Capítulo 2: Sistema Operativo Windows: Materiales Del Instructor

Capítulo
2: Sistema
operativo Windows
Materiales del Instructor
Operaciones de ciberseguridad v1.1

Capítulo 2: Sistema
operativo Windows
Guía de planificación
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 2: Sistema
operativo Windows

Capítulo 2: secciones y objetivos
 2.1 Descripción general de Windows
• Explicar el funcionamiento del sistema operativo Windows.
• Describir la historia del sistema operativo Windows.
• Explicar la arquitectura de Windows y su funcionamiento.
 2.2 Administración de Windows

• Explicar cómo proteger las terminales con Windows.
• Explicar cómo configurar y supervisar Windows.
• Explicar cómo Windows se puede mantener seguro.
2.1 Descripción general de
Windows
Historia de Windows
Sistema operativo de disco
 Sistema operativo de disco (DOS): sistema
operativo que la computadora utiliza a fin de
habilitar estos dispositivos de almacenamiento
de datos para leer y escribir archivos.
 MS-DOS, creado por Microsoft, utiliza una línea de
comando como interfaz para que las personas
creen programas y manipulen archivos de datos.
 Las primeras versiones de Windows constaban de
una interfaz gráfica de usuario (GUI) que se
ejecutaba en MS-DOS.
 En versiones más recientes de Windows, creadas
en NT, el propio sistema operativo controla
directamente la computadora y su hardware.
Comando MS-DOS Descripción
dir Permite ver una lista de todos los archivos en el directorio actual (carpeta)
cd directory Cambia el directorio al directorio indicado
cd.. Cambia el directorio al directorio sobre el directorio actual
cd \ Cambia el directorio al directorio root (Usualmente C:)
copy Origen de destino Copia los archivos a otra ubicación
del Nombre de archivo Borra uno o más archivos
find Busca texto en archivos
mkdir Directorio Crea un nuevo directorio
ren Nombre antiguo, nombre nuevo Renombra un archivo
Muesta todos los comandos que pueden ser usados, con una breve
help
descripción
help command Muestra una ayuda extensa para el comando indicado
Historia de Windows
Versiones de Windows
 Desde el año 1993 hubo más de
20 versiones de Windows basadas en el
sistema operativo NT(Nueva Tecnología).
 A partir de Windows XP, comenzó a estar
disponible una edición de 64 bits.
 Windows de 64 bits teóricamente puede
trabajar con 16,8 millones terabytes de RAM
 Con cada nuevo lanzamiento de Windows,
el sistema operativo se ha mejorado con la
incorporación de más funciones.
Historia de Windows
GUI de Windows
 Windows tiene una interfaz gráfica de usuario
(Graphical User Interface, GUI) para que los
usuarios trabajen con software y archivos de
datos.
 La sección principal de la GUI es el escritorio, que
contiene la barra de tareas
 La barra de tareas incluye el menú Inicio y Buscar,
elementos de inicio rápido y área de notificaciones.
 Al hacer clic con el botón secundario sobre un
icono aparecerá una lista adicional de funciones,
que se conoce como un menú contextual.
 El explorador de archivos de Windows es una
herramienta que se utiliza para desplazarse por el
sistema de archivos completo de un equipo.
Historia de Windows
Vulnerabilidades en el sistema operativo
 Para aprovechar una vulnerabilidad de un sistema
operativo, el atacante debe utilizar una técnica o
herramienta para atacarla.
 Recomendaciones de seguridad habituales del sistema
operativo Windows:
• Implemente protección contra virus o malware.
• No admita servicios desconocidos o sin gestionar.
• Use cifrado.
• Implemente una política de seguridad sólida.
• Revise la configuración del firewall periódicamente.
• Establezca permisos de compartición de archivos
correctamente.
• Utilice contraseñas seguras.
• Inicie sesión como administrador solo cuando sea necesario.
Recomendación Descripción
Protección contra virus o malware De manera predeterminada, Windows utiliza Windows Defender para la protección contra el malware
Windows Defender ofrece un conjunto de herramientas de protección incorporado en el sistema.
Si Windows Defender está desactivado, el sistema es más vulnerable a los ataques y al malware.
Servicios Desconocidos o no administrados Existen muchos servicios que se ejecutan en segundo plano.
Es importante asegurarse de que cada servicio pueda identificarse y sea seguro.
Con un servicio desconocido ejecutándose en segundo plano, la computadora puede ser vulnerable a los ataques.
Cifrado Cuando los datos no se encuentran encriptados pueden ser fácilmente reunidos y explotados.
Esto no es solamente importante para computadoras de escritorio, sino especialmente para dispositivos móviles
Política de seguridad Se debe configurar una buena política de seguridad y debe cumplirse.
Muchos ajustes en el control de la política de seguridad de Windows pueden evitar ataques
Firewall Por defecto, Windows utiliza el Firewall de Windows para limitar la comunicación con dispositivos en la red
Con el tiempo, es posible que las reglas ya no se apliquen.
Por ejemplo, podría dejarse abierto un puerto que ya no debe estar disponible.
Es importante revisar la configuración del firewall periódicamente para asegurarse de que las reglas sigan siendo aplicables
y eliminar las que ya no se apliquen.
Permisos de archivo y uso compartido Estos permisos deben ser aplicados correctamente.
Es fácil solo darle al grupo "Todos" control total, pero esto permite a todas las persona realizar lo que ellas quieran con
todos los archivos.
Es mejor otorgar a cada usuario o grupo los permisos mínimos necesarios para todos los archivos y carpetas.
Contraseña débil o sin contraseña Muchas personas eligen una contraseña débil o no utilizan contraseñas del todo.
Es especialmente importante asegurarse de que todas las cuentas, especialmente la cuenta de administrador, tengan una
contraseña muy fuerte.
Iniciar sesión como administrador Cuando el usuario inicia sesión como administrador, cualquier programa que ejecuten tendrá los privilegios de esa cuenta.
Es mejor iniciar sesión como un usuario estándar y utilizar solamente la contraseña de administrador para realizar
determinadas tareas.
 Un servicio es un conjunto de proceso o tarea que buscan responder a las necesidades de un
cliente por medio de un cambio de condición en los bienes informáticos (llámese activos),
potenciando el valor de estos y reduciendo el riesgo inherente del sistema.
 Las políticas consisten en una serie de normas y directrices que permiten garantizar la
confidencialidad, integridad y disponibilidad de la información y minimizar los riesgos que le
afectan
Arquitectura y operaciones de Windows
Capa de abstracción de hardware
 Una capa de abstracción de hardware
(Hardware Abstraction Layer, HAL) es un código
que maneja toda la comunicación entre el
hardware y el kernel.
 El kernel es el núcleo del sistema operativo y
controla toda la computadora.
 Se encarga de todas las solicitudes de entrada
y salida, la memoria y todos los periféricos
conectados a la computadora.
Modo de usuario y modo de kernel
 Una CPU puede operar en dos modos
diferentes cuando la computadora tiene
Windows instalado: el modo de usuario y
el modo de kernel.
 Las aplicaciones instaladas se ejecutan
en el modo de usuario, y el código del
sistema operativo lo hace en el modo de
kernel.
Sistemas de archivos de Windows
 Un sistema de archivos determina cómo se organiza la información en
los medios de almacenamiento.
• Windows es compatible con los siguientes sistemas de archivos:
• Tabla de asignación de archivos (FAT)
• exFAT
• Sistema de archivos jerárquico + (HFS+)
• Sistema de archivos extendido (EXT)
• Sistema de archivos de nueva tecnología (NTFS)
 NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una marca de hora.
 Los datos que contiene el archivo se guardan en el atributo $DATA y se denominan flujo de datos.
 Los discos duros se dividen en áreas denominadas particiones.
 Cada partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como
archivos de datos o aplicaciones.
 El formato NTFS crea estructuras importantes en el disco para
almacenar archivos y tablas para registrar las ubicaciones de los
archivos:
 Sector de Partición de Arranque - Estos son los primeros 16
sectores de la unidad. contiene la ubicación de la tabla maestra de
archivos (MFT, Master File Table). Los últimos 16 sectores contienen
una copia del sector de arranque.
 Tabla Maestra de Archivos (MFT) - Esta tabla contiene la
localización de todos los archivos y los directorios de la partición,
incluyendo los atributos de los archivos como la información de
seguridad y las marcas de tiempo.
 Archivos del sistema - Estos son archivos ocultos que almacenan
información sobre otros volúmenes y atributos de archivo.
 Área de Archivos - El área principal de la partición donde los
archivos y los directorios son guardados. © 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Sistema de archivos de
Descripción
Windows
•Este es un sistema de archivos simple compatible con muchos sistemas operativos

diferentes.
•FAT tiene limitaciones en la cantidad de particiones, tamaños de partición y tamaños de
exFAT archivo que puede abordar, por lo que generalmente ya no se usa para discos duros (HDs) o
unidades de estado sólido (SSD).
•FAT16 y FAT32 están disponibles para usarse, y FAT32 es el más común, ya que tiene
muchas menos restricciones que FAT16.
•Este sistema de archivos se usa en computadoras MAC OS X y permite nombres de archivo,

tamaños de archivo y tamaños de partición mucho más largos que los sistemas de archivos
Sistema de archivos
anteriores.
jerárquico + (HFS+)
•Aunque no es compatible con Windows sin software especializado, Windows es capaz de
leer datos de particiones HFS+.
•Este sistema de archivos es utilizado con computadoras basadas en Linux.

Sistema de archivos
•Aunque no es compatible con Windows, Windows es capaz de leer datos de particiones EXT
extendido (EXT)
con software especializado.
•Este es el sistema de archivos usado más comúnmente cuando está instalado en Windows.
Sistema de archivos de Todas las versiones de Windows y Linux admiten NTFS.
nueva tecnología (NTFS) •Los equipos Mac-OS X sólo pueden leer una partición NTFS. Son capaces de escribir en
una partición NTFS después de instalar controladores especiales.
Flujos de datos alternativos
 NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una
marca de hora. Los datos que contiene el archivo se almacenan en el atributo $DATA, y se
conocen como flujo de datos. Con NTFS, es posible conectar flujos de datos alternativos
(Alternate Data Streams, ADS) al archivo. En ocasiones, las aplicaciones aprovechan esta función
para almacenar información adicional sobre el archivo. Los ADS son un factor importante en
relación con el malware. Esto se debe a que resulta sencillo ocultar datos en ADS. Un atacante
podría almacenar código malicioso dentro de ADS y otro archivo podría invocar este contenido
posteriormente.
 En el sistema de archivos NTFS, un archivo con ADS se identifica después del nombre del archivo
y dos puntos, por ejemploTestfile.txt:ADS. Este nombre de archivo indica que un ADS llamado
ADS está asociado con el archivo llamadoTestfile.txt. Un ejemplo de ADS es mostrada en la
salida de un comando.
Proceso de arranque de Windows
 Existen dos tipos de firmware para
computadoras: sistema básico de
entrada y salida (BIOS), e interfaz de
firmware extensible unificada (UEFI).
 UEFI se diseñó para reemplazar el BIOS
y admitir las nuevas funciones.
 Ya sea BIOS o UEFI, después de
encontrar una instalación válida de
Windows, se ejecuta el archivo
Bootmgr.exe.
Proceso de arranque de Windows
 Existen dos tipos de firmware de computadora:
 Basic Input-Output System (BIOS) - BIOS firmware se creó a principios de la década de 1980 y
funciona de la misma manera desde entonces. A medida que las computadoras evolucionaron,
BIOS firmware comenzó a tener problemas para admitir todas las nuevas funciones que
solicitaban los usuarios.
 Unified Extensible Firmware Interface (UEFI) - UEFI se diseñó para reemplazar el BIOS y
admitir las nuevas funciones.
 Nota: Una computadora que utiliza UEFI almacena el código de arranque en el firmware. Esto ayuda a aumentar la seguridad de la
computadora al momento del arranque, ya que entra directamente en el modo protegido.
Inicio y apagado de Windows
Inicio de Windows
Las diferentes entradas en estos lugares del registro definen qué servicios y aplicaciones se inician, tal
como indica su tipo de entrada.
a) HKEY_LOCAL_MACHINE: muchos aspectos de la configuración de Windows se almacenan en esta
clave, incluida la información sobre los servicios que se inician con cada arranque.
b) HKEY_CURRENT_USER: En esta clave se almacenan varios aspectos relacionados con el usuario que
ha iniciado sesión, incluida la información sobre los servicios que se inician solo cuando el usuario inicia
sesión en la computadora.
Algunos tipos son Run, RunOnce, RunServices, RunServicesOnce y Userinit.
Inicio de Windows
Hay cinco fichas que contienen las

opciones de configuración:
a) General: Aquí se pueden elegir tres

tipos de inicio diferentes. “Normal”
carga todos los controladores y
servicios. “Con diagnóstico” carga
solamente los servicios y
controladores básicos. “Selectivo” le
permite al usuario elegir qué cargar en
el inicio.
Inicio de Windows

b) Arranque: Aquí se puede elegir

cualquier sistema operativo instalado
para comenzar. También hay
opciones para el arranque a prueba
de errores, que se utiliza para
solucionar problemas de inicio.
Inicio de Windows
c) Servicios: Todos los servicios

instalados se enumeran aquí para
que se puedan elegir para comenzar
al inicio.
Inicio de Windows
Hay cinco fichas que contienen las opciones
de configuración:
d) Inicio: En esta clave se almacenan varios

aspectos relacionados con el usuario que
ha iniciado sesión, incluida la información
sobre los servicios que se inician solo
cuando el usuario inicia sesión en la
computadora.
Inicio de Windows
Hay cinco fichas que contienen las opciones

de configuración:
e) Herramientas: Muchas herramientas

comunes del sistema operativo se pueden
iniciar directamente desde esta pestaña.
Siempre es mejor cerrar correctamente la

computadora que apagarla.
Apagado de Windows
 Hay varias maneras de apagar una computadora Windows: La opción de apagado del menú de
Windows, el comando shutdown en la linea de comandos, utilizar Ctrl+Alt+Delete y presionando
el icono de botón de poder. Hay tres opciones diferentes entre las que elegir al apagar el equipo:
 Apagar - apaga el equipo (apaga).
 Reiniciar - reinicia la computadora (apaga y enciende).
 Hibernación - registra el estado actual del equipo y el entorno de usuario y lo almacena en un

archivo. La hibernación le permite al usuario continuar su trabajo rápidamente justo desde donde
lo dejó, con todos sus archivos y programas aún abiertos.
Procesos, subprocesos y servicios
 Un proceso es cualquier programa que se esté
ejecutando.
 Un subproceso es una parte del proceso que
puede ejecutarse.
 En Windows, es posible ejecutar varios
subprocesos al mismo tiempo.
 Algunos de los procesos que ejecuta Windows
son servicios: programas que se ejecutan en
segundo plano para respaldar el sistema
operativo y las aplicaciones.
Asignación de la memoria e identificadores
 El espacio para la dirección postal virtual de un
proceso es el conjunto de direcciones virtuales que
puede utilizar el proceso.
 Cada proceso en una computadora con Windows de
32 bits admite un espacio para la dirección postal
virtual que hace posible manipular hasta 4 GB.
 Cada proceso en una computadora con Windows
de 64 bits admite un espacio para la dirección
postal virtual de 8 TB.
 Cada proceso de espacio del usuario se ejecuta en
un espacio para la dirección postal privado,
separado de otros procesos de espacio del usuario.
 RamMap de Sysinternal: se usa para visualizar la
asignación de la memoria.
Registro de Windows  En el registro de Windows se almacena toda la información
sobre el hardware, las aplicaciones, los usuarios y la
configuración del sistema.
 El registro es una base de datos jerárquica donde el nivel más

alto se conoce como subárbol, debajo están las claves y, luego,
las subclaves.
 Estas son las cinco secciones del registro de Windows:
• HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario

con una sesión iniciada actualmente.
• HKEY_USERS (HKU): contiene datos sobre todas las cuentas de
usuario.
• HKEY_CLASSES_ROOT (HKCR): contiene datos sobre los
registros de vinculación e integración de objetos (OLE).
• HKEY_LOCAL_MACHINE (HKLM): contiene datos relacionados
con el sistema.
• HKEY_CURRENT_CONFIG (HKCC): contiene datos sobre el perfil
de hardware actual.
 La navegación es muy similar a la del explorador de archivos de

Windows.
Registro de Windows
 La navegación por el registro es muy similar a la del explorador de archivos de Windows. Use
el panel izquierdo para navegar por las colmenas y la estructura debajo de él y use el panel
derecho para ver el contenido del elemento resaltado en el panel izquierdo. Con tantas claves
y subclaves, la ruta de la clave puede resultar muy prolongada. La ruta aparece en la parte
inferior de la ventana como referencia. Dado que cada clave y subclave es, en definitiva, un
contenedor, la ruta se representa como una carpeta en un sistema de archivos. El backslash
(\) es utilizado para diferenciar la jerarquía de la base de datos.
 Las claves de registro pueden contener una subclave o un valor. Los diferentes valores que
pueden contener las claves son los siguientes:
 REG_BINARY - números o valores booleanos
 REG_DWORD - números superiores a 32 bits o datos sin procesar
 REG_SZ - Valores de String
2.2 Administración de Windows
Configuración y monitoreo de Windows
Ejecución como administrador
 A veces, es necesario ejecutar o instalar
software que exige privilegios de
administrador.
 Use "Ejecutar como administrador" o abra
un símbolo del sistema de administrador.
Usuarios y dominios locales
 Los usuarios y grupos locales se administran con
el applet del panel de control lusrmgr.msc.
 Un grupo tiene un nombre y un conjunto
específico de permisos asociados con él. Un
usuario asignado a un grupo tendrán los permisos
asignados a dicho grupo.
 Un dominio es un tipo de servicio de red en el que
todos los usuarios, grupos, computadoras,
periféricos y ajustes de seguridad se almacenan
en una base de datos, que también los controla.
• Esta base de datos se almacena en
computadoras o grupos de computadoras que se
denominan controladores de dominio (DC).
CLI y PowerShell
 La interfaz de línea de comandos (CLI) de
Windows se puede usar para ejecutar
programas, recorrer el sistema de archivos,
y administrar archivos y carpetas.
 Otro entorno llamado Windows PowerShell
puede usarse para crear scripts que
automaticen las tareas que la CLI regular
no puede crear.
CLI y PowerShell
 Estos son los tipos de comandos que puede  Hay cuatro niveles de ayuda de Windows
ejecutar PowerShell: PowerShell:
 cmdlets - Estos comandos realizan una a) get-help PS command - Muestra ayuda

acción y envían un resultado u objeto al básica para un comando
siguiente comando que se ejecutará. b) get-help PS command [-examples] -
 Scripts de PowerShell - Estos son archivos Muestra una ayuda con ejemplos básica
con una **.ps1** extensión que contienen para un comando
comandos de PowerShell que se ejecutan. c) get-help PS command [-detailed] -
 Funciones de PowerShell - Estas son Muestra ayuda con ejemplos detallada
fragmentos de código a los que se puede para un comando
hacer referencia en un script. d) get-help PS command [-full] - Muestra
toda la información de ayuda con
ejemplos para un comando
Instrumentación de la administración de Windows
 Windows Management Instrumentation
(WMI) se utiliza para administrar
computadoras remotas.
 Actualmente, algunos ataques utilizan WMI
para conectarse con sistemas remotos,
modificar el registro y ejecutar comandos.
En consecuencia, el acceso debería ser
estrictamente limitado.
Instrumentación de la administración de Windows
 Estas son las cuatro fichas en la ventana
Propiedades de Control WMI:
a) General - Resumen de información sobre la
computadora local y WMI
b) Copia de seguridad y/o restauración -
Permite realizar la copia de respaldo manual
de las estadísticas recopiladas por WMI
c) Seguridad - Ajustes para configurar quién
tiene acceso a las diferentes estadísticas de
WMI
d) Opciones avanzadas - Ajustes para
configurar el espacio de nombres
predeterminado para WMI
El comando net
 El comando net puede ir seguido de muchos otros comandos, que pueden combinarse con
cambios para concentrarse en resultados específicos.
 Para ver una lista de los comandos net, escriba net help en la petición de ingreso de
comando.
El comando net
Comando Descripción
net accounts Define los requisitos de contraseñas e inicio de sesión para los usuarios
net session Enumera o desconecta las sesiones entre una computadora y otras computadoras de la red
net share Crea, elimina o administra recursos compartidos
net start Inicia un servicio de red o enumera los servicios de red en ejecución
net stop Detiene un servicio de red
net use Conecta, desconecta los recursos de red compartidos, y permite ver información sobre ellos
net view Muestra una lista de las computadoras y los dispositivos de red en la misma
Administrador de tareas
 El Administrador de tareas ofrece mucha

información sobre lo que se está ejecutando y el
desempeño general de la computadora.
Administrador de tareas y Monitor de recursos
Fichas del Administrador de tareas Descripción
Procesos • Lista todos los programas y procesos que están siendo

ejecutados.
• Se ve el uso de CPU, memoria, disco y utilización de red de
cada proceso.
• Las propiedades de un proceso se pueden examinar o
finalizar si no se comporta correctamente o se ha estancado.
Rendimiento • Una vista de todas las estadísticas de rendimiento
proporciona un panorama útil del desempeño de la CPU, la
memoria, el disco y la red.
• Al hacer clic en cada elemento en el panel izquierdo, se ven
las estadísticas detalladas de dicho elemento en el panel
derecho.
Historial de aplicaciones • El uso que cada aplicación hace de los recursos a lo largo
del tiempo proporciona información sobre aplicaciones que
consumen más recursos de los que deberían.
• Haga clic en Opciones y Mostrar historial de todos los
procesos para ver el historial de cada proceso que se ha
ejecutado desde © 2016
queCiscosey/o sus
inició la computadora.
filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
Inicio • Todas las aplicaciones y servicios que inician cuando la computadora es

arrancada se muestran en esta pestaña.
• Para impedir que un programa se inicie durante el arranque, haga clic
con el botón derecho en el programa y elija Deshabilitar.
Rendimiento • En esta pestaña, se ven todos los usuarios que han iniciado sesión en la
computadora.
• También se ven todos los recursos que utilizan los procesos y las
aplicaciones de cada usuario.
• Desde esta ficha, un administrador puede desconectar a un usuario de
la computadora.
Detalles • De manera similar a la ficha Procesos, esta ficha proporciona opciones
de administración adicionales, por ejemplo, establecer prioridades para
que el procesador le dedique más o menos tiempo a un proceso.
• También es posible establecer afinidad con la CPU, lo que define qué
núcleo o CPU utilizará un programa.
• También, una función útil denominada Analizar cadena de espera
permite ver qué procesos esperan a otros.
• Esta característica ayuda a determinar si un proceso está en espera o
está interrumpido.
Servicios • En esta ficha se muestran todos los servicios cargados.

• También aparecen la identificación del proceso (PID, Process ID) y una
breve descripción junto con el estado del proceso (En ejecución o
Detenido).
• En la parte inferior, hay un botón para abrir la consola de servicios y
tener acceso a funciones adicionales de administración de los servicios.
Monitor de recursos
 El Monitor de recursos se utiliza cuando se
necesita información más detallada del uso de
recursos.
Pestañas del Monitor de recursos Descripción
Descripción general • La ficha muestra el uso general de cada recurso.

• Si se selecciona un proceso individual, se filtrará en todas las pestañas para mostrar
solamente las estadísticas de dicho proceso.
CPU • Se muestra el PID, el número de subprocesos que utiliza el proceso y el uso medio de
CPU de cada proceso.
• Si se expanden las filas inferiores, es posible ver información adicional sobre cualquier
servicio que el proceso utilice, y los identificadores y módulos asociados.
Memoria • En esta pestaña, se ve toda la información estadística sobre la manera en que cada
proceso utiliza la memoria.
• También, es posible ver un panorama del uso de toda la memoria RAM debajo de la fila
Procesos.
Disco • En esta pestaña se muestran todos los procesos que están usando un disco, con
estadísticas de lectura / escritura y una descripción general de cada dispositivo de
almacenamiento.
Red • Todos los procesos que están usando la red se muestran en esta pestaña, con
estadísticas de lectura / escritura.
• Lo más importante es poder ver las conexiones actuales de TCP, junto con todos los
puertos de escucha.
• Esta ficha resulta muy útil cuando se intenta determinar qué aplicaciones y procesos se
comunican usando la red.
• Permite observar si un proceso no
© 2016 Ciscoautorizado
y/o sus filiales. Todos tiene
los derechosacceso a la confidencial
reservados. Información red y deescucha
Cisco. 48una
comunicación, y cuál es la dirección con la que se está comunicando.

Redes
 Para configurar las propiedades de redes de
Windows y probar la configuración de redes, se
emplea el Centro de redes y recursos compartidos.
 Use la herramienta netsh.exe para configurar los
parámetros de red desde una petición de ingreso de
comando.
 Para probar el adaptador de red, escriba ping
127.0.0.1 en la petición de ingreso de comando.
 También se debe probar el sistema de nombre de
dominio (DNS) mediante el comando nslookup.
 Use netstat en la línea de comando para ver los
detalles de las conexiones de red activas.
Acceso a los recursos de red
 El protocolo de bloqueo de mensaje del servidor
(SMB) se utiliza para compartir recursos de la
red.
 Para conectar con los recursos se utiliza el
formato convención de nomenclatura universal
(UNC).
 Un recurso compartido administrativo se identifica
con el signo de dólar ($) que aparece después de
su nombre.
 El protocolo de escritorio remoto (RDP) puede
utilizarse para iniciar sesión en un host remoto y
realizar cambios de configuración, instalar el
software o solucionar problemas.
Servidor de Windows
En centros de datos se utiliza principalmente otra versión de Windows: Windows Server.

Servicios que incluyen los hosts del servidor de Windows:
a) Servicios de red- DNS, DHCP, Terminal Services, controladora de red y virtualización de red en
Hyper-V
b) Servicios de archivo- SMB, NFS y DFS
c) Servicios web- FTP, HTTP y HTTPS
d) Administración- política de grupo y control de servicios de dominio de Active Directory
Seguridad de Windows
El comando netstat
 El comando netstat puede usarse para
buscar conexiones entrantes o salientes
no autorizadas.
 Vincule las conexiones a los procesos en
ejecución en el Administrador de tareas
mediante netstat – abno.
 Para ver los ID de los procesos en el
Administrador de tareas, ábralo, haga clic
con el botón secundario en el encabezado
de la tabla y seleccione PID.
Visor de eventos
 El Visor de eventos de Windows registra
el historial de eventos del sistema, de
aplicaciones y de seguridad.
 Windows incluye dos categorías de
registros de eventos: registros de
Windows y registros de aplicaciones y
servicios.
 Una vista personalizada incorporada que
se denomina Eventos administrativos e
incluye todos los eventos críticos, de
error y de advertencia de todos los
registros administrativos.
Administración de actualizaciones de Windows
 Para garantizar el máximo nivel de
protección contra ataques, siempre
asegúrese de que Windows esté
actualizado con los últimos service packs y
parches de seguridad.
 Windows verifica sistemáticamente el sitio
web de Windows Update en busca de
actualizaciones de alta prioridad que ayuden
a proteger una computadora de las
amenazas de seguridad más recientes.
 Para configurar los ajustes de actualización
de Windows, busque Windows Update y
haga clic en la aplicación.
Política de seguridad local
 La directiva de seguridad local de Windows se
puede utilizar para las computadoras
independientes que no forman parte de un
dominio de Active Directory.
 La opción Directiva de contraseñas se
encuentra debajo de Directivas de cuenta y
permite definir los criterios para las contraseñas
de todos los usuarios en la computadora local.
 Utilice la Directiva de bloqueo de cuenta en
Directivas de cuenta para evitar los intentos de
inicio de sesión forzosos.
 También puede configurar reglas de Firewall y
de los derechos del usuario.
Política de seguridad local
 Windows trae preinstalada una protección
contra virus y spyware llamada Windows
Defender.
 Windows Defender le permite realizar
análisis manuales de la computadora y
dispositivos de almacenamiento, y
actualizar las definiciones de virus y
spyware en la ficha de actualización.
Windows Defender
 El malware incluye virus, gusanos, troyanos, registradores de teclado, spyware y adware. Estos están
diseñados para invadir la privacidad, robar información y dañar la computadora o los datos. Es importante
que proteja las computadoras y los dispositivos móviles mediante un software antimalware reconocido.
Los siguientes tipos de software antimalware se encuentran disponibles:
a) Protección antivirus - Este programa monitorea continuamente en busca de virus. Cuando se detecta un
virus, se advierte al usuario y el programa intenta eliminar el virus o ponerlo en cuarentena.
b) Protección contra adware - Este programa busca constantemente programas que muestran anuncios
publicitarios en la computadora.
c) Protección contra suplantación de identidad - Este programa bloquea las direcciones IP de sitios web
conocidos por realizar suplantación de identidad y advierte al usuario acerca de sitios sospechosos.
d) Protección contra spyware - Este programa analiza la computadora en busca de programas que registren
claves y otro tipo de spyware.
e) Fuentes confiables o no confiables - Este programa le advierte si está por instalar programas inseguros o
visitar sitios web inseguros.
Firewall de Windows
 Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan
diversas aplicaciones.
 Al abrir solo los puertos requeridos en
un firewall se implementa una política
de seguridad restrictiva.
 La mayoría de los dispositivos ahora
vienen con una configuración
altamente restrictiva.
2.3 Resumen del capítulo
Resumen del capítulo
 En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al
día de hoy, hubo más de 40 versiones de sistemas operativos Windows para equipos de escritorio,
Windows Server y Windows para dispositivos móviles.
 La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en
dos modos independientes: modo de kernel y modo de usuario. Las aplicaciones instaladas se
ejecutan en el modo de usuario, y el código del sistema operativo lo hace en el modo de kernel.
 NTFS formatea el disco en cuatro importantes estructuras de datos:
• Sector de arranque de la partición
• Tabla maestra de archivos (Master File Table, MFT)
• Archivos del sistema
• Área de archivos
Resumen (continuación)
 Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.
 Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.
 Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más
alto se conoce como sección. Estas son las cinco secciones del Registro de Windows:
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)
 En este capítulo también aprendieron a configurar, monitorear y preservar la seguridad
de Windows. Para hacer esto normalmente tienen que ejecutar programas como
Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el
acceso a las cuentas de administrador e invitado, y utilizar diversas herramientas para
administradores, como las siguientes:
• Todos los comandos disponibles para la CLI y para PowerShell
• La administración remota de computadoras mediante el WMI y Escritorio remoto
• Administrador de tareas y Monitor de recursos
• Configuración de red
 Como administrador, puede usar todas las herramientas de seguridad de Windows; por
ejemplo:
• El comando netstat para buscar conexiones entrantes y salientes no autorizadas
• El Visor de eventos para acceder a registros donde se documenta el historial de eventos
del sistema, de seguridad y de aplicaciones
• Configuración y programación de Windows Update
• Política de seguridad local de Windows para asegurar computadoras independientes que
no forman parte de un dominio de Active Directory
• Configuración de Windows Defender para protección integrada antivirus y antispyware
• Configuración del Firewall de Windows para afinar la configuración predeterminada
 Como analistas especializados en ciberseguridad tienen que comprender los aspectos
básicos del funcionamiento de Windows y qué herramientas se pueden utilizar para preservar
la seguridad de los terminales Windows.
Capítulo 2
Nuevos términos y comandos
 Flujo de datos alternativos (ADS) (HAL)  Registro
 Sistema básico de entrada y salida  Sistema de archivos jerárquico +  Monitor de recursos
(BIOS) (HFS+)  Bloque de mensajes del servidor
 Base de datos de la configuración de  Núcleo (SMB)
arranque (BCD)  Firma de código del modo de kernel  Servicios
 Interfaz de línea de comandos (CLI) (KMCS)  Subsistema administrador de
 Sistema operativo de disco (DOS)  Registro principal de arranque (MBR) sesiones (SMSS)
 Dominio  Tabla maestra de archivos (Master  Archivos del sistema
 Controlador de dominio (DC) File Table, MFT)  Administrador de tareas
 Cifrado  MS-DOS  Subprocesos
 Visor de eventos  netstat  Interfaz de firmware extensible
 FAT extendida (exFAT)  Sistema de archivos de nueva unificada (UEFI)
 Sistema de archivos extendido (EXT) tecnología (NTFS)  Windows Defender
 Tabla de asignación de archivos (FAT)  Sector de arranque de la partición  Instrumentación de la administración
 Firewall  PowerShell de Windows (WMI)
 Capa de abstracción de hardware  Procesos
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
 Dominio 4: análisis basado en host
• 4.1 Defina los siguientes términos en relación con Microsoft Windows:
• Procesos
• Subprocesos
• Asignación de memoria
• Registro de Windows
• WMI
• Se ocupa de
• Servicios
• 4.3 Describa la función de las siguientes tecnologías de terminal en relación con el monitoreo de seguridad:
• Antivirus y antimalware
• Firewall basado en host
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de
ciberseguridad:
De 210 a 255 SECOP: implementación de operaciones de ciberseguridad de Cisco
 Dominio 1: análisis de amenazas para terminales y análisis forense
• 1.4 Defina lo siguiente en relación con el sistema de archivos de Microsoft Windows:
• FAT32
• NTFS
• Flujos de datos alternativos
• Marcas de tiempo en un sistema de archivos

Capítulo 2: Sistema Operativo Windows: Materiales Del Instructor

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capítulo 2: Sistema Operativo Windows: Materiales Del Instructor

Cargado por

Copyright:

Formatos disponibles

Capítulo

Operaciones de ciberseguridad v1.1

Operaciones de ciberseguridad v1.1

 2.2 Administración de Windows

 Los discos duros se dividen en áreas denominadas particiones.

•Este es un sistema de archivos simple compatible con muchos sistemas operativos

•Este sistema de archivos se usa en computadoras MAC OS X y permite nombres de archivo,

•Este sistema de archivos es utilizado con computadoras basadas en Linux.

Hay cinco fichas que contienen las

a) General: Aquí se pueden elegir tres

Hay cinco fichas que contienen las

b) Arranque: Aquí se puede elegir

c) Servicios: Todos los servicios

d) Inicio: En esta clave se almacenan varios

Hay cinco fichas que contienen las opciones

e) Herramientas: Muchas herramientas

Siempre es mejor cerrar correctamente la

 Reiniciar - reinicia la computadora (apaga y enciende).

 Hibernación - registra el estado actual del equipo y el entorno de usuario y lo almacena en un

 El registro es una base de datos jerárquica donde el nivel más

 Estas son las cinco secciones del registro de Windows:

• HKEY_CURRENT_USER (HKCU): contiene datos sobre el usuario

 La navegación es muy similar a la del explorador de archivos de

 REG_DWORD - números superiores a 32 bits o datos sin procesar

 REG_SZ - Valores de String

 cmdlets - Estos comandos realizan una a) get-help PS command - Muestra ayuda

net share Crea, elimina o administra recursos compartidos

net stop Detiene un servicio de red

 El Administrador de tareas ofrece mucha

Procesos • Lista todos los programas y procesos que están siendo

Inicio • Todas las aplicaciones y servicios que inician cuando la computadora es

Servicios • En esta ficha se muestran todos los servicios cargados.

Descripción general • La ficha muestra el uso general de cada recurso.

comunicación, y cuál es la dirección con la que se está comunicando.

En centros de datos se utiliza principalmente otra versión de Windows: Windows Server.

También podría gustarte