Tema 1

Sistemas Windows
[1.1] ¿Cómo estudiar este tema?
[1.2] Windows 7
[1.3] Windows 8
[1.4] Windows 10
[1.5] Windows Server
[1.6] Windows Server 2008
[1.8] Windows Server 2012, auditoria

1
TEMA
Seguridad en Sistemas Operativos
Esquema
TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR)

Ideas clave
1.1. ¿Cómo estudiar este tema?
Para estudiar este tema, lee las ideas clave. Además, deberás estudiar las siguientes
páginas del manual Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia
del hacker (pp. 461-469). Madrid: Anaya.
Disponible en el aula virtual en virtud del artículo 32.4 de la Ley de Propiedad
Intelectual
En este tema vamos a analizar la seguridad de los sistemas operativos Windows, tanto
los sistemas personales como Windows 7, Windows 8 y Windows 10, como los sistemas
servidor Windows Server 2008, Windows Server 2012 y Windows Server 2016.
Comenzaremos viendo Windows 7. En este sistema operativo podemos encontrar

funcionalidades de seguridad como:
» User Access Control (UAC).
» Windows Biometric Framework (WBF).
» BitLocker.
» AppLocker.
» Firewall de Windows.
» Direct Access.
Después nos centraremos en Windows 8, en concreto en la versión 8.1. De nuevo

veremos las utilidades de seguridad que tiene incluidas:
» Microsoft Defender.
» Generación de contraseñas mediante imágenes.
» Secure Boot.
» Navegación segura y SmartScreen.
» Enhanced Mitigation Experience Toolkit (EMET).
» Interfaz METRO con Sandbox.
También se verán las novedades del sistema Windows 10 presentado en 2015 frente a
este anterior.
TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

En el capítulo siguiente comenzaremos a ver Windows Server, con una pequeña

introducción de conceptos y con unas pequeñas tablas que nos compararán los dos
sistemas servidor más actuales (Windows Server 2008 y Windows Server 2012), tanto
sus características como sus mejoras de seguridad.
A continuación, veremos uno a uno ambos sistemas. En primer lugar, Windows Server
2008, con una pequeña introducción a sus características destacadas de seguridad. En
segundo término, Windows Server 2012, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así como una explicación y recomendaciones
para configurar todas estas utilidades. Algunas de ellas son:
» Directorio activo.
» Directivas de seguridad local.
» Creación de usuarios y políticas de seguridad.
» Copias de seguridad.
Finalmente veremos el proceso de auditoría de un Windows Server 2012 por parte de

un administrador. Esta consistirá en registrar todas las acciones realizadas en el
sistema operativo, y su posterior análisis para observar y comprobar que todo lo que
sucede en el equipo se mantiene con base en las políticas diseñadas por la empresa y los
administradores de seguridad.
1.2. Windows 7
En cuanto a la seguridad de Windows 7, podemos ver incorporadas una serie de

herramientas para mejorar la seguridad que tenemos en los Sistemas Operativos
Windows.
Control de acceso de usuarios (User Access Control - UAC): fue una característica
añadida en Windows vista, cuya finalidad es la de proteger el sistema operativo frente a
posibles cambios cuando el usuario tiene permisos de administración, y que solicita
confirmación al usuario cuando se realiza una instalación o hay modificaciones en los
parámetros del sistema.

Aunque siempre conviene tener dos usuarios, uno que sea el administrador (con todos
los permisos) y otro que sea un usuario llano con los permisos mínimos, en Windows
históricamente todos los usuarios eran administradores del equipo, por lo que
cualquier aplicación que ejecutaban los usuarios podía acceder a cualquier recurso del
sistema y realizar cualquier cambio. Gracias a UAC, las cuentas con permiso de
administrador tienen dos tokens (que es la forma en la que se gestionan los permisos de
los usuarios en Windows): uno de administrador y otro de usuario regular, de forma
que por defecto todas las aplicaciones que ejecuta el usuario utilizan el token sin
permisos, y solo las aplicaciones que lo soliciten explícitamente pueden obtener el
token con permisos de administrador, pero para ello se solicita permiso explícito. De
este modo un usuario administrador puede ejecutar aplicaciones de usuario sin peligro
a comprometer todo su sistema.
Las notificaciones al usuario tienen un código de colores, que intenta representar la

confianza en la aplicación que solicita los permisos de administrador. De forma que las
aplicaciones bloqueadas aparecen en color rojo y no permiten su ejecución, las
aplicaciones sin firmar a aparecen en color amarillo, y las aplicaciones firmadas por un
editor de confianza aparecen en azul. Adicionalmente, las aplicaciones firmadas por
Microsoft tienen un logo azul y dorado.
Figura 1: Notificaciones del control de acceso a usuarios

Un problema de UAC, sobre todo en Windows Vista cuando se introdujo, es que

notificaba constantemente al usuario ante a cualquier cambio que realizase en el
sistema, incluso desde el panel de control del equipo. Ese problema se redujo en
versiones posteriores de Windows, permitiendo al usuario controlar la frecuencia con la
que aparecen las notificaciones de UAC. Podemos acceder a dicha función accediendo a
Panel del control > Cuentas de Usuario > Cambiar la configuración de Control de
cuentas de usuario. Nos aparecerá esta ventana:
Figura 2: Configuración del control de acceso de usuarios.
En esta figura podemos comprobar que en el UAC existen cuatro niveles, en los que
tenemos: el primer nivel, con el que se evitan todas las notificaciones, esta es la
configuración menos deseada desde el punto de vista de seguridad. Los niveles
intermedios notifican la instalación de nuevas aplicaciones, pero no los cambios en la
configuración del equipo (la diferencia entre ellos es el uso del escritorio seguro, para
prevenir que los programas puedan interactuar con el diálogo de UAC, que es el nivel
por defecto). Y por último, el cuarto nivel es el más seguro, puesto que nos notifica
siempre, frente a cualquier cambio en el equipo.
Reproducción automática: otra vulnerabilidad histórica de Windows era la

reproducción automática de medios extraíbles (CD/DVD, USB, etc.), ya que podíamos
ser infectados por un virus almacenado dentro de uno de estos medios extraíbles.

Aunque la reproducción automática está desactivada por defecto en las versiones

modernas de Windows, no está de más comprobar su configuración en Inicio > Panel
de control > Hardware y Sonido > Reproducción automática siguiendo las ilustraciones
siguientes:
1. Panel de control:
Figura 3: Inicio de Windows 7.
2. Ahora vamos a Hardware y sonido:
Figura 4: Panel de control de Windows 7.

3. Ahora podemos configurar las acciones para cada dispositivo:
Figura 5: Reproducción automática.
Política de contraseñas: la forma más común para la autenticación de usuarios es la

utilización de contraseñas. El usuario recuerda un secreto que (en teoría) solo él y el
sistema conocen. Para autentificase en el sistema, el usuario debe proporcionar su
nombre de usuario (identificación) y su contraseña (autenticación). El sistema
comprueba si la contraseña proporcionada por el usuario corresponde a la que tiene
asociada (para ello no es imprescindible almacenar la contraseña tal cual, basta con
almacenar «algo» que permita comprobar si el usuario la conoce), y en ese caso le deja
pasar.
Lamentablemente existe un gran número de ataques a los sistemas de autenticación

basadas en contraseñas, que tienen como objetivo tanto al sistema como a los propios
usuarios.

En particular, los usuarios suelen considerarse el objetivo más fácil y un gran número
de ataques le tienen como objetivo:
» Ataques de diccionario o fuerza bruta: el atacante intenta adivinar la

contraseña del usuario basándose en información pública del usuario, o
simplemente prueba con una lista de contraseñas comunes (o incluso todo el espacio
de contraseñas posibles) hasta dar con la contraseña del usuario.
» Shoulder surfing: ver como el usuario teclea la contraseña o PIN.
» Keyloggers: dispositivo hardware o módulo software que captura todas las
pulsaciones del usuario en el teclado para robar sus contraseñas.
» Ataque de phishing: hacerse pasar por un sitio legítimo para que el usuario
introduzca su contraseña.
» Reutilización de contraseñas: es bastante habitual que los usuarios utilicen la
misma contraseña en varios servicios diferentes, así que, si las contraseñas que
almacenan cualquiera de ellos resultan expuestas (lo que ocurre con una frecuencia
alarmante), los atacantes prueban las credenciales robadas en otros servicios.
Históricamente las medidas de defensa se han centrado en el primer ataque, que es

bastante efectivo porque los usuarios suelen elegir contraseñas muy sencillas (puesto
que tienen que acordarse de las mismas y teclearlas bastantes veces a lo largo del día).
Para prevenir este ataque se suelen definir políticas de contraseñas, que (teóricamente)
obligan al usuario a elegir contraseñas más complejas y cambiarlas periódicamente.
La importancia de la política de contraseñas contra ataques de fuerza bruta radica en

que el espacio de búsqueda de una contraseña depende de los diferentes caracteres
empleados para generarla, y sobre todo de la longitud de la misma. Así, el espacio de
búsqueda de una contraseña generada aleatoriamente de hasta S caracteres,
formada por símbolos de un diccionario con N posibles valores es:
𝑆𝑆
𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾 = � 𝑁𝑁 𝑖𝑖
𝑖𝑖=0
Windows permite definir una política de contraseñas que controle el tipo de caracteres
que se deben emplear en las contraseñas (letras mayúsculas, letras minúsculas,
números y signos de puntuación), su longitud mínima, cada cuántos días deben
cambiarse o prevenir que la nueva contraseña sea igual a las N anteriores. La política
de contraseñas se puede configurar en secpol.msc > Directivas de Cuentas >

Directivas de contraseñas.
Figura 6: Políticas de contraseñas
Adicionalmente, para prevenir los ataques de fuerza bruta online, se puede definir
políticas de bloqueo de contraseñas, para limitar el número de intentos para adivinar la
contraseña bloqueando temporalmente o definitivamente la cuenta del usuario después
de muchos intentos inválidos para acceder a su cuenta. Hay que ser cuidadoso con esta
opción, puesto que puede dar lugar a un ataque de denegación de servicio, puesto que
un atacante puede bloquear adrede las cuentas de los usuarios que conozca.
Sin embargo, estas mitigaciones solo son útiles contra ataques online, cuando el
atacante no tiene ninguna información sobre la contraseña y tiene que recurrir a la
prueba y error sobre el propio sistema de autenticación, y por tanto es posible
detectarlo y pararlo. Sin embargo, si el atacante dispone del hash de la contraseña (que
el sistema utiliza para comprobar si dicha contraseña es correcta o no), puede realizar
un ataque offline que, dado que las funciones hash no son reversibles, también
consiste en realizar un ataque de fuerza bruta y probar con un diccionario de
contraseñas hasta que una coincida con el hash de la misma. Aunque, al ser fácilmente
paralelizable y realizarse localmente, la velocidad a la que se pueden probar
contraseñas es varios ordenes de magnitud mayor. Además, es imposible de detectar,
puesto que no es necesario realizar ninguna interacción con el sistema de autenticación
hasta que finalmente se obtiene la contraseña correcta.

Por esa razón es muy importante que los sistemas de autenticación almacenen los
hashes de las contraseñas de manera segura, y además utilicen algoritmos de hashes
lentos, que reduzcan la velocidad a la que se pueden realizar ataques offline.
Windows almacena las contraseñas en el fichero SAM (security accounts manager),

que solo es accesible por el administrador e incluso así tiene ciertas protecciones extra
para evitar que se pueda acceder o copiar fácilmente, o incluso puede estar cifrado con
una clave local (Syskey), aunque existen numerosas herramientas, como pwdump, que
permiten extraer su contenido, u otras como Mimikatz que incluso permiten obtener
las contraseñas que han sido usadas recientemente en el sistema en texto claro
analizando la memoria del proceso LSASS (local security authority subsystem).
Además, aunque las contraseñas no se almacenan en claro en el fichero SAM, los
algoritmos de hash empleados son bastante débiles.
Por ejemplo, LAN Manager (LM), el formato original para almacenar las
contraseñas en Windows es ridículamente inseguro. Por un lado, las contraseñas se
convierten a mayúsculas antes de probarlas (por lo que da igual si la contraseña
original utiliza letras mayúsculas o minúsculas), pero sobre todo porque, en lugar de
procesar la contraseña completa, se completa con ceros hasta llegar a los catorce
caracteres y se divide en dos partes de siete caracteres que se emplean como una clave
DES para cifrar un valor conocido y se almacenan las dos partes por separado. Por lo
tanto, en lugar de tener que buscar en el espacio de contraseñas de catorce caracteres,
que tiene (24+10+14)^14 posibilidades, basta con atacar a cada parte por separado, lo
que solo implica 2 * (24+10+14)^7 posibilidades, por lo que hoy en día una contraseña
LM es trivial de romper, incluso si se genera de manera aleatoria.
Posteriormente, Microsoft definió un formato mejorado denominado NT LAN

Manager (NTLM), para utilizarlo en un protocolo de desafío-respuesta para
autenticación en red, que solucionaba los errores de diseño de LM. Las letras
minúsculas no se convertían en mayúsculas, y se generaba un hash MD4 sobre la
contraseña completa, en lugar de por partes. Sin embargo, el formato NTLM tiene otros
tres defectos básicos:
» No mezcla las contraseñas con una ‘sal’ (salt) diferente para cada usuario, por lo
que, si dos usuarios tienen la misma contraseña, sus hashes serán iguales (¡incluso si
se han generado en sistemas diferentes!).
» Utiliza una función de hash rápida (MD4), por lo que se pueden realizar un gran
número de intentos por segundo.

» El protocolo NTLM no se basa en la contraseña sino en su hash, por lo que para

autenticarse de manera remota solo hace falta disponer del hash de la misma, ataque
conocido como Pass-the-Hash.
El primer problema ha dado lugar a las denominadas Rainbow Tables, que no son
más que diccionarios precomputados de hashes sin salt que permiten encontrar
rápidamente la contraseña asociada a los mismos. Para reducir su tamaño (debido al
descomunal espacio de búsqueda), no se almacenan los hashes propiamente dichos,
sino que solo se almacenan el primer y el último valor de cadenas de contraseñas
obtenidas a partir del hash (H) de la contraseña anterior, mediante funciones de
reducción (Ri). De este modo, a partir de un hash dado, basta con ir generando las
contrason las funciones de reducción asociadas, hasta que una de ellas coincida con el
final de la cadena. Luego, basta con volver a calcular la cadena de contraseñas y hashes
a partir del primer valor hasta obtener la contraseña buscada.
Figura 7: Generación de una Rainbow Table (solo se almacena la primera y última contraseña de cada
cadena).
Figura 8: Consulta del hash re3xes en una Rainbow Table.

Sin embargo, a día de hoy, la gran amenaza de los ataques offline a los hashes de
contraseñas viene de la utilización de hardware dedicado, con varias GPUs (Graphical
Processing Units), con herramientas como Hashcat, que permiten paralelizar el cálculo
de hashes rápidas a velocidades vertiginosas (del orden de Terahashes por segundo). De
forma que actualmente, el hash NTLM de cualquier contraseña de 8 caracteres o menos
(incluso generada de manera aleatoria) puede romperse en cuestión de decenas de
minutos.
Windows Biometric Framework (WBF): Windows 7 introdujo la capacidad de autenticar

al usuario mediante sensores biométricos, que son periféricos capaces de reconocer
partes de nuestro cuerpo invariables. Estas partes pueden ser huellas dactilares, el iris,
la forma de la cara, las venas en la palma de la mano, etc., aunque Windows 7 solo
permitía el acceso por huellas dactilares. Para poder tener acceso a esta herramienta
nuestro ordenador o portátil tendrá que tener obviamente el hardware para poder
usarlo.
1. Nos vamos al Panel de control > Hardware y sonido:
Figura 9: Panel de control de W7 para WBF.

2. Seguimos los pasos del asistente de configuración:
Figura 10: Configuración del dispositivo de huellas dactilares.
BitLocker: esta herramienta nos permite cifrar los datos de cualquier u n i d a d

d e disco duro evitando accesos indeseados. Además, cuando vamos a guardar
algún archivo en una unidad en la que tenemos el BitLocker activo, dicho archivo es
cifrado automáticamente.
Según el ámbito de aplicación de BitLocker tenemos dos tipos, en función del tipo
de unidad a cifrar:
Cifrado en unidad de sistema: este tipo es con el que ciframos la unidad

principal del sistema. Cuando ciframos la unidad principal automáticamente se
nos crea una partición en dicho disco de 200 MB, en donde se aloja la consola de
recuperación. Dicha partición no aparece en el listado de particiones y no está
cifrada puesto que será la que nos permita acceder y recuperar los archivos que
tengamos en la unidad principal. Para poder recuperar los archivos deberemos
escribir la contraseña de desbloqueo que contiene el archivo de recuperación.
o Dicho archivo de recuperación se crea durante el proceso de cifrado de la unidad
y puede ser almacenado en tres lugares distintos:
o En el propio disco duro.

o En una unidad USB externa.
En un chip criptográfico, incluido en los sistemas más modernos, incluido el llamado

TPM. El TPM, por sus siglas del inglés Trusted Platform Module, contiene una clave
RSA única, grabada en un chip durante el proceso de fabricación.
Cifrado en unidad de datos: la unidad se cifra y se protege su acceso por

contraseña. Durante el asistente de administración de BitLocker nos pedirá dicha
contraseña y también nos ofrecerá la posibilidad de crear un archivo de
recuperación por si la olvidamos. La única diferencia entre el cifrado de la unidad
principal y éste, es que en este caso no se crea la partición con la consola de
recuperación, ya que ésta está disponible en la partición del sistema.
El desbloqueo del sistema se realiza en el arranque del sistema operativo,

mientras que el desbloqueo de disco de datos se realiza mediante la
contraseña o tarjeta inteligente para acceder a la unidad.
BitLocker to Go: es una variante del BitLocker para unidades extraíbles. Es

importante el cifrado de estas unidades ya que debido a su reducido tamaño
pueden ser extraídas fácilmente.
Utilización:
1. Nos vamos al botón de inicio:
Figura 11: Inicio de Windows 7.

2. Hacemos clic en Panel de control:
Figura 12: Ir al panel de control.
3. Vamos a Sistema y Seguridad > Cifrado de unidad BitLocker:
Figura 13: Accedemos a la herramienta BitLocker.
Cuando estemos dentro de BitLocker nos saldrá la imagen siguiente, en la que

tendremos la posibilidad del cifrar la unidad principal o una unidad USB,
siguiendo el asistente de BitLocker de Windows.

Figura 14: Cifrado de BitLocker.
VeraCrypt: es otra herramienta de cifrado como BitLocker. Permite cifrar un

volumen on-the-fly, que consiste en que los datos se cifran automáticamente
justo antes de que se guarden y son descifrados justo después de que sean
cargados, sin ninguna intervención del usuario. VeraCrypt aumenta la seguridad y
corrige los fallos encontrados en su predecesor, TrueCrypt. Este último no es
recomendable, ya que han dejado de dar soporte y corrección a fallos desde principios
de 2014.
BitLocker y VeraCrypt soportan diversos algoritmos de cifrado; como AES,

Serpent, Twofish, etc. y diversos algoritmos hash; como RIMEMD-160, SHA-512,
Whirlpool, etc.
AppLocker: es una herramienta avanzada para el control de ejecución de

aplicaciones y scripts. Para su configuración se puede utilizar en un entorno local,
como aplicada a un grupo de usuarios, conocido como políticas de grupo.
Dicha herramienta es flexible y simple para que los administradores del equipo
especifiquen exactamente qué se puede ejecutar en el entorno de escritorio. Con esta
herramienta podemos:
Prevenir que el software sin licencia pueda ser ejecutado si no está en una lista
blanca de software permitido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no
están en la lista de permitidas y que además puedan contener malware.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consuman
un gran ancho de banda innecesario o que afecten a dicho entorno de escritorio
y que aumenten el costo de soporte y mantenimiento.

Permitir la ejecución de aplicaciones y actualizaciones permitidas por parte de

dichos usuarios y que solo los administradores puedan instalar y ejecutar dichos
programas o actualizaciones.
Para acceder a esta herramienta tenemos que seguir los pasos siguientes:
1. Tenemos que ejecutar gpedit.msc desde inicio de Windows:
Figura 15: Accedemos a gpedit.msc.
2. Nos saldrá la siguiente ventana, y nos dirigimos a AppLocker, como muestra la

siguiente imagen:
Figura 16: Accediendo a AppLocker.

3. Pulsamos sobre cualquier opción del AppLocker y nos dirigimos a Acción >
Crear nueva regla, según la imagen:
Figura 17: Crear una nueva regla.
4. En la ventana siguiente podemos ver las diferentes opciones que nos ofrece
dicha herramienta:
Figura 18: Ventana de configuración.

5. Podemos elegir en la pestaña de Permisos a qué usuario o grupo de ellos queremos

que afecte la regla que vamos a añadir:
Figura 19: Asignando los permisos de la regla.
6. En la pestaña de condiciones podemos establecer las condiciones de dicha regla:
Figura 20: Selección de condiciones.

Como podemos ver en la imagen anterior aparecen tres posibles condiciones:
o Editor: permite o deniega la ejecución según la firma de los programas.
Figura 21: Opción Editor.
o Ruta de Acceso: permite o deniega según la ruta de acceso al programa.
Figura 22: Según la ruta de acceso.

o Hash de archivo: se utiliza normalmente para las aplicaciones que no

van firmadas. Al seleccionar dicha opción, el equipo genera un hash según el
contenido de la misma, d e f o r m a q u e si el fichero cambia o sufre alguna
modificación (virus, versión no original…) el equipo no aplica la regla que se ha
establecido.
Figura 23: Creación del Hash de archivo.
Firewall de Windows: protege al sistema de ser accedido desde el exterior,

indicando el tipo de tráfico permitido. Podemos configurar el firewall de Windows de
dos formas distintas. La primera es con una interfaz básica, la segunda es una
interfaz más avanzada.
Interfaz básica: es la que ha sufrido más cambios a lo largo de su existencia.

La mejora más destacada es la posibilidad de gestionar los distintos perfiles de
red de forma sencilla. Esto es, cuando nos conectamos a una red podemos elegir
entre tres tipos de perfiles:
o Perfil de dominio: es un conjunto de reglas que son aplicadas cuando el

equipo se encuentra dentro de un dominio corporativo. Las reglas que
gestionan este perfil son las establecidas desde el servidor de dominio y su
seguridad está establecida según el administrador del dominio en el que se
encuentre.

o Perfil privado: se aplica cuando el ordenador está dentro de una red

privada, como pueden ser las redes domésticas o las de trabajo. El
comportamiento de la misma suele ser bastante permisivo ya que la red se
puede considerar «segura».
o Perfil público: este perfil se recomienda usar en ambientes poco seguros

como pueden ser las redes públicas (cafeterías, hoteles…). Dado que se utiliza
en dichos ámbitos, las reglas que se usan suelen ser muy restrictivas.
Figura 24: Interfaz básica del Firewall de Windows.
Interfaz avanzada: esta nos permite editar las opciones que nos brinda el
Firewall de Windows, en ella podemos modificar y aplicar restricciones por usuario,
por grupo, por interfaz de red, y especificar las comunicaciones que se desean
permitir o filtrar, tanto en sentido entrante como en sentido saliente.

Para acceder a dicha interfaz tenemos que dirigirnos a Configuración Avanzada:
Figura 25: Interfaz avanzada.
Donde nos aparecerá la ventana siguiente:
Figura 26: Configuración avanzada.

DirectAccess: esta tecnología permite crear conexiones remotas utilizando una red
privada virtual (VPN – virtual private network) cifrada usando IPsec entre los
equipos que estén conectados en una misma red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de forma
transparente y segura. También podemos acceder a entornos que no estén conectados a
la misma red, en lo que se introducen mejoras en la seguridad al permitir la gestión de
dichos equipos con el fin de mantenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.
La principal ventaja de DirectAccess frente a otras soluciones de VPN es que, al estar

integrado en el sistema operativo, el túnel se forma sin necesidad de que el usuario
establezca la conexión, y se reconecta automáticamente en caso de ser necesario.
Además, como otras soluciones VPN, tiene soporte NAP (network access protection)
para comprobar el estado de parcheado y estado del antivirus antes de permitir a un
equipo conectarse a la red corporativa.
Podemos acceder a esta funcionalidad dirigiéndonos de nuevo a gpedit, como hemos

hecho anteriormente (Ejecutar > gpedit.msc en el botón de inicio), en el cual tenemos
que ir a la pestaña de Directiva de resolución de nombres, tal y como se muestra en la
siguiente imagen:
Figura 27: Configuración de Direct Access.

PowerShell: es una consola de comandos que viene por defecto en Windows, a

partir de Windows Vista. Esta consola está diseñada para la administración
avanzada del sistema, pues es mucho más potente que la consola por defecto
(cmd). PowerShell es muy extensible, puesto que permite definir nuevos comandos,
denominados cmlets, o incluso extensiones para interactuar con diferentes recursos.
De este modo nos permite interactuar tanto con el sistema operativo, como con
servidores de Microsoft como Internet Information Services (IIS), SQL Server o
Exchange, y además permite la ejecución de scripts para automatizar tareas. De
hecho, los comandos de PowerShell están más enfocados a la creación de scripts que a
su utilización de forma interactiva.
Para ejecutar una consola PowerShell (o para abrir el editor de scripts PowerShell ISE):
Figura 28: Abrir la PowerShell.
Algunos de sus comandos más interesantes son:

Get-command: obtiene información sobre cmdlets.
Get-help: ayuda sobre otros cmdlets.
Get-ChildItem: Muestra todos los archivos y subdirectorios del directorio actual.
Get-Content: muestra el contenido de un fichero.
Add-content: añade contenido a un fichero.
Copy-item: copiar ficheros.
Get-acl: muestra permisos sobre ficheros o directorios.
Get-process: muestra información sobre los procesos.

Get-service: muestra información sobre los servicios.

Get-wmiobject: recopila información de los equipos, locales o incluso remotos.
Get-eventlog: trabaja con logs.
Para incentivar la adopción de PoweShell por los administradores de sistemas, además

se definen varios alias, típicos de versiones anteriores de la consola, o incluso de
sistemas operativos Unix. Por ejemplo, gci, dir o ls son alias del comando Get-
ChildItem, mientras que cpi, copy y cp son alias del comando Copy-item.
Mediante los scripts, que suelen tener la extensión .ps1, esta herramienta no solo se
puede utilizar para la administración del sistema, sino que también se puede utilizar
para comprometerlo.
Estos scripts obviamente se pueden ejecutar escribiendo las funciones y variables

directamente en la terminal, pero para scripts automatizados, hay ciertas restricciones
para evitar su ejecución de forma local o remota por parte de otras aplicaciones o
procesos, que son las políticas de ejecución:
Restricted: valor por defecto configurado en PowerShell. No permite la ejecución

de ningún script de PowerShell.
Unrestricted: es el valor contrario al anterior, permite ejecutar cualquier script
a través del proceso de PowerShell.
Signed: con este valor, solo se ejecutarán los scripts que se encuentren firmados
por una entidad reconocida en el equipo.
RemoteSigned: con ese valor se podrán ejecutar los scripts que estén escritos
o implementados en el propio equipo. Sin embargo, los scripts obtenidos de
ubicaciones remotas solo se podrán ejecutar si se encuentran firmados.
Para conocer qué política de ejecución está implementada en nuestra máquina

usaremos el comando:
Get-ExecutionPolicy
Para cambiar la política de ejecución, solo si tenemos permisos, usaremos:

Set-ExecutionPolicy <nombre_de_la_política>

Figura 29: Consulta e intento de modificar la política de ejecución (no hay permisos sobre el registro).
Se aconseja dejarlo en Restricted (por defecto).
Pese a estas protecciones, hay múltiples formas para saltarse estas políticas y
ejecutar scripts en una PowerShell, el bypass más sencillo por ejemplo será copiar
y pegar el código del script en la terminal. Por ello, si el atacante tiene acceso directo
a la máquina no se puede hacer mucho para evitar un ataque. Es aconsejable el uso
de contraseñas de inicio de sesión, bloqueo de aplicaciones con un segundo factor de
autenticación, etc.
Para más información sobre ataques con PowerShell:
Curso de Windows Server 2012 – Introducción a Power Shell:

http://www.youtube.com/watch?v=b_PXPT2cAnU
Windows Power Shell – What are The Top 10 Cmdlets:
http://www.youtube.com/watch?v=UZ1M-aAFNFw
Hacking Windows Accounts with PowerShell:
http://www.youtube.com/watch?v=XpHgSHQZNpU
https://www.elladodelmal.com/2015/04/psbot-dame-powershell-y-movere-el-
%20%20mundo.html
Registro de Windows: es una base de datos jerárquica donde se almacenan todos los
ajustes de configuración de los sistemas operativos Windows. Está organizado en varias
ramas, donde se puede acceder a diferentes aspectos de la configuración del sistema
operativo:
HKEY_CLASSES_ROOT (HKCR): contiene una lista de extensiones de
distintos tipos de archivos. En cada una se define qué aplicación debe abrirlos por
defecto.

HKEY_CURRENT_USER (HKCU): incluye todas las configuraciones del

usuario que está usando Windows en ese momento (cuenta activa).
HKEY_LOCAL_MACHINE (HKLM): engloba las configuraciones de software,
hardware, aspecto, etc. de todas las cuentas de usuario que pueda haber en el PC (la
activa y otras).
HKEY_USERS (HKU): alberga los datos sobre perfiles de usuario distintos al que
esté actualmente activo en Windows.
HKEY_CURRENT_CONFIG (HKCC). Reservada para información sobre el
perfil de hardware del equipo.
Dentro de esas ramas se pueden encontrar a su vez subcarpetas que agrupan las
diferentes opciones, que se representan como pares <Nombre, Valor>. Los valores
tienen un tipo asociado, como REG_BINARY para datos binarios, REG_SZ para
cadenas de texto, REG_MULTI_SZ para listas de cadenas de texto terminadas,
REG_DWORD o REG_QWORD para valores numéricos de 32 o 64 bits, etc.
El registro de Windows es muy importante desde el punto de vista de seguridad porque

permite controlar qué programas se arrancan automáticamente y con qué prioridad
cuando se inicia el sistema (HKLM\ Software\ Microsoft\ Windows\ CurrentVersion\
Run) o cuando el usuario inicia sesión (HKCU\ Software\ Microsoft\ Windows\
CurrentVersion\ Run), identificar las aplicaciones instaladas y sus configuraciones,
identificar a los usuarios locales y sus configuraciones personales, etc. por lo que un
gran número de familias de malware lo utilizan para conseguir persistencia o analizar
el sistema infectado.
La herramienta estándar para visualizar y editar el registro de Windows se denomina

regedit.exe:
Figura 30: La herramienta regedit.exe para gestionar el Registro de Windows.

1.3. Windows 8
Windows 8.1 ofrece una serie de mejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:
Microsoft Defender
En la actualidad existen gran variedad de antivirus, cuya función es detectar en

tiempo real el malware para minimizar los daños que pueda sufrir el sistema. Los
antivirus pueden ser de varios tipos en función de su comportamiento: antivirus con
banco de firmas de virus, antivirus de prueba de integridad, antivirus con análisis
de comportamiento, antivirus filtrante, polimorfismos y los anti-antivirus.
Históricamente era necesario instalarlos como un programa aparte del sistema
operativo, hasta Windows 8.
Microsoft Defender es un software antispyware que está incluido en esta versión

de Windows y que se ejecuta automáticamente. Al usar este tipo de software puedes
proteger a tu equipo contra el spyware y al software potencialmente indeseado. El
spyware puede ser instalado en el ordenador que estamos usando sin nuestro
conocimiento en cualquier momento en el que nos conectamos a internet, o puede
infectar nuestro equipo al instalar algunos programas utilizando un CD, DVD u otro
medio extraíble. El spyware también puede ser programado para funcionar en
momentos inesperados, y no solo cuando está instalado en nuestro ordenador.
Windows Defender ofrece dos maneras de evitar que el spyware infecte el equipo:
Protección en tiempo real. Windows Defender le alerta cuando el spyware

intenta instalarse o ejecutarse en el equipo. También le avisa cuando los
programas intentan cambiar configuraciones importantes de Windows.
Escaneado activo. Puedes usar Windows Defender para buscar spyware que
podría ser instalado en tu ordenador, para programar los análisis de forma regular,
y para eliminar automáticamente cualquier cosa que se detecte durante un examen.
Cuando se utiliza Windows Defender, es importante tener actualizada la base de datos

de las definiciones. Las definiciones son archivos que actúan como una enciclopedia cada

vez mayor de amenazas de software potenciales. Windows Defender utiliza definiciones

para alertar de los riesgos potenciales si determina que el software detectado es spyware
u otro software potencialmente no deseado. Para ayudar a mantener sus definiciones al
día, Windows Defender funciona con Windows Update para instalar automáticamente
nuevas definiciones. También se puede configurar Windows Defender para comprobar
en línea las definiciones actualizadas antes de escanear.
Para acceder y configurar el Microsoft Defender tenemos que seguir los pasos siguientes:
1. Pulsamos sobre el icono de inicio de Windows 8.1:
Figura 31: Inicio de Windows.
2. Pulsamos sobre la lupa y escribimos defender:
Figura 32: Buscamos el Microsoft Defender.

3. Nos aparecerá la ventana principal de Microsoft Defender:
Figura 33: Ventana principal Microsoft Defender.
Una vez accedido a la ventana principal de Microsoft Defender podemos navegar por
las pestañas para configurarlo a nuestro gusto.
Protección de arranque (BIOS), Secure Boot (UEFI)
Otra de las funcionalidades añadidas en esta nueva versión es el denominado

arranque seguro. Podemos definir este arranque seguro como un estándar de
seguridad desarrollado por los miembros del sector de equipos de la computación,
el cual está destinado a garantizar que los equipos arranquen usando solamente el
software que sea de confianza para el fabricante o dueño del equipo. Cuando
arrancamos el equipo, el firmware comprueba la firma de cada fragmento de software
de arranque, entre los que destacan los controladores de firmware y el sistema
operativo. En el caso de que las firmas sean de confianza el equipo arranca y el
firmware transfiere el control al sistema operativo.
Esta es la secuencia de arranque:

Una vez encendido el equipo, cada una de las bases de datos de firmas se comprueba
con la PK.
Si no se confía en el software, el firmware UEFI debe iniciar la recuperación específica

del OEM para restaurar el software de confianza.

Si se produce un problema en la Administración de arranque de Windows, el firmware
trata de arrancar una copia de seguridad de esta aplicación. Si también se produce
un error al hacerlo, el firmware debe iniciar la corrección específica del OEM.
Una vez que la Administración de arranque de Windows se encuentra en ejecución, si
se produce un problema con los controladores o el kernel de NTOS, se carga el
Entorno de recuperación de Windows (Windows RE) para que se puedan recuperar
estos controladores o la imagen de kernel.
Windows carga el software antimalware.
Windows carga otros controladores de kernel e inicializa los procesos de modo
usuario.
Navegación segura con Internet Explorer 10
Para acceder a la navegación segura de IE10 tenemos que ir a Icono de Herramientas

-> Seguridad -> Exploración inPrivate; así se nos abrirá una nueva ventana donde
podremos navegar en modo privado.
Figura 34: Menú navegación privada IE10.
El objetivo de la navegación segura es minimizar los rastros de navegación en sitios

web diversos (no enviando cookies previas) y no dejar rastro en la propia
máquina (en el historial, en forma de cookies o en la memoria caché).
SmartScreen

En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se
basa en el filtro de SmartScreen de Internet Explorer. Es un filtro de phishing y de
malware, implementado en varios productos de Microsoft, incluyendo Internet
Explorer 8, Hotmail... El sistema está diseñado para ayudar a proteger a los usuarios
contra ataques que utilizan la ingeniería social y las descargas alternativas para
infectar un sistema mediante el escaneo de las URL a las que accede un usuario
utilizando una lista negra de sitios web que contienen amenazas conocidas.
Para acceder a esta capa de seguridad:

Accedemos al panel de control de Windows 8.1.
Vamos a Sistema y seguridad.
Pulsamos sobre Centro de actividades.
Vamos a la parte izquierda y pulsamos sobre Cambiar la configuración de Windows
SmartScreen.
Figura 35: Accedemos a SmartScreen
Protección infantil
En Windows 8.1 se ha mejorado la protección infantil, en la que puedes crear cuentas

para tus hijos y activar la supervisión de protección infantil. También podemos
establecer límites y permisos que quieras aplicar a esas cuentas, además de tener

informes de la actividad que ha habido en esa cuenta. La protección infantil te permite

saber qué sitios web han visitado tus hijos y qué aplicaciones y juegos han usado.
También puedes elegir bloquear o permitir sitios web específicos u otro contenido, e
incluso limitar el tiempo que pasan en un equipo.
Una vez creado el usuario de prueba, accedemos al panel de control y pulsamos sobre
Configurar protección infantil y se nos abrirá la ventana de configuración de la cuenta
Figura 36: Panel de configuración para protección infantil.
Generación de nuevas contraseñas mediante imágenes
En esta nueva versión de Windows, Microsoft ha querido introducir un nuevo método

de autenticación en el Sistema, el cual está basado en patrones sobre imágenes.

Figura 37: Generación de contraseñas a través de imágenes.
Una opción de autenticación similar fue introducida en Android, con el desbloqueo

mediante patrones que, sin embargo, presenta un sistema de autenticación bastante
limitado. En esta ocasión Microsoft explora la novedad de añadir estos patrones a una
fotografía, de modo que las probabilidades que existen en la combinación de los
mismos aumenten exponencialmente.
Si además permitimos los «multigestos», es decir concatenar diferentes gestos para

crear una única contraseña, las combinaciones posibles se disparan incluso para una
cantidad de «gestos» relativamente bajos.
Para acceder a esta herramienta en Windows 8.1 tenemos que seguir los pasos:
Panel de control.
Cuentas de usuario y protección infantil.
Cuentas de usuario.
Seleccionamos nuestra cuenta y le damos a Realizar cambios en mi cuenta en
Configuración, tal y como se muestra en la imagen:
Figura 33: Realizar los cambios en la cuenta.

Nos saldrá una ventana tal que así:
Figura 34: Accedemos a Contraseña de imagen.
Una vez accedamos, seguiremos las instrucciones que nos pide el asistente.
Seguridad en las aplicaciones
Se han implementado nuevas medidas para evitar que un fallo en una aplicación haga
que se expanda al sistema operativo, y se han mejorado diferentes mecanismos para
prevenir la ejecución maliciosa de código:
Interfaz METRO que incluye una sandbox para ejecución segura de aplicaciones.
En Windows 8.1 veremos que ha cambiado el icono de inicio con respecto a su
antecesor, este incorpora un nuevo diseño, conocido como METRO o Modern UI.
Este está formado por pequeños mosaicos cuadrados y rectangulares que
representan programas, podemos decir que es la pantalla principal de Windows 8.1.

Podemos ver un ejemplo de este diseño en la siguiente imagen:
Figura 38: Interfaz metro de Windows 8.1.
En cuanto a la nueva característica, la sandbox es un programa diseñado para el

sistema operativo Windows para proteger el equipo contra cualquier programa
malicioso y evitar que se realicen cambios en los archivos del sistema. La aplicación
permite al usuario ejecutar programas como el navegador, PDF, Word, Excel o
cualquier otra aplicación en un entorno sandbox.
Mejora en el sistema ASLR (address space layout randomization) y DEP (data

execution prevention), protección de acceso y ejecución de procesos no autorizados.
En cuanto a la primera característica que trataremos en este punto, ASLR, es un

tipo de técnica para evitar la fase de explotación del sistema una vez que el atacante
consigue código ejecutable. Con el fin de evitar que un atacante salte de forma fiable
a una función particular, abrir una línea de comandos por ejemplo, ASLR organiza
aleatoriamente las posiciones de las áreas de datos clave de un programa,
incluyendo la dirección de inicio de los ejecutables, las direcciones de la pila, las
direcciones de las bibliotecas…
En cuanto a la segunda característica, la Prevención de ejecución de datos

(DEP) es una característica de seguridad incluida en este sistema operativo. Marca
áreas de la memoria como «ejecutable» o «no ejecutable», y permite que solo los

datos en un área «ejecutable» puedan ser ejecutados por los programas, servicios,
controladores de dispositivos, etc.
DEP protege contra algunos errores de programación y ayuda a prevenir ciertas

acciones maliciosas, especialmente los ataques que almacenan instrucciones
ejecutables en un área de datos a través de un desbordamiento de buffer. No protege
contra ataques que no se basan en la ejecución de instrucciones en el área de datos.
DEP funciona en dos modos:

o DEP forzada por hardware, para CPUs que pueden marcar las páginas de
memoria como ejecutable y no ejecutable.
o DEP forzada por software, no protege contra la ejecución de código en las
páginas de datos, pero protege que se sobrescriban los manejadores de
excepciones SEH, otro tipo de ataque.
Mejoras en el Administrador de Tareas
El administrador de tareas es una herramienta que se encarga de actuar como gestor de

procesos, servicios, aplicaciones y de monitor del sistema. También permite establecer
prioridades, controlar las aplicaciones que inician con Windows y reiniciar o detener
programas.
Podemos acceder a esta herramienta pulsando Control + Alt + Supr o Control +

Mays + Esc:
Figura 39: Interfaz administrador de tareas.

El Administrador de tareas, como vemos, ha sufrido un cambio en cuanto al diseño

visual, también podemos navegar entre las diferentes pestañas que vemos en la parte
superior del mismo.
1.4. Windows 10
Windows 10 apareció en 2015 con ciertas diferencias respecto a Windows 8.1, las más
destacadas fueron el menú de inicio, el asistente de voz y el nuevo navegador.
Con respecto a la seguridad podemos destacar:
Privacidad
Una de las principales novedades de Windows 10 es el asistente de voz Cortana, pero su

uso solo está permitido a cambio de compartir cierta cantidad de información personal
con Microsoft.

Figura 40: Privacidad de Cortana.
En Windows 10 hay una serie de opciones y configuraciones que por defecto comparten
dicha información, vulnerando en parte la privacidad del usuario.
Es importante estar concienciado de dichas opciones en los diferentes menús de

configuración, algunas pueden ser la localización o el historial de navegación, y
desactivar aquellas que no sean oportunas.

Figura 41: Opciones de privacidad generales.
Microsoft Edge
Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros SmartScreen, pero además tiene ciertas mejoras de seguridad
con respecto a su antecesor.
En primer lugar, ha eliminado el soporte a ActiveX, VBScript, BHO (browser helper

objects) y VML (vector markup language), todos ellos obsoletos pero que aún eran
vectores de ataque para Internet Explorer.
Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero además posee
una nueva característica llamada Control Flow Guard (CFG). CFG permite a los
programas combatir las vulnerabilidades de corrupción de memoria, como los
desbordamientos de buffer o del heap. Para ello realiza una comprobación antes de
saltar a las diferentes direcciones de memoria, y dependiendo de si tiene permiso o no
para saltar a ella, continuará su ejecución o no. Esta característica hace más difícil la
creación de exploits y es un complemento más al ASLR visto anteriormente, a DEP o a
las Stack Canaries.

Mejoras de cifrado
Windows 10 incluye varios mecanismos para facilitar el cifrado de discos o de archivos.

En primer lugar, para el cifrado de discos, solo será necesario hacer clic derecho en el
disco que queramos cifrar (dentro del explorador de archivos) y seleccionar «Activar
BitLocker».
Figura 42: Opción de activar BitLocker en un disco.
El segundo mecanismo es para cifrar archivos y carpetas. Si hacemos clic derecho en

una carpeta o archivo y seleccionamos opciones avanzadas nos da la opción de cifrar el
contenido.
Figura 43: Opciones avanzadas de una carpeta.

En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o también
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la
opción de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.
Figura 44: Opción de cifrado para una carpeta.
Mejoras en Windows Defender
El antivirus por defecto en Windows, Windows Defender también ha incluido alguna

mejora con respecto a Windows 8.1. Podemos destacar la mejora de búsqueda y
reconocimiento de bootkits y rootkits para Windows 10 y el análisis de archivos rápido.
Para esta segunda característica es posible hacer clic derecho en un archivo y

seleccionar la opción de “Digitalizar con Windows Defender”.
Figura 45: Opción de analizar el archivo con Windows Defender.

1.5. Windows Server
Para estudiar este punto con más detalle, se deberá leer las páginas del manual Jimeno,
M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del hacker (pp. 461-469). Madrid:
Anaya.
Es la solución de Software de Microsoft más extendida de los Sistemas Operativos de

tipo Servidor. Esta distribución ofrece diferentes tipos de servicios:
Controlador de dominio.
Servidor de DHCP.
Servidor de DNS.
Servidor de archivos, impresión, Terminal Server (Remote Desktop Protocol).
Servidor de correo (MS Exchange).
Servidor web (Internet Information Services - IIS)
Servidor de WINS.
Cabe destacar que, a día de hoy, existen diferentes versiones de Windows Server
soportadas por Microsoft:
Windows Server 2008 (última versión: R2).
Windows Server 2012 (última versión: R2).
Windows Server 2016.
Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitemos:
Standard.
Datacenter o Web.
Nanoserver.
Enterprise.
Las características fundamentales de Windows Server son:
Active Directory: es la característica más importante de cualquier Windows

Server, permite que las funciones de red de Windows funcionen en la red, además de
autenticar usuarios, almacenar sus respectivas preferencias de aplicaciones, recursos
y sistemas vitales (una gran base de datos con toda la información del sistema).

También actúa como un controlador de los recursos del dominio (Domain

Controller).
o Se guarda la información en objetos (contenedor o no contenedor).

o Cada objeto tiene asignado un valor de 128 bits GUID y estos se guardan en el
directorio activo en el árbol de información de directorio (DIT).
o Está basado en una serie de estándares establecidos por la unión internacional
de comunicaciones (UIT) llamados x.500. El protocolo LDAP se creó como una
versión ligera para sustituir a la x.500, este es un protocolo de acceso estándar
que permite la consulta de información contenida en el directorio. Cabe añadir
que existe también ADSI (Active Directory Service Interfaces), que no es más
que un conjunto de herramientas ofrecidas por Microsoft que tienen una
interfaz orientada a objetos y que permiten el acceso a características de Active
Directory Domain Services, las cuales no están soportadas por el protocolo
LDAP.
Su estructura lógica es la siguiente:
o Objeto: se utiliza como nombre genérico para referirnos a cualquiera de los

componentes que forman parte del directorio, como una impresora o una
carpeta compartida, pero también un usuario, un grupo, etc.
o Unidad organizativa: es un contenedor de objetos que permite organizarlos
en diversos subconjuntos, dentro del dominio y siguiendo una jerarquía. De esta
forma se pueden establecer estructuras lógicas que representen de forma
adecuada la organización y simplifiquen las labores de administración. Otra
gran ventaja que tiene es que simplifica la delegación de autoridad (sea
completa o parcial) sobre los objetos que contienen, a otros usuarios o grupos.
Este detalle es importante a la hora de facilitar la administración en
infraestructuras con redes de grandes dimensiones.
o Dominios: conjunto de máquinas que comparten una misma base de datos de
Active Directory.
o Árbol de dominio: significa que existen uno o varios dominios asociados.
o Bosque de dominios: significa que existen uno o más árboles.
o Relaciones de confianza: son un método de comunicación seguro entre:
dominios, árboles y bosques. Permiten a los usuarios de un dominio del
Directorio Activo autenticarse en otro dominio del directorio. Existen dos tipos:
unidireccionales y bidireccionales. Además, las relaciones de confianza

pueden ser transitivas. (A confía en B y B confía en C, luego A confía en C).

o Controlador del dominio (DC – Domain Controller): contiene la base
de datos de objetos del directorio para un determinado dominio, incluida la
información relativa a la seguridad.
Figura 46: Organización de un Directorio Activo.
Compartición de archivos: pueden ser públicos o privados.
Kerberos: es un protocolo de autenticación distribuido basado en clave simétrica

desarrollado por el Masachusetts Institute of Technology (MIT), y que ha sido
adoptado por Microsoft para la autenticación de usuario y servicios en Dominios de
Directorio Activo.
El elemento principal de un dominio Kerberos es el Key Distribution Centre

(KDC) que comparte una clave simétrica secreta con todos los usuarios y servicios
de la red. En el caso de los usuarios la clave secreta compartida es su contraseña,
mientras que los servicios suelen generar claves aleatorias. El KDC centraliza todas
las claves de la red, de forma que no es necesario que los servicios conozcan las
claves de los usuarios y viceversa.
En su lugar, los servicios confían en los tickets emitidos por el KDC, que permiten a
los usuarios autenticados acceder durante cierto tiempo a los servicios que soliciten.
Para ello, el KDC permite que cualquier usuario o servicio de la red se autentique a
través de su authentication server (AS). Una vez autenticado, el KDC envía al
usuario un ticket granting ticket (TGT), cifrado por el KDC con su propia clave,

lo que permite al usuario demostrar su identidad ante el KDC sin necesidad de

autenticarse de nuevo. Para acceder a un servicio, un usuario autenticado primero
tiene que solicitar al ticket granting server (TGS) del KDC acceso al mismo.
Para ello, debe enviar el nombre del servicio que quieren acceder y su TGT al KDC, y
éste le emite un ticket granting service (TGS), cifrado por el KDC con la clave
del servicio destino, de forma que éste puede comprobar que realmente ha sido
generado por el KDC. De este modo, cuando el usuario accede al servicio, adjunta
ese TGS, y el servicio se fía de la identidad del usuario que contiene el ticket sin
necesidad de tener que autenticarle.
Existen varios ataques de suplantación de identidad en redes Kerberos, basados en

el compromiso de Tickets o de claves secretas. En particular, si un atacante es capaz
de obtener el ticket TGT o los tickets TGS de un usuario puede realizar un ataque
pass-the-hash, por el que puede suplantar al usuario frente al KDC o a los
servicios asociados a los tickets robados. Por otro lado, si el atacante compromete la
clave maestra del KDC, puede emitirse a sí mismo un ticket TGT con cualquier
identidad que desee (por ejemplo, el administrador del dominio), que se denomina
golden ticket o, si compromete la clave de un servicio, puede emitir tickets TGS,
denominados silver tickets, para ese servicio con cualquier identidad del dominio
que desee. Por lo tanto, en una red Kerberos es esencial proteger los tickets de los
usuarios, así como las claves de los servicios y, especialmente, del KDC.
Copias de seguridad: deben de recogerse siguiendo un marco estratégico dentro

de cualquier organización, puesto que la información es una recopilación de datos
muy importante dentro de una empresa y la pérdida de esta podría causar grandes
daños. Lo cual hace completamente necesario su uso, garantizando un seguro de
vida para una organización.
Algunos de los soportes hardware que podemos emplear para almacenar o realizar
una copia de seguridad de los datos son los siguientes:
o Matrices RAID: sirven para proteger la información empresarial importante y a

veces para mejorar incluso la eficiencia de las unidades. Se utilizan múltiples
discos duros mecánicos o SSD entre los que se distribuyen o replican los datos, de
esta manera se pueden establecer mirrorings (espejos) o información de paridad
adicional para que la información no se pierda si alguna de las unidades falla.

Los tipos de RAID más conocidos son los siguientes:

• RAID 1: copia en espejo.
• RAID 2: es un sistema que actualmente está en desuso. Un disco está
dedicado para la paridad, por lo que es un cuello de botella.
• RAID 3: son datos distribuidos a nivel de bytes con disco de paridad.
• RAID 4: igual que el anterior, pero a nivel de bloques.
• RAID 5: la paridad se distribuye por los diferentes discos.
• RAID 6: se añade otro bloque de paridad para permitir el fallo simultáneo de
dos unidades.
Figura 47: Sistemas Raid.
Otro tipo de solución de almacenamiento es:
o NAS (Network Access Server): es un punto de entrada que permite a los

usuarios o clientes acceder a una red, actuando como si fuera su propio Cloud
Computing privado. Esto podría resultar una solución alternativa para almacenar
backups completos, diferenciales o incrementales de nuestro Windows Server.
Creación de volúmenes: permiten crear un único volumen que se extienda a

través de múltiples unidades. Los usuarios pueden acceder a este volumen como si
se tratase de una unidad individual, independientemente de cuántas unidades
reales ocupe en realidad.
Modos de ejecución: son los distintos niveles de permisos y privilegios que nos
ofrece esta suite de Microsoft.
Seguridad en múltiples capas: como el acceso de autenticación (descrito más

adelante).

PowerShell: es una utilidad instalada por defecto en esta distribución de Microsoft.

Consiste en una interfaz de consola (CLI) con posibilidad de escritura y ejecución de
comandos por medio de guiones mucho más interactivas y potentes que sus
predecesores (ya vista en Windows 7).
1.6. Windows Server 2008
Conceptos previos
En esta edición de Windows Server, conviene diferenciar entre dos métodos de

ejecución distintos, diferenciados entre sí por los permisos y privilegios que
disponen los componentes del sistema. Estos modos de ejecución son:
Kernel Mode: es el modo que emplea el Sistema Operativo con más privilegios de
administración. Puede acceder a todas las funciones del núcleo (kernel) del sistema.
Sin embargo, aunque sea muy sencillo, rápido e intuitivo su manejo resulta
excesivamente vulnerable frente a cualquier tipo de ataque, puesto que este tipo de
actuaciones están encaminadas a hacerse con el control total del sistema operativo.
User Mode: es el modo empleado por los usuarios con menos privilegios de
administración (con diferencia del Kernel Mode, que es justo lo contrario). Los
ataques en este modo consisten en adquirir en algún momento los permisos
de administrador. El administrador tiene acceso a la modificación de los
parámetros del sistema, al igual que sucede con el primer modo enumerado
(kernel mode), pero nunca llega a poseer los mismos privilegios.
Cuando hablamos de seguridad dentro de Windows Server, tenemos que hacer

referencia a que consta de múltiples capas y se apoya en varios mecanismos y retos
que se enfrentan a todos los posibles intrusos. El concepto fundamental que no
debemos olvidar es que únicamente debemos permitir el acceso autenticado a
recursos, a través del protocolo de autenticación por desafío mutuo.

El protocolo de autentificación por desafío mutuo consiste en que al acceder a un sistema

Windows Server 2008 se deberán introducir:
1. Nombre de usuario.
2. Contraseña.
Después de introducirlos se produce una validación de los datos y si todo es correcto,

el sistema asigna un token (que contiene la lista de valores SID asociados al usuario), a
los datos de la conexión gracias al módulo LSASS y estará hasta el cierre o
desconexión de la sesión.
Otro aspecto a considerar a la hora de configurar Windows Server 2008 son las
plantillas y directivas de seguridad, que son funcionalidades que nos proporciona
Microsoft para gestionar las opciones de configuración del sistema que, de otra
manera, habría que administrarla utilizando directivas de grupo.
Windows Server 2008, ofrece dos modelos para compartir archivos:
Estándar: permite que los usuarios remotos tengan acceso a recursos de red
como archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública.
También es posible configurar Windows Server 2008 para que trabaje con NFS, un
sistema de compartición de carpetas locales en volúmenes NTFS a través del
explorador de Windows.
Seguridad
Dentro de esta distribución existen diversos protocolos de autentificación remota.

Entre ellos se encuentran los siguientes:
EAP: se usa para la información de autentificación entre el suplicante (la estación de

trabajo inalámbrica) y el servidor de autenticación.
MS-CHAPV2: es la versión de Microsoft del protocolo de autenticación de
contraseñas, la cual emplea una autentificación mutua unidireccional.
CHAP: es un método de autentificación remota o inalámbrica, muchos proveedores
lo utilizan. El ejemplo más práctico sería para autentificar a un usuario frente a un
ISP (Proveedor de servicios de Internet).

PAP: es un protocolo simple de autentificación para validar un usuario contra un

servidor de acceso remoto. Hay que tener en cuenta que este protocolo transmite
contraseñas en texto claro sin cifrar, por lo que es completamente inseguro. Se usa
como último recurso cuando el servidor de acceso remoto no soporta un protocolo de
autentificación más fuerte.
En la versión de Windows Server (concretamente la 2008 en adelante), se han

incluido mejoras como:
Administración del servidor, dispositivos y escritorio.
Protección de redes.
Administración de acceso e identidades y la protección de datos.
Instalación de Windows Server 2012: Stardard Edition
En primer lugar, seleccionamos el idioma del sistema operativo:
Figura 48: Selección de idioma de W. Server 2012.

A continuación, nos pedirá el número de serie de nuestra licencia Windows

Server, lo insertamos, pulsamos en siguiente y nos aparecerá la siguiente ventana:
Figura 49: Programa de Instalación de W. Server 2012 Standard Edition.
En nuestro caso, instalaremos la segunda opción, que incluye el servidor con un

entorno gráfico.
Figura 50: Instalación de Windows Server 2012.

Una vez se haya acabado la instalación, el sistema arrancará y nos pedirá que añadamos
un usuario y una contraseña, lo llevamos a cabo y pulsamos en siguiente.
Tras esta acción comenzará el primer arranque de nuestro Windows Server 2012:
Figura 51: Pantalla de inicio Windows Server 2012.
Figura 52: Cuentas de usuario.

Como vemos aparecen dos usuarios:
Administrador: donde manejaremos y controlaremos todos los permisos.
Nota: la primera vez que accedamos al sistema, será necesario cambiar la contraseña
de administrador.
Laboratorio: usuario cliente de nuestro servidor de Windows Server.
Finalmente iniciaremos sesión con nuestra cuenta de administrador, para poder llevar a
cabo las configuraciones de nuestro servidor.
Recordatorio de credenciales
En caso de necesitar recordar nuestra contraseña de administrador, será necesario seguir

los siguientes pasos:
1. Introducimos un DVD o ISO de Windows Server 2012.

2. Seleccionamos la opción Reparar equipo.
3. A continuación, seleccionamos la opción Solucionar problemas.
4. Dentro de las opciones avanzadas seleccionamos Símbolo del sistema (CMD).
5. El siguiente paso es situarse en la unidad donde la hayamos instalado
(normalmente suele ser D:).
6. Accedemos a Windows\System32 con el comando: cd
7. Ejecutamos el comando: move utilman.exe utilman.exe.bak, pulsamos enter.
8. Después ejecutamos: copy cmd.exe utilman.exe, pulsamos enter.
9. Escribimos el comando net user administrador /active:yes
10. Reiniciamos el sistema: shutdown –r –t 0.
11. Una vez reiniciado nuestro servidor, en la pantalla de bloqueo presionamos las teclas
12. Windows+U y accedemos a la línea de comandos.
13. En este paso, estableceremos la nueva contraseña para el usuario administrador:
net user administrador «contraseña_que_deseemos» y presionamos Enter.
14. Finalmente, ya podremos iniciar sesión con la contraseña cambiada de nuestra
cuenta de Administrador de Windows Server 2012.

Conceptos previos
Para poder cumplir adecuadamente con la organización de las diversas tareas que
se pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundamentales:
Roles: son empleados para definir una funcionalidad específica de un servidor,

como pueda ser un servidor: Web, DNS, DHCP, etc.
Características: son componentes autónomos de los roles pero que pueden
servir de apoyo a algunos de los roles instalados.
Nombre del equipo
El primer paso, sería acceder al botón Inicio/Equipo > Botón derecho > Propiedades,
cambiamos el nombre del equipo a: laboratorios.
Figura 53: Mi Equipo/Propiedades.

Figura 54: Nombre de equipo: Laboratorios.
Después de esto el sistema nos solicitará que reiniciemos el servidor.
Figura 55: Reinicio del servidor
Active Directory
En esta parte, instalaremos el directorio activo y configuraremos el DNS (domain

name server).
Para ello nos autenticamos en nuestra cuenta de administrador.

A continuación, nos dirigimos a la opción: Server Manager/Agregar roles y

características.
Figura 56: Administración del servidor (agregar roles y características).
Después nos aparecerá lo siguiente:
Figura 57: Agregar roles y características.
Dentro de esta opción no escogeremos nada y pulsaremos en siguiente, ya que

únicamente sirve para quitar roles a los respectivos usuarios.

Figura 58: Selección de servidor.
Seleccionamos nuestro servidor, pulsamos en siguiente y accederemos a los roles

del servidor, que son las características que podemos añadir sobre nuestro Windows
Server:
Figura 59: Roles de servidor.

Marcamos la opción de: Servicios de dominio de Active Directory:
Figura 60: Agregar características.
Agregamos las características y nos aparece el siguiente menú, que corresponde a los
componentes que deseamos instalar en nuestro servidor.
Figura 61: Componentes para instalar en nuestro servidor.

En la siguiente ventana nos aparecerá una pequeña descripción sobre qué es el AD

(Active Directory) de Microsoft Windows.
Después confirmamos que queremos instalar Active Directory:
Figura 62: Instalación de Active Directory.
Figura 63: Progreso de instalación de Active Directory.

Controlador de dominio
Una vez hemos llevado a cabo la instalación de nuestro Active Directory, el siguiente
paso corresponde a la configuración del Controlador del Dominio. Para ello iremos
al Administrador del servidor y lo configuraremos:
Figura 64: Configuración de controlador de dominio.
Pulsamos en: Promover este servidor a Controlador de Dominio.
Los datos que emplearemos a lo largo del resto de la instalación serán los siguientes:
# Script de Windows PowerShell para implementación de AD DS
Import-Module
ADDSDeployment Install-
ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `

-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true
A continuación, seleccionaremos la opción: Añadir un nuevo bosque. En Nombre

de dominio raíz colocaremos: laboratorio.test.
Figura 65: Nombre del dominio.
Es conveniente que tengamos en cuenta que, si deseamos en algún momento

modificar el nombre del dominio, se debe de modificar en todo el árbol.

El siguiente apartado corresponde a las opciones del controlador del dominio:
Figura 66: Opciones del controlador.
Dejamos las opciones por defecto y marcamos las casillas:

Servidor de Sistema de Nombres de dominio (DNS).
Catálogo global (GC).
Es necesario recordar la contraseña de restauración de los servicios de directorio ya que,

en caso de necesitar llevar a cabo una restauración, ésta será completamente necesaria
para poder llevarla a cabo. El siguiente paso es indicar un nombre de dominio de
NetBIOS: laboratorio.

Figura 67: Nombre de dominio NetBIOS.
El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:
Figura 68: Rutas de acceso.
En el siguiente paso nos aparecerá la opción de revisar las opciones que hemos
configurado, aparece también una opción denominada: “Ver Script” este tiene que
coincidir con el descrito anteriormente debajo de la Figura 62: Configuración de
controlador de dominio.
Es conveniente que el administrador de sistemas se guarde este script por si

posteriormente le fuera necesario utilizarlo.
Una vez se ha verificado que todo está correcto, pulsaremos en siguiente y nos aparecerá

una comprobación de que cumplimos los pre-requisitos para que pueda llevarse a cabo
la instalación:
Figura 69: Asistente de configuración de servicios de AD.
Pulsamos en instalar y posteriormente la máquina se reiniciará.
Una vez haya finalizado el proceso de instalación, si accedemos al administrador

del servidor, aparecerá que nuestro DNS ha sido instalado correctamente y que
únicamente faltaría llevar a cabo la configuración del DNS.
Aquí, dependiendo de los datos en cada caso, habría que emplear la herramienta Tool
DNS y configurar los parámetros correspondientes tales como:
Registro A.
Zona inversa.
Creación de registro PTR enlazado con el servidor, etc.
Herramientas / Directiva de seguridad local (plantillas de seguridad)
Tienen como función principal permitir de manera centralizada la administración

de todas las configuraciones relacionadas con la seguridad de estaciones de trabajo
y/o servidores. Se emplean para aplicar conjuntos personalizados de definiciones de
grupo, relacionadas con la seguridad de los distintos equipos que forman parte del
dominio.

Algunas de estas utilidades son las siguientes:
Directivas de cuenta: son aquellas que controlan las credenciales, el bloqueo de

cuentas y Kerberos (es un protocolo de autenticación que permite a dos dispositivos
conectados dentro de una red insegura demostrar su identidad mutuamente de
manera segura, es decir, a través de claves criptográficas simétrica y/o asimétrica).
Directivas locales: son aquellas que se basan en controlar la seguridad de auditoría,

establecer derechos de usuario y otras opciones.
Firewall de Windows con seguridad avanzada: permite establecer reglas de

entrada, de salida y de la seguridad de la conexión.
Directivas de administrador de listas de redes: permite controlar todas las

redes a las que se conecta un usuario.
Directivas de clave pública:

o Sistema de cifrado de archivos (EFS): es un sistema de archivos que trabaja
conjuntamente sobre NTFS permitiendo cifrar archivos. Cabe destacar que
este tipo de sistema es incompatible con la compresión de carpetas.
Ventajas:
• Su configuración es simple, se realiza activando una casilla en las
propiedades del archivo en concreto.
• El usuario controla en todo momento quién puede leer los archivos.
• Los archivos se cifran una vez son cerrados, pero cuando el usuario los
abre quedan automáticamente listos para su uso.
• Si en algún momento el usuario decide no cifrarlo, puede hacerlo
desactivando la casilla que permite esto en propiedades.
Inconvenientes: EFS no es totalmente compatible con:

• Windows Vista y 7 Starter.
• Windows Vista y 7 Home Basic.
• Windows Vista y 7 Home Premium.
o Protección de datos.
o Cifrado de unidad Bitlocker.

Directivas de restricción de software: utilidad que permite crear una

configuración suficientemente restringida para los diferentes equipos que
forman parte del dominio, puesto que permite configurar de manera específica e
identificada las aplicaciones que se ejecuten.
Directivas de control de aplicaciones

o AppLocker: es una herramienta que permite controlar qué aplicaciones y/o
archivos pueden ejecutar los distintos usuarios. Esto incluye archivos de
tipo ejecutable, scripts, archivos de Windows Installer, DLL, instaladores de
aplicaciones etc.
Configuración de directiva de auditoría avanzada

o Inicio de sesión de cuentas o Administración de cuentas o Seguimiento detallado.
o Acceso DS.
o Inicio y cierre de sesión.
o Acceso a objetos.
o Cambio en directivas.
o Uso de privilegios.
o Sistema.
o Auditoría de acceso a objetos global.
Otras herramientas útiles son las siguientes:
Asistente para configuración de seguridad (SCW): determina la

actividad mínima requerida para la función o las funciones de un servidor y
deshabilita aquella que no resulta necesaria.
Secedit: Permite configurar y analizar el sistema de seguridad mediante la
comparación de una configuración existente para al menos una plantilla.
GPUpdate: es un comando empleado para llevar a cabo la configuración de directiva
de grupo local y d e dominio, incluyendo la propia configuración de seguridad.
GPResult: este parámetro muestra información de conjuntos resultantes de
directivas (RSop) ya sea para un usuario local, de dominio y/o de equipo.
Secpol.msc: permite ajustar la configuración de las directivas de cuentas, locales,
Firewall de Windows, etc.

Creación de usuarios y política de seguridad
En esta parte, vamos a llevar a cabo la creación de un contenedor de usuarios y la

creación de varios de estos.
Para ello vamos al panel de administrador del servidor y seleccionamos la opción:

usuarios y equipos de Active Directory.
Figura 70: Usuarios y equipos de Active Directory.
Nos aparecen los usuarios y equipos de Active Directory:
Figura 71: Usuarios y equipos de Active Directory.

En ese listado aparecen todos los usuarios, así como grupos del Active Directory. Desde
él podemos modificar las propiedades que consideremos convenientes de cada uno de
ellos.
A continuación, crearemos un usuario, para ello pulsamos sobre la carpeta Users y

a continuación, en la barra superior, en el icono de creación de usuario:
Figura 72: Creación de usuario.
Nota: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue
desde laboratorio, test) y dentro de este contenedor los usuarios que el administrador
considere oportunos.
Creamos el nuevo usuario:
Figura 73: Creación de usuario.

Configuramos una contraseña para el usuario:
Figura 74: Contraseña y opciones de nuevo usuario.
Marcamos la primera opción, para forzar a que el usuario escoja y cambie su

contraseña la primera vez que se conecte.
Por otro lado, el administrador podrá añadir otras opciones de configuración para
la contraseña del usuario, tal y como figura en la imagen anterior. Pulsamos en
Siguiente y nos aparecerá el resumen final del usuario creado:
Figura 75: Resumen final de usuario creado.

Crearemos, tres usuarios más:

Usuario1.
Usuario2.
Usuario3.
Al finalizar la creación de los tres usuarios, nos aparecerán en el panel de Users:
Figura 76: Vista previa de los usuarios creados.
A continuación, crearemos un grupo de usuarios, desde la barra superior:
Figura 77: Creación de grupo de usuarios.

Asignamos el nombre del grupo de usuarios:
Figura 78: Creación de grupo de usuarios.
Otra opción disponible es asignar los usuarios creados anteriormente al grupo: Unir.
Figura 79: Añadiendo usuarios a un grupo.

En la pestaña miembros, podemos agregar los diferentes usuarios que queremos que
pertenezcan a ese grupo:
Figura 80: Agregando usuarios a grupo Unir.
Agregaremos: Usuario1, Usuario2 y Usuario3, y finalmente ya estarán disponibles

estos tres usuarios dentro del grupo que le hemos asignado.
Otras opciones y medidas de seguridad disponibles para el control de los usuarios es

establecer: Rango de hora.
Para ello, pulsamos en cualquier usuario con botón derecho: Propiedades, tomando
como ejemplo el de la figura 77, solo que, en vez de ser para grupos, es para usuarios.
Nos aparecerá la siguiente ventana, y a continuación seleccionamos la opción: Cuenta.

Figura 81: Seguridad y control de usuario.
Para cambiar los valores de la matriz, podemos ir combinando cualquiera de las

siguientes acciones:
Cuando seleccionamos celdas de la matriz de horas, justo debajo de ella aparecerá un

mensaje que nos informa de forma textual, la selección que hemos hecho. Prestando
atención a su contenido, evitaremos errores.
Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que la
representa.
Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).
Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el
botón que contiene el nombre del día (por ejemplo, lunes).
Para seleccionar todas las horas de varios días consecutivos (por ejemplo, viernes y
sábado), procederemos como en el punto anterior, seleccionando el primero (o el
último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
mantendremos pulsado mientras arrastramos el puntero hasta el botón que
representa el otro extremo del intervalo.

Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos
clic en el pequeño botón sin título que hay bajo el número que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es impar), ya que, como se puede ver,
solo están numeradas las horas pares.
Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos
como en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos
pulsado mientras arrastramos el puntero hasta el botón que representa el otro
extremo del intervalo.
Con esta medida podemos controlar y/o mantener correctamente supervisada la

interacción de los usuarios, esto viene bien por ejemplo para controlar las horas de
jornada de trabajo de un empleado o según las circunstancias que se presenten.
Otra medida interesante es limitar en que equipo/s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsamos en el botón «Iniciar sesión en»:
Figura 82: Control de inicio de sesión de usuarios.

En esta sección podemos configurar a que equipo/s se puede conectar el usuario

aplicado con el rango de horario explicado en el punto anterior. De esa manera
filtramos el número de equipo/s al que el cliente puede conectarse y delimitamos
un rango de horario.
Podemos también limitar la cuota de disco/s que tengamos en las propiedades de este:
Figura 83: Cuota de disco.

Disponemos también de una sección de Logs, registros y eventos:
Figura 84: Eventos del Sistema
Configuración de directivas en Windows Server 2012
Cabe destacar que, dentro de esta nueva versión del sistema operativo de Microsoft,
se pueden modificar las directivas que consideremos convenientes, esto ha cambiado
respecto a la versión de 2008.
Un ejemplo para cambiar la directiva o políticas de contraseña en esta edición de

Windows Server sería la siguiente:
1. Abrir el centro de administración de Active Directory.
Figura 85: Centro de administración de Active Directory.

2. Exploramos e l d o m i n i o (local) > Sistema > Configuración de contraseña de

contenedores.
Figura 86: Directiva de contraseña de usuarios.
En esta ocasión seleccionaremos: Password Settings, ya que queremos cambiar

directivas de las contraseñas, según lo que queramos deberemos explorar la
opción correspondiente.
Figura 87: Creación de configuración de contraseña.
Seleccionamos: Configuración de contraseña.

A continuación, creamos la nueva directiva según las preferencias deseadas:
Figura 88: Creación de directiva de contraseña personalizada.
Algunos ajustes configurables de esta opción son:

Hacer cumplir la longitud mínima de la clave. Exigir un historial de contraseñas.
Las contraseñas deben de seguir unos requisitos previos (mayúscula, un número,
etc.).
Número de inicios de sesión permitidos (establecerá el máximo número de intentos
de iniciar sesión y si pasado ese número se establecerá un tiempo de espera o el
administrador deberá desbloquear el sistema manualmente).
Almacenar la contraseña usando cifrado reversible.
Protección de un borrado accidental.
Compartición de carpetas
Este tipo de utilidad ha sido la mayoría de las veces una tarea casi diaria y fundamental
en todas las organizaciones y/o empresas.
Para poder hacer uso de esta característica lo primero que debemos hacer es seleccionar
la carpeta que queramos compartir. Pulsamos botón derecho: Compartir con >
Usuarios específicos

Figura 89: Compartir carpeta.
A continuación, es necesario instalar un módulo de la sección: Rol de servicios

de archivos y de almacenamiento. Para llevarlo a cabo, debemos acudir al
Administrador del servidor y dentro de la ventana de Servicios de archivos y de
almacenamiento, pinchamos en Volúmenes y pinchamos en Inicie el asistente
para agregar roles y características que se encuentra dentro de Recursos
compartidos.
Figura 90: Iniciar asistente de roles y características.

Otra opción es como se realizó en la Figura 54: Administración del servidor

(agregar roles y características).
Se abrirá el asistente con la pestaña: Servidor de archivos y almacenamiento >

Servicios de iSCSI y archivo ya marcado. Pulsamos en Siguiente.
Figura 91: Servicios de archivos necesarios.
Una vez haya terminado la instalación, volvemos al Administrador del servidor y

en Recursos compartidos pinchamos en: Tareas y Nuevo recurso compartido.
Figura 92: Creación de un recurso compartido.

En el siguiente paso se dispone de dos tipos de recursos compartidas, cada uno de

ellos con sus respectivas opciones:
Recurso compartido SMB (server message block): es un protocolo estándar,

usado por la mayoría de las versiones de Windows.
Recurso compartido con NFS (network file system): es un protocolo

estándar usado por la mayoría de las distribuciones Unix y Linux. Para poder usar
este tipo de recurso es necesario instalar el rol: Servidor para NFS (tal y
como se realizó en el paso anterior).
Llevaremos a cabo un ejemplo de la creación de un recurso SMB:
Figura 93: Selección del tipo de recurso a compartir: SMB o NFS.
Lo seleccionamos y pulsamos en: Siguiente.
Para establecer una ruta para el recurso tenemos dos opciones posibles:
Seleccionamos una unidad del equipo, donde se creará dicho recurso en una carpeta
llamada: share.
Indicándole una ruta específica.

Emplearemos la primera opción.
Figura 94: Compartiendo con la opción Share un recurso.
A continuación, indicamos los datos para nuestro nuevo recurso (nombre,

descripción, etc.). Además, podremos ver la ruta donde se creará:
Figura 95: Creación de recurso compartido.

En la siguiente opción podemos configurar varias opciones:
Habilitar enumeración basada en el acceso: se muestra el recurso únicamente

a los usuarios autorizados.
Permitir almacenamiento en caché del recurso compartido: permite
acceder al contenido del recurso a los usuarios sin conexión, cacheando el recurso en
el equipo del usuario.
Cifrar acceso de datos: el acceso del archivo remoto se cifrará evitando que pueda
ser manipulado. Una sorprendente novedad es que no es necesario una entidad que
certificadora ni configuraciones adiciones, eso sí, esta característica únicamente está
disponible para Windows 8 en adelante.
Dejamos la opción que vienen por defecto:
Figura 96: Configuración de recurso compartido.

Ahora podemos llevar a cabo la modificación de los permisos que consideremos

conveniente, pinchando en personalizar permisos:
Figura 97: Configuración de permisos de recurso compartido.
Nos aparece un resumen para verificar que todos los pasos son correctos:
Figura 98: Resumen de recurso compartido.

Por último, ya tenemos nuestro recurso creado y disponible:
Figura 99: Recurso creado.
Firewall de Windows
Herramienta fundamental de seguridad para cualquier edición de este sistema. Para

acceder a él abrimos nuestro administrador de Windows Server y pulsamos en
Herramientas/Firewall.
Figura 100: Firewall de Windows.

A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsamos en: Nueva regla.
Figura 101: Nueva regla de Firewall.
Seleccionamos el tipo de regla que queremos crear.
Figura 102: Bloqueo del puerto 23 Telnet.

En nuestro caso, seleccionaremos: Protocolos y puertos e insertaremos el número 23,

correspondiente al servicio de: Telnet.
En la siguiente pestaña seleccionamos la operación que queremos realizar al respecto,

como se puede ver en la siguiente imagen:
Permitir la conexión.
Permitir la conexión si es segura. Si se utiliza una conexión mediante VPN a
través de IPsec.
Bloquear la conexión.
Figura 103: Acción de la regla.
En nuestro caso la vamos a bloquear. En el siguiente paso nos aparece la opción de

indicar para qué perfiles queremos aplicar esta regla dentro del dominio:
Figura 104: Aplicación de regla a perfiles del dominio.

Por último, creamos un nuevo nombre para la regla establecida y una descripción:
Figura 105: Nombre de regla y descripción.
Copias de seguridad
En este último apartado explicaremos como realizar una copia de seguridad de

nuestro Windows Server.
Vamos a la opción de agregar Roles y características e instalamos: Copias de

Seguridad en Windows Server, hacemos clic en siguiente para llevar a cabo
su instalación.

Una vez que la instalación se haya completado satisfactoriamente, podremos ejecutar

la utilidad para la gestión de copias de seguridad desde el menú de administración
del servidor:
Figura 106: Copias de seguridad.
Dentro de este planificado se permite planear copias de seguridad del servidor:

Completas.
Personalizadas.
De discos duros específicos.
Pulsamos arriba, en el botón acción: Programar copia de seguridad.
Figura 107: Programar copia de seguridad.
Se nos abre el asistente, pulsamos en Siguiente.

Por último, seleccionamos el tipo de copia de seguridad que queremos hacer:
Figura 108: Configuración de copia de seguridad.
Finalmente, ya solo nos quedará configurar la copia de seguridad:

Mes, hora y día de la copia.
Disco destino.
Etc.
1.8. Windows Server 2012, auditoría
Introducción a la auditoría de seguridad
Una auditoría de seguridad ofrece la posibilidad de registrar una serie de

acciones realizadas sobre el sistema operativo. Posteriormente, por medio de este
registro el administrador puede tener constancia de las actividades que guardan
relación con la seguridad del sistema para observar y comprobar que todo lo que
sucede en el equipo se mantiene en base a las políticas definidas por la empresa y las
reglas diseñadas por los arquitectos de seguridad.
Las auditorías en Windows Server 2012 R2 podemos encontrarlas agrupadas en

dos categorías diferentes, bien dentro de Directivas locales o dentro de
Configuración de directiva de auditoría avanzada.
Las dos posibilidades: Directivas locales y Configuración de directiva de auditoría

avanzada, fueron introducidas en momentos de tiempo diferentes. Fue posible trabajar

con la primera categoría a partir de Windows 2000 y posteriores, mientras que la

segunda se introdujo más tarde, pudiendo trabajar con ella en Windows Vista,
Windows Server 2008 y posteriores.
Como podemos ver, agrupadas dentro de la categoría Directivas locales, encontramos

la categoría Directiva de auditoría. Este apartado muestra una serie de directivas de
auditoría básicas, pudiendo trabajar con un total de 9 configuraciones de auditoría.
Figura 109: Directivas de auditoría básica.
Como podemos ver, el sistema operativo nos ofrece la posibilidad de registrar 9

configuraciones de auditoría, las describimos a continuación:
Auditar el acceso a objetos, permite auditar la actividad de un usuario sobre

objetos que no son de Active Directory y tienen implementada su propia lista de
control de acceso al sistema (SACL).
Auditar el acceso al servicio de directorio, permite auditar la actividad de un
usuario sobre objetos que son de Active Directory y tienen implementada su propia
lista de control de acceso al sistema (SACL).
Auditar el cambio de directivas, permite auditar los cambios en las directivas de
asignación de derechos de usuario, las directivas de auditoría o las directivas de
confianza.
Auditar el seguimiento de procesos, permite auditar el seguimiento de eventos
como, activación de programas, salida de procesos, duplicación de identificadores y
acceso indirecto a objetos.
Auditar el uso de privilegios, permite auditar cada instancia de usuario que utiliza
un derecho de usuario.

Auditar eventos de inicio de sesión de cuenta, permite auditar el intento de

inicio de sesión o cierre de sesión de un usuario en un equipo diferente al utilizado
para validar la cuenta.
Auditar eventos del sistema, permite auditar eventos producidos por un usuario
al apagar o reiniciar el equipo, también permite auditar eventos que afectan a la
seguridad del sistema o al registro de la seguridad.
Auditar la administración de cuentas, permite auditar eventos relacionados con
la administración de cuentas de usuario y grupos en el sistema.
Es posible obtener una información más detallada navegando por cada configuración de
auditoría que ofrece el sistema, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.
Figura 110: Descripción de la configuración de auditoría seleccionada.
Agrupadas dentro de la categoría Configuración de directiva de auditoría avanzada,

encontramos la categoría Directivas de auditoría. Este apartado muestra las
directivas de auditoría avanzada, pudiendo trabajar con un total de 53 configuraciones
de auditoría.

Figura 111: Directivas de auditoría del sistema.
Tanto Directivas de auditoría básica como la categoría Directivas de auditoría

avanzada contienen configuraciones de auditoría similares, pero existe una
diferencia entre ellas. Trabajando con Directivas de auditoría avanzada es posible ser
más preciso en los tipos de eventos a auditar y con ello poder controlar ciertas
acciones sobre el sistema.
Las auditorías se pueden configurar por medio de dos herramientas ofrecidas por
Windows Server 2012 R2:
La primera herramienta es Administración de directivas de grupo que permite
configurar las directivas de auditoría solamente para los controladores de dominio
y/o para todos los equipos que forman parte del dominio.
La segunda herramienta trata de Directivas de seguridad local, las directivas
aquí almacenadas pueden ser configuradas por cualquier equipo, sea controlador de
dominio o no, este último método no se recomienda ya que en el caso de que las
directivas de grupo se encuentren activadas, sobrescribirán los registros de auditoría
configurados en Directivas de seguridad local.
Acceder a las directivas de auditoría localmente
La categoría Directiva de auditoría, tal como vimos en el apartado anterior de

introducción a las auditorías en Windows Server 2012 R2, nos ofrece una serie
de directivas de auditoría básicas y avanzadas, exactamente un total de 9 y 53
posibles configuraciones de auditoría respectivamente, esto permite al administrador
del sistema someter a examen ciertas acciones registradas en el sistema.

Podemos acceder a la categoría Directiva de auditoría, mediante Administrador

del Servidor > Herramientas > Directiva de seguridad local.
No olvidemos que por medio de esta herramienta las directivas aplicadas podrían ser
sobrescritas por las directivas operativas a nivel de dominio.
Figura 112: Acceso al panel Directiva de seguridad local.
Una vez abierto el panel Directiva de seguridad local accedemos a la categoría Directiva
de auditoría mediante Configuración de seguridad > Directivas locales >
Directiva de auditoría, como vemos en la siguiente imagen:
Figura 113: Categoría Directiva de auditoría.
Para configurar las Directivas de auditoría avanzadas debemos desplegar

Configuración de seguridad > Configuración de directiva de auditoría
avanzada > Directiva de auditoría del sistema – Objeto de directiva de
grupo local.

Figura 114: Directivas de auditoría avanzadas.
Acceder a las directivas de auditoría de grupo
Configurar una auditoría mediante la herramienta Administración de directivas

de grupo nos permite ofrecer las directivas de grupo en dos modos diferentes para
todos los controladores de dominio y para todos los equipos que forman parte
del dominio. Describimos como configurar una auditoría para un dominio en los
sucesivos párrafos.
Podemos acceder a la categoría Directiva de auditoría para un grupo, mediante

Administrador del Servidor > Herramientas > Administración de directivas de grupo.
Figura 115: Acceso al panel de Administración de directivas de grupo.

Una vez abierta la herramienta Administrador de directivas de grupo accedemos a la

categoría Objetos de directiva de grupo, para ello expandimos Administración de
directivas de grupo > {El bosque en el que queremos aplicar las directivas}
> Dominio > {Dominio en el que queremos aplicar las directivas} > Objetos de directiva
de grupo.
En este punto debemos seleccionar una de las dos posibilidades: Default

Domain Controllers Policy, configura las directivas sobre los controladores de
dominio, o Default Domain Policy, configura las directivas sobre todos los
equipos que forman parte del dominio.
Figura 116: Categoría Objetos de directiva de grupo.
Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriormente nombrados, hacemos clic sobre el elemento deseado y
seleccionamos Editar.
Figura 117: Menú de opciones del objeto de directiva de grupo seleccionado.

Se nos abre la herramienta Editor de administración de directiva de grupo y

expandimos en el árbol de la izquierda Directiva Default Domain
Controllers Policy […] > Configuración del equipo > Directivas >
Configuración de Windows > Configuración de seguridad.
Encontramos Directivas de auditoría dentro del nodo Directivas locales con

9 posibles configuraciones de auditoría y Configuración de directiva de
auditoría avanzada con 53 posibles configuraciones de auditoría.
Figura 118: Directiva de auditoría básica.
Figura 119: Directiva de auditoría avanzada.

Configurando la auditoría
Para configurar una auditoría debemos hacer doble clic o bien seleccionar Propiedades
del menú de opciones que facilita la directiva de auditoría que deseamos definir.
Figura 120: Configuración de directiva de seguridad.
Para seleccionar el tipo de información que es de interés registrar en la auditoría,

debemos primeramente acceder a las propiedades de la directiva, como hemos visto en
la imagen anterior, y posicionarnos en la pestaña Configuración de directiva de
seguridad. Seleccionamos Definir esta configuración de directiva y si
deseamos registrar los intentos Correctos o Erróneos. En la tabla siguiente se puede
encontrar una relación de cada directiva de auditoría junto a que tarea realiza cada
intento a auditar.
Directiva Correcto Erróneo

Genera una entrada de Genera una entrada de
Auditar el acceso a objetos auditoría cuando un usuario auditoría cuando un usuario
accede a un objeto que accede sin éxito a un objeto
implementa una SACL. que implementa una SACL.
Genera una entrada de
Auditar el acceso al servicio auditoría cuando el usuario
auditoría cuando el usuario
obtiene un objeto de Active
de directorio obtiene un objeto de Active
Directory de forma
Directory de forma correcta.
incorrecta.
Auditar el cambio de auditoría cuando los cambios auditoría cuando los cambios
directivas en las directivas se producen en las directivas se producen
de forma correcta. de forma incorrecta.


Auditar el seguimiento de auditoría cuando el sistema auditoría cuando el sistema
operativo realiza alguna operativo no puede realizar
procesos
actividad relacionada con los alguna actividad relacionada
procesos. con los procesos.
Auditar el uso de privilegios auditoría cuando un usuario auditoría cuando un usuario
realiza una acción de la que realiza una acción de la que
dispone privilegios. no dispone privilegios.
Auditar eventos de inicio de Genera una entrada de auditoría cuando un usuario
auditoría cuando un usuario inicia sesión incorrectamente
sesión
inicia sesión correctamente. o no es capaz de iniciar sesión
correctamente.
Auditar eventos de inicio de auditoría cuando un usuario auditoría cuando un usuario
sesión de cuenta inicia sesión en una cuenta inicia sesión en una cuenta
correctamente. incorrectamente.
Auditar eventos del sistema auditoría cuando un evento auditoría cuando un evento
del sistema se ejecuta del sistema se ejecuta
correctamente. incorrectamente.
Auditar la administración de auditoría cuando un evento
auditoría cuando un evento
de administración de cuentas
cuentas de administración de cuentas
se produce de forma
se produce de forma correcta.
incorrecta.
Figura119: Tabla de descripción del registro de las directivas de auditoría básicas.
Como ya vimos en el apartado primero, para completar esta información u obtener una
descripción más completa puede acceder a la pestaña Explicación que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.
Las procesadas políticas de seguridad
Después de habilitar o modificar ciertas directivas de seguridad, el administrador de

sistemas puede revisar de qué modo estas políticas son actualizadas en los equipos del
grupo. Para ello Windows Server a través de la herramienta Editor de
administración de directivas de grupo, accesible mediante la opción Editar de
cualquiera de los objetos de directiva de grupo, nos permitirá hacerlo.

Figura 121: Acceso al editor de administración de directivas de grupo.
Una vez en Editor de administración de directivas de grupo nos desplazamos por el

árbol Directiva Default Domain Controllers Policy [] > Configuración del equipo >
Directivas > Plantillas administrativas: … > Sistema > Directiva de grupo y
seleccionamos la directiva Configurar el procesamiento de directivas de seguridad como
vemos a continuación:
Figura 122: Configurar el procesamiento de directivas de seguridad.
Esta directiva aplica el modo de actualizar las directivas de seguridad en determinados

escenarios, por ejemplo, cuando las condiciones de latencia en la conexión de red del

equipo cliente se ve incrementada, o la conexión de red es de bajo ancho de banda

(dispositivo móvil). En este tipo de caso el sistema de los equipos clientes afectados la
habilitan por defecto refrescando las políticas de seguridad cada 16 horas si no sufren
ningún tipo de cambio.
El administrador de sistemas puede habilitar o deshabilitar esta directiva, en el caso

de que sea habilitada se ofrece dos opciones de configuración.
La primera opción «No aplicar durante el procesamiento periódico en

segundo plano» desactiva la aplicación de las directivas de seguridad cuando el
usuario inicia sesión y cuando hace uso del equipo. La motivación para realizar esta
acción debiera estar justificada debido a la importancia de mantener un refresco de
las directivas de seguridad, uno de los motivos pudiera ser por ejemplo que al realizar
las actualizaciones alguna aplicación en ejecución en el sistema fallara.
La segunda opción «Procesar incluso si los objetos de directiva de grupo no

han cambiado», esta configuración activa un refresco continuo, en el caso de que el
usuario del equipo cliente modificara las directivas de seguridad estas volverían a ser
configuradas.
También puede revisar de forma complementaria la directiva Establecer el intervalo

de actualización de la directiva de grupo para equipos, esta configuración
permite insertar la frecuencia con que se actualiza la directiva de grupo en los equipos
clientes, el tiempo por defecto es de 90 minutos con un desplazamiento temporal de 30
minutos para impedir que todos los clientes soliciten la actualización al mismo tiempo.
La auditoría de ficheros y directorios
La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, también
en sistemas de ficheros NTFS se permite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración primeramente debemos activar las directivas
de auditorías Auditar el acceso a objetos y Auditar el acceso al servicio de
directorio, tras esto seguimos los siguientes pasos:
Hacemos clic derecho sobre el fichero o directorio deseado y seleccionamos

Propiedades.
Seleccionamos la pestaña Seguridad.

Hacemos clic Opciones avanzadas.

Seleccionamos la pestaña Auditoría.
Hacemos clic sobre Agregar.
Una vez en la ventana Entrada de auditoría, como podemos ver en la próxima

imagen, seleccionamos el elemento enlazado de la parte superior derecha de la ventana
con título Seleccionar una entidad de seguridad.
En la siguiente ventana que se abre seleccionamos el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionamos
Aceptar procediendo a registrar la entrada de seguridad.
Figura 123: Ventana entrada de auditoría.
Para configurar la entrada de auditoría seguimos los siguientes pasos:
1. Seleccionamos el tipo de evento a registrar: Correcto, Erróneo o Ambas.

2. Seleccionamos el nivel de aplicación de la entrada de auditoría.
3. Los permisos que deseamos auditar: Mostrar permisos avanzados amplía el
número de permisos auditables.
4. Seleccionamos si es de interés aplicar esta configuración a todos los objetos
contenidos en el directorio.
5. Podemos agregar una condición para restringir el ámbito de aplicación de la entrada
de seguridad.
6. Aceptamos.

Figura 124: Ventana de auditoría con una entrada registrada.
Ya se encuentra registrada nuestra regla de auditoría sobre fichero o directorio

seleccionado.
La auditoría de impresoras
De la misma manera que en el apartado anterior configurábamos una auditoría

sobre ficheros y directorios, ahora vamos a ver como configurar una auditoría
sobre impresoras.
Para realizar la configuración, primero debemos activar las directivas de auditorías

Auditar el acceso a objetos y Auditar el acceso al servicio de directorio. Tras
esto, debemos entrar al Panel de control y acceder a Dispositivos e impresoras,
hacemos clic derecho sobre la impresora de interés para desplegar el menú de opciones
y seleccionamos Propiedades de impresora, ahora vamos a la pestaña
Seguridad, seleccionamos Opciones avanzadas, accedemos a la pestaña
Auditoría y hacemos clic sobre el botón Agregar; se nos abre una ventana de Entrada
de auditoría, como en la siguiente imagen.

Figura 125: Entrada de auditoría para impresoras.
Una vez en la ventana Entrada de auditoría seleccionamos el elemento enlazado de

la parte superior derecha de la ventana con título Seleccionar una entidad de
seguridad, en la siguiente ventana que se abre seleccionamos el usuario o grupo del
que es interés realizar el registro de auditoría de impresoras, seleccionamos Aceptar y
procedemos a registrar la entrada de seguridad.
Figura 126: Entrada de auditoría para impresoras, entidad de seguridad seleccionada.
1. Seleccionamos el tipo de evento a registrar correcto, erróneo o ambas.

2. El nivel de aplicación, en este caso se encuentra deshabilitado.

3. Seleccionamos los permisos que deseamos auditar, Mostrar permisos avanzados

amplía el número de permisos auditables.
4. Aceptamos.
Figura 127: Ventana de auditoría con una entrada de auditoría registrada.
La auditoría de elementos del directorio activo
Es posible auditar elementos de Directorio Activo, como dominios, objetos y carpetas.
Para realizar una auditoría sobre estos elementos debemos primeramente activar las
directivas de auditorías Auditar el acceso a objetos y Auditar el acceso al
servicio de directorio, tras esto, acceder a la herramienta Usuarios y equipos de
Active Directory, accesible mediante Administrador del servidor.
Una vez en Usuarios y equipos de Active Directory, hay que comprobar que está
activada la opción Características avanzadas disponible en el menú Ver.
Para agregar una regla sobre un elemento hacer clic derecho sobre el dominio, objeto o
carpeta deseada y seleccionar Propiedades. Seleccionar la pestaña Seguridad, hacer
clic en el botón Opciones avanzadas, seleccionar la pestaña Auditoría y hacer clic
en Agregar, se nos presenta una ventana de Entrada de auditoría, como en la imagen
siguiente.

Figura 128: Ventana de entrada de auditoría de Usuarios y equipos de Active Directory.
Para crear la entrada de auditoría sobre un elemento de Active Directory debemos

de seguir una serie de pasos:
1. Seleccionamos la Entidad de seguridad.
2. Seleccionamos los tipos de auditoría correctos, erróneos o ambos.
3. Seleccionamos el tipo de aplicación de la auditoría.
4. Seleccionamos entre el número de permisos posibles.
5. Seleccionamos Aceptar.
Además de los elementos auditables de Active Directory mostrados anteriormente,

también es posible auditar sitios y servicios. Para realizar auditoría sobre estos
elementos debemos acceder a la herramienta Sitios y servicios de Active
Directory, accesible mediante Administrador del servidor y una vez en Sitios y
servicios de Active Directory comprobar que está activada la opción Características
avanzadas disponible en el menú Ver.
Para agregar una regla de auditoría sobre un elemento, hay que hacer clic derecho sobre
el dominio, objeto o carpeta deseada y seleccionar Propiedades, seleccionar la pestaña
Seguridad, hacer clic en el botón Opciones Avanzadas, seleccionar la pestaña
Auditoría y hacer clic en Agregar, se nos presenta una ventana de Entrada de
auditoría, como se ve en la imagen:

Figura 129: Ventana de entrada de auditoría Sitios y Servicios de Active Directory.
Para crear la entrada de auditoría sobre un elemento de Active Directory debemos

de seguir una serie de pasos:
1. Seleccionamos la Entidad de seguridad.

2. Seleccionamos los tipos de auditoría correctos, erróneos o ambos.
3. Seleccionamos el tipo de aplicación de la auditoría.
4. Seleccionamos entre el número de permisos posibles.
5. Seleccionamos entre las posibles propiedades configurables ofrecidas.
6. Seleccionamos si deseamos hacer heredable la configuración a los elementos del
Contendor en configuración.
8. Seleccionamos Aceptar.
Mediante los pasos anteriores ya tenemos creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.
Visualización de eventos
Para visualizar los eventos establecidos accedemos al Panel de Control >

Herramientas administrativas > Visor de eventos. Una vez en la aplicación, en
el panel de la izquierda, desplegamos el nodo Registros de Windows > Seguridad.
La herramienta Visor de eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de complementos visibles en el panel derecho.

Manipular directivas de auditoría con Auditpol
Auditpol es una herramienta de línea de comandos que permite manipular las

directivas de auditoría de forma menos limitada a como lo permite GPO.
La sintaxis de esta aplicación es:
auditpol comando [<subcomando > <opciones>]
En la siguiente tabla se describen los comandos principales que soporta la

aplicación, disponiendo cada uno de estos comandos de subcomandos que pueden
consultarse en el símbolo del sistema mediante el comando:
Auditpol /<comando> /?
Subcomando Descripción
/Get Muestra la directiva de auditoría actual
/Set Establece la directiva de auditoría
/List Muestra los elementos de directiva
seleccionables
/backup Guarda la directiva de auditoría en un archivo
/restore Restaura la directiva de auditoría de un archivo

que se ha creado previamente mediante el uso de
/backup auditpol.
/Clear Borra la directiva de auditoría.
/Remove Elimina valores de directiva de auditoría por
usuario y deshabilita la configuración de directiva
de auditoría de todos los sistemas.
/resourceSACL Configura listas de control de acceso a recursos

globales del sistema (SACL).
/? Muestra la ayuda.
Figura 130: Tabla de comandos principales de Auditpol.

Realizamos una prueba para lista listar todas las categorías de auditoría posibles con
el comando:
auditpol /list /subcategory:*
El anterior comando da la salida mostrada a continuación:
Figura 131: Subcategorías de auditoría listadas con la herramienta Auditpol.

Windows 10 apareció en 2016 con algunas diferencias con respecto a Windows Server
2012. Las más destacadas han sido:
Nano Server: tipo de instalación que permite al administrador instalar aquellas

partes del sistema operativo que necesite, evitando la necesidad de un volumen de
almacenamiento elevado y mejorando el rendimiento. Además, no tiene interfaz
gráfica ni capacidad de inicio de sesión local, está pensado para una gestión
totalmente remota.
Contenedores: los contenedores nos proveen lugares aislados para la ejecución de
aplicaciones sin afectar al sistema que lo alberga y viceversa. Se incluyen dos tipos
diferentes, contenedores de Windows Server en el que el contenedor comparte
el kernel con el sistema operativo host pero deponiendo de un aislamiento en el
espacio de nombre, procesos y control de recursos. Los contenedores Hyper-V
incluyen aislamiento a nivel de kernel entre cada contenedor de este tipo.
Posibilidad de virtualizar Hyper-V.
Actualización gradual de nodos: permite añadir nodos con Windows Server
2016 a un clúster Windows Server 2012 R2 e ir actualizándolo sin necesidad de
paradas, clúster secundario, hardware ni almacenamiento adicional.
Añadir y eliminar adaptadores de red virtuales en caliente.
PowerShell Direct: permite ejecutar comandos de Power Shell en una máquina
virtual desde la máquina host sin necesidad de realizar ninguna configuración y
evitando problemas con las configuraciones de red o del firewall.
Con respecto a la seguridad podemos destacar:
Virtualization Based Security (VBS)
Esta característica nos permite aislar los servicios y datos más importantes del resto de
componentes del sistema operativo basándose en Microsoft Hyper-V. La idea es que
entre el hardware y el sistema operativo host se coloca el Hipervisor, al contrario que en
una arquitectura tradicional. Sobre esta arquitectura, se crea un espacio separado del
sistema operativo host en el que se ejecutan procesos específicos y se gestiona la memoria
asociada a los mismos. Actualmente los servicios incluidos en esta área son Local
Security Authority (LSA) y Code Integrity.

Este último está compuesto de una función de control para el kernel (Kernel Mode
Code Integrity (KMCI)) y otra para el hipervisor (Hypervisor Code Integrity (HVCI)). La
imagen siguiente nos muestra la arquitectura resultante:
Figura 132: Arquitectura de VBS. Fuente: Windows 10 Device Guard and Credential Guard Demystified.
Device Guard
Esta nueva característica permite bloquear la carga de drivers, binarios de nivel de

usuario, ejecutables y scripts que no han sido autorizados en la política. Su configuración
es sencilla, ya que consiste en activar una directiva de grupo en la que disponemos de
diferentes características:
Para prevenir ataques en el arranque dispone de lo que se conoce como UEFI

Secure Boot que nos de ataques en el proceso de arranque y de la instalación de un
firmware malicioso.
Nos permite controlar ataques a nivel de kernel usando VBS.
Permite determinar los accesos a memoria usando VBS.
Permite definir una lista de software que se permite ejecutar, evitando la
ejecución de malware.
Se pueden definir políticas sobre la validación de firma de código, evitando la
ejecución de código malicioso.

Credential Guard y Remote Credential Guard
Muy relacionada con la anterior, lo que se hace con esta característica es que la gestión
de las credenciales y tickets Kerberos se mueve al VBS. Esto permite que dichas
credenciales nunca sean reveladas a un espacio de memoria al que pueda acceder un
atacante. Para el caso de conexiones remotas, lo que se logra es que las credenciales o
tickets del usuario nunca abandonen la máquina en la que se está autenticando.
Control Flow Guard
Esta característica permite definir a los desarrolladores de software en el código

compilado donde llamadas indirectas pueden ser ejecutadas. De esta forma en tiempo de
ejecución se analiza si una llamada indirecta tiene como objetivo una dirección invalida,
y si es así dicho programa es finalizado.
Shielded Virtual Machines y Host Guardian Service
Esta nueva característica nos permite proteger las máquinas virtuales de host maliciosos.
Si pensamos que la información de una máquina virtual va a estar almacenada en
ficheros, la protección de estos es importantísima. Con esta nueva característica
introducida den Windows server 2016 se pretende realizar dicha protección.
Conocido como la segunda generación de máquinas virtuales, disponen de un TPM

virtualizado, cifrado con BitLocker y que solamente permite su ejecución en
sistemas confiables.
Para llevar a cabo esta funcionalidad se basa en dos servicios ofrecidos por el servicio
conocido como Host Guardian Service (es un nuevo role definido en esta nueva versión
de Windows server):
Servicio de atestación: se encarga de validar que el host es confiable y de ser así
genera un health certificate para ese host que pasa a ser considerado como
seguro.
Servicio de protección de clave: el host le envía el health certificate conseguido
en el paso anterior y este servicio le pasa las claves necesarias para acceder a las
máquinas virtuales de ese escudo.

Privilegios de administración
Los privilegios de administración a usuarios es siempre un tema que debe ser analizado
cuidadosamente. Con el objetivo de mejorar la seguridad en este aspecto se definen dos
nuevos conceptos. El primero de ellos, Just Enough Administration, se basa en proveer
solamente las herramientas administrativas necesarias para realizar las tareas
administrativas que debe llevar a cabo un determinado administrador. Como
complemento a este enfoque, también se ha definido Just In time Administration, en la
que se permite asignar a usuarios a grupos con privilegios de administración por un
tiempo determinado, evitando la asignación permanente de los usuarios a dichos grupos.

Lo + recomendado
Lecciones magistrales
NAP (Protección de Acceso a Red)
En esta lección magistral se tratará una herramienta nueva que introdujo Microsoft
desde Windows 2008 y que nos permite tener la red bajo un estado de salud aceptable,
denegando el acceso a la red de aquellos equipos que no cumplan unos requisitos
mínimos de seguridad.
Accede a la lección magistral a través del aula virtual
TEMA 1 – Lo + recomendado © Universidad Internacional de La Rioja (UNIR)

No dejes de leer…
Windows Server 2008
Sosinsky, B. (2009). Windows Server 2008, Instalación y Administración (1ª edición).

Madrid: Ediciones EJEMP Multimedia.
En referencia a este tema, nos interesan el capítulo 4 y el capítulo 9.

En el capítulo 4 se realiza una introducción al pulmón del Windows
Server, el Active Directory. Conocerás las peculiaridades que tiene y
aprenderás a ver los diferentes tipos de objetos que lo componen.
El capítulo 9 hace un resumen de lo que el sistema operativo
Windows Server 2008 ofrece a una empresa referencia a la
seguridad.
Copias de seguridad y restauración de datos
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. Madrid:
Ediciones EJEMP Multimedia.
De este libro nos resultan interesantes los capítulos 13 y 16. En

el capítulo 13 podrás ver las características específicas de los
volúmenes como la disposición, tipo, sistema de archivos,
estado y capacidad desde la utilidad administrador de discos.
En el capítulo 16 se analizan cada uno de estos tipos de copias
de seguridad, detallando las características de cada tipo de
copia.

Los servicios de Internet Information Server (IIS)
Raya Cabrera, J. L., Raya González, L. y Martínez Ruiz, M. (2010). Windows Server
2008, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.
En el segundo capítulo del libro de Raya Cabrera se trata

el servicio web y de FTP que ofrece Microsoft a sus clientes.
Con su lectura aprenderás a instalar, entrando en detalle en
cómo se configura.
Seguridad en sistemas Windows
Lockhart, A. (2007). Seguridad de redes. Los mejores trucos (2ª edición). Madrid:
Ediciones Anaya Multimedia.
El segundo capítulo de este libro nos presenta unos trucos

que tenemos que tener en cuenta a la hora de asegurar
nuestros equipos de Microsoft.

+ Información
A fondo
Evaluation Guide Windows Server 2012
En este artículo, Microsoft nos habla en profundidad de las mejoras incluidas en

Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://download.microsoft.com/download/5/B/A/5BA68C2A-72FF-48C9-A6EC-
A778B1785F2B/Windows_Server_2012_R2_Evaluation_Guide.pdf
Windows Server 2012, nuevas características
En esta versión de Windows se realizan una serie de mejoras frente a la versión

Accede al artículo a través del aula virtual o desde la siguiente dirección:

https://blogs.msmvps.com/quilez/2012/05/14/windows-8-server-191-vale-la-pena-
%20%20actualizarse/
Windows Server 2012 R2
La revisión 2 de Windows Server mejora el soporte de Windows Azure con Hyper-V

Recovery Manager que extienden las mejoras ya hechas en el 2012.
Accede al artículo a través del aula virtual o desde la siguiente dirección:

https://www.tectimes.net/articulo-windows-server-novedades-en-virtualizacion-
hyper-%20%20v-de-windows-server-2012-r2/#Hyper-V_Recovery_Manager
TEMA 1 – + Información © Universidad Internacional de La Rioja (UNIR)

Webgrafía
Windows 10
Página web del sistema operativo Windows 10.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/windows/features
Windows Server 2016
Página web del sistema operativo Windows Server 2016.
https://www.microsoft.com/es-es/cloud-platform/windows-server
Windows Server 2016
Página web del IIS en la que podemos descargar IIS además de varias extensiones
compatibles con la versión de IIS escogida.
https://www.microsoft.com/es-es/cloud-platform/windows-server

PowerGUI
Página web de PowerGUI en la que podemos descargar el entorno gráfico para el

desarrollo de scripts en Windows PowerShell.
https://powershell.org/tag/powergui/
VeraCrypt
Página web de VeraCrypt en la que podemos descargar el software de cifrado y varios

manuales de uso.
https://veracrypt.codeplex.com/
Bibliografía
Jimeno, M. T., Míguez, C., Heredia, E., Caballero, M. Á. (2011). Destripa la red.
Jimeno, M. T., Míguez, C., Matas a, A. M., Pérez, J. (2009). La Biblia del hacker.
Lockhart, A. (2007). Seguridad de redes, los mejores trucos (1ª edición). Madrid:
Ediciones EJEMP Multimedia.

Stanek, W. (2011). Windows Server 2008, Guía del Administrador (1ª edición).
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. (1ª edición).
Royer, J. M. (2004). Seguridad en la informática de la empresa. Riesgos, amenazas.

Prevención y soluciones (1ª edición). Barcelona: Ediciones ENI.

Test
1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistemas operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cambio que se vaya a realizar en la
configuración del equipo y pedir confirmación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistema.
D. Todas las anteriores son incorrectas.
2. ¿Cuáles son los tipos de perfiles del firewall de Windows?

A. Perfil autoritario, perfil público y perfil privado.
B. Perfil privado y perfil público.
C. Perfil de dominio, perfil público y perfil privado.
D. Perfil de dominio y perfil autoritativo.
3. Applocker es:
A. Una herramienta de control de ejecución de aplicaciones y scripts.
B. Una herramienta que permite cifrar on-the-fly, tanto discos duros como
medios extraíbles.
C. Un firewall comercial.
D. Una herramienta de control de accesos y registro de accesos para
administradores en Windows.
4. Indica qué afirmación no es correcta sobre PowerShell:

A. La política de ejecución RemoteSigned consiste en que solo se podrán ejecutar
los scripts que sean remotos, el resto deberán estar firmados.
B. El comando Get-Content muestra el contenido de un archivo.
C. Nos permite interactuar con otras aplicaciones de Windows como Exchange,
IIS o SQL Server.
D. Se puede hacer un bypass a las políticas de ejecución locales únicamente
copiando y pegando el texto en la consola.
TEMA 1 – Test © Universidad Internacional de La Rioja (UNIR)

5. ¿Qué es SmartScreen?
A. Un método de generación de contraseñas a partir de imágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y malware mediante el escaneo de las URL.
D. Un mecanismo de protección para la ejecución de código en la pila.
6. Indica qué afirmación es correcta respecto al Active Directory:

A. Permite autenticar usuarios y almacenar sus respectivas preferencias de
aplicaciones y recursos.
B. Permite gestionar los recursos de un dominio.
C. Está basado en una serie de estándares establecidos por la unión internacional
de comunicaciones (UIT) llamados x.500.
D. Todas las anteriores son correctas.
7. ¿Cuál de las siguientes opciones no podemos realizar en un Windows Server 2012?

A. Compartición de carpetas.
B. Configurar las directivas de seguridad.
C. Configurar el controlador de dominio.
D. Configurar las políticas de gestión de herramientas y servicios.
8. ¿Qué son EAP, MS-CHAPV2, CHAP y PAP?

A. Protocolos de cifrado on-the-fly.
B. Protocolos de autenticación remota.
C. Protocolos de comunicación segura en entornos Windows.
D. Protocolos de funciones hash.
9. Indica qué afirmación es correcta sobre Direct Access:

A. Permite a los usuarios transferirse privilegios entre ellos de una forma
controlada y segura.
B. Permite a los usuarios acceder a las herramientas corporativas utilizando una
VPN de forma transparente y segura.
C. Permite acceder al sistema con permisos de administrador.
D. Todas las anteriores son incorrectas.

10. ¿En qué consiste la auditoría en un Windows Server 2012?

A. Buscar y explotar vulnerabilidades de seguridad de las aplicaciones del
servidor.
B. La afirmación anterior y además, la realización de informes sobre las
vulnerabilidades encontradas y el proceso para evitarlas.
C. Registrar las acciones realizadas sobre el servidor para comprobar que todo en
el equipo se mantiene según las políticas de la empresa.
D. Ninguna de las anteriores.

Tema 1

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Tema 1

Cargado por

Copyright:

Formatos disponibles

Sistemas Windows

[1.1] ¿Cómo estudiar este tema?

[1.5] Windows Server

[1.6] Windows Server 2008

[1.7] Windows Server 2012

[1.8] Windows Server 2012, auditoria

[1.9] Windows Server 2016

TEMA 1 – Esquema © Universidad Internacional de La Rioja (UNIR)

1.1. ¿Cómo estudiar este tema?

Comenzaremos viendo Windows 7. En este sistema operativo podemos encontrar

Después nos centraremos en Windows 8, en concreto en la versión 8.1. De nuevo

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

En el capítulo siguiente comenzaremos a ver Windows Server, con una pequeña

Finalmente veremos el proceso de auditoría de un Windows Server 2012 por parte de

En cuanto a la seguridad de Windows 7, podemos ver incorporadas una serie de

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Las notificaciones al usuario tienen un código de colores, que intenta representar la

Figura 1: Notificaciones del control de acceso a usuarios

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Un problema de UAC, sobre todo en Windows Vista cuando se introdujo, es que

Figura 2: Configuración del control de acceso de usuarios.

Reproducción automática: otra vulnerabilidad histórica de Windows era la

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Aunque la reproducción automática está desactivada por defecto en las versiones

Figura 3: Inicio de Windows 7.

2. Ahora vamos a Hardware y sonido:

Figura 4: Panel de control de Windows 7.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

3. Ahora podemos configurar las acciones para cada dispositivo:

Figura 5: Reproducción automática.

Política de contraseñas: la forma más común para la autenticación de usuarios es la

Lamentablemente existe un gran número de ataques a los sistemas de autenticación

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» Ataques de diccionario o fuerza bruta: el atacante intenta adivinar la

Históricamente las medidas de defensa se han centrado en el primer ataque, que es

La importancia de la política de contraseñas contra ataques de fuerza bruta radica en

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Figura 6: Políticas de contraseñas

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Windows almacena las contraseñas en el fichero SAM (security accounts manager),

Posteriormente, Microsoft definió un formato mejorado denominado NT LAN

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

» El protocolo NTLM no se basa en la contraseña sino en su hash, por lo que para

Figura 8: Consulta del hash re3xes en una Rainbow Table.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

Windows Biometric Framework (WBF): Windows 7 introdujo la capacidad de autenticar

1. Nos vamos al Panel de control > Hardware y sonido:

Figura 9: Panel de control de W7 para WBF.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

2. Seguimos los pasos del asistente de configuración:

Figura 10: Configuración del dispositivo de huellas dactilares.

BitLocker: esta herramienta nos permite cifrar los datos de cualquier u n i d a d

Cifrado en unidad de sistema: este tipo es con el que ciframos la unidad

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

o En una unidad USB externa.

En un chip criptográfico, incluido en los sistemas más modernos, incluido el llamado

Cifrado en unidad de datos: la unidad se cifra y se protege su acceso por

El desbloqueo del sistema se realiza en el arranque del sistema operativo,

BitLocker to Go: es una variante del BitLocker para unidades extraíbles. Es

1. Nos vamos al botón de inicio:

Figura 11: Inicio de Windows 7.

TEMA 1 – Ideas clave © Universidad Internacional de La Rioja (UNIR)

2. Hacemos clic en Panel de control: