Académique Documents
Professionnel Documents
Culture Documents
módulo 12
Protección de los servidores de Windows utilizando objetos de directiva de grupo
Contenido:
Descripción general del módulo 12-1
La protección de la infraestructura de TI siempre ha sido una prioridad para las organizaciones. Muchos riesgos de seguridad amenazan las empresas y sus datos
críticos. Cuando las empresas dejar de tener políticas de seguridad adecuadas, que pueden perder datos, falta de disponibilidad del servidor de experiencia, y perder
credibilidad.
Para protegerse contra las amenazas de seguridad, las empresas deben tener políticas de seguridad bien diseñados que incluyen muchos componentes organizativos y
relacionados con la TI. Las políticas de seguridad deben ser evaluados de forma regular debido a las amenazas de seguridad evolucionan, por lo que deben evolucionar.
Antes de comenzar el diseño de políticas de seguridad para ayudar a proteger los datos de su organización, los servicios y la infraestructura de TI, debe
aprender a identificar las amenazas a la seguridad, planificar su estrategia para mitigar las amenazas de seguridad, y seguro de Windows Server ® 2012
infraestructura.
objetivos
Después de completar este módulo, el alumno será capaz de:
Lección 1
Sistemas operativos de Windows Descripción de la seguridad
A medida que las organizaciones se expanden su disponibilidad de datos de red, aplicaciones, programas y sistemas, garantizando la seguridad de
la infraestructura de red se vuelve más difícil. Las tecnologías de seguridad en Windows Server 2012 permiten a las organizaciones mejorar la
protección de sus recursos de red y activos de la organización en entornos cada vez más complejos y escenarios de negocio. Esta lección se
revisan las herramientas y conceptos que están disponibles para la implementación de seguridad dentro de un Windows 8 ® y Windows Server 2012
infraestructuras.
Windows Server 2012 incluye numerosas características que proporcionan diferentes métodos para implementar la seguridad. Estas características
se combinan para formar el núcleo de la funcionalidad de seguridad de Windows Server 2012. La comprensión de estas características y sus
conceptos asociados y estar familiarizado con su implementación básica son fundamentales para mantener un entorno seguro.
Objetivos de la lección
• Identificar los riesgos de seguridad para Windows Server 2012 y los costos asociados con ellos.
• Describir las mejores prácticas para aumentar la seguridad de Windows Server 2012.
el marco de políticas de la organización respecto a las mejores prácticas de seguridad. Por ejemplo, la aplicación de una política de contraseñas de
usuario fuerte no es útil si los usuarios escriben sus contraseñas y los colocan junto a sus pantallas de ordenador; los usuarios deben ser educados
sobre cómo proteger sus contraseñas. Otro ejemplo de una práctica de seguridad es garantizar que los usuarios no salen de su computadora de
escritorio sin cerrar primero el escritorio o la firma fuera de la computadora. Cuando se establece una base de seguridad para la red de su empresa,
es una buena idea empezar por establecer políticas y procedimientos adecuados y luego los usuarios acerca de ellos. A continuación, puede
progresar a los demás aspectos del modelo de defensa en profundidad.
Seguridad física
Si alguna persona no autorizada pueda tener acceso físico a un equipo de la red, entonces la mayoría de otras medidas de seguridad pueden ser
anuladas con mayor facilidad. Debe asegurarse de que las computadoras que contienen los datos más sensibles (tales como servidores) son físicamente
Perímetro
En estos días, ninguna organización es una empresa aislada. Organizaciones operan dentro de la Internet, y muchos recursos de la red de la
organización están disponibles a través de Internet. Esto podría incluir un sitio web que describe los servicios de su organización, o de servicios
internos que se ponga a disposición externamente, tales como conferencias web y correo electrónico, de modo que los usuarios pueden trabajar
desde casa o desde las sucursales. redes perimetrales marcan el límite entre las redes públicas y privadas. Proporcionar servidores proxy inverso
en la red perimetral que permite ofrecer servicios corporativos más seguros a través de la red pública.
Muchas organizaciones implementan el control de cuarentena de acceso a la red, donde los equipos que se conectan a la red corporativa se
comprueban para diferentes criterios de seguridad, como si el ordenador tiene las últimas actualizaciones de seguridad, actualizaciones de antivirus, y
otras configuraciones de seguridad recomendadas por la compañía. Si se cumplen estos criterios, el equipo se le permite conectarse a la red
corporativa. Si no es así, el equipo se coloca en una red aislada, llamada cuarentena, que no tienen acceso a los recursos corporativos. Una vez que el
equipo tiene la configuración de seguridad remediadas, se elimina de la red de cuarentena y se le permite conectarse a los recursos corporativos.
Nota: Un proxy inverso, tal como Microsoft Forefront ® Threat Management Gateway 2010 (Forefront TMG), le permite publicar servicios,
tales como servicios de correo electrónico o la web, desde la intranet corporativa sin colocar los servidores de correo electrónico o la web en el
perímetro o exponiéndolos a los usuarios externos. Forefront TMG actúa como proxy inverso y como una solución de servidor de seguridad.
12-4 Protección de los servidores de Windows utilizando objetos de directiva de grupo
redes
Una vez que conecte sus equipos a una red (ya sea interna o pública), que son susceptibles a una serie de amenazas, incluyendo el espionaje, la
suplantación de identidad, denegación de servicio y ataques de repetición. Mediante la implementación de seguridad de protocolo Internet (IPsec), puede
cifrar el tráfico de red y proteger los datos mientras que en la transferencia entre ordenadores.
Cuando la comunicación se realiza a través de redes públicas, como por los empleados que trabajan desde casa o desde oficinas remotas,
como una buena práctica que deben conectarse a una solución de firewall como Forefront TMG 2010 para proteger de diferentes tipos de
amenazas de la red.
La siguiente capa de defensa es la capa que se utiliza para el equipo host. Juntos, los pasos siguientes forman un proceso que se conoce como sede
de endurecimiento de la seguridad informática. En el ordenador anfitrión, usted debe:
Las aplicaciones son tan segura como su última actualización de seguridad. Juntos, los siguientes pasos forman un proceso que se llama securización de
aplicaciones:
• utilizar consistentemente la característica de Windows Update o los proveedores de aplicaciones sitios Web de actualización para mantener sus aplicaciones hasta a la fecha.
• Las aplicaciones de prueba para determinar si tienen cualquier vulnerabilidad de seguridad que podría permitir a un atacante externo para comprometer
Seguridad de datos
La capa final de la seguridad es la seguridad de datos. Para ayudar a asegurar la protección de su red, usted debe:
• Asegurar el uso adecuado de los permisos de usuario archivo utilizando listas de control de acceso (ACL).
Lectura adicional:
• Para el último boletín de seguridad de Microsoft y la información de asesoramiento, consulta de seguridad para profesionales de TI en
http://go.microsoft.com/fwlink/?LinkID=266741.
• Para obtener más información acerca de los tipos comunes de ataques de red, consulte
http://go.microsoft.com/fwlink/?LinkID=266742.
Pregunta: ¿Cuántas capas del modelo de defensa en profundidad en caso de que implementar en su organización?
20410C: Instalación y configuración de Windows Server ® 2012 12-5
seguridad:
• Seguir el principio de privilegio mínimo. Proporcionar a los usuarios y cuentas de servicio con los más bajos niveles de permisos necesarios para
completar sus tareas necesarias. Esto asegura que cualquier malware utilizando esas credenciales se limita en su impacto. También asegura que los
usuarios están limitados en su capacidad de borrar datos de manera accidental o modificar los ajustes críticos del sistema operativo.
• Ordenar que los administradores utilizan cuentas administrativas separadas para cambios de administración y configuración. Esto asegura que los
administradores, mientras navega por la Internet o correo electrónico de lectura, no se exponen a una cuenta de usuario que tenga acceso
• Restringir el administrador de la señal de la consola en. Al iniciar sesión en destino, en una consola es un riesgo mayor para un servidor de acceso a los datos de forma
remota. Esto se debe a que algunos programas maliciosos sólo puede infectar un ordenador mediante el uso de una sesión de usuario en el escritorio. Si permite que los
administradores utilizar la conexión de escritorio remoto para la administración del servidor, asegúrese de que están activadas las funciones de seguridad mejoradas, tales
• Restringir el acceso físico. Si alguien tiene acceso físico a los servidores, esa persona tiene acceso prácticamente ilimitado a los datos de dicho
servidor. Una persona no autorizada podría utilizar una amplia variedad de herramientas para restablecer rápidamente la contraseña de las
cuentas de administrador local y permitir el acceso local, o utilizar una unidad USB para introducir malware. BitLocker puede ser eficaz para limitar
Lectura adicional: Para obtener más información sobre las mejores prácticas para la seguridad de la empresa, consulte
http://go.microsoft.com/fwlink/?LinkID=266743.
12-6 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Lección 2
Configuración de los ajustes de seguridad
Una vez que haya aprendido sobre amenazas a la seguridad, los riesgos y las mejores prácticas para aumentar la seguridad, se puede iniciar la configuración de
seguridad para el entorno de Windows 8 y Windows Server 2012. Esta lección explica cómo configurar los parámetros de seguridad.
Para aplicar estos ajustes de seguridad para múltiples usuarios y equipos de la organización, puede usar la directiva de grupo. Por ejemplo, se
puede configurar la directiva de contraseña mediante la directiva de grupo, y luego desplegarlos a varios usuarios.
Directiva de grupo tiene un componente de seguridad de gran tamaño que se puede utilizar para configurar la seguridad para los usuarios y las computadoras. Se puede
aplicar la seguridad coherente en toda la organización en Active Directory ® Servicios de dominio (AD DS) mediante la definición de la configuración de seguridad en un
objeto de directiva de grupo (GPO) que está asociado a un sitio, dominio o unidad organizativa (OU).
Lectura adicional: Para obtener una lista detallada de la configuración de directiva de grupo, consulte el documento "Referencia de
Objetivos de la lección
• Grupos restringidos. Composición de los grupos que tienen derechos y permisos especiales
• Servicios del sistema. Inicio y permisos para los servicios del sistema
Cuando se configura una plantilla de seguridad, que se puede utilizar para configurar un único ordenador o para configurar varios equipos de la
red. Las siguientes son algunas de las formas que se pueden configurar y distribuir las plantillas de seguridad:
• Secedit.exe. Puede utilizar la herramienta de línea de comandos secedit.exe para comparar la configuración actual de un equipo que ejecuta
• Plantillas de seguridad en. Puede utilizar este complemento para crear una política de seguridad mediante el uso de plantillas de seguridad.
• Asistente de configuración de seguridad y análisis. Puede utilizar este asistente para analizar y configurar la seguridad informática.
• Directiva de grupo. Puede utilizar Directiva de grupo para analizar y configurar la configuración del equipo, y para distribuir la configuración de seguridad específicas.
• SMC. Se puede utilizar el SMC para ver la configuración de seguridad, comparar los ajustes a las líneas de base de seguridad (que son grupos de configuraciones diseñadas
sobre la base de las guías de seguridad de Microsoft y las mejores prácticas), personalizar la configuración, y copias de seguridad de GPO de importación o exportación. SMC
Administrador.
• los derechos de inicio de sesión definen quién está autorizado para acceder a un ordenador, y cómo pueden iniciar sesión. Por ejemplo, los derechos de inicio de
sesión pueden definir el derecho a acceder a un sistema local. Puede configurar derechos a través de la directiva de grupo. Inicialmente, la directiva de dominio
Puede configurar los ajustes de derechos de usuario accediendo la siguiente ubicación de la consola de administración de directivas de grupo
(GPMC):
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Asignación de derechos de usuario
12-8 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Algunos ejemplos de los derechos de uso común de los usuarios (y políticas configuradas por ellos) son:
• Agregar estaciones de trabajo al dominio. Determina qué usuarios o grupos pueden agregar estaciones de trabajo al dominio.
• Permitir inicio de sesión local. Determina los usuarios que pueden iniciar sesión en el equipo.
• Permitir inicio de sesión a través de Servicios de Escritorio remoto. Determina qué usuarios o grupos tienen permiso para acceder mediante el uso de cliente de
• Copias de seguridad de archivos y directorios. Determina qué usuarios tienen permisos de copia de seguridad de archivos y carpetas en un ordenador.
• Cambiar la hora del sistema. Determina qué usuarios o grupos tienen los derechos para cambiar la fecha y la hora en el reloj
interno del ordenador.
• Forzar el apagado desde un sistema remoto. Determina qué usuarios se les permite apagar un equipo desde una ubicación remota
de la red.
• Apagar el sistema. Determina cuál de los usuarios que se suscriban a nivel local en un ordenador se les permite apagar el
equipo.
También puede usar la directiva de grupo para acceder y configurar las opciones
• UAC
Puede configurar los ajustes de las opciones de seguridad al acceder a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad Los siguientes son
• pedir al usuario cambiar la contraseña antes de que caduque. Determina cuántos días antes de la contraseña de un usuario que expira que el
• Inicio de sesión interactivo: no mostrar el último nombre de usuario. Determina si el nombre del último usuario que inició sesión en el equipo se
• Cuentas: Cambiar el nombre de cuenta de administrador. Determina si un nombre de cuenta diferente está asociado con el identificador de
seguridad (SID) para la cuenta de administrador.
• Dispositivos: restringir el acceso al CD-ROM al usuario con sesión iniciada localmente solamente. Determina si un CD-ROM es accesible tanto para los
De manera predeterminada, los usuarios y los administradores estándar se ejecutan las aplicaciones y los recursos de acceso en el contexto de seguridad de un
usuario estándar. El mensaje de UAC proporciona una manera para que un usuario para elevar su estado de una cuenta de usuario estándar a una cuenta de
administrador sin firmar, cambiar de usuario, o ejecutar una aplicación mediante el uso de diferentes credenciales. Debido a esto, UAC crea un entorno más seguro
Cuando una aplicación requiere el permiso del administrador de nivel, UAC notifica al usuario de la siguiente manera:
• Si el usuario es un administrador, el usuario confirma para elevar su nivel de permiso y continuar. Este proceso de aprobación que solicita que
Nota: Debido a que Windows Server 2008, la cuenta de administrador integrada no se ejecuta en modo de aprobación de
administrador. El resultado es que hay UAC pantalla cuando se utiliza la cuenta de administrador local.
• Si el usuario no es un administrador, a continuación, un nombre de usuario y la contraseña de una cuenta que tenga permisos administrativos
que hay que introducir. Proporcionar credenciales administrativas temporalmente le da al usuario privilegios administrativos, pero sólo para
completar la tarea actual. Después de que la tarea se ha completado, cambio de permisos de nuevo a los de un usuario estándar.
Al utilizar este proceso de notificación y la elevación de privilegios de administrador de cuenta, los cambios no se pueden hacer a la computadora
sin que el usuario sepa, debido a que un mensaje le pregunta al usuario por el permiso o las credenciales de administrador. Esto puede ayudar a
evitar que el software malicioso (malware) y software espía se instale en o hacer cambios en un equipo.
UAC permite que los siguientes cambios a nivel de sistema que se produzca sin preguntar, incluso cuando un usuario ha iniciado sesión como usuario local:
• Instalar controladores de Windows Update o aquellos que están empaquetados con el sistema operativo
Se puede modificar la experiencia de la notificación UAC para ajustar la frecuencia y el comportamiento de indicaciones de UAC. Para modificar el comportamiento
de UAC en un solo ordenador, acceder al panel de control de Windows Server 2012 en Sistema y seguridad.
Puede configurar los ajustes para UAC accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Opciones de seguridad Los siguientes son
• Control de cuentas de usuario: ejecutar todos los administradores en Modo de aprobación de administrador. Controla el comportamiento de todos los parámetros de
directiva de UAC para el equipo. Si esta opción está desactivada, el UAC no se ejecutará en este equipo.
• Control de cuentas de usuario: Modo de aprobación de administrador en la cuenta de administrador integrada. Cuando se habilita esta configuración, la
• Control de cuentas de usuario: detectar instalaciones de aplicaciones y pedir confirmación de elevación. Este ajuste controla el comportamiento de la detección de la
• Control de cuentas de usuario: elevar sólo los archivos ejecutables firmados y validados. Cuando se habilita esta configuración, una Infraestructura (PKI)
de verificación de clave pública se realiza en el archivo ejecutable para verificar que se origina a partir de una fuente de confianza. Si se verifica el
Nota: Por defecto, el UAC no está configurado o activado en instalaciones Server Core de Windows Server 2012.
organización está registrando las actividades del usuario. Las actividades pueden
incluir intentos éxito o el fracaso para acceder a datos críticos para el negocio
importantes relacionados con la empresa y de seguridad goles de seguimiento de las actividades definidas con precisión, tales como:
• Un administrador que modifica la configuración o datos en los servidores que contienen información altamente confidencial.
• Un empleado dentro de un grupo definido que ha tenido acceso a una carpeta importante que contiene datos de diferentes departamentos.
• Un usuario que está intentando iniciar sesión en su cuenta en repetidas ocasiones sin éxito de un equipo interno de la compañía. Puede encontrarse
con que el empleado que es dueño de esa cuenta de usuario estaba de vacaciones esa semana, lo que significa que algún otro empleado estaba
tratando de iniciar sesión con una cuenta de usuario diferente. Puede configurar los ajustes de auditoría de seguridad accediendo a la siguiente
ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Directivas locales \ Directiva de auditoría
20410C: Instalación y configuración de Windows Server ® 2012 12-11
Los siguientes son algunos ejemplos de configuración de GPO que se pueden configurar para la auditoría:
• Auditar sucesos de inicio de sesión de la cuenta. Determina si el sistema operativo audita cada vez que el equipo valida las
credenciales de una cuenta.
• gestión contable de auditoría. Determina si se debe auditar cada evento de administración de cuentas, tales como creación, modificación, cambio de
nombre o eliminar una cuenta de usuario, el cambio de una contraseña, o activación o desactivación de una cuenta de usuario.
• el acceso a objetos de auditoría. Determina si operan auditorías del sistema tienen acceso a los objetos no son Active Directory, tales como carpetas o archivos.
Antes de configurar los parámetros de auditoría con la directiva de grupo, debe configurar listas de control de acceso del sistema (SACL) en las carpetas o
archivos para permitir la auditoría para un tipo específico de acción, tales como escribir, leer o modificar.
• Auditar eventos del sistema. Determina si los eventos relacionados con el sistema operativo sistema de auditorías, como el intento de cambiar la hora
del sistema, intentar una puesta en marcha o apagar el sistema o el tamaño del registro de seguridad superior a una advertencia umbral configurable.
Cuando se trabaja con la auditoría de seguridad, ser consciente de las siguientes preocupaciones.
• Configuración de Windows Server 2012 para auditar actividades genera una gran cantidad de datos que es difícil de analizar.
• Una gran cantidad de datos podría causar servidores o controladores de dominio que se quede sin espacio de disco debido a que el registro de eventos de seguridad puede
llegar a ser muy grande. Grabación de una gran cantidad de datos también puede provocar un mal funcionamiento de los sistemas de herencia.
Lectura adicional: Para obtener más información acerca de la auditoría de seguridad, consulte el artículo "¿Qué hay de nuevo en la
locales están agregando grupo para evitar que otras cuentas de usuario
siguientes:
Directiva de grupo, todos los miembros actuales se mantienen, mientras que los miembros definidos en la política se añaden a los miembros existentes.
• Puede especificar que los miembros forman el total de miembros de un grupo. Si elige esta opción, a continuación, cuando se define una directiva de
grupos restringidos y actualización de la directiva de grupo, cualquier miembro actual de un grupo que no está en la lista de miembros de grupos
restringidos de política se retira, incluyendo miembros predeterminados, tales como el grupo de administradores de dominio.
12-12 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Aunque se puede controlar grupos de dominio mediante la asignación de políticas de grupos restringidos a los controladores de dominio, debe utilizar esta configuración
principalmente para configurar la pertenencia a grupos críticos, como Administradores de empresa y Administradores de esquema. También puede usar esta configuración para
controlar el número de miembros de los grupos locales integrados en estaciones de trabajo y servidores miembro. Por ejemplo, se puede colocar el grupo de servicio de
No se puede especificar los usuarios locales en un GPO de dominio. Los usuarios locales que actualmente están en el grupo local que se eliminarán los
controles directiva de grupos restringidos, según la opción de directiva de grupos restringidos que elija. La única excepción a esto es que los
Puede configurar los ajustes de grupos restringidos accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración Configuración de Windows \ seguridad \ Grupos restringidos
de grupo.
Directivas de cuenta
La configuración de directiva en virtud de pólizas de cuenta se aplican a nivel de dominio. Un Server 2012 dominio de Windows puede tener varias directivas
de bloqueo de cuenta y contraseña, que se llaman de grano fino políticas de contraseñas. Puede aplicar estos múltiples políticas para un usuario o para un
Nota: Si es necesario aplicar una política de contraseñas de grano fino a los usuarios de una unidad organizativa, se puede utilizar una
grupo sombra, que es un grupo de seguridad global que está lógicamente asignada a una unidad organizativa.
Puede configurar los ajustes de directivas de cuenta accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Directivas de cuenta Configuración de Windows \ Configuración de seguridad \
20410C: Instalación y configuración de Windows Server ® 2012 12-13
Política de contraseñas
La clave debe cumplir • Requiere que las contraseñas: Habilitar esta configuración. Estos requisitos de
los requerimientos de complejidad pueden ayudar a asegurar una contraseña
• Ser al menos tan larga como se especifica por la Longitud
complejidad segura. Las contraseñas seguras son más difíciles de
mínima de contraseña, con un mínimo de 3 caracteres Si
descifrar que los que contienen letras o números simples.
la longitud mínima de la contraseña se establece en 0.
Instruir a los usuarios utilizar frases de paso para crear
contraseñas largas que son fáciles de recordar.
• Contener una combinación de al menos tres
de los siguientes tipos de caracteres: letras
mayúsculas, letras minúsculas, números y
símbolos (signos de puntuación).
usuario.
Hacer cumplir el Evita que los usuarios crear una nueva contraseña El mayor número asegura una mejor seguridad. El valor por
historial de que es la misma que la contraseña actual o una defecto es 24. Cómo hacer valer el historial de contraseñas
contraseñas contraseña utilizada recientemente. garantiza que las contraseñas que han sido comprometidos
no se utilizan repetidamente.
duración máxima de Establece el número máximo de días que una contraseña El valor por defecto es de 42 días. Ajuste del número de días
contraseña es válida. Después de este número de días, el usuario demasiado altas proporciona hackers con una ventana de
tendrá que cambiar la contraseña. oportunidad extendida a agrietarse o la fuerza bruta la
contraseña. Ajuste del número de días demasiado bajas
frustra a los usuarios que tienen que cambiar sus
contraseñas con demasiada frecuencia, y podría dar lugar a
llamadas más frecuentes a la mesa de ayuda de TI.
la edad mínima de la Establece el número mínimo de días que deben pasar Fijar la edad mínima de la contraseña de al menos 1 día.
contraseña antes de una contraseña puede ser cambiada. Al hacerlo, se requiere que el usuario sólo puede cambiar
su contraseña una vez al día. Esto ayuda a cumplir otros
ajustes. Por ejemplo, si se recuerdan los últimos cinco
contraseñas, esto asegura que al menos cinco días
deben pasar antes de que el usuario puede volver a
utilizar la contraseña original. Si la edad mínima de la
contraseña se establece en 0, el usuario puede cambiar
su contraseña de seis veces en el mismo día y comenzar
a volver a utilizar la contraseña original en el mismo día.
12-14 Protección de los servidores de Windows utilizando objetos de directiva de grupo
longitud Especifica el número mínimo de caracteres que una Establecer la longitud de entre 8 y 12 caracteres
mínima de contraseña puede tener. (siempre que también cumplen con los requisitos de
contraseña complejidad). Una contraseña más larga es más
difícil de descifrar que una contraseña más corta,
suponiendo que la contraseña no es una palabra
común.
Almacenar Proporciona soporte para aplicaciones que necesitan saber No utilice esta configuración a menos que utilice una aplicación
contraseñas una contraseña de usuario para la autenticación. que lo requiera. Al habilitar esta opción disminuye la seguridad
usando cifrado de las contraseñas almacenadas.
reversible
La directiva de bloqueo
Las políticas de bloqueo de cuenta que se pueden configurar se enumeran en la siguiente tabla.
Umbral de Especifica el número de intentos de acceso fallidos que Un ajuste de 5 permite un error del usuario razonable, y los
bloqueo de se permiten antes de que la cuenta está bloqueada. límites repite los intentos de inicio de sesión con fines
cuenta maliciosos. Tenga en cuenta que el umbral puede tener un
Por ejemplo, si el umbral se establece en 3, la cuenta está impacto negativo por lo que permite un ataque de
bloqueada después de que un usuario introduce información denegación de servicio en objetos de usuario,
de acceso incorrecto tres veces. especialmente a través de Internet. Debido a esto, algunas
organizaciones van hacia un umbral más alto.
Duración del Le permite especificar un período de tiempo, en minutos, Después de que el umbral se ha alcanzado y la cuenta está
bloqueo de después de lo cual la cuenta se desbloquea y se reanuda el bloqueada, la cuenta debe permanecer bloqueado el tiempo
cuenta funcionamiento normal automáticamente. Si especifica 0, la suficiente para bloquear o disuadir cualquier ataque potencial,
cuenta está bloqueada indefinidamente hasta que un pero lo suficientemente corta como para no interferir con la
administrador desbloquee manualmente. productividad para los usuarios legítimos. Una duración de 30
a 90 minutos funciona bien en la mayoría de las situaciones.
Restablecer la cuenta Define un marco de tiempo para contar los intentos de entrada El uso de un período de tiempo entre 30 y 60 minutos es
de bloqueos después incorrectos. Si se establece la directiva durante una hora, y el generalmente suficiente para disuadir a los ataques
de umbral de bloqueo de cuenta está configurada por tres intentos, automatizados y manuales intentos por un atacante para
el usuario puede introducir la información de inicio de sesión adivinar una contraseña.
incorrecto tres veces en una hora. Si entran información
incorrecta dos veces, pero consiguió lo correcto tercera vez, el
contador se restablecerá después de que haya transcurrido una
hora (desde la primera entrada incorrecta) de modo que el
futuro intentos fallidos volverá a empezar a contar en uno.
20410C: Instalación y configuración de Windows Server ® 2012 12-15
política de Kerberos
Esta política es para las cuentas de usuario de dominio, y determina los ajustes relacionados con Kerberos, tales como tiempos de vida de billetes y su aplicación.
• SMC utilizar para mantener el cumplimiento e informar sobre el cumplimiento. Muchas organizaciones respetan las normas específicas de la industria o
del gobierno y deben someterse a pruebas de conformidad periódicas. SMC se puede utilizar para validar que los ordenadores están configurados para
su cumplimiento, especialmente cuando se combina con System Center 2012 R2 Configuration Manager, que tiene un componente de gestión de la
configuración deseada (DCM) que se puede utilizar para la recopilación de información de cumplimiento. En este escenario, una línea de base a partir
de SMC puede ser exportado y utilizado en System Center Configuration Manager 2012 R2.
• SMC utilizar para configurar equipos para las políticas de cumplimiento o de seguridad. SMC se puede utilizar para minimizar el esfuerzo administrativo
cuando la configuración de equipos para las políticas de cumplimiento o de seguridad. SCM puede exportar un GPO que luego puede ser vinculada a
• SMC utilizar para mantener la configuración a través de dos ambientes independientes. Varios GPO se pueden importar en SMC y
luego utilizan para comparar y / o la fusión de configuración a través de entornos. Esto es útil cuando una organización tiene un
entorno de producción y un entorno de desarrollo (o múltiples iteraciones de cada entorno).
• SMC utilizar para aprender sobre Microsoft recomienda la configuración de seguridad. Las guías de seguridad incorporadas son en profundidad y
productos específicos. Contienen información y recomendaciones pertinentes que ayudará a una organización a entender los riesgos y la
mitigación. Pueden ser utilizados para formular o actualizar las políticas de seguridad y asegurarse de que los equipos de TI tienen los
Visión general
R2.
12-16 Protección de los servidores de Windows utilizando objetos de directiva de grupo
• Las líneas de base. Las líneas de base se basan en las guías de seguridad de Microsoft y las mejores prácticas; que son la base para la implementación de
nuevos ajustes. Los ajustes iniciales son específicos de una versión del sistema operativo, una versión específica del producto, o un componente específico
y pueden ser descargados o importados en SMC en forma de archivos .cab como nuevos estén disponibles. Las líneas de base se pueden comparar con la
configuración existente, o la configuración predeterminada. SMC proporciona una interfaz para ver todos los ajustes. Los ajustes se pueden personalizar y
• guías de seguridad. Las guías de seguridad de Microsoft son guías para las principales versiones de sistemas operativos y versiones de
productos. Contienen instrucciones y recomendaciones para ayudar a proteger el medio ambiente. Algunas de las guías que se incluyen
con SMC son las guías para Windows ® 7 SP1, Internet Explorer 10, Microsoft Exchange Server y Windows Server 2012.
• Compatibilidad con la implementación de políticas para standalone ordenadores. Además de la automatización del despliegue de la configuración de los
equipos unidos a un dominio mediante Directiva de grupo, SCM ayuda a minimizar la sobrecarga administrativa de asegurar equipos unidos, no es de
dominio también.
• copias de seguridad de importación de GPO existentes. Existentes GPO con copia de seguridad se pueden importar en SMC para la comparación con las líneas de base. A
continuación, puede personalizar la configuración antes de exportar la nueva configuración de una copia de seguridad de GPO.
• Microsoft Visual C ++ 2010 x86. El instalador viene preenvasado con SMC 3.0. Si no está ya instalado en el equipo de destino,
entonces el instalador SMC le pide que lo instale.
• Microsoft SQL Server 2008 (incluyendo la edición Express) o posterior instalado en el equipo de destino. Si SQL no está instalada, el
instalador SMC instalará Microsoft SQL Server 2008 Express.
• Microsoft Word y Microsoft Excel. Aunque no es necesario, como parte de la instalación de SMC, una parte del material de soporte y
guías requieren Word o Excel. En el caso de documentos de texto, WordPad (instalado por defecto en Windows) puede ser suficiente,
pero puede ser una experiencia degradado. Sin embargo, todos los documentos se pueden guardar en otro lugar y abrieron desde otro
equipo que ya tiene Word y Excel.
20410C: Instalación y configuración de Windows Server ® 2012 12-17
Guión
Su administrador le ha dado algunos parámetros relacionados con la seguridad que necesitan ser implementada en todos los servidores miembros. También es necesario poner en
práctica la auditoría del sistema de archivo de un recurso compartido de archivos utilizado por el departamento de marketing. Por último, es necesario implementar la auditoría de
objetivos
Después de completar esta práctica de laboratorio, usted será capaz de:
configuración de laboratorio
Contraseña w0rd Pa $$
Para este laboratorio, que va a utilizar el entorno de máquina virtual disponible. Antes de comenzar la práctica de laboratorio, debe realizar los siguientes
pasos:
1. En el equipo host, haga clic Comienzo, apunta a Herramientas administrativas, y haga clic Administrador de Hyper-V.
2. En Hyper-V ® Manager, haga clic 20410C-LON-DC1, y en el panel Acciones, haga clic Comienzo.
o Contraseña: w0rd Pa $$
6. Repetir los pasos 2 y 3 para 20410C-LON-CL1. No inicia sesión para LON-CL1 hasta que lo indique.
12-18 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Guión
A. Datum utiliza el grupo Administradores del equipo para proporcionar a los administradores con permisos para administrar servidores miembro. Como parte
del proceso de instalación de un nuevo servidor, se añade el grupo Administradores del equipo desde el dominio al grupo de administradores locales en el
nuevo servidor. Recientemente, este importante paso se perdió cuando se configuran varios servidores miembros nuevos. Para asegurar que el grupo
Administradores del equipo siempre se da permiso para administrar los servidores miembro, su gerente le ha pedido para crear un GPO que establece el
número de miembros del grupo de administradores locales en los servidores miembro para incluir los administradores del servidor del ordenador. Este GPO
1. Crear una unidad organizativa Servidores miembro (OU) y mover servidores en ella.
3. Crear un objeto miembro de seguridad del servidor de directivas de grupo Ajustes (GPO) y vincularlo con el miembro
4. Configurar la pertenencia al grupo de administradores locales incluyen Administradores del servidor y dominio
Administradores.
6. Modificar la configuración de servidores miembro de seguridad GPO para quitar usuarios de Permitir inicio de sesión local.
7. Modificar la configuración de servidores miembro de seguridad GPO para activar el Control de cuentas de usuario: aprobación de administrador
• Tarea 1: Crear una unidad organizativa Servidores miembro (OU) y mover servidores en ella
• En LON-DC1, en UO Servidores miembro, crear un nuevo grupo de seguridad global llamada Los administradores del servidor.
• Tarea 3: Crear un objeto miembro de seguridad del servidor de directivas de grupo Ajustes (GPO) y vincularlo a los servidores
miembro OU
2. En la Consola de administración de directivas de grupo, en la directiva de grupo contenedor de objetos, crear un nuevo GPO con un nombre Configuración de
3. En la Consola de administración de directivas de grupo, vincular el Ajustes miembro de seguridad del servidor a UO Servidores miembro.
• Tarea 4: Configurar la pertenencia al grupo de administradores locales para incluir administradores de servidores y
administradores de dominio
2. Para la directiva de dominio predeterminada, abra la ventana Editor de administración de directivas de grupo.
20410C: Instalación y configuración de Windows Server ® 2012 12-19
3. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración Configuración de
4. Añade el Los administradores del servidor y Administradores de dominio grupos a la administradores grupo.
locales
1. Cambiar a LON-SVR1.
Gpupdate / force
3. Abierto Administrador del servidor, abrir la Administración de equipos consola y, a continuación, expanda Los usuarios locales y
Grupos.
4. Confirmar que el administradores grupo contiene tanto Los administradores de dominio \ adatum y
• Tarea 6: modificar la configuración de servidores miembro de seguridad GPO para quitar usuarios de Permitir inicio de sesión
local
1. En LON-DC1, en la Consola de administración de directivas de grupo, edite el Ajustes miembro de seguridad del servidor
GPO.
2. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de Windows \
3. configurar Permitir el inicio de sesión local para Administradores de dominio y administradores Los grupos de seguridad.
• Tarea 7: modificar la configuración de servidores miembro de seguridad GPO para activar el Control de cuentas de usuario:
2. Habilitar Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta de administrador integrada.
• Tarea 8: Verificar que un usuario no administrativo no puede iniciar sesión en un servidor miembro
1. Cambiar a LON-SVR1.
2. Abrir una ventana de Windows PowerShell, y en el símbolo de Windows PowerShell, el tipo siguiente
mando:
Gpupdate / force
3. Salir de LON-SVR1.
4. Intenta iniciar sesión en LON-SVR1 como Adatum \ Adam con la contraseña Pa $$ w0rd.
5. Para prepararse para el siguiente ejercicio, la sesión de LON-SVR1, y vuelve a acceder a LON-SVR1 como
resultados: Después de completar este ejercicio, usted debe haber utilizado la directiva de grupo para asegurar los servidores miembros.
Guión
El gerente del departamento de marketing tiene la preocupación de que no hay manera de rastrear quién está accediendo a archivos que se encuentran en el punto
compartido departamental. Su gerente ha explicado que sólo los usuarios con permisos están autorizados a acceder a los archivos. Sin embargo, el director del
departamento de marketing le gustaría probar la grabación de quién está accediendo a archivos específicos.
Su administrador le ha pedido para habilitar la auditoría para el sistema de archivos que se encuentra en el recurso compartido de archivos departamento de marketing, y
para revisar los resultados con el gerente del departamento de marketing. Las principales tareas para este ejercicio son los siguientes:
1. Modificar la configuración de servidores miembro de seguridad GPO para permitir el acceso a objetos de auditoría.
• Tarea 1: modificar la configuración de servidores miembro de seguridad GPO para permitir el acceso a objetos de auditoría
1. Cambiar a LON-DC1.
2. En la Consola de administración de directivas de grupo, edite el Ajustes miembro de seguridad del servidor GPO.
3. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de Windows \
1. Cambiar a LON-SVR1.
3. Configurar el marketing carpeta con permisos de lectura / escritura de uso compartido para los usuarios Adán.
• Tarea 3: Habilitar la auditoría en la carpeta de marketing para los usuarios del dominio
o Tipo: Todos
gpupdate / force
gpupdate / force
4. Salir de LON-CL1, y luego iniciar sesión de nuevo como Adatum \ Adam con la contraseña Pa $$ w0rd.
7. Salir de LON-CL1.
o ID de evento: 4663
resultados: Después de completar este ejercicio, debe tener acceso a archivo de acceso sistema de auditoría.
Guión
Después de una revisión de seguridad, el comité de política de TI ha decidido iniciar el seguimiento de todos los inicios de sesión de usuario en el dominio. Su
administrador le ha pedido para habilitar la auditoría de inicios de sesión de dominio y verificar que se está trabajando.
2. Ejecutar GPUpdate.
2. En LON-DC1, iniciar Administrador del servidor, y luego desde el Administrador del servidor, inicio GPMC.
4. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de Windows \
5. Habilitar Auditar sucesos de inicio de sesión con ambos Éxito y Fracaso ajustes.
gpupdate / force
Nota: Esta contraseña es incorrecta intencionalmente para generar una entrada de registro de seguridad que muestra que una señal
3. Revisar los registros de eventos para el siguiente mensaje: “ Identificador de evento 4771 Kerberos la autenticación previa
Nota: Esta contraseña es correcta, y usted debería ser capaz de iniciar sesión con éxito como Adán.
3. Revisar los registros de eventos para el siguiente mensaje: “ Identificador de evento 4624 se hizo un recuento con éxito
resultados: Después de completar este ejercicio, usted debe haber habilitado la auditoría de inicio de sesión de dominio.
20410C: Instalación y configuración de Windows Server ® 2012 12-23
• Para prepararse para la próxima laboratorio, dejar las máquinas virtuales que se ejecutan.
Pregunta: ¿Qué pasa si configura el grupo Administradores del equipo, pero no el grupo de administradores de
dominio, a ser miembro del grupo Administradores local en todos los equipos de un dominio?
Pregunta: ¿Por qué necesita para no permitir inicio de sesión local en algunos equipos?
Pregunta: ¿Qué pasa cuando un usuario no autorizado intenta acceder a una carpeta que ha habilitado la auditoría
para ambos intentos de acceso exitosos y no exitosos?
Pregunta: ¿Qué ocurre cuando se configura la auditoría de inicios de sesión de dominio para ambos intentos de
conexión con y sin éxito?
12-24 Protección de los servidores de Windows utilizando objetos de directiva de grupo
Lección 3
Software restringiendo
Los usuarios necesitan tener acceso a las aplicaciones que ayudan a hacer su trabajo. Sin embargo, las aplicaciones innecesarios o no deseados a
menudo se instalan en los equipos cliente, ya sea intencionada o con fines maliciosos o no comerciales. el software no compatible o no utilizados no
se mantiene o asegurado por los administradores, y podría ser utilizado como punto de entrada para los atacantes obtener acceso no autorizado o
difundir virus informáticos. En consecuencia, es de suma importancia para usted para asegurarse de que sólo el software necesario se instala en
todos los equipos de la organización. También es vital que evitar que el software se ejecute de que no está permitido o que ya no se usa o
apoyados.
Objetivos de la lección
• Explica cómo usar las directivas de restricción de software (SRP) para restringir software no autorizado que se ejecutan en servidores y clientes.
• Describir las reglas de AppLocker y cómo utilizarlos para restringir el software no autorizado que se ejecutan en servidores y clientes.
Reglas
Existen normas que regulan SRP responde a una aplicación que se está ejecutando o instalado. Las reglas son las construcciones de clave dentro de una SRP, y un
grupo de reglas juntos determina cómo una SRP responde a las aplicaciones que están en ejecución. Las reglas pueden basarse en uno de los siguientes criterios que
• Certificado. Un certificado de editor de software que se utiliza para firmar digitalmente un archivo.
Niveles de seguridad
Cada SRP aplicada se le asigna un nivel de seguridad que rige la forma en que el sistema operativo reacciona cuando la aplicación que se especifica en la
regla se ejecuta. Los tres niveles de seguridad disponibles son los siguientes:
• No permitido. El software identificado en la regla no se ejecutará, independientemente de los derechos de acceso del usuario.
• Usuario Básico. Permite que el software identificado en la regla se ejecute como un estándar, el usuario no administrativo.
• Irrestricto. Permite que el software identificado en la regla funcione sin distinción alguna fundada en SRP.
El uso de estas tres opciones, hay dos formas principales para utilizar SRP:
• Si un administrador tiene una lista completa de todo el software que se puede ejecutar en los clientes, el valor predeterminado de nivel de seguridad se puede
configurar en No permitido. Todas las aplicaciones que se pueden ejecutar pueden ser identificados en las reglas de SRP que se aplican ya sea básica del usuario
o sin restricciones nivel de seguridad para cada aplicación individual, dependiendo de los requisitos de seguridad.
• Si un administrador no tiene una lista completa del software que se puede ejecutar en los clientes, el valor predeterminado de nivel de seguridad se puede
configurar a usuario sin restricción o básica, dependiendo de los requisitos de seguridad. Todas las aplicaciones que no se pueden ejecutar a continuación,
se pueden identificar en las reglas de SRP, que utilizaría una configuración de nivel de seguridad No permitido.
Puede configurar los ajustes para las PRC accediendo a la siguiente ubicación de la GPMC:
• Configuración del equipo \ Directivas \ Configuración de Windows \ Configuración de seguridad \ Políticas de restricción de software
¿Qué es AppLocker?
AppLocker también contiene opciones para el seguimiento o control de la aplicación de las reglas. AppLocker puede ayudar a las organizaciones a
prevenir software sin licencia o malicioso se ejecute, y puede restringir selectivamente ActiveX ®
controles que se instalen. También puede reducir el coste total de propiedad, garantizando que las estaciones de trabajo están estandarizados en toda
la empresa, y que los usuarios están ejecutando sólo el software y las aplicaciones que son aprobados por la empresa.
Utilizando la tecnología AppLocker, las empresas pueden reducir los administradores generales y administrativos de ayuda controlar cómo los usuarios pueden acceder y
utilizar los archivos, como los archivos .exe, scripts, archivos de Windows Installer (.msi y .msp), DLLs, y las aplicaciones empaquetadas (aplicaciones Windows Store ).
12-26 Protección de los servidores de Windows utilizando objetos de directiva de grupo
• No se le permite ser utilizado en la empresa. Por ejemplo, un software que puede afectar la productividad del negocio de los empleados, tales como
software de redes sociales, o software que transmite archivos de vídeo o imágenes que se utilizan grandes cantidades de ancho de banda y espacio
en disco.
• Ya no se usa o ha sido reemplazado por una versión más reciente. Por ejemplo, el software que ya no se mantienen, o para
las que han expirado.
• Ya no se admite en la empresa. Software que no se actualiza con las actualizaciones de seguridad podría suponer un riesgo para la seguridad.
• Configuración del equipo \ Directivas \ Configuración Políticas de Control de Configuración de Windows \ Seguridad \ Application
Nota: AppLocker utiliza el servicio de identidad de aplicación para verificar los atributos de un archivo. Este servicio debe estar
configurado para iniciarse automáticamente en cada equipo donde se aplicará AppLocker. Si el servicio de identidad de la aplicación no se
Lectura adicional: Para obtener más información acerca de AppLocker, vea Introducción a AppLocker en
http://go.microsoft.com/fwlink/?LinkID=266745.
Por defecto, no se han definido las directivas de AppLocker, lo que significa que no
configurar reglas predeterminadas para cada colección de reglas. Las reglas predeterminadas aseguran que las aplicaciones en los directorios Archivos de programa y
Windows se pueden ejecutar, y todas las aplicaciones se pueden ejecutar para el grupo de administradores. Las reglas predeterminadas deben estar habilitadas si se va a
poner en práctica las directivas de AppLocker, ya que estas aplicaciones son necesarias para los sistemas operativos Windows para funcionar y operar normalmente.
Permitir y Denegar se descarta acciones que permiten o denegar la ejecución de aplicaciones en base a una lista de aplicaciones que se pueden configurar. Permitir la
acción sobre las reglas limita ejecución de aplicaciones a una lista permitida de aplicaciones y bloquea todo lo demás. La acción Denegar en reglas adopta el enfoque
opuesto y permite la ejecución de cualquier aplicación excepto los relativos a una lista de aplicaciones denegadas. Estas acciones también proporcionan un medio
Cuando directiva de AppLocker se establece en cumplir, las normas se aplican y todos los eventos son auditados. Cuando directiva de AppLocker se establece en Solo
auditoría, las reglas se evalúan y eventos se escriben en el registro de AppLocker, pero no tiene lugar la ejecución. Mediante el uso de la Auditoría Sólo el
establecimiento, los administradores pueden recopilar información acerca de las aplicaciones que están en ejecución, entender qué aplicaciones no se ejecutarán
cuando se utiliza la aplicación, y pueden ver las consecuencias de la aplicación de AppLocker en los usuarios finales.
• Crear un GPO para hacer cumplir las reglas de AppLocker ejecutables por defecto.
Pasos de demostración
Crear un GPO para hacer cumplir las reglas de AppLocker ejecutables por defecto
3. editar el WordPad Restricción de Política Configuraciones de seguridad mediante el uso de AppLocker para crear un nuevo
Regla ejecutable.
5. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración Políticas de
7. En la ventana Editor de administración de directivas de grupo, vaya a Configuración del equipo \ Directivas \ Configuración de seguridad
8. configurar Propiedades de identidad de la aplicación con Definir esta configuración de directiva, y Seleccionar servicio
Adatum.com dominio.
2. Abra la ventana de símbolo, el tipo de comando gpupdate / force y luego presione Intro.
2. En la ventana de símbolo del sistema, escriba gpupdate / force y luego presione Intro. Espere a que la política de
actualizar.
Lección 4
Configuración de Firewall de Windows con seguridad avanzada
Firewall de Windows con seguridad avanzada es una herramienta importante para mejorar la seguridad de Windows Server 2012. Este complemento ayuda
a prevenir varios problemas de seguridad diferentes, tales como el escaneo de puertos o malware. Firewall de Windows con seguridad avanzada tiene
varios perfiles de cortafuegos, cada uno de los cuales aplica la configuración típicas de diferentes tipos de redes. Puede configurar manualmente las reglas
de Firewall de Windows en cada servidor, o configurar de forma centralizada mediante Directiva de grupo.
Objetivos de la lección
Las reglas de salida de control de comunicación que se inicia por el ordenador anfitrión, y está destinado para un dispositivo o equipo de la red. De
manera predeterminada, se permite que toda la comunicación saliente excepto el tráfico que está bloqueado explícitamente por una regla de
salida. Si decide bloquear toda la comunicación saliente excepto el tráfico que se permite de forma explícita, debe catalogar cuidadosamente el
software que se puede ejecutar en ese equipo y la comunicación de red requerida por dicho software.
Puede crear reglas de entrada y salida basada en el protocolo de datagramas de usuario (UDP) y los puertos TCP, así como otros protocolos.
También puede crear reglas de entrada y salida que permiten un acceso específico a la red ejecutable, sin importar el número de puerto que se
está utilizando.
20410C: Instalación y configuración de Windows Server ® 2012 12-29
Utiliza reglas de seguridad de conexión para configurar IPsec para Windows Server 2012. Cuando se configuran estas reglas, se puede
autenticar la comunicación entre ordenadores, y luego usar esa información para crear reglas de cortafuegos basados en cuentas de usuario y
equipo específicos.
Firewall de Windows con seguridad avanzada es un consolas de administración de Microsoft (MMC) complemento que le permite realizar una
configuración avanzada de Firewall de Windows.
Firewall de Windows en Windows 8 y Windows Server 2012 proporciona las siguientes características:
Puede configurar las opciones de Firewall de Windows en cada equipo individualmente, o accediendo a la siguiente ubicación de
la GPMC:
• Configuración del equipo \ Directivas \ Configuración Configuración de Windows \ Seguridad \ Firewall de Windows con seguridad avanzada
Nota: Windows Server 2012 introduce la opción adicional para administrar Firewall de Windows mediante la interfaz
de línea de comandos de Windows PowerShell.
Perfiles de firewall
específico, y le permite definir una red, ya sea como una red de dominio,
una red pública o una red privada. Con el Firewall de Windows con
cada tipo de red; cada conjunto de configuración se conoce como una perfil
Perfil Descripción
Público Utilizar cuando se está conectado a una red pública no es de confianza. Aparte de redes de dominio, todas las
redes se clasifican como público. Por defecto, el perfil público (que es el más restrictivo) se utiliza en Windows
Vista, Windows 7 y Windows 8.
Una red se clasifica como privada sólo si el administrador o un programa identifica la red como privado. Redes
marcados como doméstica o de trabajo en Windows Vista, Windows 7 y Windows 8 se agregan al perfil privado.
Dominio Se utiliza cuando el equipo forma parte de un dominio de sistema operativo de Windows. Los sistemas operativos Windows
identifican automáticamente redes en las que se puede autenticar el acceso al controlador de dominio. El perfil de dominio
se asigna a estas redes, y este ajuste no se puede cambiar. No hay otras redes pueden ser colocados en esta categoría.
Windows Server 2012 permite que varios perfiles de cortafuegos para ser activos en el servidor de forma simultánea. Esto significa que un
servidor multitarjeta que está conectado a la red interna y la red perimetral puede aplicar el perfil de servidor de seguridad de dominio de la red
interna, y el perfil de servidor de seguridad pública o privada a la red perimetral.
• Aislamiento. Una regla de aislamiento aísla los equipos mediante la restricción de las conexiones que se basan en las credenciales tales como la pertenencia al
dominio o estado de salud. Las reglas de aislamiento permiten implementar una estrategia de aislamiento para los servidores o dominios.
• Exención de autenticación. Se puede utilizar una exención de autenticación para designar las conexiones que no requieren autenticación.
Puede designar a los ordenadores de una dirección IP específica, un rango de direcciones IP, una subred o un grupo predefinido como una
puerta de enlace.
• Servidor a servidor. Una regla de servidor a servidor protege las conexiones entre ordenadores específicos. Este tipo de regla general,
protege las conexiones entre los servidores. Al crear la regla, especifique los puntos finales de la red entre los cuales se protegen las
comunicaciones. A continuación, designar a los requisitos y la autenticación que desea utilizar.
• Túnel. Con una regla de túnel, puede proteger las conexiones entre ordenadores de puerta de enlace. Normalmente, se utiliza una regla de túnel
• Personalizado. Use una regla personalizada para autenticar las conexiones entre dos puntos finales cuando no se puede establecer reglas de autenticación
que necesita mediante el uso de las otras reglas disponibles en la nueva conexión Asistente para reglas de seguridad.
Las reglas de firewall permiten el tráfico a través del firewall, pero no aseguran que el tráfico. Para proteger el tráfico con IPsec, puede crear reglas de
seguridad de conexión. Sin embargo, las reglas de seguridad de conexión no permiten el tráfico a través de un cortafuegos. Debe crear una regla de
firewall para hacer esto. reglas de seguridad de conexión no se aplican a los programas y servicios; en cambio, se aplican entre los equipos que componen
siguientes maneras:
solución de problemas.
• El uso de la directiva de grupo. La mejor forma de distribuir las reglas del cortafuegos es mediante el uso de directivas de grupo. Después de crear y
probar un GPO con las reglas de firewall necesarias, puede implementar las reglas de firewall con rapidez y precisión a un gran número de equipos.
• Exportación e importación de reglas de firewall. Firewall de Windows con seguridad avanzada también le da la opción de importar y exportar las reglas del
cortafuegos. Puede exportar las reglas de firewall para crear una copia de seguridad antes de configurar manualmente las reglas del firewall durante la resolución
de problemas.
Nota: Al importar las reglas del cortafuegos, que son tratados como un conjunto completo, y sustituyen a todas las reglas de firewall
configuradas actualmente.
12-32 Protección de los servidores de Windows utilizando objetos de directiva de grupo
• Crear una regla de seguridad de conexión para que el tráfico se autentica al host de destino.
Pasos de demostración
2. En LON-CL2, mesa de ping 10.10.0.11 y observe que los tiempos de ping cabo.
• En LON-SVR2, crear una regla de seguridad de conexión a base de aislamiento a la autenticación tráfico entrante y solicitar
autenticación para el tráfico saliente.
v4 Validar ICMP
• En LON-CL2, mesa de ping 10.10.0.11.