Fortificación de un

entorno Windows
Yazmín Espejo Cortez
Victor Hugo Cruz Núñez Casa
Victor Manuel Guerrero Segura
Marcos Jiménez Gutiérrez

EQUIPO 12 Seguridad en Sistemas Operativos 1

Propietarios
Profesor: José Alfredo Torres
Contenido
Objetivos............................................................................................................................................3
Desarrollo.........................................................................................................................................4
1. Instalar Directorio Activo...................................................................................................4
2. Creación del dominio..........................................................................................................8
3. Creación de usuarios y grupos.........................................................................................11
Script.......................................................................................................................................11
Ejecución del script...............................................................................................................11
Evidencias...............................................................................................................................12
4. Crear carpeta compartida.................................................................................................14
5. Directiva de panel de control y fondo de pantalla.........................................................18
6. Establecer una política de contraseñas...........................................................................22
7. Unir una PC al dominio sso.com.....................................................................................24
Bibliografía.......................................................................................................................................29

EQUIPO 12 2
Objetivos
La actividad va a permitir al alumno poner en práctica los conceptos revisados durante el
tema 1 relativos a sistemas Windows, desplegando un controlador de dominio y
gestionando diferentes servicios como el directorio activo, la gestión de carpetas
compartidas y GPOs. Además, se va a desplegar un equipo local que se unirá al dominio y
sobre el que se gestionará de forma local la restricción de aplicaciones y el firewall del
sistema.

EQUIPO 12 3
Desarrollo
Una empresa nos ha comentado que van a remodelar los 50 puestos de trabajo que tienen
y que desean instalar un Windows Server desde el que se realicen las siguientes
configuraciones que serán desplegadas en todos esos equipos:

1. Instalar Directorio Activo

Para instalar el Directorio Activo nos dirigimos a Configurar este servidor local y
damos clic en Agregar roles y características.

Nos aparecerá el Asistente para agregar roles y características, por ahora solo
daremos clic en Siguiente.

EQUIPO 12 4
En la siguiente ventana vamos a indicar la opción Instalación basada en
características o en roles y damos clic en Siguiente.

Ahora seleccionamos nuestro servidor y pulsamos Siguiente para acceder a los roles de
servidor.

EQUIPO 12 5
A continuación, nos aparecerá la ventana para seleccionar Roles de servidor, daremos clic
en Servicios de dominio de Active Directory.

Al dar clic en la opción anterior nos aparecerá el siguiente cuadro de dialogo, damos clic en
Agregar características.

EQUIPO 12 6
En Características y AD DS solo daremos clic en Siguiente.

Para finalizar en Confirmación daremos clic en Instalar y nos aparecerá en la parte

superior Iniciando instalación, esperamos unos minutos hasta que la barra esté completa.

EQUIPO 12 7
2. Creación
del dominio
▸ El dominio se debe llamar sso.com
Para realizar esta tarea nos vamos al menú Administrar y damos clic en Promover este
servidor a controlador de dominio.

A continuación, en el Asistente para configuración de Servicios de dominio,

vamos a seleccionar la opción Agregar un nuevo bosque, en Nombre de dominio
raíz definimos el dominio sso.com y damos clic en Siguiente.

EQUIPO 12 8
Nos aparece la ventana que muestra Opciones del controlador de dominio,
dejaremos los valores por defecto y escribimos una contraseña de restauración.
Damos clic en Siguiente.

A continuación, indicamos el nombre NetBIOS.

EQUIPO 12 9
En las rutas de acceso, dejaremos las rutas por defecto, al dar clic en Siguiente nos
aparecerá el apartado de Revisar opciones, damos clic en Ver script (Guardamos el script
por si en algún momento es necesario usarlo). Damos clic en Siguiente.

EQUIPO 12 10
Ahora nos aparece
una Comprobación de requisitos previos para que pueda llevarse a cabo la
instalación. Damos clic en Instalar, posteriormente la máquina se reiniciará.

3. Creación de usuarios y grupos

Para esta sección se utilizó el siguiente script que nos ayudó a crear los grupos y usuarios,
también nos ayudó a asignar a cada usuario en el grupo que le corresponde.

Script
#Creamos los tres grupos a nivel global
New-ADGroup -Name "Direccion" -GroupScope 1
New-ADGroup -Name "RRHH" -GroupScope 1
New-ADGroup -Name "Ingenieria" -GroupScope 1

#Se crean los usuarios y se asignan al grupo que les corresponde.

for($i=1; $i -le 50; $i++){
$output = "{0:00}" -f $i
$usuario = "Usuario" + $output
New-ADUser -Name $usuario -AccountPassword (ConvertTo-SecureString "SSS00-un1ir" -
AsPlainText -Force)
If ($i -le 10){
Add-ADGroupMember -Identity Direccion -Members $usuario
}ElseIf($i -le 30){
Add-ADGroupMember -Identity RRHH -Members $usuario
}Else{
Add-ADGroupMember -Identity Ingenieria -Members $usuario
}
}

EQUIPO 12 11
 Ejecución
del script
El script se guardó en documentos como un archivo txt, después abrimos Power Shell
ISE, damos clic en Archivo, clic en Abrir y nos vamos a la ruta de nuestro script, ya que
lo abrimos nos muestra la siguiente pantalla, damos clic en Ejecutar selección (Icono de
flecha verde)

Evidencias
▸ Los trabajadores se dividen en tres áreas: Dirección, RRHH e Ingeniería

EQUIPO 12 12
▸ Crear las cuentas de usuario de los 50 trabajadores. El nombre de usuario de los
trabajadores va a tener el formato UsuarioXX. El valor de XX va desde 01 hasta 50.
▸ Todos los usuarios van a ser creados con la misma contraseña inicial, SSS00-un1ir

EQUIPO 12 13
▸ Los usuarios del 1
al 10 trabajan en dirección. Los usuarios del 11 al 30 trabajan en RRHH y, por último,
los usuarios del 31 al 50 trabajan en Ingeniería.

Usuarios que trabajan en dirección

Usuarios que trabajan en RRHH

EQUIPO 12 14
 Usuarios que trabajan en ingeniería

Unidades Organizativas

4. Crear carpeta compartida

▸ Crear una carpeta compartida para cada una de las áreas que solamente sea visible para
los usuarios de esa área. Se debe contemplar que posiblemente se creen más usuarios
con el mismo perfil y permisos.

EQUIPO 12 15
Para crear una carpeta compartida nos vamos a Administración de equipos, Carpetas
compartidas, Recursos compartidos y damos clic derechoNuevoRecurso
compartido.

A continuación, nos aparece el Asistente, damos clic en Siguiente.

EQUIPO 12 16
 En la ventana

siguiente vamos a definir la ruta que tendrá nuestra carpeta.

A continuación, escribimos el nombre que tendrá nuestra carpeta

EQUIPO 12 17
 En la siguiente ventana podemos cambiar los permisos dando clic en la opción
Personalizar permisos, nos aparecerá la opción Agregar en donde podremos
seleccionar los usuarios o grupos que tendrán acceso a la carpeta.

Se crearon las 3 carpetas, DIRECCIÓN, INGENIERÍA y RRHH.

EQUIPO 12 18
Cada carpeta es visible solo para el área que les corresponde.

5. Directiva de panel de control y fondo de pantalla

▸ Se debe crear una directiva de grupo para impedir que los usuarios accedan al panel de
control para que así no pueda modificar la configuración de la máquina ni que pueda
cambiar el fondo de pantalla.
Para crear la directiva nos vamos a la herramienta Administración de directivas de
grupo, abrimos la carpeta de nuestro dominio sso.com, en la carpeta Objetos de
directiva de grupo, damos clic derecho Nuevo para crear el objeto, en el cuadro de
dialogo escribimos el nombre de nuestra directiva.

EQUIPO 12 19
A continuación,
damos clic derecho en el objeto creado y nos vamos a la opción Editar, nos aparecerá la
siguiente ventana.

En la pantalla del Editor de directivas de grupo, expandimos la carpeta

Configuración de usuario, clic en la carpeta Panel de control y seleccionamos la
opción Prohibir el acceso a Configuración de PC y Panel de control.

EQUIPO 12 20
En la siguiente ventana tenemos que seleccionar la opción Habilitada, para prohibir al
usuario el acceso a la configuración del panel de control y de la PC.

Ahora creamos otra directiva para deshabilitar el cambio de fondo de pantalla, damos clic
en Editar y en el Editor de administración, expandimos la carpeta Configuración

EQUIPO 12 21
de usuario, clic
en Plantillas de administración, seleccionamos Active Desktop, configuración de
directiva y clic en Deshabilitar Active Desktop.

Vamos a seleccionar la opción Habilitada, para que se deshabilite el Active Desktop y los
usuarios no puedan cambiar el fondo de pantalla.

EQUIPO 12 22
Ahora vamos a
habilitar la opción de No permitir cambios, para que los usuarios no cambien la
configuración del Active Desktop, es decir, el fondo de pantalla.

6. Establecer una política de contraseñas

▸ Se debe establecer una política de contraseñas que establezca un histórico de 10
contraseñas y una longitud mínima de 10 caracteres.
Para crear la política de contraseñas, nos vamos a Administración de directivas, en
nuestro dominio sso.com, abrimos la carpeta Objetos de directiva de grupo y creamos
nuestra directiva de contraseñas como lo hicimos con la política de Fondo de pantalla.

EQUIPO 12 23
Después de crear la política, damos clic derecho  Editar. En la ventana siguiente nos
vamos a Directivas, Configuración de Windows, Configuración de Seguridad,
Directivas de cuenta, Directiva de Contraseñas y damos clic en Exigir histórico
de contraseñas.

Definimos el histórico de contraseñas en 10.

EQUIPO 12 24
Ahora especificamos la Longitud mínima de la contraseña, que será de 10 caracteres.

En las directivas podemos observar que las especificaciones ya se encuentran configuradas.

EQUIPO 12 25
7. Unir una PC al dominio sso.com
▸ Tras esta configuración, se nos solicita unir una máquina al dominio y comprobar que
los usuarios de cada área solamente pueden ver su carpeta, verificar que no pueden ni
acceder al panel de control ni cambiar el escritorio y que si intentan cambiar su
contraseña y no cumple los requisitos le da error.
En esta pantalla se muestra cómo se ha unido la máquina con Windows 7 al dominio
solicitado.

EQUIPO 12 26
Una vez aplicadas las
Directivas de Grupo se pueden visualizar las alertas correspondientes al intentar:

1) Cambiar el Fondo de Pantalla o ingresar al Panel de Control

2) Cambiar la contraseña

EQUIPO 12 27
8. AppLocker
Por último, se nos solicita que en la máquina local que ha sido unida al dominio
configuremos de forma local:

▸ Las siguientes reglas de AppLocker:

o Habilitar la colección de reglas DLL.
Nos vamos a Directivas de control, AppLocker y habilitamos la colección de reglas
DLL.

o En reglas de ejecutables permitir todos los ejecutables de la carpeta Windows y en

la carpeta Archivos de Programa.
o El ejecutable Dism.exe de la carpeta System32 debe ser deshabilitado como una
excepción a la regla anterior.
En directivas de control, nos vamos a la carpeta AppLocker y damos clic en Reglas
ejecutables. Vamos a permitir todos los ejecutables de la carpeta Windows y
deshabilitamos el ejecutable Dism.exe como una excepción a la regla anterior.

EQUIPO 12 28
▸ Se nos indica que en el equipo se va a desplegar una aplicación que va a recibir
conexiones al puerto 1904 de TCP desde la IP local 10.10.2.104, que permitamos dichas
conexiones en el firewall de esa máquina en una conexión privada y de dominio. El resto
de las conexiones entrantes deben estar prohibidas.

EQUIPO 12 29
EQUIPO 12 30
Bibliografía
Página de Microsoft
https://learn.microsoft.com/es-es/windows-server/identity/ad-ds/deploy/install-a-new-windows-
server-2012-active-directory-forest--level-200-

JGAITPro (Julio 2014). Curso de Windows Server 2012 R2 [Vídeo]. YouTube.

https://www.youtube.com/watch?v=xFX81qAsHHA.

EQUIPO 12 31
Hoja de control
Sí No A veces
Todos los miembros se han integrado al trabajo del grupo x
Todos los miembros participan activamente x
Todos los miembros respetan otras ideas aportadas x
Todos los miembros participan en la elaboración del informe x
Me he preocupado por realizar un trabajo cooperativo con mis
x
compañeros
Señala si consideras que algún aspecto del trabajo en grupo no ha sido
x
adecuado

Hoja de control de actividad grupal

Marcar con una X lo que proceda

Asistencia a reuniones de Asistencia a una Asistencia a Asistencia a

equipo sesión o ninguna dos sesiones tres sesiones

Yazmín Espejo Cortez x

Victor Manuel Guerrero Segura x

Victor Hugo Cruz Núñez Casa x

Marcos Jiménez Gutiérrez x

Ninguna o una Dos tareas Tres tareas

Tareas o entregas a realizadas
tarea

Yazmín Espejo Cortez x

Victor Manuel Guerrero Segura x

Victor Hugo Cruz Núñez Casa x

Marcos Jiménez Gutiérrez x

EQUIPO 12 32