Asignatura Datos del alumno Fecha

Seguridad en sistemas, Apellidos: Arranz Sevillano

11/12/2023
aplicaciones y el big data Nombre: Josu

Actividad 1 Grupal: Configuración

de seguridad en Windows Active
Directory
Integrantes: Josu Arranz Sevillano, Estefanía Gutiérrez Pérez, Santiago Ángel Lope
del palacio

INDICE
1. Evidencias de la Instalación del rol Active Directory, Domain Name Server
(DNS) y DHCP
2. Evidencias de la implantación de las políticas.
3. Evidencias de configuraciones adaptadas a vuestra hipotética
organización de las políticas del dominio y el controlador del dominio,
4. Evidencias de comprobación de las políticas de seguridad para Windows
Server del CCN.
5. Evidencias de la implantación configuraciones adaptadas a vuestra
hipotética organización de las políticas de seguridad para Windows 10 del
CCN.
6. Evidencias de comprobación de las políticas de seguridad para Windows
10 del CCN.
7. Conclusiones

1
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Evidencias de la Instalación del Rol Active

Directory, Domain Name Server (DNS) y DHCP
A la hora de realizar la Actividad 1, primero ha habido que montar el entorno de
trabajo que consistía en dos máquinas virtuales – un Windows Server 2016 y un
cliente Windows 10 (MSEDGE) - y en ellas instalar los roles de Active Directory, DNS
y DHCP. Lo primero que se ha hecho es descargar las máquinas virtuales y
montarlas en VirtualBox con 2 interfaces de red cada una –INTERNET y RED LOCAL -.

Después se cambió el nombre del servidor local.

En el siguiente paso se han instalado los Servidores de DNS y Active Directory.

2
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Y se ha configurado el servicio de dominio de Directorio Activo, para esto se ha

agregado un nuevo bosque.

Seguidamente, se ha instalado y configurado el Servidor de DHCP

Tras esto, se ha añadido el usuario ugrupo17 en el dominio, y se ha añadido el

dominio en la máquina de Win10 y permitiendo que ugrupo17 puede iniciar sesión.

3
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Evidencias de Implantación de las Políticas

Tras la configuración de las máquinas y de los roles Active Directory, DNS y DHCP, la
creación de un usuario - ugrupo17 - y de comprobar que es posible iniciar sesión en
el cliente Win10 con un usuario configurado en el Dominio - en el servidor Windows
2016 -, se ha procedido a implantar las políticas de seguridad.

El en el primer paso se descargó de la página de la asignatura el fichero .zip “CCN-

STIC-570A_ENS_AnexoA_Scripts.zip-20231” y se descomprimió en la carpeta
C:/Scripts.

Posteriormente se creó una nueva política de grupo - CCN-STIC-570A ENS

incremental Dominio categoría básica - en Objetos de directiva de grupo tal y como
indica la guía, y se importó la directiva correspondiente desde C:/Scripts.

4
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Se realizaron unos pasos similares para crear la política de grupo “CCN-STIC-570A

ENS incremental Controladores de Dominio categoría básica”. Pero en este caso en
lugar de importar la directiva, se importa una configuración desde Objetos de
Directiva de Grupo.

5
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Evidencias de Configuraciones Adaptadas a

Vuestra Organización de las Políticas del Dominio
y el Controlador del Dominio
Tras la implantación de las políticas se procedió a hacer configuraciones adaptadas
a las necesidades de la organización.

Directivas de contraseñas o Password Policy

● Enforce password history: En este caso se ha ajustado a 5. Esto mejorará la

seguridad haciendo que los usuarios no puedan usar contraseñas recientes
(las cinco últimas).
● Maximum password age: Lo ajustamos a 60 días para poder tener
contraseñas más actualizadas.
● Minimum password age: en este caso se opta por ajustarlo a 0 para poder
hacer cambios inmediatos si fuese necesario.
● Minimum password length: Como punto de partida se ajusta a 8 caracteres.
● Minimum password length audit: en este caso no se define ningún valor.
● Password must meet complexity requirements: se va a activar esta política
para hacer que las contraseñas sean más seguras.
● Store passwords using reversible encryption: No se necesita esta
característica y por tanto se deja deshabilitada para mejorar la seguridad.

6
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Directivas de bloqueo de cuenta o Account Lockout Policy

● Duración del bloqueo de cuenta: se establece este valor en 30 minutos

como punto de partida.
● Umbral de bloqueo de cuenta: en este caso se ajusta a 5 intentos fallidos.
● Restablecer el bloqueo de cuenta: se deja a 30 minutos de forma que los
usuarios tengan un máximo de 5 intentos en 30 minutos antes de ser
bloqueados por 30 minutos.

Opciones de seguridad

● “Inicio de sesión interactivo: título y texto del mensaje para los usuarios
que intentan iniciar una sesión”: En este caso se usan los siguientes valores:
○ Título: Aviso de seguridad.
○ Mensaje: Este sistema está sujeto a políticas de seguridad y al
acceder aceptas cumplir con las normativas de seguridad de la
organización. Cualquier actividad no autorizada está prohibida y será
monitoreada.

7
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

● “Inicio de sesión interactivo: texto de mensaje para los usuarios”: se ha

configurado con Aviso de Seguridad, para que se lance el mensaje al iniciar
sesión.

Directivas Locales -> Opciones de Seguridad

● “Seguridad de red: configurar tipos de cifrado permitidos para Kerberos”:

se han activado los algoritmos AES solicitados en la memoria.

Directivas locales -> Asignación de derechos de usuario

● En este caso no se ha visto la necesidad de restringir las políticas más allá de

las opciones usadas por la configuración importada del CNN.

8
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Evidencias de Comprobación de las Políticas de

Seguridad para Windows Server del CCN
Tras la implantación y la configuración de las políticas de seguridad, se ha utilizado
el ANEXO A.2.2. de la Guía de Seguridad de las TIC CCN-STIC 570A.

Para hacer todas las verificaciones, se ha generado un check list usando como base
la guía. Los resultados se pueden encontrar en la carpeta Informes_De_Verificacion.
Durante el proceso de verificación, se vio que algunos parámetros no eran válidos -
Tabla_Verificación_570A_Rev_1.pdf - y se generó un informe con las discrepancias -
Informe_Verificacion_Rev_1.pdf -. Tras la subsanación, se realizó de nuevo la
comprobación - Tabla_Verificación_570A_Rev_2.pdf - y se generó un segundo
informe - Informe_Verificacion_Rev_2.pdf -.

Seguidamente se evidencian 5 de las comprobaciones hechas durante este proceso.

Los Objetos de las Directivas de Grupo han sido Creados y están

Habilitados
En este caso se ha comprobado que las políticas de seguridad del ENS implantadas
están presentes y habilitadas en las directivas de grupo.

9
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Mensaje para los Usuarios que Intentan Iniciar una Sesión

Se ha configurado en las Opciones de Seguridad, que al iniciar sesión debería
aparecer una pantalla azul con un título de Aviso de Seguridad y un mensaje.

Derechos de administrador para el Administrador de Servicios

Durante la implantación y configuración, se han modificado los privilegios de
acceso. Por ejemplo, al lanzar “Server Manager”, se solicitará de forma explícita la
elevación de privilegios para su ejecución a Administradores.

Configuración de los Tipos de Cifrado Permitidos para Kerberos

Durante la configuración se han limitado los algoritmos permitidos para el cifrado
de Kerberos. En este caso solo se han permitido los algoritmos AES, y al ser más
restrictivo que en la lista de comprobaciones es válido.

10
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Subsanación de Errores Tras la Configuración Inicial

Tal y como se ha comentado al inicio la sección, al hacer una primera verificación se
han encontrado configuraciones que no cumplían con algunos puntos de la lista de
comprobación. Un ejemplo de esto es la Directiva Kerberos que aparecía como no
definida en la configuración inicial.

Evidencias de la Implantación Configuraciones de

las Políticas de Seguridad para Windows 10 del
CCN
El en el primer paso se descargó de la página de la asignatura el fichero .zip “ Scripts
- 599a19 ENS.zip-20231206T081738Z-001” y se descomprime en la carpeta
C:/Scripts. Seguidamente se lanzó el script “CCN-STIC-599A19 Controlador de
dominio – Paso 1 – importar ADMX.bat” y tras esto se configura el cliente Windows
en el dominio.

Puesto que en este caso la organización de los puestos presenta la misma categoría,
tal y como se indica en la guía se obvian los pasos 18 al 26, y se pasa directamente a
crear e importar la configuración de un nuevo objeto de directiva de grupo, e
importar la directiva de grupo.

11
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Asignación de derechos de usuarios

● Apagar el sistema: sólo podrán apagar el sistema los Administradores.

Además, se ha modificado se ha modificado la Directiva “Inicio de sesión

interactivo: título y texto del mensaje para los usuarios que intentan iniciar una
sesión” para mostrar otro texto en las máquinas Windows 10 Cliente.

Finalmente, se han aplicado las políticas a los Clientes de Windows 10.

12
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Evidencias de Comprobación de las Políticas de

Seguridad para Windows 10 del CCN
Tras la implantación y la configuración de las políticas de seguridad, se ha utilizado
el ANEXO A.2.2. de la Guía de Seguridad de las TIC CCN-STIC 599A19.

Para hacer todas las verificaciones, se ha generado un check list usando como base
la guía. Los resultados están en Informes_De_Verificacion en el documento Tabla_
Verificación_599A19_Rev_2. Seguidamente se evidencian 5 de las comprobaciones.

Los Objetos de las Directivas de Grupo están Creados y Habilitados

En este caso se ha comprobado que las políticas de seguridad para clientes del ENS
están presentes y habilitadas en las directivas de grupo.

El Objetos de las Directivas es Aplicado Sobre equipos Windows 10

En este caso se ha comprobado que las políticas de seguridad están aplicadas en los
clientes.

13
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Las Directrices del Cliente han sido Recibidas Correctamente

Se comprueba en la máquina MSEDGE - Windows 10 - que las directrices han sido
recibidas.

Iniciar Sesión en el Cliente con el Administrador del Dominio

Se inicia sesión en el cliente Windows 10 con el usuario Administrador del Domino.

Comprobación de las Directivas Propias de los Clientes

El mensaje que aparece al acceder a la máquina cliente es diferente al servidor.

Las opciones de apagado del sistema no están disponibles para los no

Administradores.

14
Actividades
 Asignatura Datos del alumno Fecha
Seguridad en sistemas, Apellidos: Arranz Sevillano
11/12/2023
aplicaciones y el big data Nombre: Josu

Conclusiones
La configuración de un servicio de Directorio Activo - DNS y DHCP - permite, una vez
configurado, gestionar dominios y el acceso de usuarios a aquellas máquinas en el
dominio. Esta configuración se hace en el propio servidor sin tener que configurar
cada usuario de forma manual en las máquinas.

Sin embargo, una mala configuración de las políticas de seguridad en el servidor

puede provocar vulnerabilidades que se extiendan por toda la organización. Esto se
puede mitigar usando las plantillas del CCN y las guías de configuración. Además,
existen plantillas con diferentes niveles de seguridad para las diferentes
necesidades de las organizaciones.

Aunque estás plantillas configuran unas políticas de seguridad concretas, es posible

personalizar algunas y así acomodar mejor las necesidades específicas de cada
organización sin tener que configurar las políticas de forma individual.

Finalmente, es de destacar las listas de comprobación presentes en las guías que

enseñan paso a paso a cómo hacer la comprobación. Esto ha sido de gran ayuda
para verificar las tareas llevadas a cabo, permitiéndonos detectar varias
discrepancias en las configuraciones durante la primera verificación - y ver la
correcta implantación durante la segunda verificación -.

15
Actividades