Documentos de Académico
Documentos de Profesional
Documentos de Cultura
[1.2] Windows 7
[1.3] Windows 8
[1.4] Windows 10
Esquema
Ideas clave
Para estudiar este tema, lee las ideas clave. Además, deberás estudiar las siguientes
páginas del manual Jimeno, M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia
del hacker (pp. 461-469). Madrid: Anaya.
Disponible en el aula virtual en virtud del artículo 32.4 de la Ley de Propiedad
Intelectual
En este tema vamos a analizar la seguridad de los sistemas operativos Windows, tanto
los sistemas personales como Windows 7, Windows 8 y Windows 10, como los sistemas
servidor Windows Server 2008, Windows Server 2012 y Windows Server 2016.
También se verán las novedades del sistema Windows 10 presentado en 2015 frente a
este anterior.
A continuación, veremos uno a uno ambos sistemas. En primer lugar, Windows Server
2008, con una pequeña introducción a sus características destacadas de seguridad. En
segundo término, Windows Server 2012, con una guía de instalación paso a paso, una
descripción de sus principales utilidades, así como una explicación y recomendaciones
para configurar todas estas utilidades. Algunas de ellas son:
» Directorio activo.
» Directivas de seguridad local.
» Creación de usuarios y políticas de seguridad.
» Copias de seguridad.
1.2. Windows 7
Control de acceso de usuarios (User Access Control - UAC): fue una característica
añadida en Windows vista, cuya finalidad es la de proteger el sistema operativo frente a
posibles cambios cuando el usuario tiene permisos de administración, y que solicita
confirmación al usuario cuando se realiza una instalación o hay modificaciones en los
parámetros del sistema.
Aunque siempre conviene tener dos usuarios, uno que sea el administrador (con todos
los permisos) y otro que sea un usuario llano con los permisos mínimos, en Windows
históricamente todos los usuarios eran administradores del equipo, por lo que
cualquier aplicación que ejecutaban los usuarios podía acceder a cualquier recurso del
sistema y realizar cualquier cambio. Gracias a UAC, las cuentas con permiso de
administrador tienen dos tokens (que es la forma en la que se gestionan los permisos de
los usuarios en Windows): uno de administrador y otro de usuario regular, de forma
que por defecto todas las aplicaciones que ejecuta el usuario utilizan el token sin
permisos, y solo las aplicaciones que lo soliciten explícitamente pueden obtener el
token con permisos de administrador, pero para ello se solicita permiso explícito. De
este modo un usuario administrador puede ejecutar aplicaciones de usuario sin peligro
a comprometer todo su sistema.
En esta figura podemos comprobar que en el UAC existen cuatro niveles, en los que
tenemos: el primer nivel, con el que se evitan todas las notificaciones, esta es la
configuración menos deseada desde el punto de vista de seguridad. Los niveles
intermedios notifican la instalación de nuevas aplicaciones, pero no los cambios en la
configuración del equipo (la diferencia entre ellos es el uso del escritorio seguro, para
prevenir que los programas puedan interactuar con el diálogo de UAC, que es el nivel
por defecto). Y por último, el cuarto nivel es el más seguro, puesto que nos notifica
siempre, frente a cualquier cambio en el equipo.
1. Panel de control:
En particular, los usuarios suelen considerarse el objetivo más fácil y un gran número
de ataques le tienen como objetivo:
𝑆𝑆
𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾𝐾 = � 𝑁𝑁 𝑖𝑖
𝑖𝑖=0
Windows permite definir una política de contraseñas que controle el tipo de caracteres
que se deben emplear en las contraseñas (letras mayúsculas, letras minúsculas,
números y signos de puntuación), su longitud mínima, cada cuántos días deben
cambiarse o prevenir que la nueva contraseña sea igual a las N anteriores. La política
de contraseñas se puede configurar en secpol.msc > Directivas de Cuentas >
Directivas de contraseñas.
Adicionalmente, para prevenir los ataques de fuerza bruta online, se puede definir
políticas de bloqueo de contraseñas, para limitar el número de intentos para adivinar la
contraseña bloqueando temporalmente o definitivamente la cuenta del usuario después
de muchos intentos inválidos para acceder a su cuenta. Hay que ser cuidadoso con esta
opción, puesto que puede dar lugar a un ataque de denegación de servicio, puesto que
un atacante puede bloquear adrede las cuentas de los usuarios que conozca.
Sin embargo, estas mitigaciones solo son útiles contra ataques online, cuando el
atacante no tiene ninguna información sobre la contraseña y tiene que recurrir a la
prueba y error sobre el propio sistema de autenticación, y por tanto es posible
detectarlo y pararlo. Sin embargo, si el atacante dispone del hash de la contraseña (que
el sistema utiliza para comprobar si dicha contraseña es correcta o no), puede realizar
un ataque offline que, dado que las funciones hash no son reversibles, también
consiste en realizar un ataque de fuerza bruta y probar con un diccionario de
contraseñas hasta que una coincida con el hash de la misma. Aunque, al ser fácilmente
paralelizable y realizarse localmente, la velocidad a la que se pueden probar
contraseñas es varios ordenes de magnitud mayor. Además, es imposible de detectar,
puesto que no es necesario realizar ninguna interacción con el sistema de autenticación
hasta que finalmente se obtiene la contraseña correcta.
Por esa razón es muy importante que los sistemas de autenticación almacenen los
hashes de las contraseñas de manera segura, y además utilicen algoritmos de hashes
lentos, que reduzcan la velocidad a la que se pueden realizar ataques offline.
Por ejemplo, LAN Manager (LM), el formato original para almacenar las
contraseñas en Windows es ridículamente inseguro. Por un lado, las contraseñas se
convierten a mayúsculas antes de probarlas (por lo que da igual si la contraseña
original utiliza letras mayúsculas o minúsculas), pero sobre todo porque, en lugar de
procesar la contraseña completa, se completa con ceros hasta llegar a los catorce
caracteres y se divide en dos partes de siete caracteres que se emplean como una clave
DES para cifrar un valor conocido y se almacenan las dos partes por separado. Por lo
tanto, en lugar de tener que buscar en el espacio de contraseñas de catorce caracteres,
que tiene (24+10+14)^14 posibilidades, basta con atacar a cada parte por separado, lo
que solo implica 2 * (24+10+14)^7 posibilidades, por lo que hoy en día una contraseña
LM es trivial de romper, incluso si se genera de manera aleatoria.
El primer problema ha dado lugar a las denominadas Rainbow Tables, que no son
más que diccionarios precomputados de hashes sin salt que permiten encontrar
rápidamente la contraseña asociada a los mismos. Para reducir su tamaño (debido al
descomunal espacio de búsqueda), no se almacenan los hashes propiamente dichos,
sino que solo se almacenan el primer y el último valor de cadenas de contraseñas
obtenidas a partir del hash (H) de la contraseña anterior, mediante funciones de
reducción (Ri). De este modo, a partir de un hash dado, basta con ir generando las
contrason las funciones de reducción asociadas, hasta que una de ellas coincida con el
final de la cadena. Luego, basta con volver a calcular la cadena de contraseñas y hashes
a partir del primer valor hasta obtener la contraseña buscada.
Figura 7: Generación de una Rainbow Table (solo se almacena la primera y última contraseña de cada
cadena).
Sin embargo, a día de hoy, la gran amenaza de los ataques offline a los hashes de
contraseñas viene de la utilización de hardware dedicado, con varias GPUs (Graphical
Processing Units), con herramientas como Hashcat, que permiten paralelizar el cálculo
de hashes rápidas a velocidades vertiginosas (del orden de Terahashes por segundo). De
forma que actualmente, el hash NTLM de cualquier contraseña de 8 caracteres o menos
(incluso generada de manera aleatoria) puede romperse en cuestión de decenas de
minutos.
Según el ámbito de aplicación de BitLocker tenemos dos tipos, en función del tipo
de unidad a cifrar:
Utilización:
Dicha herramienta es flexible y simple para que los administradores del equipo
especifiquen exactamente qué se puede ejecutar en el entorno de escritorio. Con esta
herramienta podemos:
Prevenir que el software sin licencia pueda ser ejecutado si no está en una lista
blanca de software permitido.
Prevenir y tener la posibilidad de denegar la ejecución de aplicaciones que no
están en la lista de permitidas y que además puedan contener malware.
Denegar que los usuarios de dicho entorno ejecuten aplicaciones que consuman
un gran ancho de banda innecesario o que afecten a dicho entorno de escritorio
y que aumenten el costo de soporte y mantenimiento.
Para acceder a esta herramienta tenemos que seguir los pasos siguientes:
3. Pulsamos sobre cualquier opción del AppLocker y nos dirigimos a Acción >
Crear nueva regla, según la imagen:
4. En la ventana siguiente podemos ver las diferentes opciones que nos ofrece
dicha herramienta:
Interfaz avanzada: esta nos permite editar las opciones que nos brinda el
Firewall de Windows, en ella podemos modificar y aplicar restricciones por usuario,
por grupo, por interfaz de red, y especificar las comunicaciones que se desean
permitir o filtrar, tanto en sentido entrante como en sentido saliente.
DirectAccess: esta tecnología permite crear conexiones remotas utilizando una red
privada virtual (VPN – virtual private network) cifrada usando IPsec entre los
equipos que estén conectados en una misma red. Dichas conexiones sirven para
utilizar aplicaciones o acceder a los datos de un entorno corporativo de forma
transparente y segura. También podemos acceder a entornos que no estén conectados a
la misma red, en lo que se introducen mejoras en la seguridad al permitir la gestión de
dichos equipos con el fin de mantenerlos actualizados y obligando a seguir la política de
seguridad de la red corporativa.
Para ejecutar una consola PowerShell (o para abrir el editor de scripts PowerShell ISE):
Mediante los scripts, que suelen tener la extensión .ps1, esta herramienta no solo se
puede utilizar para la administración del sistema, sino que también se puede utilizar
para comprometerlo.
Figura 29: Consulta e intento de modificar la política de ejecución (no hay permisos sobre el registro).
Pese a estas protecciones, hay múltiples formas para saltarse estas políticas y
ejecutar scripts en una PowerShell, el bypass más sencillo por ejemplo será copiar
y pegar el código del script en la terminal. Por ello, si el atacante tiene acceso directo
a la máquina no se puede hacer mucho para evitar un ataque. Es aconsejable el uso
de contraseñas de inicio de sesión, bloqueo de aplicaciones con un segundo factor de
autenticación, etc.
https://www.elladodelmal.com/2015/04/psbot-dame-powershell-y-movere-el-
%20%20mundo.html
Registro de Windows: es una base de datos jerárquica donde se almacenan todos los
ajustes de configuración de los sistemas operativos Windows. Está organizado en varias
ramas, donde se puede acceder a diferentes aspectos de la configuración del sistema
operativo:
HKEY_CLASSES_ROOT (HKCR): contiene una lista de extensiones de
distintos tipos de archivos. En cada una se define qué aplicación debe abrirlos por
defecto.
Dentro de esas ramas se pueden encontrar a su vez subcarpetas que agrupan las
diferentes opciones, que se representan como pares <Nombre, Valor>. Los valores
tienen un tipo asociado, como REG_BINARY para datos binarios, REG_SZ para
cadenas de texto, REG_MULTI_SZ para listas de cadenas de texto terminadas,
REG_DWORD o REG_QWORD para valores numéricos de 32 o 64 bits, etc.
1.3. Windows 8
Windows 8.1 ofrece una serie de mejoras frente a su versión anterior. Con respecto a la
seguridad se destacan:
Microsoft Defender
Windows Defender ofrece dos maneras de evitar que el spyware infecte el equipo:
Escaneado activo. Puedes usar Windows Defender para buscar spyware que
podría ser instalado en tu ordenador, para programar los análisis de forma regular,
y para eliminar automáticamente cualquier cosa que se detecte durante un examen.
Para acceder y configurar el Microsoft Defender tenemos que seguir los pasos siguientes:
Una vez accedido a la ventana principal de Microsoft Defender podemos navegar por
las pestañas para configurarlo a nuestro gusto.
En esta versión de Windows 8 ha sido añadida una nueva capa de seguridad que se
basa en el filtro de SmartScreen de Internet Explorer. Es un filtro de phishing y de
malware, implementado en varios productos de Microsoft, incluyendo Internet
Explorer 8, Hotmail... El sistema está diseñado para ayudar a proteger a los usuarios
contra ataques que utilizan la ingeniería social y las descargas alternativas para
infectar un sistema mediante el escaneo de las URL a las que accede un usuario
utilizando una lista negra de sitios web que contienen amenazas conocidas.
Protección infantil
Una vez creado el usuario de prueba, accedemos al panel de control y pulsamos sobre
Configurar protección infantil y se nos abrirá la ventana de configuración de la cuenta
Para acceder a esta herramienta en Windows 8.1 tenemos que seguir los pasos:
Panel de control.
Cuentas de usuario y protección infantil.
Cuentas de usuario.
Seleccionamos nuestra cuenta y le damos a Realizar cambios en mi cuenta en
Configuración, tal y como se muestra en la imagen:
Una vez accedamos, seguiremos las instrucciones que nos pide el asistente.
Se han implementado nuevas medidas para evitar que un fallo en una aplicación haga
que se expanda al sistema operativo, y se han mejorado diferentes mecanismos para
prevenir la ejecución maliciosa de código:
Interfaz METRO que incluye una sandbox para ejecución segura de aplicaciones.
En Windows 8.1 veremos que ha cambiado el icono de inicio con respecto a su
antecesor, este incorpora un nuevo diseño, conocido como METRO o Modern UI.
Este está formado por pequeños mosaicos cuadrados y rectangulares que
representan programas, podemos decir que es la pantalla principal de Windows 8.1.
datos en un área «ejecutable» puedan ser ejecutados por los programas, servicios,
controladores de dispositivos, etc.
1.4. Windows 10
Windows 10 apareció en 2015 con ciertas diferencias respecto a Windows 8.1, las más
destacadas fueron el menú de inicio, el asistente de voz y el nuevo navegador.
Con respecto a la seguridad podemos destacar:
Privacidad
En Windows 10 hay una serie de opciones y configuraciones que por defecto comparten
dicha información, vulnerando en parte la privacidad del usuario.
Microsoft Edge
Otra de las novedades con las que cuentas Windows 10 es el navegador por defecto,
Microsoft Edge. Este navegador, al igual que Internet Explorer, trabaja dentro de una
Sandbox y posee filtros SmartScreen, pero además tiene ciertas mejoras de seguridad
con respecto a su antecesor.
Es un navegador de 64 bits y utiliza ASLR para prevenir ataques, pero además posee
una nueva característica llamada Control Flow Guard (CFG). CFG permite a los
programas combatir las vulnerabilidades de corrupción de memoria, como los
desbordamientos de buffer o del heap. Para ello realiza una comprobación antes de
saltar a las diferentes direcciones de memoria, y dependiendo de si tiene permiso o no
para saltar a ella, continuará su ejecución o no. Esta característica hace más difícil la
creación de exploits y es un complemento más al ASLR visto anteriormente, a DEP o a
las Stack Canaries.
Mejoras de cifrado
En el caso de elegir una carpeta nos dará la opción de cifrar solo esa carpeta o también
de cifrar todas las subcarpetas y archivos. En el caso de ser un archivo, nos dará la
opción de cifrar solo el contenido del archivo o toda la carpeta que lo contenga.
Para estudiar este punto con más detalle, se deberá leer las páginas del manual Jimeno,
M.T., Caballero, M.A. y Míguez, C. (2008). La Biblia del hacker (pp. 461-469). Madrid:
Anaya.
Controlador de dominio.
Servidor de DHCP.
Servidor de DNS.
Servidor de archivos, impresión, Terminal Server (Remote Desktop Protocol).
Servidor de correo (MS Exchange).
Servidor web (Internet Information Services - IIS)
Servidor de WINS.
Cabe destacar que, a día de hoy, existen diferentes versiones de Windows Server
soportadas por Microsoft:
Windows Server 2008 (última versión: R2).
Windows Server 2012 (última versión: R2).
Windows Server 2016.
Cada una de ellas tiene diferentes versiones en base a las características y servicios que
necesitemos:
Standard.
Datacenter o Web.
Nanoserver.
Enterprise.
En su lugar, los servicios confían en los tickets emitidos por el KDC, que permiten a
los usuarios autenticados acceder durante cierto tiempo a los servicios que soliciten.
Para ello, el KDC permite que cualquier usuario o servicio de la red se autentique a
través de su authentication server (AS). Una vez autenticado, el KDC envía al
usuario un ticket granting ticket (TGT), cifrado por el KDC con su propia clave,
Algunos de los soportes hardware que podemos emplear para almacenar o realizar
una copia de seguridad de los datos son los siguientes:
Modos de ejecución: son los distintos niveles de permisos y privilegios que nos
ofrece esta suite de Microsoft.
Conceptos previos
Kernel Mode: es el modo que emplea el Sistema Operativo con más privilegios de
administración. Puede acceder a todas las funciones del núcleo (kernel) del sistema.
Sin embargo, aunque sea muy sencillo, rápido e intuitivo su manejo resulta
excesivamente vulnerable frente a cualquier tipo de ataque, puesto que este tipo de
actuaciones están encaminadas a hacerse con el control total del sistema operativo.
User Mode: es el modo empleado por los usuarios con menos privilegios de
administración (con diferencia del Kernel Mode, que es justo lo contrario). Los
ataques en este modo consisten en adquirir en algún momento los permisos
de administrador. El administrador tiene acceso a la modificación de los
parámetros del sistema, al igual que sucede con el primer modo enumerado
(kernel mode), pero nunca llega a poseer los mismos privilegios.
1. Nombre de usuario.
2. Contraseña.
Otro aspecto a considerar a la hora de configurar Windows Server 2008 son las
plantillas y directivas de seguridad, que son funcionalidades que nos proporciona
Microsoft para gestionar las opciones de configuración del sistema que, de otra
manera, habría que administrarla utilizando directivas de grupo.
Estándar: permite que los usuarios remotos tengan acceso a recursos de red
como archivos, carpetas y unidades.
Público: consiste en copiar o bien trasladar los archivos a la carpeta pública.
También es posible configurar Windows Server 2008 para que trabaje con NFS, un
sistema de compartición de carpetas locales en volúmenes NTFS a través del
explorador de Windows.
Seguridad
Una vez se haya acabado la instalación, el sistema arrancará y nos pedirá que añadamos
un usuario y una contraseña, lo llevamos a cabo y pulsamos en siguiente.
Tras esta acción comenzará el primer arranque de nuestro Windows Server 2012:
Nota: la primera vez que accedamos al sistema, será necesario cambiar la contraseña
de administrador.
Finalmente iniciaremos sesión con nuestra cuenta de administrador, para poder llevar a
cabo las configuraciones de nuestro servidor.
Recordatorio de credenciales
Conceptos previos
Para poder cumplir adecuadamente con la organización de las diversas tareas que
se pueden ejecutar en el servidor, hay que tener en cuenta que existen dos grupos
fundamentales:
El primer paso, sería acceder al botón Inicio/Equipo > Botón derecho > Propiedades,
cambiamos el nombre del equipo a: laboratorios.
Active Directory
Agregamos las características y nos aparece el siguiente menú, que corresponde a los
componentes que deseamos instalar en nuestro servidor.
Controlador de dominio
Una vez hemos llevado a cabo la instalación de nuestro Active Directory, el siguiente
paso corresponde a la configuración del Controlador del Dominio. Para ello iremos
al Administrador del servidor y lo configuraremos:
Los datos que emplearemos a lo largo del resto de la instalación serán los siguientes:
Import-Module
ADDSDeployment Install-
ADDSForest `
-CreateDnsDelegation: $false `
-DatabasePath “C:\Windows\NTDS” `
-DomainMode “Win2012R2” `
-DomainName “laboratorio.test” `
-DomainNetbiosName “LABORATORIO” `
-ForestMode “Win2012R2” `
-InstallDns: $true `
-LogPath “C:\Windows\NTDS” `
-NoRebootOnCompletion: $false `
-SysvolPath “C:\Windows\SYSVOL” `
-Force: $true
El siguiente paso es indicar las rutas de acceso, se indicarán las de por defecto:
En el siguiente paso nos aparecerá la opción de revisar las opciones que hemos
configurado, aparece también una opción denominada: “Ver Script” este tiene que
coincidir con el descrito anteriormente debajo de la Figura 62: Configuración de
controlador de dominio.
Una vez se ha verificado que todo está correcto, pulsaremos en siguiente y nos aparecerá
una comprobación de que cumplimos los pre-requisitos para que pueda llevarse a cabo
la instalación:
Aquí, dependiendo de los datos en cada caso, habría que emplear la herramienta Tool
DNS y configurar los parámetros correspondientes tales como:
Registro A.
Zona inversa.
Creación de registro PTR enlazado con el servidor, etc.
Ventajas:
• Su configuración es simple, se realiza activando una casilla en las
propiedades del archivo en concreto.
• El usuario controla en todo momento quién puede leer los archivos.
• Los archivos se cifran una vez son cerrados, pero cuando el usuario los
abre quedan automáticamente listos para su uso.
• Si en algún momento el usuario decide no cifrarlo, puede hacerlo
desactivando la casilla que permite esto en propiedades.
o Protección de datos.
o Cifrado de unidad Bitlocker.
En ese listado aparecen todos los usuarios, así como grupos del Active Directory. Desde
él podemos modificar las propiedades que consideremos convenientes de cada uno de
ellos.
Nota: otra posibilidad, sería crear un contenedor de usuarios nuevo (que cuelgue
desde laboratorio, test) y dentro de este contenedor los usuarios que el administrador
considere oportunos.
Por otro lado, el administrador podrá añadir otras opciones de configuración para
la contraseña del usuario, tal y como figura en la imagen anterior. Pulsamos en
Siguiente y nos aparecerá el resumen final del usuario creado:
Otra opción disponible es asignar los usuarios creados anteriormente al grupo: Unir.
En la pestaña miembros, podemos agregar los diferentes usuarios que queremos que
pertenezcan a ese grupo:
Para ello, pulsamos en cualquier usuario con botón derecho: Propiedades, tomando
como ejemplo el de la figura 77, solo que, en vez de ser para grupos, es para usuarios.
Para seleccionar una hora en particular, solo habrá que hacer clic sobre la celda que la
representa.
Si lo que queremos seleccionar es una franja horaria, bastará con hacer clic en una de
las celdas que ocupen una esquina en el rango y, sin soltar el botón izquierdo del ratón,
arrastrar hasta la esquina opuesta (es decir, en diagonal).
Para seleccionar todas las horas de un determinado día, podemos hacer clic sobre el
botón que contiene el nombre del día (por ejemplo, lunes).
Para seleccionar todas las horas de varios días consecutivos (por ejemplo, viernes y
sábado), procederemos como en el punto anterior, seleccionando el primero (o el
último) de los días, pero en lugar de soltar el botón izquierdo del ratón, lo
mantendremos pulsado mientras arrastramos el puntero hasta el botón que
representa el otro extremo del intervalo.
Para seleccionar toda la matriz a la vez, podemos hacer clic sobre el botón Todo.
Para seleccionar una determinada hora, pero en todos los días de la semana, hacemos
clic en el pequeño botón sin título que hay bajo el número que identifica la hora (si la
hora es par) o bajo el punto correspondiente (si es impar), ya que, como se puede ver,
solo están numeradas las horas pares.
Si queremos elegir un grupo de horas consecutivas para todos los días, procederemos
como en el punto anterior, seleccionando la hora que indique el principio o el final del
intervalo, pero en lugar de soltar el botón izquierdo del ratón, lo mantendremos
pulsado mientras arrastramos el puntero hasta el botón que representa el otro
extremo del intervalo.
Otra medida interesante es limitar en que equipo/s puede iniciar el usuario sesión. Para
llevar a cabo esa configuración pulsamos en el botón «Iniciar sesión en»:
Podemos también limitar la cuota de disco/s que tengamos en las propiedades de este:
Cabe destacar que, dentro de esta nueva versión del sistema operativo de Microsoft,
se pueden modificar las directivas que consideremos convenientes, esto ha cambiado
respecto a la versión de 2008.
Compartición de carpetas
Este tipo de utilidad ha sido la mayoría de las veces una tarea casi diaria y fundamental
en todas las organizaciones y/o empresas.
Para poder hacer uso de esta característica lo primero que debemos hacer es seleccionar
la carpeta que queramos compartir. Pulsamos botón derecho: Compartir con >
Usuarios específicos
Para establecer una ruta para el recurso tenemos dos opciones posibles:
Seleccionamos una unidad del equipo, donde se creará dicho recurso en una carpeta
llamada: share.
Indicándole una ruta específica.
Nos aparece un resumen para verificar que todos los pasos son correctos:
Firewall de Windows
A continuación, nos aparece el panel del Firewall de Windows con seguridad avanzada.
Pulsamos en: Nueva regla.
Por último, creamos un nuevo nombre para la regla establecida y una descripción:
Copias de seguridad
Es posible obtener una información más detallada navegando por cada configuración de
auditoría que ofrece el sistema, para ello hay que acceder a las propiedades de cada
configuración de auditoría y posicionarse en la pestaña Explicación.
Las auditorías se pueden configurar por medio de dos herramientas ofrecidas por
Windows Server 2012 R2:
La primera herramienta es Administración de directivas de grupo que permite
configurar las directivas de auditoría solamente para los controladores de dominio
y/o para todos los equipos que forman parte del dominio.
La segunda herramienta trata de Directivas de seguridad local, las directivas
aquí almacenadas pueden ser configuradas por cualquier equipo, sea controlador de
dominio o no, este último método no se recomienda ya que en el caso de que las
directivas de grupo se encuentren activadas, sobrescribirán los registros de auditoría
configurados en Directivas de seguridad local.
No olvidemos que por medio de esta herramienta las directivas aplicadas podrían ser
sobrescritas por las directivas operativas a nivel de dominio.
Una vez abierto el panel Directiva de seguridad local accedemos a la categoría Directiva
de auditoría mediante Configuración de seguridad > Directivas locales >
Directiva de auditoría, como vemos en la siguiente imagen:
Para configurar las directivas en uno de los dos objetos de directiva de grupo
anteriormente nombrados, hacemos clic sobre el elemento deseado y
seleccionamos Editar.
Configurando la auditoría
Para configurar una auditoría debemos hacer doble clic o bien seleccionar Propiedades
del menú de opciones que facilita la directiva de auditoría que deseamos definir.
Como ya vimos en el apartado primero, para completar esta información u obtener una
descripción más completa puede acceder a la pestaña Explicación que contiene cada
Directiva de auditoría en su versión ya sea bien básica o avanzada.
La auditoría no solo es aplicable sobre directivas para controlar ciertos eventos, también
en sistemas de ficheros NTFS se permite configurar la auditoría de ficheros y directorios.
Para acceder a la ventana de configuración primeramente debemos activar las directivas
de auditorías Auditar el acceso a objetos y Auditar el acceso al servicio de
directorio, tras esto seguimos los siguientes pasos:
En la siguiente ventana que se abre seleccionamos el usuario o grupo del que se tenga
interés realizar el registro de auditoría, una vez finalizada la configuración seleccionamos
Aceptar procediendo a registrar la entrada de seguridad.
La auditoría de impresoras
Para realizar una auditoría sobre estos elementos debemos primeramente activar las
directivas de auditorías Auditar el acceso a objetos y Auditar el acceso al
servicio de directorio, tras esto, acceder a la herramienta Usuarios y equipos de
Active Directory, accesible mediante Administrador del servidor.
Una vez en Usuarios y equipos de Active Directory, hay que comprobar que está
activada la opción Características avanzadas disponible en el menú Ver.
Para agregar una regla sobre un elemento hacer clic derecho sobre el dominio, objeto o
carpeta deseada y seleccionar Propiedades. Seleccionar la pestaña Seguridad, hacer
clic en el botón Opciones avanzadas, seleccionar la pestaña Auditoría y hacer clic
en Agregar, se nos presenta una ventana de Entrada de auditoría, como en la imagen
siguiente.
Para agregar una regla de auditoría sobre un elemento, hay que hacer clic derecho sobre
el dominio, objeto o carpeta deseada y seleccionar Propiedades, seleccionar la pestaña
Seguridad, hacer clic en el botón Opciones Avanzadas, seleccionar la pestaña
Auditoría y hacer clic en Agregar, se nos presenta una ventana de Entrada de
auditoría, como se ve en la imagen:
Mediante los pasos anteriores ya tenemos creada nuestra entrada de auditoría para
establecer registro de eventos aplicando reglas de interés.
Visualización de eventos
La herramienta Visor de eventos nos facilita un Filtro para visualizar las entradas de
registro deseadas, entre otra serie de complementos visibles en el panel derecho.
Auditpol /<comando> /?
Subcomando Descripción
/Get Muestra la directiva de auditoría actual
/Set Establece la directiva de auditoría
/List Muestra los elementos de directiva
seleccionables
/backup Guarda la directiva de auditoría en un archivo
Realizamos una prueba para lista listar todas las categorías de auditoría posibles con
el comando:
Windows 10 apareció en 2016 con algunas diferencias con respecto a Windows Server
2012. Las más destacadas han sido:
Esta característica nos permite aislar los servicios y datos más importantes del resto de
componentes del sistema operativo basándose en Microsoft Hyper-V. La idea es que
entre el hardware y el sistema operativo host se coloca el Hipervisor, al contrario que en
una arquitectura tradicional. Sobre esta arquitectura, se crea un espacio separado del
sistema operativo host en el que se ejecutan procesos específicos y se gestiona la memoria
asociada a los mismos. Actualmente los servicios incluidos en esta área son Local
Security Authority (LSA) y Code Integrity.
Este último está compuesto de una función de control para el kernel (Kernel Mode
Code Integrity (KMCI)) y otra para el hipervisor (Hypervisor Code Integrity (HVCI)). La
imagen siguiente nos muestra la arquitectura resultante:
Figura 132: Arquitectura de VBS. Fuente: Windows 10 Device Guard and Credential Guard Demystified.
Device Guard
Muy relacionada con la anterior, lo que se hace con esta característica es que la gestión
de las credenciales y tickets Kerberos se mueve al VBS. Esto permite que dichas
credenciales nunca sean reveladas a un espacio de memoria al que pueda acceder un
atacante. Para el caso de conexiones remotas, lo que se logra es que las credenciales o
tickets del usuario nunca abandonen la máquina en la que se está autenticando.
Esta nueva característica nos permite proteger las máquinas virtuales de host maliciosos.
Si pensamos que la información de una máquina virtual va a estar almacenada en
ficheros, la protección de estos es importantísima. Con esta nueva característica
introducida den Windows server 2016 se pretende realizar dicha protección.
Para llevar a cabo esta funcionalidad se basa en dos servicios ofrecidos por el servicio
conocido como Host Guardian Service (es un nuevo role definido en esta nueva versión
de Windows server):
Servicio de atestación: se encarga de validar que el host es confiable y de ser así
genera un health certificate para ese host que pasa a ser considerado como
seguro.
Servicio de protección de clave: el host le envía el health certificate conseguido
en el paso anterior y este servicio le pasa las claves necesarias para acceder a las
máquinas virtuales de ese escudo.
Privilegios de administración
Los privilegios de administración a usuarios es siempre un tema que debe ser analizado
cuidadosamente. Con el objetivo de mejorar la seguridad en este aspecto se definen dos
nuevos conceptos. El primero de ellos, Just Enough Administration, se basa en proveer
solamente las herramientas administrativas necesarias para realizar las tareas
administrativas que debe llevar a cabo un determinado administrador. Como
complemento a este enfoque, también se ha definido Just In time Administration, en la
que se permite asignar a usuarios a grupos con privilegios de administración por un
tiempo determinado, evitando la asignación permanente de los usuarios a dichos grupos.
Lo + recomendado
Lecciones magistrales
En esta lección magistral se tratará una herramienta nueva que introdujo Microsoft
desde Windows 2008 y que nos permite tener la red bajo un estado de salud aceptable,
denegando el acceso a la red de aquellos equipos que no cumplan unos requisitos
mínimos de seguridad.
No dejes de leer…
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. Madrid:
Ediciones EJEMP Multimedia.
Raya Cabrera, J. L., Raya González, L. y Martínez Ruiz, M. (2010). Windows Server
2008, Configuración Avanzada (1ª Edición). Madrid: RA-MA Editorial.
Lockhart, A. (2007). Seguridad de redes. Los mejores trucos (2ª edición). Madrid:
Ediciones Anaya Multimedia.
+ Información
A fondo
Accede al artículo a través del aula virtual o desde la siguiente dirección web:
https://download.microsoft.com/download/5/B/A/5BA68C2A-72FF-48C9-A6EC-
A778B1785F2B/Windows_Server_2012_R2_Evaluation_Guide.pdf
Webgrafía
Windows 10
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/windows/features
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/cloud-platform/windows-server
Página web del IIS en la que podemos descargar IIS además de varias extensiones
compatibles con la versión de IIS escogida.
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://www.microsoft.com/es-es/cloud-platform/windows-server
PowerGUI
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://powershell.org/tag/powergui/
VeraCrypt
Accede a la página web a través del aula virtual o desde la siguiente dirección:
https://veracrypt.codeplex.com/
Bibliografía
Jimeno, M. T., Míguez, C., Heredia, E., Caballero, M. Á. (2011). Destripa la red.
Madrid: Ediciones EJEMP Multimedia.
Jimeno, M. T., Míguez, C., Matas a, A. M., Pérez, J. (2009). La Biblia del hacker.
Madrid: Ediciones EJEMP Multimedia.
Lockhart, A. (2007). Seguridad de redes, los mejores trucos (1ª edición). Madrid:
Ediciones EJEMP Multimedia.
Stanek, W. (2011). Windows Server 2008, Guía del Administrador (1ª edición).
Madrid: Ediciones EJEMP Multimedia.
Stanek, W. (2011). Windows Server 2008 R2, Guía del Administrador. (1ª edición).
Madrid: Ediciones EJEMP Multimedia.
Test
1. ¿Qué función tiene el control de acceso de usuarios, UAC en los sistemas operativos
Windows?
A. Autenticar los usuarios en el inicio de sesión.
B. Notificar al usuario ante cualquier cambio que se vaya a realizar en la
configuración del equipo y pedir confirmación.
C. Añadir o quitar privilegios a los distintos usuarios y grupos en el sistema.
D. Todas las anteriores son incorrectas.
3. Applocker es:
A. Una herramienta de control de ejecución de aplicaciones y scripts.
B. Una herramienta que permite cifrar on-the-fly, tanto discos duros como
medios extraíbles.
C. Un firewall comercial.
D. Una herramienta de control de accesos y registro de accesos para
administradores en Windows.
5. ¿Qué es SmartScreen?
A. Un método de generación de contraseñas a partir de imágenes.
B. La interfaz de Windows 8, que incluye una SandBox.
C. Un filtro de phishing y malware mediante el escaneo de las URL.
D. Un mecanismo de protección para la ejecución de código en la pila.