Documentos de Académico
Documentos de Profesional
Documentos de Cultura
2: Sistema
operativo Windows
Materiales del Instructor
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 2: Sistema
operativo Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
2.1 Descripción general de
Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
Historia de Windows
Sistema operativo de disco
Sistema operativo de disco (DOS): sistema
operativo que la computadora utiliza a fin de
habilitar estos dispositivos de almacenamiento
de datos para leer y escribir archivos.
MS-DOS, creado por Microsoft, utiliza una línea de
comando como interfaz para que las personas
creen programas y manipulen archivos de datos.
Las primeras versiones de Windows constaban de
una interfaz gráfica de usuario (GUI) que se
ejecutaba en MS-DOS.
En versiones más recientes de Windows, creadas
en NT, el propio sistema operativo controla
directamente la computadora y su hardware.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
Comando MS-DOS Descripción
dir Permite ver una lista de todos los archivos en el directorio actual (carpeta)
cd directory Cambia el directorio al directorio indicado
cd.. Cambia el directorio al directorio sobre el directorio actual
cd \ Cambia el directorio al directorio root (Usualmente C:)
copy Origen de destino Copia los archivos a otra ubicación
del Nombre de archivo Borra uno o más archivos
find Busca texto en archivos
mkdir Directorio Crea un nuevo directorio
ren Nombre antiguo, nombre nuevo Renombra un archivo
Muesta todos los comandos que pueden ser usados, con una breve
help
descripción
help command Muestra una ayuda extensa para el comando indicado
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 8
Historia de Windows
Versiones de Windows
Desde el año 1993 hubo más de
20 versiones de Windows basadas en el
sistema operativo NT(Nueva Tecnología).
A partir de Windows XP, comenzó a estar
disponible una edición de 64 bits.
Windows de 64 bits teóricamente puede
trabajar con 16,8 millones terabytes de RAM
Con cada nuevo lanzamiento de Windows,
el sistema operativo se ha mejorado con la
incorporación de más funciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 9
Historia de Windows
GUI de Windows
Windows tiene una interfaz gráfica de usuario
(Graphical User Interface, GUI) para que los
usuarios trabajen con software y archivos de
datos.
La sección principal de la GUI es el escritorio, que
contiene la barra de tareas
La barra de tareas incluye el menú Inicio y Buscar,
elementos de inicio rápido y área de notificaciones.
Al hacer clic con el botón secundario sobre un
icono aparecerá una lista adicional de funciones,
que se conoce como un menú contextual.
El explorador de archivos de Windows es una
herramienta que se utiliza para desplazarse por el
sistema de archivos completo de un equipo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
Historia de Windows
Vulnerabilidades en el sistema operativo
Para aprovechar una vulnerabilidad de un sistema
operativo, el atacante debe utilizar una técnica o
herramienta para atacarla.
Recomendaciones de seguridad habituales del sistema
operativo Windows:
• Implemente protección contra virus o malware.
• No admita servicios desconocidos o sin gestionar.
• Use cifrado.
• Implemente una política de seguridad sólida.
• Revise la configuración del firewall periódicamente.
• Establezca permisos de compartición de archivos
correctamente.
• Utilice contraseñas seguras.
• Inicie sesión como administrador solo cuando sea necesario.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Recomendación Descripción
Protección contra virus o malware De manera predeterminada, Windows utiliza Windows Defender para la protección contra el malware
Windows Defender ofrece un conjunto de herramientas de protección incorporado en el sistema.
Si Windows Defender está desactivado, el sistema es más vulnerable a los ataques y al malware.
Servicios Desconocidos o no administrados Existen muchos servicios que se ejecutan en segundo plano.
Es importante asegurarse de que cada servicio pueda identificarse y sea seguro.
Con un servicio desconocido ejecutándose en segundo plano, la computadora puede ser vulnerable a los ataques.
Cifrado Cuando los datos no se encuentran encriptados pueden ser fácilmente reunidos y explotados.
Esto no es solamente importante para computadoras de escritorio, sino especialmente para dispositivos móviles
Política de seguridad Se debe configurar una buena política de seguridad y debe cumplirse.
Muchos ajustes en el control de la política de seguridad de Windows pueden evitar ataques
Firewall Por defecto, Windows utiliza el Firewall de Windows para limitar la comunicación con dispositivos en la red
Con el tiempo, es posible que las reglas ya no se apliquen.
Por ejemplo, podría dejarse abierto un puerto que ya no debe estar disponible.
Es importante revisar la configuración del firewall periódicamente para asegurarse de que las reglas sigan siendo aplicables
y eliminar las que ya no se apliquen.
Permisos de archivo y uso compartido Estos permisos deben ser aplicados correctamente.
Es fácil solo darle al grupo "Todos" control total, pero esto permite a todas las persona realizar lo que ellas quieran con
todos los archivos.
Es mejor otorgar a cada usuario o grupo los permisos mínimos necesarios para todos los archivos y carpetas.
Contraseña débil o sin contraseña Muchas personas eligen una contraseña débil o no utilizan contraseñas del todo.
Es especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de administrador, tengan una
contraseña muy fuerte.
Iniciar sesión como administrador Cuando el usuario inicia sesión como administrador, cualquier programa que ejecuten tendrá los privilegios de esa cuenta.
Es mejor iniciar sesión como un usuario estándar y utilizar solamente la contraseña de administrador para realizar
determinadas tareas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Un servicio es un conjunto de proceso o tarea que buscan responder a las necesidades de un
cliente por medio de un cambio de condición en los bienes informáticos (llámese activos),
potenciando el valor de estos y reduciendo el riesgo inherente del sistema.
Las políticas consisten en una serie de normas y directrices que permiten garantizar la
confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que le
afectan
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Arquitectura y operaciones de Windows
Capa de abstracción de hardware
Una capa de abstracción de hardware
(Hardware Abstraction Layer, HAL) es un código
que maneja toda la comunicación entre el
hardware y el kernel.
El kernel es el núcleo del sistema operativo y
controla toda la computadora.
Se encarga de todas las solicitudes de entrada
y salida, la memoria y todos los periféricos
conectados a la computadora.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Arquitectura y operaciones de Windows
Modo de usuario y modo de kernel
Una CPU puede operar en dos modos
diferentes cuando la computadora tiene
Windows instalado: el modo de usuario y
el modo de kernel.
Las aplicaciones instaladas se ejecutan
en el modo de usuario, y el código del
sistema operativo lo hace en el modo de
kernel.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Arquitectura y operaciones de Windows
Sistemas de archivos de Windows
Un sistema de archivos determina cómo se organiza la información en
los medios de almacenamiento.
• Windows es compatible con los siguientes sistemas de archivos:
• Tabla de asignación de archivos (FAT)
• exFAT
• Sistema de archivos jerárquico + (HFS+)
• Sistema de archivos extendido (EXT)
• Sistema de archivos de nueva tecnología (NTFS)
NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una marca de hora.
Los datos que contiene el archivo se guardan en el atributo $DATA y se denominan flujo de datos.
Cada partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como
archivos de datos o aplicaciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
Arquitectura y operaciones de Windows
Sistemas de archivos de Windows
El formato NTFS crea estructuras importantes en el disco para
almacenar archivos y tablas para registrar las ubicaciones de los
archivos:
Sector de Partición de Arranque - Estos son los primeros 16
sectores de la unidad. contiene la ubicación de la tabla maestra de
archivos (MFT, Master File Table). Los últimos 16 sectores contienen
una copia del sector de arranque.
Tabla Maestra de Archivos (MFT) - Esta tabla contiene la
localización de todos los archivos y los directorios de la partición,
incluyendo los atributos de los archivos como la información de
seguridad y las marcas de tiempo.
Archivos del sistema - Estos son archivos ocultos que almacenan
información sobre otros volúmenes y atributos de archivo.
Área de Archivos - El área principal de la partición donde los
archivos y los directorios son guardados. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Arquitectura y operaciones de Windows
Sistemas de archivos de Windows
Sistema de archivos de
Descripción
Windows
•Este es el sistema de archivos usado más comúnmente cuando está instalado en Windows.
Sistema de archivos de Todas las versiones de Windows y Linux admiten NTFS.
nueva tecnología (NTFS) •Los equipos Mac-OS X sólo pueden leer una partición NTFS. Son capaces de escribir en
una partición NTFS después de instalar controladores especiales.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
Flujos de datos alternativos
NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una
marca de hora. Los datos que contiene el archivo se almacenan en el atributo $DATA, y se
conocen como flujo de datos. Con NTFS, es posible conectar flujos de datos alternativos
(Alternate Data Streams, ADS) al archivo. En ocasiones, las aplicaciones aprovechan esta función
para almacenar información adicional sobre el archivo. Los ADS son un factor importante en
relación con el malware. Esto se debe a que resulta sencillo ocultar datos en ADS. Un atacante
podría almacenar código malicioso dentro de ADS y otro archivo podría invocar este contenido
posteriormente.
En el sistema de archivos NTFS, un archivo con ADS se identifica después del nombre del archivo
y dos puntos, por ejemploTestfile.txt:ADS. Este nombre de archivo indica que un ADS llamado
ADS está asociado con el archivo llamadoTestfile.txt. Un ejemplo de ADS es mostrada en la
salida de un comando.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
Arquitectura y operaciones de Windows
Proceso de arranque de Windows
Existen dos tipos de firmware para
computadoras: sistema básico de
entrada y salida (BIOS), e interfaz de
firmware extensible unificada (UEFI).
UEFI se diseñó para reemplazar el BIOS
y admitir las nuevas funciones.
Ya sea BIOS o UEFI, después de
encontrar una instalación válida de
Windows, se ejecuta el archivo
Bootmgr.exe.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
Arquitectura y operaciones de Windows
Proceso de arranque de Windows
Existen dos tipos de firmware de computadora:
Basic Input-Output System (BIOS) - BIOS firmware se creó a principios de la década de 1980 y
funciona de la misma manera desde entonces. A medida que las computadoras evolucionaron,
BIOS firmware comenzó a tener problemas para admitir todas las nuevas funciones que
solicitaban los usuarios.
Unified Extensible Firmware Interface (UEFI) - UEFI se diseñó para reemplazar el BIOS y
admitir las nuevas funciones.
Nota: Una computadora que utiliza UEFI almacena el código de arranque en el firmware. Esto ayuda a aumentar la seguridad de la
computadora al momento del arranque, ya que entra directamente en el modo protegido.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
Arquitectura y operaciones de Windows
Inicio y apagado de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 22
Arquitectura y operaciones de Windows
Inicio de Windows
Las diferentes entradas en estos lugares del registro definen qué servicios y aplicaciones se inician, tal
como indica su tipo de entrada.
a) HKEY_LOCAL_MACHINE: muchos aspectos de la configuración de Windows se almacenan en esta
clave, incluida la información sobre los servicios que se inician con cada arranque.
b) HKEY_CURRENT_USER: En esta clave se almacenan varios aspectos relacionados con el usuario que
ha iniciado sesión, incluida la información sobre los servicios que se inician solo cuando el usuario inicia
sesión en la computadora.
Algunos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 23
Arquitectura y operaciones de Windows
Inicio de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
Arquitectura y operaciones de Windows
Inicio de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
Arquitectura y operaciones de Windows
Inicio de Windows
Hay cinco fichas que contienen las
opciones de configuración:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
Arquitectura y operaciones de Windows
Inicio de Windows
Hay cinco fichas que contienen las opciones
de configuración:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
Arquitectura y operaciones de Windows
Inicio de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
Apagado de Windows
Hay varias maneras de apagar una computadora Windows: La opción de apagado del menú de
Windows, el comando shutdown en la linea de comandos, utilizar Ctrl+Alt+Delete y presionando
el icono de botón de poder. Hay tres opciones diferentes entre las que elegir al apagar el equipo:
Apagar - apaga el equipo (apaga).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
Arquitectura y operaciones de Windows
Procesos, subprocesos y servicios
Un proceso es cualquier programa que se esté
ejecutando.
Un subproceso es una parte del proceso que
puede ejecutarse.
En Windows, es posible ejecutar varios
subprocesos al mismo tiempo.
Algunos de los procesos que ejecuta Windows
son servicios: programas que se ejecutan en
segundo plano para respaldar el sistema
operativo y las aplicaciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
Arquitectura y operaciones de Windows
Asignación de la memoria e identificadores
El espacio para la dirección postal virtual de un
proceso es el conjunto de direcciones virtuales que
puede utilizar el proceso.
Cada proceso en una computadora con Windows de
32 bits admite un espacio para la dirección postal
virtual que hace posible manipular hasta 4 GB.
Cada proceso en una computadora con Windows
de 64 bits admite un espacio para la dirección
postal virtual de 8 TB.
Cada proceso de espacio del usuario se ejecuta en
un espacio para la dirección postal privado,
separado de otros procesos de espacio del usuario.
RamMap de Sysinternal: se usa para visualizar la
asignación de la memoria.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
Arquitectura y operaciones de Windows
Registro de Windows En el registro de Windows se almacena toda la información
sobre el hardware, las aplicaciones, los usuarios y la
configuración del sistema.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
2.2 Administración de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
Configuración y monitoreo de Windows
Ejecución como administrador
A veces, es necesario ejecutar o instalar
software que exige privilegios de
administrador.
Use "Ejecutar como administrador" o abra
un símbolo del sistema de administrador.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
Configuración y monitoreo de Windows
Usuarios y dominios locales
Los usuarios y grupos locales se administran con
el applet del panel de control lusrmgr.msc.
Un grupo tiene un nombre y un conjunto
específico de permisos asociados con él. Un
usuario asignado a un grupo tendrán los permisos
asignados a dicho grupo.
Un dominio es un tipo de servicio de red en el que
todos los usuarios, grupos, computadoras,
periféricos y ajustes de seguridad se almacenan
en una base de datos, que también los controla.
• Esta base de datos se almacena en
computadoras o grupos de computadoras que se
denominan controladores de dominio (DC).
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
Configuración y monitoreo de Windows
CLI y PowerShell
La interfaz de línea de comandos (CLI) de
Windows se puede usar para ejecutar
programas, recorrer el sistema de archivos,
y administrar archivos y carpetas.
Otro entorno llamado Windows PowerShell
puede usarse para crear scripts que
automaticen las tareas que la CLI regular
no puede crear.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
Configuración y monitoreo de Windows
CLI y PowerShell
Estos son los tipos de comandos que puede Hay cuatro niveles de ayuda de Windows
ejecutar PowerShell: PowerShell:
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
Configuración y monitoreo de Windows
Instrumentación de la administración de Windows
Windows Management Instrumentation
(WMI) se utiliza para administrar
computadoras remotas.
Actualmente, algunos ataques utilizan WMI
para conectarse con sistemas remotos,
modificar el registro y ejecutar comandos.
En consecuencia, el acceso debería ser
estrictamente limitado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
Configuración y monitoreo de Windows
Instrumentación de la administración de Windows
Estas son las cuatro fichas en la ventana
Propiedades de Control WMI:
a) General - Resumen de información sobre la
computadora local y WMI
b) Copia de seguridad y/o restauración -
Permite realizar la copia de respaldo manual
de las estadísticas recopiladas por WMI
c) Seguridad - Ajustes para configurar quién
tiene acceso a las diferentes estadísticas de
WMI
d) Opciones avanzadas - Ajustes para
configurar el espacio de nombres
predeterminado para WMI
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
Configuración y monitoreo de Windows
El comando net
El comando net puede ir seguido de muchos otros comandos, que pueden combinarse con
cambios para concentrarse en resultados específicos.
Para ver una lista de los comandos net, escriba net help en la petición de ingreso de
comando.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
Configuración y monitoreo de Windows
El comando net
Comando Descripción
net accounts Define los requisitos de contraseñas e inicio de sesión para los usuarios
net session Enumera o desconecta las sesiones entre una computadora y otras computadoras de la red
net start Inicia un servicio de red o enumera los servicios de red en ejecución
net use Conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos
net view Muestra una lista de las computadoras y los dispositivos de red en la misma
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
Configuración y monitoreo de Windows
Administrador de tareas
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
Configuración y monitoreo de Windows
Administrador de tareas y Monitor de recursos
Fichas del Administrador de tareas Descripción
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
Configuración y monitoreo de Windows
Monitor de recursos
El Monitor de recursos se utiliza cuando se
necesita información más detallada del uso de
recursos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
Pestañas del Monitor de recursos Descripción
Red • Todos los procesos que están usando la red se muestran en esta pestaña, con
estadísticas de lectura / escritura.
• Lo más importante es poder ver las conexiones actuales de TCP, junto con todos los
puertos de escucha.
• Esta ficha resulta muy útil cuando se intenta determinar qué aplicaciones y procesos se
comunican usando la red.
• Permite observar si un proceso no
© 2016 Ciscoautorizado
y/o sus filiales. Todos tiene
los derechosacceso a la confidencial
reservados. Información red y deescucha
Cisco. 48una
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
Configuración y monitoreo de Windows
Acceso a los recursos de red
El protocolo de bloqueo de mensaje del servidor
(SMB) se utiliza para compartir recursos de la
red.
Para conectar con los recursos se utiliza el
formato convención de nomenclatura universal
(UNC).
Un recurso compartido administrativo se identifica
con el signo de dólar ($) que aparece después de
su nombre.
El protocolo de escritorio remoto (RDP) puede
utilizarse para iniciar sesión en un host remoto y
realizar cambios de configuración, instalar el
software o solucionar problemas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
Configuración y monitoreo de Windows
Servidor de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
Seguridad de Windows
El comando netstat
El comando netstat puede usarse para
buscar conexiones entrantes o salientes
no autorizadas.
Vincule las conexiones a los procesos en
ejecución en el Administrador de tareas
mediante netstat – abno.
Para ver los ID de los procesos en el
Administrador de tareas, ábralo, haga clic
con el botón secundario en el encabezado
de la tabla y seleccione PID.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 52
Seguridad de Windows
Visor de eventos
El Visor de eventos de Windows registra
el historial de eventos del sistema, de
aplicaciones y de seguridad.
Windows incluye dos categorías de
registros de eventos: registros de
Windows y registros de aplicaciones y
servicios.
Una vista personalizada incorporada que
se denomina Eventos administrativos e
incluye todos los eventos críticos, de
error y de advertencia de todos los
registros administrativos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 53
Seguridad de Windows
Administración de actualizaciones de Windows
Para garantizar el máximo nivel de
protección contra ataques, siempre
asegúrese de que Windows esté
actualizado con los últimos service packs y
parches de seguridad.
Windows verifica sistemáticamente el sitio
web de Windows Update en busca de
actualizaciones de alta prioridad que ayuden
a proteger una computadora de las
amenazas de seguridad más recientes.
Para configurar los ajustes de actualización
de Windows, busque Windows Update y
haga clic en la aplicación.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 54
Seguridad de Windows
Política de seguridad local
La directiva de seguridad local de Windows se
puede utilizar para las computadoras
independientes que no forman parte de un
dominio de Active Directory.
La opción Directiva de contraseñas se
encuentra debajo de Directivas de cuenta y
permite definir los criterios para las contraseñas
de todos los usuarios en la computadora local.
Utilice la Directiva de bloqueo de cuenta en
Directivas de cuenta para evitar los intentos de
inicio de sesión forzosos.
También puede configurar reglas de Firewall y
de los derechos del usuario.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 55
Seguridad de Windows
Política de seguridad local
Windows trae preinstalada una protección
contra virus y spyware llamada Windows
Defender.
Windows Defender le permite realizar
análisis manuales de la computadora y
dispositivos de almacenamiento, y
actualizar las definiciones de virus y
spyware en la ficha de actualización.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 56
Windows Defender
El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están
diseñados para invadir la privacidad, robar información y dañar la computadora o los datos. Es importante
que proteja las computadoras y los dispositivos móviles mediante un software antimalware reconocido.
Los siguientes tipos de software antimalware se encuentran disponibles:
a) Protección antivirus - Este programa monitorea continuamente en busca de virus. Cuando se detecta un
virus, se advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.
b) Protección contra adware - Este programa busca constantemente programas que muestran anuncios
publicitarios en la computadora.
c) Protección contra suplantación de identidad - Este programa bloquea las direcciones IP de sitios web
conocidos por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.
d) Protección contra spyware - Este programa analiza la computadora en busca de programas que registren
claves y otro tipo de spyware.
e) Fuentes confiables o no confiables - Este programa le advierte si está por instalar programas inseguros o
visitar sitios web inseguros.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 57
Seguridad de Windows
Firewall de Windows
Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan
diversas aplicaciones.
Al abrir solo los puertos requeridos en
un firewall se implementa una política
de seguridad restrictiva.
La mayoría de los dispositivos ahora
vienen con una configuración
altamente restrictiva.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 58
2.3 Resumen del capítulo
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 59
Resumen del capítulo
En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al
día de hoy, hubo más de 40 versiones de sistemas operativos Windows para equipos de escritorio,
Windows Server y Windows para dispositivos móviles.
La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en
dos modos independientes: modo de kernel y modo de usuario. Las aplicaciones instaladas se
ejecutan en el modo de usuario, y el código del sistema operativo lo hace en el modo de kernel.
NTFS formatea el disco en cuatro importantes estructuras de datos:
• Sector de arranque de la partición
• Tabla maestra de archivos (Master File Table, MFT)
• Archivos del sistema
• Área de archivos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 60
Resumen del capítulo
Resumen (continuación)
Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.
Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.
Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más
alto se conoce como sección. Estas son las cinco secciones del Registro de Windows:
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 61
Resumen del capítulo
Resumen (continuación)
En este capítulo también aprendieron a configurar, monitorear y preservar la seguridad
de Windows. Para hacer esto normalmente tienen que ejecutar programas como
Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el
acceso a las cuentas de administrador e invitado, y utilizar diversas herramientas para
administradores, como las siguientes:
• Todos los comandos disponibles para la CLI y para PowerShell
• La administración remota de computadoras mediante el WMI y Escritorio remoto
• Administrador de tareas y Monitor de recursos
• Configuración de red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 62
Resumen del capítulo
Resumen (continuación)
Como administrador, puede usar todas las herramientas de seguridad de Windows; por
ejemplo:
• El comando netstat para buscar conexiones entrantes y salientes no autorizadas
• El Visor de eventos para acceder a registros donde se documenta el historial de eventos
del sistema, de seguridad y de aplicaciones
• Configuración y programación de Windows Update
• Política de seguridad local de Windows para asegurar computadoras independientes que
no forman parte de un dominio de Active Directory
• Configuración de Windows Defender para protección integrada antivirus y antispyware
• Configuración del Firewall de Windows para afinar la configuración predeterminada
Como analistas especializados en ciberseguridad tienen que comprender los aspectos
básicos del funcionamiento de Windows y qué herramientas se pueden utilizar para preservar
la seguridad de los terminales Windows.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 63
Capítulo 2
Nuevos términos y comandos
Flujo de datos alternativos (ADS) (HAL) Registro
Sistema básico de entrada y salida Sistema de archivos jerárquico + Monitor de recursos
(BIOS) (HFS+) Bloque de mensajes del servidor
Base de datos de la configuración de Núcleo (SMB)
arranque (BCD) Firma de código del modo de kernel Servicios
Interfaz de línea de comandos (CLI) (KMCS) Subsistema administrador de
Sistema operativo de disco (DOS) Registro principal de arranque (MBR) sesiones (SMSS)
Dominio Tabla maestra de archivos (Master Archivos del sistema
Controlador de dominio (DC) File Table, MFT) Administrador de tareas
Cifrado MS-DOS Subprocesos
Visor de eventos netstat Interfaz de firmware extensible
FAT extendida (exFAT) Sistema de archivos de nueva unificada (UEFI)
Sistema de archivos extendido (EXT) tecnología (NTFS) Windows Defender
Tabla de asignación de archivos (FAT) Sector de arranque de la partición Instrumentación de la administración
Firewall PowerShell de Windows (WMI)
Capa de abstracción de hardware Procesos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 64
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
Dominio 4: análisis basado en host
• 4.1 Defina los siguientes términos en relación con Microsoft Windows:
• Procesos
• Subprocesos
• Asignación de memoria
• Registro de Windows
• WMI
• Se ocupa de
• Servicios
• 4.3 Describa la función de las siguientes tecnologías de terminal en relación con el monitoreo de seguridad:
• Antivirus y antimalware
• Firewall basado en host
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 65
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de
ciberseguridad:
De 210 a 255 SECOP: implementación de operaciones de ciberseguridad de Cisco
Dominio 1: análisis de amenazas para terminales y análisis forense
• 1.4 Defina lo siguiente en relación con el sistema de archivos de Microsoft Windows:
• FAT32
• NTFS
• Flujos de datos alternativos
• Marcas de tiempo en un sistema de archivos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 66