Actividad 1 Grupal: Configuración de seguridad en Windows Active Directory ▸ Objetivos El objetivo de esta actividad es implantar y configurar las políticas de seguridad del Centro Criptológico Nacional (CCN) en un dominio, a través del servicio Active Directory en Windows Server. Se implantarán las siguientes políticas: ▸ CCN-STIC-570A ENS incremental Dominio categoría básica, para definir la política de seguridad del dominio. ▸ CCN-STIC-570A ENS incremental Controladores de Dominio categoría básica, para establecer la seguridad del servicio controlador de dominio. ▸ Descripción del laboratorio. El laboratorio consta de 5 partes: 1. Descarga de ISO e Instalación de Windows Server en una máquina virtual (MV) y despliegue en VirtualBox. Instalación del rol Active Directory, Domain Name Server (DNS) y DHCP. 2. Descarga de máquina virtual W10 y despliegue en VirtualBox. 3. Implantación, configuración, comprobación de las políticas de seguridad para Windows Server del CCN, 4. Implantación, configuración, comprobación de las políticas de seguridad para Windows 10 del CCN. 5. Confección de la memoria 1. Descarga de ISO e Instalación de Windows Server ▸ Descargar Oracle VirtualBox de https://www.virtualbox.org/wiki/Downloads e instalar. ▸ Descargar ISO Windows Server 2016 de: https://www.microsoft.com/eses/evalcenter/download-windows-server-2016 ▸ Crear una MV de tipo Windows, 2 GB RAM mínimo, deseable 4 GB. ▸ En configuración de la máquinaalmacenamiento, asociar la ISO WS2016 al dispositivo CDROM. Actividades 1 ▸ En configuración de la MV, en la opción, sistema, el orden de arranque primero CDROM. ▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1) NAT que posibilita el acceso a Internet, activar el adaptador 2 como de tipo RED INTERNA, nombre RED LOCAL: ▸ Iniciar la MV, para que comience la instalación de WS2016, se debe elegir la opción instalación nueva. Una password para el usuario Administrador válida de acuerdo con la política por defecto, puede ser: Template1234! ▸ Acceder a la configuración de los adaptadores de red y asignar una dirección de subred 192.168.5.0 (u otra similar, no debe existir en la máquina física) al adaptador. Por ejemplo 192.168.5.2 ▸ Se pueden instalar las Vbox guest additions. Para ello, en el menú de la MVDispositivosUnidades OpticasSeleccionar la imagen del disco que por defecto está en el directorio de instalación de VirtualBox C:\Program Files\Oracle\VirtualBox\VBoxGuestAdditions_6.x.x.iso. A continuación, acceder desde el sistema operativo a la unidad de CDROM (D) y ejecutar el programa de instalación VBoxWindowsAdditions.exe ▸ Instalar el rol Active Directory y DNS siguiendo el tutorial de https://www.profesionalreview.com/2018/12/17/active-directory-windows- Actividades 2 server-2016/ a partir del apartado NOMBRE DEL EQUIPO (ya se ha configurado la red). Teniendo en cuenta: ▸ Nombre del equipo: WSPA (Primer Apellido del primer integrante del grupo por orden alfabético) ▸ Nombre del dominio a crear: dCU.co (Código Universitario del primer integrante del grupo por orden alfabético) ▸ Nombre NetBios: dCO (Código Universitario del primer integrante del grupo por orden alfabético) ▸ El usuario a crear se llamará ugrupoX (X es el número del grupo). Una password válida de acuerdo a la política por defecto puede ser: Template123!. Para que no haya problema a la hora de unir al dominio un cliente (posteriormente se pueden cambiar) desmarcar: el usuario debe cambiar la contraseña en el siguiente inicio de sesión. Marcar: la password no expira nunca, el usuario no puede cambiar la contraseña. Opciones de cifrado: Kerberos AES 256 bits. ▸ Comprobar/Configurar la dirección DNS en las propiedades de red del adaptador 2: ▸ Instalar el rol DHCP siguiendo el tutorial https://www.profesionalreview.com/2018/12/22/servidor-dhcp-windowsserver-2016/ desde el apartado Instalar DHCP en Windows Server 2016, puesto que la red ya se configuró, hasta el apartado Conectar un cliente a servidor DHCP de Windows Server 2016 (este apartado no hace falta seguirlo). Tener en cuenta: ▸ Intervalo de direcciones del ámbito: 192.168.5.3 - 192.168.5.100 Actividades 3 2. Descarga e Instalación de cliente Windows 10 ▸ Descargar una MV Windows 10 para VirtualBox de https://developer.microsoft.com/es-es/microsoft-edge/tools/vms/ ▸ En VirtualBoxArchivoimportar servicio virtualizado seleccionando el archivo MSEdge-Win10.ova descargado en el paso anterior. ▸ Contraseña: Passw0rd! ▸ Ejecutar slmgr /ato para activar 90 días de la licencia. ▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1) NAT que posibilita el acceso a Internet, activar el adaptador 2 como de tipo RED INTERNA, nombre RED LOCAL: ▸ Una vez arrancada, en Panel de control\Redes e Internet\Centro de redes y recursos compartidos Cambiar configuración del adaptador 2, para que obtenga la dirección IP automáticamente (DHCP) y la dirección IP DNS 192.168.5.2 Actividades 4 ▸ Seguidamente, hay que introducir la MV en el dominio. Para ello, ir a Control Panel\System and SecuritySee name of the systemRename this PC (Advanced) asignando como nombre de equipo W10grupoX e introducir el nombre del dominio (dCU.co) configurado en Active Directory en Widows Server y aportar el usuario (ugrupoX) y password creado perteneciente a dicho dominio. El proceso pedirá reiniciar la MV, se reinicia y se autentica en el dominio dCU.co\ugrupoX 3. Implantación, configuración, comprobación de las políticas de seguridad para Windows Server del CCN. ▸ GUÍA PASO A PASO CONTROLADOR DE DOMINIO QUE LE SEA DE APLICACIÓN LA CATEGORÍA BÁSICA DEL ENS. Implementar la guía de seguridad https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-accesopublico-ccn-stic/3182-ccn-stic-570a-ens-anexo-a/file.html para Windows Server desde la pag. 19 a la 39 a.i. Aspectos a tener en cuenta: o En el apartado 2 (pag. 28) de CONSIDERACIONES y CONFIGURACIONES ESPECIFICAS DE LA ORGANIZACIÓN, modificar algunas de las opciones de política de contraseñas, bloqueo de cuentas, información de obligaciones y asignación de derechos de usuario, para adaptarlas a nuestra hipotética organización. Explicar en la memoria las configuraciones adaptadas para nuestra organización. Actividades 5 o Cifrados permitidos para Kerberos: marcar las opciones correspondientes al algoritmo AES. ▸ LISTA DE COMPROBACIÓN DE WINDOWS SERVER COMO CONTROLADOR DE DOMINIO PARA LA CATEGORÍA BÁSICA. Incluir en la memoria una selección a nuestro criterio (5) de las evidencias que creas más significativas. 4. Confección de la memoria La memoria debe incluir solo evidencias del proceso seguido sin incluir pantallas propias de las guías de referencia usadas. Pantallas obligatorias a incluir con los nombres de servidor, dominio, etc. personalizados: ▸ Administración del servidorServidor local ▸ Administración del servidorServidor AD DS Actividades 6 ▸ Administración del servidorDHCP ▸ Administración del servidorDNS ▸ Inicio de sesión en dominio personalizado según lo configurado por defecto en las directivas: ▸ Ejemplo de inicio de sesión que debe aparecer para el dominio personalizado por defecto: Actividades 7 ▸ Administración de directivas de grupo, con todas las unidades organizativas desplegadas para que se visualicen las políticas implementadas. ▸ Incluir las evidencias que se piden en los apartados resaltadas en negrita relativas a listas de comprobación y las consideraciones a tener en cuenta en la organización de políticas de contraseñas, bloqueos de cuenta, derechos de usuario. ▸ Incluir otras evidencias que se estimen oportunas. ▸ Extensión máxima del laboratorio 15 páginas. ▸ SOLUCIÓN. Existen muchas soluciones diferentes. Actividades 8
