Asignatura Datos del alumno Fecha

Seguridad en Sistemas Apellidos: Hernández Peña

6 diciembre 2021
Operativos Nombre: Alejandro

Fortificación de un entorno Windows

Autores:
Andrés Alejandro Vega Silva
Alejandro Hernández Peña
Raúl Galván Padrón

Asignatura: Seguridad en Sistemas Operativos Propietarios

Profesor de Asignatura: Federico Eduardo Vidal Martínez

Institución: UNIR México | Universidad Internacional de La Rioja en México

© Universidad Internacional de La Rioja (UNIR)

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Contenido
Introducción 3

Definición de Dominio SSO.COM 3

Grupos de Usuarios (Dirección, RRHH e Ingeniería) 8

Creación de cuentas de usuario 9

Carpeta Compartida 11

Creación de Directiva 13

Creación de Política 15

Ingresar equipo al dominio 16

AppLoker 17

Firewall 21

Tabla de Actividades 23

© Universidad Internacional de La Rioja (UNIR)

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Introducción
Una empresa nos ha comentado que van a remodelar los 50 puestos de trabajo que
tienen y que desean instalar un Windows Server desde el que se realicen las
siguientes configuraciones que serán desplegadas en todos esos equipos:

Definición de Dominio SSO.COM

Se debe crear un dominio en el servidor, dicho dominio sebe llamarse sso.com.

Para realizar la consignar anterior de clic en el apartado “Server Manager” del

servidor.

En el apartado de Tools, selecciona la opción Add Roles and Feartures, se iniciará un

asistente que le guiará en el proceso de creación del dominio.

© Universidad Internacional de La Rioja (UNIR)

3
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Seleccione el tipo de instalación, para este caso seleccione la opción “Role-Based of

Feature” y pulse en siguiente

El siguiente paso consiste en establecer el servidor de destino en donde se aplicara el

nuevo dominio, para ello seleccione el servidor sobre el cual estamos trabajando.

© Universidad Internacional de La Rioja (UNIR)

4
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Dentro del asistente le solicita que pulse en “Install” para comenzar el proceso de
creación de dominio del servidor, posteriormente espere a que el asistente complete
el proceso de instalación.

Cuando el asistente haya finalizado diríjase al aparatado de “Server Manager” en

notificaciones procederemos a promover el servidor al control de dominio dando clic
como se muestra en la ilustración.

© Universidad Internacional de La Rioja (UNIR)

5
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Para comenzar con la configuración selecciona la opción “Add a new forest”, después
ingrese el nombre del dominio “sso.com”

Establezca el NetBIOS name como se muestra en la ilustración.

Después de validar los prerrequisitos pulse en Install, cuando el proceso finalice se

mostrará una pantalla como la siguiente:

© Universidad Internacional de La Rioja (UNIR)

En el apartado de local server podemos visualizar como nuestro equipo instalo e

implemento correctamente el dominio SSO.com

6
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

© Universidad Internacional de La Rioja (UNIR)

Grupos de Usuarios (Dirección, RRHH e

Ingeniería)

7
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Los trabajadores se dividen en tres áreas, Dirección, RRHH e Ingeniería para ellos es
necesario crear los grupos en donde posteriormente asociaremos a los usuarios

En el apartado de Tools seleccione la opción “Create a server Group”, en el campo

de server group name ingresaremos las 3 clasificaciones designadas “RRHH,
ingeniería y Dirección.

© Universidad InternacionalCuando
de La Riojael(UNIR)
proceso haya finalizado podremos visualizar en el Dashboard de
nuestro server manager los grupos creados.

8
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Creación de cuentas de usuario

Se deben crear las cuentas de usuario de los 50 trabajadores, El nombre de usuario
de los trabajadores va a tener el formato UsuarioXX. El valor de XX va desde 01
hasta 50.

Adicionalmente todos los usuarios van a ser creados con la misma contraseña inicial,
SSS00-un1ir

También se debe considerar que los usuarios del 1 al 10 trabajan en dirección. Los
usuarios del 11 al 30 trabajan en RRHH y, por último, los usuarios del 31 al 50
trabajan en Ingeniería.

Para realizar el proceso anterior es necesario crear un Script que se ejecutara sobre
PowerShell, dicho script mediante el uso de comandos New-ADUser y Add-
ADGroupMember creara y asociara a los usuarios de forma automática.

© Universidad Internacional de La Rioja (UNIR)

El Script utilizado para la práctica consta de 3 ciclos repetitivos para cada grupo, el
primer paso nos permite crear al usuario con nombre consecutivo y concatenado, el
segundo paso consiste en crear el usuario con la contraseña y su respectiva

9
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

nomenclatura, finalmente agregamos al usuario como miembro del grupo que

corresponda.

Finalmente, al consultar en el directorio activo de servidor podemos constatar que

los usuarios se agregaron correctamente, cada uno a su respectivo grupo según se
configuro previamente en el Script.

(Captura con los usuarios asociados a cada uno de los 3 grupos)

© Universidad Internacional de La Rioja (UNIR)

A continuación, se adjunta el Script desarrollado para esta práctica:

Aparado para crear los usuarios y asignarlos al grupo Dirección

10
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Bloque para crear los usuarios que se asignarán al grupo RRHH

Sección para crear los usuarios que se añadirán al grupo de ingeniería.

Carpeta Compartida
Crear una carpeta compartida para cada una de las áreas que solamente sea visible
para los usuarios de esa área, adicionalmente se debe contemplar que posiblemente
se creen más usuarios con el mismo perfil y permisos.

El proceso consiste en crear 3 carpetas en nuestro servidor, posteriormente en

propiedades encontraremos la opción que nos permite compartir la carpeta a un
Grupo de dominio.

© Universidad Internacional de La Rioja (UNIR)

Para este caso ingresaremos el nombre de nuestro grupo: dirección y pulsaremos en
Share.

11
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Adicionalmente podemos cambiar los tipos de permisos que tendrá cada uno de los
grupos sobre las carpetas compartidas.

© Universidad Internacional de La Rioja (UNIR)

Creación de Directiva

12
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Se debe crear una directiva de grupo para impedir que los usuarios accedan al panel
de control para que así no pueda modificar la configuración de la máquina ni que
pueda cambiar el fondo de pantalla.

Habilitamos "Auditar la administración de cuentas" en intentos "Correcto" y "Error".

Si también queremos que se realice auditoría de la administración de cuentas locales

en cualquier equipo unido al dominio, que no sean cuentas Active Directory.
Debemos aplicar esta política a nivel de dominio dentro de la plantilla "Default
Domain Policy".

Los ID de eventos que nos interesan para este caso son sobre la creación de nuevas
cuentas de usuarios de Active Directory.

ID de evento 4720: Se creó una cuenta de usuario.

ID de evento 4722: Se habilitó una cuenta de usuario.

ID de evento 4724: Se intentó restablecer la contraseña de una cuenta.

ID de evento 4738: Se cambió una cuenta de usuario.

En el visor de eventos (eventvwr.msc) de un controlador de dominio, registros de

© Universidad Internacional de La Rioja (UNIR)
Windows > Seguridad.

13
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Creamos un filtro por los ID que nos interesen, separado por comas si queremos
buscar más de un número de ID distinto.

En la siguiente captura se puede ver un ejemplo de un ID 4722, como se habilitó una

nueva cuenta en Active Directory, más arriba tendríamos el ID 4720 donde se creó
dicha cuenta.

© Universidad Internacional de La Rioja (UNIR)

Creación de Política

14
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Se debe establecer una política de contraseñas que establezca un histórico de 10

contraseñas y una longitud mínima de 10 caracteres.

debemos de ingresar a Server Manager → Tools → Active Directory Administrative

Center. Terminado el procedimiento, se deberá de realizar los siguientes pasos: clic
en sso (local) → System → Password Settings Container.

En el panel Tareas, haga clic en New y luego en Configuración de contraseña.se

completan y editan los campos dentro de la página de propiedades para crear un
nuevo objeto de Configuración de contraseña. Los campos Nombre y Precedencia
son necesarios.

© Universidad Internacional de La Rioja (UNIR)

Ingresar equipo al dominio

Se nos solicita unir una máquina al dominio para posteriormente realizas las
configuraciones de AppLoker y Firewall, para el desarrollo de esta práctica es

15
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

importante mencionar que utilizamos un servicio de AWS por lo tanto

configuraremos el servidor cliente al servidor de dominio (AWS no cuenta con
Windows 10, 8 o 7 para desplegar)

Para ello nos dirigiremos a propiedades del sistema y en el apartado “Change

Settings” iniciaremos con la configuración.

En el apartado de configuración seleccionaremos la opción “Change” para abrir el

formulario que nos permitirá unir el equipo a nuestro dominio.

© Universidad Internacional de La Rioja (UNIR)

En el apartado “Member of” agregaremos el nombre de nuestro dominio con el
prefijo “.com” pulsaremos en ok y el sistema nos solicitará que reiniciemos el equipo
para completar la configuración.

16
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

AppLoker
Por último, se nos solicita que en la máquina local que ha sido unida al dominio
configuremos de forma local:

▸ Las siguientes reglas de AppLocker:

o Habilitar la colección de reglas DLL.
o En reglas de ejecutables permitir todos los ejecutables de la carpeta Windows
y en la carpeta Archivos de Programa.
o El ejecutable Dism.exe de la carpeta System32 debe ser deshabilitado como
una excepción a la regla anterior.

© Universidad Internacional de La Rioja (UNIR)

Para para habilitar las colecciones de reglas DLL en AppLocker de clic en ejecutar e
ingrese el comando gpedit.msc, navegue hasta el apartado de AppLoker.

17
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

En el apartado de AppLoker seleccione habilitar la colección de reglas DLL

En reglas de ejecutables vamos a permitir todos los ejecutables de la carpeta

Windows y en la carpeta Archivos de Programa.

© Universidad Internacional de La Rioja (UNIR)

Lo siguiente a realizar consiste en establecer el path que permitiremos ejecutar en la

regla que estamos generando.

18
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

En el apartado de excepciones añadiremos a Dism.exe para efectuar los requisitos de

la regla.

© Universidad Internacional de La Rioja (UNIR)

El siguiente paso consta de asignar un nombre y una descripción a la regla que se ha

desarrollado previamente.

19
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

El siguiente paso consiste en crear una nueva regla para permitir todos los
ejecutables de la carpeta Windows y en la carpeta Archivos de Programa.

Seleccionamos la carpeta archivos de programa

© Universidad Internacional de La Rioja (UNIR)

Finalmente asignamos el nombre a la regla que acabamos de crear, en el monitor de

reglas podemos consultar las dos reglas que creamos durante este proceso.

20
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Firewall
Se nos indica que en el equipo se va a desplegar una aplicación que va a recibir
conexiones al puerto 1904 de TCP desde la IP local 10.10.2.104, que permitamos
dichas conexiones en el firewall de esa máquina en una conexión privada y de
dominio. El resto de las conexiones entrantes deben estar prohibidas.

Para crear la regla del firewall es necesario ingresar a la configuración y en el

segmento reglas de entrada seleccionar “New Rule”

© Universidad Internacional de La Rioja (UNIR)

Posteriormente especificaremos el protocolo TCP y el puerto 1904

21
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

El siguiente paso consiste en establecer dichas conexiones en el firewall de esa

máquina en una conexión privada y de dominio

En el monitor de reglas de firewall podemos observar que nuestra regla se encuentra

desplegada e implementada correctamente.

© Universidad Internacional de La Rioja (UNIR)

22
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Tabla de Actividades
Indica en la actividad el nombre de todos los componentes del equipo y
cumplimenta la siguiente tabla de valoración individual:

Alejandro Hernández Peña Sí No A veces

Todos los miembros se han integrado al trabajo del grupo X
Todos los miembros participan activamente X
Todos los miembros respetan otras ideas aportadas X
Todos los miembros participan en la elaboración del informe X
Me he preocupado por realizar un trabajo cooperativo con mis
X
compañeros
Señala si consideras que algún aspecto del trabajo en grupo no ha sido
X
adecuado

© Universidad Internacional de La Rioja (UNIR)

Rúbrica

23
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en Sistemas Apellidos: Hernández Peña
6 diciembre 2021
Operativos Nombre: Alejandro

Puntuación
Título de la Peso
Descripción máxima
actividad %
(puntos)

Criterio 1 Script 1,5 15%

Criterio 2 Creación de grupos 1,5 15%

Criterio 3 Carpeta compartida 2 20%

Directiva de grupo de panel de control y

Criterio 4 2 20%
fondo de pantalla

Criterio 5 Política de contraseñas 2 20%

Criterio 6 Memoria 1 10%

10 100
%

© Universidad Internacional de La Rioja (UNIR)

24
Actividades