08 Securing Windows Server Using Policy Objects - En.es

12-1
módulo 12
Protección de los servidores de Windows utilizando objetos de directiva de grupo
Contenido:
Descripción general del módulo 12-1
Lección 1: Sistemas operativos de Windows Descripción de la seguridad 12-2
Lección 2: Configuración de los ajustes de seguridad 12-6
Práctica A: Aumento de la seguridad de los recursos del servidor 12-17
Lección 3: Software restringiendo 12-24
Lección 4: Configuración de Firewall de Windows con seguridad avanzada 12-28
B Lab: Configuración de AppLocker y Firewall de Windows 12-33
Revisión del módulo y comida para llevar 12-39
Descripción general del módulo
La protección de la infraestructura de TI siempre ha sido una prioridad para las organizaciones. Muchos riesgos de seguridad amenazan las empresas y sus datos
críticos. Cuando las empresas dejar de tener políticas de seguridad adecuadas, que pueden perder datos, falta de disponibilidad del servidor de experiencia, y perder
credibilidad.
Para protegerse contra las amenazas de seguridad, las empresas deben tener políticas de seguridad bien diseñados que incluyen muchos componentes organizativos y
relacionados con la TI. Las políticas de seguridad deben ser evaluados de forma regular debido a las amenazas de seguridad evolucionan, por lo que deben evolucionar.
Antes de comenzar el diseño de políticas de seguridad para ayudar a proteger los datos de su organización, los servicios y la infraestructura de TI, debe
aprender a identificar las amenazas a la seguridad, planificar su estrategia para mitigar las amenazas de seguridad, y seguro de Windows Server ® 2012
infraestructura.
objetivos
Después de completar este módulo, el alumno será capaz de:
• describir de Windows la seguridad del sistema operativo del servidor.
• Configurar las opciones de seguridad mediante Directiva de grupo.
• Aumentar la seguridad de los recursos del servidor.
• Restringir el software no autorizado que se ejecutan en servidores y clientes.
• Configurar Firewall de Windows con seguridad avanzada.

12-2 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Lección 1
Sistemas operativos de Windows Descripción de la seguridad
A medida que las organizaciones se expanden su disponibilidad de datos de red, aplicaciones, programas y sistemas, garantizando la seguridad de
la infraestructura de red se vuelve más difícil. Las tecnologías de seguridad en Windows Server 2012 permiten a las organizaciones mejorar la
protección de sus recursos de red y activos de la organización en entornos cada vez más complejos y escenarios de negocio. Esta lección se
revisan las herramientas y conceptos que están disponibles para la implementación de seguridad dentro de un Windows 8 ® y Windows Server 2012
infraestructuras.
Windows Server 2012 incluye numerosas características que proporcionan diferentes métodos para implementar la seguridad. Estas características
se combinan para formar el núcleo de la funcionalidad de seguridad de Windows Server 2012. La comprensión de estas características y sus
conceptos asociados y estar familiarizado con su implementación básica son fundamentales para mantener un entorno seguro.
Objetivos de la lección
Después de completar esta lección, usted será capaz de:
• Identificar los riesgos de seguridad para Windows Server 2012 y los costos asociados con ellos.
• Aplicar el modelo de defensa en profundidad para aumentar la seguridad.
• Describir las mejores prácticas para aumentar la seguridad de Windows Server 2012.
Discusión: La identificación de los riesgos de seguridad y costos
El primer paso en la defensa de sus sistemas es la identificación de los

posibles riesgos de seguridad y sus costos asociados. Una vez hecho
esto, puede comenzar a tomar decisiones precisas acerca de cómo
asignar los recursos para mitigar esos riesgos.
Examinar la cuestión de la diapositiva y participar en la discusión

para identificar algunos de los riesgos de seguridad en redes
basadas en Windows, y sus costos asociados.
20410C: Instalación y configuración de Windows Server ® 2012 12-3
La aplicación de la defensa en profundidad para aumentar la seguridad
Puede reducir los riesgos a la red informática de su organización al

proporcionar seguridad en varias capas de infraestructura. El termino defensa
en profundidad a menudo se utiliza para describir el uso de múltiples
tecnologías de seguridad en diferentes puntos a lo largo de su
organización.
La defensa en profundidad tecnologías incluyen capas de seguridad que se
extienden desde las políticas de usuario, a la aplicación y a los propios datos.
Políticas, procedimientos y Sensibilización
las medidas de política de seguridad tienen que operar dentro de
el marco de políticas de la organización respecto a las mejores prácticas de seguridad. Por ejemplo, la aplicación de una política de contraseñas de
usuario fuerte no es útil si los usuarios escriben sus contraseñas y los colocan junto a sus pantallas de ordenador; los usuarios deben ser educados
sobre cómo proteger sus contraseñas. Otro ejemplo de una práctica de seguridad es garantizar que los usuarios no salen de su computadora de
escritorio sin cerrar primero el escritorio o la firma fuera de la computadora. Cuando se establece una base de seguridad para la red de su empresa,
es una buena idea empezar por establecer políticas y procedimientos adecuados y luego los usuarios acerca de ellos. A continuación, puede
progresar a los demás aspectos del modelo de defensa en profundidad.
Seguridad física
Si alguna persona no autorizada pueda tener acceso físico a un equipo de la red, entonces la mayoría de otras medidas de seguridad pueden ser
anuladas con mayor facilidad. Debe asegurarse de que las computadoras que contienen los datos más sensibles (tales como servidores) son físicamente
seguro, y que el acceso físico se concede sólo a personal autorizado.
Perímetro
En estos días, ninguna organización es una empresa aislada. Organizaciones operan dentro de la Internet, y muchos recursos de la red de la
organización están disponibles a través de Internet. Esto podría incluir un sitio web que describe los servicios de su organización, o de servicios
internos que se ponga a disposición externamente, tales como conferencias web y correo electrónico, de modo que los usuarios pueden trabajar
desde casa o desde las sucursales. redes perimetrales marcan el límite entre las redes públicas y privadas. Proporcionar servidores proxy inverso
en la red perimetral que permite ofrecer servicios corporativos más seguros a través de la red pública.
Muchas organizaciones implementan el control de cuarentena de acceso a la red, donde los equipos que se conectan a la red corporativa se
comprueban para diferentes criterios de seguridad, como si el ordenador tiene las últimas actualizaciones de seguridad, actualizaciones de antivirus, y
otras configuraciones de seguridad recomendadas por la compañía. Si se cumplen estos criterios, el equipo se le permite conectarse a la red
corporativa. Si no es así, el equipo se coloca en una red aislada, llamada cuarentena, que no tienen acceso a los recursos corporativos. Una vez que el
equipo tiene la configuración de seguridad remediadas, se elimina de la red de cuarentena y se le permite conectarse a los recursos corporativos.
Nota: Un proxy inverso, tal como Microsoft Forefront ® Threat Management Gateway 2010 (Forefront TMG), le permite publicar servicios,
tales como servicios de correo electrónico o la web, desde la intranet corporativa sin colocar los servidores de correo electrónico o la web en el
perímetro o exponiéndolos a los usuarios externos. Forefront TMG actúa como proxy inverso y como una solución de servidor de seguridad.
redes
Una vez que conecte sus equipos a una red (ya sea interna o pública), que son susceptibles a una serie de amenazas, incluyendo el espionaje, la
suplantación de identidad, denegación de servicio y ataques de repetición. Mediante la implementación de seguridad de protocolo Internet (IPsec), puede
cifrar el tráfico de red y proteger los datos mientras que en la transferencia entre ordenadores.
Cuando la comunicación se realiza a través de redes públicas, como por los empleados que trabajan desde casa o desde oficinas remotas,
como una buena práctica que deben conectarse a una solución de firewall como Forefront TMG 2010 para proteger de diferentes tipos de
amenazas de la red.
El ordenador central para reforzar la seguridad
La siguiente capa de defensa es la capa que se utiliza para el equipo host. Juntos, los pasos siguientes forman un proceso que se conoce como sede
de endurecimiento de la seguridad informática. En el ordenador anfitrión, usted debe:
• Mantenga los equipos seguro con las últimas actualizaciones de seguridad.
• Configurar las políticas de seguridad, tales como la complejidad de la contraseña.
• Configurar el firewall de host.
• Instalar el software antivirus.
Para reforzar la seguridad de aplicaciones
Las aplicaciones son tan segura como su última actualización de seguridad. Juntos, los siguientes pasos forman un proceso que se llama securización de
aplicaciones:
• utilizar consistentemente la característica de Windows Update o los proveedores de aplicaciones sitios Web de actualización para mantener sus aplicaciones hasta a la fecha.
• Las aplicaciones de prueba para determinar si tienen cualquier vulnerabilidad de seguridad que podría permitir a un atacante externo para comprometer
ellos u otros componentes de la red.
Seguridad de datos
La capa final de la seguridad es la seguridad de datos. Para ayudar a asegurar la protección de su red, usted debe:
• Asegurar el uso adecuado de los permisos de usuario archivo utilizando listas de control de acceso (ACL).
• Implementar el cifrado de datos confidenciales con el Sistema de cifrado de archivos (EFS).
• Realizar copias de seguridad de datos regulares.
Lectura adicional:
• Para el último boletín de seguridad de Microsoft y la información de asesoramiento, consulta de seguridad para profesionales de TI en
http://go.microsoft.com/fwlink/?LinkID=266741.
• Para obtener más información acerca de los tipos comunes de ataques de red, consulte
Pregunta: ¿Cuántas capas del modelo de defensa en profundidad en caso de que implementar en su organización?
Las mejores prácticas para aumentar la seguridad
Tenga en cuenta las siguientes mejores prácticas para aumentar la
seguridad:
• Aplicar todas las actualizaciones de seguridad disponibles tan pronto como
sea posible después de su liberación. Usted debe esforzarse para
implementar las actualizaciones de seguridad tan pronto como sea posible
para asegurar que sus sistemas están protegidos de las vulnerabilidades
conocidas. Microsoft lanza públicamente los detalles de las vulnerabilidades
conocidas después de una actualización ha sido puesto en libertad, que
puede conducir a un aumento del volumen de software malicioso que intenta
explotar la vulnerabilidad. Sin embargo, aún debe asegurarse de que prueba
de manera adecuada las actualizaciones antes de que se aplican
ampliamente dentro de su organización.
• Seguir el principio de privilegio mínimo. Proporcionar a los usuarios y cuentas de servicio con los más bajos niveles de permisos necesarios para
completar sus tareas necesarias. Esto asegura que cualquier malware utilizando esas credenciales se limita en su impacto. También asegura que los
usuarios están limitados en su capacidad de borrar datos de manera accidental o modificar los ajustes críticos del sistema operativo.
• Ordenar que los administradores utilizan cuentas administrativas separadas para cambios de administración y configuración. Esto asegura que los
administradores, mientras navega por la Internet o correo electrónico de lectura, no se exponen a una cuenta de usuario que tenga acceso
prácticamente ilimitado al entorno de TI.
• Restringir el administrador de la señal de la consola en. Al iniciar sesión en destino, en una consola es un riesgo mayor para un servidor de acceso a los datos de forma
remota. Esto se debe a que algunos programas maliciosos sólo puede infectar un ordenador mediante el uso de una sesión de usuario en el escritorio. Si permite que los
administradores utilizar la conexión de escritorio remoto para la administración del servidor, asegúrese de que están activadas las funciones de seguridad mejoradas, tales
como el Control de cuentas de usuario (UAC).
• Restringir el acceso físico. Si alguien tiene acceso físico a los servidores, esa persona tiene acceso prácticamente ilimitado a los datos de dicho
servidor. Una persona no autorizada podría utilizar una amplia variedad de herramientas para restablecer rápidamente la contraseña de las
cuentas de administrador local y permitir el acceso local, o utilizar una unidad USB para introducir malware. BitLocker puede ser eficaz para limitar
o reducir la efectividad de algunos ataques físicos.
Lectura adicional: Para obtener más información sobre las mejores prácticas para la seguridad de la empresa, consulte
Lección 2
Configuración de los ajustes de seguridad
Una vez que haya aprendido sobre amenazas a la seguridad, los riesgos y las mejores prácticas para aumentar la seguridad, se puede iniciar la configuración de
seguridad para el entorno de Windows 8 y Windows Server 2012. Esta lección explica cómo configurar los parámetros de seguridad.
Para aplicar estos ajustes de seguridad para múltiples usuarios y equipos de la organización, puede usar la directiva de grupo. Por ejemplo, se
puede configurar la directiva de contraseña mediante la directiva de grupo, y luego desplegarlos a varios usuarios.
Directiva de grupo tiene un componente de seguridad de gran tamaño que se puede utilizar para configurar la seguridad para los usuarios y las computadoras. Se puede
aplicar la seguridad coherente en toda la organización en Active Directory ® Servicios de dominio (AD DS) mediante la definición de la configuración de seguridad en un
objeto de directiva de grupo (GPO) que está asociado a un sitio, dominio o unidad organizativa (OU).
Lectura adicional: Para obtener una lista detallada de la configuración de directiva de grupo, consulte el documento "Referencia de
configuración de directiva de grupo para Windows y Windows Server" en: http://go.microsoft.com/fwlink/?LinkID=266744.
• Describir cómo configurar las plantillas de seguridad.
• Describen lo que el usuario son derechos, y cómo configurarlos.
• Describir cómo configurar las opciones de seguridad.
• Describir cómo configurar UAC.
• Describir cómo configurar la auditoría de seguridad.
• Describir cómo configurar grupos restringidos.
• Describir la forma de configurar la directiva de cuenta.
• Describir Gerente de Cumplimiento de Seguridad (SCM).
• Instalar y utilizar SMC.
Plantillas de seguridad Configuración
Las plantillas de seguridad son archivos que se utilizan para administrar y
configurar las opciones de seguridad en equipos basados en Windows.
En función de las diferentes categorías de configuración de seguridad,
plantillas de seguridad se dividen en secciones lógicas. Se puede
configurar cada una de las secciones siguientes de acuerdo a las
necesidades y solicitudes de una empresa:
• Directivas de cuenta. Directiva de contraseñas, la directiva de
bloqueo, y la Directiva Kerberos
• Las políticas locales. Directiva de auditoría, Asignación de derechos
de usuario y Opciones de seguridad

• Registro de eventos. la configuración del registro de la aplicación, sistema y eventos de seguridad
• Grupos restringidos. Composición de los grupos que tienen derechos y permisos especiales
• Servicios del sistema. Inicio y permisos para los servicios del sistema
• Registro. Los permisos para las claves de registro
• Sistema de archivos. Los permisos para carpetas y archivos
Cuando se configura una plantilla de seguridad, que se puede utilizar para configurar un único ordenador o para configurar varios equipos de la
red. Las siguientes son algunas de las formas que se pueden configurar y distribuir las plantillas de seguridad:
• Secedit.exe. Puede utilizar la herramienta de línea de comandos secedit.exe para comparar la configuración actual de un equipo que ejecuta
Windows Server 2012 a las plantillas de seguridad específicas.
• Plantillas de seguridad en. Puede utilizar este complemento para crear una política de seguridad mediante el uso de plantillas de seguridad.
• Asistente de configuración de seguridad y análisis. Puede utilizar este asistente para analizar y configurar la seguridad informática.
• Directiva de grupo. Puede utilizar Directiva de grupo para analizar y configurar la configuración del equipo, y para distribuir la configuración de seguridad específicas.
• SMC. Se puede utilizar el SMC para ver la configuración de seguridad, comparar los ajustes a las líneas de base de seguridad (que son grupos de configuraciones diseñadas
sobre la base de las guías de seguridad de Microsoft y las mejores prácticas), personalizar la configuración, y copias de seguridad de GPO de importación o exportación. SMC
se describe en detalle en un tema más adelante.
Configuración de derechos de usuario
asignación de derechos de usuario se refiere a la capacidad de realizar
acciones en el sistema operativo. Cada equipo tiene su propio conjunto de
derechos de usuario, tales como el derecho de cambiar la hora del sistema.
Por defecto, la mayoría de los derechos se conceden en el sistema local o al
Administrador.
Privilegios y derechos de inicio de sesión dos tipos de derechos de usuario:
• privilegios definir el acceso a los recursos informáticos y de dominio. Por
ejemplo, los derechos de copia de seguridad de archivos y directorios.
• los derechos de inicio de sesión definen quién está autorizado para acceder a un ordenador, y cómo pueden iniciar sesión. Por ejemplo, los derechos de inicio de
sesión pueden definir el derecho a acceder a un sistema local. Puede configurar derechos a través de la directiva de grupo. Inicialmente, la directiva de dominio
predeterminada no tiene derechos de usuario definidos.
Puede configurar los ajustes de derechos de usuario accediendo la siguiente ubicación de la consola de administración de directivas de grupo
(GPMC):
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario
Algunos ejemplos de los derechos de uso común de los usuarios (y políticas configuradas por ellos) son:
• Agregar estaciones de trabajo al dominio. Determina qué usuarios o grupos pueden agregar estaciones de trabajo al dominio.
• Permitir inicio de sesión local. Determina los usuarios que pueden iniciar sesión en el equipo.
• Permitir inicio de sesión a través de Servicios de Escritorio remoto. Determina qué usuarios o grupos tienen permiso para acceder mediante el uso de cliente de
servicios de escritorio remoto.
• Copias de seguridad de archivos y directorios. Determina qué usuarios tienen permisos de copia de seguridad de archivos y carpetas en un ordenador.
• Cambiar la hora del sistema. Determina qué usuarios o grupos tienen los derechos para cambiar la fecha y la hora en el reloj
interno del ordenador.
• Forzar el apagado desde un sistema remoto. Determina qué usuarios se les permite apagar un equipo desde una ubicación remota
de la red.
• Apagar el sistema. Determina cuál de los usuarios que se suscriban a nivel local en un ordenador se les permite apagar el
equipo.
Configuración de las opciones de seguridad
También puede usar la directiva de grupo para acceder y configurar las opciones
de seguridad. La configuración de seguridad informática que se pueden configurar
en las opciones de seguridad incluyen los siguientes:
• los nombres de cuenta de administrador y de los huéspedes
• El acceso a las unidades de CD / DVD
• firmas digitales de datos
• Comportamiento de instalación de controlador
• instrucciones de inicio de sesión
• UAC
Puede configurar los ajustes de las opciones de seguridad al acceder a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad Los siguientes son
ejemplos de las opciones de seguridad de uso común:
• pedir al usuario cambiar la contraseña antes de que caduque. Determina cuántos días antes de la contraseña de un usuario que expira que el
sistema operativo proporciona una advertencia.
• Inicio de sesión interactivo: no mostrar el último nombre de usuario. Determina si el nombre del último usuario que inició sesión en el equipo se
muestra en la ventana de inicio de sesión de Windows.
• Cuentas: Cambiar el nombre de cuenta de administrador. Determina si un nombre de cuenta diferente está asociado con el identificador de
seguridad (SID) para la cuenta de administrador.
• Dispositivos: restringir el acceso al CD-ROM al usuario con sesión iniciada localmente solamente. Determina si un CD-ROM es accesible tanto para los
usuarios locales y remotos simultáneamente.

Configuración del control de cuentas de usuario
Las cuentas administrativas llevan consigo un mayor grado de riesgo
para la seguridad. Cuando una cuenta de administración ha iniciado
sesión, sus privilegios permiten el acceso a todo el sistema operativo
Windows, incluyendo el registro, archivos de sistema y parámetros de
configuración. Mientras una cuenta administrativa ha iniciado sesión, el
sistema es vulnerable al ataque y tiene el potencial de ser
comprometida. Control de cuentas del usuario (UAC) es una
característica de seguridad que ayuda a evitar cambios no autorizados
en un ordenador. Para ello, pidiendo permiso al usuario o las
credenciales de administrador antes de realizar las acciones que
podrían afectar al funcionamiento de la computadora o que podrían
cambiar los ajustes que afectan a múltiples usuarios.
De manera predeterminada, los usuarios y los administradores estándar se ejecutan las aplicaciones y los recursos de acceso en el contexto de seguridad de un
usuario estándar. El mensaje de UAC proporciona una manera para que un usuario para elevar su estado de una cuenta de usuario estándar a una cuenta de
administrador sin firmar, cambiar de usuario, o ejecutar una aplicación mediante el uso de diferentes credenciales. Debido a esto, UAC crea un entorno más seguro
en el que ejecutar e instalar aplicaciones.
Cuando una aplicación requiere el permiso del administrador de nivel, UAC notifica al usuario de la siguiente manera:
• Si el usuario es un administrador, el usuario confirma para elevar su nivel de permiso y continuar. Este proceso de aprobación que solicita que
se conoce como Modo de aprobación de administrador.
Nota: Debido a que Windows Server 2008, la cuenta de administrador integrada no se ejecuta en modo de aprobación de
administrador. El resultado es que hay UAC pantalla cuando se utiliza la cuenta de administrador local.
• Si el usuario no es un administrador, a continuación, un nombre de usuario y la contraseña de una cuenta que tenga permisos administrativos
que hay que introducir. Proporcionar credenciales administrativas temporalmente le da al usuario privilegios administrativos, pero sólo para
completar la tarea actual. Después de que la tarea se ha completado, cambio de permisos de nuevo a los de un usuario estándar.
Al utilizar este proceso de notificación y la elevación de privilegios de administrador de cuenta, los cambios no se pueden hacer a la computadora
sin que el usuario sepa, debido a que un mensaje le pregunta al usuario por el permiso o las credenciales de administrador. Esto puede ayudar a
evitar que el software malicioso (malware) y software espía se instale en o hacer cambios en un equipo.
UAC permite que los siguientes cambios a nivel de sistema que se produzca sin preguntar, incluso cuando un usuario ha iniciado sesión como usuario local:
• Instalar actualizaciones desde Windows Update
• Instalar controladores de Windows Update o aquellos que están empaquetados con el sistema operativo
• la configuración del sistema operativo de Windows Vista
• dispositivos Bluetooth par con el equipo
• Restablecer el adaptador de red, y realizar otras tareas de red de diagnóstico y reparación

Modificación del comportamiento de UAC
Se puede modificar la experiencia de la notificación UAC para ajustar la frecuencia y el comportamiento de indicaciones de UAC. Para modificar el comportamiento
de UAC en un solo ordenador, acceder al panel de control de Windows Server 2012 en Sistema y seguridad.
Puede configurar los ajustes para UAC accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad Los siguientes son
ejemplos de algunos ajustes de GPO que se pueden configurar para la UAC:
• Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador. Controla el comportamiento de todos los parámetros de
directiva de UAC para el equipo. Si esta opción está desactivada, el UAC no se ejecutará en este equipo.
• Control de cuentas de usuario: Modo de aprobación de administrador en la cuenta de administrador integrada. Cuando se habilita esta configuración, la
cuenta de administrador integrada utiliza el Modo de aprobación de administrador.
• Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación. Este ajuste controla el comportamiento de la detección de la
instalación de aplicaciones para el ordenador.
• Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados. Cuando se habilita esta configuración, una Infraestructura (PKI)
de verificación de clave pública se realiza en el archivo ejecutable para verificar que se origina a partir de una fuente de confianza. Si se verifica el
archivo, el archivo se permite para funcionar.
Nota: Por defecto, el UAC no está configurado o activado en instalaciones Server Core de Windows Server 2012.
Auditoría de Configuración de la seguridad
Por lo general, uno de los componentes de la estrategia de seguridad de una
organización está registrando las actividades del usuario. Las actividades pueden
incluir intentos éxito o el fracaso para acceder a datos críticos para el negocio
que se almacenan en diferentes carpetas o los intentos de inicio de sesión o no
con éxito en diferentes servidores. El registro de estos eventos relacionados con
la seguridad se llama Auditoría de seguridad. La auditoría de seguridad agrega
entradas en el registro de sucesos de seguridad que los administradores pueden
ver en el Visor de sucesos. La información contenida en los registros de sucesos
de seguridad puede ayudar a su organización auditar su cumplimiento
importantes relacionados con la empresa y de seguridad goles de seguimiento de las actividades definidas con precisión, tales como:
• Un administrador que modifica la configuración o datos en los servidores que contienen información altamente confidencial.
• Un empleado dentro de un grupo definido que ha tenido acceso a una carpeta importante que contiene datos de diferentes departamentos.
• Un usuario que está intentando iniciar sesión en su cuenta en repetidas ocasiones sin éxito de un equipo interno de la compañía. Puede encontrarse
con que el empleado que es dueño de esa cuenta de usuario estaba de vacaciones esa semana, lo que significa que algún otro empleado estaba
tratando de iniciar sesión con una cuenta de usuario diferente. Puede configurar los ajustes de auditoría de seguridad accediendo a la siguiente
ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Directiva de auditoría
Los siguientes son algunos ejemplos de configuración de GPO que se pueden configurar para la auditoría:
• Auditar sucesos de inicio de sesión de la cuenta. Determina si el sistema operativo audita cada vez que el equipo valida las
credenciales de una cuenta.
• gestión contable de auditoría. Determina si se debe auditar cada evento de administración de cuentas, tales como creación, modificación, cambio de
nombre o eliminar una cuenta de usuario, el cambio de una contraseña, o activación o desactivación de una cuenta de usuario.
• el acceso a objetos de auditoría. Determina si operan auditorías del sistema tienen acceso a los objetos no son Active Directory, tales como carpetas o archivos.
Antes de configurar los parámetros de auditoría con la directiva de grupo, debe configurar listas de control de acceso del sistema (SACL) en las carpetas o
archivos para permitir la auditoría para un tipo específico de acción, tales como escribir, leer o modificar.
• Auditar eventos del sistema. Determina si los eventos relacionados con el sistema operativo sistema de auditorías, como el intento de cambiar la hora
del sistema, intentar una puesta en marcha o apagar el sistema o el tamaño del registro de seguridad superior a una advertencia umbral configurable.
Cuando se trabaja con la auditoría de seguridad, ser consciente de las siguientes preocupaciones.
• Configuración de Windows Server 2012 para auditar actividades genera una gran cantidad de datos que es difícil de analizar.
• Una gran cantidad de datos podría causar servidores o controladores de dominio que se quede sin espacio de disco debido a que el registro de eventos de seguridad puede
llegar a ser muy grande. Grabación de una gran cantidad de datos también puede provocar un mal funcionamiento de los sistemas de herencia.
Lectura adicional: Para obtener más información acerca de la auditoría de seguridad, consulte el artículo "¿Qué hay de nuevo en la
auditoría de seguridad" en http://go.microsoft.com/fwlink/?LinkID=266747.
Configuración de grupos restringidos
En algunos casos, es posible que desee controlar el número de
miembros de ciertos grupos en un dominio de como los administradores
locales están agregando grupo para evitar que otras cuentas de usuario
a los grupos. Puede utilizar la directiva de grupos restringidos para
controlar la pertenencia al grupo mediante uno de los métodos
siguientes:
• Puede especificar que los miembros se añaden a un grupo.
Si elige esta opción, a continuación, cuando se define una política de
actualización y de grupos restringidos
Directiva de grupo, todos los miembros actuales se mantienen, mientras que los miembros definidos en la política se añaden a los miembros existentes.
• Puede especificar que los miembros forman el total de miembros de un grupo. Si elige esta opción, a continuación, cuando se define una directiva de
grupos restringidos y actualización de la directiva de grupo, cualquier miembro actual de un grupo que no está en la lista de miembros de grupos
restringidos de política se retira, incluyendo miembros predeterminados, tales como el grupo de administradores de dominio.
Aunque se puede controlar grupos de dominio mediante la asignación de políticas de grupos restringidos a los controladores de dominio, debe utilizar esta configuración
principalmente para configurar la pertenencia a grupos críticos, como Administradores de empresa y Administradores de esquema. También puede usar esta configuración para
controlar el número de miembros de los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo, se puede colocar el grupo de servicio de
asistencia en el grupo de administradores locales en todas las estaciones de trabajo.
No se puede especificar los usuarios locales en un GPO de dominio. Los usuarios locales que actualmente están en el grupo local que se eliminarán los
controles directiva de grupos restringidos, según la opción de directiva de grupos restringidos que elija. La única excepción a esto es que los
administradores locales representan siempre está en el grupo de administradores locales.
Puede configurar los ajustes de grupos restringidos accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración Configuración de Windows \ seguridad \ Grupos restringidos
Configuración de Cuenta configuración de la directiva
Las directivas de cuentas protegen las cuentas y datos de la

empresa, al mitigar la amenaza de ataques que tratan de
adivinar cuenta de usuario y contraseña (estos se denominan
a veces
ataques de fuerza bruta). Protección del entorno de red requiere que todos los
usuarios utilizan contraseñas seguras. Se utiliza la configuración de directivas de
contraseña para controlar la complejidad y la duración de las contraseñas de
usuario. Configurar los valores de la directiva de contraseñas a través de directivas
de grupo.
Directivas de cuenta
componentes de la política de cuentas incluyen las políticas de contraseñas, políticas de
bloqueo de cuentas, y las políticas de Kerberos.
La configuración de directiva en virtud de pólizas de cuenta se aplican a nivel de dominio. Un Server 2012 dominio de Windows puede tener varias directivas
de bloqueo de cuenta y contraseña, que se llaman de grano fino políticas de contraseñas. Puede aplicar estos múltiples políticas para un usuario o para un
grupo de seguridad global en un dominio, pero no a una unidad organizativa.
Nota: Si es necesario aplicar una política de contraseñas de grano fino a los usuarios de una unidad organizativa, se puede utilizar una
grupo sombra, que es un grupo de seguridad global que está lógicamente asignada a una unidad organizativa.
Puede configurar los ajustes de directivas de cuenta accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Directivas de cuenta Configuración de Windows \ Configuración de seguridad \
Política de contraseñas
Las políticas de contraseñas que se pueden configurar se enumeran en la siguiente tabla.
Política Función Mejores prácticas
La clave debe cumplir • Requiere que las contraseñas: Habilitar esta configuración. Estos requisitos de
los requerimientos de complejidad pueden ayudar a asegurar una contraseña
• Ser al menos tan larga como se especifica por la Longitud
complejidad segura. Las contraseñas seguras son más difíciles de
mínima de contraseña, con un mínimo de 3 caracteres Si
descifrar que los que contienen letras o números simples.
la longitud mínima de la contraseña se establece en 0.
Instruir a los usuarios utilizar frases de paso para crear
contraseñas largas que son fáciles de recordar.
• Contener una combinación de al menos tres
de los siguientes tipos de caracteres: letras
mayúsculas, letras minúsculas, números y
símbolos (signos de puntuación).
• No debe contener el nombre de usuario o nombre de la pantalla del
usuario.
Hacer cumplir el Evita que los usuarios crear una nueva contraseña El mayor número asegura una mejor seguridad. El valor por
historial de que es la misma que la contraseña actual o una defecto es 24. Cómo hacer valer el historial de contraseñas
contraseñas contraseña utilizada recientemente. garantiza que las contraseñas que han sido comprometidos
no se utilizan repetidamente.
Para especificar el número de contraseñas son

recordados, proporcionar un valor. Por ejemplo, un
valor de 1 significa que sólo el último se recuerda la
contraseña, y un valor de 5 significa que los cinco
anteriores son recordados.
duración máxima de Establece el número máximo de días que una contraseña El valor por defecto es de 42 días. Ajuste del número de días
contraseña es válida. Después de este número de días, el usuario demasiado altas proporciona hackers con una ventana de
tendrá que cambiar la contraseña. oportunidad extendida a agrietarse o la fuerza bruta la
contraseña. Ajuste del número de días demasiado bajas
frustra a los usuarios que tienen que cambiar sus
contraseñas con demasiada frecuencia, y podría dar lugar a
llamadas más frecuentes a la mesa de ayuda de TI.
la edad mínima de la Establece el número mínimo de días que deben pasar Fijar la edad mínima de la contraseña de al menos 1 día.
contraseña antes de una contraseña puede ser cambiada. Al hacerlo, se requiere que el usuario sólo puede cambiar
su contraseña una vez al día. Esto ayuda a cumplir otros
ajustes. Por ejemplo, si se recuerdan los últimos cinco
contraseñas, esto asegura que al menos cinco días
deben pasar antes de que el usuario puede volver a
utilizar la contraseña original. Si la edad mínima de la
contraseña se establece en 0, el usuario puede cambiar
su contraseña de seis veces en el mismo día y comenzar
a volver a utilizar la contraseña original en el mismo día.
(Viene de la página anterior)
longitud Especifica el número mínimo de caracteres que una Establecer la longitud de entre 8 y 12 caracteres
mínima de contraseña puede tener. (siempre que también cumplen con los requisitos de
contraseña complejidad). Una contraseña más larga es más
difícil de descifrar que una contraseña más corta,
suponiendo que la contraseña no es una palabra
común.
Almacenar Proporciona soporte para aplicaciones que necesitan saber No utilice esta configuración a menos que utilice una aplicación
contraseñas una contraseña de usuario para la autenticación. que lo requiera. Al habilitar esta opción disminuye la seguridad
usando cifrado de las contraseñas almacenadas.
reversible
La directiva de bloqueo
Las políticas de bloqueo de cuenta que se pueden configurar se enumeran en la siguiente tabla.
Umbral de Especifica el número de intentos de acceso fallidos que Un ajuste de 5 permite un error del usuario razonable, y los
bloqueo de se permiten antes de que la cuenta está bloqueada. límites repite los intentos de inicio de sesión con fines
cuenta maliciosos. Tenga en cuenta que el umbral puede tener un
Por ejemplo, si el umbral se establece en 3, la cuenta está impacto negativo por lo que permite un ataque de
bloqueada después de que un usuario introduce información denegación de servicio en objetos de usuario,
de acceso incorrecto tres veces. especialmente a través de Internet. Debido a esto, algunas
organizaciones van hacia un umbral más alto.
Duración del Le permite especificar un período de tiempo, en minutos, Después de que el umbral se ha alcanzado y la cuenta está
bloqueo de después de lo cual la cuenta se desbloquea y se reanuda el bloqueada, la cuenta debe permanecer bloqueado el tiempo
cuenta funcionamiento normal automáticamente. Si especifica 0, la suficiente para bloquear o disuadir cualquier ataque potencial,
cuenta está bloqueada indefinidamente hasta que un pero lo suficientemente corta como para no interferir con la
administrador desbloquee manualmente. productividad para los usuarios legítimos. Una duración de 30
a 90 minutos funciona bien en la mayoría de las situaciones.
Restablecer la cuenta Define un marco de tiempo para contar los intentos de entrada El uso de un período de tiempo entre 30 y 60 minutos es
de bloqueos después incorrectos. Si se establece la directiva durante una hora, y el generalmente suficiente para disuadir a los ataques
de umbral de bloqueo de cuenta está configurada por tres intentos, automatizados y manuales intentos por un atacante para
el usuario puede introducir la información de inicio de sesión adivinar una contraseña.
incorrecto tres veces en una hora. Si entran información
incorrecta dos veces, pero consiguió lo correcto tercera vez, el
contador se restablecerá después de que haya transcurrido una
hora (desde la primera entrada incorrecta) de modo que el
futuro intentos fallidos volverá a empezar a contar en uno.
política de Kerberos
Esta política es para las cuentas de usuario de dominio, y determina los ajustes relacionados con Kerberos, tales como tiempos de vida de billetes y su aplicación.
Las directivas Kerberos no existen en Directiva de equipo local.
Con el Administrador de Cumplimiento de Seguridad
SCM proporciona los siguientes usos básicos.
• SMC utilizar para mantener el cumplimiento e informar sobre el cumplimiento. Muchas organizaciones respetan las normas específicas de la industria o
del gobierno y deben someterse a pruebas de conformidad periódicas. SMC se puede utilizar para validar que los ordenadores están configurados para
su cumplimiento, especialmente cuando se combina con System Center 2012 R2 Configuration Manager, que tiene un componente de gestión de la
configuración deseada (DCM) que se puede utilizar para la recopilación de información de cumplimiento. En este escenario, una línea de base a partir
de SMC puede ser exportado y utilizado en System Center Configuration Manager 2012 R2.
• SMC utilizar para configurar equipos para las políticas de cumplimiento o de seguridad. SMC se puede utilizar para minimizar el esfuerzo administrativo
cuando la configuración de equipos para las políticas de cumplimiento o de seguridad. SCM puede exportar un GPO que luego puede ser vinculada a
los recipientes apropiados en AD DS.
• SMC utilizar para mantener la configuración a través de dos ambientes independientes. Varios GPO se pueden importar en SMC y
luego utilizan para comparar y / o la fusión de configuración a través de entornos. Esto es útil cuando una organización tiene un
entorno de producción y un entorno de desarrollo (o múltiples iteraciones de cada entorno).
• SMC utilizar para aprender sobre Microsoft recomienda la configuración de seguridad. Las guías de seguridad incorporadas son en profundidad y
productos específicos. Contienen información y recomendaciones pertinentes que ayudará a una organización a entender los riesgos y la
mitigación. Pueden ser utilizados para formular o actualizar las políticas de seguridad y asegurarse de que los equipos de TI tienen los
conocimientos de seguridad a implementar y mantener los entornos de éxito.
¿Cuál es Gerente de Cumplimiento de Seguridad?
Visión general
Gerente de Cumplimiento de Seguridad (SCM) es una herramienta gratuita
de Microsoft que ayuda a los administradores computadoras seguras si los
equipos residen local, remota o en la nube. SMC es un acelerador de
soluciones de Microsoft, actualmente en la versión 3.0, que automatiza
algunas de las tareas administrativas de proteger los equipos. SMC
funciona como una herramienta independiente o puede ser mejorada
mediante la combinación con System Center Configuration Manager 2012
R2.
¿Qué hace SMC?

SCM proporciona las siguientes características básicas:
• Las líneas de base. Las líneas de base se basan en las guías de seguridad de Microsoft y las mejores prácticas; que son la base para la implementación de
nuevos ajustes. Los ajustes iniciales son específicos de una versión del sistema operativo, una versión específica del producto, o un componente específico
y pueden ser descargados o importados en SMC en forma de archivos .cab como nuevos estén disponibles. Las líneas de base se pueden comparar con la
configuración existente, o la configuración predeterminada. SMC proporciona una interfaz para ver todos los ajustes. Los ajustes se pueden personalizar y
luego exportan como una copia de seguridad de GPO.
• guías de seguridad. Las guías de seguridad de Microsoft son guías para las principales versiones de sistemas operativos y versiones de
productos. Contienen instrucciones y recomendaciones para ayudar a proteger el medio ambiente. Algunas de las guías que se incluyen
con SMC son las guías para Windows ® 7 SP1, Internet Explorer 10, Microsoft Exchange Server y Windows Server 2012.
• Compatibilidad con la implementación de políticas para standalone ordenadores. Además de la automatización del despliegue de la configuración de los
equipos unidos a un dominio mediante Directiva de grupo, SCM ayuda a minimizar la sobrecarga administrativa de asegurar equipos unidos, no es de
dominio también.
• copias de seguridad de importación de GPO existentes. Existentes GPO con copia de seguridad se pueden importar en SMC para la comparación con las líneas de base. A
continuación, puede personalizar la configuración antes de exportar la nueva configuración de una copia de seguridad de GPO.
Requisitos para SMC 3.0

SMC se puede instalar en un sistema operativo cliente de Windows o en un sistema operativo de servidor de Windows. Se requieren los siguientes
requisitos previos para el SMC 3.0.
• Microsoft Visual C ++ 2010 x86. El instalador viene preenvasado con SMC 3.0. Si no está ya instalado en el equipo de destino,
entonces el instalador SMC le pide que lo instale.
• Microsoft SQL Server 2008 (incluyendo la edición Express) o posterior instalado en el equipo de destino. Si SQL no está instalada, el
instalador SMC instalará Microsoft SQL Server 2008 Express.
• Microsoft Word y Microsoft Excel. Aunque no es necesario, como parte de la instalación de SMC, una parte del material de soporte y
guías requieren Word o Excel. En el caso de documentos de texto, WordPad (instalado por defecto en Windows) puede ser suficiente,
pero puede ser una experiencia degradado. Sin embargo, todos los documentos se pueden guardar en otro lugar y abrieron desde otro
equipo que ya tiene Word y Excel.
Práctica A: Aumento de la seguridad para los recursos del servidor
Guión
Su administrador le ha dado algunos parámetros relacionados con la seguridad que necesitan ser implementada en todos los servidores miembros. También es necesario poner en
práctica la auditoría del sistema de archivo de un recurso compartido de archivos utilizado por el departamento de marketing. Por último, es necesario implementar la auditoría de
inicios de sesión de dominio.
objetivos
Después de completar esta práctica de laboratorio, usted será capaz de:
• Utilizar Directiva de grupo para asegurar los servidores miembros.
• Auditoría quién está accediendo a archivos específicos.
• los inicios de sesión de dominio de auditoría.
configuración de laboratorio
Tiempo estimado: 60 minutos
Maquinas virtuales 20410C-LON-DC1

20410C-LON-SVR1
20410C-LON-SVR2
20410C-LON-CL1
Nombre de usuario Adatum \ Administrador
Contraseña w0rd Pa $$
Para este laboratorio, que va a utilizar el entorno de máquina virtual disponible. Antes de comenzar la práctica de laboratorio, debe realizar los siguientes
pasos:
1. En el equipo host, haga clic Comienzo, apunta a Herramientas administrativas, y haga clic Administrador de Hyper-V.
2. En Hyper-V ® Manager, haga clic 20410C-LON-DC1, y en el panel Acciones, haga clic Comienzo.
3. En el panel de acciones, haga clic Conectar.
Espere hasta que se inicie la máquina virtual.
4. Entra con las siguientes credenciales:
o Nombre de usuario: Adatum \ Administrador
o Contraseña: w0rd Pa $$
5. Repetir los pasos 2 a 4 para 20410C-LON-SVR1 y 20410C-LON-SVR2.
6. Repetir los pasos 2 y 3 para 20410C-LON-CL1. No inicia sesión para LON-CL1 hasta que lo indique.
Ejercicio 1: Uso de la directiva de grupo para asegurar los servidores miembro
Guión
A. Datum utiliza el grupo Administradores del equipo para proporcionar a los administradores con permisos para administrar servidores miembro. Como parte
del proceso de instalación de un nuevo servidor, se añade el grupo Administradores del equipo desde el dominio al grupo de administradores locales en el
nuevo servidor. Recientemente, este importante paso se perdió cuando se configuran varios servidores miembros nuevos. Para asegurar que el grupo
Administradores del equipo siempre se da permiso para administrar los servidores miembro, su gerente le ha pedido para crear un GPO que establece el
número de miembros del grupo de administradores locales en los servidores miembro para incluir los administradores del servidor del ordenador. Este GPO
también tiene que activar el Modo de aprobación de administrador para la UAC.
Las principales tareas para este ejercicio son los siguientes:
1. Crear una unidad organizativa Servidores miembro (OU) y mover servidores en ella.
2. Crear un grupo de administradores del servidor.
3. Crear un objeto miembro de seguridad del servidor de directivas de grupo Ajustes (GPO) y vincularlo con el miembro
Servidores unidad organizativa.
4. Configurar la pertenencia al grupo de administradores locales incluyen Administradores del servidor y dominio
Administradores.
5. Compruebe que los administradores informáticos se ha añadido al grupo de administradores locales.
6. Modificar la configuración de servidores miembro de seguridad GPO para quitar usuarios de Permitir inicio de sesión local.
7. Modificar la configuración de servidores miembro de seguridad GPO para activar el Control de cuentas de usuario: aprobación de administrador
Modo para la cuenta de administrador integrada.
8. Verificar que un usuario no administrativo no puede iniciar sesión en un servidor miembro.
• Tarea 1: Crear una unidad organizativa Servidores miembro (OU) y mover servidores en ella
1. En LON-DC1, abierto Directorio activo de usuarios y computadoras.
2. Crear una nueva unidad organizativa llamada UO Servidores miembro.
3. Mover servidores LON-SVR1 y LON-SVR2 a UO Servidores miembro.
• Tarea 2: Crear un grupo de administradores de servidores
• En LON-DC1, en UO Servidores miembro, crear un nuevo grupo de seguridad global llamada Los administradores del servidor.
• Tarea 3: Crear un objeto miembro de seguridad del servidor de directivas de grupo Ajustes (GPO) y vincularlo a los servidores
miembro OU
1. En LON-DC1, abra la Consola de administración de directivas de grupo.
2. En la Consola de administración de directivas de grupo, en la directiva de grupo contenedor de objetos, crear un nuevo GPO con un nombre Configuración de
seguridad servidor miembro.
3. En la Consola de administración de directivas de grupo, vincular el Ajustes miembro de seguridad del servidor a UO Servidores miembro.
• Tarea 4: Configurar la pertenencia al grupo de administradores locales para incluir administradores de servidores y
administradores de dominio
2. Para la directiva de dominio predeterminada, abra la ventana Editor de administración de directivas de grupo.
3. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración Configuración de
Windows \ seguridad \ Grupos restringidos.
4. Añade el Los administradores del servidor y Administradores de dominio grupos a la administradores grupo.
5. Cierre la ventana Editor de administración de directivas de grupo.
• Tarea 5: Verificar que los administradores informáticos se ha añadido al grupo de administradores
locales
1. Cambiar a LON-SVR1.
2. Abrir un Windows PowerShell ® ventana, y en el símbolo de Windows PowerShell, el tipo siguiente

mando:
Gpupdate / force
3. Abierto Administrador del servidor, abrir la Administración de equipos consola y, a continuación, expanda Los usuarios locales y
Grupos.
4. Confirmar que el administradores grupo contiene tanto Los administradores de dominio \ adatum y
Adatum \ Administradores de servidores como miembros.
5. Cierre la consola de Administración de equipos.
• Tarea 6: modificar la configuración de servidores miembro de seguridad GPO para quitar usuarios de Permitir inicio de sesión
local
1. En LON-DC1, en la Consola de administración de directivas de grupo, edite el Ajustes miembro de seguridad del servidor
GPO.
2. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de Windows \
Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario.
3. configurar Permitir el inicio de sesión local para Administradores de dominio y administradores Los grupos de seguridad.
• Tarea 7: modificar la configuración de servidores miembro de seguridad GPO para activar el Control de cuentas de usuario:
Modo de aprobación de administrador para la cuenta de administrador integrada
1. En LON-DC1, en la ventana Editor de administración de directivas de grupo, vaya a Configuracion de Computadora
\ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad.
2. Habilitar Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada.
3. Cierre la ventana Editor de administración de directivas de grupo.
• Tarea 8: Verificar que un usuario no administrativo no puede iniciar sesión en un servidor miembro
2. Abrir una ventana de Windows PowerShell, y en el símbolo de Windows PowerShell, el tipo siguiente
mando:
Gpupdate / force
3. Salir de LON-SVR1.
4. Intenta iniciar sesión en LON-SVR1 como Adatum \ Adam con la contraseña Pa $$ w0rd.
Compruebe que no se puede iniciar sesión en LON-SVR1.

5. Para prepararse para el siguiente ejercicio, la sesión de LON-SVR1, y vuelve a acceder a LON-SVR1 como
Adatum \ Administrador con la contraseña Pa $$ w0rd.
resultados: Después de completar este ejercicio, usted debe haber utilizado la directiva de grupo para asegurar los servidores miembros.
Ejercicio 2: Auditoría de acceso de sistema de archivos
Guión
El gerente del departamento de marketing tiene la preocupación de que no hay manera de rastrear quién está accediendo a archivos que se encuentran en el punto
compartido departamental. Su gerente ha explicado que sólo los usuarios con permisos están autorizados a acceder a los archivos. Sin embargo, el director del
departamento de marketing le gustaría probar la grabación de quién está accediendo a archivos específicos.
Su administrador le ha pedido para habilitar la auditoría para el sistema de archivos que se encuentra en el recurso compartido de archivos departamento de marketing, y
para revisar los resultados con el gerente del departamento de marketing. Las principales tareas para este ejercicio son los siguientes:
1. Modificar la configuración de servidores miembro de seguridad GPO para permitir el acceso a objetos de auditoría.
2. Crea y comparte una carpeta.
3. Habilitar la auditoría en la carpeta de marketing para los usuarios del dominio.
4. Crear un nuevo archivo en el recurso compartido de archivos LON-CL1.
5. Ver los resultados en el registro de seguridad del controlador de dominio.
• Tarea 1: modificar la configuración de servidores miembro de seguridad GPO para permitir el acceso a objetos de auditoría
1. Cambiar a LON-DC1.
2. En la Consola de administración de directivas de grupo, edite el Ajustes miembro de seguridad del servidor GPO.
Configuración de seguridad \ Directivas locales \ Directiva de auditoría.
4. Habilitar el acceso a objetos de auditoría con ambos Éxito y Fracaso ajustes.
5. Cerrar la sesión de LON-DC1.
• Tarea 2: Crear y compartir una carpeta
2. En LON-SVR1, en la unidad C, cree una nueva carpeta con el nombre Márketing.
3. Configurar el marketing carpeta con permisos de lectura / escritura de uso compartido para los usuarios Adán.
• Tarea 3: Habilitar la auditoría en la carpeta de marketing para los usuarios del dominio
1. En LON-SVR1, en el disco local (C :) ventana, configurar la auditoría en el Márketing carpeta, con

la siguiente configuración:
o Seleccionar un director: Los usuarios de dominio
o Tipo: Todos
o Permiso: Leer y ejecutar, el contenido de la carpeta de lista, lectura, escritura
o Deje las otras opciones con sus valores por defecto

2. Actualizar la directiva de grupo escribiendo el siguiente comando en el símbolo de Windows PowerShell:
gpupdate / force
• Tarea 4: Crear un nuevo archivo en el recurso compartido de archivos LON-CL1
1. Iniciar sesión en LON-CL1 como Adatum \ Administrador con la contraseña Pa $$ w0rd.
2. Abra la ventana del símbolo del sistema y escriba el siguiente comando:
gpupdate / force
3. Cierre la ventana de símbolo del sistema.
4. Salir de LON-CL1, y luego iniciar sesión de nuevo como Adatum \ Adam con la contraseña Pa $$ w0rd.
5. Abre el Márketing carpeta en LON-SVR1, utilizando la siguiente convención de nomenclatura universal

(UNC): \\ LON-SVR1 \ comercialización.
6. Crear un documento de texto con un nombre Empleados.
7. Salir de LON-CL1.
• Tarea 5: Ver los resultados en el registro de seguridad del controlador de dominio
1. Cambiar a LON-SVR1, y el inicio Visor de eventos.
2. En el Visor de sucesos ventana, ampliar Registros de Windows, y luego abrir Seguridad.
3. Verificar que después del evento y se visualiza la información:
o Fuente: Auditoría de seguridad de Microsoft Windows
o ID de evento: 4663
o Categoría de la tarea: Sistema de archivos
o Se ha intentado acceder a un objeto
resultados: Después de completar este ejercicio, debe tener acceso a archivo de acceso sistema de auditoría.
Ejercicio 3: Los inicios de sesión de dominio de Auditoría
Guión
Después de una revisión de seguridad, el comité de política de TI ha decidido iniciar el seguimiento de todos los inicios de sesión de usuario en el dominio. Su
administrador le ha pedido para habilitar la auditoría de inicios de sesión de dominio y verificar que se está trabajando.
Las principales tareas para este ejercicio son los siguientes:
1. Modificar la directiva de dominio predeterminada GPO.
2. Ejecutar GPUpdate.
3. Iniciar sesión en LON-CL1 con una contraseña incorrecta.
4. Revisar los registros de eventos en LON-DC1.
5. Iniciar sesión en LON-CL1 con la contraseña correcta.
6. Revisar los registros de eventos en LON-DC1.

• Tarea 1: Modificar la directiva de dominio predeterminada GPO
1. Iniciar sesión en LON-DC1 como Adatum \ Administrador con la contraseña Pa $$ w0rd.
2. En LON-DC1, iniciar Administrador del servidor, y luego desde el Administrador del servidor, inicio GPMC.
3. En LON-DC1, en la Consola de administración de directivas de grupo, edite el Predeterminada de dominio GPO.
Configuración de seguridad \ Directivas locales \ Directiva de auditoría.
5. Habilitar Auditar sucesos de inicio de sesión con ambos Éxito y Fracaso ajustes.
6. Actualizar la directiva de grupo mediante el uso de la gpupdate / force mando.
• Tarea 2: Ejecutar GPUpdate
2. Abra la ventana de símbolo del sistema y escriba el siguiente comando:
gpupdate / force
3. Cierre la ventana de símbolo del sistema y firmar LON-CL1.
• Tarea 3: Iniciar sesión en LON-CL1 con una contraseña incorrecta
• Iniciar sesión en LON-CL1 como Adatum \ Adam con la contraseña contraseña.
Nota: Esta contraseña es incorrecta intencionalmente para generar una entrada de registro de seguridad que muestra que una señal
de que fracasado en el intento se ha hecho.
• Tarea 4: registros de eventos de revisión de la LON-DC1
1. En LON-DC1, iniciar Visor de eventos.
2. En el Visor de sucesos ventana, ampliar Registros de Windows, y haga clic Seguridad.
3. Revisar los registros de eventos para el siguiente mensaje: “ Identificador de evento 4771 Kerberos la autenticación previa
ha fallado. Información de la cuenta: identificación de la seguridad: adatum \ Adán. ”
• Tarea 5: Iniciar sesión en LON-CL1 con la contraseña correcta
1. Iniciar sesión en LON-CL1 como Adatum \ Adam con la contraseña Pa $$ w0rd.
Nota: Esta contraseña es correcta, y usted debería ser capaz de iniciar sesión con éxito como Adán.
2. Cerrar la sesión de LON-CL1.
• Tarea 6: registros de eventos de revisión de la LON-DC1
1. En LON-DC1, iniciar Visor de eventos.
2. En el Visor de sucesos ventana, ampliar Registros de Windows, y haga clic Seguridad.
3. Revisar los registros de eventos para el siguiente mensaje: “ Identificador de evento 4624 se hizo un recuento con éxito
sesión iniciada. Nuevo inicio de sesión: identificación de la seguridad: adatum \ Adán. ”
resultados: Después de completar este ejercicio, usted debe haber habilitado la auditoría de inicio de sesión de dominio.
• Prepararse para el siguiente laboratorio
• Para prepararse para la próxima laboratorio, dejar las máquinas virtuales que se ejecutan.
Preguntas de repaso de laboratorio
Pregunta: ¿Qué pasa si configura el grupo Administradores del equipo, pero no el grupo de administradores de
dominio, a ser miembro del grupo Administradores local en todos los equipos de un dominio?
Pregunta: ¿Por qué necesita para no permitir inicio de sesión local en algunos equipos?
Pregunta: ¿Qué pasa cuando un usuario no autorizado intenta acceder a una carpeta que ha habilitado la auditoría
para ambos intentos de acceso exitosos y no exitosos?
Pregunta: ¿Qué ocurre cuando se configura la auditoría de inicios de sesión de dominio para ambos intentos de
conexión con y sin éxito?
Lección 3
Software restringiendo
Los usuarios necesitan tener acceso a las aplicaciones que ayudan a hacer su trabajo. Sin embargo, las aplicaciones innecesarios o no deseados a
menudo se instalan en los equipos cliente, ya sea intencionada o con fines maliciosos o no comerciales. el software no compatible o no utilizados no
se mantiene o asegurado por los administradores, y podría ser utilizado como punto de entrada para los atacantes obtener acceso no autorizado o
difundir virus informáticos. En consecuencia, es de suma importancia para usted para asegurarse de que sólo el software necesario se instala en
todos los equipos de la organización. También es vital que evitar que el software se ejecute de que no está permitido o que ya no se usa o
apoyados.
• Explica cómo usar las directivas de restricción de software (SRP) para restringir software no autorizado que se ejecutan en servidores y clientes.
• Describir el propósito de AppLocker ®.
• Describir las reglas de AppLocker y cómo utilizarlos para restringir el software no autorizado que se ejecutan en servidores y clientes.
• Describir cómo crear reglas de AppLocker.
Cuáles son las políticas de restricción de software?
Introducido en Windows ® sistema operativo XP y el sistema operativo
Windows Server 2003, las directivas de restricción de software (SRP)
proporcionan a los administradores herramientas que pueden utilizar para
identificar y especificar qué aplicaciones pueden ejecutarse en equipos
cliente. Usted configurar e implementar los ajustes de SRP a los clientes
mediante el uso de directivas de grupo. SRP se utilizan en Windows Server
2012 para proporcionar Windows Vista ® compatibilidad. Un conjunto de SRP
se compone de reglas y niveles de seguridad.
Reglas
Existen normas que regulan SRP responde a una aplicación que se está ejecutando o instalado. Las reglas son las construcciones de clave dentro de una SRP, y un
grupo de reglas juntos determina cómo una SRP responde a las aplicaciones que están en ejecución. Las reglas pueden basarse en uno de los siguientes criterios que
se aplican al archivo ejecutable principal para la aplicación en cuestión:
• Picadillo. Una huella digital de cifrado del archivo.
• Certificado. Un certificado de editor de software que se utiliza para firmar digitalmente un archivo.
• Camino. La ruta de acceso local o UNC a donde está almacenado el archivo.
• Zona. La zona de Internet.

Niveles de seguridad
Cada SRP aplicada se le asigna un nivel de seguridad que rige la forma en que el sistema operativo reacciona cuando la aplicación que se especifica en la
regla se ejecuta. Los tres niveles de seguridad disponibles son los siguientes:
• No permitido. El software identificado en la regla no se ejecutará, independientemente de los derechos de acceso del usuario.
• Usuario Básico. Permite que el software identificado en la regla se ejecute como un estándar, el usuario no administrativo.
• Irrestricto. Permite que el software identificado en la regla funcione sin distinción alguna fundada en SRP.
El uso de estas tres opciones, hay dos formas principales para utilizar SRP:
• Si un administrador tiene una lista completa de todo el software que se puede ejecutar en los clientes, el valor predeterminado de nivel de seguridad se puede
configurar en No permitido. Todas las aplicaciones que se pueden ejecutar pueden ser identificados en las reglas de SRP que se aplican ya sea básica del usuario
o sin restricciones nivel de seguridad para cada aplicación individual, dependiendo de los requisitos de seguridad.
• Si un administrador no tiene una lista completa del software que se puede ejecutar en los clientes, el valor predeterminado de nivel de seguridad se puede
configurar a usuario sin restricción o básica, dependiendo de los requisitos de seguridad. Todas las aplicaciones que no se pueden ejecutar a continuación,
se pueden identificar en las reglas de SRP, que utilizaría una configuración de nivel de seguridad No permitido.
Puede configurar los ajustes para las PRC accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Políticas de restricción de software
¿Qué es AppLocker?
AppLocker, que se introdujo en el sistema operativo Windows 7 y Windows
Server 2008 R2, es una función de configuración de seguridad que controla
qué aplicaciones los usuarios están autorizados para funcionar. AppLocker
proporciona a los administradores una variedad de métodos para la
determinación rápida y concisa la identidad de aplicaciones que se pueden
restringir, oa los que se desea autorizar el acceso. Aplicar AppLocker a
través de Directiva de grupo para objetos de equipo dentro de una unidad
organizativa. También puede aplicar reglas de AppLocker individual a los
usuarios de DS de anuncios individuales o grupos.
AppLocker también contiene opciones para el seguimiento o control de la aplicación de las reglas. AppLocker puede ayudar a las organizaciones a
prevenir software sin licencia o malicioso se ejecute, y puede restringir selectivamente ActiveX ®
controles que se instalen. También puede reducir el coste total de propiedad, garantizando que las estaciones de trabajo están estandarizados en toda
la empresa, y que los usuarios están ejecutando sólo el software y las aplicaciones que son aprobados por la empresa.
Utilizando la tecnología AppLocker, las empresas pueden reducir los administradores generales y administrativos de ayuda controlar cómo los usuarios pueden acceder y
utilizar los archivos, como los archivos .exe, scripts, archivos de Windows Installer (.msi y .msp), DLLs, y las aplicaciones empaquetadas (aplicaciones Windows Store ).
Puede utilizar AppLocker para restringir software que:
• No se le permite ser utilizado en la empresa. Por ejemplo, un software que puede afectar la productividad del negocio de los empleados, tales como
software de redes sociales, o software que transmite archivos de vídeo o imágenes que se utilizan grandes cantidades de ancho de banda y espacio
en disco.
• Ya no se usa o ha sido reemplazado por una versión más reciente. Por ejemplo, el software que ya no se mantienen, o para
las que han expirado.
• Ya no se admite en la empresa. Software que no se actualiza con las actualizaciones de seguridad podría suponer un riesgo para la seguridad.
• Debe ser utilizado sólo por departamentos específicos.
Puede configurar los ajustes de AppLocker accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración Políticas de Control de Configuración de Windows \ Seguridad \ Application
Nota: AppLocker utiliza el servicio de identidad de aplicación para verificar los atributos de un archivo. Este servicio debe estar
configurado para iniciarse automáticamente en cada equipo donde se aplicará AppLocker. Si el servicio de identidad de la aplicación no se
está ejecutando, entonces no se harán cumplir las directivas de AppLocker.
Lectura adicional: Para obtener más información acerca de AppLocker, vea Introducción a AppLocker en
Las reglas de AppLocker
AppLocker define reglas basadas en atributos de archivo que se

derivan de la firma digital del archivo. atributos de archivo en la
firma digital incluyen:
• Nombre del editor
• Nombre del producto
• Nombre del archivo
• Versión del archivo
Configuración por defecto
Por defecto, no se han definido las directivas de AppLocker, lo que significa que no
hay aplicaciones están bloqueadas. Usted puede
configurar reglas predeterminadas para cada colección de reglas. Las reglas predeterminadas aseguran que las aplicaciones en los directorios Archivos de programa y
Windows se pueden ejecutar, y todas las aplicaciones se pueden ejecutar para el grupo de administradores. Las reglas predeterminadas deben estar habilitadas si se va a
poner en práctica las directivas de AppLocker, ya que estas aplicaciones son necesarias para los sistemas operativos Windows para funcionar y operar normalmente.
Permitir y Denegar las acciones de reglas
Permitir y Denegar se descarta acciones que permiten o denegar la ejecución de aplicaciones en base a una lista de aplicaciones que se pueden configurar. Permitir la
acción sobre las reglas limita ejecución de aplicaciones a una lista permitida de aplicaciones y bloquea todo lo demás. La acción Denegar en reglas adopta el enfoque
opuesto y permite la ejecución de cualquier aplicación excepto los relativos a una lista de aplicaciones denegadas. Estas acciones también proporcionan un medio
para identificar excepciones a esas acciones.

Hacer cumplir o de auditoría sólo
Cuando directiva de AppLocker se establece en cumplir, las normas se aplican y todos los eventos son auditados. Cuando directiva de AppLocker se establece en Solo
auditoría, las reglas se evalúan y eventos se escriben en el registro de AppLocker, pero no tiene lugar la ejecución. Mediante el uso de la Auditoría Sólo el
establecimiento, los administradores pueden recopilar información acerca de las aplicaciones que están en ejecución, entender qué aplicaciones no se ejecutarán
cuando se utiliza la aplicación, y pueden ver las consecuencias de la aplicación de AppLocker en los usuarios finales.
Demostración: Creación de reglas de AppLocker
En esta demostración, verá cómo:
• Crear un GPO para hacer cumplir las reglas de AppLocker ejecutables por defecto.
• Aplicar el GPO al dominio.
• Probar la regla de AppLocker.
Pasos de demostración
Crear un GPO para hacer cumplir las reglas de AppLocker ejecutables por defecto
2. Crear un nuevo GPO denominado Directiva de restricción de WordPad.
3. editar el WordPad Restricción de Política Configuraciones de seguridad mediante el uso de AppLocker para crear un nuevo
Regla ejecutable.
4. Establecer el permiso de la nueva regla a Negar, la condición de Editor, y luego seleccione

wordpad.exe. Si se le solicita, haga clic DE ACUERDO para crear reglas predeterminadas.
5. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración Políticas de
Control de Configuración de Windows \ Seguridad \ Application \ AppLocker.
6. En AppLocker, configurar la aplicación con Hacer cumplir las reglas.
7. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de seguridad
Servicios de Windows \ Configuración \ System.
8. configurar Propiedades de identidad de la aplicación con Definir esta configuración de directiva, y Seleccionar servicio
modo de inicio con Automático.
Aplicar el GPO para el dominio

1. En la Consola de administración de directivas de grupo, aplicar el Directiva de restricción de WordPad GPO al
Adatum.com dominio.
2. Abra la ventana de símbolo, el tipo de comando gpupdate / force y luego presione Intro.
Probar la regla de AppLocker
1. Iniciar sesión en LON-CL1 como Adatum \ Alan con la contraseña Pa $$ w0rd.
2. En la ventana de símbolo del sistema, escriba gpupdate / force y luego presione Intro. Espere a que la política de
actualizar.
3. Intenta iniciar WordPad, y verificar que WordPad no se inicia.

Lección 4
Configuración de Firewall de Windows con seguridad avanzada
Firewall de Windows con seguridad avanzada es una herramienta importante para mejorar la seguridad de Windows Server 2012. Este complemento ayuda
a prevenir varios problemas de seguridad diferentes, tales como el escaneo de puertos o malware. Firewall de Windows con seguridad avanzada tiene
varios perfiles de cortafuegos, cada uno de los cuales aplica la configuración típicas de diferentes tipos de redes. Puede configurar manualmente las reglas
de Firewall de Windows en cada servidor, o configurar de forma centralizada mediante Directiva de grupo.
• Describir las características de Firewall de Windows con seguridad avanzada.
• Explicar por qué un firewall basado en host es importante.
• Describir los perfiles del cortafuegos.
• Describir las reglas de seguridad de conexión.
• Explicar cómo implementar reglas de Firewall de Windows.
• el tráfico de red segura mediante el uso de Firewall de Windows.
¿Qué es el Firewall de Windows con seguridad avanzada?
Firewall de Windows es un firewall basado en host que se incluye en
Windows Server 2012. Esto va en complemento en el equipo local y
restringe el acceso a la red desde y hacia ese equipo. A diferencia de un
servidor de seguridad perimetral, que proporciona protección sólo contra
las amenazas en Internet, un servidor de seguridad basado en host
proporciona protección frente a amenazas dondequiera que se originan.
Por ejemplo, Windows Firewall protege un host de una amenaza dentro
de la red de área local (LAN).
Reglas de entrada y de salida

reglas de entrada de control de comunicación que se inicia por otro dispositivo o equipo de la red, con el ordenador central. Por defecto,
toda la comunicación entrante está bloqueada excepto el tráfico que se permite explícitamente por una regla de entrada.
Las reglas de salida de control de comunicación que se inicia por el ordenador anfitrión, y está destinado para un dispositivo o equipo de la red. De
manera predeterminada, se permite que toda la comunicación saliente excepto el tráfico que está bloqueado explícitamente por una regla de
salida. Si decide bloquear toda la comunicación saliente excepto el tráfico que se permite de forma explícita, debe catalogar cuidadosamente el
software que se puede ejecutar en ese equipo y la comunicación de red requerida por dicho software.
Puede crear reglas de entrada y salida basada en el protocolo de datagramas de usuario (UDP) y los puertos TCP, así como otros protocolos.
También puede crear reglas de entrada y salida que permiten un acceso específico a la red ejecutable, sin importar el número de puerto que se
está utilizando.
Reglas de seguridad de conexión
Utiliza reglas de seguridad de conexión para configurar IPsec para Windows Server 2012. Cuando se configuran estas reglas, se puede
autenticar la comunicación entre ordenadores, y luego usar esa información para crear reglas de cortafuegos basados en cuentas de usuario y
equipo específicos.
Opciones de configuración adicionales
Firewall de Windows con seguridad avanzada es un consolas de administración de Microsoft (MMC) complemento que le permite realizar una
configuración avanzada de Firewall de Windows.
Firewall de Windows en Windows 8 y Windows Server 2012 proporciona las siguientes características:
• Soporta filtrado para el tráfico entrante y saliente.
• Se integra el filtrado de firewall y la configuración de protección de IPsec.
• Le permite configurar reglas para controlar el tráfico de red.
• Proporciona perfiles de reconocimiento de ubicación de red.
• Permite importar o exportar políticas.
Puede configurar las opciones de Firewall de Windows en cada equipo individualmente, o accediendo a la siguiente ubicación de
la GPMC:
• Configuración del equipo \ Directivas \ Configuración Configuración de Windows \ Seguridad \ Firewall de Windows con seguridad avanzada
Nota: Windows Server 2012 introduce la opción adicional para administrar Firewall de Windows mediante la interfaz
de línea de comandos de Windows PowerShell.
Discusión: ¿Por qué es de base anfitrión de un cortafuegos Importante?
Examinar la cuestión de discusión y participar en una discusión para

identificar los beneficios de utilizar un firewall basado en host como
Firewall de Windows con seguridad avanzada.
Pregunta: ¿Por qué es importante utilizar un firewall basado en host

como Firewall de Windows con seguridad avanzada?
Perfiles de firewall
Firewall de Windows con seguridad avanzada utiliza perfiles de cortafuegos
para proporcionar una configuración consistente para las redes de un tipo
específico, y le permite definir una red, ya sea como una red de dominio,
una red pública o una red privada. Con el Firewall de Windows con
seguridad avanzada, se puede definir un conjunto de configuración para
cada tipo de red; cada conjunto de configuración se conoce como una perfil
de cortafuegos. Las reglas del cortafuegos se activan sólo para perfiles de
servidor de seguridad específicas.
Firewall de Windows con seguridad avanzada incluye los perfiles

de la tabla siguiente.
Perfil Descripción
Público Utilizar cuando se está conectado a una red pública no es de confianza. Aparte de redes de dominio, todas las
redes se clasifican como público. Por defecto, el perfil público (que es el más restrictivo) se utiliza en Windows
Vista, Windows 7 y Windows 8.
Privado Utilizar cuando se está conectado detrás de un firewall.
Una red se clasifica como privada sólo si el administrador o un programa identifica la red como privado. Redes
marcados como doméstica o de trabajo en Windows Vista, Windows 7 y Windows 8 se agregan al perfil privado.
Dominio Se utiliza cuando el equipo forma parte de un dominio de sistema operativo de Windows. Los sistemas operativos Windows
identifican automáticamente redes en las que se puede autenticar el acceso al controlador de dominio. El perfil de dominio
se asigna a estas redes, y este ajuste no se puede cambiar. No hay otras redes pueden ser colocados en esta categoría.
Windows Server 2012 permite que varios perfiles de cortafuegos para ser activos en el servidor de forma simultánea. Esto significa que un
servidor multitarjeta que está conectado a la red interna y la red perimetral puede aplicar el perfil de servidor de seguridad de dominio de la red
interna, y el perfil de servidor de seguridad pública o privada a la red perimetral.
Reglas de seguridad de conexión
Una autenticación fuerzas regla de seguridad de conexión entre dos
equipos del mismo nivel antes de que se pueda establecer una
conexión y transmitir información segura. También aseguran que el
tráfico mediante el cifrado de los datos que se transmiten entre
ordenadores. Firewall de Windows con seguridad avanzada utiliza
IPsec para hacer cumplir estas normas.

Las reglas de seguridad de conexión configurables son:
• Aislamiento. Una regla de aislamiento aísla los equipos mediante la restricción de las conexiones que se basan en las credenciales tales como la pertenencia al
dominio o estado de salud. Las reglas de aislamiento permiten implementar una estrategia de aislamiento para los servidores o dominios.
• Exención de autenticación. Se puede utilizar una exención de autenticación para designar las conexiones que no requieren autenticación.
Puede designar a los ordenadores de una dirección IP específica, un rango de direcciones IP, una subred o un grupo predefinido como una
puerta de enlace.
• Servidor a servidor. Una regla de servidor a servidor protege las conexiones entre ordenadores específicos. Este tipo de regla general,
protege las conexiones entre los servidores. Al crear la regla, especifique los puntos finales de la red entre los cuales se protegen las
comunicaciones. A continuación, designar a los requisitos y la autenticación que desea utilizar.
• Túnel. Con una regla de túnel, puede proteger las conexiones entre ordenadores de puerta de enlace. Normalmente, se utiliza una regla de túnel
cuando se conecta a través de Internet entre dos pasarelas de seguridad.
• Personalizado. Use una regla personalizada para autenticar las conexiones entre dos puntos finales cuando no se puede establecer reglas de autenticación
que necesita mediante el uso de las otras reglas disponibles en la nueva conexión Asistente para reglas de seguridad.
Cómo reglas de firewall y reglas de seguridad de conexión Work Together
Las reglas de firewall permiten el tráfico a través del firewall, pero no aseguran que el tráfico. Para proteger el tráfico con IPsec, puede crear reglas de
seguridad de conexión. Sin embargo, las reglas de seguridad de conexión no permiten el tráfico a través de un cortafuegos. Debe crear una regla de
firewall para hacer esto. reglas de seguridad de conexión no se aplican a los programas y servicios; en cambio, se aplican entre los equipos que componen
los dos puntos finales.
Implementación de reglas de firewall
¿Cómo se implementa reglas de Firewall de Windows es una
consideración importante. La elección del método apropiado se asegura
de que las reglas se despliegan de forma precisa y con el mínimo
esfuerzo. Puede implementar reglas de Firewall de Windows en las
siguientes maneras:
• A mano. Se puede configurar de forma individual las reglas del
firewall en cada servidor. Sin embargo, en un entorno con más de
unos pocos servidores, esto es un trabajo intensivo y propenso a
errores. Este método se utiliza normalmente sólo durante la prueba y
solución de problemas.
• El uso de la directiva de grupo. La mejor forma de distribuir las reglas del cortafuegos es mediante el uso de directivas de grupo. Después de crear y
probar un GPO con las reglas de firewall necesarias, puede implementar las reglas de firewall con rapidez y precisión a un gran número de equipos.
• Exportación e importación de reglas de firewall. Firewall de Windows con seguridad avanzada también le da la opción de importar y exportar las reglas del
cortafuegos. Puede exportar las reglas de firewall para crear una copia de seguridad antes de configurar manualmente las reglas del firewall durante la resolución
de problemas.
Nota: Al importar las reglas del cortafuegos, que son tratados como un conjunto completo, y sustituyen a todas las reglas de firewall
configuradas actualmente.
Demostración: La implementación de tráfico de red segura con Firewall de Windows
En esta demostración, verá cómo:
• Compruebe si ICMP V4 (de control de Internet Protocolo de mensajes) se bloquea.
• Habilitar ICMP V4 LON-CL2 a LON-SVR2.
• Crear una regla de seguridad de conexión para que el tráfico se autentica al host de destino.
• Validar ICMP V4 después de la regla de seguridad de conexión está en su lugar.
Pasos de demostración
Compruebe si ICMP está bloqueado v4
2. En LON-CL2, mesa de ping 10.10.0.11 y observe que los tiempos de ping cabo.
Habilitar ICMP V4 LON-CL2 a LON-SVR2

1. Iniciar sesión en LON-SVR2 como Adatum \ Administrador con la contraseña Pa $$ w0rd.
2. En LON-SVR2, crear una regla de cortafuegos para permitir ICMPv4 LON-CL2.
3. En LON-CL2, mesa de ping 10.10.0.11.
Observe que el ping pasa a través de éxito.
Crear una regla de seguridad de conexión
• En LON-SVR2, crear una regla de seguridad de conexión a base de aislamiento a la autenticación tráfico entrante y solicitar
autenticación para el tráfico saliente.
v4 Validar ICMP
• En LON-CL2, mesa de ping 10.10.0.11.
Observe que el ping pasa a través de éxito.

08 Securing Windows Server Using Policy Objects - En.es

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

08 Securing Windows Server Using Policy Objects - En.es

Transféré par

Droits d'auteur :

Formats disponibles

12-1

Lección 1: Sistemas operativos de Windows Descripción de la seguridad 12-2

Lección 2: Configuración de los ajustes de seguridad 12-6

Práctica A: Aumento de la seguridad de los recursos del servidor 12-17

Lección 3: Software restringiendo 12-24

Lección 4: Configuración de Firewall de Windows con seguridad avanzada 12-28

B Lab: Configuración de AppLocker y Firewall de Windows 12-33

Revisión del módulo y comida para llevar 12-39

Descripción general del módulo

• describir de Windows la seguridad del sistema operativo del servidor.

• Configurar las opciones de seguridad mediante Directiva de grupo.

• Aumentar la seguridad de los recursos del servidor.

• Restringir el software no autorizado que se ejecutan en servidores y clientes.

• Configurar Firewall de Windows con seguridad avanzada.

Después de completar esta lección, usted será capaz de:

• Aplicar el modelo de defensa en profundidad para aumentar la seguridad.

Discusión: La identificación de los riesgos de seguridad y costos

El primer paso en la defensa de sus sistemas es la identificación de los

Examinar la cuestión de la diapositiva y participar en la discusión

La aplicación de la defensa en profundidad para aumentar la seguridad

Puede reducir los riesgos a la red informática de su organización al

La defensa en profundidad tecnologías incluyen capas de seguridad que se

extienden desde las políticas de usuario, a la aplicación y a los propios datos.

Políticas, procedimientos y Sensibilización

las medidas de política de seguridad tienen que operar dentro de

seguro, y que el acceso físico se concede sólo a personal autorizado.

El ordenador central para reforzar la seguridad

• Mantenga los equipos seguro con las últimas actualizaciones de seguridad.

• Configurar las políticas de seguridad, tales como la complejidad de la contraseña.

• Configurar el firewall de host.

• Instalar el software antivirus.

Para reforzar la seguridad de aplicaciones

ellos u otros componentes de la red.

• Implementar el cifrado de datos confidenciales con el Sistema de cifrado de archivos (EFS).

• Realizar copias de seguridad de datos regulares.

Las mejores prácticas para aumentar la seguridad

Tenga en cuenta las siguientes mejores prácticas para aumentar la

• Aplicar todas las actualizaciones de seguridad disponibles tan pronto como

sea posible después de su liberación. Usted debe esforzarse para

implementar las actualizaciones de seguridad tan pronto como sea posible

para asegurar que sus sistemas están protegidos de las vulnerabilidades

conocidas. Microsoft lanza públicamente los detalles de las vulnerabilidades

conocidas después de una actualización ha sido puesto en libertad, que

puede conducir a un aumento del volumen de software malicioso que intenta

explotar la vulnerabilidad. Sin embargo, aún debe asegurarse de que prueba

de manera adecuada las actualizaciones antes de que se aplican

ampliamente dentro de su organización.

prácticamente ilimitado al entorno de TI.

como el Control de cuentas de usuario (UAC).

o reducir la efectividad de algunos ataques físicos.

configuración de directiva de grupo para Windows y Windows Server" en: http://go.microsoft.com/fwlink/?LinkID=266744.

Después de completar esta lección, usted será capaz de:

• Describir cómo configurar las plantillas de seguridad.

• Describen lo que el usuario son derechos, y cómo configurarlos.

• Describir cómo configurar las opciones de seguridad.

• Describir cómo configurar UAC.

• Describir cómo configurar la auditoría de seguridad.

• Describir cómo configurar grupos restringidos.

• Describir la forma de configurar la directiva de cuenta.

• Describir Gerente de Cumplimiento de Seguridad (SCM).

• Instalar y utilizar SMC.

Plantillas de seguridad Configuración

Las plantillas de seguridad son archivos que se utilizan para administrar y

configurar las opciones de seguridad en equipos basados en Windows.