ADMINISTRACIÓN

AVANZADA DE SISTEMAS
OPERATIVOS

ATICA

1
ÍNDICE GENERAL

PARTE 1
 Administración de Windows como Sistema
Operativo Individual

PARTE 2
 Administración de Windows en una Red de
Ordenadores

2
 PARTE 1

WINDOWS COMO SISTEMA

OPERATIVO INDIVIDUAL

ATICA

3
ÍNDICE

1. Entorno Windows
2. Conceptos básicos de administración
3. Instalación
4. Configuración
5. Acceso a los recursos
6. Administración de cuentas y grupos
7. Seguridad
8. Tratamiento de errores
9. Rendimiento

4
ENTORNO WINDOWS
EVOLUCIÓN
 Windows 2.X .. 3.1
 Windows 3.11
 Windows 95 - 98
 Windows NT 4 (WS + Server)
 Windows ME
 Windows 2000 (WS + Server)
 Windows XP - Windows Server 2003
 Windows Vista - Windows Server
2008
 Windows 7 - Windows Server 2008 R2
5
ENTORNO WINDOWS
¿Cuáles son las nuevas versiones de Windows?

 Windows NT 4.x
 Windows 2000 5.0
 Windows XP 5.1
 Wind.Server 2003 5.2
 Windows Vista 6.0
 Wind.Server 2008 6.0
 Windows 7 ???
 Wind.Server 2008 R2 ???

6
ENTORNO WINDOWS
Windows Management Instrumentation (WMI)

WMI proporciona compatibilidad

integrada para el Modelo de
Información Común (CIM,
Common Information Model),
que describe los objetos
existentes en un entorno de
administración.

7
ENTORNO WINDOWS
Windows Vista
EDICIONES
 Windows Vista Business
 reducir los costos de administración y aumentar la seguridad y la
productividad.
 Windows Vista Enterprise
 para grandes organizaciones con infraestructuras de TI de gran complejidad.
 Windows Vista Home Premium
 Entretenimiento en el hogar y conexión a Internet.
 Windows Vista Home Basic
 para usuarios que sólo necesitan las funciones esenciales de su equipo.
 Windows Vista Ultimate
 mejores características de movilidad y de entretenimiento.
 Windows Vista Starter
 disponible en los mercados emergentes, está diseñado para usuarios
principiantes.

8
ENTORNO WINDOWS
Windows Server 2008

 Standard Mejoras en configuración y administración y

características avanzadas de seguridad
 Enterprise funcionalidades de cluster, adición de procesadores
en caliente, consolidación de aplicaciones...
 Datacenter virtualización a gran escala, configuración en cluster,
particionamiento dinámico del hardware, hasta
64 proc...
 Web exclusivamente servidor web

( Existen versiones con y sin Hyper-V, excepto web)

9
CONCEPTOS BÁSICOS DE
ADMINISTRACIÓN WINDOWS

ATICA

10
CONCEPTOS BÁSICOS
Consola de administración (MMC)

11
CONCEPTOS BÁSICOS
Complementos de la consola de administración (MSC)

12
CONCEPTOS BÁSICOS
Uso de la consola para administrar equipos remotos

13
CONCEPTOS BÁSICOS
Secuencias de comandos

 Símbolo del sistema (CMD) y archivos .CMD

 Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo
tiene un nombre determinado.
2.- Crear un cmd que copie haga un espejo de nuestra carpeta
de trabajo en el directorio C:\Pares los días pares y en
C:\Impares los días impares.

14
CONCEPTOS BÁSICOS
Secuencias de comandos

 Windows Scripts Host

 Ejercicios
- Ejecutar un script del repositorio de ejemplos.
Enumerate Administrative Tools
Const ADMINISTRATIVE_TOOLS = &H2f&
Set objShell = CreateObject("Shell.Application")
Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)
Set objTools = objFolder.Items
For i = 0 to objTools.Count - 1
Wscript.Echo objTools.Item(i)
Next
- Buscar y ejecutar un script del repositorio de ejemplos, para
prevenir la ejecución de un proceso (p.ej. Iexplore.exe).
15
CONCEPTOS BÁSICOS
La nueva herramienta de scripting: PowerShell

 Más de 130 herramientas de la línea de comandos (o "cmdlets") para

realizar las tareas de administración habituales

 Permiten ordenar, filtrar y dar formato a datos y objetos, con las

convenciones de nomenclatura estándar y los parámetros habituales.

 Soporte para los lenguajes comandos y herramientas de la línea de

comandos existentes

 Permiten desplazarse por almacenes de datos, como el Registro y los

almacenes de certificados, como si fueran un sistema de archivos.

 Análisis de expresiones complejas y control de objetos de .NET

Framework en la línea de comandos, incluida la canalización de objetos

 Interfaz extensible que permite crear cmdlets personalizados para

aplicaciones y administración del sistema.
16
 Basada en C#
CONCEPTOS BÁSICOS
Programador de Tareas

WXP-W2003 Tareas Programadas en Panel de Control

17
CONCEPTOS BÁSICOS
Programador de Tareas

WXP-W2003 Tareas Programadas (en Explorer)

18
CONCEPTOS BÁSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC

19
CONCEPTOS BÁSICOS
Programador de Tareas
W-Vista, W-7 y W-Server 2008

 Nuevos desencadenadores
 Al producirse un evento
 Al modificar una tarea
 Al conectarse con escritorio remoto
 Al desconectarse
 Al bloquear la estación de trabajo
 Al desbloquearla
 Nuevas acciones
 Iniciar un programa
 Enviar un correo electrónico
 Mostrar un mensaje 20
CONCEPTOS BÁSICOS
Programador de Tareas

 Carpeta %windir%\Tasks

 Archivo %windir%\SchedLgu.txt

 Comando AT

 Comando SCHTASKS

21
CONCEPTOS BÁSICOS
Servicios

22
CONCEPTOS BÁSICOS
Servicios
 Ejercicios
 Parar y arrancar un servicio

 Configurar opciones de recuperación

 Habilitar y deshabilitar servicios.

 Comando SC

 Parar y arrancar un servicio desde la linea de

comandos.
 Comandos Net Start y Net Stop

 Parar y arrancar un servicio desde la linea de

comandos.
23
CONCEPTOS BÁSICOS
Programas de inicio y residentes
 Msconfig.exe

24
CONCEPTOS BÁSICOS
Programas de inicio y residentes
 Windows Defender

25
INSTALACIÓN Y
ACTUALIZACIÓN

26
INSTALACIÓN
Instalación de un S.O. Windows

 Desde otro sistema operativo.

 Directamente arrancando el ordenador desde la unidad de CD-ROM.

 Arrancando un sistema operativo a través de la red.

 Utilizando la tecnología PXE a través de Ethernet
 Necesita un servidor DHCP
 Útil para instalaciones desatendidas

 Arrancando desde un disquete. Esta opción está reservada solamente

para equipos antiguos que no permiten el arranque desde CD-ROM.

 Programa de instalación. Reside en I386: Winnt.exe y Winnt32.exe.

27
INSTALACIÓN
Instalación “clásica”

28
INSTALACIÓN
Instalación CORE en Server 2008

29
INSTALACIÓN
Instalación masiva

Instalación basada en imágenes (Image-based Setup, IBS) es el nuevo

mecanismo de implementación de sistemas operativos para la
instalación de Windows Vista. Incluye las siguientes herramientas:
 XImage.exe • comandos para crear y aplicar archivos de imágenes de
Windows.
 Windows Imaging (WIM) • Nuevo formato de archivo para imágenes.
 Windows Deployment Services (WDS) • Servicios de
implementación de Windows que reemplazan a los servicios de
instalación remota (RIS) en la implementación de Windows.
 Windows Preinstallation Environment (Windows PE) • Entorno
de preinstalación de Windows con métodos de inicio adicionales
compatibles para las instalaciones cliente OEM o Enterprise.
 Windows Setup Manager • Para el mantenimiento de los archivos de
imágenes de Windows.
 Unattend.xml • Nuevo formato de secuencia de comandos para todas
las instalaciones basadas en imágenes de Windows Vista.
 System Preparation (SysPrep) • Herramienta de preparación del 30
sistema con un funcionamiento mejorado.
INSTALACIÓN
Instalación de varios sistemas Windows en el mismo equipo

Cuando se instala Windows XP o Windows Server 2003 en un equipo,

en la partición de arranque del sistema se crean varios archivos
(ocultos), algunos de ellos herencia de los antiguos sistemas MS-DOS.
 Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys;
MSDOS.sys
 Boot.ini; Ntdetect.com; Ntldr
 Pagefile.sys; Hiberfil.sys

Boot.ini.
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft
Windows XP Professional" /noexecute=optin /fastdetect
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional
Alternativo" /noexecute=optin /fastdetect
31
INSTALACIÓN
Arranque múltiple en Windows
Vista, W-7 y W.Server 2008

 boot.ini se ha reemplazado por “Boot

Configuration Data” (BCD).

 Herramienta de la línea de comandos

Bcdedit.

 Configurar el Arranque múltiple.

Panel de control -> Sistema ->
Configuración avanzada del sistema -
> Opciones avanzadas -> Inicio y
recuperación -> Configuración.

 Herramientas gráficas
(VistaBootPRO).

32
INSTALACIÓN
Editor del almacén de datos de la configuración de
arranque (BCD)

 Sintaxis: Bcdedit.exe /?

 Comandos que operan en un almacén

 /createstore Crea un nuevo almacén de datos de arranque vacío.
 /export Exporta el contenido del almacén del sistema a un archivo.
 /import Restaura el estado del almacén del sistema
 Comandos que operan en entradas de un almacén
 /copy Hace copias de las entradas del almacén.
 /create Crea nuevas entradas en el almacén.
 /delete Elimina entradas del almacén.
 Comandos que controlan el administrador de arranque
 /bootsequence Establece la secuencia de arranque única
 /default Establece la entrada predeterminada que se usará
 /displayorder Establece el orden en que se muestra el menú de arranque múltiple.
 /timeout Establece el valor de tiempo de espera del administrador de arranque.
 /toolsdisplayorder Establece el orden en que se muestra el menú de herramientas. 33
INSTALACIÓN
Actualización de los Sistemas Operativos Windows

Equipos individuales

 Windows Update

 Service Packs

34
INSTALACIÓN
Actualización de los Sistemas Operativos Windows

Equipos en una red corporativa

• Activar la actualización en cada equipo

usando directivas de grupo para el
servicio Windows Update.

• Mediante WSUS (Windows Server Update

Services).

35
CONFIGURACIÓN

36
CONFIGURACIÓN
El Registro de Windows
 Enel registro se guardan los datos de
configuración, como:
 Perfiles de usuarios
 Programas instalados
 Configuración de Propiedades de programas,
carpetas, iconos.
 Configuración hardware del equipo
 Puertos en uso
 …

37
 CONFIGURACIÓN
El Registro de Windows
 Organizado jerárquicamente en:
 Claves y subclaves
 Secciones
 Valores
 Datos

 Se puede editar con Regedit.exe y Regedit32.exe

38
 CONFIGURACIÓN
El Registro de Windows
 Claves de primer nivel:
 HKEY_CLASSES_ROOT
 Asocia tipos de archivo con los programas correspondientes
 HKEY_CURRENT_USER
 Configuración para el usuario que ha iniciado sesión
 HKEY_LOCAL_MACHINE
 Configuración del equipo para todos los usuarios
 HKEY_USERS
 Perfiles de todos los usuarios que han hecho logon
 HKEY_CURRENT_CONFIG
 Perfil de HW que usa el equipo para arrancar el sistema 39
CONFIGURACIÓN
El Registro de Windows – Tipos de datos

 REG_DWORD
 Un dato de 4 bytes en binario, hexadecimal o decimal
 REG_SZ
 Cadena de texto de longitud fija
 REG_EXPAND_SZ
 Cadena de longitud variable
 REG_MULTI_SZ
 Varias cadenas de longitud variable
 REG_BINARY
 En formato hexadecimal
 REG_FULL_RESOURCE_DESCRIPTOR
40
 Tablas anidadas con listas de recursos
CONFIGURACIÓN
El Registro de Windows

 Ejercicios
 Buscar un dato en el registro
 Cambiar un dato

 Añadir un valor

 Proteger una clave

 Administración remota
 Acceder al registro de un equipo remoto

41
CONFIGURACIÓN
El Registro de Windows
Administración mediante línea de comandos

 El comando REG
 Estudiar su sintaxis

 Archivos .REG

 Ejercicios
 Hacer que al iniciar la sesión de usuario se arranque el block de notas.

42
CONFIGURACIÓN
Directivas de Grupo
(Group Policy)

 Aparecieron en Windows 2000

 Permiten aplicar directivas de configuración a equipos y usuarios
 Se ejecutan en tiempo de “startup” o de “logon”
 Pueden ser Globales o Locales
 Las directivas Globales se administran centralizadamente en un
dominio o UO.
 Las directivas locales residen en cada máquina

 A diferentes grupos de usuarios se les pueden aplicar directivas

diferentes

43
CONFIGURACIÓN
Directivas de Grupo
(Herramientas de administración de GP)

 GPMC.MSC
 Permite administrar el conjunto de políticas de un dominio. En
W.Vista y WS2008 está integrada. En WXP se puede instalar.
 Para usarla se necesita ser Administrador de Dominio

 GPEDIT.MSC
 Permite editar una política concreta.

44
CONFIGURACIÓN
Directivas de Grupo
(Novedades en Wvista, W7 y WS2008)
 Aplicación de las GP más fiable y eficiente

 Antes se aplicaban en Winlogon

 Ahora con un servicio ad-hoc: “Group Policy Service”

 Adaptabilidad a las condiciones de la red.

 Extensión de la cobertura
 Mayor número de parámetros y componentes que se pueden
configurar
 Facilidad de uso
 Gestión sencilla

45
CONFIGURACIÓN
Directivas de Grupo
(Directivas de Grupo Locales)
 Permiten establecer parámetros de configuración sin tener AD

 Múltiples GP locales (LGPO)

 Cada LGPO se asocia con un usuario o un grupo de usuarios.

(Ficheros de Log y Eventos)

 Hasta Vista, Userenv.dll es el encargado de generar un log

(userenv.log) con anotaciones de la aplicación de GPOs.

 Ahora el encargado es “Local Policy Service”

 Solo eventos relacionados y en formato XML

46
CONFIGURACIÓN
Aplicabilidad de Directivas de Grupo

Las directivas de grupo

locales se pueden
aplicar a usuarios
individuales, además
de administradores /
no administradores.

47
CONFIGURACIÓN
Directivas de Grupo
Administración de directivas locales

Gpedit.msc de MMC

48
CONFIGURACIÓN
Directivas de Grupo
Plantillas administrativas

 Antes ficheros de texto. Ahora nuevo formato XML

 Ficheros con extensión ADM (antes) y ADMX (nuevo)
 En WVista y WS2008 pueden coexistir ambos
 Soporte multiidioma
 Las plantillas ADMX residen en
%systemRoot%\PolicyDefinitions

49
CONFIGURACIÓN
Directivas de Grupo
Directivas locales
Ejercicios
 Recorrer las directivas. Aplicar alguna de usuario y cerrar y
abrir la sesión
 Habilitar y deshabilitar que se apliquen directivas locales

 Buscar plantillas de directivas de grupo y ver cómo están

escritas

 Buscar dónde se guardan las directivas locales y cómo se

podrían desplegar en una red de ordenadores sin directorio
activo

¡Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos

50
los usuarios de la máquina, incluidos los administradores
ACCESO A RECURSOS

51
ACCESO A RECURSOS
Permisos

 Definen el tipo de acceso concedido a un usuario o grupo para un

objeto o una propiedad de objeto.

 Se otorgan a:
 Grupos, usuarios y otros objetos con identificadores de seguridad del
dominio.
 Grupos y usuarios del dominio y de cualquier dominio de confianza.
 Grupos y usuarios locales del equipo en que reside el objeto.

 Permisos comunes son:

 Leer
 Modificar
 Cambiar propietario
 Eliminar
52
ACCESO A RECURSOS

 Propietario de los objetos

 Cuando se crea un objeto, se le asigna un propietario.
 De forma predeterminada es el creador del objeto.
 El propietario del objeto siempre puede cambiar los permisos
de éste.

 Herencia de permisos
 Los objetos de un contenedor heredan automáticamente todos
los permisos heredables de ese contenedor.
 Sólo se heredan los permisos marcados para ello

53
ACCESO A RECURSOS
Permisos y descriptores de seguridad

 Entrada de control de acceso (ACE) es una

asignación de permisos a un usuario o grupo

 Listade control de acceso (ACL) es el conjunto

de las ACE de un objeto

54
 ACCESO A RECURSOS
Permisos especiales

Permisos especiales Control total Modificar Leer y Mostrar el Lectura Escritura

ejecutar contenido

Recorrer carpeta / Ejecutar archivo x x x x

Listar carpeta / Leer datos x x x x x
Atributos de lectura x x x x x
Atributos extendidos de lectura x x x x x
Crear archivos / Escribir datos x x x
Crear carpetas / Anexar datos x x x
Atributos de escritura x x x
Atributos extendidos de escritura x x x
Eliminar subcarpetas y archivos x
Eliminar x x
Permisos de lectura x x x x x x
Cambiar permisos x
Tomar posesión x
Sincronizar x x x x x 55
x
ACCESO A RECURSOS
Permisos efectivos

 Un usuario puede pertenecer a varios grupos.

Los permisos efectivos se calculan a partir de
los factores siguientes:
 Pertenencia al grupo global
 Pertenencia al grupo local

 Permisos locales

 Privilegios locales

 Pertenencia a grupos universales

56
ACCESO A RECURSOS
Añadir o modificar
permisos mediante
interfaz gráfica

 Propiedadesde objeto
-> pestaña Seguridad

57
ACCESO A RECURSOS
Permisos efectivos

58
ACCESO A RECURSOS
Línea de comandos

Se pueden administrar los permisos de acceso a

ficheros y objetos en general mediante
comandos:

 cacls

 subinacl (resource kit)

59
 ACCESO A RECURSOS
Auditoría de accesos

 Se puede aplicar a accesos

correctos o incorrectos

 Antes de configurar la auditoría

de archivos hay que habilitar la
auditoría de objetos.

 Los eventos de auditoría se

muestran en el registro de
seguridad.

 Pueden generarse muchos

eventos
60
ADMINISTRACIÓN DE
CUENTAS Y GRUPOS

61
ADMINISTRACIÓN DE CUENTAS
Cuenta de usuario

 Colección de información que indica a Windows:

 los archivos y carpetas a los que puede obtener acceso
 los cambios que puede realizar en el equipo
 preferencias personales, como el fondo de escritorio o tema de
color preferidos.

 Permiten que se comparta el mismo equipo entre

varias personas, cada una de las cuales tiene sus
propios archivos y configuraciones.

 Cada persona obtiene acceso a su propia cuenta de

usuario con un nombre de usuario y contraseña.
62
ADMINISTRACIÓN DE CUENTAS
Grupos
 Permiten definir características comunes a varias cuentas
 Facilitan la administración
 Existen grupos predeterminados y se pueden definir nuevos grupos
 Una cuenta de usuario puede pertenecer a varios grupos.

Grupos predeterminados en Windows XP

*Administradores
*Duplicadores
*HelpServicesGroup
*Invitados
*Operadores de configuración de red
*Operadores de copia
*Usuarios
*Usuarios avanzados
*Usuarios de escritorio remoto
63
*Usuarios del depurador
ADMINISTRACIÓN DE CUENTAS
Grupos Integrados
 Administradores. Máximo nivel de permisos predeterminados y pueden cambiar sus
propios permisos.

 Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el

equipo, independientemente de los permisos que protejan dichos archivos. También pueden
iniciar sesión en el equipo y apagarlo, pero no pueden cambiar la configuración de seguridad.

 Usuarios avanzados. Pueden crear cuentas y grupos pero únicamente pueden modificar
y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de
copia, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o
descargar controladores de dispositivo ni administrar los registros de auditoría y seguridad.

 Usuarios. Pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar
impresoras locales y de red, así como cerrar y bloquear la estación de trabajo.No pueden
compartir directorios ni crear impresoras locales.

 Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión
y cerrar el sistema en una estación de trabajo.

 Replicador. El único miembro del grupo Replicador debe ser una cuenta de usuario de
dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No
debe agregarse a este grupo cuentas de usuarios reales. 64
ADMINISTRACIÓN DE CUENTAS
Administrar cuentas de usuario y grupos

Mediante la consola MMC

Mediante secuencias
de comandos
> net user
> net group
> net localgroup

65
ADMINISTRACIÓN DE CUENTAS
Perfiles de usuario
 Formado por un conjunto de carpetas en las que se guardan
todas las opciones de personalización, preferencias, ficheros
temporales, música, fotos, documentos, etc. del usuario.
 En la carpeta raíz, se encuentra el archivo NTUSER.DAT donde
se guardan las claves de HKEY_CURRENT_USER.

Perfiles Itinerantes Perfiles obligatorios

Permiten trabajar en Renombrando ntsuser.dat

cualquier ordenador de la como .man, todas las
empresa conservando toda la modificaciones hechas por el
configuración personal usuario se pierden
66
ADMINISTRACIÓN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows Vista

 Dos niveles de usuarios: Usuarios estándar y Administradores. (grupos:

Usuarios y Administradores)

 Inicio de sesión:
 Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.
 Administrador -> Dos tokens de acceso independientes
 Usuario estándar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas
("aplicaciones de usuario estándar").
 Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas
(Vista pide que eleven su contexto de seguridad al de administrador).

 Directiva de grupo
 El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar
mediante Directiva de grupo.

 Diseño de aplicaciones
 Los programadores deberían identificar su aplicación como aplicación de administrador o
aplicación de usuario estándar. Si una aplicación no se ha identificado como aplicación de
administrador, Windows la trata como una aplicación de usuario estándar.
67
ADMINISTRACIÓN DE CUENTAS
Control de cuentas de usuario (UAC) en Windows 7

El nuevo UAC trata

de resolver los
problemas de W.
Vista.

68
SEGURIDAD

69
SEGURIDAD
Administración de la Seguridad del Sistema

 Directivas de seguridad
 Son reglas que se configuran para proteger los recursos de un equipo o una red.
 Permiten controlar:
 Cómo los usuarios se autentican en una red o un equipo.
 Qué recursos están autorizados a utilizar los usuarios.
 Si las acciones de un usuario o un grupo se graban en el registro de sucesos.
 Pertenencia a grupos.

 Plantillas de seguridad
 Son un complemento de MMC.
 Una vez creada, se puede utilizar para configurar la seguridad de un sistema

 Configuración y Análisis de Seguridad

 Es otro complemento MMC
 Permite aplicar una plantilla de seguridad
 Permite llevar a cabo un análisis de seguridad de un sistema en relación con una plantilla de seguridad
 El análisis se actualiza cada 90 minutos en una estación de trabajo o un servidor, y cada 5 minutos en
un controlador de dominio.
 La configuración se actualiza también cada 16 horas, con independencia de que se produzcan cambios o
no.

70
SEGURIDAD
Administración de la Seguridad del Sistema

71
SEGURIDAD
Plantillas de Seguridad
 Representa una configuración de seguridad.

 Se guarda en un archivo . Inf y se puede importar en un objeto de

Directiva de grupo.

 Se pueden utilizar para definir (entre otras):

 Directivas de cuenta
 Directiva de contraseña
 Directiva de bloqueo de cuentas
 Directiva de auditoría
 Asignación de derechos de usuario
 Configuración del registro de sucesos
 Pertenencia a grupos importantes para la seguridad
 Inicio y permisos de los servicios
 Permisos para las claves del Registro

 Se pueden utilizar plantillas de seguridad predefinidas. 72

SEGURIDAD
Plantillas de Seguridad predefinidas (WS2003, WXP)

Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir
los diferentes requisitos organizativos. Están almacenadas en
%SystemRoot%\Security\Templates

 Seguridad predeterminada (Setup security.inf)

 Representa la configuración de seguridad predeterminada que se aplica durante la
instalación

 Compatible (Compatws.inf)
 Los permisos predeterminados para estaciones de trabajo y servidores se conceden
principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.

 Segura (Secure*.inf)
 Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.

 De alta seguridad (hisec*.inf)

 Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles
de cifrado y firmado que se requieren para la autenticación y para los datos que fluyen en
canales protegidos y entre clientes y servidores.
73
 Seguridad de la raíz del sistema (Rootsec.inf)
 Especifica los nuevos permisos de la raíz introducidos en Windows XP Professional.
SEGURIDAD
Directivas de Seguridad

 Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el
dominio. Hay 3 subconjuntos:

 Directiva de contraseñas.
 Directiva de bloqueo de cuentas.
 Directiva Kerberos.

 Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:

 Directiva de auditoría.
 Asignación de derechos de usuario.
 Opciones de seguridad.

En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es:
unidad organizativa, dominio y equipo local.

74
SEGURIDAD
Directivas de Seguridad

75
SEGURIDAD
Configurar la Seguridad del
sistema
 Crear una plantilla de seguridad

 En Configuración y análisis de seguridad

 Abrir base de datos. (Si es la primera vez, hay que crearla)
 Importar plantilla (con las directivas de seguridad que se quieren aplicar
al equipo).
 Configurar el equipo ahora.

 Configurar la seguridad del sistema mediante la línea de

comandos:

secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas Área1 Área2...] [/log RutaRegistro]
[/quiet]
76
 SEGURIDAD

Configurar la Seguridad del

sistema

77
SEGURIDAD
Analizar la Seguridad de un equipo y ver los resultados

 Análisis de seguridad
 Se hace comparando el estado actual con una base de datos de
análisis.
 Ésta utiliza al menos una plantilla de seguridad. (puede usar más de
una)

 Resultados del análisis de seguridad

 Los presenta organizados por área de seguridad.
 Marcas visuales para indicar la existencia de problemas.
 X roja Entrada definida en la base de datos de análisis y en el sistema,
cuyos valores de las opciones de seguridad no coinciden
 Marca verde Entrada definida en la base de datos de análisis y en el
sistema, cuyos valores coinciden
 Interrogación Entrada no definida en la base de datos de análisis.
 Exclamación Elemento de la base de datos de análisis que no existe en el
sistema.
 Sin resaltar Elemento no definido en la base de datos de análisis ni en el 78
sistema.
TRATAMIENTO DE ERRORES

79
TRATAMIENTO DE ERRORES
El visor de eventos

 Permite supervisar el funcionamiento de todos los elementos del S.O. como forma
de prevenir errores.
 Un análisis de los eventos de advertencia o error que se estén produciendo en un
equipo, permitiría a un administrador anticiparse al problema y buscar
soluciones que lo eviten.

 Los eventos son elementos con información relativa a algún suceso que ha
ocurrido en el equipo. Pueden ser de:
 Información, como arranques y paradas, conexión con otros equipos, actualización de la
hora, etc.
 Advertencia, como una desconexión del cable de red, etc.
 Error, como que no se ha podido leer un archivo en un disco porque éste tiene algún
sector deteriorado.
 Es un complemento de Microsoft Management Console (MMC)

 Permite realizar las siguientes tareas:

 Ver eventos desde varios registros de eventos
 Guardar filtros de eventos útiles como vistas personalizadas que se pueden volver a usar
 Programar una tarea para que se ejecute como respuesta a un evento
 Crear y administrar suscripciones a eventos
80
TRATAMIENTO DE ERRORES
El visor de eventos

81
TRATAMIENTO DE ERRORES
Registros de eventos

 Aplicación. Eventos registrados por aplicaciones o programas. Los

programadores deciden qué registrar.

 Seguridad. Intentos de inicio de sesión válidos y no válidos, creación,

apertura o eliminación de archivos (si se habilitó auditoría).

 Sistema. Eventos registrados por componentes del sistema Windows.

Nuevos en W.Vista, W.7 y W.Server 2008

 Instalación. Eventos relacionados con la instalación de aplicaciones.

 Eventos reenviados. Se usa para almacenar eventos recopilados de

equipos remotos, mediante una suscripción de evento.

82
TRATAMIENTO DE ERRORES
Registros de eventos en Vista y Srv2008

83
TRATAMIENTO DE ERRORES
Ejecutar una tarea como respuesta a un evento
dado

 Es una opción muy útil para los administradores de un parque de

ordenadores consiste en la posibilidad de configurar una tarea
para que se ejecute cuando se registre un evento que cumpla los
criterios especificados. Esto permitiría, por ejemplo, enviar una
correo electrónico o incluso un mensaje SMS a un administrador,
cuando un dispositivo deje de funcionar, o cuando se detenga una
aplicación crítica.

 Permite:
 Iniciar un programa
 Enviar correo electrónico
 Mostrar un mensaje
84
RENDIMIENTO

85
RENDIMIENTO
Monitor de rendimiento

 El Monitor de rendimiento muestra los contadores de

rendimiento
 En tiempo real
 Para revisar los datos históricos.
 Contadores de rendimiento
 Son mediciones del estado o de la actividad del sistema.

 El Monitor de rendimiento muestra el valor de los contadores de

rendimiento a intervalos de tiempo especificados.

 En XP y Srv2003 se arranca como herramienta administrativa.

En Vista, W.7 y Srv2008 es un complemento de MMC
86
RENDIMIENTO

87
RENDIMIENTO
Objetos y contadores de rendimiento
 Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales
como la memoria, los procesadores, etcétera.

 Contadores de rendimiento
Representan aspectos específicos de un sistema o servicio. (Por ej. Páginas por segundo)

 Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.

 Objetos de rendimiento más importantes

 Caché
 Memoria
 Objetos
 Archivo de paginación
 Disco físico
 Proceso
 Procesador
 Servidor
 Sistema
 Subproceso 88
RENDIMIENTO
Objetos y contadores de
rendimiento

Ejercicio:
Añadir al monitor en tiempo real algunos contadores importantes de
los objetos:
 Memoria
 Archivo de paginación
 Disco físico
 Procesador

89
RENDIMIENTO
Recopilación de datos para análisis

 Registros de seguimiento.
 Guardan sucesos detallados de las aplicaciones del sistema cuando
ocurren eventos como una operación de E/S en un disco o un error de
página.
 Cuando ocurre el suceso, el sistema operativo registra los datos de
sistema en un archivo especificado por el servicio Registros y alertas
de rendimiento.
 Para interpretar el resultado del registro de seguimiento, se requiere
una herramienta de análisis. Los programadores pueden crear una
herramienta de este tipo mediante las interfaces de programación de
aplicaciones (API) proporcionadas en MSDN Library

 Registros de contador
 El servicio obtiene datos del sistema cuando ha transcurrido el
intervalo de actualización, en lugar de esperar a que se produzca un
suceso determinado.
90
RENDIMIENTO
Recopilación de datos para análisis

Ejercicio:
Crear un fichero con registros de contador y analizarlo

91
RENDIMIENTO
Monitor de confiabilidad

 Permite medir la estabilidad del sistema y analizar

tendencias a partir de eventos individuales que
pueden afectar a la estabilidad general, como:
 Instalaciones de software
 Actualizaciones del sistema operativo
 Errores de hardware.

 La información de configuración se recopila de los

valores de las claves del Registro de Windows.

92
RENDIMIENTO
Monitor de confiabilidad

93
WINDOWS 7 XP MODE

94
ENTORNO WINDOWS 7
Máquina Virtual XP dentro de Windwos 7
¿Qué es Windows 7 XP Mode?

• Nueva versión de Windows Virtual PC

• Windows XP Professional SP3 VM,
preconfigurado con Firewall y actualizaciones
automáticas.
• Disponible en W7 Professional, Enterprise y
Ultimate.

95
 PARTE 2
ADMINISTRACIÓN DE WINDOWS
EN UNA RED DE ORDENADORES

ATICA

96
ÍNDICE

1. Creación del entorno básico de

pruebas
2. Planificación del Directorio Activo
3. Creación del Directorio Activo
4. Directorio Activo - Conceptos
5. Server Core
6. Read Only Domain Controllers
7. Seguridad

97
CREACIÓN DEL ENTORNO BÁSICO
DE PRUEBAS

ATICA

98
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

 Entorno virtual con VMWare

 S.O. Windows Server 2008 y W.7

 Acceso a las imágenes ISO de los DVD

 Red local virtual VMnet1 (host-only)

99
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

100
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

 Sistemas operativos base

 Windows Server 2008 Datacenter
 WS2K8D
 Windows Server 2008 Standard
 WS2K8S
 Windows Server 2008 Standard Core
 WS2K8C
 Windows 7
 Win7

101
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

 Acciones a realizar:
 Cambiar contraseña de Administrador:
 A-tic-A
 Instalar VMWare Tools.
 Cambiar nombre de la máquina.
 Activar la detección de redes
 Cambiar configuración de actualizaciones a no
actualizar nunca.
 Comprobar la dirección IP y apuntarla

102
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

 Cambio de nombre en un Server Core:

> Netdom renamecomputer %computername%
/NewName:nuevo-nom

 Comprobar la dirección IP en Server Core

> Ipconfig /all

103
¿Cómo ampliar el periodo de evaluación de Windows?

- Comprobar estado: slmgr.vbs –dli

- Restablecer periodo: slmgr.vbs –rearm

(Se puede ejecutar 2 veces, lo que permite 3 periodos

de evaluación. Se puede planificar y automatizar.)

Más información: Support.microsoft.com/kb/948472

104
PLANIFICACIÓN DEL DIRECTORIO
ACTIVO

ATICA

105
 Planificación del
Directorio Activo
¿Uno o varios dominios?

 Razones por las que se debe crear más de un dominio:

 Requisitos de contraseñas distintos en los diversos departamentos y

divisiones
 Número muy grande de objetos
 Administración descentralizada de la red
 Mayor control de la replicación

 El uso de un único dominio en toda una red tiene ventajas

si la administración es centralizada y el número de usuarios
no muy alto.

106
 Planificación del
Directorio Activo
Árboles y Bosques
 Un bosque es una colección de dominios que
permite:
 La interacción de los usuarios con el directorio.
 La administración de múltiples dominios.
 Un árbol es un conjunto de uno o varios dominios
con nombres DNS contiguos.
 Un bosque puede tener más de un árbol.

107
 Planificación del
Directorio Activo
Unidades Organizativas (OU)

 Son contenedores de AD con usuarios, grupos,

equipos y otras OU.

 No puede contener objetos de otros dominios.

 Se le pueden asignar directivas de grupo

 Se puede delegar la autoridad administrativa.

108
 Planificación del
Directorio Activo
Diseño de un Active Directory

109
 Planificación del
Directorio Activo
Determinar el número de bosques de una red

 Escenario con un único bosque Normalmente

es suficiente en la mayoría de las situaciones.
Administración más sencilla. Los cambios de
configuración sólo tienen que aplicarse una vez
para afectar a todos los dominios.

 Escenario con varios bosques Si hay muchas

divisiones autónomas que:
 No confían en sus administradores respectivos.
 No pueden acordar una política de cambios en el bosque.
 Desean limitar el alcance de una relación de confianza.

110
 Planificación del
Directorio Activo
Plan de dominios
 Dibujar la topología de la red

111
 Planificación del
Directorio Activo
Plan de dominios
 Crear particiones en el bosque

112
 Planificación del
Directorio Activo
Plan de dominios
 Plan de árboles de dominios

113
 Planificación del
Directorio Activo
Plan de dominios
 Plan de Unidades Organizativas OU

114
 Planificación del
Directorio Activo
Plan de dominios
 Plan de topología de sitios

115
 Planificación del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es filial.es
SedeFilial

SedeCentral

rrhh.empresa.es

116
 Planificación del
Directorio Activo
Nuestro ejemplo

Delegacion

empresa.es filial.es
SedeFilial

Controladores SedeCentral
de Dominio
RODC
rrhh.empresa.es

117
CREACIÓN DEL DIRECTORIO
ACTIVO

ATICA

118
DIRECTORIO ACTIVO
Creación del Directorio Activo de ejemplo
Laboratorio

 Clonar las máquinas base para obtener

máquinas que se pueden borrar y volver a
crear facilmente.
 Tomar nota de todos los nombres,
contraseñas, direcciones IP etc que se
vayan asignando.
 Después de instalar el primer DC,
observar los cambios producidos en el S.O.
119
DIRECTORIO ACTIVO
- CONCEPTOS -

ATICA

120
 Directorio Activo

Novedades en W2008
 Active Directory Domain Services
 Reemplaza a “Active Directory”
 Active Directory Lightweight Directory Services
 Reemplaza a “Active Directory Application Mode” o ADAM
 Funciones de Servidor
 Funcionalidades del servidor como AD DS, AD LDS, y DNS
 Se administran centralmente a través del Server Manager

 Server Core para controladores de dominio

 Opción de instalación mínima del Servidor
 Menor superficie de ataque debido a los pocos componentes
instalados

121
 Directorio Activo

Novedades en W2008
AD DS reiniciable

 Sin reiniciar el servidor, ahora se puede:

 Aplicar parches de los DS
 Realizar una desfragmentación offline
 Un servidor con los DS parados es similar a un
servidor miembro
 NTDS.dit está offline
 Puede iniciarse sesión local con la contraseña del Modo de
Recuperación del Directorio Activo (DSRM)
Ojo: Un usuario que conozca la pwd de recuperación podría arrancar en modo DSRM y forzar la
desinstalación del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!

122
 Directorio Activo

Novedades en W2008
Directivas de Grupo

 DFS-R reemplaza a FRS para la replicación de Sysvol

 Compresión
 Replicación diferencial block-level
 Planificación
 Control de Ancho de Banda

 Es necesario que el Bosque/Dominio esté funcionando en

el nivel funcional de “Windows Server 2008”
 Requiere que todos los DCs sean Windows Server 2008
 El paso de FRS a DFS-R no es automático

123
DIRECTORIO ACTIVO
 AD incluye:

 El esquema conjunto de reglas que definen las

clases de objetos y los atributos del directorio
 Un catálogo global contiene información acerca de
los objetos del directorio. Permite encontrar
información con independencia del dominio.
 Un sistema de índices y consultas, para publicar
y encontrar objetos y sus propiedades.
 Un servicio de replicación distribuye los datos
del directorio por toda la red a través de los
controladores de dominio.

124
DIRECTORIO ACTIVO
 Características principales:

 Seguridad
 Administración flexible y simplificada
 Escalabilidad
 Alta disponibilidad
 Capacidad de ampliación
 Compatibilidad con estándares abiertos
 Acceso mediante programación simple
 Autenticación de usuarios

125
DIRECTORIO ACTIVO

(Fuente: Caja Madrid) 126

DIRECTORIO ACTIVO
 Autenticación en el Directorio Activo:

 La Autoridad de Seguridad Local (LSA) es el

subsistema de responsable de la autenticación.
 LSA también procesa solicitudes de autenticación
realizadas por medio del protocolo Kerberos.
 LSA del DC de autenticación genera un testigo de
acceso de usuario y le asocia un Id. de seguridad
(SID).
 Testigo de acceso contiene nombre de usuario, grupos a
los que pertenece, SID del usuario y todos los SID de los
grupos a los que pertenece.

127
DIRECTORIO ACTIVO
Cuentas de Directorio Activo
 Cuentas de usuario: Es un objeto almacenado en
el AD que permite su inicio de sesión único en la
red
 Cuentas locales
 Cuentas de dominio
 Cuentas Integradas (Built-in)
 Cuentas de Equipos. Ofrecen una forma de
autenticar y auditar a los equipos que acceden a la
red y a recursos del dominio.
 Cuentas de grupos: Colección de usuarios,
equipos y otros grupos. Su principal objetivo es
simplificar la administración
128
DIRECTORIO ACTIVO
User Principal Name (UPN)
 En AD, cada cuenta de usuario tiene:

 Un nombre de
inicio de sesión de
usuario.  Un sufijo UPN (User
 Un nombre de Principal Name, segun
inicio de sesión de RFC 822)
usuario anterior a
Windows 2000

UPN = nombre_de_inicio_de_sesión@Sufijo_UPN
129
DIRECTORIO ACTIVO
Cómo agregar Sufijos UPN
 En la consola de Dominios y confianzas del AD

 juanp@empresa.cl
ó
 juanp@grupoempresas

130
 Directorio Activo

NOMINACIÓN DE OBJETOS
 Se puede hacer referencia a cada objeto de Directorio Activo con
varios nombres diferentes. AD crea a partir de los datos durante
la creación del objeto:
 El nombre completo relativo LDAP: identifica unívocamente al
objeto dentro su contenedor principal.
 CN=JuanP
 El nombre completo LDAP: es globalmente único.
 CN=JuanP, OU=Users, DC=empresa, DC=es
 El nombre canónico: se crea de la misma manera que el nombre
completo, pero se representa con una notación diferente.
 Empresa.es/Users/JuanP

 Objetos principales de Seguridad (Security Principals): Son

objetos del directorio que tienen asignados un Identificados
único de seguridad (SID)
131
DIRECTORIO ACTIVO
Sintaxis LDAP
 Cómo se construye el DN (Distinguish Name)
 CN= : Common Name.
 OU= : Unidad Organizativa
 DC= : Domain Component

 Ejemplos:
 Dominio:
 DC=empresa,DC=es
 Controlador de Dominio:
 CN=DC1,OU=Domain Controllers,DC=empresa,DC=es
 Dominio hijo:
 DC=rrhh,DC=empresa,DC=es
 Site:
 CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es
 Usuario:
 CN=Administrador,CN=Users,DC=empresa,DC=es

132
DIRECTORIO ACTIVO

Búsquedas LDAP al directorio

 RootDSE es parte del estándar de LDAPv3.0

 Definido en RFC 2251
 Define la raíz de búsqueda en un servidor LDAP
 Muestra, entre otras cosas, las particiones básicas a las que se puede
conectar un cliente
 Pasos:
 Conexión con un servidor LDAP
 Por defecto devuelve RootDSE
 Antes de consultar hay que validarse
 Opción bind con usuario y contraseña
 Buscar
 Definir el ámbito de la búsqueda (Base DN)
 Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
 Profundidad de la búsqueda (En el ámbito dado)
 Resultados a devolver (Qué atributos extraer)

133
 Directorio Activo

NOMINACIÓN DE OBJETOS
 Objetos en NTds.dit (editor ADSI)

134
DIRECTORIO ACTIVO

Creación de usuarios en AD
 Para crear/modificar/borrar un solo usuario
 Usuarios y equipos de Directorio Activo
 DsAdd, DsMod, DsRm (“Scriptables”). – Solo en servidores DC

 Para crear/modificar/borrar múltiples usuarios

 Csvde
 Importa/Exporta usuarios desde/a un fichero .csv
 LDIFDE
 Utiliza ficheros de texto, con formato de líneas separadas para cada
atributo, para crear, modificar o borrar objetos en el Directorio Activo
 ADSI: Interfaz de programación para crear objetos en Directorio Activo vía desarrollo
 En todos los casos, se deben especificar al menos estos atributos:
 DN,objectClass, sAMAccountName, userPrincipalName, displayName,
userAccountControl

135
DIRECTORIO ACTIVO
Grupos
 Grupos de Distribución:
 Utilizados por aplicaciones de correo (p.e Microsoft Exchange
Server 2000/2003)
 No pueden ser usados para especificar controles de acceso a
recursos.
 Grupos de Seguridad:
 Asignación de derechos (funciones que se pueden desempeñar)
 Asignación de permisos de acceso a recursos
 Permiten anidación, es decir, meter unos grupos dentro de otros.

 Ambos tipos de grupo pueden ser de tres ámbitos distintos:

 Locales de Dominio
 Global
 Universal

136
DIRECTORIO ACTIVO

Grupos Locales de Dominio

 Pueden contener:
 Grupos Universales, Globales, Locales de su dominio
 Usuarios de cualquier dominio del bosque
 Pueden pertenecer a otro grupo Local de Dominio
 Solo son visibles en su propio dominio

 Se utilizan para asignar permisos a recursos existentes

en el dominio en donde se esta creando el grupo

137
DIRECTORIO ACTIVO
Grupos Globales
 Pueden contener:
 Usuarios, Grupos y equipos de su propio dominio
 Otros grupos globales
 Pueden pertenecer a Grupos Locales, Universales o
Globales del mismo dominio
 Son visibles desde cualquier dominio del bosque en
los que se confíe.
 Pueden asignarse a recursos de cualquier dominio
de confianza del bosque

138
DIRECTORIO ACTIVO
Grupos Universales
 Pueden contener:
 Usuarios y equipos de cualquier dominio del bosque
 Grupos globales o universales de cualquier dominio del bosque

 Pueden pertenecer a otros grupos universales y a grupos Locales

de Dominio.
 Son visibles desde todos los dominios del bosque
 Se usan para asignar permisos a recursos relacionados en todos
los dominios del bosque, anidando en ellos grupos globales.

Identificar qué grupos son Locales, Globales y Universales en el primer controlador de

dominio instalado en el laboratorio.

139
DIRECTORIO ACTIVO
Grupos

140
DIRECTORIO ACTIVO
Tipos de Confianzas
 Transitividad
 Transitivas (T)
 Intransitivas (I)
 Dirección
 Bidireccionales (B)
 Unidireccionales (U)
 Confianzas por defecto
 Entre dominios (padres/hijos): Transitivas bidireccionales
 Entre raíces de árboles: Transitivas bidireccionales
 Otros tipos de confianzas:
 Externa: Con NT 4.0 (I, U/B)
 Territorios: Kerberos con sistemas no Windows: (T/I, U/B)
 Bosque: Entre bosques (T, U/B)
 Acceso Directo: Para mejorar los tiempos de acceso entre
dominios “lejanos” lógicamente (T, U/B)

141
DIRECTORIO ACTIVO
Confianzas

Kerberos
NT 4.0

142
DIRECTORIO ACTIVO
Dominios y Confianzas de AD

143
DIRECTORIO ACTIVO
Almacén de datos del directorio

 Contiene información acerca de objetos como usuarios, grupos,

equipos, dominios, unidades organizativas y directivas de
seguridad.
 Se almacena en controladores de dominio. Cada DC dispone de
una copia.
 Los cambios realizados en el directorio en un DC se replican al
resto de DC en el dominio, el árbol de dominios o el bosque.
 AD utiliza cuatro tipos diferentes de particiones de directorio:
 Dominio. información acerca de los objetos de un dominio.
 Configuración. describen la topología del directorio.
 Esquema. definición formal de todos los datos de objetos
 Aplicación. datos de aplicaciones
 Cuando un DC es catálogo global, almacena un subconjunto de
datos del directorio para todos los demás dominios del bosque.
 Los datos del directorio se almacenan en el archivo Ntds.dit del
DC. Los datos privados se almacenan de forma segura y los datos
públicos del directorio se guardan en SYSVOL desde donde se
pueden replicar a otros controladores del dominio.
144
DIRECTORIO ACTIVO
Control de acceso en Active Directory

 Un descriptor de seguridad contiene dos listas de

control de acceso (ACL):

 Listas de control de acceso discrecional (DACL). Identifican a los

usuarios y grupos que tienen asignados o denegados permisos de acceso
a un objeto.

 Listas de control de acceso al sistema (SACL). Identifican a los

usuarios y los grupos que desea auditar cuando consiguen o no
consiguen obtener acceso a un objeto.

Las DACL y las SACL están asociadas de forma

predeterminada con todos los objetos de AD.

145
Directorio Activo

ACCESS TOKEN Y ACLS

 DACL:
Discretionary
Access control
List
 SACL: System
Access Control
List
 ACE: Access
Control Entry

146
 DIRECTORIO ACTIVO
Funciones de servidor de Active Directory

 Servidores miembro
 Pertenece a un dominio
 No es un controlador de dominio.
 No procesa inicios de sesión de cuentas, no participa en la replicación de AD ni
almacena información de directivas de seguridad de dominio.
 Controladores de dominio (DC)
 Almacena una copia de lectura y escritura del directorio de AD.
 Autentica usuarios.
 Sincroniza los datos del directorio utilizando replicación.

 Controladores de dominio de solo lectura (RODC)

 Para escenarios donde la seguridad local no se puede garantizar o donde
almacenar credenciales de usuarios y servicios se considera un riesgo no
asumible.
 El administrador del dominio decide qué contraseñas se replican o cachean.

147
 Directorio Activo

Catálogo Global
DC que almacena una copia de todos los objetos de AD del bosque
(Copia completa de su dominio y parcial de los demás dominios del bosque )

Funciones:
•Búsqueda de objetos
•Autenticación del nombre
principal de usuario
•Información de pertenencia a
grupos universales en un entorno
de dominios múltiples
•Validación de referencias a
objetos dentro de un bosque

148
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

(funciones flexibles de operaciones de un solo maestro)

 Maestro de esquema
 Maestro de nombres de dominio

 Maestro de Id. relativo (RID)

 Maestro emulador del controlador principal de

dominio (PDC)
 Maestro de infraestructuras

149
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

Funciones que solo puede desempeñar un DC en cada

bosque:
 Maestro de esquema: DC que controla todos los
cambios que tienen lugar en el esquema.

 Maestro de nombres de dominio: Controla las

altas y bajas de dominios del bosque.

150
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

Funciones que solo puede desempeñar un DC en cada
dominio:
 Maestro de Id. relativo (RID): Asigna secuencias de Id.
relativos (RID) a cada uno de los distintos controladores del dominio que
los usa para asignar id. de seguridad (SID).
 Maestro emulador del controlador principal de
dominio (PDC): Actúa como controlador principal de dominio.
También se encarga de sincronizar la hora en todos los controladores del
dominio.
 Maestro de infraestructuras: Es el responsable de
actualizar las referencias de los objetos de su dominio en los objetos de
los otros dominios.

151
 Directorio Activo

Funciones del maestro de operaciones (FSMO)

¿Qué DCs ejercen las funciones FSMO en un dominio?

> netdom query /Domain:empresa.es FSMO

Maestro de esquema WS2K8DC1.empresa.es

Maestro nomencl. Dominios WS2K8DC1.empresa.es
PDC WS2K8DC1.empresa.es
Administrador de grupos RID WS2K8DC1.empresa.es
Maestro de infraestructura WS2K8DC1.empresa.es

El comando se completó correctamente.

152
 Directorio Activo

Transferir funciones del maestro de operaciones

 Es una operación crítica que hay que realizar cuando
debe sustituirse el DC que la hacía.
Función Consola de MMC

Maestro de esquema Esquema de AD

Maestro nomencl. Dominio Dominios y confianzas de AD

PDC Usuarios y equipos de AD

Administrador de grupos RID Usuarios y equipos de AD

Maestro de infraestructura Usuarios y equipos de AD

Ejercicio: Llegar a los cuadros de diálogo para transferir las funciones de maestro de Operaciones

153
 Directorio Activo

Transferir la función del maestro de esquema

 El complemento de consola “Esquema de Active
Directory” no aparece por defecto:

Es preciso registrar la dll: “schmmgmt.dll” Para ello:

• Colocarse en %windir%\system32

• Ejecutar: regsvr32 schmmgmt.dll

154
SERVER CORE

ATICA

155
 Server Core

 Server
Core es una opción de instalación
mínima de Windows Server 2008
 ¿GUI? – Desaparece (En su mayoría).
 Windows Explorer? – Desaparece.
 Internet Explorer y Media Player? – Desaparecen.
 .Net Framework? – Desaparece
 MMC? – También desaparece.

 Diseñado para cubrir ciertos entornos y cargas

de trabajo
 Disponible en 32 y 64 bits

156
 Server Core
¿Porqué Server Core?

 Reduce el mantenimiento del software

 Solo se instalan los componentes esenciales
 Reduce la superficie de Ataque
 Menos cosas que parchear y asegurar
 Reduce la Gestión
 Menos cosas que gestionar.
 Consumo menor de Memoria
 Ejemplo: 184 MB frente a 309 MB
 Menos espacio en disco requerido
 Core: 1.6 GB / Completo: 7.6 GB
 Instalación base (sin Pagefile.sys).
 (A la gente de UNIX “les pone”).

157
 Server Core
Server, Server Roles
Opciones Mínimas de Instalación (Por ejemplo, solo)

Poca superficie Web Share

TS IAS Etc…
Server Point®
Interface por Línea de Comando
Conjunto limitado de Roles de
Servidor
Roles de Servidor de Server Core Servidor
With WinFx, Shell, Tools, etc.
Web Media
DNS DHCP File AD Server Server

Server Core GUI, CLR,

Shell, IE,
Seguridad, TCP/IP, Sistema de Ficheros, RPC, Media, OE,
y otros Sub-Systems del nucleo de Servidor.
etc.
 SERVER CORE

Compatibilidad de Aplicaciones
 Las aplicaciones han de ser probadas

 NO esta disponible lo siguiente:

 .Net Framework (En WS2008 R2 sí estará disponible)
 Windows Explorer (shell o GUI)
 Globos de notificación
 Run as
 PowerShell (En WS2008 R2 sí estará disponible)
 MMC

159
 SERVER CORE

Instalación
 Se puede:
 Instalar desde el mismo DVD de Windows Server
2008

 No se puede:
 Actualizar desde versiones previas de Windows
 Convertir una instalación completa en Core
 Convertir una instalación Core en completa

160
SERVER CORE

Configuración Inicial de Server Core

 Establecer la contraseña del Administrador
 CTRL+ALT+DEL y hacer click en “Cambiar la Contraseña”
 net user administrator *
 Cambiar el nombre del servidor
 Netdom renamecomputer %computername% /Newname:nuevonombre
 Configurar una IP Estática
 Netsh
 interface ipv4
 show interfaces
 show address
 set address 2 static 192.168.x.104 255.255.255.0
 set dnsserver 2 static 192.168.x.101 primary

161
 SERVER CORE
Configuración Inicial de Server Core
 Ver opciones básicas de configuración del Server Core
 Cscript scregedit.wsf (ejecutado desde %windir%\system32)
 Cscript scregedit.wsf/cli
 Activar la copia de Windows
 Slmgr.vbs –ato
 Unirse a un dominio (si se requiere)
 Netdom join /domain:dominio /UserD:usuario
/PassworD:contraseña /UserO:usuario /PasswordO:contraseña
/reboot
 Añadir funciones (roles) y características
 Ocsetup
 Listar las funciones y características instaladas
 Oclist
Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.

162
 SERVER CORE
SCRegEdit.wsf
 No todas las tareas se pueden ejecutar mediante la
línea de comando o de manera remota
 SCRegEdit.wsf esta incluido en Server Core para:
 Permitir las actualizaciones automáticas
 Permitir Sesiones de terminal en modo administración
 Permitir la administración remota del Monitor de IPSEC
 Configurar el peso y la prioridad de un registro DNS SRV
 Nuevo modificador /cli que lista comandos y
modificadores comunes
 Localizado en \Windows\System32

163
 SERVER CORE

OCList.exe
 Única herramienta de linea de comando
propia de “Server Core”
 Lista los roles de servidor y las
funcionalidades adicionales que se pueden
instalar con “OCSetup”
 Lista si los paquetes están o no instalados

164
 SERVER CORE
Añadir Roles de Servidor
 Únicamente mediante línea de comando, sin “Server Manager”
 Start /w Ocsetup RolePackage
 DHCP = DHCPServerCore
 DNS = DNS-Server-Core-Role
 File Replication service = FRS-Infrastructure
 Distributed File System service = DFSN-Server
 Distributed File System Replication = DFSR-Infrastructure-
ServerEdition
 Network File System = ServerForNFS-Base
 Media Server = MediaServer
 Print = Printing-ServerCore-Role
 LPD = Printing-LPDPrintService
 Active Directory
 Dcpromo instala el “Active Directory”
 Dcpromo /unattend:Unattendfile
 Ocsetup no esta soportado para instalar “Active Directory”

165
 SERVER CORE
Añadir Características Adicionales
 Start /w ocsetup OptionalFeaturePackage
 Failover Cluster = FailoverCluster-Core
 Network Load Balancing =
NetworkLoadBalancingHeadlessServer
 Subsystem for UNIX-bases applications = SUA
 Multipath IO = MultipathIo
 Removable Storage Management = Microsoft-Windows-
RemovableStorageManagementCore
 Bitlocker Drive Encryption = BitLocker
 Backup = WindowsServerBackup
 Simple Network Management Protocol (SNMP) = SNMP-SC
 Telnet Client = TelnetClient
 WINS = WINS-SC
 QoS = QWAVE

166
 SERVER CORE

Desinstalar funciones y características

 Start /w Ocsetup Package /uninstall
 Excepto para “Active Directory”
 Hay que usar DCPromo y demote
 Dcpromo /unattend:<unattendfile>
 Esto también elimina los binarios del “Active Directory”
 NO hay herramienta de entorno grafico para
instalar o desinstalar roles y funcionalidades
en remoto

167
 SERVER CORE
Administración de Server Core
 CMD para ejecución de comandos en local
 CMD usando Terminal Server
 WS-Management y Windows Remote Shell
para ejecución remota de comandos
 WMI
 Programador de Tareas para ejecutar trabajos
y tareas
 “Event Logging” y “Event Forwarding”
 RPC y DCOM para soporte remoto a MMC

168
 SERVER CORE
Hardware en un Server Core
 Plug and Play esta incluido en Server Core
 Si se añade hardware con un driver que ya esté incluido en el
sistema, PnP lo instalara silenciosamente
 Si el driver no esta incluido, pero tienes un driver PnP
para el hardware
 Copiar los ficheros del driver al servidor
 Ejecutar: Pnputil –i –a driverinf
 Para listar los drivers instalados
 sc query type= driver
 Para eliminar un driver
 sc delete driver_name

169
 SERVER CORE
Trucos
 Panel de control (Algunos)
 Cambio de la Zona horaria “Control timedate.cpl”
 Cambios para el idioma o teclado “Control intl.cpl”
 Notepad, Incluido con algunas limitaciones
 La Ayuda no funciona
 Cuadros de dialogo antiguos
 Copiar, Pegar, Buscar, Reemplazar, si funcionan
 Si cierras línea de comando
 Presionar ctrl-alt-del, click Start Task Manager,
 Cierra e inicia sesión

170
 SERVER CORE

Limitaciones
 NO hay soporte para código manejado

 No hay globos de notificación, como por

ejemplo para las actualizaciones o la
activación. Tampoco para la notificación de la
caducidad de las contraseñas

 “Ejecutar como” no esta soportado

171
READ ONLY DOMAIN
CONTROLLERS

ATICA

172
 RODC
Desafíos de las delegaciones remotas

 Los administradores se enfrentan a los siguientes desafíos a la

hora de desplegar Controladores de Dominio en una delegación
remota
 El DC se coloca en una localización física insegura
 El DC tiene una conexión de red poco fiable con el HUB
 El personal de la delegación tiene pocos conocimientos o permisos
para gestionar el DC, por lo que:
 Los Domain Admins gestionan el DC remotamente, o
 Los Domain Admins delegan privilegios al personal de la delegación
 Para consolidar la infraestructura de Directorio Activo, los
administradores quisieran eliminar los DCs de las delegaciones
remotas, pero
 Los usuarios no podrían iniciar sesion o acceder a recursos de red si
la WAN falla

173
RODC

Desafíos de las
delegaciones
remotas

174
 RODC
Modelos de Administración recomendados
 Cuentas no cacheadas (por defecto)
 A Favor: Mas seguro, permitiendo además la autenticación rápida y
la aplicación de políticas
 En Contra: No hay acceso offline para nadie. Se requiere de la
WAN para el inicio de sesión
 La mayor parte de las cuentas cacheadas
 A Favor: facilidad en la gestión de contraseñas. Para entornos en
los que es más importante la administrabilidad que la seguridad.
 En contra: Más contraseñas expuestas potencialmente por el RODC
 Solo una pocas contraseñas cacheadas
 A Favor: Permite el acceso offline de quien lo necesite realmente,
maximizando la seguridad de los demás
 En Contra: Requiere una administración granular más fina
 Mapear equipos por delegación
 Requiere buscar manualmente el atributo Auth2 para identificar las
cuentas

175
 RODC
Menor superficie de ataque para los DCs
de delegaciones remotas
 Por defecto, no hay contraseñas de usuarios o equipos
almacenadas en un RODC
 El Read-only Partial Attribute Set (RO-PAS) puede evitar que
las credenciales de las aplicaciones se repliquen al RODC
 Estado de Solo lectura con replicación unidireccional del AD y
FRS/DFSR
 Cada RODC tiene su propia cuenta KDC KrbTGT para tener
claves criptográficas propias y distintas
 La delegación del DCPROMO elimina la necesidad de que el
Administrador del dominio se conecte vía TS al RODC
 Los RODCs tienen cuentas de estación de trabajo
 No son miembros de los grupos Enterprise-DC o Domain-DC
 Derechos muy limitados para escribir en el Directorio
 Los RODC son totalmente compatibles con Server Core

176
 RODC
Cacheo de secretos en el primer inicio de sesión
Como Funciona 1. AS_Req enviado al RODC
(TGT request)
2. RODC: No tiene las credenciales
de este usuario
3. Reenvía la petición al DC del Hub
4. El DC del Hub autentica la petición

DC en el Hub Read Only DC 5. Devuelve la petición de

3
2
autenticación y el TGT al RODC
4 6. El RODC da el TGT al usuario y
5 encola una peticion de replicación
7 6 de los secretos
7. El DC del Hub comprueba
7 la política de replicación
de contraseñas para ver
si la contraseña puede
6 ser replicada

Hub Delegación
1
`
SEGURIDAD

ATICA

178
 SEGURIDAD
Auditorías de cambios en AD
• Los Event logs dicen
exactamente: Event Event
Event description
ID type
– Quien hizo el cambio 5136 Modify This event is logged
– Cuándo se hizo el cambio when a successful
modification is made to
– Que objeto/atributo fue an attribute in the
cambiado directory.
5137 Create This event is logged
– Los valores inicial y final when a new object is
created in the directory.
5138 Undelete This event is logged
• La auditoría esta controlada when an object is
undeleted in the
por directory.
5139 Move This event is logged
– Política global de auditoría when an object is moved
– SACL within the domain.
– Schema

179
 SEGURIDAD

Backup/Recovery
 Windows Server Backup (wbadmin.exe)
 NTBackup está discontinuado
 Nueva tecnología Block-Level, basada en imágenes
 Backup/recovery del System State por línea de comandos
 Debe hacerse a una partición diferente
 Recuperación del System State en DSRM (auth & non-auth)

 Se instala agregando: “Características de copia de

Seguridad de Windows Server”
 No está instalado por defecto

180
 Seguridad

DATABASE MOUNTING TOOL

 NTDSUtil.exe permite sacar instantáneas (“snapshots”) de AD DS/LDS
regularmente.
 DsaMain.exe permite a los administradores elegir la instantánea
más apropiada y exponerla con LDAP.
 NO permite restaurar objetos (hay que hacerlo manualmente)
 Ahora: Herramienta + tombstone reanimation + LDAP
 Post-WS08: ¿Undelete?

NTDSUTIL.EXE DSAMAIN.EXE LDP.EXE

•Saca SnapShots •Expone las •Ver datos de

de DS/LDS via snapshots como solo lectura de
VSS servidores DS/LDS
LDAP

181
 Seguridad
DATABASE MOUNTING TOOL
 NTDSUtil.exe
 ? (para ver las opciones disponibles).
 snapshot
 Instantánea: ? (para ver las opciones disponibles)
 Instantánea: activate instance NTDS (se establece la instancia a “NTDS”)
 Instantánea: create
Creando instantánea...
Conjunto de instantáneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.
 Instantánea: list all
1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}
 Instantánea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54}
Instantánea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como
C:\$SNAP_200808242313_VOLUMEC$\

 DsaMain.exe
 dsamain /dbpath
C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit
/ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000
Inicio de los Servicios de dominio de Active Directory de Microsoft completado,
versión 6.0.6001.18000

182
 Seguridad
ADUC: Protección contra borrado accidental
Algunos objetos y contenedores tienen una nueva opción: “Prevent
container from accidental deletion” (por defecto está marcado cuando se
crea una OU)
Objeto/OU existentes Nueva unidad Organizativa

183
 Seguridad
Políticas de contraseñas granulares (PSO)
PSO
Resultante
= PSO1
Precedencia= 10

Password
Settings Object Se aplica a
PSO 1
PSO
Resultant
e = PSO1

Precedencia= 20

Password
Settings Object Se aplica a
PSO 2

Aplicar una PSO => modificar atributo msDsPSOAppliesTo

184
 Seguridad

ADMINISTRACIÓN DE PSO
 Recomendación: Administración basada en grupos
 Delegar la modificación de la membresía del grupo
 Esta característica puede ser también delegada
 Por defecto, solo los Administradores de Dominio pueden:
 Crear y leer PSOs
 Aplicar una PSO a un grupo o usuario

 Permisos

Operación a Delegar Permisos Delegados

En el PSO:
Crear y borrar PSOs Create all child objects
Delete all child objects
En el PSO:
Aplicar PSOs a usuarios/grupos
Write
185
FIN

ATICA

186