Global Information Assurance Certification Paper

Copyright SANS Institute
Author Retains Full Rights
This paper is taken from the GIAC directory of certified professionals. Reposting is not permited without express written permission.

Interested in learning more?
Check out the list of upcoming events offering
"Security Essentials Bootcamp Style (Security 401)"
at http://www.giac.org/registration/gsec

REFERENCIAS __________________________________________________ 14 tu sti In NS SA © SANS Institute 2003.______________________________________ 4 ins c) Árboles. Author retains full rights. Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 INDICE ts. DESCRIPCIÓN DEL DIRECTORIO ACTIVO ____________________________ 5 ut 5. As part of GIAC practical repository. INTRODUCCION A LA ESTRUCTURA DEL DIRECTORIO ACTIVO _________ 3 1. 1 © SANS Institute 2003. 1._____________________________________________________ 5 eta 2) Estructura Física__________________________________________________ 5 rr a) Sitios _________________________________________________________ 5 a) Controlador de Dominio __________________________________________ 5 ho 4._______________________________________________________ 4 b) Bosques.Estructura Lógica. ________________ 9 20 9. OBJETIVOS______________________________________________________ 2 ll r 3.. VENTAJAS DEL DIRECTORIO ACTIVO _______________________________ 7 .. . INTRODUCCION __________________________________________________ 2 igh 2...A 8. CONCLUSIÓN ___________________________________________________ 14 te 10._______________________________________________ 3 fu a) Unidades Organizacionales.. EJEMPLO: Creación de cuentas de usuarios y políticas de grupo en el ____ 9 03 Directorio activo para su aplicación en un centro de computo.

tecnologías soportadas por el directorio activo. de modo que le da libertad para acceder a la información de manera ordenada. personas físicas (Números personales) o Personas Jurídicas (Empresas). In 2. que están debidamente ordenados basándose en nombres. ya sea de ts. que se va a utilizar al considerar la Implementación. lo cual hace sencillo una búsqueda especifica. como planear la estructura de DNS. también mostrar un panorama general sobre los aspectos básicos de seguridad con la aplicación de políticas de grupo y cómo afectan en el acceso a los recursos. por otros usuarios. denominado el Directorio Activo te que proporciona la estructura y las funciones necesarias para mantener. Asimismo se pueden realizar búsquedas. cambiados o destruidos. ya que impide que . aunque no se igh conozca el nombre exacto del recurso que se necesita. Author retains full rights.A puedan realizar su trabajo. INTRODUCCION Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Para una persona común. evitándole pasar horas dando solución a sus búsquedas. le es beneficioso ya que le simplifica su trabajo. replicacion y su funcionamiento. equipos. entonces culpan a los administradores de red por una 03 seguridad excesiva. 20 Wndows 2000 Server. y terminara encontrando lo que necesita. As part of GIAC practical repository. ello incluye tanto la información más confidencial de la institución. el que pueda acceder de una manera fácil a un servicio que necesita. organizar. OBJETIVOS NS El objetivo de este documento es realizar una introducción y descripción del Directorio SA Activo y sus componentes para recalcar la importancia de su uso dentro de una organización. ins De igual manera dentro de una organización es importante proveer a los usuarios de un eta servicio que les permita localizar la información que necesitan para realizar su trabajo y rr mantener fuera de su alcance otros recursos no necesarios. de este modo si desea encontrar ll r el numero de una línea área. . tu administrar y controlar los recursos de la red. En ese momento esta se convierte en un obstáculo. SANS Institute 2003. Un ejemplo podría ser: El directorio telefónico. 1. 2 © SANS Institute 2003. y se les niega el acceso a los documentos que necesitan. Es allí cuando un servicio de directorio le resulta de gran utilidad. sti base de datos. servidores. sin embargo de igual forma se quejaran de una seguridad descuidada si sus archivos llegan a ser accedidos. para ello fu podría buscar todas las empresas de líneas aéreas que se encuentran en la ciudad. ut hasta el día en que olvidan una contraseña. todos ellos coinciden en que la seguridad de la información es fundamental. las ventajas que proporcionan para Configurar una infraestructura de red © simple. Pero este documento no ahondará en la información técnica detallada. grupos de trabajo) y hace estos accesibles a los usuarios. que le permite acceder a números de teléfonos. de la cual no se este totalmente seguro del nombre. como ser (impresoras. provee un servicio de directorio. como la propiedad personal de otros ho usuarios. Opciones de Instalación. puede buscarse una lista de nombres que coincidan con el atributo que se conoce. así como la descripción de la nomenclatura de nombres a usarse en los componentes.

El administrador de un dominio tiene los permisos y derechos necesarios para desempeñar las tareas de te administración en ese dominio.Estructura Lógica. Para ello primero se debe diseñar el ámbito. También pude ser demasiado complejo su uso. Cada dominio tiene sus propias políticas de seguridad y las 20 relaciones de confianza de seguridad con otros dominios. .. basados en la estructura de la organización como ser los grupos administrativos ya existentes. si no se tiene claro varios aspectos. las Ou’s por las cuales esta conformado.. y los círculos que están dentro de el. 1. 3 © SANS Institute 2003. As part of GIAC practical repository. igh decidir el numero de dominios. ts. y los administradores controlen dicho acceso. Tiene como componentes: ut .: En este caso las Ou’s están divididas por departamentos. Author retains full rights. que se usa para organizar los recursos de la red. todo esto debe ser comprendido en su descripción a fin de que se utilice apropiadamente fu Es así que el Directorio Activo se divide en dos estructura. arboles o Ou’s que se creara. claramente definidas como ins son: La Estructura Lógica y la Estructura Física. para que los usuarios accedan a los recursos. es decir organizar los recursos de la red. SANS Institute 2003. antes de implementarse en una organización. INTRODUCCION A LA ESTRUCTURA DEL DIRECTORIO ACTIVO Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Todo proyecto comienza con la planificación minuciosa del diseño. así como los nombres que se desea dar a cada uno. todos los objetos son mantenidos en un dominio y este guarda la información solo de los 03 objetos que contiene. para comprender el alcance que se desea lograr. 3. también definir dónde y cuando ocurrirá el trafico de logon y ll r replicacion.Unidad básica de organización de seguridad en el Directorio Activo. En este caso es importante conocer las características del directorio activo.A a) Dominio. ya que así como puede proveer una estructura sencilla de red. tu DOMINIO sti de la Universidad “X ” In NS OU OU SA Dpto de Sistemas Dpto de Registros © OU Dpto de Marketing Imagen1: El cuadrado representa el dominio.- eta rr ho Es flexible y proporciona un método de diseño y jerarquía de directorio. Ej.

Muchos dominios pueden formar un árbol de dominio. en el que el primer dominio es la raíz. lo cual de una manera simple es.x.edu b.- Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Una Unidad Organizacional (OU) es un objeto contenedor que se usa para organizar objetos (como cuentas de usuario.x. una en Cochabamba y otra en La Paz. 4 © SANS Institute 2003.A un dominio hijo de un dominio padre existente. ho c) Árboles. igh ll r Computadores Impresoras fu ins eta Usuarios rr Imagen2: Muestra un circulo y dentro de el a los objetos que podrían agruparse. impresoras y otras OU´s.edu. a) Unidades Organizacionales. Cuando se añade un dominio a un árbol existente.edu y b. sti y se decide crear dos nuevos dominios al árbol ya existente. y se establece automáticamente una 03 relación de confianza Kerberos.edu Imagen3: Representa un árbol de dominio.X. el nuevo dominio es . equipos. NS X. grupos.edu. adjuntándole a los nuevos dominios el nombre del dominio principal.- ut Son una recopilación jerárquica de los dominios. sí el Dominio A confía en el Dominio B y el Dominio B confía en el Dominio C.) dentro de un dominio. Author retains full rights.X. Sin tu embargo se han adquirido dos nuevas sucursales. SANS Institute 2003. entonces el Dominio A confía en 20 el Dominio C. OU Dpto de Marketing ts. As part of GIAC practical repository. te Por ejemplo: Para la Universidad X su nombre en el Directorio Activo es X. Los dominios resultantes In serían a. los que comparten un espacio para nombres común. y se crean los nuevos dominios.edu SA Dominio © Dominio Dominio a. en una OU. . Las OU proveen un mecanismo sencillo para agrupar usuarios y es la unidad más pequeña a la que se le pueden asignar configuraciones de Políticas de grupo.

estos son una NS combinación de una o más subredes IP conectadas en enlaces de alta velocidad. Author retains full rights. . dos organizaciones podrán compartir recursos y funciones administrativas. DESCRIPCIÓN DEL DIRECTORIO ACTIVO SANS Institute 2003. la autenticación y las búsquedas de directorio También administra los cambios del directorio y los replica a otros controladores de dominio del mismo dominio. Bosque igh X.edu ll r Dominio Dominio fu ins eta Dominio Domini Dominio Dominio o rr ho Imagen4: Representa un bosque de dominios. a) Controlador de Dominio © Es un equipo que ejecuta Windows 2000 Server donde se almacena una copia del directorio. pero con su propio nombre ut cada dominio raíz. y que almacenan datos y administran las interacciones entre el usuario y el dominio. al añadir el nuevo dominio del Directorio Activo como un árbol nuevo dentro del bosque existente. llamado Y. 4. Por ejemplo: La Universidad X crea una organización separada llamada Y X decide crear un nuevo nombre de dominio del Directorio Activo para Y. que se forma de varios arboles. Cada árbol de un bosque tiene su propio nombre de espacio único. como los procesos de inicio de sesión.edu Aunque las dos organizaciones no comparten un espacio de nombres común. As part of GIAC practical repository. b) Bosques. las ts.- Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Está formado por varios árboles los cuales no comparten un nombre común. tu Se compone de: a) Sitios sti In Determina la forma que debe replicarse la información de directorio y como debe tratarse las solicitudes de servicio de equipos los que son asignados a sitios. .edu Y.A 2) Estructura Física 03 20 Se usa para configurar y administrar el tráfico de red. 5 © SANS Institute 2003. Entender los componentes de la estructura física del Directorio Activo es importante para optimizar el tráfico de red y el te proceso de logon. las SA cuales constituyen una forma sencilla y eficaz para representar agrupamientos en la red.

Para evitar los conflictos SA originados por distintas personas que cambiarlo en tiempos diferentes. 6 © SANS Institute 2003. fu d) Boques. Ya se realizo una introducción a los componentes del directorio activo.- ins El primer dominio de un bosque se conoce como dominio raíz del bosque. Author retains full rights. Que representen grupos de objetos similares como Usuarios.- tu ** Una función específica del controlador de dominio. Computadoras. igh Que permitan organizar datos de proyectos. ese usuario irá al Maestro de RID para obtener el siguiente SID disponible.A En grandes empresas con muchas ubicaciones. de forma temporal c) Arboles. Un bosque proporciona los vínculos para muchas de las funciones que existen eta dentro de Directorio activo como la seguridad. sólo un equipo debe ser una copia de leer/escribir de esa base de datos de esquema. El uso del bosque puede originarse de la necesidad de mantener arboles rr separados. ts. As part of GIAC practical repository. al aplicar Políticas de grupo al dominio se establece la forma de acceso.Cada controlador de dominio sabrá cómo se ve el esquema y Necesita saber qué tipos o clases de objetos se pueden crear.- En pequeñas empresas. ho e) Sitios. te f) Controlador de dominio. Permite duplicación b) Unidades Organizativas O’s.. ahora se tratara Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 de describir cada uno. Impresoras. definir los límites de sitios será más difícil debido a la variación de las condiciones de ancho de banda de los 03 vínculos de red.- ll r Los árboles definen la mayoría de la estructura del directorio activo y el uso del dominio. 3) Maestro de RID Los Controladores de dominio de reserva necesitan ver los SID (Identificadores de seguridad) consecutivos. convenciones y catálogo global. el sti cual es una base de datos centralizada de todos los objetos del bosque y sus atributos ** Otra es el maestro de operaciones: que tiene cinco tipos los cuales se detallaran a In grandes rasgos NS 1) Maestro de esquema. 4) Emulador PDC SANS Institute 2003. las definiciones de sitio serán fáciles y estarán basadas ut en la conectividad de velocidad LAN. es el Catálogo global. © 2) Maestro de nombre de dominio Es el equipo que asegura que no tenga dos dominios en el mismo árbol con el mismo nombre. ..Se pueden crear OU’s Para reflejar la estructura organizacional como departamento. la configuración y el uso de los recursos. 20 Los sitios aumentan la eficacia de estos dos tipos de operaciones: Solicitud de un Servicio y la replicacion de la información. Cuando crea un usuario. y depende del Maestro de RID asegurar que eso suceda. . a) La creación de dominios: Permite organizar los objetos al utilizar las unidades organizativas OU’s Proporciona seguridad.

El control de acceso se puede definir no sólo para cada objeto del directorio.. Author retains full rights.. a direcciones IP numéricas. para encontrar rápidamente un objeto en la red por sus propiedades. . 5) Maestro de infraestructura Realiza un seguimiento del movimiento de los objetos. Si mueve un usuario de un dominio o OU a otro. así como los nombres que se desea dar a los mismos SA Estructura de la organización. La replicacion de la información. Es mejor respetar las divisiones administrativas que existen en la organización y © diseñar una estructura de acuerdo a sus necesidades. unidades Organizacionales.. parte del nombre del usuario cambiará. rr ƒ Integración con DNS. pero con aspiraciones de llegar a ser una multinacional. para ello es preciso NS decidir el número de dominios. La capacidad de ampliación. PAUTAS PARA LA PLANIFICACION DEL DIRECTORIO ACTIVO 20 El Directorio Activo aumenta no sólo la forma de administrar. Este hara que el grupo en donde el usuario se encuentra refleje ese cambio de nombre lo más pronto posible. Factores técnicos. Entre las ventajas que puede proporcionar su uso. si es Una empresa mediana.Establece un conjunto de normas de la fu empresa ins ƒ . 5. Por ello. no se dirigen al controlador de dominio.. Dimensión de la organización Antes de iniciar el diseño es importante conocer la dimensión de la organización. pero cuando los controladores de Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 reserva necesiten obtener los cambios. La administración basada en políticas. sino también para cada una de las propiedades del ll r objeto. esta: igh ƒ . VENTAJAS DEL DIRECTORIO ACTIVO ts. sólo saben dirigirse al Emulador PDC. así como la forma en que se SANS Institute 2003.. dentro de una organización. ƒ . ut ƒ Las consultas flexibles.Ya que los administradores tienen la posibilidad de agregar nuevos objetos al esquema y nuevos atributos. sti Algunos de los factores que deben tomarse en cuenta son: El contorno In Consiste en diseñar el modo de organizar los recursos de red.Usa el Sistema de nombres de dominio. árboles de dominios y bosques que se van a crear. la correcta planificación de esta infraestructura se debe tu hacer de una forma minuciosa.Los usuarios y administradores pueden utilizar el comando . 03 6. eta ƒ .A Buscar. As part of GIAC practical repository. 7 © SANS Institute 2003. En habrá que diseñar el entorno teniendo muy en cuenta las perspectivas de crecimiento del directorio activo más allá de las fronteras nacionales. Es preciso conocer a fondo las limitaciones que presenta el directorio activo antes de iniciar el diseño del entorno de trabajo. Que es un servicio ho estándar de Internet que traduce nombres de equipos host. Puede crear objetos en un dominio Windows 2000. La seguridad de la información. sino también la complejidad te de la red.Permite actualizar el directorio en cualquier controlador de dominio..

así como la Implementación del servicio DNS. Author retains full rights. Se aplica al momento en que el usuario se conecta a una computadora con su cuenta y contraseña. 03 Las políticas de grupo se definen de dos formas: 20 ƒ Configuración de equipos. de Internet SA Explorer. apariencia del entorno de trabajo. para controlar su acceso a los recursos de red. Y el diseñar su topología es quizá.A puede crear un entorno de trabajo que se adapte a las necesidades de cada usuario. El siguiente paso consiste en planificar a Implementación física del diseño. utilizan las políticas de grupo y el modo en que éstas pueden afectar al diseño. Se aplican cuando se inicia el sistema operativo. rr 7. la administración es más fácil.). As part of GIAC practical repository. y estos requerimientos son forzosos. Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Se dice que cuando sólo existe un dominio para la totalidad de la empresa. opciones de configuración de aplicaciones. Configuraciones basados en el registro. la apariencia del escritorio. tales como acceso al panel de control. no es nada sencillo y requiere eta conocer de antemano cómo y cuánto se va a utilizar el directorio activo. y el SANS Institute 2003. sin embargo esto dependerá de la dimensión de la Empresa. de seguridad y los scripts de iniciar y apagar la sti computadora. También habrá que interiorizarse en algunos de los protocolos que utiliza fu el directorio activo. POLÍTICAS DE GRUPO ho Las políticas de grupo del directorio activo definen las configuraciones de grupos de ut usuarios y equipos. etc. ts. 8 © SANS Institute 2003. Para la creación de bosques. para conocer el efecto sobre él. es que Exista un solo bosque en la Infraestructura del directorio activo. la NS configuración de red. lo aconsejable. Configura información especifica del usuario. Se pueden configurar las siguientes políticas de grupo: a) Directrices administrativas. etc. In ƒ Configuración de usuarios. la tu configuración de las aplicaciones. Utilizándolas se . ins Como se puede percibir la Implementación del servicio. . protector de pantalla. de escritorio (fondo. e instalación de software. Entre los factores que habrá que considerar va desde los requisitos de hardware de los controladores de dominio a la topología de sitios para la replicacion del directorio activo. ya que ll r ellos permiten controlar el momento la frecuencia con que se realiza la replicacion del directorio activo. igh Los sitios determinan la forma en que se replican los datos a través de la red. en casi todos los casos. la parte más complicada del diseño del directorio activo. © Tipos de políticas de grupo Las políticas de grupo en Windows 2000 permiten a un administrador establecer unos requerimientos para un usuario o para un equipo a la vez. te Especifica el proceder del sistema operativo.

de una Universidad. están de acuerdo en que hacer funcionar la red en los laboratorios seria bastante tranquilo y divertido. si las cuentas de usuarios. As part of GIAC practical repository.A La confidencialidad de los datos. ut Las políticas tratan de ayudar a proveer: . en cualquier momento. te La disponibilidad de los datos. Todos los usuarios autorizados deben estar seguros de que 20 los datos que obtienen son precisos y de que no fueron modificados de forma Inadecuada. para las cuales hay que definir SANS Institute 2003. NS Este ejemplo presenta de forma resumida.( Ej: aplicaciones disponibles para usuarios y aquellos que aparecen en sus escritorios) d) Scripts. Almacenamiento de las carpetas de usuario de la red. 03 La integridad de los datos. 9 © SANS Institute 2003. actualizaciones y eliminaciones. Después las unidades organizaciones y todos sus niveles. sti 8. La creación de cuentas de usuarios. Administración central de instalación de software. las ll r Directivas de grupo se pueden aplicar a un sitio. Para cuando un equipo arranca o se apaga y para cuando un usuario inicia sesión o la termina. Orden de Herencia en la aplicación de políticas de grupo igh Cada objeto menor hereda permisos de un objeto mayor. Se necesita crear cuentas de usuarios. Los supervisores de 2 centros de computo. y los permisos de acceso a los recursos. a todos los alumnos de la carrera de Ingeniería de sistemas. En el nivel más superior. Sólo las personas autorizadas deben poder ver la Información. fu ins Los derechos de acceso se aplican a los grupos y cuentas de usuarios y autorizan al grupo o usuario a realizar ciertas operaciones. dominios y configuraciones de seguridad de la red. e) Redirección de carpetas. Ya que este derecho requiere la eta capacidad de leer todos los archivos en dichos servidores. y deben almacenar sus trabajos en cuentas personales. es una de © las opciones que permite el directorio activo. Opciones para equipos locales. rr Los permisos son atributos de seguridad de objetos. Los usuarios autorizados deben poder tener acceso a la tu Información que necesiten. El siguiente nivel que se comprueba es nivel de todo el dominio. como crear cuentas de usuarios en el SA directorio activo y también aplicar algunas políticas que considere necesarias el supervisor para el acceso de usuarios. que especifican que usuarios o ho grupos pueden acceder el objeto así como qué acciones pueden realizar en él. ts. En este caso. están Apropiadamente configurados muchos de estos problemas desaparecen. Author retains full rights. si no fuese por esos Molestosos alumnos que tienen una asombrosa capacidad de complicar las cosas. ya que estos son los que mas utilizan los laboratorios. comportamiento de los servicios del sistema Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 b) Configuraciones de Seguridad. c) Instalación del software. el usuario podrá acceder los datos que de otra manera tenían acceso prohibido a través de permisos en el objeto. EJEMPLO: Creación de cuentas de usuarios y políticas de grupo en el In Directorio activo para su aplicación en un centro de computo. .

a) Se dispone de un equipo Servidor. con el Sistema Operativo Windows 2000 Server. que proporciona la autenticación de los igh usuarios. como administrador. Se han creado 2 OU’s. en el caso de existir otro usuarios con las mismas iniciales. para diferenciar a los estudiantes. As part of GIAC practical repository. y las OU’s. y le pedirá el password y su confirmación. como los usuarios. para simplificar el ejemplo. hacer click en botón derecho y seleccionar New. todos ellos se supone que ya han sido creados. User logon name (el cual deberá ser NS único en el directorio activo) 4) El estándar a emplearse será. la inicial del SA segundo apellido. ins d) El dominio al cual tendrán acceso las maquinas cliente será denominado eta Dominiocentros. (Ej: 76985) 6) Y tickear las opciones: User cannot change password y el Password never expires.A f) Las cuentas para los estudiantes deberán ser creadas antes de implementar las 03 políticas. Como se quiere crear un nuevo usuario. nombre. los cuales utilizan el servicio DNS para identificarse mediante un ts. y las políticas de grupo Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Para el acceso. se pueden personalizar una serie de opciones que complementen sus datos. First Name. de modo que sea único. hacer click en User. . de cada una de las cuentas. equipos e impresoras. que deberán ser llenadas con los datos del In alumno. ll r c) Las maquina cliente llevaran inicialmente la letra M seguida de un numero y estarán en el rango de (M50 hasta M74) para una OU y el rango de (M75-M99) para la otra fu OU. estos se organizan en unidades ho organizacionales (OUs). para tener el control de la cuenta del usuario. llamado CENTROS. y la inicial de su nombre: Cuellargv (Cuellar Gómez Verónica). sti 3) Aparecerán las siguientes opciones. Last Name. un estándar de identificación. Full Name. un máximo de almacenamiento. rr e) El Directorio Activo se compone de objetos que representan recursos de la red. Para ello: SANS Institute 2003. 5) Luego hacer click en Next. y hacer click en Active directory Users 20 and Computer te 2) Colocarse en la carpeta Users. No especifica en detalles la creación del dominio. denominadas CENTRO306 y ut CENTRO307. y ubicar la localización del dominio. Una vez creada la cuenta del usuario. Para ello se debe: 1) Abrir el menú de Administrative Tools. Author retains full rights. el cual será el Registro del estudiante dentro de la Universidad. 10 © SANS Institute 2003. Mas adelante se realizara lo mismo para Otras carreras. el servicio DNS. el primer apellido paterno completo. para que puedan tener acceso a los recursos. tu Aparecerá varias opciones. Initials. se colocara un numero © después. el cual tiene instalado el Servicio de Directorio activo. . b) 50 equipos cliente.

que se encuentra en el menú ts. 11 © SANS Institute 2003. hacer click en Quota. y luego click OK otra vez. las carpetas para cada usuario. elegir Disk Management y seleccionar la unidad de disco. donde haya sido creado. ya que aquí puede se usado para asignar permisos. Le aparecerá una ventana. con las siguientes opciones: ll r Group Name: Aquí se especifica el nombre del nuevo grupo. y hacer botón derecho para elegir New y luego Group. elegir las cuentas de alumnos de sistemas y click en Add. en la parte superior Look in: elegir el Dominiocentros 20 3. en este caso al grupo AlumnoSistemas In NS Se debe proveer una localización centralizada. ut Pueden incluir cuentas de usuarios y computadoras. al grupo que se ha creado. Un grupo puede tener hasta 5.. para sus archivos. hacer click en OK ho Una vez creado el grupo. Los grupos simplifican la administración ya que permiten dar permisos a varios usuarios.Seleccionar botón derecho. Deny disk space to users exceeding cuota limit SANS Institute 2003.Una vez terminada la selección de todas la cuentas. Para ello: . . Click Ok para adicionar a los tu miembros del grupo. te 4. le aparecerán la lista de todos las cuentas de usuarios.. con el mismo nombre de su cuenta. Administrative Tools igh Elegir la opción de Users. en la cual los usuarios puedan almacenar sus trabajos. y dentro de SA el.000 usuarios como miembros.. 2) Se abrirá una ventana con una serie de opciones para implementar. Lo cual es denominado asignar cuotas de disco. Lo cual se realizara en Computer Management. y luego en Shared Folders © Después de creadas las cuentas de cada usuario. y hacer click en Properties y elegir la opción de Members. Global y Universal. 2) Botón derecho y elegir Properties. As part of GIAC practical repository. en la cual se almacenaran los folder de cuentas de usuarios. y luego click en Add (para adicionar). Group Type: Aquí aparecerán 2 opciones para seleccionarse. en vez de uno por uno. Security y Distribution eta En nuestro caso se usara el Security Groups. y puede usarse en una lista de distribución de e-mail. 03 2.. sti Una vez definido el grupo al cual pertenecerán los usuarios. se debe especificar la cantidad máxima de almacenamiento. ins En nuestro caso será un Dominio Local. 1) Ubicar la cuenta de usuario en el dominio. Author retains full rights. para ello: Abrir Active Directory Users and Computers.Se abrirá una nueva pantalla. rr Luego de elegir todo. En este caso se crearan grupos Locales. (Ej: AlumnoSistemas) fu Group scope: Tiene 3 opciones el Dominio local. se deben adicionar los miembros al grupo de dominio. el que se elegirá. el cual debe ser único en el dominio.A 1. Por ello se creara un Folder de nombre ALUMNOS. aparecerá una pantalla.En la columna Name. 1) En Computer Management. 3) Tickear la opción Enabled Cuota Management. para que se active las demás opciones. hacer click en botón derecho y elegir la Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 opción de Properties.

todas las opciones de políticas que deberán ser fijadas a los te usuarios. Aparecerá una pantalla de confirmación de la cuota a implementarse. igh 1) En el Shared Folder. Red y Sistema. y a las computadoras del centro de rr computo. será realizadas en el Administrative Templates. En nuestro caso será Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 de: 10 MB y de 6MB para el conjunto de errores. As part of GIAC practical repository. y click en OK para que sea aplicada la cuota. ll r En share Name: ALUMNOS Comments: Cuenta Alumnos de Sistemas fu Y una opción que puede ser opcional. pueda acceder a los recursos que necesite. Como los usuarios ya tienen acceso a sus cuentas. 20 Para nuestro ejemplo.A Software Settings Windows Settings 03 Administrative Templates. © Política Acción requerida Administrative Templates/Windows Components/Internet Explorer Disable changing history settings Activada Disable changing font settings Activada Disable changing language settings Activada Disable changing Temporary Internet files settings Activada Administrative Templates/Windows Components/Internet Explorer /Toolbars SANS Institute 2003. Panel de Control. En el caso del ejemplo de Centro SA de computo. Se deberá compartir el Folder ALUMNOS para que cada usuario ts. control total. para proveer la seguridad en la red. cambios.. Ello dependerá de las necesidades de cada organización. tiene 3 opciones generales para las políticas de grupo . Author retains full rights. 4) Limitar el espacio de disco que los usuarios pueden utilizar. 5) Luego click en Quota Entries. en la barra de menu elegir New Quota Entry. la cual provee internamente tu estas opciones: sti Componentes de windows. serán aplicadas estas políticas. Luego OK. Start Menu & Taskbar. como es el User limit Y luego click en Permisos ins En los cuales se seleccionara de Lectura. 7) Luego cerrar la ventana. y clik en Add. 6) En la nueva pantalla seleccionar el usuario. El escritorio. . que esta contenido allí. escritura. o el grupo al cual se le asignara la cuota. In NS Se puede seleccionar una serie de politicas. es importante especificar su acceso a los recursos. en la cual se abrirá una nueva pantalla. elegir Sharing 2) Hacer click en Share this folder. ut La sección de User configuration. 12 © SANS Institute 2003. Cuando las carpetas hayan sido creadas y se les haya asignado un máximo de almacenamiento. botón derecho y se abrirá una pantalla. establecidas por la ho políticas de grupo. Elegir los que eta se considere necesarios como administrador.

Author retains full rights. como en la parte de datos (Software) para problemas mayores .com/ ƒ Verificar que no tenga los permisos por defecto que se habilitan en la instalación del Sistema Operativo. las que pueden ser sti Aplicadas tanto para el servidor como para los clientes. As part of GIAC practical repository. ƒ También es importante actualizar el Service Pack. para ello revisar. Windows 2000 soporta volúmenes en espejo y RAID-5 que protegen a los datos contra errores de disco. tanto en la ut parte física (Hardware).. independientemente de cual sea el entorno de trabajo. ƒ Hacer BackUp. es mantener el entorno tu actualizado con todas las revisiones de seguridad necesarias. para una mayor seguridad en el © Sistema operativo. En los centros de computo se deben tomar ciertas medidas de seguridad. es ho muy recomendable tomarse en serio la seguridad. Disable customizing Key fingerprint browser = AF19 FA27toolbar buttons 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 Activada Administrative Templates/Windows Components/Internet Explorer /Browser Tools menu: Disable Internet Options . Lo cual se utiliza para proteger los datos de los fallos de dispositivos SANS Institute 2003.. como una entidad única.A que impidan el normal desarrollo de las actividades. . EJ: Internet explorer. Administrative Templates/Control Panel Disable control panel Activada igh Disable Add/Remove Programs Activada Disable Display in Control Panel Activada ll r Disable deletion of printers Activada fu Administrative Templates/Network Prohibit TCP/IP advanced configuration Activada ins eta Otras Medidas de Seguridad a considerarse en los centros de computo rr Al implementar un Servidor. a través de otro equipo: EJ: \centros\C$ ƒ Hacer discos espejos. 03 SERVIDOR 20 a) Software te Una de las principales medidas de protección contra ataques.. en este caso In podrían ser: NS ƒ Mantener actualizados los Parches para las distintas aplicaciones que están SA Instaladas en el servidor. Las más fáciles de implementar sin que ello demande mucho el costo. 13 © SANS Institute 2003.menu options Activada Administrative Templates/Desktop Don’t save settings at exit Activada Remove Run menu from Start menu Activada Disable/Remove the shut Down command Activada Administrative Templates/Control Panel/Start Menu & Taskbar Remove Run menu from start menu Activada ts.microsoft. Tanto los parches como el Service Pack pueden ser bajados de la pagina de http://windowsupdate. ello permite mantener exactamente la misma información de la base de datos que aparecen al mundo real.

la cual solo deben mantener en conocimiento con sus compañeros de trabajo. 03 20 9.A ƒ Las copias de seguridad del sistema. es recomendable que sea una combinación de letras y números. en el directorio activo ayuda a los administradores a crear los ambientes de escritorio adaptados a la responsabilidad del trabajo de cada usuario. igh ƒ La contraseña para el servidor debe ser bien elegida por los supervisores. Author retains full rights. Y solo cuando sucede algo grave es cuando toman medidas necesarias para disminuir el daño. colocar un pequeño cartel en un lugar visible. ƒ No se debe conceder a los servicios más privilegios de los necesarios. que se realicen en Cd’s deben ser guardadas en un lugar cercano. que proporciona el acceso a los recursos de una manera © específica. Muchas empresas sti consideren que el peligro de violar la seguridad es poco probable que se de a un nivel interno. . Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 ƒ Desinstalar software innecesario. eta ƒ Se debe educar a los supervisores sobre la privacidad de las contraseñas. Y mejor si se lee al ll r lado inverso para evitar su fácil reconocimiento. ƒ Evitar abrir archivos adjuntos que venga con mensajes no esperados. CONCLUSIÓN te La seguridad es una parte importante de una organización. para evitar problemas con los usuarios molestosos. o de personas extrañas. Por ello no se dan el trabajo de ser minuciosos en proveer solo la información In que necesitan sus usuarios. ho ƒ Concientizar a los supervisores que deben bloquear la maquina al ausentarse de la misma. 14 © SANS Institute 2003. ya que un sistema de tu información con una seguridad débil llegará a verse comprometido. de Almacenamiento o del hardware. As part of GIAC practical repository. y no así rr otras personas externas. e impedir la ejecución de archivos necesarios. ƒ Se debe tener instalado en el equipo Software Antivirus y bajar regularmente las actualizaciones. 10. y bajo llave. Recomendaciones a supervisores encargados ts. por ello es recomendable. para evitar todo tipo de virus que pudiera atacar. que haya sido fu conocida por algún usuario externo. . ins ƒ Se debe cambiar regularmente la contraseña. REFERENCIAS SANS Institute 2003. ƒ Los supervisores no deberían reutilizar una contraseña en particular. que ut haga referencia a esta acción. NS SA La puesta en práctica de las políticas del grupo.

microsoft.unne. Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46 [1] No author. .2 SANS Security Essentials II: Basic Security Policy.telepolis. SANS Institute.htm#Ventajas%20de%20la%20ad ins ministración%20de%20cuentas%20de%20directorio%20activo eta [8] URL:http://www.com/atrasados/2000/39_feb00/articulos/directorio.edu. As part of GIAC practical repository. [3] Documento Pedro Gómez.softdownload.asp?opcion=18 03 [11] 20 URL:http://www.microsoft. [2] No author. [6] igh URL: http://www.htm ts.windowstimag. Grupo Eidos.zip ll r [7]URL:http://exa. grupoeidos. SANS Institute.ar/depar/areas/informatica/SistemasOperativos/MonogSO/S fu EGW01/CENTRAL_directorio_activo_y_la_seguridad.htm ut . 2000.windowstimag.doc SANS Institute 2003.microsoft. Windows 2000 Madrid (España).com/jlrosalesf/articulo_w2000c11.com. Author retains full rights. 1. 15 © SANS Institute 2003.com/spain/download/servidores/windows2000/Directorio- NS Activo.com/spain/download/servidores/windows2000/Active-Directory- © Design.com/spain/download/servidores/windows2000/Estructura-del- te Directorio-Activo. URL: www.htm rr [9] ho URL: http://www.com [4] Implementing and Administering Microsoft Windows 2000 Directory Services [5] URL: http://club.A [10] URL:http://www.com/spain/technet/recursos/articulos/welcome3.doc [13] SA URL:http://www.com/atrasados/2000/48_dic00/articulos/especial.microsoft.3 SANS Security Essentials V: Windows 2000 Security.doc tu sti [12] In URL:http://www. 5.ar/cursos/windows2000/directorio_activo.

Reston 2017 Reston. 2017 .Apr 22. United May 22.SEC401 Edmonton. 2017 Live Event SANS Stockholm 2017 Stockholm.Apr 01.Jun 07. 2017 Live Event SANS London May 2017 London. United Mar 13.Apr 29. 2017 Live Event SANS Pen Test Austin 2017 . 2017 vLive Bootcamp Style Mentor Session . 2017 Upcoming Training SANS Dallas 2017 Dallas. VA Apr 24.SEC401: Security Essentials Austin. 2017 . 2017 Live Event Kingdom SANS Secure Canberra 2017 Canberra.Mar 18. 2017 Live Event SANS Tysons Corner Spring 2017 McLean. 2017 . 2017 . 2017 . 2017 . 2017 Mentor Community SANS San Francisco SEC401 San Francisco. 2017 Community SANS Mentor Session . 2017 .May 27. 2017 . 2017 . IL Mar 06. TX Mar 27. Australia Mar 13.Mar 04. 2017 Live Event Community SANS Las Vegas SEC401 Las Vegas. 2017 . CA Jun 05. 2017 Live Event SANS Atlanta 2017 Atlanta.May 31. 2017 Live Event SANS Secure Singapore 2017 Singapore. Australia May 22.May 18. 2017 .Apr 20. Sweden May 29.May 20. Saudi Arabia May 06. TX Mar 27. 2017 Community SANS SANS Baltimore Spring 2017 Baltimore. LA May 15. 2017 Mentor SANS Abu Dhabi 2017 Abu Dhabi. 2017 .May 11. 2017 Community SANS SANS Security West 2017 San Diego. 2017 . 2017 Live Event Emirates SANS Pen Test Austin 2017 Austin. AB Apr 26. MD Apr 24. 2017 . 2017 Community SANS SANS Northern Virginia . Singapore Mar 13. 2017 Live Event Kingdom SANS Melbourne 2017 Melbourne.May 20.May 06. CA Mar 06. 2017 . FL Apr 07. 2017 Community SANS Community SANS Columbia SEC401 Columbia. TX Feb 27. 2017 Live Event .201704.Mar 30. United Arab Mar 25. 2017 .Apr 01. NV May 08.Jun 10. 2017 . 2017 . 2017 Mentor Community SANS Salt Lake City SEC401 Salt Lake City. GA May 30. 2017 .SEC401 Orange County.Jun 04. Apr 11. 2017 Live Event SANS London March 2017 London. WI Mar 29. 2017 Live Event Community SANS Norfolk SEC401 Norfolk.SEC401: Security Essentials Bootcamp Style SEC401 .May 26. 2017 .Jun 03. 2017 . 2017 .May 13.Mar 25. Last Updated: February 23rd. 2017 Live Event SANS San Francisco Summer 2017 San Francisco. 2017 .May 27. 2017 . 2017 Community SANS SANS Riyadh 2017 Riyadh.Apr 29. 2017 Live Event SANS vLive . MD May 15.SEC401 Milwaukee. 2017 .Mar 25. 2017 . 2017 Live Event Mentor Session . CA May 09.Apr 08. 2017 . OH Apr 17.Mar 11. 2017 Live Event Community SANS Chicago SEC401 Chicago.Mar 11. VA Mar 20. UT May 01. 2017 vLive Community SANS Cleveland SEC401 Cleveland. 2017 . CA Apr 03.Mar 25. VA May 21. 2017 Community SANS SANS 2017 Orlando. 2017 . 2017 . CA Mar 21. 2017 Community SANS SANS San Jose 2017 San Jose. 2017 Live Event Community SANS Baton Rouge SEC401 Baton Rouge.Apr 14. 2017 .May 18.