Asignatura Datos del alumno Fecha

Seguridad en sistemas, Apellidos:

aplicaciones y el big data Nombre:

Configuración de seguridad en Windows Active

Directory

Objetivos

El objetivo de esta actividad es implantar y configurar las políticas de seguridad del

Centro Criptológico Nacional (CCN) en un dominio, a través del servicio Active
Directory en Windows Server. Se implantarán las siguientes políticas:

▸ CCN-STIC-570A ENS incremental dominio categoría básica para definir la

política de seguridad del dominio.
▸ CCN-STIC-570A ENS incremental controladores de dominio categoría básica,
para establecer la seguridad del servicio controlador de dominio.
▸ CCN-STIC-599A19 ENS incremental clientes categoría básica para establecer
la seguridad de los clientes del dominio.

Descripción

El laboratorio consta de cuatro partes:

▸ Descarga de ISO e instalación de Windows Server en una máquina virtual

(MV) y despliegue en VirtualBox. Instalación del rol Active Directory, Domain
Name Server (DNS) y DHCP.
▸ Descarga de máquina virtual W10 y despliegue en VirtualBox.
© Universidad Internacional de La Rioja (UNIR)
▸ Implantación, configuración y comprobación de las políticas de seguridad
para Windows Server del CCN.

Actividades 1
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

▸ Implantación, configuración y comprobación de las políticas de seguridad

para Windows 10 del CCN.
▸ Confección de la memoria

Instalación de Windows server y roles necesarios

▸ Descarga de ISO e instalación de Windows Server.

▸ Descarga Oracle VirtualBox de https://www.virtualbox.org/wiki/Downloads e
instalar.
▸ Descargar ISO Windows Server 2016 de:
https://www.microsoft.com/es-es/evalcenter/download-windows-server-
2016 y la clave asociada.
▸ Crear una MV de tipo Windows, 2 GB RAM mínimo, deseable 4 GB.
▸ En configuración de la máquina - almacenamiento, asociar la ISO WS2016 al
dispositivo CDROM.
▸ En configuración de la MV, en la opción, Sistema, el orden de arranque
primero CDROM.
▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1)
NAT que posibilita el acceso a Internet, activar el adaptador 2 como de tipo
red interna, nombre red local.

© Universidad Internacional de La Rioja (UNIR)

Figura 1. Instructivo. Fuente: elaboración propia.

Actividades 2
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

▸ Iniciar la MV. Para que comience la instalación de WS2016 se debe elegir la

opción instalación nueva. Una password para el usuario Administrador
válida de acuerdo con la política por defecto puede ser: Template1234!

▸ Acceder a la configuración de los adaptadores de red y asignar una dirección

de subred 192.168.5.0 (u otra similar, no debe existir en la máquina física) al
adaptador. Por ejemplo: 192.168.5.2

Figura 2. Instructivo. Fuente: elaboración propia.

▸ Se pueden instalar las Vbox guest additions. Para ello, en el menú de la MV-
Dispositivos-Unidades Opticas- seleccionar la imagen del disco que por defecto
está en el directorio de instalación de VirtualBox: C:\Program Files\Oracle\VirtualBox\
VBoxGuestAdditions_6.x.x.iso. A continuación, acceder desde el sistema operativo a la
unidad de CDROM (D) y ejecutar el programa de instalación
VBoxWindowsAdditions.exe
▸ Instalar el rol Active Directory y DNS siguiendo el tutorial a partir del
apartado Nombre del equipo (ya se ha configurado la red). Teniendo en cuenta: el
nombre del equipo: WSDNI (Documento Nacional de Identidad sin letra del primer
componente del grupo por orden alfabético); el nombre del dominio a crear:
dDNI.es
© Universidad Internacional (Documento
de La Rioja (UNIR) Nacional de Identidad sin letra del primer componente del
grupo por orden alfabético) y el nombre NetBios: dDNI (Documento Nacional de
Identidad sin letra del primer componente del grupo por orden alfabético).
▸ El usuario por crear se llamará ugrupoX (X es el número del grupo). Una
password válida de acuerdo a la política por defecto puede ser: Template123! Para

Actividades 3
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

que no haya problema a la hora de unir un cliente al dominio (posteriormente se

pueden cambiar) desmarcar: «el usuario debe cambiar la contraseña en el siguiente
inicio de sesión». Marcar: «la password no expira nunca, el usuario no puede
cambiar la contraseña». Opciones de cifrado: Kerberos AES 256 bits.
▸ Comprobar/Configurar la dirección DNS en las propiedades de red del
adaptador 2:

Figura 3. Instructivo. Fuente: elaboración propia.

▸ Instalar el rol DHCP siguiendo el tutorial desde el apartado Instalar DHCP en

Windows Server 2016, puesto que la red ya se configuró, hasta el apartado
Conectar un cliente a servidor DHCP de Windows Server 2016 (este apartado no
hace falta seguirlo). Tener en cuenta: el intervalo de direcciones del ámbito:
192.168.5.3 - 192.168.5.100

Descarga e Instalación de cliente Windows 10

▸ Descargar una MV Windows 10 para VirtualBox

▸ En VirtualBox – Archivo – Importar servicio virtualizado, seleccionando el
© Universidad Internacional de La Rioja (UNIR)
archivo WinDev2104Eval.ova descargado en el paso anterior.
▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1)
NAT que posibilita el acceso a Internet, activar el adaptador 2 como de tipo red
interna, nombre RED LOCAL:

Actividades 4
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Figura 4. Instructivo. Fuente: elaboración propia.

▸ Arrancar la MV, por defecto arranca con el usuario Administrator sin

password. Posteriormente se debe asignar una.
▸ Una vez arrancada, en Panel de control\Redes e Internet\Centro de redes y
recursos compartidos cambiar configuración del adaptador 2, para que
obtenga la dirección IP automáticamente (DHCP) y la dirección IP DNS
192.168.5.2

© Universidad Internacional de La Rioja (UNIR) Figura 5. Instructivo. Fuente: elaboración propia.

▸ Seguidamente, hay que introducir la MV en el dominio. Para ello, ir a Control

Panel\System and SecuritySee name of the systemRename this PC (Advanced)
asignando como nombre de equipo W10grupoX e introducir el nombre del dominio

Actividades 5
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

(dDNI.es) configurado en Active Directory en Widows Server y aportar el usuario

(ugrupoX) y password creado perteneciente a dicho dominio. El proceso pedirá
reiniciar la MV, se reinicia y se autentica en el dominio dDNI.es\ugrupoX.

Figura 6. Instructivo. Fuente: elaboración propia.

© Universidad Internacional de La Rioja (UNIR)

Actividades 6
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Implantación, configuración, comprobación de las políticas de seguridad para

Windows Server del CCN.

▸ Guía paso a paso del controlador de dominio que le sea de aplicación la

categoría básica del ens. Implementar la guía de seguridad para Windows Server
desde la página 19 a la 39 a.i. Aspectos para tener en cuenta en el apartado 2 (p. 28)
de Consideraciones y configuraciones específicas de la organización, modificar
algunas de las opciones de política de contraseñas, bloqueo de cuentas,
información de obligaciones y asignación de derechos de usuario, para adaptarlas a
vuestra hipotética organización. Explicar en la memoria las configuraciones
adaptadas para vuestra organización. En cuanto a los cifrados permitidos para
Kerberos: marcar las opciones correspondientes al algoritmo AES.
▸ Lista de comprobación de Windows Server como controlador de dominio
para la categoría básica. Incluir en la memoria una selección a vuestro criterio (5) de
las evidencias que creáis más significativas.

Confección de la memoria

La memoria debe incluir solo evidencias del proceso seguido sin incluir pantallas
propias de las guías de referencia usadas. Pantallas obligatorias para incluir con los
nombres de servidor, dominio, etc. personalizados:

▸ Administración del servidor/Servidor local.

© Universidad Internacional de La Rioja (UNIR)

Actividades 7
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Figura 7. Instructivo. Fuente: elaboración propia.

▸ Administración del servidor/Servidor AD DS.

Figura 8. Instructivo. Fuente: elaboración propia.

▸ Administración del servidor/DHCP.

© Universidad Internacional de La Rioja (UNIR)

Figura 9. Instructivo. Fuente: elaboración propia.

Actividades 8
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

▸ Administración del servidor/DNS.

Figura 10. Instructivo. Fuente: elaboración propia.

▸ Inicio de sesión en dominio personalizado según lo configurado por defecto

en las directivas:

Figura 11. Instructivo. Fuente: elaboración propia.

© Universidad Internacional de La Rioja (UNIR)

Actividades 9
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

▸ Ejemplo de inicio de sesión que debe aparecer para el dominio

personalizado por defecto:

Figura 12. Instructivo. Fuente: elaboración propia.

▸ Administración de directivas de grupo, con todas las unidades organizativas

desplegadas para que se visualicen las políticas implementadas.

Figura 13. Instructivo. Fuente: elaboración propia.

▸ Incluir las evidencias que se piden en los apartados 4 y 5 resaltadas en

negrita
© Universidad Internacional de La relativas
Rioja (UNIR)a listas de comprobación y las consideraciones a tener en cuenta
en la organización de políticas de contraseñas, bloqueos de cuenta, derechos de
usuario.
▸ Incluir otras evidencias que se estimen oportunas.

Actividades 10
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos:
aplicaciones y el big data Nombre:

Rúbrica

La rúbrica seguirá este modelo:

▸ Tres criterios como mínimo.

▸ Descripción de las calificaciones.

Extensión y formato

El trabajo tendrá una extensión máxima del laboratorio de quince páginas.

Configuración
de seguridad Puntuación
Peso
en Windows Descripción máxima
%
Active (puntos)
Directory
Criterio 1 Instalación del entorno 3 30%

Criterio 2 Implementación de GUIAS CNN

4 40%

Criterio 3 Calidad de evidencias de la memoria 3 30%

10 100 %

© Universidad Internacional de La Rioja (UNIR)

Actividades 11