
 FAT extendida (exFAT)  MS-DOS  Interfaz de firmware extensible
 Sistema de archivos extendido  netstat unificada (UEFI)
(EXT)  Sistema de archivos de nueva  Windows Defender
 Tabla de asignación de archivos tecnología (NTFS)  Instrumentación de la administración
(FAT)  Sector de arranque de la partición de Windows (WMI)
 Firewall  PowerShell
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 4: análisis basado en host
• 4.1 Defina los siguientes términos en relación con Microsoft Windows:
• Procesos
• Subprocesos
• Asignación de memoria
• Registro de Windows
• WMI
• Se ocupa de
• Servicios
• 4.3 Describa la función de las siguientes tecnologías de terminal en relación con el monitoreo de
seguridad:
• Antivirus y antimalware
• Firewall basado en host
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de
ciberseguridad:
De 210 a 255 SECOP: implementación de operaciones de ciberseguridad de Cisco
 Dominio 1: análisis de amenazas para terminales y análisis forense
• 1.4 Defina lo siguiente en relación con el sistema de archivos de Microsoft Windows:
• FAT32
• NTFS
• Flujos de datos alternativos
• Marcas de tiempo en un sistema de archivos

CyOps1.1 Chp02 Instructor Supplemental Material

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CyOps1.1 Chp02 Instructor Supplemental Material

Cargado por

Copyright:

Formatos disponibles

Capítulo 2: Sistema

Operaciones de ciberseguridad v1.1

 Guía de planificación para el instructor

2.1.2.9 Actividad interactiva Identificación del subárbol del registro de Windows

2.1.2.10 Práctica de laboratorio Exploración de procesos, subprocesos, controles y el registro de Windows

2.2.1.10 Práctica de laboratorio Creación de cuentas de usuario

2.2.1.11 Práctica de laboratorio Uso de Windows PowerShell

2.2.1.12 Práctica de laboratorio Administrador de tareas de Windows

2.2.1.13 Práctica de laboratorio Recursos de supervisión y administración de sistema en Windows

2.2.2.7 Actividad interactiva Identificación de comandos de Windows

2.2.2.8 Actividad interactiva Identificación de la herramienta de Windows

 Hacer énfasis en los siguientes conceptos de Windows:

Operaciones de ciberseguridad v1.1

 2.2 Administración de Windows

 Los discos duros se dividen en áreas denominadas particiones.

 Hay cinco fichas que contienen las opciones de configuración:

 Cada proceso en una computadora con Windows de

 Cada proceso en una computadora con Windows

 Cada proceso de espacio del usuario se ejecuta en

 RamMap de Sysinternal: se usa para visualizar la

 El registro es una base de datos jerárquica donde el nivel más

 Estas son las cinco secciones del registro de Windows:

• HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario

 La navegación es muy similar a la del explorador de archivos de

 Un grupo tiene un nombre y un conjunto

 Un dominio es un tipo de servicio de red en el que

 La opción Directiva de contraseñas se encuentra

 Utilice la Directiva de bloqueo de cuenta en

 También puede configurar reglas de Firewall y

También podría gustarte