Administración de

Sistemas Operativos
de Red

2

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
3

ÍNDICE
Presentación

5

Red de contenidos

6

Unidad de aprendizaje 1 Implementación del servicio FTP y RRAS
TEMA 1

: Servicio FTP

7

TEMA 2

: Servicio RRAS

15

TEMA 3

: Traducción de Dirección de Red

31

Unidad de aprendizaje 2 Redes Virtuales Privadas
TEMA 4

: Redes Virtuales Privadas

37

Unidad de aprendizaje 3 Suite IPSec
TEMA 5

: IPSec

57

Unidad de aprendizaje 4 Fundamentos de Seguridad de Red
TEMA 6

: Implementación de seguridad con GPOAccelerator

100

TEMA 7

: Implementación de Microsoft Baseline Security Analyzer

112

TEMA 8

: Asegurando los servidores Web

120

TEMA 9

: Administración de Windows Server Update Service

147

Unidad de aprendizaje 5 Terminal Server
TEMA 10

: Terminal Server

178

Unidad de aprendizaje 6 Administración Avanzada del Directorio Activo
TEMA 11

: Servidor RODC

184

TEMA 12

: Introducción a Windows Server Core

195

CIBERTEC

CARRERAS PROFESIONALES

4

CARRERAS PROFESIONALES
CIBERTEC

El manual para el curso ha sido diseñado bajo la modalidad de unidades de aprendizaje. Por ello. Por lo mismo. que debe alcanzar al final de la unidad. Brinda un conjunto de conocimientos teóricos y prácticos que permite a los alumnos administrar la plataforma Windows Server 2008. El curso es. quien lo acompañará en el desarrollo del presente manual. el cual será ampliamente desarrollado. las que se desarrollan durante semanas determinadas. el tema tratado. CIBERTEC CARRERAS PROFESIONALES . es decir. práctico: construido como un instrumento de trabajo.SISTEMAS OPERATIVOS LABORATORIO 5 PRESENTACIÓN Sistemas Operativos es un curso que pertenece a la línea de infraestructura TI y se dicta en las carreras de Redes y Comunicaciones. y los contenidos. que le permitirán reforzar lo aprendido en la clase. que debe desarrollar. Por último. hallará los logros. encontrará las actividades que deberá desarrollar en cada sesión. a fin de obtener la experiencia. los subtemas. contará con el apoyo y guía del profesor. práctica y suficiencia teórica que se necesita para un eficiente desenvolvimiento profesional. la participación activa de los alumnos es fundamental durante el desarrollo de este curso. eminentemente. En cada una de ellas.

6 RED DE CONTENIDOS Sistemas Operativos Acceso Remoto y Seguridad de la Red Implementación del Servicio FTP y RRAS Servicio FTP Servicio RRAS Redes Privadas Virtuales NAT Proteger el Tráfico de Red mediante IPSec IPSec Sistemas Operativos Fundamentos de Seguridad de Red Terminal Server Administración Avanzada del Directorio Activo Administración de WSUS Implementación de Seguridad GPOAccelerator Implementación de MBSA CARRERAS PROFESIONALES CIBERTEC Asegurando Servidores Web Terminal Server Servidor RODC Servidor Core .

podrán implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. • Al término de la unidad. • Configuran el Servidor FTP anónimo y autentificado. los alumnos. podrán transferir archivos. los alumnos.SISTEMAS OPERATIVOS LABORATORIO 7 UNIDAD DE APRENDIZAJE 1 TEMA 1 IMPLEMENTACIÓN DEL SERVICIO FTP Y RRAS LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. implementar ruteo dentro de la red. TEMARIO • Servicio FTP • Servicio RRAS • Traducción de Direcciones de Red ACTIVIDADES PROPUESTAS Los alumnos: • Eligen que tipo de servidor FTP deben implementar en la red. CIBERTEC CARRERAS PROFESIONALES . y brindar acceso a Internet usando el Servidor Windows 2008. • Descargan archivos desde el Servidor SFTP usando clientes FTPs.

Los servidores FTP anónimos ofrecen sus servicios. Usualmente. Por CARRERAS PROFESIONALES CIBERTEC . sólo envía y recibe los archivos a los equipos remotos.8 1. de forma libre. no nos gustaría que cualquiera pudiese acceder a ellas para cambiarlas o eliminarlas. 1. El FTP Autenticado se utiliza para transferir archivos al servidor FTP. sin que el administrador deba crear cuentas para cada uno. Los equipos remotos se pueden conectar utilizando el cliente FTP y leer archivos del servidor FTP. En general.2 Servidor FTP autenticado. Ambos computadores deben soportar sus respectivos roles FTP: uno debe ser el cliente FTP y el otro debe ser un servidor FTP. el nombre de usuario para conectarse de forma anónima es "anonymous". Pero. puede configurar IIS para que actúe como un servidor FTP si está alojando sitios Web en el equipo y desea que usuarios remotos puedan actualizar el contenido de sus Sitios Webs. ni contraseña que lo identifiquen. copiar o enviar archivos al servidor FTP. si queremos actualizar páginas webs de un Sitio Web. Esto permite a otros equipos conectarse al servidor y transferir archivos desde o hacia el servidor FTP.2. un servidor FTP no ejecuta las páginas Web. por otro lado.1 Servidor FTP anónimo Los Servidores FTP anónimos le permiten al usuario ingresar al servidor FTP sin tener una cuenta creada en el servidor. sin necesidad de una cuenta de usuario. 1. un servidor Web) en que se puede comunicar con él mediante un protocolo de Internet. hacerlos públicos o privados. Es una forma cómoda de que múltiples usuarios puedan acceder a los archivos del FTP. Por ejemplo. habría que enviarlas usando el servicio FTP. que forma parte del pila TCP/IP.1 WINDOWS 2008 FTP SERVER Este servidor FTP trabaja usando el protocolo FTP. Por ejemplo. entrar a un servidor FTP de forma anónima tiene ciertas limitaciones (menos privilegios) que un usuario normal.2 TIPOS DE ACCESO AL SERVIDOR FTP 1. Por ejemplo. a cualquier usuario. que ejecuta el servicio FTP. y no se puede subir o modificar éstos. sólo se pueden descargar archivos. Un servidor FTP se asemeja a un servidor HTTP (es decir. diseñado para transferir archivos entre dos computadores en Internet.2. Puede configurar Internet Information Services (IIS) para funcionar como un servidor FTP. Sin embargo. enviar y recibir archivos hacia el servidor para luego. Los archivos se almacenan en el servidor FTP. SERVICIO FTP 1.

1. A los usuarios no se les permite desplazarse fuera de éste.5 3. 4.2 Descargue e instale el nuevo Servicio FTP desde http://www. este modo no habilita aislamiento de usuario FTP y funciona en todas las versiones anteriores de IIS.3. se requiere grandes cantidades de tiempo y de procesamiento. Todos los directorios particulares de los usuarios se encuentran debajo de un directorio raíz único FTP donde se coloca y donde se limita cada usuario a su directorio particular.3 TIPOS DE MODOS DEL SITIO FTP IIS introduce 3 modos para sitio FTP: 1.2 Modo de usuario con aislamiento Este modo autentifica a los usuarios contra cuentas locales o de dominio para que puedan tener acceso al directorio principal que coincide con su nombre de usuario.3 Modo de usuario con aislamiento integrado con el Directorio Activo Los usuarios aislados que utilizan Directorio Activo. Ejecute desde el símbolo del sistema el siguiente comando: net user /add jurbina P@ssw0rd net user /add dmartinez P@ssw0rd CIBERTEC CARRERAS PROFESIONALES . 2. que permite sesiones encriptadas entre el cliente FTP y el Servidor. FTP SERVER SOBRE SSL Microsoft ha creado un nuevo Servicio FTP que ha sido completamente reescrito para Windows Server 2008.3. En este tema vera como instalar el Servidor FTP. CONFIGURACIÓN DEL SERVIDOR FTP 7. autentifican sus credenciales de usuario contra un contenedor correspondiente del Directorio Activo.1 CREA 2 USUARIOS PARA HACER LAS PRUEBAS 1.1 Modo de usuario sin aislamiento No aísla usuarios.3. 1. Configurar el Site para usar SSL con la nueva herramienta administrativa IIS 7.5 CON AISLAMIENTO DE USUARIO SOBRE SSL.net 4.SISTEMAS OPERATIVOS LABORATORIO 9 eso el FTP autenticado. 1. Instale IIS 7.1. Este Servicio FTP incorpora nuevas características que permiten a los administradores publicar el contenido mucho mejor que antes y ofrece mayor seguridad para los administradores.0 Services manager. 3.0 y la consola Internet Information Services Manager. 3. solo permite el acceso por medio de un usuario y contraseña. Una de las características es FTP sobre Secure Sockets Layer (SSL). Configurar el Site FTP.iis. INSTALACIÓN DEL SERVIDOR FTP 7.

del menú Actions seleccione la opción Create Self-Signed CertificateSites. Inicie Internet Information Services 7. 2. 1.nps-01 y luego clic en Ok 4. Inicie Internet Information Services 7.10 4.3 CREA EL CERTIFICADO-AUTOFIRMADO SSL.2 CREA LA SIGUIENTE ESTRUCTURA DE DIRECTORIOS 4. 2. haga clic-derecho sobre Add FTP Site. 3. Despliegue el nodo del servidor. luego haga 2 clics en Server Certificates. Seleccione el servidor. CARRERAS PROFESIONALES CIBERTEC . seleccione Sites.4 CREA EL FTP SITE Y HABILITA SSL USANDO EL IIS 7.0 Manager. En la ventana Specify Friendly Name escriba el nombre del certificado srv.0 MANAGER.0 Manager. 1.

SISTEMAS OPERATIVOS LABORATORIO 11 3. 4. luego clic en Finish. 4. En la ventana Site Information escriba el nombre del FTP Site name y ubique el directorio FTP_Site. seleccione Allow SSL. CIBERTEC CARRERAS PROFESIONALES . en la opción SSL Certificate:. Seleccione el Site FTP Contoso. En la ventana Binding and SSL Settings. 1. seleccione Authentication Basic y en Authorization seleccione All Users con los permisos de Lectura y Escritura . luego clic en Next. en el panel de la derecha haga 2 clics en FTP User Isolation y configure las opciones que ve en la imagen. seleccione srv-nps-01 y luego clic en Next. En la ventana Authentication and Authorization Information. 5.5 Configura el aislamiento de usuario y la autorización de acceso para los usuarios Juan Urbina y Daniel Martinez.

2. Configure los siguientes datos: Host: srv-nps-01 Servertype: FTPES – FTP over explicit TLS/SSL User: jurbina Password: P@ssw0rd CARRERAS PROFESIONALES CIBERTEC . CONFIGURACIÓN DEL CLIENTE FTP FiLeZiLLA 1. haga clic en el menú File. seleccione Specified users y escriba jurbina. seleccione la regla y haga clic en Edit.12 2. haga clic en New Site y escribe jurbina. 3. Haga el mismo procedimiento para el usuario dmartinez. En la ventana Edit Allow Authorization Rule. seleccione Site Manager. en la ventana Site Manager. 5. Ejecute el programa FileZilla. Seleccione el directorio FTP de jurbina y luego clic en FTP Authorization Rules.

Haga clic en Connect y acepte el certificado digital.SISTEMAS OPERATIVOS LABORATORIO 13 3. CIBERTEC CARRERAS PROFESIONALES .

microsoft.com/kb/555018/en-us En esta página.  Los clientes FTPs pueden ser de modo gráfico o texto.  Para establecer una conexión con el Servidor FTP desde el símbolo del Sistema escribe FTP Dirección_IP.wikipedia. hallará información de los modos de aislamiento que soporta el Servidor FTP. hallará información de los tipos más comunes de FTP/SSL.  El Servidor FTP autenticado permite la descarga y envio de archivos.0 a la versión IIS 7. modo de usuario con aislamiento.org/wiki/FTPS En esta página. CARRERAS PROFESIONALES CIBERTEC . http://es.  Si desea saber más acerca de estos temas. y modo de usuario con aislamiento integrado al Directorio Activo.  El servidor FTP anónimo solo permite la descarga de archivos.14 Resumen  El Servidor FTP permite que los usuarios puedan transmitir de forma rápida información a través de la Internet.  Para implementar el Servidor FTP sobre SSL debe actualizar el IIS 7.5  El Servidor FTP sobre SSL sólo soporta clientes FTP de entorno gráfico.  El Servidor FTP de Microsoft soporta 3 tipos de modo de aislamiento: modo de usuario sin aislamiento. http://support. puede consultar las siguientes páginas.

los alumnos podrán implementar y configurar los Servicios FTP y RRAS usando el Servidor Windows 2008. • Al término de la unidad. TEMARIO • Windows 2008 FTP Server • Fundamentos del Servicio RRAS • Introducción a NAT ACTIVIDADES PROPUESTAS Los alumnos: • Instalan el servicio RRAS de Windows 2008 Server. • Deshabilitan el enrutamiento.SISTEMAS OPERATIVOS LABORATORIO 15 UNIDAD DE APRENDIZAJE 1 TEMA 2 IMPLEMENTACIÓN DEL SERVICIO FTP Y RRAS LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. CIBERTEC CARRERAS PROFESIONALES . los alumnos podrán transferir archivos. implementar ruteo dentro de la red y brindar acceso a Internet usando el Servidor Windows 2008. • Configuran el servicio RRAS como Router.

LAN a WAN. Puede ampliarse mediante las interfaces de programación de aplicaciones (API) que pueden utilizar los programadores para crear soluciones personalizadas de conexión por red. y con protocolos enrutables como TCP/IP y AppleTalk. Mediante el enrutamiento y acceso remoto.16 1. Ofrece servicios de enrutamiento a empresas en entornos de red de área local (LAN) y extensa (WAN) o a través de Internet mediante conexiones seguras de red privada virtual (VPN). 1. Una ventaja del servicio de Enrutamiento y acceso remoto es la integración con la familia Microsoft® Windows Server 2008. El servidor con Enrutamiento y acceso remoto está diseñado para ser usado por administradores de sistema familiarizados con los protocolos y servicios de enrutamiento.1 REQUISITOS DE HARDWARE Para poder configurar Enrutamiento y acceso remoto como un enrutador.25). Enrutamiento y Acceso remoto proporciona servicios de enrutamiento de multiprotocolo LAN a LAN. los administradores pueden ver y administrar enrutadores y servidores de acceso remoto en sus redes. todo el hardware debe estar instalado y en funcionamiento. Una tarjeta adaptadora de múltiples puertos. Uno o más módems compatibles y un puerto COM disponible.25 (si va a utilizar una red X. así como los nuevos fabricantes para participar en el negocio cada vez mayor de interconexión de redes abiertas. quizá necesite el hardware siguiente: • • • • • • • Un adaptador LAN o WAN con controlador WHQL firmado. Una tarjeta inteligente X. FUNDAMENTOS DEL SERVICIO RRAS El servicio enrutamiento y acceso remoto es un enrutador de software provisto de toda clase de características y una plataforma abierta para el enrutamiento e interconexión de redes. Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una línea ISDN (RDSI)). Dependiendo de la red y de sus requisitos. Enrutamiento y acceso remoto está destinado a administradores del sistema que ya están familiarizados con protocolos y servicios de enrutamiento. para conseguir un rendimiento adecuado con múltiples conexiones remotas. Este servicio proporciona muchas características de gran rentabilidad y funciona con una gran variedad de plataformas de hardware y numerosos adaptadores de red.25).25 (si va a utilizar una red X. Una tarjeta adaptadora ISDN (RDSI) (si va a utilizar una línea ISDN (RDSI)). red privada virtual (VPN) y traducción de direcciones de red (NAT). CARRERAS PROFESIONALES CIBERTEC . Una tarjeta inteligente X.

se muestra un ejemplo de una red SOHO. Small Office Home Office) que establece conexión con Internet mediante una conexión enrutada.2. En esta configuración.  Un único protocolo: TCP/IP  Conexiones de marcado a petición o de vínculo dedicado con el proveedor de servicios Internet (ISP).2 Conexión enrutada con Internet Este escenario describe una red de oficina pequeña o doméstica (SOHO. Una red SOHO tiene las siguientes características:  Un segmento de red.SISTEMAS OPERATIVOS LABORATORIO 17 1.2 ESCENARIO DE ENRUTAMIENTO 1. En la siguiente ilustración. los protocolos de enrutamiento no son necesarios porque el enrutador está conectado a todas las redes a las que necesita enrutar paquetes. CIBERTEC CARRERAS PROFESIONALES . 1.1 Conexión enrutada entre 2 LANs La ilustración siguiente muestra una configuración de red simple con un servidor que ejecuta Enrutamiento y acceso remoto que conecta dos segmentos de LAN (redes A y B).2.

si la métrica de una ruta OSPF aprendida es 5 y la métrica de la ruta aprendida RIP correspondiente es 3. la ruta OSPF se agrega a la tabla de enrutamiento IP y la ruta RIP se pasa por alto. de la métrica de la ruta aprendida.18 El enrutador de Windows 2008 está configurado con un adaptador de red para los medios utilizados en la red doméstica (por ejemplo. Open Shortest Path First ). REALIZA LOS SIGUIENTES PASOS: 1. como xDSL y módems por cable. y un adaptador ISDN (RDSI) o un módem analógico. CARRERAS PROFESIONALES CIBERTEC .3 PROTOCOLOS DE ENRUTAMIENTO IP En entornos de enrutamiento IP dinámicos. Puede utilizar una línea concedida u otra tecnología de conexión permanente. clic en Roles. debe configurar qué protocolo de enrutamiento es el origen preferido de las rutas aprendidas mediante la configuración de niveles de preferencia. y se prefiere el protocolo de enrutamiento OSPF.1 PARA INSTALAR RRAS EN EL SERVER. En este caso. 2. la información de enrutamiento IP se propaga mediante protocolos. Puede ejecutar varios protocolos de enrutamiento en la misma intranet. 1. Ejecute el Server Manager. INSTALACIÓN DE ROUTING AND REMOTE ACCESS SERVICES 2. independientemente. Ethernet). El protocolo de enrutamiento preferido constituye el origen de la ruta que se agrega a la tabla de enrutamiento. pero este escenario describe la configuración más usual que utiliza un vínculo de acceso telefónico a un ISP local. Routing Information Protocol) y Abrir la ruta de acceso más corta primero (OSPF. luego clic en Add Roles. Los dos protocolos de enrutamiento IP más comunes utilizados en intranets son el Protocolo de información de enrutamiento (RIP. Por ejemplo.

CIBERTEC CARRERAS PROFESIONALES . 4.SISTEMAS OPERATIVOS LABORATORIO 19 2. En la ventana Select Server Roles. En la ventana Before You Begin. efectúe clic en Next. seleccione Network Policy and Access Services. haga clic en Next. En la ventana Network Policy and Access Services. y haga clic en Next. 3.

clic en Close. finalmente. haga clic en Next. CARRERAS PROFESIONALES CIBERTEC .20 5. clic en Install. En la ventana Confirm Installation Selections. 6. seleccione Routing and Remote Access Services. En la ventana Select Role Services.

SISTEMAS OPERATIVOS LABORATORIO 21 2. CIBERTEC CARRERAS PROFESIONALES .2 CONFIGURACIÓN DEL ROUTER 1. Ejecute Routing and Remote Access. clic derecho sobre el Servidor (Local). seleccione Configure and Enable Routing and Remote Access.

CARRERAS PROFESIONALES CIBERTEC . En la ventana de Configuration. 3. haga clic en Next. y haga clic en Next.22 2. En el asistente de configuración de Routing and Remote Access Server. seleccione Custom configuration.

En la ventana Custom Configuration. 5. clic en Finish. En la ventana Completing the Routing and Remote Access Server Setup Wizard. seleccione LAN routing.SISTEMAS OPERATIVOS LABORATORIO 23 4. CIBERTEC CARRERAS PROFESIONALES . haga clic en Next.

1 Incorpora una interface de enrutamiento (opcional) 1. En la ventana Start the service. luego despliegue IPv4. clic derecho sobre General. Despliegue en el Servidor (local). Abra Routing and Remote Access. clic en Start.2. CARRERAS PROFESIONALES CIBERTEC . 2. y seleccione New Interface. 2.24 6.

Despliegue en el Servidor (Local).2. Abra Routing and Remote Access. en este caso Lan2. luego despliegue IPv4. clic derecho sobre General. 2. 2. 4. CIBERTEC CARRERAS PROFESIONALES . En la ventana New Interface for IP. y seleccione New Routing Protocol.SISTEMAS OPERATIVOS LABORATORIO 25 1.2 Agregue un protocolo de enrutamiento IP (opcional) 1. En la ventana de propiedades Lan2. clic en ok. seleccione la interface correcta.

5. En la ventana New Routing Protocol.26 3. seleccione la interface en la cual funcionara RIP. Usted haga clic derecho sobre RIP. seleccione RIP Version luego clic en Ok. y seleccione New Interface. CARRERAS PROFESIONALES CIBERTEC . y luego 2 veces clic en Ok. 4. En la ventana New Interface for RIP.

En el árbol de la consola.SISTEMAS OPERATIVOS LABORATORIO 27 2. En la caja de diálogo emergente. 3. Seleccione Disable Routing and Remote Access. Usted puede observar que el enrutamiento ha quedado deshabilitado. pulse el botón Yes. 1. 2. CIBERTEC CARRERAS PROFESIONALES . 5.3 DESHABILITACIÓN DEL ENRUTAMIENTO. haga clic derecho sobre su servidor. Ejecute Routing and Remote Access. 4.

CARRERAS PROFESIONALES CIBERTEC .28 6. Cierre la herramienta Routing and Remote Access.

SISTEMAS OPERATIVOS LABORATORIO
29

Resumen 

El servicio de enrutamiento y acceso remoto forma parte del Servidor 2008. 
El Servicio RRAS brinda enrutamiento de protocolos a través de redes LAN, y WAN. 
El servicio RRAS nos permite implementar una infraestructura de VPN y NAT. 
La implementación de los servicios de RRAS necesita como mínimo 2 interfaces de
red. 

Si desea saber más acerca de estos temas, puede consultar la siguiente página. 
http://technet.microsoft.com/en-us/library/cc730711%28WS.10%29.aspx
En esta página, hallará información de las nuevas características de Routing and
Remote Access en Windows Server 2008.

CIBERTEC

CARRERAS PROFESIONALES

30

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
31

UNIDAD DE
APRENDIZAJE

1
TEMA

3
IMPLEMENTACIÓN DEL SERVICIO FTP Y RRAS
LOGRO DE LA UNIDAD DE APRENDIZAJE

Al término de la unidad, los alumnos, podrán implementar y configurar los
Servicios FTP y RRAS usando el Servidor Windows 2008.

Al término de la unidad, los alumnos, podrán transferir archivos, implementar
ruteo dentro de la red, y brindar acceso a Internet usando el Servidor Windows
2008.

TEMARIO

Windows 2008 FTP Server

Fundamentos del Servicio RRAS

Introducción a NAT

ACTIVIDADES PROPUESTAS
Los alumnos:

• Configuran RRAS para brindar acceso a Internet a las computadoras de la red
Interna.
• Habilitan el acceso a Internet usando NAT.
• Configuran el protocolo TCP/IP en la interface de red de los servidores y
estaciones de trabajo.

CIBERTEC

CARRERAS PROFESIONALES

32

1. INTRODUCCIÓN A NAT
En la actualidad más hogares y pequeñas empresas agregan equipos a la
red y encuentran una herramienta, extremadamente, poderosa para
compartir recursos. Una conexión a Internet es uno de los más preciados
recursos en la red y esta puede ser compartida. Para hacer esto y disfrutar
una comoda, fácil administración, de la red casera o una pequeña
empresa, los gateways de Internet están siendo implementados. Los
gateways de Internet ofrecen NAT (Network address translation) para
conectar múltiples computadoras a la Internet y compartir una sola
dirección IP Pública.

2. FUNDAMENTOS DE NAT
La Traducción de Direcciones de Red (NAT) es un estándar IETF (Internet
Engineering Task Force en español Grupo de Trabajo en Ingeniería de
Internet) usado para permitir a múltiples computadoras de una red privada
(direcciones privadas como 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16)
compartir una sola dirección IP Pública. NAT esta siendo implementado,
porque las direcciones IPv4 públicas están siendo escasas.

3. IMPLEMENTACIÓN DE NAT
3.1 CONFIGURACIÓN EN EL SERVER
1. Clic en Start, seleccione Administrative Tools, y luego Routing and
Remote Access.

CARRERAS PROFESIONALES
CIBERTEC

3.SISTEMAS OPERATIVOS LABORATORIO 33 2. CIBERTEC CARRERAS PROFESIONALES . En el asistente de configuración de Routing and Remote Access Server. seleccione Network address translation. En la ventana de Configuration. haga clic en Next. y haga clic en Next.

en este caso Wan. En la ventana Completing the Routing and Remote Access Server Setup Wizard. seleccione la interface que usará para conectarse a Internet.34 4. En la ventana de NAT Internet Connection. lea el resumen de la configuración. y haga clic en Next. CARRERAS PROFESIONALES CIBERTEC . 5. y luego clic en Finish.

SISTEMAS OPERATIVOS LABORATORIO
35

3.2 CONFIGURACIÓN EN EL CLIENTE
1. En la computadora cliente configure el TCP/IP como se ve en la
imagen.

2. Ejecute Internet Explorer y trate de navegar por Internet, también
puede realizar pruebas con el comando ping, tracert, etc.

CIBERTEC

CARRERAS PROFESIONALES

36

Resumen 

La implementación de NAT permite compartir el acceso a Internet. 
NAT permite que las computadoras que tienen direcciones IPs privadas acceden a
Internet usando una dirección IP Pública. 
El uso de NAT brinda seguridad a las computadoras de la red Interna, debido a que
no están expuestas en Internet. 
La implementación de NAT necesita 2 interfaces de red, una para la red interna y
otra para Internet. 

Si desea saber más acerca de NAT, puede consultar la siguiente página. 
http://www.faqs.org/rfcs/rfc1631.html
En esta página, hallará información detallada sobre NAT.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
37

UNIDAD DE
APRENDIZAJE

2
TEMA

4

Redes Virtuales Privadas
LOGRO DE LA UNIDAD DE APRENDIZAJE


Al término de la unidad, los alumnos, diseñar una Red Privada Virtual con
Windows 2008 Server.
Al término de la unidad, los alumnos, podrán implementar el Servidor VPN, y
permitir el acceso seguro desde Internet hacia los recursos de la red Interna.
Al término de la unidad, los alumnos, podrán configurar los clientes VNPs para
acceder a los recursos de la red Interna.

TEMARIO
• Introducción a las VPNs

ACTIVIDADES PROPUESTAS
Los alumnos:
• Instalan, configuran, y administran el Servidor VPN.
• Configuran los clientes VPNs.
• Realizan y prueban conexiones seguras desde los clientes VPN
hacia el Servidor VPN.

CIBERTEC

CARRERAS PROFESIONALES

38

1. INTRODUCCIÓN A LAS VPNs
Una red privada virtual (VPN, Virtual Private Network) es la extensión de una
red privada que incluye vínculos de redes compartidas o públicas como
Internet. Con una red privada virtual, puede enviar datos entre dos
computadores a través de una red compartida o pública de forma que emula
un vínculo privado punto a punto. Las funciones de red privada virtual
consisten en crear y configurar una misma red con estas características.
Para emular un vínculo punto a punto, los datos se encapsulan o
empaquetan con un encabezado que proporciona la información de
enrutamiento que permite a los datos recorrer la red compartida o pública
hasta alcanzar su destino. Para emular un vínculo privado, los datos se
cifran para asegurar la confidencialidad. Los paquetes interceptados en la
red compartida o pública no se pueden descifrar si no se dispone de las
claves de cifrado. El vínculo en el que se encapsulan y cifran los datos
privados es una conexión de red privada virtual (VPN).
La siguiente ilustración muestra el equivalente lógico de una conexión VPN.

Los usuarios que trabajan en casa o que están de viaje pueden usar
conexiones VPN para establecer una conexión de acceso remoto al servidor
de una organización mediante la infraestructura que proporciona una red
pública como Internet. Desde la perspectiva del usuario, la red privada virtual

CARRERAS PROFESIONALES
CIBERTEC

lógicamente. La infraestructura exacta de la red compartida o pública es irrelevante dado que. en el que IPsec proporciona encapsulación (sólo para el tráfico IP). el cliente de acceso remoto inicia una conexión VPN a través de Internet con el servidor VPN de la organización. Una conexión VPN enrutada a través de Internet funciona como un vínculo de WAN dedicado. ESCENARIOS PARA IMPLEMENTAR UNA VPN Mediante una conexión de red privada virtual (VPN) basada en Internet. Las organizaciones también pueden utilizar conexiones VPN para establecer conexiones enrutadas con oficinas alejadas. 2. Protocolo de túnel de socket seguro (SSTP) SSTP es la nueva forma de túnel de VPN con características que permiten al tráfico pasar a través de los firewalls que bloquean el tráfico PPTP y L2TP. o IPsec en modo túnel. Network Access Server ) de la compañía o externo. el cliente de acceso remoto puede tener acceso a los recursos de la intranet privada. parece como si los datos se enviaran a través de un vínculo privado dedicado. En la familia Microsoft Windows 2008 hay tres tipos de tecnología VPN basada en el Protocolo punto a punto (PPP): a. c.SISTEMAS OPERATIVOS LABORATORIO 39 es una conexión punto a punto entre el equipo (el cliente VPN) y el servidor de la organización (el servidor VPN). Una vez creada la conexión VPN. los clientes de acceso remoto pueden llamar a un ISP local. Gracias al acceso remoto y a las conexiones enrutadas. puede ahorrar los gastos de llamadas telefónicas de larga distancia y a números 1-800. CIBERTEC CARRERAS PROFESIONALES . b. SSTP brinda un mecanismo para encapsular tráfico PPP sobre el canal SSL del protocolo HTTPS 2. Protocolo de túnel de capa 2 (L2TP) con seguridad de protocolo Internet (IPSec) L2TP utiliza métodos de autenticación PPP de nivel de usuario y certificados de nivel de equipo con IPSec para cifrar los datos. y aprovechar la disponibilidad de Internet. una organización puede utilizar conexiones VPN para realizar conexiones a larga distancia. Mediante la conexión física establecida con el ISP local. Protocolo de túnel punto a punto (PPTP) PPTP utiliza métodos de autenticación PPP de nivel de usuario y cifrado punto a punto de Microsoft (MPPE) para cifrar los datos. geográficamente. o líneas concedidas para conexiones locales o con un Proveedor de servicios Internet (ISP).1 ACCESO REMOTO A TRAVÉS DE INTERNET En lugar de realizar una llamada de larga distancia o a un número 1-800 para conectar con un servidor de acceso a la red ( NAS. o con otras organizaciones a través de una red pública como Internet al mismo tiempo que realizan comunicaciones seguras.

Para los enrutadores.1 Usar vínculos WAN dedicados En lugar de utilizar un vínculo WAN dedicado de larga distancia y caro entre las distintas oficinas de la compañía.2. La ilustración siguiente muestra la conexión de redes a través de Internet.2 CONECTAR REDES A TRAVÉS DE INTERNET Cuando las redes están conectadas a través de Internet.40 La ilustración siguiente muestra el acceso remoto a través de Internet. un enrutador reenvía paquetes a otro enrutador a través de una conexión VPN. 2. 2. Esto se conoce como una conexión VPN de enrutador a enrutador. la red privada virtual funciona como un vínculo de la capa de vínculo de datos. los enrutadores de CARRERAS PROFESIONALES CIBERTEC .

2.SISTEMAS OPERATIVOS LABORATORIO 41 las oficinas se conectan a Internet mediante vínculos WAN dedicados locales con un ISP local. La ilustración siguiente muestra el acceso remoto a través de una intranet. Una vez conectados.3 VPN BASADAS EN INTRANET Las conexiones de red privada virtual (VPN) basadas en intranet aprovechan la conectividad IP en la intranet de una organización. la red del departamento está. 2. físicamente. pero se mantiene separada gracias a un servidor VPN. 2. Aunque así se protegen los datos del departamento. conectada a la intranet de la organización. se crea un problema de acceso a la información por parte de aquellos usuarios que no están.1 Acceso remoto a través de una intranet En las intranets de algunas organizaciones. se cifran todas las comunicaciones realizadas a través de la conexión VPN. Para aquellos usuarios que no tienen derechos para establecer una conexión VPN. Así. de forma física.3. el departamento de recursos humanos) son tan confidenciales que la red del departamento está. conectados a la red independiente.2 Conectar redes a través de una intranet CIBERTEC CARRERAS PROFESIONALES . desconectada de la intranet del resto de la organización. los datos de un departamento (por ejemplo. para mantener la confidencialidad de los datos. la red del departamento está oculta a la vista. físicamente. El servidor VPN no proporciona una conexión enrutada directa entre la intranet de la organización y la red del departamento. los enrutadores pueden reenviarse entre sí transmisiones de protocolos enrutadas o directas mediante la conexión VPN. Mediante una conexión VPN. Adicionalmente. Los usuarios de la intranet de la organización que disponen de los permisos apropiados pueden establecer una conexión VPN de acceso remoto con el servidor VPN y tener acceso a los recursos protegidos de la red confidencial del departamento.3. cualquiera de los enrutadores inicia una conexión VPN de enrutador a enrutador a través de Internet.

Microsoft Point-to-Point Encryption ) para cifrar datagramas de Protocolo punto a punto (PPP). los usuarios de los equipos de ambas redes pueden intercambiar datos confidenciales a través de la intranet corporativa. pueden utilizar una conexión VPN de enrutador a enrutador para comunicarse entre sí. están conectados a la intranet común con equipos que pueden actuar como enrutadores VPN. cuyos datos son altamente confidenciales.42 También. el departamento financiero podría necesitar comunicarse con el departamento de recursos humanos para intercambiar información acerca de las nóminas. Por ejemplo. a la vez. Una vez establecida la conexión VPN. el protocolo L2TP en los servidores que ejecutan Windows Server 2008 no utiliza el Cifrado punto a punto de Microsoft ( MPPE. PROTOCOLO DE TÚNEL DE CAPA 2 El Protocolo de túnel de capa 2 ( L2TP. puede conectar dos redes a través de una intranet mediante una conexión VPN de enrutador a enrutador. La compatibilidad de cliente con L2TP está integrada en el cliente de acceso CARRERAS PROFESIONALES CIBERTEC . A diferencia de PPTP. Las organizaciones que tienen departamentos en diferentes ubicaciones. La ilustración siguiente muestra la conexión de redes a través de una intranet. 3. Layer Two Tunneling Protocol ) es un protocolo basado en RFC y estándar del sector que se admitió por primera vez en los sistemas operativos de cliente y de servidor Windows 2000. Ambos. La combinación de L2TP e IPSec se conoce como L2TP/IPSec. L2TP/IPSec proporciona los servicios de red privada virtual (VPN) principales de encapsulación y cifrado de datos privados. L2TP utiliza la Seguridad de protocolos Internet (IPSec) para los servicios de cifrado. L2TP e IPSec deben ser compatibles con el cliente VPN y el servidor VPN.

3.1 Encapsulación L2TP Las tramas PPP (que consisten en un datagrama IP o un datagrama IPX) se empaquetan con un encabezado L2TP y un encabezado UDP. El encabezado IP contiene las direcciones IP de origen y de destino que corresponden al cliente VPN y al servidor VPN. un finalizador de autenticación IPSec que proporciona autenticación e integridad de mensajes y un encabezado IP final.2 CIFRADO El mensaje L2TP se cifra con el Estándar de cifrado de datos (DES.2 Encapsulación IPSec El mensaje L2TP resultante se empaqueta a continuación con un encabezado y un finalizador de Carga de seguridad de encapsulación (ESP. 3. Data Encryption Standard) o Triple DES (3DES) mediante claves de cifrado generadas en el proceso de negociación de Intercambio de claves de Internet (IKE.1. L2TP se instala con el protocolo TCP/IP. luego clic en Configure and Enable Routing and Remote Access. En el panel izquierdo haga clic derecho sobre su servidor y. 3.1 ENCAPSULACIÓN La encapsulación de paquetes L2TP/IPSec consta de dos niveles: 3. Internet Key Exchange). 4. CONFIGURACIÓN DE VPN PARA CLIENTES REMOTOS 4. Encapsulating Security Payload) de IPSec. 2. CIBERTEC CARRERAS PROFESIONALES .1. En función de las opciones disponibles al ejecutar el Asistente para la instalación del servidor de enrutamiento y acceso remoto.1 CONFIGURA EL SERVIDOR VPN 1. Ejecute Routing and Remote Access desde el menú Administrative Tools. L2TP se configura para 5 ó 128 puertos L2TP.SISTEMAS OPERATIVOS LABORATORIO 43 remoto de Windows XP y la compatibilidad de servidor VPN con L2TP está integrada en los miembros de la familia Windows Server 2008.

En pantalla de bienvenida de Routing and Remote Access Server Setup Wizard. CARRERAS PROFESIONALES CIBERTEC . haga clic en Next.44 3.

SISTEMAS OPERATIVOS LABORATORIO 45 4. En la pantalla Remote Access. 5. CIBERTEC CARRERAS PROFESIONALES . seleccione VPN y haga clic en Next. haga clic en Remote access (dial-up or VPN) y luego. En Configuration. clic en Next.

CARRERAS PROFESIONALES CIBERTEC . En VPN Connection.46 6. 7. clic en Next. seleccione From a specified range of addresses. En la ventana IP Address Assignment. seleccione la interface Wan y luego. y haga clic en Next.

haga clic en New.SISTEMAS OPERATIVOS LABORATORIO 47 8. tipee la dirección que le asigne su instructor. use Routing and CIBERTEC CARRERAS PROFESIONALES . En la página Address Range Assignment. 12. Luego. 10. ingrese 5. En la página Managing Multiple Remote Access Servers. y luego en la caja Number of addresses. Usted haga clic en OK. En la página Address Range Assignment. 9. verifique que esté seleccionada la opción No. En el campo Start IP address. 11. haga clic en Next.

clic en Finish. CARRERAS PROFESIONALES CIBERTEC .48 Remote Access to authenticate connection requests y haga clic en Next. 13. En la ventana Completing the Routing and remote Access Server Setup Wizard.

SISTEMAS OPERATIVOS LABORATORIO 49 14. Inicialice el ADUC. En la ventana de propiedades del usuario. 2. 4. finalmente clic en Ok. Observe cómo se visualiza la herramienta: 15. haga clic derecho sobre el usuario Juan Urbina. y seleccione properties. haga clic en OK para cerrar el mensaje Routing and Remote Access. luego clic en Allow Access. luego cierre Routing and Remote Access.1 BRINDE EL PERMISO DE ACCESO A LA RED PARA EL USUARIO 1. CIBERTEC CARRERAS PROFESIONALES . seleccione Dial-in. Si es necesario.

seleccione Panel de Control. CARRERAS PROFESIONALES CIBERTEC .2 CONFIGURA EL CLIENTE VPN 1. clic en Ver el estado y las tareas de red.50 4. En Redes e Internet. clic en Redes e Internet. 2. Clic en el Menu Inicio.

En la ventana Centro de redes y recursos compartidos vaya al panel izquierdo y haga clic en Configurar una conexión o red. 4. seleccione Conectarse a un área de trabajo. CIBERTEC CARRERAS PROFESIONALES . y clic en Siguiente. En la ventana Configurar una conexión o red.SISTEMAS OPERATIVOS LABORATORIO 51 3.

52 5. 7. Dirección de Internet: IP del Servidor VPN b. En la ventana Es necesaria una conexión a Internet para usar una conexión VPN. En la ventana ¿Cómo desea conectarse? Selecione Usar mi conexión a Internet (VPN) 6. Nombre del destino: Ciber VPN CARRERAS PROFESIONALES CIBERTEC . seleccione Configuraré más tarde una conexión a Internet. En la ventana Escribe la dirección de Internet a la que se conectará ingrese los siguientes datos: a.

En la ventana Escribe el nombre de usuario y la contraseña. Una vez creada la conexión VPN. 2 clics en Ciber VPN CIBERTEC CARRERAS PROFESIONALES . haga clic en administrar conexiones de red. luego clic en Crear. Escribe el nombre del usuario al que se le otorgó el permiso de acceso a la red y la contraseña. 9.SISTEMAS OPERATIVOS LABORATORIO 53 8.

4. Cierre la ventana Símbolo del Sistema. CARRERAS PROFESIONALES CIBERTEC . 2.3 VERIRIFCAR LA CONEXIÓN VPN 1. 3.54 4. En la barra de tareas. La dirección IP fue asignada por el rango de direcciones estáticas del servidor VPN. Note que hay un nuevo adaptador de red PPP Ciber VPN. digite ipconfig y presione <Enter>. En una ventana de Símbolo del Sistema. has doble clic al ícono "Conexión VPN".

Finalmente. CIBERTEC CARRERAS PROFESIONALES . En la Conexión VPN clic en Ver estado. cierre todas las ventanas abiertas. después clic en Desconectar.SISTEMAS OPERATIVOS LABORATORIO 55 5. 6.

geográficamente. alejadas.  El nuevo protocolo de túnel SSTP es soportado en Windows 2008 Server.  Los 3 protocolos de túnel soportados por Windows 2008 Server son: PPTP. y SSTP.  VPN se puede usar para enlazar oficinas que estén. CARRERAS PROFESIONALES CIBERTEC . L2TP.com/en-us/network/bb545442.  El protocolo SSTP permite que pueda fluir el tráfico de datos a través del firewall.aspx En esta página. hallará información detallada sobre VPN.  El protocolo PPTP usa el cifrado MPPE.microsoft.  http://technet.  Si desea saber más acerca de VPN.56 Resumen  La implementación de una Red VPN permite extender la red de la empresa. L2TP usa IPSec. puede consultar la siguiente página. y SSTP usa SSL.

CIBERTEC CARRERAS PROFESIONALES . Verifican la seguridad de la red con el uso de Sniffer. Configuran el filtrado con las directivas de seguridad de IPSec. el alumno será capaz de implementar seguridad en la transmisión de datos de una red. Eligen que directiva de seguridad de IPSec se adecua a sus necesidades de seguridad.SISTEMAS OPERATIVOS LABORATORIO 57 UNIDAD DE APRENDIZAJE 3 TEMA 5 PROTEGER EL TRÁFICO DE RED MEDIANTE IPSEC LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. Supervisan IPSec mediante el Monitor de Seguridad IP. Implementan escenarios con IPSec. TEMARIO • Introducción a IPSec • Implementación de IPSec • Supervisar IPSec ACTIVIDADES PROPUESTAS • • • • • • Los alumnos: Determinan que método de encriptación de IPSec deben usar en la Red.

La implementación de IPSec de Microsoft se basa en estándares desarrollados por el grupo de trabajo de IPSec de la IETF (Internet Engineering Task Force). Cada equipo controla la seguridad por sí mismo en su extremo.1 CONCEPTOS DE IPSEC Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP). tanto para IPv4 como para IPv6: • Authentication Header (AH): proporciona integridad. mediante el uso de servicios de seguridad basados en cifrado. INTRODUCCIÓN A IPSEC 1.58 1. y entre servidores. CARRERAS PROFESIONALES CIBERTEC . autenticación del origen de los datos. bajo la hipótesis de que el medio por el que se establece la comunicación no es seguro. integridad de datos. lo que significa que los únicos hosts que tienen que conocer la protección de IPSec son el que envía y el que recibe. intranet o extranet. incluidas las comunicaciones entre estaciones de trabajo y servidores. autenticación y no repudio si se eligen los algoritmos criptográficos apropiados. IPSec soporta autenticación de sistemas a nivel de red. IPSec consta de dos protocolos que han sido desarrollados para proporcionar seguridad a nivel de paquete. IPSec está basado en un modelo de seguridad de extremo a extremo. El objetivo principal de IPSec es proporcionar protección a los paquetes IP. IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red. confidencialidad de datos (encriptación) y protección frente a reenvío.

Este proceso restringe la posibilidad de emplear NAT. • CIBERTEC Encapsulating Security Payload (ESP) proporciona confidencialidad y la opción -altamente recomendable. la cabecera del paquete IP no está protegida por ESP (aunque en ESP en modo túnel. El protocolo ESP proporciona autenticidad de origen. que puede ser implementada con NAT transversal. Por otro lado. ESP. pero utilizar cifrado sin autenticación está altamente desaconsejado porque es inseguro. Flags. AH puede proteger.  Security parameters index (SPI): Indica los parámetros de seguridad que. En IPv4. Offset de fragmentos. CARRERAS PROFESIONALES . los campos de la cabecera IP mutantes (y por lo tanto no autenticados) incluyen TOS. por encima de IP. TTL y suma de verificación de la cabecera.  HMAC: Contiene el valor de verificación de integridad (ICV) necesario para autenticar el paquete. en combinación con la dirección IP. aquellos que pueden ser alterados en el tránsito. puede contener relleno. la protección es proporcionada a todo el paquete IP interno. utilizado para evitar ataques de repetición. soporta configuraciones de sólo cifrado y sólo autenticación. integridad y protección de confidencialidad de un paquete. AH protege la carga útil IP y todos los campos de la cabecera de un datagrama IP excepto los campos mutantes.  RESERVED: Reservado para uso futuro (hasta entonces todo ceros).de autenticación y protección de integridad. calcula un Hash Message Authentication Code (HMAC) a través de algún algoritmo hash operando sobre una clave secreta. la cabecera externa permanece sin proteger). identifican la asociación de seguridad implementada con este paquete. el contenido del paquete IP y las partes inmutables del datagrama.  Sequence number: Un número siempre creciente. es decir. opcionalmente. he aquí un diagrama de cómo se organizan: Significado de los campos:  Next header: Identifica el protocolo de los datos transferidos. AH opera. incluyendo la cabecera interna. Una cabecera AH mide 32 bits. Al contrario que con AH. también. contra ataques de repetición utilizando la técnica de ventana deslizante y descartando paquetes viejos. utilizando el protocolo IP número 51. directamente.SISTEMAS OPERATIVOS LABORATORIO 59 AH está dirigido a garantizar integridad sin conexión y autenticación de los datos de origen de los datagramas IP. Para ello.  Payload length: Tamaño del paquete AH.

utilizado para evitar ataques de repetición.60 ESP opera directamente sobre IP.  Authentication data: Contiene los datos utilizados para autenticar el paquete. como los enrutadores.  Padding: Usado por algunos algoritmos criptográficos para rellenar por completo los bloques. CARRERAS PROFESIONALES CIBERTEC . triple DES (3DES) o DES de 40 bits. no pueden distinguir los paquetes de IPSec de los paquetes IP normales. entre redes e.  Sequence number: Un número siempre creciente. utilizando el protocolo IP número 50. Por tanto. IPSec se puede implementar para proteger las comunicaciones entre usuarios remotos y redes. IPSec puede utilizar Kerberos V5 para la autenticación de los usuarios. • El establecimiento de una asociación de seguridad entre los dos equipos. incluso.  Pad length: Tamaño del relleno en bytes. entre equipos cliente dentro de una red de área local (LAN).  Payload data: Los datos a transferir. • El cifrado de los datos intercambiados mediante Cifrado de datos estándar (DES. Data Encryption Standard). IPSec usa formatos de paquete IP estándar en la autenticación o el cifrado de los datos. IPSec aumenta la seguridad de los datos de la red mediante: • La autenticación mutua de los equipos antes del intercambio de datos.  Next header: Identifica el protocolo de los datos transferidos. Un diagrama de paquete ESP: Significado de los campos:  Security parameters index (SPI): Identifica los parámetros de seguridad en combinación con la dirección IP. los dispositivos de red intermedios.

lo que evita tener que configurar cada equipo individualmente. • Transparencia de IPSec para los usuarios y las aplicaciones. Cuando cada equipo inicia una sesión en el dominio. El enrutamiento permanece intacto. Como IPSec opera al nivel de red. se puede configurar una clave compartida (una contraseña secreta compartida) para proporcionar autenticación y confianza entre equipos. ya que no se modifica ni se cifra la cabecera IP. IPSec proporciona una alternativa de estándar industrial abierto ante las tecnologías de cifrado IP patentadas. ya que eso invalidaría el hash. podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel. Una forma de encapsular mensajes IPsec para atravesar NAT ha sido definida por RFCs que describen el mecanismo de NAT-T. En modo transporte.SISTEMAS OPERATIVOS LABORATORIO 61 El protocolo. proporciona las ventajas siguientes: • Compatibilidad con la infraestructura de claves públicas. se puede asignar una directiva de forma local. Dependiendo del nivel sobre el que se actúe. de forma que no pueden ser modificadas de ninguna manera (por ejemplo traduciendo los números de puerto TCP y UDP). • Compatibilidad con claves compartidas. sin embargo. con el fin de permitir relaciones de confianza y proteger la comunicación con hosts que no pertenezcan a un dominio Windows en el que se confía. • Estándar abierto del sector. el equipo recibe automáticamente su directiva de seguridad. • Administración centralizada y flexible de directivas mediante Directiva de grupo. sólo la carga útil (los datos que se transfieren) del paquete IP es cifrada y/o autenticada. Si la autenticación mediante Kerberos V5 o certificados de claves públicas no es posible. Las capas de transporte y aplicación están siempre aseguradas por un hash. los usuarios y las aplicaciones no interactúan con IPSec. El modo transporte se utiliza para comunicaciones ordenador a ordenador. CIBERTEC CARRERAS PROFESIONALES . También acepta el uso de certificados de claves públicas para la autenticación. las direcciones IP no pueden ser traducidas. Sin embargo. Los administradores de la red aprovechan la interoperabilidad resultante. cuando se utiliza la cabecera de autenticación (AH). si un equipo tiene requisitos exclusivos o es independiente. también.

• Client (Cliente): Únicamente. lo que permite que los parámetros de IPSec se configuren a nivel de dominio. El cifrado de las comunicaciones con IPSEC se implementa como una directiva. p. Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuración adicional. Windows XP. de sito. y Windows 2000. pero nunca será nuestro equipo el que inicie la conversación de manera cifrada. para VPNs) o comunicaciones ordenador a red u ordenador a ordenador sobre Internet. por lo general. Debe ser entonces encapsulado en un nuevo paquete IP para que funcione el enrutamiento.62 En el modo túnel. IPSec está soportado en Windows Server™ 2008. y está integrado con el servicio de Directorio Activo. Windows Vista. con el propósito de que no pueda ser interceptado por terceros. Las políticas IPSec se pueden asignar mediante Políticas de Grupo. de dominio o de unidad organizativa. aplica regla de respuesta predeterminada.e. • Server (Servidor): Envía los datos cifrados pero admite la conversación con clientes que no cifren sus comunicaciones. Este CARRERAS PROFESIONALES CIBERTEC . Windows Server 2003. hacen que los equipos involucrados en la conversación negocien una autenticación entre ellos y si esta es exitosa se aplique una acción de filtrado al tráfico de red. El modo túnel se utiliza para comunicaciones red a red (túneles seguros entre routers. con lo cual podemos habilitarlo a nivel local. 1. Windows 2000 Server. site o unidad organizativa. Ésta regla obliga a nuestro equipo a responder de manera cifrada siempre que así se proponga o se requiera. todo el paquete IP (datos más cabeceras del mensaje) es cifrado y/o autenticado.2 DIRECTIVAS DE SEGURIDAD DE IPSEC Una directiva IPSec está formada por un conjunto de filtros acerca del tráfico de red que cuando se activan.

Por ejemplo: conversaciones de negocios. Esto sería el modo túnel. • Al activarse el filtro. Esto sería la acción de filtrado • Podemos.SISTEMAS OPERATIVOS LABORATORIO 63 modo es el recomendado si queremos que prime la comunicación sobre la seguridad. Si queremos anticipar la seguridad a la comunicación. Esto es. este es el modo apropiado. el idioma que usaremos cuando queramos mantener la privacidad de la conversación. El establecimiento de estas reglas puede llevar estos pasos: CIBERTEC • Definición de las conversaciones que consideramos privadas (el tráfico que se cifrará). negociaremos el idioma a utilizar entre los que conocen uno y otro participante. Antes de comenzar con la implementación hay que tener claros unos cuantos conceptos. • Por último podríamos elegir entre cifrar todo el tráfico. pero el canal de comunicación entre los portavoces puede ser vulnerable. nos aseguremos de que la persona que está al otro lado es de confianza negociando la autenticación. ser el portavoz de un grupo de gente que habla con el portavoz de otro grupo de gente. IPSec permite una mayor granularidad y control a través de los filtros que se revisan más adelante en este documento. Nuestros entornos internos son confiables. Aplicamos un conjunto de filtros que se active al sacar uno de esos tres temas en la conversación y que nos recuerde que debemos cambiar de idioma. sólo el telefónico (RAS) o sólo las conversaciones de lado a lado (LAN) CARRERAS PROFESIONALES . por ejemplo. secretos y política. opcionalmente. sería bueno que antes de empezar a expresar nuestras ideas acerca de esos tres temas. o incluso podríamos elegir no hablar de ese determinado tema en este paso. • Secure Server (Servidor Seguro): En este caso toda comunicación será cifrada y no permitirá la comunicación sin cifrar (excepto el tráfico ICMP). • Una vez comprobada la identidad. Cuando queremos que nadie sepa lo que. Si bien estas directivas pueden satisfacer nuestras necesidades. estamos hablando con una persona cercana podemos acordar un conjunto de reglas (protocolo) para hacerlo de manera efectiva.

CARRERAS PROFESIONALES CIBERTEC . ubique la opción IP Security Policies on Local Computer. IMPLEMENTACIÓN DE IPSEC 2. 2.64 2. haga clic derecho sobre dicha opción en el menú contextual emergente. 1. En la ventana desplegada. Administrative Tools y seleccione Local Security Policy.1.1 IMPLEMENTACIÓN DE ESCENARIOS CON IPSEC.1 Bloquear Ping (protocolo ICMP). 2. Seleccione Start. luego haga clic sobre Create IP Security Policy.

haga clic en Next. La acción anterior llamará al Asistente para directivas de seguridad IP. posteriormente.SISTEMAS OPERATIVOS LABORATORIO 65 3. Ahora ingrese el nombre Prueba PING para la directiva que vamos a crear. En la primera pantalla. sólo haga clic en Next. CIBERTEC CARRERAS PROFESIONALES . 4.

66

5. En la ventana Requests for Secure Communication haga clic
en Next.

6. Ya finalizando la creación de la regla, verifque que esté
marcada la casilla de verificación Edit properties y haga clic en
Finish.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
67

7. En esta ventana, haga clic en el botón Add.

Existe una regla predeterminada

8. Lo anterior llama al Asistente para reglas de seguridad IP. En la
pantalla de bienvenida, sólo haga clic en Next.

CIBERTEC

CARRERAS PROFESIONALES

68

9. En la siguiente ventana, seleccione la regla This rule does not
specify a tunnel.

10. Ahora seleccione All network connections y haga clic en
Next.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
69

11. Ahora se nos muestra la interfaz para seleccionar los filtros IP,
en caso no hubiese alguno que se ajuste a nuestras
necesidades, se nos da la opción para crear agregar uno nuevo.
Para el caso, haga clic en Add…

12. En la ventana IP Filter List escribe el nombre del filtro (para el
caso PING bloqueo). Opcionalmente, agregue una descripción
para el filtro y posteriormente, haga clic en Add… (verificar que
esté marcada la casilla de verificación para poder hacer uso del
asistente).

CIBERTEC

CARRERAS PROFESIONALES

En la ventana de descripción para el filtro IP nos pregunta si es Mirrored (paquetes coinciden con las direcciones de origen y destino opuestas). Lo anterior hará que aparezca el asistente para filtros.70 13. CARRERAS PROFESIONALES CIBERTEC . Deje marcado la casilla de verificación y haga clic en Next. 14.

seleccione la opción My IP Address. En origen del tráfico. Para el destino. seleccione la opción Any IP Address. 16. CIBERTEC CARRERAS PROFESIONALES .SISTEMAS OPERATIVOS LABORATORIO 71 15.

Finalmente. para el caso.72 17. seleccione el protocolo ICMP. 18. Ahora seleccione el protocolo. haga clic en Finish para crear el filtro. CARRERAS PROFESIONALES CIBERTEC .

SISTEMAS OPERATIVOS LABORATORIO 73 19. CIBERTEC CARRERAS PROFESIONALES . haga clic en OK. Ahora seleccione el filtro creado y haga clic en Next. 20. Ya de vuelta en la ventana anterior.

haga clic en Add para crear una lista de acción al filtrado. 22. Ahora en la siguiente ventana. En el asistente Filter Action Name escribe el nombre del Filtro. CARRERAS PROFESIONALES CIBERTEC .74 21.

CIBERTEC Ping Bloqueado y CARRERAS PROFESIONALES . En la ventana Filter Action seleccione haga clic en Next.SISTEMAS OPERATIVOS LABORATORIO 75 23. Ahora en el comportamiento de la acción de filtrado. 24. seleccione Block.

76 25. CARRERAS PROFESIONALES CIBERTEC . En la ventana Completing the Security Rule Wizard haga clic en Finish.

Ahora has una prueba de PING a una dirección IP de la LAN. Ahora habilite la directiva. Local Security Policy seleccione IP Security Policies on Local Computer y en la directiva llamada Prueba PING haga clic derecho y clic en Assign. CIBERTEC CARRERAS PROFESIONALES .SISTEMAS OPERATIVOS LABORATORIO 77 26. Verá lo siguiente: 28. Usted haga clic en el botón OK de la ventana anterior y la ventana Local Security Policy habrá quedado así: 27.

78 29. Para este ejemplo. Finalmente. consideraremos que ya tenemos configurado el Servidor Web (IIS) y el servidor FTP (FTP Publishing Service) de manera que no acepte conexiones anónimas. Ahora consideremos que nos estamos conectando a nuestro servidor FTP (a través de Internet Explorer) de una forma aparentemente segura. has PING a una IP de la red y verá el siguiente mensaje.1. Lo cual nos indica que la directiva IPSec funciona mediante el bloqueo del protocolo ICMP. Además. 2. estos servidores están en el controlador de dominio (práctica que en un entorno empresarial no se recomienda) y la máquina cliente es parte del dominio (con Windows Vista Ultimate). Sólo para este ejemplo. el nombre del servidor con los roles anteriormente mencionados es SERV01 y la máquina cliente es ADMWK011. CARRERAS PROFESIONALES CIBERTEC .1 Cifrado del tráfico IP (Protección de datos de inicio de sesión para el servidor FTP) mediante GPO.

digite dsa. seleccione la ventana Run. Con IPSec podemos brindar seguridad al tráfico de red que.SISTEMAS OPERATIVOS LABORATORIO 79 Sin embargo. con facilidad. FTP no codifica las credenciales de usuario y por medio de un sniffer se puede interceptar la comunicación tal como se muestra en la siguiente imagen: Lo que revelaría. En el servidor. el usuario y contraseña del administrador de red a un usuario no autorizado.msc y pulse ok. no tiene cifrado. CIBERTEC CARRERAS PROFESIONALES . Para esto se siguen los siguientes pasos (el host “ADMWK011” debe estar apagado para realizar estos pasos): 1. comúnmente.

CARRERAS PROFESIONALES CIBERTEC . Seleccione al contenedor Computers. Lo anterior ocasionará la apertura del Active Directory Users and Computers (ADUC). al finalizar el paso anterior.80 2. 3. El equipo “ADMWK011” pasará a ser miembro del OU “ComSeg”. ello desplegará los equipos que forman parte del dominio en el panel derecho. En este panel seleccione y arrastre al equipo “ADMWK011” hacia el OU “ComSeg” (Se le pedirá una confirmación previa). 4. Ya con el OU “ComSeg” creado. En esta ventana Cree el OU “ComSeg”.

posteriormente. despliegue el bosque. luego despliegue Policies. Run.SISTEMAS OPERATIVOS LABORATORIO 81 5. y en la ventana Run. Ahora. tendrá abierta la ventana de Group Policy Management. despliegue Windows Settings. seleccione IP Security Policies on Active Directory. 7. además. el dominio y despliegue el OU Domain Controllers. 6. haga clic derecho sobre Default Domain Controllers Policy y seleccione Edit.msc y presione Enter. Nuevamente. En la ventana Group Policy Management Editor despliegue el nodo Computer Settings. Escribe gpmc. en el servidor seleccione Start. CIBERTEC CARRERAS PROFESIONALES . Finalmente. abre Security Settings y finalmente. En ella.

Posteriormente en la ventana que aparece. 10. En el panel derecho haga clic derecho sobre la política Server y seleccione Properties. CARRERAS PROFESIONALES CIBERTEC . seleccione la lista de filtro All ICMP Traffic y Usted haga clic en Edit. también. Esta lista de filtro es sólo compatible con versiones anteriores a Windows Vista. modifique de tal forma que la acción. Para esto. 9. requiera seguridad (Require Security) y el método de autentificación sea Kerberos.82 8. Ahora desmarque la lista del filtro <Dynamic>. a la lista de filtro All ICMP Traffic. La lista de filtro All IP Traffic deje tal como está.

hacer clic en OK. CIBERTEC CARRERAS PROFESIONALES .SISTEMAS OPERATIVOS LABORATORIO 83 ubiquese hacia la pestaña Filter Action de tal forma que quede como la siguiente imagen: 11. Ahora Usted haga clic en OK quedando la directiva de la siguiente manera Finalmente.

84 12. and link it here. CARRERAS PROFESIONALES CIBERTEC . Escribe “PC_Seg” al GPO y haga clic en OK. 13. Esta configuración se hará también desde el servidor (SERV01). asigne la directiva Server. Para culminar esta primera etapa. después haga clic derecho y seleccione Create a GPO in this domain. Para ello. Finalmente. cierre el Group Policy Management Editor. en Group Policy Management seleccione el OU “ComSeg”. Ahora configure el equipo cliente. 14.

SISTEMAS OPERATIVOS LABORATORIO 85 15. abra Security Settings y finalmente. CIBERTEC CARRERAS PROFESIONALES . Otra vez. afectarán a los objetos del OU “ComSeg”. 16. despliegue Windows Settings. luego despliegue Policies. Ingrese al Group Policy Management Editor. Ahora despliegue el OU “ComSeg” y edite el GPO creado en el paso anterior. seleccione IP Security Policies on Active Directory. además. después. sólo que esta vez las acciones que realicemos aquí. despliegue el nodo Computer Settings. Usted haga clic derecho sobre el GPO ComSeg y elije Edit.

Finalmente. ejecute el comando gpupdate para actualizar los cambios. Sólo como precaución. Por último. así por más que intenten interceptar los datos estos serán indescifrables por terceros. aunque no exclusivamente) están cifrados con el protocolo ESP. ejecute el sniffer para obtener la siguiente información: Ahora todos los paquetes (que corresponden a FTP. asigne la directiva Server. CARRERAS PROFESIONALES CIBERTEC . encienda la máquina cliente y conéctese al servidor FTP. haga clic derecho y seleccione Assign. 19. Verifique que existe conectividad normal.86 17. en el servidor. 18.

Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadísticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros. luego Usted haga clic sobre Run. Para cambiar las directivas IPsec. use el complemento Directivas de seguridad IP. Esta información puede ayudarle a solucionar problemas de IPsec y a probar las directivas que está creando.1 IMPLEMENTACIÓN DEL MONITOR DE SEGURIDAD IP. Ahora Usted haga clic en File y seleccione Add/Remove Snap-in. Seleccione Start. CIBERTEC CARRERAS PROFESIONALES . 2. en la ventana emergente escribe mmc y presione Enter. Para abrir el monitor de seguridad IP se siguen los siguientes pasos: 1. SUPERVISIÓN DE IPSEC 3.SISTEMAS OPERATIVOS LABORATORIO 87 3.

Ahora tendrá disponible el monitor de seguridad IP. en el almacén local (en el equipo local) o en un GPO. se lista por defecto a nuestro servidor que al expandirlo en panel izquierdo nos muestra las directivas activas.1 Directiva Activa (Active Policy) El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada a este equipo.  Almacén: Lugar donde está almacenada la directiva. Finalmente haga clic en OK. busque IP Security Monitor en el panel izquierdo seleccione Add >. En la ventana Add or Remove sanp-in. Únicamente. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva.1.  Ruta: Ruta de comunicación del protocolo ligero de acceso a directorios (LDAP) de Active Directory que describe la ubicación completa y exacta en AD DS de la directiva IPsec aplicada a este equipo. se aplica a las directivas almacenadas en objetos CARRERAS PROFESIONALES CIBERTEC . La directiva activa es la directiva IPsec aplicada a este equipo. En este monitor.  Última modificación: Fecha y hora (hora local) en que se cambió la directiva por última vez.88 3. de modo principal y de modo rápido. Al visualizar la directiva activa obtenemos la siguiente información:  Nombre y descripción: Nombre y descripción especificados para la directiva en el momento de su creación. Sólo puede haber una directiva IPsec activa al mismo tiempo. La directiva activa puede definirse con objetos de directiva de grupo en lugar de hacerlo en el equipo en el complemento Directivas de seguridad IP. 3. bien de forma manual por el administrador del equipo o bien mediante el uso de servicios de dominio de Active Directory (AD DS) y objetos de directiva de grupo (GPO).

cuándo se creó la SA. actualmente. de manera local. no tendrán ningún nombre de GPO. Dentro del modo principal tenemos: CIBERTEC CARRERAS PROFESIONALES . Únicamente. conectados al equipo. no tendrán esta ruta de acceso. Las directivas almacenadas.SISTEMAS OPERATIVOS LABORATORIO 89 de directiva de grupo de AD DS. La SA del ISAKMP se usa para proteger intercambios de clave posteriores entre equipos del mismo nivel.  Unidad organizativa: Ruta de comunicación del LDAP que describe la unidad organizativa (OU) completa y exacta de Active Directory donde se aplica la directiva. Únicamente. 3. no tendrán ninguna unidad organizativa. localmente. que reciben el nombre de negociaciones de modo rápido. localmente.2 Supervisión del modo principal (Main Mode) La negociación de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos.1. se aplica a las directivas almacenadas en objetos de directiva de grupo de AD DS. Las directivas almacenadas.  Nombre de objeto de directiva de grupo: No es el nombre de la directiva IPsec. La supervisión de las SA de modo principal puede proporcionar información acerca de los equipos del mismo nivel. Las directivas almacenadas. que se denomina asociación de seguridad (SA) del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP). La siguiente imagen muestra como se ve la directiva activa en el monitor de seguridad IP. el conjunto de protección que se usó para generar la SA y otra información. se aplica a las directivas almacenadas en un objeto de directiva de grupo de AD DS. Para establecer el canal seguro. la negociación de modo principal determina una serie de conjuntos de protección de cifrado. intercambia material de creación de claves para establecer la clave secreta compartida y autenticas identidades de equipo.

Por ejemplo. IPsec permite usar palabras clave en la configuración de los filtros. se creará de forma automática. ya sea como dirección de origen o como dirección de destino. Los filtros específicos se derivan expandiendo las palabras claves en direcciones IP. un filtro que incluya la dirección IP de su equipo y la dirección IP del servidor DHCP que este equipo usa.90  Los filtros genéricos (Generic filters). si dispone de un filtro que usa la opción Mi dirección IP como dirección de origen y la opción Servidor DHCP como dirección de destino. Servidor DHCP.  Los filtros específicos (Specific filters): Se expanden a partir de los filtros genéricos mediante el uso de direcciones IP del equipo de origen o de destino para la conexión real. los filtros genéricos muestran dichas palabras clave en el complemento Monitor de seguridad IP. Si se usan palabras clave. como Mi dirección IP. Servidores WINS y Puerta de enlace predeterminada. CARRERAS PROFESIONALES CIBERTEC . Servidor DNS. Los filtros genéricos son filtros IP configurados para usar cualquiera de las opciones de dirección IP. cuando se cree una conexión con este filtro.

Errores de adquisición Número de veces que una adquisición se completó con error. Errores de recepción Número de veces que la función WSARecvFrom() de Windows Sockets se completó con error al recibir mensajes IKE. si existen. Cuando la carga de procesamiento es elevada. ya sea de conexiones aceptadas.  Estadísticas (Statistics): Aquí encontramos las estadísticas disponibles para IPSec. La siguiente tabla muestra los tipos de estadísticas para el modo principal: CIBERTEC Estadística de IKE Descripción Adquisición activa Una adquisición es una petición del controlador IPsec para que IKE realice una tarea. Recepción activa Número de mensajes procesamiento. el número de adquisiciones activas es 1 y el número de peticiones en espera de procesamiento por parte de IKE aumenta. Errores de envío Número de veces que la función WSASendTo() de Windows IKE recibidos y en espera de CARRERAS PROFESIONALES . La estadística Adquisición activa incluye la petición pendiente y el número de peticiones en cola. Normalmente. etc. recepciones. el número de adquisiciones activas es 1.SISTEMAS OPERATIVOS LABORATORIO 91  La directiva IKE (IKE Policies): Hace referencia a los métodos de cifrado o integridad que los dos equipos del mismo nivel pueden negociar en el intercambio de claves de modo principal. rechazadas.

Errores de autenticación Número total de errores de autenticación de identidad (Kerberos. en curso. compartidas que no coinciden) u otra falta de correspondencia en los métodos o las opciones de seguridad.92 Sockets se completó con error al enviar mensajes IKE. compruebe si en la configuración de la autenticación hay algún método que no corresponda o alguna opción incorrecta (por ejemplo. Total de SPI obtenidos Número total de peticiones que IKE envió al controlador IPsec para obtener un Índice de parámetros de seguridad (SPI) único. Tamaño de montón de recepción Número de entradas de los búferes de recepción de los mensajes de IKE entrantes. que almacena las adquisiciones activas. previamente. Tamaño de lista ISADB Número de entradas de estado de modo principal. intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. si se usan claves. Si tiene dificultades para comunicarse con seguridad. compruebe si en la configuración de la autenticación y de los métodos de seguridad hay algún método de autenticación que no corresponda. Errores de adición de claves Número de peticiones con error de adición de SA de modo rápido salientes que IKE envió al controlador IPsec. incluídos los modos principales negociados. gradualmente. a medida que se va reduciendo el montón de adquisiciones. si se usan claves previamente compartidas que no coinciden). compartida) producidos durante la negociación de modo principal. intente establecer la comunicación y consulte esta estadística para ver si este número aumenta. previamente. Si en efecto aumenta. CARRERAS PROFESIONALES CIBERTEC . con el tiempo. Actualizaciones de claves Número de SA de modo rápido entrante que IKE agregó al controlador IPsec. Tamaño de lista de conexión Número de entradas de estado de modo rápido. Errores de obtención de SPI Número de peticiones con error que IKE envió al controlador IPsec para obtener un SPI único. y los que produjeron un error y no se eliminaron. Este número aumenta cuando la carga es elevada y se reduce. alguna opción incorrecta (por ejemplo. Errores de actualización de claves Número de peticiones con error de adición de SA de modo rápido entrantes que IKE envió al controlador IPsec. Errores de negociación Número total de errores de negociación producidos durante la negociación de modo principal o de modo rápido. Cookies no válidas recibidas Una cookie es un valor contenido en un mensaje IKE recibido y que IKE usa para averiguar el estado de un modo principal activo. Si una cookie de un mensaje IKE recibido no corresponde a un modo principal activo. Si tiene dificultades para comunicarse con seguridad. certificado y clave. se considerará no válida. Adiciones de claves Número de SA de modo rápido salientes que IKE agregó al controlador IPsec. Si en efecto aumenta. Tamaño de montón de adquisición Número de entradas en el montón de adquisición. Adquisición total Número total de peticiones de trabajos que IKE envió al controlador IPsec.

si se observan las asociaciones de seguridad del equipo. con el número del modo principal. Una SA es la combinación de una clave negociada. Normalmente. durante las negociaciones de modo principal. Normalmente. necesariamente. SA débiles). el apartado de estadísticas se ve de la siguiente manera:  CIBERTEC Asociaciones de seguridad (Security Associations . se pueden determinar los equipos conectados al equipo. Esta información puede resultar de gran ayuda para probar las directivas IPsec y solucionar problemas de acceso. se crean varias SA de modo rápido por cada SA de modo principal y. incluye los mensajes IKE con campos de encabezado no válidos. CARRERAS PROFESIONALES . Puede tratarse de equipos no compatibles con IPsec o de equipos compatibles con IPsec que no tienen una directiva IPsec para negociar la seguridad con este equipo del mismo nivel. durante las negociaciones de modo rápido. que de forma conjunta. En el monitor de seguridad. se consideran SA de modo rápido. por ello.SISTEMAS OPERATIVOS LABORATORIO 93 Modo principal IKE Número total de SA creadas. Aunque las SA débiles no son el resultado de las negociaciones de los modos principal y rápido. Modo rápido IKE Número total de SA creadas. este número no tiene que coincidir.SA): En esta vista se muestran las SA activas con este equipo. Asociaciones débiles Número total de negociaciones que provocaron el uso de texto simple (o también. de forma correcta. Por lo tanto. Paquetes recibidos no válidos Número de mensajes IKE no válidos recibidos. La causa de que se produzcan mensajes IKE no válidos es normalmente la retransmisión de mensajes anticuados o la falta de correspondencia de la clave previamente compartida entre los equipos del mismo nivel de IPsec. este valor refleja el número de asociaciones formadas con equipos que no respondieron a los intentos de negociación de modo principal. correctamente. longitudes de carga incorrectas y valores erróneos para la cookie del receptor (cuando debe ser 0). definen el método de seguridad usado para proteger la comunicación desde el remitente hasta el receptor. un protocolo de seguridad y el SPI. el tipo de cifrado e integridad de datos que se está usando para estas conexiones y otra información.

3 Supervisión del modo rápido La negociación IKE de modo rápido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. contiene a los filtros genéricos (gneric filters). Al igual que el modo principal. si es necesario. las SA creadas durante el modo rápido se denominan SA de IPsec. los cuales se resumen en la siguiente tabla: Estadística de IPsec Descripción Asociaciones de seguridad activas Número de SA de IPsec activas. CARRERAS PROFESIONALES CIBERTEC . Un conjunto de protección es un conjunto definido de valores de configuración de integridad de datos o cifrado de datos. También. Durante el modo rápido. Sin embargo las estadísticas IKE visualizadas para este modo tienen otros campos. estadísticas (statistics) y asociaciones de seguridad (security associations).94 3. Operaciones de clave Número de operaciones de clave de IPsec en curso. directivas IKE (IKE policies). El modo rápido no se considera un intercambio completo porque depende de un intercambio de modo principal. el material de creación de claves se actualiza o. se generan nuevas claves. Asociaciones de seguridad descargadas Número de SA de IPsec activas y descargadas en el hardware. se seleccione un conjunto de protección que resguarda el tráfico IP especificado.1. específicos (specific filters). Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec.

Paquetes SPI dañados Número total de paquetes cuyo Índice de parámetros de seguridad (SPI) era incorrecto. que haya errores en IPsec. Bytes autenticados recibidos Número total de bytes recibidos con el protocolo AH. Bytes recibidos en los túneles Número total de bytes recibidos con el modo de túnel de IPsec. la clave de sesión usada para descifrar el paquete también se elimina. Túneles activos Número de túneles de IPsec activos. Bytes autenticados enviados Número total de bytes enviados con el protocolo AH. Paquetes sin descifrar Número total de paquetes que generaron errores al descifrarse. Si la SA expira. Bytes de transporte recibidos Número total de bytes recibidos con el modo de transporte de IPsec. Estos errores pueden indicar que llegó un paquete para una SA que expiró. por ello. este número aumentará si los intervalos de regeneración de claves son cortos y hay un número elevado de SA. Bytes enviados en los túneles Número total de bytes enviados con el modo de túnel de IPsec. CIBERTEC CARRERAS PROFESIONALES . Si el SPI no es correcto. Bytes confidenciales enviados Número total de bytes enviados con el protocolo ESP. Las SA expiran en condiciones normales. Bytes de descarga enviados Número total de bytes enviados con la descarga de hardware. recientemente. la existencia de paquetes SPI dañados no indica. La causa más probable de este error es que una SA expiró. puede indicar que la SA entrante expiró y que llegó. necesariamente. Bytes de transporte enviados Número total de bytes enviados con el modo de transporte de IPsec.SISTEMAS OPERATIVOS LABORATORIO 95 pendientes Adiciones de claves Número total de negociaciones de SA de IPsec correctas. Con probabilidad. Bytes confidenciales recibidos Número total de bytes recibidos con el protocolo ESP. Eliminaciones de clave Número de eliminaciones de claves de las SA de IPsec. Paquetes con detección de reproducción Número total de paquetes que contenían un campo Número de secuencia válido. un paquete que usa el SPI antiguo. Paquetes sin autenticar Número total de paquetes cuyos datos no se pudieron comprobar. Esto no indica que haya errores en IPsec. Regeneraciones de claves Número de operaciones de regeneración de claves de las SA de IPsec. Bytes de descarga recibidos Número total de bytes recibidos con la descarga de hardware. El SPI se usa para comprobar la correspondencia de los paquetes entrantes con las SA.

es la siguiente: CARRERAS PROFESIONALES CIBERTEC .96 La forma. en que se presentan estas estadísticas.

SISTEMAS OPERATIVOS LABORATORIO 97 CIBERTEC CARRERAS PROFESIONALES .

y entre servidores. CIBERTEC http://technet. intranet o extranet.  IPSec autentifica los equipos y cifra los datos para su transmisión entre hosts en una red. no posee nivel de cifrado (como el caso de telnet o ftp). • Client (Cliente): Únicamente. puede consultar la siguiente CARRERAS PROFESIONALES página. podemos establecer dos modos básicos de operación de IPsec: modo transporte y modo túnel.  Dependiendo del nivel sobre el que se actúe. hacen que los equipos involucrados en la conversación negocien una autenticación entre ellos y si esta es exitosa se aplique una acción de filtrado al tráfico de red.  El objetivo principal de IPSec es brindar seguridad a los paquetes de red. por tanto las directivas pueden afectar a todos los usuarios que están dentro de un OU.  Existen unas directivas predeterminadas que podemos utilizar sin ninguna configuración adicional.  Una directiva IPSec está formada por un conjunto de filtros acerca del tráfico de red que cuando se activan.com/es- . aplica regla de respuesta cifrada predeterminada.98 Resumen  Internet Protocol Security (IPSec) es un entorno de estándares abiertos para garantizar comunicaciones privadas y seguras a través de redes Internet Protocol (IP). mediante el uso de servicios de seguridad basados en cifrado. comúnmente. Este modo es el recomendado si queremos que prime la comunicación sobre la seguridad. • Secure Server (Servidor Seguro): En este caso toda comunicación será cifrada y no permitirá la comunicación sin cifrar (excepto el tráfico ICMP)  Con IPSec podemos cifrar el tráfico de red que.  Si desea saber más acerca de este tema. incluidas las comunicaciones entre estaciones de trabajo y servidores.microsoft.  Las directivas IPSec pueden configurarse con GPOs. • Server (Servidor): Envía los datos cifrados pero admite la conversación con clientes que no cifren sus comunicaciones.

es/cursos/Windows/Avanzado/ch10s02.SISTEMAS OPERATIVOS LABORATORIO 99  Puede usar el complemento Monitor de seguridad IP para ver y supervisar estadísticas relacionadas con IPsec y la directiva IPsec que se aplica al equipo y a otros.  El elemento Directiva activa del complemento Monitor de seguridad IP describe la directiva del protocolo de seguridad de Internet (IPsec) aplicada al equipo.dsic. conectados al equipo. El modo rápido no se considera un intercambio completo. porque depende de un intercambio de modo principal.aspx http://fferrer. No se puede usar el complemento Monitor de seguridad IP para cambiar la directiva. Como esta fase implica el establecimiento de asociaciones de seguridad (SA) que se negocian en nombre del servicio IPsec.10). cuándo se creó la SA. las SA creadas durante el modo rápido se denominan SA de IPsec.com/es-es/library/cc753765(WS. que se denomina asociación de seguridad (SA) del Protocolo de administración de claves y asociación de seguridad Internet (ISAKMP). actualmente. el conjunto de protección que se usó para generar la SA y otra información.microsoft.upv. La supervisión de las SA de modo principal puede proporcionar información acerca de los equipos del mismo nivel.  Si desea saber más acerca de estos temas.  La negociación IKE de modo rápido (o fase 2) establece un canal seguro entre dos equipos para proteger los datos. Esta información puede ayudarle a solucionar problemas de IPsec y a probar las directivas que está creando.  La negociación de Intercambio de claves por red (IKE) de modo principal establece un canal seguro entre dos equipos.html CIBERTEC CARRERAS PROFESIONALES . puede consultar la siguientes páginas: http://technet.

100 UNIDAD DE APRENDIZAJE 4 TEMA 6 FUNDAMENTOS DE SEGURIDAD DE RED LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. ven los resultados del análisis. CARRERAS PROFESIONALES CIBERTEC . vulnerabilidades de seguridad. y tomar medidas de corrección para recuperarse de incidentes de seguridad que se produzca en la organización TEMARIO • Implementación de seguridad con GPOAccelerator • Implementación de Microsoft Baseline security Analyzer • Asegurando los Servidores WEB • Administración de Windows Server Update Service ACTIVIDADES PROPUESTAS • • Los alumnos: Crean las líneas base de seguridad en servidores y estaciones. el alumno será capaz de identificar las amenazas. resuelven discrepancias y configuran el equipo. Analizan la configuración de seguridad del sistema.

que requiere una planificación cuidadosa y la prueba.2 COMO USAR GPOACCELERATOR EN LA RED El GPOAccelerator le ayuda a implementar los GPO en su entorno. A continuación. Antes de utilizar el GPOAccelerator. IMPLEMENTACIÓN DE SEGURIDAD CON GPOACCELERATOR La herramienta GPOAccelerator crea todos los GPOs que necesites para implementar la configuración recomendada de seguridad para tú red. usted debe familiarizarse con los conceptos descritos en las guías de seguridad adecuadas. 1. Los capítulos restantes de esta guía proporcionan instrucciones detalladas del funcionamiento de la GPOAccelerator con diferentes sistemas operativos.msi también crea una estructura de subcarpetas dentro de la carpeta GPOAccelerator. "GPOAccelerator de línea de comandos y opciones de interfaz de usuario". este crea la carpeta GPOAccelerator dentro de Archivos de programa en su computadora. 1. para aprender sobre las diferentes opciones disponibles para el uso de la GPOAccelerator para establecer una de las líneas de base de seguridad definidos en la sección siguiente. El GPOAccelerator le avisará si el GPMC o cualquier otro componente necesario no están presentes. El archivo . 1.3 ENTORNOS DE SEGURIDAD DE LÍNEA DE BASE El GPO de referencia de seguridad que el GPOAccelerator le ayuda a implementar proporciona una combinación de configuración de prueba que mejora la seguridad de los equipos que ejecutan estos sistemas operativos y aplicaciones en los siguientes dos ambientes distintos: • Enterprise Client (EC) • Specialized Security – Limited Functionality (SSLF) CIBERTEC CARRERAS PROFESIONALES . puede revisar el capítulo 1.SISTEMAS OPERATIVOS LABORATORIO 101 1. Msi).msi se instala rápidamente en computadoras que ejecutan los siguientes sistemas operativos: • Windows Server 2008 SP2 • Windows Server 2003 R2 • Windows 7 • Windows Vista • Windows XP La mayoría de las tareas de GPOAccelerator requieren la instalación de la Group Policy Management Console (GPMC) en el equipo que ejecuta la herramienta.1 INSTALACIÓN DE GPOACCELERATOR El GPOAccelerator. Cuando se ejecuta el Windows ® Installer (. Esta funcionalidad ahorra muchas horas de trabajo que de otro modo sería necesario para configurar e implementar manualmente la configuración de seguridad.

4 LÍNEA DE COMANDO Y OPCIONES DE GPOACCELERATOR Las opciones que brinda el comando GPOAccelerator pueden ser usadas para implementar GPOs en un ambiente que use Directorio Activo. Los controladores de dominio. Precaución: la configuración de seguridad SSLF no están destinados a la mayoría de las organizaciones empresariales. los recursos de TI en su organización puede experimentar un aumento en el escritorio de las llamadas relacionadas con la funcionalidad limitada que la configuración de imponer. Ejemplos de esto incluyen a Escritorio remoto. 1.Funcionalidad limitada (SSLF) de referencia en esta guía se refiere a la demanda para ayudar a crear ambientes altamente seguro para los equipos que ejecutan Windows Server 2008.2 Specialized Security – Limited Functionality (SSLF) La Seguridad especializada . 1. que permite a los usuarios conectar de forma interactiva a los escritorios y aplicaciones en equipos remotos. Si usted decide probar e implementar los ajustes de configuración SSLF a los servidores en su entorno.102 1. El Cliente de empresa (EC) de referencia de seguridad ayuda a proporcionar seguridad mejorada que permite suficiente funcionalidad del sistema operativo y las aplicaciones para la mayoría de las organizaciones.3.4. servidores miembro. y los servidores miembro que ejecutan Windows Server 2008 o Windows Server 2003 R2.1 The Enterprise Client (EC) El Cliente de empresa (CE) medio ambiente citados en esta guía se compone de un dominio con AD DS en el que los equipos que ejecutan Windows Server 2008 con Active Directory administrar los equipos cliente que puedan funcionar tanto con Windows Vista o Windows XP. La preocupación por la seguridad es tan grande en estos ambientes que una pérdida significativa de funcionalidad y capacidad de gestión es aceptable.3. también evita algunos servicios de ejecución que su organización pueda requerir. incluidos los datos de seguridad y el usuario. Directiva de grupo proporciona una infraestructura centralizada en AD DS que permite el cambio de directorio y la gestión de configuración de usuario y de equipo.1Opciones para GPOAccelerator CARRERAS PROFESIONALES CIBERTEC . y los equipos cliente se manejan en este medio ambiente a través de directivas de grupo. dominios y unidades organizativas. Aunque la configuración de este entorno proporciona un mayor nivel de seguridad para los datos y la red. El Grupo de Política de esta guía prescribe no es compatible con equipos cliente que ejecutan Windows ® 2000 1. que se aplica a sitios. Para implementar con éxito la configuración de SSLF. las organizaciones de bien deben probar la configuración de su entorno para asegurarse de que las configuraciones de seguridad prescritas no limitan la funcionalidad requerida.

Si ejecuta GPOAccelerator sin ninguna opción. CARRERAS PROFESIONALES .2 Resultados del comando GPOAccelerator La siguiente tabla muestra los resultados que se esperan cuando creas e implementas GPOs y OUs con GPOAccelerator • Comandos para implementar la guía de seguridad de Windows Server 2008 Comando GPOAccelerator.4. la herramienta muestra la siguiente lista de opciones. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. 1.wsf /Enterprise /WS08 CIBERTEC Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2008.SISTEMAS OPERATIVOS LABORATORIO 103 GPOAccelerator es una interface de script que se ejecuta desde una interface de comandos.

Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows 7. Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Server 2008. Comandos para implementar la guía de seguridad de Windows vista Comando GPOAccelerator.wsf /Enterprise /Win7 GPOAccelerator. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.wsf /Enterprise /LAB /Win7 GPOAccelerator.wsf /SSLF /LAB /WS03 • Crea el SSLF GPOs descrito en la guía de seguridad de Windows Server 2008. Comandos para implementar la guía de seguridad de Windows7 Comando GPOAccelerator. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Server 2003. CARRERAS PROFESIONALES CIBERTEC .wsf /Enterprise /LAB /WS08 GPOAccelerator.wsf /SSLF /Win7 GPOAccelerator. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows Server 2003.wsf /Enterprise /LAB /WS03 GPOAccelerator.wsf /SSLF /LAB /WS08 • Server 2008.104 GPOAccelerator. Comandos para implementar la guía de seguridad de Windows Server 2003 Comando GPOAccelerator.wsf /SSLF /WS03 GPOAccelerator. Crea el SSLF GPOs descrito en la guía de seguridad de Windows Server 2003.wsf /Enterprise /WS03 GPOAccelerator. Crea y enlaza el SSLF GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Server 2003.wsf /Enterprise /Vista Resultados Crea el EC GPOs descrito en la guia de seguridad de Windows Vista. Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows 7. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows7. Crea el SSLF GPOs descrito en la guía de seguridad de Windows7.wsf /SSLF /WS08 GPOAccelerator. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.wsf /SSLF /Win7 /Desktop GPOAccelerator. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.wsf /SSLF /Win7 /Laptop Resultado Crea el EC GPOs descrito en la guia de seguridad de Windows7.

Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea el SSLF GPOs descrito en la guía de seguridad de Internet Explorer 8.wsf /Enterprise /IE8 GPOAccelerator. Crea el SSLF GPOs descrito en la guía de seguridad de Windows XP.wsf /SSLF /IE8 • Results Crea el EC GPOs descrito en la guia de seguridad de Internet Explorer 8.wsf /SSLF /IE8 GPOAccelerator. Comandos para implementar la guía de seguridad de Internet Explorer 8 Command GPOAccelerator.wsf /SSLF /Vista /Laptop • Crea el SSLF GPOs descrito en la guía de seguridad de Windows Vista. Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows Vista. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows XP. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Crea y enlaza el EC GPOs de acuerdo a la estructura de ejemplo escrita en la guía de seguridad de Windows Vista. CARRERAS PROFESIONALES . Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO.wsf /Enterprise /LAB /Vista GPOAccelerator. Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows Vista. Comandos para implementar la guía de seguridad de Microsoft Office 2007 Command GPOAccelerator. GPOAccelerator.wsf /SSLF /Vista /Desktop GPOAccelerator.wsf /SSLF /XP GPOAccelerator.wsf /SSLF /XP /Desktop GPOAccelerator.wsf /Enterprise /XP GPOAccelerator. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Aplica la configuración de seguridad SSLF a Internet Explorer en la computadora local.wsf /Enterprise /LAB /XP Resultados Crea el EC GPOs descrito en la guía de seguridad de Windows XP.SISTEMAS OPERATIVOS LABORATORIO 105 GPOAccelerator. Comandos para implementar la guía de seguridad de Windows XP Comando GPOAccelerator.wsf /Enterprise /Office CIBERTEC Results Crea el EC GPOs descrito en la guía de seguridad de Microsoft Office 2007.wsf /SSLF /XP /Laptop • Aplica la configuración de seguridad de escritorio SSLF a la computadora local basada en Windows XP .wsf /SSLF /Vista GPOAccelerator. Aplica la configuración de seguridad de laptops SSLF a la computadora local basada en Windows X .

CARRERAS PROFESIONALES CIBERTEC .wsf /Restore {/Vista | /XP} Results Cambia la configuración en la computadora local para que todas las políticas estén visibles en el editor de políticas de grupo.106 GPOAccelerator. Restaura la configuración por defecto para Windows Vista o Windows XP a sus valores por defecto de la computadora local. después de ejecutar una prueba de testeo y quizás quieras restaurar la configuración por defecto y probar una configuración diferente.wsf /SSLF /Office • Crea el SSLF GPOs descrito en la guía de seguridad de Microsoft Office 2007. Revierte la configuración para mostrarla predeterminada en el Editor de directivas de grupo. las personalizaciones se perderán.wsf /ConfigSCE GPOAccelerator. Tienes que enlazar el GPOs al apropiado OUs para hacer efectivo este GPO. Otros Comandos para implementar.wsf /ResetSCE GPOAccelerator. Si su organización ha personalizado la configuración y ejecuta este comando. resetear. Por ejemplo. y restaurar los GPOs Command GPOAccelerator. Este comando es muy útil cuando preparas configuraciones personalizadas.

haga clic en GPOAccelerator. CIBERTEC CARRERAS PROFESIONALES .SISTEMAS OPERATIVOS LABORATORIO 107 1. En la página Bienvenido. La siguiente figura muestra la página de opciones de herramienta en el asistente que se puede utilizar para definir la forma en que desea establecer y desplegar su línea de base de seguridad. En el equipo. Haga clic en el acceso directo GPOAccelerator para abrir la carpeta de la herramienta de instalación. seleccione Todos los programas y. 2. haga clic en Inicio. 4. 3. Inicie sesión como un administrador de dominio para un equipo que ejecuta Windows Server 2008 que está unido al dominio mediante Active Directory en el que podrás crear los GPO. a continuación. Haga doble clic en el archivo GPOAccelerator.exe para iniciar el asistente.5 INSTALACIÓN DE GPOACCELERATOR 1. haga clic en Siguiente para acceder a esta página.

Usted puede utilizar esta opción para ejecutar el / ConfigSCE y / ResetSCE opciones de la línea de comandos discutidos en las guías de seguridad. Utilice esta opción para aplicar una línea de base de seguridad y modificar la configuración de seguridad predeterminada en un equipo cliente. tales como / Empresa. Tenga en cuenta que debe ser un administrador de dominio para utilizar esta opción. Tenga en cuenta que debe ser un administrador para utilizar esta opción. Nota: Debe ser un administrador para utilizar esta opción. • Local. El GPMC CARRERAS PROFESIONALES CIBERTEC . Esta opción te ofrece otras opciones en las páginas siguientes del asistente para ejecutar el / Desktop / Laptop. Utilice esta opción para aplicar una línea de base de seguridad y crear objetos de directiva de grupo (GPO) para un entorno basado en el dominio. Utilice esta opción para actualizar el Editor de configuración de seguridad (SCE) para mostrar la configuración de seguridad SMS. • Actualización de SCE.108 La página de opciones de herramienta ofrece las siguientes alternativas: • Dominio.6 IMPLEMENTA LAS POLITICAS DE SEGURIDAD Implementa las políticas de seguridad en el ambiente EC para desarrollar esta guía requiere Group Policy Management Console (GPMC). y / laboratorio para establecer y probar la seguridad básica. / SSLF. y / Restaurar las opciones de línea de comandos que se definen en las guías de seguridad para Windows XP y Windows Vista. 1. Esta opción te ofrece otras alternativas en las páginas siguientes del asistente para ejecutar una combinación de opciones.

wsf /WS08 /Enterprise /LAB y luego presione enter. tipea cscript GPOAccelerator.msc y luego clic en OK. Tipea gpmc.6. Nota: Esto puede tomar varios minutos. 5. CIBERTEC CARRERAS PROFESIONALES . seleccione WS08 EC Domain Policy. Tareas para la implementación: 1. En la ventana Make sure to link the Enterprise Domain GPO to your domain. y luego clic derecho en el command prompt Run as administrator para abrirlo con privilegios administrativos. clic en WS08 EC Domain Policy GPO. después clic All Programs. 3. y luego clic Link an existing GPO. Clic derecho en el acceso directo GPOAccelerator Command-line. y luego complete los siguientes pasos para enlazar la política WS08 EC Domain y WS08 EC Domain Controllers. Debajo del árbol de Dominios. y luego clic GPOAccelerator. En la ventana Select GPO. clic derecho en Domain Controllers OU. tipea gpmc. después clic All Programs. Clic en Start. 5. 4. Debajo del árbol de Dominios. En la ventana The Enterprise Lab Environment is created. 6. y luego clic en Run. 3. y luego clic en Yes. luego clic Accessories. Crea el ambiente EC 2.3 Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU 1.6. 5. En la ventana Select GPO. y luego clic en el boton Move link to top. 2. 2. 1. Luego clic en Yes para continuar. De la misma forma realiza los mismos pasos para configurar la seguridad en cada servidor. 4.msc y luego clic en OK. 6. En la ventana de texto Open. 2.2 Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio 1. y luego clic en el boton Move link to top. Clic en Start. luego clic Accessories. 1. clic en WS08 EC Domain Controller Baseline Policy GPO. Desde el command prompt. clic derecho en Domain. y luego clic OK. 3. después clic All Programs.6. o No para salir. Usa el GPMC para enlazar el WS08 EC Domain Policy al dominio. Clic en Start. y luego clic en Run. y luego clic Link an existing GPO. 3. 1. Usa el GPMC para verificar los resultados. 4. Usa el GPMC para enlazar el WS08 EC Domain Controllers Baseline Policy al Domain Controllers OU. En el panel de detalles.SISTEMAS OPERATIVOS LABORATORIO 109 esta integrado en Windows Server 2008.1 Crea el ambiente EC 1. entonces no necesita descargar la consola GPMC. 4. clic OK. clic OK. En el panel de detalles. selecciona WS08 EC Domain Controller Baseline Policy.

5. 3. CARRERAS PROFESIONALES CIBERTEC . y luego clic en el Dominio. y luego clic en Run. 4. Expanda el OU WS08 Member Servers OU. clic en Domains.110 1.4 Usa el GPMC para verificar los resultados 1. y luego clic en cada OU hijo.6. Clic en Start. Tipea gpmc. clic All Programs.msc y luego clic OK. 2. Verifique la estructura y si los enlaces con los GPOs coinciden con la siguiente figura. Clic en el bosque apropiado. clic Accessories.

wsf permite implementar las líneas base de seguridad EC y SSLF.microsoft.aspx CIBERTEC CARRERAS PROFESIONALES .  El análisis periódico permite al administrador hacer un seguimiento y comprobar que hay un nivel de seguridad adecuado en cada equipo.  Para más información puede consultar la siguiente página: http://technet.  El comando GPOAccelerator. debido a que es la más flexible con las configuraciones y funcionabilidad de los equipos.com/en-us/library/cc264463. como parte de un programa de administración del riesgo de la empresa.  La seguridad SSLF se recomienda en ambientes donde la prioridad es la seguridad.SISTEMAS OPERATIVOS LABORATORIO 111 Resumen  La herramienta GPOAccelerator permite implementar líneas de seguridad por medio de los GPOs EC y SSLF en servidores y estaciones de trabajo. pero la funcionabilidad puede ser comprometida.  La seguridad EC se recomienda en todos los ambientes de trabajo.

y tomar medidas de corrección para recuperarse de incidentes de seguridad que se produzca en la organización TEMARIO • Implementación de seguridad con Security Configuration and Analysis • Implementación de Microsoft Baseline security Analyzer • Asegurando los Servidores WEB • Administración de Windows Server Update Service ACTIVIDADES PROPUESTAS Los alumnos: • Determinan el estado de seguridad de los equipos. • Analizan la configuración de seguridad de los equipos. • Generan reportes del estado de seguridad de los equipos en la red.112 UNIDAD DE APRENDIZAJE 4 TEMA 7 FUNDAMENTOS DE SEGURIDAD DE RED LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. vulnerabilidades de seguridad. CARRERAS PROFESIONALES CIBERTEC . el alumno será capaz de identificar las amenazas.

El programa es online y requiere conexión a Internet. Para descargarlo sólo ingrese la siguiente dirección en su explorador: http://www.1.0 y 3.1 también es compatible con Microsoft Update. MBSA 2. CIBERTEC CARRERAS PROFESIONALES . auditores de seguridad y profesionales de TI. versiones de archivo y sumas de comprobación de archivos que se asocian a una actualización de seguridad determinada. compatibilidad de 64 bits. Vista. Windows Server 2008.com/downloads/details. Lo anterior iniciará el asistente para la instalación de Microsoft Baseline Analyzer. 2. Has doble clic sobre el archivo MBSASetup-X86. Windows Server 2008 R2.0.1.1. En la pantalla de bienvenida haga clic en Next. MBSA 2. IMPLEMENTACIÓN DE MICROSOFT BASELINE SECURITY ANALYZER Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalación de una actualización de software evaluando determinadas claves del Registro.microsoft. Actualmente. la herramienta SMS Inventory Tool for Microsoft Update (ITMU) y SCCM 2007.1 INSTALACIÓN DE MICROSOFT BASELINE ANALYZER 1. MBSA 2.1 es la última versión de la herramienta de análisis gratuita de evaluación de seguridad y vulnerabilidades de Microsoft para administradores.1 añade compatibilidad con Windows 7.aspx?familyid=B1E76BBE71DF-41E8-8B52-C871D012BA78&displaylang=en 1. una interfaz de usuario revisada.msi. Windows Server Update Services 2.SISTEMAS OPERATIVOS LABORATORIO 113 1. compatibilidad mejorada con Windows Embedded y compatibilidad con las últimas versiones del Agente de Windows Update (WUA) basadas en Microsoft Update.

114 3. acepte las condiciones del contrato de licencia y haga clic en Next. En la siguiente ventana. 4. CARRERAS PROFESIONALES CIBERTEC . Seleccione la carpeta de destino. y haga clic en Next.

primordialmente.SISTEMAS OPERATIVOS LABORATORIO 115 5. CIBERTEC CARRERAS PROFESIONALES . En el escritorio. Ahora aparecerá la ventana principal de Microsoft Security Analyzer. a los siguientes pasos: 1. has doble clic sobre Microsoft Baseline Security Analizer.2 USANDO MICROSOFT BASELINE ANALYZER Su uso se resume. Usted haga clic en Install y espere hasta que la instalación haya terminado. 2. 1.

Finalmente. automáticamente) y lo que se desea escanear. haga clic en Start scan. ingrese el nombre la máquina o su dirección IP. 6. b. View existing security scan reports: Muestra los reportes de escaneos anteriores. El escaneo ha iniciado. Scan a computer: Realiza el escaneo en una sóla máquina de la red. Como ejemplo vamos a escanear a una sola máquina (al Domain controller). Scan multiple computers: Realiza el escaneo en varias máquinas de la red. el nombre del reporte (se puede generar. En la pantalla principal. En la ventana mostrada. para ello Usted haga clic sobre Scan a computer. al terminar de escoger las opciones. lo primero que hace el programa es descargar la información de actualizaciones de seguridad desde Microsoft.116 3. CARRERAS PROFESIONALES CIBERTEC . se presentan 3 opciones: a. 4. c. esto abrirá la siguiente ventana: 5. anteriormente.

8.SISTEMAS OPERATIVOS LABORATORIO 117 7. CIBERTEC CARRERAS PROFESIONALES . se puede acceder a este reporte haciendo clic sobre View existing security scan reports. se muestra el reporte de resumen sobre los problemas de seguridad del equipo. Al final del escaneo. Posteriormente.

1.  Actualmente. auditores de seguridad y profesionales de TI.  MBSA permite analizar tanto la máquina local.com/es-es/security/cc184924. Vista. Windows Server 2008. cómo las de red. además permite el análisis simultáneo de computadores y permite la creación de registros que apoyan en el análisis del software.  Para más información consulte la siguiente web: http://technet.aspx CARRERAS PROFESIONALES CIBERTEC . Windows Server 2008 R2.1 añade compatibilidad con Windows 7.118 Resumen  Microsoft Baseline Security Analyzer (MBSA) determina el estado de instalación de una actualización de software evaluando determinadas claves del Registro.  MBSA 2. MBSA 2.1 es la última versión de la herramienta de análisis gratuita de evaluación de seguridad y vulnerabilidades de Microsoft para administradores.microsoft.1. versiones de archivo y sumas de comprobación de archivos que se asocian a una actualización de seguridad determinada.

SISTEMAS OPERATIVOS LABORATORIO 119 CIBERTEC CARRERAS PROFESIONALES .

el alumno será capaz de identificar las amenazas. • Implementan Servidores WEB seguros. y tomar medidas de corrección para recuperarse de incidentes de seguridad que se produzca en la organización.120 UNIDAD DE APRENDIZAJE 4 TEMA 8 FUNDAMENTOS DE SEGURIDAD DE RED LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. TEMARIO • Implementación de seguridad con Security Configuration and Analysis • Implementación de Microsoft Baseline security Analyzer • Asegurando los Servidores WEB • Administración de Windows Server Update Service ACTIVIDADES PROPUESTAS Los alumnos: • Configuran la seguridad en los navegadores. vulnerabilidades de seguridad. CARRERAS PROFESIONALES CIBERTEC .

Dichas LANs. ejecuta aplicaciones críticas en redes de áreas local LANs. Los problemas de seguridad relacionados con el protocolo http se dividen en tres grandes grupos en función de los datos a los que pueden afectar: 1.500 empleados. por tanto. están cada vez más expuestas a la amenaza de ataques externos perpetrados a través del acceso que proporcionan los servidores web. comúnmente en el puerto 80 del protocolo TCP) es el único que existe en la red (junto al Windows Live Messenger). hasta el punto de que muchas personas piensan que este servicio (http. con más de 2. mientras que si la empresa es pequeña es muy posible que haya elegido un servidor Web simple en su instalación y administración pero en el cual es muy difícil garantizar una mínima seguridad. Hoy en día las conexiones a servidores Web son sin duda las más extendidas entre usuarios de Internet.. en la actualidad mueve a diario millones de dólares y es uno de los pilares fundamentales de cualquier empresa: es. fácilmente. Sea por el motivo que sea. desde las más pequeñas a las grandes multinacionales. La oficina general de estadísticas de Estados Unidos. Lo que en un principio se diseñó para que unos cuantos físicos intercambiaran y consultaran artículos. sistemas propietarios de actualización de contenidos. o al menos modificar contenidos de forma no autorizada. pedida por el comité del senado de Asuntos gubernamentales. correctamente. y la información vital que albergan. tiene una página web en las que al menos trata de vender su imagen corporativa. los servidores Web suelen ser bastante complejos (alta disponibilidad. informó sobre la vulnerabilidad actual del departamento de la defensa (DoD) en sus CIBERTEC CARRERAS PROFESIONALES . La mayor parte de estos ataques tiene éxito gracias a una configuración incorrecta del servidor o a errores de diseño del mismo: si se trata de grandes empresas..) y difíciles de administrar. ASEGURANDO LOS SERVIDORES WEB Durante los últimos años. balanceo de carga. un objetivo muy atractivo para cualquier pirata. que permanezca disponible y que sólo pueda ser accedida por los usuarios a los que les esté legítimamente permitido. De un total de 61 organizaciones estudiadas se encontraron 142 accesos no autorizados y decenas de incidentes relacionados con Hackers en los últimos tres meses. gracias a los servidores Web que un sistema pueda albergar. los servidores Web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie. la cuestión es que cada día es más sencillo para un pirata ejecutar órdenes de forma remota en una máquina.1 SEGURIDAD EN EL SERVIDOR Es necesario garantizar que la información almacenada en la máquina servidor no pueda ser modificada sin autorización.SISTEMAS OPERATIVOS LABORATORIO 121 1. Una encuesta de Ernst & Young encontró que cuatro de cada cinco organizaciones grandes.

que no sufran modificaciones de terceros) y también. el servidor web se configura para proporcionar sólo contenido estático.000 ataques lanzados en contra del DoD un 65 % fue exitoso. por un atacante. Para proporcionar una mayor seguridad. las acciones emprendidas en pos de la seguridad pueden proveer una protección suficiente en la mayoría de los casos. es vital garantizar que los datos que recibe el cliente desde el servidor sean los mismos que se están enviando (esto es. Estos cambios se combinan para proporcionar cuatro ventajas. garantizar que la información que el usuario envía hacia el servidor no sea capturada. IIS 7 no se instala en Windows Server® 2008 de forma predeterminada y al instalar IIS 7. Una nueva cuenta integrada de Windows denominada IUSRS reemplaza la cuenta local IUSR_Nombre de equipo anónima de IIS 6. b) La capacidad de utilizar una cuenta anónima personalizada sin deshabilitar la cuenta anónima de IIS. CARRERAS PROFESIONALES CIBERTEC . o en el comercio electrónico y el intercambio de números de tarjetas de crédito.3 SEGURIDAD EN EL CLIENTE Por último es necesario garantizar al usuario que lo que descarga de un servidor no va a perjudicar a la seguridad de su equipo. La protección del servidor en cada uno de los aspectos mencionados es responsabilidad del administrador del sistema y si bien no se puede considerar al servidor totalmente seguro. Este contenido incluye archivos HTML y de imagen. como en el caso de las contraseñas que el usuario teclea para autenticarse en el servidor. declarando que de 250. 1. Esto es. En la lista siguiente. Sin llegar a extremos de applets maliciosos o programas con virus. de foma breve. si simplemente. c) El mantenimiento de listas de control de acceso (ACL) coherentes entre varios servidores web utilizando un identificador de seguridad común (SID). sus ventajas: a) Un nuevo grupo integrado de Windows denominado IIS_IUSRS reemplaza el grupo IIS_WPG local. con seguridad. 1. Sin embargo. con la consecuente pérdida de imagen y posiblemente. el navegador del usuario “se cuelga” al acceder al visitar las páginas de una organización. de un futuro cliente para esa entidad. esa persona dejará de visitarlas. importante si la información en tránsito es secreta.0. se describen las nuevas características de seguridad de IIS 7 y se explican. la cuenta IUSR_nombre de equipo continuará utilizándose para FTP.2 SEGURIDAD EN LA RED Cuando un usuario se conecta a un servidor Web se produce un intercambio de información entre ambos. especialmente.122 sistemas informáticos no clasificados.

De esta forma.NET existente. e) En IIS 7 se incorporan las características de la herramienta de seguridad UrlScan 2. junto al usuario “nmartinez”. por tanto. Primero hay que deshabilitar Internet Explorer Enhanced Security Configuration (IE ESC) en el servidor. ya no es necesario descargar una herramienta aparte. además de proporcionar compatibilidad con la característica de concesión o denegación de IIS 6. previamente.SISTEMAS OPERATIVOS LABORATORIO 123 d) La lista de restricciones de IP se puede configurar para denegar el acceso al contenido en un solo equipo. se mostrará un ejemplo sobre como configurar las opciones de seguridad para el navegador Internet Explorer. 2. haga clic sobre Server Manager y haga clic sobre Configure IE ESC. este cambio proporciona compatibilidad con toda la funcionalidad de la implementación de código administrado de ASP. Logon name: nmartinez Pasos 1. se permite la herencia y combinación de reglas de restricción de direcciones IP.0. en un grupo de equipos. Para esto Seleccione a Start. CONFIGURANDO LA SEGURIDAD DE LOS NAVEGADORES A continuación. en un domino o en todas las direcciones IP y entradas no registradas.5 y. Para mantener la coherencia. f) IIS 7 admite la autorización de direcciones URL en código nativo. CIBERTEC CARRERAS PROFESIONALES . Las zonas de seguridad se configurarán en el servidor por medio de GPO aplicado a los usuarios del OU “Contabilidad” que deberá crearse.

Administrative Tools.124 2. Seleccione a Start. Para esto. 3. Deshabilite IE ESC tanto para los usuarios (Users) como para los administradores (Administrators). se mostrará la siguiente ventana: CARRERAS PROFESIONALES CIBERTEC . marque off en ambos y haga clic en OK. y haga clic en Group Policy Management.

and link it here… 5. En el panel izquierdo. ponga el nombre “IESec” al GPO. Esto enlazará al GPO en el OU de Contabilidad. CIBERTEC CARRERAS PROFESIONALES . En la siguiente ventana.SISTEMAS OPERATIVOS LABORATORIO 125 4. usted haga clic derecho sobre el OU Contabilidad y seleccione Create a GPO in this domain.

Policies. Usted haga clic derecho sobre el GPO creado y seleccione Edit en el menú contextual. despliegue User configuration. 7. has doble clic sobre Security Zones and Content Ratings. En la ventana Group Policy Management Editor. En el panel derecho. Internet Explorer Maintenance y finalmente. CARRERAS PROFESIONALES CIBERTEC .126 6. esto llamará a la siguiente ventana. seleccione Security. 8.

En el grupo Security Zones and Privacy. 10. éste nos advierte que la configuración realizada aquí sólo afectará a máquinas que no tengan habilitadas el IE ESC. Posteriormente.SISTEMAS OPERATIVOS LABORATORIO 127 9. hacer clic en OK en las ventanas Internet properties y Security Zones and Content Ratings una vez terminada la personalización. hacer clic en el botón Continue del cuadro de diálogo. En esta ventana se configura las opciones de seguridad para Internet que sean necesarias o requeridas. Haga clic en el botón Modify Settings. esto llamará a la ventana de configuración de Internet. CIBERTEC CARRERAS PROFESIONALES . seleccione Import the current security zones and privacy settings. Finalmente.

Internet Explorer y finalmente. contraiga Windows Settings y en Policies (dentro de User Configuration) despliegue Administratives Templates: Policy definitions (ADMX files) retrieved from the local machine. luego despliegue Windows Components. seleccione Internet Control Panel. establece el estado de las políticas tal como se muestra en la siguiente imagen. en el panel derecho. Ahora.128 11. Esto se hace para que los usuarios que son afectados por el GPO no puedan realizar cambios en la configuración de seguridad: CARRERAS PROFESIONALES CIBERTEC . 12. En Group Policy Management Editor.

seguridad y contenido no visibles CIBERTEC CARRERAS PROFESIONALES . cierre las ventanas de Group Policy Management Editor y Group Policy Management . 14. valídese con el usuario “nmartinez” en una máquina cliente y vemos el siguiente comportamiento: Pestañas de conexión. Finalmente. Para probar la configuración.SISTEMAS OPERATIVOS LABORATORIO 129 13.

3. Esto proporciona una protección razonable contra ataques eavesdropping y man-in-the-middle. CARRERAS PROFESIONALES CIBERTEC . CONFIGURANDO CERTIFICADO DE SEGURIDAD EN EL SERVIDOR WEB Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). es la versión segura de HTTP.130 No se pueden descargar archivos debido a la zona de seguridad escogida (Zona Alta). destinado a la transferencia segura de datos de hipertexto. es un protocolo de red basado en el protocolo HTTP. La idea principal de HTTPS es la de crear un canal seguro sobre una red insegura. Para que una página sea considerada “segura” debe hacer uso de HTTPS. Los certificados de servidor contienen también información sobre la clave pública del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor. como un número de tarjeta de crédito. Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales. HTTPS. siempre que se empleen métodos de cifrado adecuados y que el certificado del servidor sea verificado y resulte de confianza. es decir.

se siguen tres etapas: solicitar el certificado. Para configurar los certificados de seguridad en IIS 7. normalmente) no pueda ser usada por un atacante que haya conseguido interceptar la transferencia de datos de la conexión. haga clic en Internet Information Services (IIS) Manager. Para esta etapa se siguen los siguientes pasos: 1. se consigue que la información sensible (usuario y claves de paso. CIBERTEC CARRERAS PROFESIONALES . Seleccione Start. De este modo.1. luego en el grupo IIS seleccione Server Certificates. El puerto estándar para este protocolo es el 443. Seleccione su servidor en panel izquierdo.SISTEMAS OPERATIVOS LABORATORIO 131 El sistema HTTPS utiliza un cifrado basado en SSL/TLS para crear un canal cifrado (cuyo nivel de cifrado depende del servidor remoto y del navegador utilizado por el cliente) más apropiado para el tráfico de información sensible que el protocolo HTTP. ya que lo único que obtendrá será un flujo de datos cifrados que le resultará imposible de descifrar.1 Solicitar el certificado.0 3. instalar el certificado y enlazar el certificado a un Website. Administrative Tools y por último. 3. 2.1 IMPLEMENTACIÓN DE CERTIFICADOS EN UN WEB SITE CON IIS 7.

4.132 3. CARRERAS PROFESIONALES CIBERTEC . b. Luego de ingresado los datos. El Internet Information Services (IIS) Manager configure como se muestra en la siguiente imagen. haga clic en Create Certificate Request. Haga doble clic en Server Certificates. e. ingrese los datos siguientes: a. c. En el panel Actions. Debe ser FQDN. f. Country/Region: Escribe el nombre del país o región donde reside su organización o unidad organizativa. d. Organizational unit: Escribe el nombre de la unidad organizativa de la organización en la que se utilizará el certificado. State/Province: Escribe el nombre sin abreviar del estado o provincia donde reside su organización o unidad organizativa. City/Locality: Escribe el nombre sin abreviar de la ciudad o localidad donde reside su organización o unidad organizativa. Common name: Escribe un nombre para el certificado. haga clic en Next. Oraganization: Escribe el nombre de la organización en la que se utilizará el certificado. En la ventana que se despliega.

En la lista desplegable Longitud en bits. Escribe el nombre “Prueba” en el cuadro de texto o Usted haga clic en el botón de exploración (. De forma predeterminada. 6..SISTEMAS OPERATIVOS LABORATORIO 133 5. el proveedor RSA SChannel utiliza una longitud en bits de 1024. seleccione Microsoft RSA SChannel Cryptographic. luego Usted haga clic en Next. IIS 7 utiliza Microsoft RSA SChannel Cryptographic Provider. seleccione una longitud en bits que puede utilizar el proveedor. De forma predeterminada. En la página File Name.. En la ventana de Cryptographic Service Provider Properties. el mismo valor será usado para el ejemplo.) para buscar un CIBERTEC CARRERAS PROFESIONALES .

Envíe la solicitud de certificado a una entidad de certificación pública. el archivo se ubica en %systemroot%\System32 si es que sólo ha especificado el nombre de archivo en la ventana anterior. La entidad responderá con prueba. a continuación.2 Instalar el certificado en el Web Site 1. CARRERAS PROFESIONALES CIBERTEC . 7. haga clic en Internet Information Services (IIS) Manager.csr. haga clic en Finish. Administrative Tools y finalmente. Seleccione a Start.cer 3.1. Eso creará el archivo Prueba.134 archivo y.

CIBERTEC CARRERAS PROFESIONALES . luego en el grupo IIS seleccione Server Certificates. 3.SISTEMAS OPERATIVOS LABORATORIO 135 2. Seleccione el servidor en el panel izquierdo. Haga doble clic en Server Certificates. La ventana de Internet Information Services (IIS) Manager cambiará a lo que se muestra en la siguiente imagen.

CARRERAS PROFESIONALES CIBERTEC . En la ventana anterior. Finalmente.136 4. escribe el nombre “PruebaIIS7” para su certificado y haga clic en OK. 5. En el panel Actions. Escribe la ruta de acceso del archivo que contiene la respuesta de la entidad de certificación o haga clic en el botón de exploración (…) para buscar el archivo y poner dicha ruta en el cuadro de texto. haga clic en Complete Certificate Request.

seleccione y despliegue el servidor. Administrative Tools y para finalizar. utilizaremos el Default Web Site. 1. despliegue Sites y seleccione Default Web Site. En el panel Connections.SISTEMAS OPERATIVOS LABORATORIO 137 6. posteriormente. Seleccione a Start. el certificado estará instalado para el uso en un Website del IIS (Esto puede verificarlo en Server Certificates). 2. 3. Finalmente.1. haga clic en Internet Information Services (IIS) Manager.3 Enlaza el certificado al Website. Para este ejemplo. CIBERTEC CARRERAS PROFESIONALES .

5. haga clic en Add. se ha añadido Browse *:443 (https).138 3. CARRERAS PROFESIONALES CIBERTEC . 4. Observe que en el panel Actions. Esto abrirá la siguiente ventana. seleccione Bindings. En el panel Actions. En la ventana anterior. Y en la ventana que se despliega seleccione https en el cuadro combinado Type. y en SSL Certificate seleccione el certificado “PruebaIIS7” y al finalizar. haga clic en OK.

Ejecute Internet Explorer https://serv01. En la parte baja de la ficha General.com. instalar certificados intermedios a fin de identificar a un servidor y evitar el error de certificado no garantizado. e ingrese a la dirección Nota: En algunos casos es necesario.nwtraders. CARRERAS PROFESIONALES . con cada certificado intermedio. se siguen los siguientes pasos: - CIBERTEC Descargue el certificado intermedio a una carpeta del servidor. Parar estos casos. haga clic en el botón Install Certificate para iniciar el asistente de importación de certificados. Has doble clic sobre el certificado para poder ver sus propiedades.SISTEMAS OPERATIVOS LABORATORIO 139 6.

luego despliegue la carpeta Intermediate Certification Authorities. en Finish.Marque la casilla de verificación Show physical stores. CARRERAS PROFESIONALES CIBERTEC . Clic en Next.140 - Seleccione Place all certificates in the following store y haga clic en Browse. después. Clic en OK. . seleccione la carpeta Local Computer.

2. como es el caso de un entorno de prueba de software. finalmente. CIBERTEC CARRERAS PROFESIONALES . Seleccione el servidor en panel izquierdo. Administrative Tool.0 El uso de los certificados autofirmados para un equipo local es útil en los siguientes casos: - - Para solucionar los problemas relacionados con los certificados de otros fabricantes.2 IMPLEMENTA UN CERTIFICADO AUTOFIMARDO EN IIS 7. Para administrar IIS de manera remota. 3.SISTEMAS OPERATIVOS LABORATORIO 141 3. 3. luego en el grupo IIS seleccione Server Certificates. Para probar las características que dependen de la configuración de SSL. El Internet Information Services (IIS) Manager cambiará a lo que se muestra en la siguiente imagen.2.1 Los pasos para implementar un certificado autofirmado son: 1. Para crear un canal privado seguro entre su servidor y un grupo limitado de usuarios conocidos. Haga doble clic en Server Certificates. haga clic en Internet Information Services (IIS) Manager. Seleccione a Start.

ahora adjuntelo a un Web Site (por ejemplo a Contoso. En el panel Actions. El certificado ya estará creado.com). 5. Para ello. haga clic en OK. ingrese un nombre para el certificado. Esto abrirá la siguiente ventana. seleccione Bindings. CARRERAS PROFESIONALES CIBERTEC . escribe “SelfCert” como nombre al finalizar. haga clic en Create Self-Signed Certificiate. Para el ejemplo. seleccione el Web Site y en el panel Actions. En la ventana que se despliega.142 4.

haga clic en OK.com (o el nombre de su Web Site) y vemos que se obtiene lo siguiente.SISTEMAS OPERATIVOS LABORATORIO 143 6. Simplemente.contoso. En la ventana anterior. 8. haga clic en Add. Ahora ingrese a la dirección https://www. Cierre la ventana Set Bindings. Lo cual ocurre por tratarse de un certificado que sólo se usa con fines de prueba o con redes de pocos usuarios. Y en la ventana que se despliega. seleccione https en el cuadro combinado Type. y en SSL Certificate seleccione el certificado “SelfCert” al finalizar. seleccione Continue to this website para ver la siguiente pantalla. CIBERTEC CARRERAS PROFESIONALES . 7.

144 CARRERAS PROFESIONALES CIBERTEC .

como un número de tarjeta de crédito. tiene una página web en las que al menos trata de vender su imagen corporativa.  Sólo para fines de prueba y en redes pequeñas (sólo los usuarios de una intranet requieren seguridad) puede hacer uso de certificados autofirmados.  Para que una página sea considerada “segura” debe hacer uso de HTTPS.  Si desea saber más acerca de estos temas. Los certificados de servidor permiten a los usuarios confirmar la identidad de un servidor web antes de transmitir datos confidenciales.microsoft.10%29.  La mayor parte de estos ataques tiene éxito gracias a una configuración incorrecta del servidor o a errores de diseño del mismo.SISTEMAS OPERATIVOS LABORATORIO 145 Resumen  Durante los últimos años los servidores Web se han convertido en una excelente fuente de diversión para piratas: cualquier empresa que se precie. se desarrollan tres etapas: solicitar el certificado.10%29. instalarlo y enlazarlo a un Website.aspx CIBERTEC CARRERAS PROFESIONALES . desde las más pequeñas a las grandes multinacionales. http://technet.aspx http://technet.microsoft.  Para configurar los certificados de seguridad en IIS 7.com/es-es/library/cc731278%28WS.com/es-es/library/cc732230%28WS. Los certificados de servidor contienen también información sobre la clave pública del servidor para que los datos se puedan cifrar y enviar de nuevo al servidor.  Los certificados forman parte del cifrado de Capa de sockets seguros (SSL). puede consultar las siguientes páginas.

146 CARRERAS PROFESIONALES CIBERTEC .

el alumno será capaz de identificar las amenazas. CIBERTEC CARRERAS PROFESIONALES . • Aplican actualizaciones de seguridad en los equipos de la red. y administran el Servidor WSUS. y tomar medidas de corrección para recuperarse de incidentes de seguridad que se produzca en la organización.SISTEMAS OPERATIVOS LABORATORIO 147 UNIDAD DE APRENDIZAJE 4 TEMA 9 FUNDAMENTOS DE SEGURIDAD DE RED LOGRO DE LA UNIDAD DE APRENDIZAJE • Al término de la unidad. vulnerabilidades de seguridad. configuran. TEMARIO • Implementación de seguridad con Security Configuration and Analysis • Implementación de Microsoft Baseline security Analyzer • Asegurando los Servidores WEB • Administración de Windows Server Update Service ACTIVIDADES PROPUESTAS Los alumnos: • Instalan.

o controladores críticos. En esta sección se describirá como instalar los componentes servidor y cliente de WSUS. y luego las distribuyen manualmente o usando la herramienta tradicional distribución de software. manualmente. y Windows Server. una herramienta para administrar y distribuir actualizaciones de software que resuelven conocidas vulnerabilidades de seguridad y brinda estabilidad al sistema operativo Windows 2000 y versiones modernas. 1. Soluciona problemas de seguridad y otras actualizaciones importantes para mantener nuestras computadoras y redes seguras. Estas actualizaciones resuelven problemas conocidos de seguridad y brinda estabilidad en los sistemas operativos Windows 2000. Nuevo contenido es agregado regularmente al Web Site. Usa Microsoft Update para obtener las actualizaciones de los sistemas operativos y de las aplicaciones de Windows. ADMINISTRACIÓN DE WINDOWS SERVER UPDATE SERVICES En esta sección implementaremos Microsoft Windows Server Update Services (WSUS). Por medio de WSUS. los administradores pueden realizar estas tareas automáticamente.1 ¿Qué son las actualizaciones? Las actualizaciones pueden incluir arreglos en la seguridad. El Web Site de Microsoft Update también tiene actualizaciones para aplicaciones como Microsoft Office. 1.148 1.1. entonces siempre puede obtener las actualizaciones más recientes para proteger el servidor y las computadoras clientes de la red. verifican las actualizaciones esos ambientes de prueba. CARRERAS PROFESIONALES CIBERTEC . las actualizaciones disponibles. como a otras aplicaciones de Microsoft. 1.1 ¿QUÉ ES MICROSOFT UPDATE? Microsoft Update es un Web Site que mantiene sus sistemas actualizados. y software. Los administradores descargan. Microsoft Exchange Server y Microsoft SQL Server. A continuación. los administradores mantienen actualizado los sistemas por medio de una frecuente verificación del Web Site Microsoft Update o el Web Site Security para actualizaciones de software.2 Las categorías de las actualizaciones Las categorías de las actualizaciones para los sistemas operativos de Windows son: • Actualizaciones críticas. controladores de dispositivos actualizados.1. Windows XP. describiremos WSUS y cómo trabaja con Microsoft Update y Actualizaciones automáticas. proveerá información necesaria acerca de la administración de la infraestructura de WSUS. actualizaciones críticas. También. Tradicionalmente.

Que permite descargar e instalar actualizaciones al sistema operativo sin ninguna intervención del usuario. Windows se lo indicará. 1. Si tiene que reiniciar el equipo para que una actualización surta efecto.m. el icono de Windows Update aparece en el área de notificación y la alerta se muestra para hacerle saber que las actualizaciones están listas para ser instaladas. Windows se lo indicará y usted reiniciará el equipo cuando haya programado. Si necesita ayuda para completar el proceso de instalación. Herramientas de Windows. Cuando se conecta a Internet. Utilidades y otras herramientas qué son brindadas para mejorar el rendimiento y facilitar las actualizaciones. las actualizaciones que se hayan descargado en el equipo se instalarán a las 3 a. Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas.1 Opciones de actualizaciones automáticas Las actualizaciones automáticas brindan mayor flexibilidad para decidir cómo y cuándo las actualizaciones serán instaladas. de manera centralizada. pero permitirme elegir cuándo instalarlas. Para recibir alertas. Windows busca y descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. por el administrador. Una vez completada la descarga.SISTEMAS OPERATIVOS LABORATORIO 149 • • Descargas recomendadas. automáticamente. es posible que tenga que aceptar un contrato de licencia para el usuario final (CLUF) para poder instalar algunas actualizaciones. Por ejemplo. Los últimos service packs de Windows y Microsoft Internet Explorer y otras actualizaciones importantes. 1. La configuración de Automatic Updates puede ser controlado. Puede instalar todas las actualizaciones disponibles o sólo algunas. Si no cambia la programación predeterminada.2 ¿QUÉ SON LAS ACTUALIZACIONES AUTOMÁTICAS? Actualizaciones automáticas es una opción configurable en Windows. he instaladas • Descargar actualizaciones por mí. Las actualizaciones pueden ser descargadas desde el Web Site Microsoft Update o desde un servidor WSUS. debe ser miembro del grupo Administradores de su equipo. Estas opciones son: • Automáticas. Cuando se conecta a Internet. haga clic en el icono o en la alerta. Si el equipo está apagado cuando se haya programado realizar una actualización.2. Para revisar e instalar las actualizaciones disponibles. Las actualizaciones son descargadas. Windows instalará las actualizaciones la próxima vez que se inicie el equipo. CIBERTEC CARRERAS PROFESIONALES .

es aconsejable que instale con regularidad las actualizaciones del sitio Web Windows Update (http://www. el icono de Windows Update vuelve a aparecer en el área de notificación. pero no descargarlas. Éste actúa como punto para distribuir actualizaciones a las estaciones de trabajo y servidores. CARRERAS PROFESIONALES CIBERTEC . de forma automática. • Desactivar actualizaciones automáticas. Cuando la descarga ha finalizado. Windows comprueba si hay actualizaciones importantes y le informa si hay alguna disponible. Los virus también se pueden extender a través de Internet a otras personas a las que envíe correo electrónico. las actualizaciones no se descargan ni se instalan en su equipo a menos que usted lo decida. • Microsoft Windows 2000 Professional SP4.150 • Notificarme. 1. 1. • Microsoft Windows XP Professional SP2 o superior. Esto significa que el equipo puede ser vulnerable a las amenazas de seguridad y los virus peligrosos que puedan dañar el equipo o los archivos. ni instalarlas. Windows Server 2000 Server SP4. Para descargar e instalar las actualizaciones usted mismo.com/).microsoft.3. o Windows 2000 Advanced Server UIT SP4. Puede elegir instalar todas las actualizaciones disponibles o sólo algunas. • Windows Server 2008 o superior. podrá seleccionar las actualizaciones que se tienen que descargar. con las que comparta archivos o con las que trabaje en una red.3 ¿QUÉ ES WINDOWS SERVER UPDATE SERVICES? WSUS es un componente opcional para Windows Server 2000 y 2003 que puede ser descargado desde el Web Site de Microsoft. Cuando Usted haga clic en el icono o en la alerta. De forma continua. Windows descarga las actualizaciones en segundo plano: no se le informa ni se le interrumpe durante el proceso y las actualizaciones no interfieren con otras descargas. se están desarrollando nuevos virus y amenazas de seguridad por lo que contribuir a proteger su equipo es un proceso ininterrumpido. debe ser miembro del grupo Administradores de su equipo. Cuando Windows encuentra actualizaciones para su equipo. el icono de Windows Update aparece en el área de notificación y la alerta se muestra para hacerle saber que las actualizaciones están listas para ser instaladas. Nunca se le informará cuando haya actualizaciones importantes disponibles para su equipo y no se le pedirá que las descargue ni las instale. esta vez para indicarle que las actualizaciones están listas para ser instaladas.1 Clientes soportados: WSUS Service Pack 1 soportará los siguientes clientes: • Windows Vista o superior. Si no activa Actualizaciones automáticas. • Cualquier edición de Microsoft Windows 2003.

1. • Microsoft ISA Server 2004 • Microsoft Exchange Server 2000 y recientes. El firewall tiene que estar configurado para permitirle al servidor interno sincronizar el contenido con el Web Site de Microsoft Update cuando existan actualizaciones críticas disponibles para Windows. 2. Las actualizaciones sincronizadas tienen que ser aprobadas antes de que puedan ser instaladas en las computadoras clientes. • Windows Small Business Server 2003. Éste es un beneficio que brinda WSUS sobre Microsoft Update. puede implementar el servidor WSUS en varios escenarios. • Windows Defender. El cliente tiene que estar configurado con la ubicación del servidor WSUS. Puede escoger el escenario de implementación que CIBERTEC CARRERAS PROFESIONALES . • Microsoft SQL Server 2000 y recientes. 1.2 Software soportado: WSUS 3. ESCENARIOS Y REQUERIMIENTOS PARA INSTALAR WINDOWS SERVER UPDATE SERVICES WSUS consiste de ambos componentes del lado del cliente y del lado del servidor para brindar una solución básica en la administración crítica de actualizaciones.1 IMPLEMENTACIÓN DE ESCENARIOS WSUS Para permitir diversas situaciones. La sincronización puede ser automática.SISTEMAS OPERATIVOS LABORATORIO 151 1. o el administrador puede realizarla manualmente. En esta lección. Usar Group Policy es lo más recomendado.0 Service Pack 1 actualizará todos los productos siguientes: • Microsoft Office XP y recientes. explicaremos como instalar y configurar ambos componentes tanto en el cliente y en el servidor de WSUS. • Microsoft Forefront. • Windows Live.3.4 COMPONENTE DEL SERVIDOR Instale el componente del servidor de WSUS en un servidor que este ejecutando Windows Server 2003 o Windows Server 2008 dentro del firewall de la empresa. • Microsoft Data Protection Manager. 2.5 COMPONENTE DEL CLIENTE Las actualizaciones automáticas es el software cliente que descarga e instala las actualizaciones desde el servidor WSUS. La ubicación se puede configurar a través del regedit o usando Group Policy. Esto permite verificar las actualizaciones con aplicaciones corporativas antes de distribuirlas.

tal y como se muestra en la figura siguiente.2 Varios servidores WSUS independientes Los administradores pueden implementar varios servidores configurados de forma que cada uno sea administrado. El método de implementación en este escenario sería apropiado en situaciones en las que los diferentes segmentos de redes de área local (LAN) o redes de área extensa (WAN) se administran como entidades separadas (por ejemplo. los administradores pueden configurar un servidor que ejecute WSUS dentro de su firewall corporativo. tal como se muestra en la figura siguiente. 2. y sincronice su contenido desde Microsoft Update.1 Un solo servidor WSUS (red pequeña o sencilla) En un escenario con un solo servidor WSUS.1.152 sea el más apropiado para tú organización. 2. También.1. el cual sincroniza el contenido directamente con Microsoft Update y distribuye las actualizaciones entre los equipos cliente. sería adecuada cuando un CARRERAS PROFESIONALES CIBERTEC . sucursales). Los factores de decisión quizás incluya el número de ubicaciones en red vuelve ancho de banda de tu conexión de Internet. independientemente.

En este ejemplo. con cuyo origen se sincroniza el servidor que sigue en la cadena. Si es necesario. por ejemplo. 2. éste CIBERTEC CARRERAS PROFESIONALES .4 Servidores WSUS desconectados Si la directiva corporativa u otras condiciones limitan el acceso del equipo a Internet. los servidores pueden ubicarse a través de una red. sin embargo. por ejemplo.3 Varios servidores WSUS sincronizados internamente Los administradores pueden implementar varios servidores que ejecuten WSUS y que sincronicen todo el contenido de la intranet de la organización. Windows XP).1. dispersa para ofrecer la mejor conectividad posible a todos los equipos cliente. En esta configuración. sólo hay un servidor expuesto a Internet. éste es el único servidor que descarga actualizaciones desde Microsoft Update. Windows 2000). 2. mientras otro servidor se ha configurado para implementar actualizaciones sólo en equipos cliente que ejecutan otros sistemas operativos (como.SISTEMAS OPERATIVOS LABORATORIO 153 servidor que ejecuta WSUS se ha configurado para implementar actualizaciones sólo en equipos cliente que ejecutan un sistema operativo determinado (como.1. los administradores pueden configurar un servidor interno que ejecute WSUS. se creó un servidor para conectarlo a Internet. tal como se muestra en la figura siguiente. Este servidor está establecido como el servidor que precede en la cadena. En la figura siguiente. geográficamente.

0 • Microsoft Management Console 3.2 Instalación en Windows Server 2003 WSUS 3. el administrador importaría los metadatos y contenido de las actualizaciones en los servidores que ejecutan WSUS dentro de la intranet. La instalación en Windows Server 2003 requiere los siguientes prerrequisitos: • Internet Information Services.3 Instalación en Windows Server 2008 • Instale deIIS desde el sistema operativo. Luego. probar y aprobar las actualizaciones en este servidor. 2.0 Service Pack 1 no puede ser instalado en Windows 2000 Server.NET version 2.1 Requerimientos de almacenamiento • 1 GB en la partición del sistema.154 se encuentra aislado de la intranet. Aunque la figura siguiente muestra este modelo en su forma más sencilla. • 2 GB para el volumen en donde se almacenan los archivos de la base de datos. a continuación. • . un administrador podría. Después que descargar.2. • 20 GB para el volumen en donde estará almacenado el contenido.0 • Microsoft Report Viewer • Microsoft SQL Server 2005 SP1 o superior. 2. 2.2. desde estos medios.2. Asegúrese que los siguientes componentes están habilitados: • Windows Authentication CARRERAS PROFESIONALES CIBERTEC . éste podría escalarse a una implementación de cualquier tamaño.2 REQUERIMIENTOS DEL SERVIDOR WSUS 2. exportar los metadatos y contenido de las actualizaciones a los medios apropiados.

0 están instalados como parte del sistema operativo.  .3.3. CARRERAS PROFESIONALES . 2.NET 2. las configuraciones por defecto de la política de grupo que estaban incluidas con Windows Server 2003 no van a permitir configurar todas las opciones vigentes de las actualizaciones automáticas.1 Actualiza la plantilla administrativa de la política de grupo. Frecuencia de detección para actualizaciones automáticas.3 Configuraciones de actualizaciones automáticas usando política de grupo. WSUS habilita varias opciones de actualizaciones automáticas que están disponibles en versiones anteriores de clientes. La configuración para las actualizaciones automáticas está ubicada en Computer Configuration\Administrative Templates\Windows Components\Windows Update.2 Control administrativo usando política de grupo.NET 6.0 y MMC 3. descárguelo desde el Web Site de Microsoft. También. 2.  Microsoft SQL Server 2005 SP2 o superior.3 CONFIGURACIÓN DE ACTUALIZACIONES AUTOMÁTICAS La política de grupo es la forma más apropiada de configurar las opciones para actualizaciones automáticas.0 Management Compatibility 6. 2. 2. las opciones de actualizaciones automáticas en el panel de control están deshabitadas en la computadora destino cuando las políticas administrativas han sido configuradas.3.SISTEMAS OPERATIVOS LABORATORIO 155 • • • • Static Content ASP. Como consecuencia. Permite que los usuarios no administradores reciban notificaciones de actualización. Las opciones de configuración que han sido definidas por el administrador usando política de grupo siempre sobrescribirán a las opciones definidas por el usuario. Esto permite una configuración centralizada y distribuida para todas las computadoras clientes WSUS sin ninguna interacción del usuario. El administrador puede ejecutar políticas de actualización a todas las computadoras desde una ubicación central. Varias configuraciones de actualizaciones automáticas usando política de grupo son las siguientes: • • • • CIBERTEC Específica la ubicación de la intranet Microsoft update service.0 IIS Metabase Compatibility  Instale Microsoft Report Viewer. Permite la instalación inmediata de las actualizaciones automáticas.

CARRERAS PROFESIONALES CIBERTEC . Administrar el grupo de computadoras.156 1 ADMINISTRANDO WINDOWS SERVER UPDATE SERVICES Como administrador. Es muy importante tener un backup de la configuración de WSUS y de esta forma podamos restaurar la configuración en caso de un evento de desastre. aprobaciones automáticas. La nueva interfase brinda las siguientes características: • • • • • Cada nodo de la página principal contiene una vista previa de todas las tareas asociadas con este nodo. o de forma manual. Generar reportes del estado de las actualizaciones. así como también aprobar e instalar las actualizaciones. Los administradores pueden configurar este proceso. Existen 5 tareas primarias para administrar WSUS • Revisar el estatus de la información. computadoras. o si primero va a verificar las actualizaciones en una computadora de prueba. • • • • 1. artículo KB. y estado de la instalación. 1. Revisar y aprobar las actualizaciones para los clientes. Ahora.2 COMO TRABAJA LA SINCRONIZACIÓN Los servidores que ejecutan WSUS son actualizados en un proceso llamado sincronización. Configurar las opciones para la sincronización de WSUS. Reporte integrado. sincronización.1 CONSOLA DE ADMINISTRACIÓN DE WINDOWS UPDATE SERVICES La consola de administración WSUS 3.0 (Microsoft Management Console). va a decidir cuando instalar las actualizaciones. y configuración de WSUS. Filtro avanzado. Acceso directo a menús. que te permite realizar una acción con el clic derecho.0 ha sido movida desde la consola basada en Web hacia el MMC 3. Nuevas columnas que te permite organizar las actualizaciones de acuerdo al tipo: número MSRC. Este proceso compara el software del servidor WSUS con las últimas actualizaciones liberadas del Web Site Microsoft Update. automáticamente. como las actualizaciones requeridas por las computadoras. y asignar computadoras a los grupos. analizaremos como ver el contenido de las actualizaciones sincronizadas.

Para otros servidores WSUS.2 Clasificación de productos y actualizaciones El administrador puede seleccioner productos específicos y clasificar las actualizaciones para limitar la descarga innecesaria. Un servidor WSUS independiente sincronizará el contenido desde el Web Site de Microsoft Update.2. Por ello. son descargadas las actualizaciones críticas y las actualizaciones de seguridad.1 Computadoras clientes Las computadoras clientes están listas en la página computers de la consola de administración. 1. de manera automática.4 Idioma de actualización El administrador puede indicar las actualizaciones que son descargadas basadas en el idioma de la actualización.1 Sincronización programada La configuración por defecto para la sincronización programada es manual. Esto significa que el administrador tiene que escoger manualmente descargar las actualizaciones nuevas para el servidor WSUS.2.3 ADMINISTRAR LOS GRUPOS DE COMPUTADORAS Los grupos de computadoras son usados por WSUS para controlar que actualizaciones son aplicadas. y a que computadoras. 1. La fuente de actualización dependerá de cómo hayas planeado la implementación de WSUS. descarga las actualizaciones en todos los idiomas. para los servidores WSUS desconectados. Una computadora nunca es removida. La programación diaria permite al servidor WSUS tener las últimas actualizaciones. Estas computadoras son agregadas.3 Fuente de actualización El administrador puede sincronizar el contenido del servidor WSUS desde el Web Site de Microsoft Update o desde otra instalación WSUS. Después de la sincronización el administrador aún tiene que aprobar las actualizaciones antes que serán distribuidas a los clientes. a esta página después se contacta con el servidor WSUS.SISTEMAS OPERATIVOS LABORATORIO 157 1. 1. 1. Éste es apropiado. Esto reduce el uso del ancho de banda para la descargada y reduce el espacio de disco requerido para almacenar las actualizaciones. Por defecto. desde el servidor WSUS.3. únicamente.2. Esto permite implementar etapas en las actualizaciones y reducir la carga en la red. automáticamente. 1.2. la sincronización debería ser programada. los grupos de computadoras son ideales para testear las actualizaciones en computadoras específicas antes de distribuida las actualizaciones a toda la organización. Si reconfigura una computadora para usar otro Servidor CIBERTEC CARRERAS PROFESIONALES . mientras que el servidor WSUS de una oficina sucursal sincronizará su contenido desde el servidor WSUS de la oficina principal. por defecto. La configuración.

tendrá que remover. 1. 1. las actualizaciones no son descargadas al servidor WSUS hasta que sean aprobadas para la instalación. pruebe una actualización. La detección ocurre en una hora programada.158 WSUS. de forma automática. Después de la detección puede ver cómo algunas computadoras no tienen la actualización instalada y es necesitada. El número requerido para una actualización es 0. El grupo Unassigned Computers Group te permite ver que computadoras quizás sean nuevas usando el servidor WSUS y necesiten ser agregadas a un grupo.3. tendrás que aprobarlas para inicializar la implementación. eliminar. el estatus de aprobación se mantiene como no aprobar y el servidor WSUS no va realizar ninguna acción para la actualización.4.4 APROBAR ACTUALIZACIONES Después que las actualizaciones han sido sincronizadas al servidor WSUS. Para agregar las computadoras automáticamente. Sino.4. por defecto. Puede especificar la detección. luego todas las computadoras clientes son actualizadas. o declinar. la computadora desde el servidor WSUS original. Cuando apruebe una actualización.3 Instalación La opción aprobar instalación ejecuta la actualización al grupo de computadoras seleccionedas. se debe usar la política de grupo Client-side targeting. El grupo All Computers group brinda una forma conveniente para aplicar actualizaciones a cada computadora usando un servidor WSUS. la actualización no es instalada. 1.2 Grupos de computadoras por defecto Todas las nuevas computadoras son agregadas. por defecto. que WSUS verifique si la actualización es compatible o necesaria con un grupo de computadoras.4. 1. que son aprobadas. y algunas configuraciones necesarias por cada grupo de computadora en la ventana aprobar actualizaciones. especifique la configuración. se usa la consola WSUS Administration. 1. Después que las computadoras son agregadas a un grupo creado por el administrador. a los grupos All Computers group y Unassigned Computers Group. manualmente.1 Aprobar una actualización El administrador puede aprobar la instalación de una actualización. ellas ya no formarán parte del grupo Unassigned Computers Group.2 Detección Cuando aprueba una actualización para detección.3 Agregar computadoras a los grupos de éstas Las computadoras pueden ser agregadas manualmente o automáticamente a los grupos. En vez.3. Para agregar de forma manual las computadoras a los grupos. automáticamente. En la instalación por defecto de WSUS. 1. La excepción para esta feria son las actualizaciones críticas y de seguridad. detectar. aprobada en el grupo All Computers group. CARRERAS PROFESIONALES CIBERTEC .

resultados de sincronización. Los reportes de sincronizaciones. esta puede ser removida por medio de la eliminación. Esto permite que los nuevos virus no tomen ventajas de las fallas. 1. puede configurar un plazo. Los reportes de compatibilidad del servidor de descarga.6 Aprobaciones automáticas El proceso para testear y aprobar actualizaciones nuevas puede ser lento en muchas organizaciones. los reportes individuales de actualizaciones. La fecha especificada en el plazo obliga la instalación de la actualización en las computadoras clientes.4. y configuración de WSUS.4 Eliminación Si una actualización causa problemas después de ser instalada. 1. antes que esperar que el proceso de testeo haya sido completado. 1.6 BACKUP Y RESTAURACIÓN DE WSUS CIBERTEC CARRERAS PROFESIONALES . de forma inmediata. 1.4. 1.4. Ésto es.SISTEMAS OPERATIVOS LABORATORIO 159 Cuando una actualización está aprobada para ser instalada.1 Los tipos de reportes Los reportes más importantes son: a) b) c) d) e) Resumen de los informes de compatibilidad. los reportes individuales de la computadora.5 USAR REPORTES Los reportes brindan una forma rápida para obtener una vista preliminar de los estados de las actualizaciones.5 Declinar actualizaciones Como administrador puedes declinar cualquier actualización que no sea relevante. • • • Los reportes generales en la página Reports de la consola. Los reportes de actualizaciones específicas Los reportes de computadoras específicas. 1. Puede generar diferentes tipos de reportes desde diferentes lugares en la consola de administración de WSUS. Una actualización declinada es removida de la lista disponible de actualizaciones.5. estados de las computadoras. También. importante si has automatizado la instalación para ciertas clasificaciones de actualizaciones. puede imprimir los reportes para mostrarlos en reuniones e incluirlos como los referidos al estado de la red. particularmente. Algunas organizaciones han encontrado un menor riesgo en aplicar actualizaciones críticas y de seguridad.

puede usar la utilidad de backup disponible en todos los servidores que ejecutan Windows Se ver 2003 o Windows Server 2008. y la interacción del cliente con las actualizaciones. La base de datos de WSUS contiene la siguiente información: • • • Actualización de la metadata.1 Base de datos de WSUS Cuando se realiza un backup de la base de datos de WSUS. 1. por defecto se encuentra en %systemdrive%\WSUS\WSUSContent. el lugar donde se guarda el EULA (la licencia de usuario final). Estas opciones son especificadas desde la consola WSUS.6. 1. actualizaciones. Información acerca de las computadoras clientes.2 Directorio de actualizaciones El directorio que contiene todas las actualizaciones que han sido descargadas y almacenadas en el servidor WSUS. el servicio MSSQL$WSUS deberá estar detenido. Si el servicio se está ejecutando durante el backup hay un riesgo que el backup podría ser inconsistente.6. e incluir todas las configuraciones del servidor. La configuración del servidor WSUS. Puedes acceder a esta información a través de la consola WSUS cuando es el estado o ejecutas el reporte en el estado de la computadora cliente con el estado de actualización.160 A través de WSUS no se brinda una herramienta de backup propia. CARRERAS PROFESIONALES CIBERTEC . La metadata es también. incluye información acerca de las actualizaciones.

1 INSTALACIÓN DEL SERVIDOR WEB En este paso.SISTEMAS OPERATIVOS LABORATORIO 161 2 INSTALACIÓN DE LOS PRE-REQUISITOS 2. y seleccione Add Roles. haga clic en Web Server (IIS). En la ventana Select Server Roles. luego 2 veces clic en Next. Ingrese al Server Manager. CIBERTEC CARRERAS PROFESIONALES . 2. debe instalar el Servidor Web 1.

2 INSTALACIÓN DE REPORT VIEWER CARRERAS PROFESIONALES CIBERTEC . seleccione Windows Authentication. ASP. En la ventana de resumen clic en Install. 4. Static Content. IIS 6 Metabase Compatibility. 2. luego clic en Close. En la ventana Select Role Services.162 3.NET. haga clic en Next.

haga clic en Next. seleccione I accept the terms of the License Agreement. 2. 4. luego clic en Run. 3. En la ventana Welcome to Microsoft Report Viewer Redistributable 2008 Setup.SISTEMAS OPERATIVOS LABORATORIO 163 1. 3 IMPLEMENTACIÓN DE WSUS CIBERTEC CARRERAS PROFESIONALES . luego haga clic en Install. Ahora clic en Finish. En la ventana End-User License Agreement. Haga 2 clics en ReportViewer.

3. En la ventana Installation Mode Selection.1 INSTALACIÓN DE WSUS 1. haga clic en Next.164 3. 4. En la ventana Do you want run this file? Usted haga clic en Run. Ejecute WSUS30-KB972455-x86. haga clic en Next.0 SP1 Setup Wizard.exe 2. En la ventana Welcome to the Windows Server Update Services 3. CARRERAS PROFESIONALES CIBERTEC . seleccione Full server installation including Administration Console.

seleccione I accept the terms of the License agreement. En la ventana License Agreement. CIBERTEC CARRERAS PROFESIONALES . haga clic en Next.SISTEMAS OPERATIVOS LABORATORIO 165 5.

CARRERAS PROFESIONALES CIBERTEC .166 6. En la ventana Database Options. haga clic en Next. seleccione Install Windows Internal Database on this computer. En la ventana Web Site Selection. 7. 8. haga clic en Store updates locally y finalmente clic en Next. haga clic en Use the existing IIS Default Web Site (recommended). haga clic en Next. En la ventana Select Update Source.

SISTEMAS OPERATIVOS LABORATORIO 167 9. En la ventana Ready to Install Windows server Update Services 3.0 SP1 Setup Wizard. En la ventana Completing the Windows Server Update Services 3. haga clic en Next 10.0 SP1. CIBERTEC CARRERAS PROFESIONALES . haga clic en Finish.

Después de instalar WSUS.168 3. La primera advertencia que aparece nos pregunta si el servidor firewall esta configurado para permitir que los clientes puedan acceder al servidor. aparecerá el asistente de configuración. CARRERAS PROFESIONALES CIBERTEC .2 INSTALACIÓN DE WSUS 1.

Abra el Windows Firewall y encuentre las 2 reglas de WSUS que han sido configuradas para conexiones HTTP y HTTPS.SISTEMAS OPERATIVOS LABORATORIO 169 2. Windows Server 2008 se instala con el firewall activo por defecto. seleccione Synchronize from Microsoft Update. entonces una regla para los puertos de WSUS es que tienen que ser configuradas. 3. si quiere usar SSL para WSUS clientes deberá habilitarla. En la ventana Choose Upstream Server. La regla HTTPS no esta habilitada. CIBERTEC CARRERAS PROFESIONALES . haga clic en Next.

seleccione los productos que desea actualizar. seleccione Download updates only in these languages (spanish). En la ventana Choose Products. En la ventana Choose Languages. CARRERAS PROFESIONALES CIBERTEC .170 4. 5. y haga clic en Next.

después haga clic en Next.SISTEMAS OPERATIVOS LABORATORIO 171 6. En la ventana Set Sync Schedule. CIBERTEC CARRERAS PROFESIONALES . seleccione Synchronize manually. En la ventana choose Classifications. seleccione Critical Updates. después haga clic en Next. y Security Updates. Definition Updates. 7.

Ahora. 9. CARRERAS PROFESIONALES CIBERTEC . ejecute la consola de administración de WSUS. dando clic en Next. Lee lo que muestra la ventana. y luego clic en Finish.172 8.

2.2 Configurando los clientes WSUS por medio de GPO Lo primero que debes hacer es crear un GPO con el nombre WSUS PC CLients para los clientes WSUS. luego seleccione Auto download and Schedule the CIBERTEC CARRERAS PROFESIONALES . 3.SISTEMAS OPERATIVOS LABORATORIO 173 3.3 ADMINISTRACIÓN DEL SERVIDOR Y CLIENTE WSUS A partir de aquí. seleccione Enabled. verá opciones que quedan para configurar en WSUS así cómo parámetros para administrarlo. y posteriormente.3. Dentro del GPO edite Configure Automatic Updates 2. 3. En la ventana Configure Automatic Updates. 1. y escribe Finanzas. Ejecute la consola de administración de WSUS.3.1 Crear el grupo de computadora Finanzas 1. Click derecho sobre “All Computers” y ahí elige “Add Computer Group”. cómo implementar el WSUS con directivas en el Directorio Activo.

y en Scheduled install time = 18:00. Busque y habilite la política Specify intranet Microsoft update service location. en Intranet update services e Intranet statics server escribe http://nombre_del_servidor_wsus. CARRERAS PROFESIONALES CIBERTEC .174 installation. 3. después programe la instalación en Scheduled install day = 0 Every day.

6. debe buscar la política Enable client-side targeting. CARRERAS PROFESIONALES . • Allow Automatic Update immediate installation: Define que si el update no requiere reiniciar el equipo ni algún servicio entonces que lo instale inmediatamente.SISTEMAS OPERATIVOS LABORATORIO 175 4. CIBERTEC • No auto-restart for scheduled Automatic Update installation options: Espera a que el sistema sea reiniciado para completar una instalación programada en vez de reiniciarlo automáticamente. se reportarán al servidor WSUS. 5. Con esto las computadoras. • Delay restart for scheduled installations: El tiempo que espera el cliente para reiniciar luego de un reinicio programado. • Automatic Update detection frequency: Es el número total de horas que el cliente va a esperar para chequear el servidor de WSUS por actualizaciones. Finalmente. y escribe el nombre del grupo de computadora (Finanzas) al que pertenecerá los equipos. Algunas otras opciones: • Reschedule Automatic Updates scheduled installations: Es el tiempo que el cliente espera luego del Startup para procesar las instalaciones programadas. lo único que faltaría es aprobar las actualizaciones.

sino es sólamente de Microsoft. CARRERAS PROFESIONALES CIBERTEC . sea la opción elegida cuando apagamos el cliente. • Do not adjust default option to ‘Install Updates and Shut Down’ in Shut Down Windows dialog box: Si queremos que. • Remove links and access to Windows Update: Los usuarios que tengan aplicado esto no podrán acceder al sitio de Windows Update. • Allow non-administrators to receive update notifications: Declara si los usuarios que no son administradores pueden recibir notificaciones de updates o no. • Allow signed content from the intranet Microsoft update service location: Habilitamos que se distribuyan updates de terceros. • Do not display ‘Install Updates and Shut Down’ option in Shut Down Windows dialog box: Habilita o deshabilita la opción de instalar los parches y apagar el equipo en el menú de Apagar del cliente.176 • Reprompt for restart with scheduled installations: El tiempo que el cliente espera para preguntar por un reinicio programado. por defecto. • Disable access to Windows Update: Deshabilita el acceso a las funciones de Windows Update de la máquina para que sólo se utilice a través del WSUS.

 La instalación de WSUS requiere 6GB de espacio libre en el disco duro  Windows Server Update Service entrega actualizaciones a las computadoras o servidores en la red.microsoft. http://www.  Las actualizaciones tienen que ser aprobadas para estar disponibles a los equipos de la red.  Si desea saber más acerca de estos temas. hallará información de cómo implementar WSUS.SISTEMAS OPERATIVOS LABORATORIO 177 Resumen  Antes de instalar WSUS en Windows 2008 Server tiene que instalar IIS y Report Viewer.aspx Aquí hallará información adicional sobre WSUS. Exchange Server.  WSUS puede actualizar productos de Microsoft como: Office. Aquí hallará información adicional sobre WSUS. CIBERTEC CARRERAS PROFESIONALES .  http://technet.com/en-us/wsus/default.com/downloads/details. puede consultar las siguientes páginas.  6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Isa Server. etc.aspx?FamilyID=113d4d0c-56494343-8244-e09e102f9706&displaylang=en En esta página. Windows Defender.microsoft.  El comando gpupdate /force permite actualizar las políticas configuradas en el Servidor WSUS. Data Protection Manager.

178 CARRERAS PROFESIONALES CIBERTEC .

los alumnos. • Publican aplicaciones via Web.. Implementan la infraestructura Terminal Server y permiten el acceso remoto a las aplicaciones que se ejecutan en el Servidor. TEMARIO • • • • Concepto de Terminal Server Implementación de Terminal Server Concepto de Terminal Server Web Access Implementación de Terminal Server Web Access ACTIVIDADES PROPUESTAS Los alumnos: Instalan y configuran el Servidor Terminal Server y Termian Web Acces brindado aplicaciones de forma remota a los clientes de la red.SISTEMAS OPERATIVOS LABORATORIO 179 UNIDAD DE APRENDIZAJE 5 TEMA 10 TERMINAL SERVER LOGRO DE LA UNIDAD DE APRENDIZAJE • • Al término de la unidad. • CIBERTEC CARRERAS PROFESIONALES . describen los componentes que forman parte de la infraestructura Terminal Server y Terminal Server Web Access.

Clic en Add Roles. Clic en Next. En la lista Roles Services. que afectan a las funcionalidades básicas. PERMISOS DE ACCESO AL TERMINAL SERVER Terminal Server brinda 3 tipos de permiso: • Control Total • Acceso Usuario • Acceso Invitado 2. 6. Clic derecho en Roles. 1. clic Start | Server Manager. Clic en Conectar. Reinicie el Servidor para que los cambios surjan efecto. al proceso de impresión remota. y también incorpora innovaciones como RemoteApp o el Terminal Services Gateway. 7. 3. 4. En la ventana Select User Group Allowed Access To This Terminal Server incorpore el grupo de usuarios que tienen permisos para accede al Terminal Server. 9. 8. al modelo de administración de los propios servidores y servicios. En SRV-NPS-01.2 ACCEDE A LOS PROGRAMAS DEL SERVIDOR TERMINAL 1. clic Terminal Server y luego clic dos veces en Next. el rol de Terminal Services introduce muchas novedades y mejoras con respecto a las versiones anteriores del sistema operativo. CONCEPTO DE TERMINAL SERVER El rol de Terminal Services de Windows Server® 2008 permite a los usuarios acceder a programas Windows® instalados en un servidor de terminales o acceder a un desktop Windows completo. En la ventana Escribir las credenciales escriba el nombre del usuario y contraseña. 3. clic en Menu inicio | en Iniciar búsqueda escriba Mstsc. Con Terminal Services se puede acceder a un servidor de terminales desde la red corporativa o desde Internet. En la venatana Specify Authentication Method for Terminal Server seleccione Do not requiere Network Level Authentication y luego clic dos veces en Next. Desde Windows Vista inicie sesion con el usuario jurbina. 1. 5. Escriba en equipo srv-nps-01 luego clic en Conectar. 2. Seleccione Terminal Services y clic en Next dos veces. 4. 2.180 1.1 Control Total CARRERAS PROFESIONALES CIBERTEC . al sistema de licencias. luego clic en Next y finalmente clic en Install.1 HABILITE EL TERMINAL SERVER 1. 2. En Windows Server 2008.

a través de Internet o de una intranet. Después de instalar Acceso web de TS en un servidor web basado en Windows Server 2008. los programas se ejecutan en un servidor de Terminal Server y no en el equipo cliente. los usuarios pueden conectarse al servidor de Acceso web de TS para obtener acceso a programas RemoteApp que estén disponibles en un servidor de Terminal Server basado en Windows Server 2008. CIBERTEC CARRERAS PROFESIONALES . • El uso de Acceso web de TS provoca una carga administrativa mucho menor. Para iniciar un programa RemoteApp. por lo que su mantenimiento es más fácil. • Si un usuario inicia varios programas de RemoteApp mediante Acceso web de TS. basta con hacer clic en su icono. 2. Acceso web de TS ofrece muchas ventajas. los usuarios pueden visitar un sitio web (desde Internet o desde una intranet) para obtener acceso a una lista de programas de RemoteApp disponibles. y los programas se ejecutan en el mismo servidor de Terminal Server. Cuando inician un programa RemoteApp. los programas de RemoteApp se ejecutarán dentro de la misma sesión de Terminal Services.2 Acceso Usuario El permiso de acceso usuario permite que el usuario pueda realizar modificaciones en el perfil del usuario. Permite implementar programas fácilmente desde un lugar centralizado. A continuación se enumeran algunas: • Los usuarios pueden obtener acceso a programas RemoteApp desde un sitio web. Acceso web de TS también permite a los usuarios conectarse desde un explorador web al escritorio remoto de cualquier equipo servidor o cliente donde tengan el acceso apropiado.2 Acceso Invitado El permiso de acceso invitado permite que el usuario no pueda realizar modificaciones en el perfil del usuario ni en el servidor. Con Acceso web de TS.SISTEMAS OPERATIVOS LABORATORIO 181 El permiso de control total permite que el usuario pueda realizar modificaciones en el perfil del usuario y del servidor. • Acceso web de TS incluye Conexión web a Escritorio remoto. 3. pero no en el servidor. 2. que permite a los usuarios conectarse desde una ubicación remota al escritorio de cualquier equipo si tienen acceso a Escritorio remoto. CONCEPTO DE TERMINAL SERVER WEB ACCESS Acceso web de Terminal Services (Acceso web de TS) es un servicio de función de la función Terminal Services que permite poner programas RemoteApp de Terminal Services (RemoteApp de TS) y una conexión al escritorio de Terminal Server a disposición de los usuarios desde un explorador web. Por otro lado. se inicia una sesión de Terminal Services en el servidor de Terminal Server basado en Windows Server® 2008 que hospeda el programa RemoteApp.

3. 2. En SRV-NPS-01. ejecute la herramienta administrativa TS RemoteApp Manager. Haga clic en Install y luego clic en Close. que puede incorporarse en una página web personalizada o en un sitio de Windows® SharePoint® Services. luego clic derecho en Terminal Services y seleccione Add Role Services. Haga clic en Add RemoteApps. CARRERAS PROFESIONALES CIBERTEC .182 • Acceso web de TS proporciona una solución que funciona con un mínimo de configuración. 2. En SRV-NPS-01.1 INSTALA EL TERMINAL SERVER WEB ACCESS 1. Seleccione el rol Terminal Services. 4.2 PUBLICA LAS APLICACIONES REMOTAS PARA TS WEB ACCESS 1. 3. en la ventana Welcome to the RemoteApp Wizard haga clic en Next. 3. clic Start | Server Manager. Seleccione la aplicación Calculator y Paint y luego clic en Next. 3. La página web de Acceso web de TS incluye un componente web Acceso web de TS. Clic en TS Web Access y luego clic 3 veces en Next.

3 ACCEDE A LA PÁGINA DEL TS WEB ACCESS 1.SISTEMAS OPERATIVOS LABORATORIO 183 4. En SRV-NPS-01. En la ventana de autenticación ingrese el nombre de usuario y contraseña. Finalmente clic en Finish. 2. 4. 3. CIBERTEC CARRERAS PROFESIONALES . ejecute IE e ingrese a la dirección http://srv-nps-01/ts. Ejecute las aplicaciones que se han publicado.

 http://technet. acceso de usuario y acceso de invitado.10).aspx Aquí hallará información sobre Terminal Server.184 Resumen  Terminal Server permite a los usuarios acceder al escritorio de Windows y sus programas desde cualquier equipo que use el cliente terminal.  Las aplicaciones que brinda TS Web Access a los usuarios deben ser primero publicadas con la herramienta administrativa TS RemoteApp Manager.microsoft.  http://technet.10).  Si desea saber más acerca de estos temas. CARRERAS PROFESIONALES CIBERTEC .com/es-es/library/cc754746(WS.aspx Aquí hallará información adicional sobre TS-Web-Access. MacOSX o Unix.microsoft.  Para controlar el tipo de acceso al Servidor Terminal existen 3 tipos de permisos: control total.  Terminal Server permite centralizar las aplicaciones en la red. puede consultar las siguientes páginas.com/es-es/library/cc771908(WS.  Terminal Server es la solución ideal para equipos que no puedan instalar aplicaciones basadas en Windows como Linux.  TS Web Access permite a los usuarios acceder a determinadas aplicaciones que están instaladas en el Servidor Terminal usando el navegador.

podrán implementar. los alumnos. podrán registrar los equipos clientes al Dominio a través del Servidor RODC. TEMARIO • Implementar el RODC • Implementar Server Core como Servidor de Archivo ACTIVIDADES PROPUESTAS Los alumnos: • Implementan el Servidor RODC. los alumnos. y administrar el Servidor RODC en las oficinas sucursales.SISTEMAS OPERATIVOS LABORATORIO 185 UNIDAD DE APRENDIZAJE 6 TEMA 11 ADMINISTRACIÓN ACTIVO AVANZADA DEL DIRECTORIO LOGRO DE LA UNIDAD DE APRENDIZAJE • • Al término de la unidad. Al término de la unidad. • Registran sus equipos con Vista usando el RODC. CIBERTEC CARRERAS PROFESIONALES .

Las aplicaciones que CARRERAS PROFESIONALES CIBERTEC .1 BASE DE DATOS DEL DIRECTORIO ACTIVO DE SÓLO LECTURA Los controladores de dominio de sólo de lectura son ideales para ubicarlos en lugares donde exista un alto riesgo de estar expuestos a ataques externos. Debido que las oficinas sucursales algunas veces tienen pocos controles de acceso. Un RODC no almacena ninguna contraseña por defecto. pequeña. conocida como DMZ. o algún ambiente donde la seguridad es muy baja son los lugares más adecuados para implementar un RODC. Si el RODC está comprometido. significativamente. en inglés Read-Only Domain controller (RODC) está diseñado para escenarios donde un controlador predominio necesita ser ubicado en un ambiente con baja seguridad. como son Internet Information Services (IIS) y servidores de mensajería como lo es Microsoft Exchange. incluye los límites de la red perimetral. RODC puede ser una elección más segura para ubicar un controlador de dominio en las oficinas sucursales. El controlador predominio de su lectura. Los servidores de aplicación. Las oficinas sucursales o las redes que están en el límite de su sitio algunas veces carecen de seguridad. típicamente. SERVIDOR RODC Para mejorar el tiempo de respuesta de autentificación del suelo. Esto.186 1. RODCs almacena copias de información de sólo lectura del directorio activo usando replicación unidireccional para el directorio activo del sistema de replicación de archivo. 1. algunas veces están ubicados en el límite de la red perimetral. la intrusión en la red usando la información obtenida desde el RODC es. en algunas veces es deseable ubicar un controlador predominio en las oficinas sucursales o en las redes que están en el límite de nuestro sitio.

Aquellas aplicaciones que requieran acceso en modo lectura a la base de AD lo tendrán sin problema alguno. este tipo de replicación reduce la sobrecarga de bridgehead servers. no es necesario que los controladores de dominio grabables. un RODC contiene todos los objetos y atributos que tiene un DC típico. o que lo tengan. Los RODCs son ideales para estos escenarios.1 READ-ONLY AD DS DATABASE Exceptuando contraseñas. Todo tipo de cambios que se quieran realizar. en caso de que se logre hacer algún cambio con la intención de modificar la integridad de la base de datos de AD. permite que. no se originan de manera local. no pueden llevarse a cabo cambios que impacten a la base de un RODC. recibirán un LDAP referral. A raíz de la problemática enunciada anteriormente. por lo tanto. RODC provee las siguientes características: • • • • • Read-only AD DS Database. Credential Caching. CIBERTEC CARRERAS PROFESIONALES . Desde el punto de vista administrativo. directamente. Unidirectional replication. que apuntará. Read-only DNS. 2. 1. aquellas que requieran acceso de escritura. NUEVAS FUNCIONALIDADES RODC trata algunas problemáticas que son comunes de una Branch Office (BO). Sin embargo. por supuesto. deberán llevarse a cabo en un DC no RODC.2 REPLICACIÓN UNIDIRECCIONAL DEL CONTROLADOR DE DOMINIO DE SÓLO LECTURA Dado que no se escriben cambios directamente en el RODC y. a un DC no RODC. 2. que son asociados de replicación. que aplica tanto para AD DS y DFS. Administrator role separation. no se replique al resto de los DCs. el servidor Exchange siempre requiere del Directorio Activo. Esto significa que cualquier cambio o daño que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque. 2. Sin embargo.2 UNIDIRECTIONAL REPLICATION La replicación unidireccional de RODC. pero no cumplan con las condiciones de seguridad necesarias que esto conlleva.SISTEMAS OPERATIVOS LABORATORIO 187 ejecuta IIS algunas veces requiere el servicio del directorio para autentificación. y luego impactados vía replicación en la base del RODC. Puede suceder que las BO no tengan un Domain Controller local. además del ancho de banda necesario. pero blindar el acceso de estos servidores a los controladores de escritura representa un riesgo a la seguridad. o la propia experiencia y/o conocimientos del personal técnico. extraigan los cambios del RODC. y la monitorización de dicha replicación.

limitando la realización de tareas administrativas en el RODC.3 CREDENTIAL CACHING Por defecto. REQUISITOS PREVIOS PARA UTILIZAR RODC • • • • El RODC debe reenviar solicitudes de autenticación a un DC no RODC que sea Windows Server 2008. La Password Replication Policy se configura en este DC para determinar si las credenciales son replicadas hacia la Branch Office a partir de una solicitud del RODC. sin embargo. solo dichas cuentas serán vulnerables a posibles ataques. Como consecuencia de esto. RODC no almacena credenciales de usuario o computadora. el RODC solicita. tampoco registra registros NS de ninguna zona integrada que contenga. modificar la Password Replication Policy para permitir que las credenciales de usuarios sean cacheadas en un RODC. puedan replicar los permisos sin problemas. es utilizado posteriormente por el cliente para actualizar su registro. explícitamente. El Domain Functional Level debe ser Windows Server 2003 o superior. Cuando un cliente intenta actualizar su registro DNS contra el RODC. Sin embargo. El Forest Functional Level debe ser Windows Server 2003 o superior. para un RODC. únicamente. la replicación del registro específico. el almacenamiento de cualquier otro tipo de credencial. Es posible.188 2. Esto posibilita que los RODCs que a su vez son servidores DNS. y no en otros DCs. 3. Sin embargo. limita también la seguridad de dichas cuentas.4 ADMINISTRATOR ROLE SEPARATION Es posible delegar permisos administrativos. 2. la cuenta correspondiente al propio RODC y la cuenta especial krbtgt que cada RODC tiene. que por supuesto. Se debe tener en cuenta que limitar Credential Caching solo a aquellos usuarios que se autentican en el RODC. Deshabilitar Credential Caching conlleva a que cualquier solicitud de autenticación se redireccione a un DC no RODC. Se debe ejecutar adprep /rodcprep a nivel forest para actualizar los permisos en todas las DNS application Directory Partitions. también.5 READ-ONLY DNS El servicio DNS de un RODC no soporta actualizaciones de clientes directas. 2. para que de esta forma esté disponible la delegación de Kerberos. el servidor devuelve un referral. Esto provee mayor consistencia en lo que respecta a replicación. Se debe habilitar. exceptuando por supuesto. CARRERAS PROFESIONALES CIBERTEC . para que linked-value replication esté disponible.

. CIBERTEC CARRERAS PROFESIONALES . 3.SISTEMAS OPERATIVOS LABORATORIO 189 4. Seleccione Run. Seleccione Use Advanced Mode Installation. Luego. 4. 5. seleccione Next. Luego. PASOS BÁSICOS PARA IMPLEMENTAR UN RODC Nota: El procedimiento indica solo los pasos de configuración básicos. 2.. Seleccione Create a New Domain in the Forest.exe. 1. Seleccione Start. seleccione Next. Ejecute DCPromo.

7. Luego. seleccione Next. Luego. CARRERAS PROFESIONALES CIBERTEC . Acepte o modifique el nombre NETBiOS en caso de ser necesario.190 6. seleccione Next. Ingrese el nombre DNS completo del dominio.

SISTEMAS OPERATIVOS LABORATORIO 191 8. Seleccione el Forest Functional Level que corresponda. DNS. 9. CIBERTEC CARRERAS PROFESIONALES . entre ellos. o Read-Only Domain Controller (el cual debe seleccionar). Seleccione las opciones adicionales particulares para el Domain Controller. Global Catalog. Luego. seleccione Next. Luego. haga clic en Next.

Ingrese la contraseña del Administrador correspondiente al Directory Services Restore Mode. Acepte o modifique las opciones de configuración referidas a la ubicación de la base de datos de Active Directory. Luego. Luego. seleccione Next. seleccione Next. CARRERAS PROFESIONALES CIBERTEC .192 10. logs y SYSVOL. 11.

y espere a que finalice el proceso de configuración y se reinicie el sistema operativo. CIBERTEC CARRERAS PROFESIONALES . Seleccione el checkbox Reboot on Completion. seleccione Next.SISTEMAS OPERATIVOS LABORATORIO 193 12. 12. En la ventana de Summary.

CARRERAS PROFESIONALES CIBERTEC .microsoft.microsoft.com/downloads/details. http://www.10).  El RODC está diseñado para su implementación en sitios donde no se puede garantizar una seguridad total.aspx?FamilyID=0b2a6fcb-8b78-4677a76c-2446039ab490&displaylang=en En esta página. hallará información de cómo implementar RODC en las sucursales. puede consultar las siguientes páginas:  6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. Aquí hallará información adicional sobre RODC.194 Resumen  El RODC es un nuevo controlador de dominio introducido en Windows 2008 Server.aspx Aquí hallará información adicional sobre RODC. y no a otros DCs  Si desea saber más acerca de estos temas.  Se pueden delegar permisos administrativos únicamente al RODC.  Las políticas de replicación de contraseña determina que contraseñas pueden ser almacenadas en la cache del RODC.com/en-us/library/cc772234(WS.  El RODC puede ser implementado en el Servidor Core.  Las contraseñas no son almacenadas en el servidor RODC.  http://technet.

SISTEMAS OPERATIVOS LABORATORIO
195

CIBERTEC

CARRERAS PROFESIONALES

196

UNIDAD DE
APRENDIZAJE

6
TEMA

12
ADMINISTRACIÓN
ACTIVO

AVANZADA

DEL

DIRECTORIO

LOGRO DE LA UNIDAD DE APRENDIZAJE

Al término de la unidad, los alumnos, configuran y activan en Servidor 2008
Core.
Implementan el Servidor Core como Servidor de Archivo.

TEMARIO
• Implementar el RODC
• Implementar Server Core como Servidor de Archivo

ACTIVIDADES PROPUESTAS
Los alumnos:
• Configuran el Servidor Core.
• Implementan el Servidor Core como Servidor de Archivo.

CARRERAS PROFESIONALES
CIBERTEC

SISTEMAS OPERATIVOS LABORATORIO
197

1. INTRODUCCIÓN A WINDOWS SERVER CORE
Windows Server Core 2008 brinda una instalación mínima del sistema operativo.
Esto reduce los requerimientos de espacio de disco y pueden convertir a Server
Core en un buen candidato para escenarios de oficinas remotas. Los archivos de
instalación desatendida pueden ser usados para acelerar la implementación de
Windows Server Core 2008. Esto reduce los requerimientos de mantenimiento y
reduce las oportunidades de ataque desde la red.
Al empezar la instalación de Windows Server 2008, los administradores pueden
elegir la instalación del servidor con la funcionalidad única de Windows Server
Core 2008. Esto limita los roles que pueden funcionar en el servidor, pero puede
mejorar la seguridad y reduce la administración. Este tipo de instalación es
llamada la instalación de Server Core.
Server Core es la instalación mínima de Windows Server 2008 y no brinda
interfaz gráfica. A continuación, debemos nombrar los beneficios de brinda
Server Core:



Server Core requiere menos mantenimiento de software, así como la
instalación de actualizaciones.
Server Core tiene menos ataques desde la red.
Administrar Server Core es mucho más fácil.
Server Core usa menos espacio de disco para la instalación.

Para instalar y configurar Server Core se debe implementar archivos
desatendidos. Server Core brinda la plataforma más estable, fácil y segura para
implementar los siguientes roles de infraestructura de red:
• Servidor DHCP.
• Servidor DNS.
• Servidor de archivo.
• Controlador de dominio.

2. CONFIGURACIÓN Y ADMINISTRACIÓN DE SERVER CORE
Configurar y administrar una instalación de Server Core requiere un diferente
enfoque cuando se compara con la instalación completa de Windows Server
2008. La interface mínima en Server Core requiere realizar las modificaciones
usando la interface símbolo del sistema o realizar la administración sobre la red.
Hay 4 pasos básicos para configurar Windows Server Core.
o Configurar la contraseña del administrador. Una vez inicia sesión en
una computadora que ejecuta Windows Server Core, se iniciará el
símbolo del sistema. Si cierras el símbolo del sistema, podrás
reiniciarlo desde el administrador de tareas o cerrando la sesión e
iniciándola otra vez.
net user administrator *

CIBERTEC

CARRERAS PROFESIONALES

198

o Específica una dirección IP. La configuración de obtener una dirección
automática está configurada, por defecto, pero puedes específicar una
dirección estática.
Netsh interface ipv4 set address name=NetCardID” source=<IP
Address> mask=<subset> gateway=<default gateway>
o Si necesita incorporar Windows Server Core a un existente dominio,
necesitas una cuenta de usuarios y contraseña que tengan las
credenciales adecuadas.
Netdom
join
<computername>
/domain:<domainname>
/userD:<domain/user> /passwordD:*
o Active la instalación de Windows Server 2008
Slmgr.vbs -ato

3. INCORPORANDO ROLES

La instalación de Server Core soporta los siguientes roles:








Hyper-V
IIS 7.0
Servidor DHCP
Servidor DNS
Servidor de archivo
Servicio del Directorio Activo
Active Directory Lightweight Directory Services
Windows Media Services
Servidor d susImpresión

El comando OCSetup distingue la mayúscula y la minúscula en el nombre de los
roles de los paquetes que quieres incorporar. Por ejemplo, DHCP Server, File
Server.
OCSetup está disponible como parte del sistema operativo Windows Server
2008. Esta herramienta reemplaza a Sysocmgr.exe, está incluído en Windows
XP y Windows Server 2003.

CARRERAS PROFESIONALES
CIBERTEC

Una vez que la instalación esté completada y el servidor esté configurado para ser usado. ROL DE CONTROLADOR DE DOMINIO EN SERVER CORE Para instalar el servicio del Directorio Activo en una instalación de Server Core de Windows Server 2008 se requiere usar un archivo desatendido con dcpromo. WINS. Tendrá que usar un archivo desatendido con el comando dcpromo para instalar o desinstalar el rol de controlador de dominio de un Servidor Core. Backup. también podrás instalar las características opcionales. No puedes usar el asistente de instalación Active Directory Domain Controller de un servidor que ejecuta Server Core. Subsystem for UNIX-based applications. BitLocker Driver Encryption. usa OCSetup con la opción /uninstall. Distributed File System Replication. OCSetup necesita ser ejecutado con privilegios administrativos. también puede ser usado con archivo desatendido utilizando la opción /unattend. Use OCSetup con “Start” para agregar roles al Servidor Core. Ejemplo de un archivo desatendido para usar con dcpromo: 4. Simple Network Management Protocol. Network Load Balancing. Simple Network Time Protocol. Para instalar el rol de Directorio Activo.SISTEMAS OPERATIVOS LABORATORIO 199 Puedes ser OCSetup en una computadora que ejecuta Windows Vista o Windows Server 2008 para instalar o reinstalar aplicaciones MSI y componentes. el símbolo del sistema ejecuta: Dcpromo /unattend:Unattendfile CIBERTEC CARRERAS PROFESIONALES . De esta forma se instalará el rol del Directorio Activo y promover el servidor a controlador de dominio usando las configuraciones que están en el archivo desatendido. Para desinstalar componentes. La instalación de Server Core soporta las siguientes características: • • • • • • • • • Failover Clustering.

CARRERAS PROFESIONALES CIBERTEC . se replicarán todas las particiones de aplicación. Escribe "B. ChildName • • Ningún valor predeterminado Es el nombre del dominio subordinado que se anexa a la entrada ParentDomainDNSName.COM and B" (sin comillas) para ChildName. usado para crear un segundo controlador de dominio que se replicará en el dominio Contoso. ApplicationPartitionsToReplicate • • Ningún valor predeterminado Esta entrada especifica las particiones de aplicación que tienen que replicarse. AllowDomainControllerReinstall • • Yes | No Esta entrada especifica si se seguirá instalando este controlador de dominio aunque se detecte una cuenta de controlador de dominio activa que utilice el mismo nombre. [Unattented] Unattented=fullunattended [DCINSTALL] UserName=administrator Password=Pa$$w0rd UserDomain=Contoso DatabasePath=c:\windows\ntds LogPath= c:\windows\ntds SYSVOLPath= c:\windows\sysvol SafeModeAdminPassword=Pa$$w0rd SiteName= Default-First-Site ReplicaOrNewDomain=replica ReplicaDomainDNSName=contoso.com. Si se especifica *. Especifique "Yes" (sin comillas) solo si tiene la seguridad de que la cuenta ya no se utiliza. Escribe toda la cadena entre comillas.COM" y el dominio subordinado es "B". Si el dominio primario es "A. Utilice nombres distintivos separados por espacios en blanco o por comas y espacios en blanco. con el formato ""partición1" "partición2"". 4. AllowDomainReinstall • • Yes | No Esta entrada especifica si se volverá a crear un dominio existente.200 Donde: Unattendfile es el nombre del archivo desatendido de dcpromo.com ReplicationSourceDC= RebootOnSuccess=yes Debajo está la descripción de todos los campos que forman parte de la sección DCINSTALL del archivo desatendido.1 ARCHIVO DESATENDIDO Debajo hay un ejemplo de un archivo desatendido.A.

SISTEMAS OPERATIVOS LABORATORIO 201 ConfirmGc • • Yes | No Esta entrada especifica si la réplica es también un catálogo global. del dominio o Administradores de organización pueden instalar y administrar el RODC. se creará. (Estas entradas no necesitan comillas. "Yes" convierte la réplica en un catálogo global si la copia de seguridad era un catálogo global. debe estar vacío.) CreateDNSDelegation • • • Yes | No Ningún valor predeterminado Esta entrada indica si se creará una delegación DNS que has referencia a este nuevo servidor DNS. utilice el directorio de un disco duro dedicado. CriticalReplicationOnly • • Yes | No Esta entrada especifica si la operación de instalación solo realizará la replicación importante antes de un reinicio. y se saltará la parte no crítica y que puede ser muy larga de la replicación. "No" no convierte la réplica en un catálogo global. El espacio libre en disco en la unidad lógica seleccioneda debe ser de 200 megabytes (MB). Para dar cabida a errores de redondeo o a todos los objetos del dominio. Para lograr el máximo rendimiento. DatabasePath • • %systemroot%\NTDS Esta entrada es la ruta de acceso del directorio completo no UNC (convención de nomenclatura universal) en un disco duro del equipo local. quizás el espacio libre en disco deba ser mayor. Esta entrada solo es válida para DNS integrado con AD DS. Si no se especifica ningún valor. Especifique * para pedir al usuario que introduzca sus credenciales. DelegatedAdmin • • Ningún valor predeterminado Esta entrada especifica el nombre del usuario o del grupo que instalará y administrará el RODC. Si el directorio existe. Si no especifica ningún valor. Si no existe. Este directorio hospedará la base de datos de AD DS (NTDS. La replicación no crítica se realiza una vez completada la instalación de funciones y reiniciado el equipo.DIT). CIBERTEC CARRERAS PROFESIONALES . se utilizarán para la delegación DNS las credenciales de cuenta que especifique para la instalación o desinstalación de AD DS. solo los miembros del grupo Admins. DNSDelegationUserName • • Ningún valor predeterminado Esta entrada especifica el nombre de usuario que se utilizará cuando se cree o se quite la delegación DNS. DNSDelegationPassword • • • <Contraseña> | * Ningún valor predeterminado Esta entrada especifica la contraseña de la cuenta de usuario utilizada para crear o quitar la delegación DNS.

CARRERAS PROFESIONALES CIBERTEC . se instala un servidor DNS de forma predeterminada si el Asistente para instalación de Servicios de dominio de Active Directory detecta una infraestructura DNS existente. La entrada ForestLevel reemplaza la entrada SetForestVersion disponible en Windows Server 2003. Esta entrada. Solo se utiliza cuando el adaptador de red de este equipo no está configurado para utilizar el nombre de un servidor DNS para la resolución de nombres. ForestLevel • • 0|2|3 Esta entrada especifica el nivel funcional del bosque cuando se crea un dominio nuevo en un nuevo bosque. Esta entrada se basa en los niveles existentes en el bosque cuando se crea un dominio nuevo en un bosque existente. Si el asistente no detecta ninguna infraestructura DNS existente. de la manera siguiente: o 0 = Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008 No debe utilizar esta entrada cuando instale un nuevo controlador de dominio en un bosque existente. DomainLevel • • • 0|2|3 Ningún valor predeterminado Esta entrada especifica el nivel funcional del dominio. no se instalará un servidor DNS de forma predeterminada. Esta entrada especifica si DNS está configurado para un nuevo dominio si el Asistente para instalación de Servicios de dominio de Active Directory detecta que el protocolo de actualización dinámica de DNS no está disponible. Si se trata de un nuevo árbol. la función del servidor DNS se instala de forma predeterminada.202 DNSOnNetwork • • Yes | No Esta entrada especifica si el servicio DNS está disponible o no en la red. De lo contrario. InstallDNS • • • Yes | No El valor predeterminado cambia dependiendo de la operación. un nuevo dominio secundario o una réplica. En el caso de un bosque nuevo. se debe configurar primero el adaptador de red para utilizar el nombre de un servidor DNS. Especifique "No" (sin comillas) para indicar que DNS se instalará en este equipo para la resolución de nombres. Las descripciones de los valores son las siguientes: o 0 = Modo nativo de Windows 2000 Server o 2 = Windows Server 2003 o 3 = Windows Server 2008 DomainNetbiosName • • Ningún valor predeterminado Esta entrada es el nombre NetBIOS utilizado por los clientes anteriores a AD DS para tener acceso al dominio. se aplica si el asistente detecta un número insuficiente de servidores DNS para un dominio existente. también. El valor de DomainNetbiosName debe ser único en la red.

El valor es un nombre de dominio DNS que no se está utilizando actualmente. RebootOnCompletion • Yes | No CIBERTEC CARRERAS PROFESIONALES . las contraseñas se quitan del archivo de respuesta después de una instalación. agregue la entrada varias veces. Para mayor protección. "Forest" significa que el nuevo dominio es el primer dominio de un nuevo bosque de árboles de dominios. Para especificar más de una entidad de seguridad. grupo y equipo cuyas contraseñas no se van a replicar en el RODC. no se almacenará en caché ninguna credencial de usuario en este RODC. De forma predeterminada. Especifique "NONE" (sin comillas) si no desea denegar la replicación de credenciales para algún usuario o equipo. Es necesario volver a definir las contraseñas cada vez que se utiliza un archivo de respuesta. Si el directorio existe.SISTEMAS OPERATIVOS LABORATORIO 203 LogPath • • %systemroot%\NTDS Es la ruta de acceso del directorio completo no UNC en un disco duro del equipo local que hospedará los archivos de registro de AD DS. Para especificar más de una entidad de seguridad. NewDomain • • Tree | Child | Forest "Tree" significa que el nuevo dominio es la raíz de un nuevo árbol en un bosque existente. Si no existe. PasswordReplicationDenied • • <Entidad_de_seguridad> | NONE Esta entrada especifica los nombres de las cuentas de usuario. "Child" significa que el nuevo dominio es secundario de un dominio existente. se creará. debe estar vacío. NewDomainDNSName • • Ningún valor predeterminado Esta entrada se utiliza en instalaciones "nuevo árbol en bosque existente" o "nuevo bosque". PasswordReplicationAllowed • • • <Entidad_de_seguridad> | NONE Ningún valor predeterminado Esta entrada especifica los nombres de las cuentas de equipo y de usuario cuyas contraseñas se pueden replicar en este RODC. Password • • • <Contraseña> | * Ningún valor predeterminado Esta entrada especifica la contraseña correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. agregue la entrada varias veces. ParentDomainDNSName • • Ningún valor predeterminado Esta entrada especifica el nombre de un dominio DNS primario existente para una instalación de dominio secundario. Especifique "NONE" (sin comillas) si desea dejar vacío este valor. Especifique * para pedir al usuario que introduzca sus credenciales.

recibirá un mensaje informativo que confirmará que se ha omitido la configuración automática de DNS. reenviadores y sugerencias de raíz. ReplicationSourcePath • • Ningún valor predeterminado Esta entrada especifica la ubicación de los archivos de instalación utilizados para crear un nuevo controlador de dominio. correctamente. independientemente de que la operación se realice. SiteName • • Default-First-Site-Name Esta entrada especifica el nombre del sitio cuando instala un bosque nuevo. ReplicaDomainDNSName • • Ningún valor predeterminado Esta entrada especifica el nombre completo del dominio en el que desea configurar un controlador de dominio adicional. SkipAutoConfigDNS • • Ningún valor predeterminado Esta entrada va dirigida a usuarios expertos que desean omitir la configuración automática de los clientes. esta entrada se pasa por alto. CARRERAS PROFESIONALES CIBERTEC . ReplicaOrNewDomain • • Replica | ReadOnlyReplica | Domain Esta entrada solo se utiliza para instalaciones nuevas. "ReadOnlyReplica" (sin comillas) convierte el servidor en un RODC. ReplicationSourceDC • • Ningún valor predeterminado Esta entrada especifica el nombre completo del controlador de dominio asociado del que se replicarán los datos de AD DS para crear el nuevo controlador de dominio. No puede especificar una contraseña vacía. "Replica" (sin comillas) convierte el servidor en un controlador de dominio adicional. En todos los demás casos. se seleccionerá un sitio utilizando la configuración actual de sitio y subred del bosque. o no. SafeModeAdminPassword • • • <Contraseña> | NONE Ningún valor predeterminado Esta entrada se utiliza para proporcionar la contraseña de la cuenta de administrador sin conexión que se utiliza en el modo de restauración del servicio de directorio. En el caso de un bosque nuevo. De lo contrario. RebootOnSuccess • • Yes | No | NoAndNoPromptEither Esta entrada especifica si se debe reiniciar el equipo después de haberse instalado o quitado correctamente AD DS. "Domain" (sin comillas) convierte el servidor en el primer controlador de dominio de un nuevo dominio. el valor predeterminado es Default-First-Site-Name.204 • Esta entrada especifica si se reiniciará o no el equipo después de instalar o quitar AD DS. Siempre es necesario un reinicio para completar un cambio en una función de AD DS. Esta entrada solo surte efecto si el servicio Servidor DNS ya está instalado en el servidor. En este caso.

DemoteFSMO • Yes | No • Esta entrada indica si se realizará o no una eliminación forzada aunque el controlador de dominio ostente la función de maestro de operaciones. Si no existe. Especifique "Yes" (sin comillas) para transferir la función de maestro de infraestructura a este controlador de dominio. de lo contrario. Este directorio hospedará los archivos de registro de AD DS. TransferIMRoleIfNeeded • • Yes | No Esta entrada especifica si se transferirá o no la función de maestro de infraestructura a este controlador de dominio. UserName • • Ningún valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor. Syskey • • <clave_sistema> | NONE Esta entrada especifica la clave del sistema para el medio desde el cual replica los datos. Para controlar la creación de la delegación DNS. El directorio debe estar en una partición que se haya formateado con el sistema de archivos NTFS 5. utilice la entrada DNSDelegation. SYSVOLPath • • %systemroot%\SYSVOL Esta entrada especifica un directorio completo no UNC del disco duro del equipo local. Si el directorio ya existe. UserDomain • • Ningún valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS en un servidor. debe estar vacío. DNSDelegationPassword • <Contraseña> | * • Ningún valor predeterminado CIBERTEC CARRERAS PROFESIONALES . AdministratorPassword • Ningún valor predeterminado • Esta entrada se utiliza para especificar la contraseña del administrador local cuando quita AD DS de un controlador de dominio. actualmente. Esta entrada es útil si el controlador de dominio está hospedado. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>###BOT_TEXT###lt;nombreDeUsuario>. Esta entrada no omite la creación automática de la delegación DNS en la zona DNS principal.SISTEMAS OPERATIVOS LABORATORIO 205 Si especifica este modificador. asegúrese de especificar la entrada ConfirmGC=No. el controlador de dominio no funcionará correctamente. en un servidor de catálogo global y no piensa convertirlo en un servidor de catálogo global. se creará. Si especifica "Yes".0. Coloque el directorio en un disco duro físico diferente al del sistema operativo para lograr el máximo rendimiento. asegúrese de que las zonas se crean y configuran correctamente antes de instalar AD DS.

IgnoreIsLastDNSServerForZone • Yes | No • Esta entrada especifica si se seguirá quitando AD DS aunque el controlador de dominio sea el último servidor DNS para una o más zonas DNS integradas en AD DS hospedadas por el controlador de dominio. Especifique * para pedir al usuario que introduzca sus credenciales. Especifique * para pedir al usuario que introduzca sus credenciales. independientemente de que la operación se realice correctamente o no. se utilizarán para la delegación DNS las credenciales de cuenta que especifique para la instalación o desinstalación de AD DS. las contraseñas se quitan del archivo de respuesta después de instalar AD DS. Esta entrada también se aplica cuando se especifica la entrada IsLastDCInDomain=No y el asistente no puede ponerse en contacto con ningún otro controlador de dominio del dominio. IsLastDCInDomain • Yes | No • Esta entrada especifica si el controlador de dominio del que quita AD DS es el último del dominio. Si no especifica ningún valor. CARRERAS PROFESIONALES CIBERTEC . Password • <Contraseña> | * • Ningún valor predeterminado • Esta entrada especifica la contraseña correspondiente a la cuenta de usuario utilizada para configurar el controlador de dominio. DNSDelegationUserName • Ningún valor predeterminado • Esta entrada especifica el nombre de usuario que se utilizará cuando se cree o se quite la delegación DNS.206 • Esta entrada especifica la contraseña de la cuenta de usuario utilizada para crear o quitar la delegación DNS. IgnoreIsLastDcInDomainMismatch • Yes | No • Esta entrada especifica si se seguirá eliminando AD DS del controlador de dominio cuando se especifique la entrada IsLastDCInDomain=Yes o cuando el Asistente para instalación de Servicios de dominio de Active Directory detecte que hay otro controlador de dominio activo en el dominio. Para mayor protección. Es necesario volver a definir las contraseñas cada vez que se utiliza un archivo de respuesta. RebootOnCompletion • • Yes | No Esta entrada especifica si se reiniciará o no el equipo después de instalar o quitar AD DS.

Siempre es necesario un reinicio para completar un cambio en una función de AD DS. UserName • • Ningún valor predeterminado Esta entrada especifica el nombre de la cuenta de usuario utilizada para instalar AD DS en un servidor.SISTEMAS OPERATIVOS LABORATORIO 207 RebootOnSuccess • • Yes | No | NoAndNoPromptEither Determina si se debe reiniciar el equipo después de haberse instalado o quitado correctamente AD DS. "Yes" (sin comillas) quita las particiones de aplicación del controlador de dominio. manualmente. UserDomain • • Ningún valor predeterminado Esta entrada especifica el nombre de dominio de la cuenta de usuario utilizada para instalar AD DS. "No" (sin comillas) no quita las particiones de aplicación del controlador de dominio. RemoveApplicationPartitions • • Yes | No Esta entrada especifica si se quitarán las particiones de aplicación cuando quite AD DS de un dominio de dominio. debe confirmar. Si el controlador de dominio hospeda la última réplica de cualquier partición del directorio de aplicaciones. CIBERTEC CARRERAS PROFESIONALES . que debe quitar estas particiones. RemoveDNSDelegation • • Yes | No Esta entrada especifica si se quitarán las delegaciones DNS que señalan a este servidor DNS desde la zona DNS principal. RetainDCMetadata • • Yes | No Esta entrada especifica si los metadatos del controlador de dominio se conservan en el dominio después de quitar AD DS de forma que un administrador delegado pueda quitar AD DS desde un RODC. Se recomienda especificar las credenciales de la cuenta con el formato <dominio>###BOT_TEXT###lt;nombreDeUsuario>.

servidores. subredes. grupos. Esta herramienta también puede utilizarse para ampliar el esquema. grupos. unidades organizativas. grupos. Dsget Muestra los atributos seleccionedos de tipos de objeto específicos de Active Directory. Dsrm Quita objetos del tipo especificado de Active Directory. Pueden visualizarse los atributos de los siguientes tipos de objeto: equipos. equipos. Dsadd Agrega usuarios. servidores y usuarios. grupos. CSVDE Importa y exporta datos de Active Directory en formato separado por comas.208 4.) Dsquery Consulta y genera una lista de objetos del directorio según los criterios de búsqueda especificados. Utilícela en un modo genérico para consultar cualquier tipo de objeto o en modo especializado para consultar tipos de objetos seleccionedos. sitios. contactos y unidades organizativas.2 ADMINISTRACIÓN DEL DIRECTORIO ACTIVO DESDE LA LÍNEA DE COMANDOS Los siguientes comandos pueden ser usados para administrar el Directorio Activo. modifica y elimina objetos de directorio. Los tipos de objetos que pueden modificarse son: usuarios. utilice la herramienta Movetree de la línea de comandos. unidades organizativas. Los tipos de objetos específicos que pueden consultarse mediante este comando son: equipos. servidores. subredes. y para llenar Active Directory con datos de otros servicios de directorio. Dsmove Cambia el nombre de un objeto sin moverlo del árbol de directorio o mueve un objeto desde su ubicación actual del directorio a una nueva de un mismo y único controlador de dominio. contactos. contactos. LDIFDE Crea. contactos y unidades organizativas a Active Directory. Dsmod Modifica un objeto existente de un tipo específico del directorio. equipos. CARRERAS PROFESIONALES CIBERTEC . sitios y usuarios. para exportar información de usuario y grupos de Active Directory a otras aplicaciones o servicios. (Para has movimientos entre dominios.

5. tipee Pa$$w0rd. 4. Tipee cd \ y luego presione ENTER. 6. y luego presione ENTER.1 ACTIVE EL SERVIDOR CORE 1. Q ¿Cuál es el resultado de esta operación? Respuesta: 9.1 index=1.255. y luego presione ENTER. Tipee IPConfig.168. 6. La ventana del Administrator: C:\Windows\system32\cmd. En el símbolo del Sistema.vbs SEA-DC-01 Administrator Pa$$w0rd:-ato y luego presione ENTER. Maximice esta ventana. Tipee netsh interface ipv4 show interface. Tipee Cscript windows\system32\slmgr. 5.255. CIBERTEC CARRERAS PROFESIONALES . Aparecerá la ventana Script Host. y luego presione ENTER. Tipee la contraseña asociada al usuario del dominio. Tipee Slmgr. 2. 13.16. Tipee cls y luego presione ENTER. Nota: Esto quizás tome un minuto en aparecer. Tipee netdom join WIN-09I3RLW8OCJ /domain:contoso.exe 12.vbs? Respuesta: 7. y luego presione ENTER. Maximice la ventana C:\Windows\system32\cmd.16.SISTEMAS OPERATIVOS LABORATORIO 209 4. y luego presione ENTER.168.0.4 mask=255. Nota: Esto quizás tome 12 o 15 segundos para que la configuración surga efecto. Tipee “cd \”. Después que la computadora reinicie. 2. CONFIGURA EL SERVER CORE COMO SERVIDOR DE ARCHIVO 5. 1. 8. 11. 3. En el símbolo del sistema.com /userD:contoso\administrator /passwordD:* y luego presione ENTER. Tome nota del número IDX para Local Area Connection. 4. Tipee netsh interface ipv4 add dnsservname="n"address=192. Tipee shutdown /r. 10. 3. Asegúrese de usar este número para los pasos de abajo =”n” . Tipee cls. Q Para que se usa el comando slmgr. 7. 9. 8. Clic en OK. Presione RIGHT+ALT+DEL. y luego presione ENTER.2 AGREGA Y CONFIGURA EL ROL DE SERVIDOR DE ARCHIVO 1. Inicie sesión como administrator.exe está abierta. y luego presione ENTER. y luego presione ENTER.vbs -ato y luego presione ENTER. Tipee netsh interface ipv4 set address name=”n” source=static address=192. Inicie sesión como Administrator con la contraseña Pa$$w0rd.

Tipee net share public=c:\public /remark:”Public share on SEASRV-03. 2. El cuadro de dialogo del Notepad aparece. 7. y luego presione ENTER. Ubique el cursor al final de la línea Hello World! borre World! y Tipee Universe! 8. Tipee cd public. Nota la advertencia the warning Cannot create the \SEA-Core\public\hello. Tipee md public. Clic en Start | Run. 9. 16. Tipee cls. 13. y luego presione ENTER. y luego presione ENTER. Clic en Start | Administrative Tools | Computer Management. Presione ENTER. Minimice la ventana C:\Windows\system32\cmd. Tipee Pa$$w0rd y luego presione ENTER.txt file. Tipee netdom renamecomputer WIN-09I3RLW8OCJ /newname:SEA-SRV-03 /userd:contoso\administrator /passwordd:* . En el árbol de la consola. 12. apunta a Computer Management (SEACARRERAS PROFESIONALES CIBERTEC . Ingrese el nombre del servidor core. 6.3 COMPARTE UN DIRECTORIO LOCAL 1. 19. Tipee start /w ocsetup FRS-Infrastructure. 5. y luego presione ENTER. Presione CTRL+Z. En el menú File. Tipee Hello World!. y luego presione ENTER.4 ADMINISTRA USUARIOS REMOTAMENTE CON MMC Nota: Realice los siguientes pasos en SEA-DC-01 1. 17. 18. 3. En el árbol de la consola. Clic en OK. 9. Verifique el texto Hello World!. Tipee y luego presione ENTER. Escribe la contraseñaasociada al nombre del usuario del Dominio. 15. y luego presione ENTER. 6. 5. 4. 10. Aparece el cuadro de dialogo Select Computer. Clic en Browse. Doble-clic hello. Clic en Cancel. 4. Clic en OK dos veces. 2. y luego presione ENTER. luego Tipee \SEA-SRV-03. Tipee cls. Tipee net view \SEA-SRV-03. 16. y luego presione ENTER. 17. Tipee copy con hello.exe. 10. 3. 5.txt. y luego presione ENTER. y luego presione ENTER. 18. Maximice la ventana. 8. 7. y luego presione ENTER. Tipee shutdown /r y presione ENTER. Doble-clic en public. Inicie sesión como CONTOSO\Administrator con la contraseña Pa$$w0rd. 5. clic derecho en Computer Management (Local) y luego clic Connect to another computer. Se abre la ventana The Computer Management. clic en Save. Tipee cd\. y luego presione ENTER. 14. 19.210 14. 15.

Cierra Computer Management. 40. Clic en la pestaña Share Permissions. 37. 28. or Groups. Clic Domain Users (CONTOSO\Domain Users). 43. Debajo de Permissions for Domain Users. seleccione Allow for the Modify permission. 48. Doble-clic en public. En la opción Enter the object names to select. Mueve hacia abajo la barra de la lista Group or user names. 21. Computers. Clic OK 2 veces. 45.CONTOSO. Debajo Permissions for Domain Users. 24. 25. Cierra el Notepad. 41. 46. En el árbol de la consola. 38. Tipee domain. En la ventana Select Users. Aparece la ventana The Permissions for public (\SEA-SRV03. CIBERTEC CARRERAS PROFESIONALES . Clic OK 2 veces. 44. Clic en la pestaña Security. 35. Clic Domain Users. 20. 33. 31. 29. Computers. Clic Edit. Clic Domain Users. Restaura Notepad. luego clic Shares. 22. 23. seleccione Allow for the Change permission. clic Save. Clic Apply.com). En el menú File. Clic Domain Users. Aparece la ventana The Multiple Names Found. 30. Clic en OK. or Groups. Tipee domain. 34. 32. Clic en Yes. Aparece la ventana The Select Users. Clic OK. 27. En la ventana The Multiple Names Found.COM). 47. Clic en Add. Clic Check Names. luego seleccione Allow for the Write permission. 26. 42. En la ventana Security. 39. En el campo Enter the object names to select. 49. Clic Add.SISTEMAS OPERATIVOS LABORATORIO 211 Core.contoso. Mueve hacia abajo la barra de la lista Permissions for Domain Users. 36. Clic Check Names. despliegue System Tools | Shared Folders .

 Para asignar la contraseña al administrator escribe net user administrator *  Para asignar cambios en la dirección IP usa el comando netsh  El comando OCSetup permite instalar o desinstalar roles en el Servidor  Para instalar el Servicio de Directorio se debe usar.  6416B Updating your Network Infrastructure and Active Directory Technology Skills to Windows Server 2008. puede consultar la siguiente página. solo el símbolo del sistema.  Si desea saber más acerca de estos temas.  http://technet.microsoft.10).com/en-us/library/cc753802(WS.aspx Aquí hallará mayor información técnica y configuraciones del Servidor Core. Aquí hallará información adicional sobre el Servidor Core. únicamente. e incrementa el rendimiento y la estabilidad del sistema. el comando dcpromo con un archivo desatendido. CARRERAS PROFESIONALES CIBERTEC .212 Resumen  El Servidor Core reduce los requerimientos de hardware.  El Servidor Core no brinda interfaz gráfica.