Subido por mary pinzon

Actividad-1-Servidores Windows

Anuncio
Actividad 1 Grupal: Configuración de seguridad en
Windows Active Directory
▸ Objetivos
El objetivo de esta actividad es implantar y configurar las políticas de seguridad
del Centro Criptológico Nacional (CCN) en un dominio, a través del servicio Active
Directory en Windows Server. Se implantarán las siguientes políticas:
▸ CCN-STIC-570A ENS incremental Dominio categoría básica, para definir la
política de seguridad del dominio.
▸ CCN-STIC-570A ENS incremental Controladores de Dominio categoría
básica, para establecer la seguridad del servicio controlador de dominio.
▸ Descripción del laboratorio.
El laboratorio consta de 5 partes:
1. Descarga de ISO e Instalación de Windows Server en una máquina virtual
(MV) y despliegue en VirtualBox. Instalación del rol Active Directory,
Domain Name Server (DNS) y DHCP.
2. Descarga de máquina virtual W10 y despliegue en VirtualBox.
3. Implantación, configuración, comprobación de las políticas de seguridad
para Windows Server del CCN,
4. Implantación, configuración, comprobación de las políticas de seguridad
para Windows 10 del CCN.
5. Confección de la memoria
1. Descarga de ISO e Instalación de Windows Server
▸ Descargar Oracle VirtualBox de https://www.virtualbox.org/wiki/Downloads
e instalar.
▸ Descargar ISO Windows Server 2016 de: https://www.microsoft.com/eses/evalcenter/download-windows-server-2016
▸ Crear una MV de tipo Windows, 2 GB RAM mínimo, deseable 4 GB.
▸ En configuración de la máquinaalmacenamiento, asociar la ISO WS2016 al
dispositivo CDROM.
Actividades
1
▸ En configuración de la MV, en la opción, sistema, el orden de arranque
primero CDROM.
▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1) NAT
que posibilita el acceso a Internet, activar el adaptador 2 como de tipo RED
INTERNA, nombre RED LOCAL:
▸ Iniciar la MV, para que comience la instalación de WS2016, se debe elegir la
opción instalación nueva. Una password para el usuario Administrador válida
de acuerdo con la política por defecto, puede ser: Template1234!
▸ Acceder a la configuración de los adaptadores de red y asignar una dirección
de subred 192.168.5.0 (u otra similar, no debe existir en la máquina física) al
adaptador. Por ejemplo 192.168.5.2
▸ Se pueden instalar las Vbox guest additions. Para ello, en el menú de la
MVDispositivosUnidades OpticasSeleccionar la imagen del disco que
por defecto está en el directorio de instalación de VirtualBox  C:\Program
Files\Oracle\VirtualBox\VBoxGuestAdditions_6.x.x.iso.
A
continuación,
acceder desde el sistema operativo a la unidad de CDROM (D) y ejecutar el
programa de instalación VBoxWindowsAdditions.exe
▸ Instalar el rol Active Directory y DNS siguiendo el tutorial de
https://www.profesionalreview.com/2018/12/17/active-directory-windows-
Actividades
2
server-2016/
a partir del apartado NOMBRE DEL EQUIPO (ya se ha
configurado la red). Teniendo en cuenta:
▸ Nombre del equipo: WSPA (Primer Apellido del primer integrante del
grupo por orden alfabético)
▸ Nombre del dominio a crear: dCU.co (Código Universitario del primer
integrante del grupo por orden alfabético)
▸ Nombre NetBios: dCO (Código Universitario del primer integrante del
grupo por orden alfabético)
▸ El usuario a crear se llamará ugrupoX (X es el número del grupo). Una
password válida de acuerdo a la política por defecto puede ser:
Template123!. Para que no haya problema a la hora de unir al dominio un
cliente (posteriormente se pueden cambiar) desmarcar: el usuario debe
cambiar la contraseña en el siguiente inicio de sesión. Marcar: la password
no expira nunca, el usuario no puede cambiar la contraseña. Opciones de
cifrado: Kerberos AES 256 bits.
▸ Comprobar/Configurar la dirección DNS en las propiedades de red del
adaptador 2:
▸ Instalar
el
rol
DHCP
siguiendo
el
tutorial
https://www.profesionalreview.com/2018/12/22/servidor-dhcp-windowsserver-2016/ desde el apartado Instalar DHCP en Windows Server 2016,
puesto que la red ya se configuró, hasta el apartado Conectar un cliente a
servidor DHCP de Windows Server 2016 (este apartado no hace falta
seguirlo). Tener en cuenta:
▸ Intervalo de direcciones del ámbito: 192.168.5.3 - 192.168.5.100
Actividades
3
2. Descarga e Instalación de cliente Windows 10
▸ Descargar
una
MV
Windows
10
para
VirtualBox
de
https://developer.microsoft.com/es-es/microsoft-edge/tools/vms/
▸ En VirtualBoxArchivoimportar servicio virtualizado seleccionando el
archivo MSEdge-Win10.ova descargado en el paso anterior.
▸ Contraseña: Passw0rd!
▸ Ejecutar slmgr /ato para activar 90 días de la licencia.
▸ Por defecto, activa automáticamente un dispositivo de red (adaptador 1) NAT
que posibilita el acceso a Internet, activar el adaptador 2 como de tipo RED
INTERNA, nombre RED LOCAL:
▸ Una vez arrancada, en Panel de control\Redes e Internet\Centro de redes y
recursos compartidos Cambiar configuración del adaptador 2, para que
obtenga la dirección IP automáticamente (DHCP) y la dirección IP DNS 
192.168.5.2
Actividades
4
▸ Seguidamente, hay que introducir la MV en el dominio. Para ello, ir a Control
Panel\System and SecuritySee name of the systemRename this PC
(Advanced) asignando como nombre de equipo W10grupoX e introducir el
nombre del dominio (dCU.co) configurado en Active Directory en Widows
Server y aportar el usuario (ugrupoX) y password creado perteneciente a
dicho dominio. El proceso pedirá reiniciar la MV, se reinicia y se autentica en
el dominio  dCU.co\ugrupoX
3. Implantación, configuración, comprobación de las políticas de
seguridad para Windows Server del CCN.
▸ GUÍA PASO A PASO CONTROLADOR DE DOMINIO QUE LE SEA DE APLICACIÓN
LA CATEGORÍA BÁSICA DEL ENS. Implementar la guía de seguridad
https://www.ccn-cert.cni.es/pdf/guias/series-ccn-stic/guias-de-accesopublico-ccn-stic/3182-ccn-stic-570a-ens-anexo-a/file.html
para
Windows
Server desde la pag. 19 a la 39 a.i. Aspectos a tener en cuenta:
o En el apartado 2 (pag. 28) de CONSIDERACIONES y CONFIGURACIONES
ESPECIFICAS DE LA ORGANIZACIÓN, modificar algunas de las opciones de
política de contraseñas, bloqueo de cuentas, información de obligaciones
y asignación de derechos de usuario, para adaptarlas a nuestra hipotética
organización. Explicar en la memoria las configuraciones adaptadas para
nuestra organización.
Actividades
5
o Cifrados permitidos para Kerberos: marcar las opciones correspondientes
al algoritmo AES.
▸ LISTA DE COMPROBACIÓN DE WINDOWS SERVER COMO CONTROLADOR DE
DOMINIO PARA LA CATEGORÍA BÁSICA. Incluir en la memoria una selección
a nuestro criterio (5) de las evidencias que creas más significativas.
4. Confección de la memoria
La memoria debe incluir solo evidencias del proceso seguido sin incluir pantallas
propias de las guías de referencia usadas. Pantallas obligatorias a incluir con los
nombres de servidor, dominio, etc. personalizados:
▸ Administración del servidorServidor local
▸ Administración del servidorServidor AD DS
Actividades
6
▸ Administración del servidorDHCP
▸ Administración del servidorDNS
▸ Inicio de sesión en dominio personalizado según lo configurado por defecto
en las directivas:
▸ Ejemplo de inicio de sesión que debe aparecer para el dominio personalizado
por defecto:
Actividades
7
▸ Administración de directivas de grupo, con todas las unidades organizativas
desplegadas para que se visualicen las políticas implementadas.
▸ Incluir las evidencias que se piden en los apartados resaltadas en negrita
relativas a listas de comprobación y las consideraciones a tener en cuenta en
la organización de políticas de contraseñas, bloqueos de cuenta, derechos de
usuario.
▸ Incluir otras evidencias que se estimen oportunas.
▸ Extensión máxima del laboratorio 15 páginas.
▸ SOLUCIÓN.
Existen muchas soluciones diferentes.
Actividades
8
Descargar