ADMINISTRACIÓN DE SISTEMAS OPERATIVOScahecaz.ublog.cl/archivos/17042/administracion_de... · CONCEPTOS BÁSICOS La nueva herramienta de scripting: PowerShell Más de 130 herramientas

ADMINISTRACIÓN DE

SISTEMAS OPERATIVOS

ATICA

1

2

ÍNDICE GENERAL

PARTE 1

Administración de Windows como Sistema Operativo Individual

PARTE 2

Administración de Windows en una Red de Ordenadores

WINDOWS COMO SISTEMA

OPERATIVO INDIVIDUAL

ATICA

PARTE 1

3

4

ÍNDICE

1. Entorno Windows

2. Conceptos básicos de administración

3. Instalación

4. Configuración

5. Acceso a los recursos

6. Administración de cuentas y grupos

7. Seguridad

8. Tratamiento de errores

9. Rendimiento

ENTORNO WINDOWS

EVOLUCIÓN

Windows 2.X .. 3.1

Windows 3.11

Windows 95 - 98

Windows NT 4 (WS + Server)

Windows ME

Windows 2000 (WS + Server)

Windows XP - Windows Server 2003

Windows Vista - Windows Server 2008

Windows 7 - Windows Server 2008 R2

5

6

ENTORNO WINDOWS

¿Cuáles son las nuevas versiones de Windows?

Windows NT 4.x

Windows 2000 5.0

Windows XP 5.1

Wind.Server 2003 5.2

Windows Vista 6.0

Wind.Server 2008 6.0

Windows 7 ???

Wind.Server 2008 R2 ???

7

ENTORNO WINDOWS

Windows Management Instrumentation (WMI)

WMI proporciona compatibilidad integrada para el Modelo de Información Común (CIM, Common Information Model), que describe los objetos existentes en un entorno de administración.

ENTORNO WINDOWS Windows Vista

EDICIONES

Windows Vista Business reducir los costos de administración y aumentar la seguridad y la

productividad.

Windows Vista Enterprise para grandes organizaciones con infraestructuras de TI de gran complejidad.

Windows Vista Home Premium Entretenimiento en el hogar y conexión a Internet.

Windows Vista Home Basic para usuarios que sólo necesitan las funciones esenciales de su equipo.

Windows Vista Ultimate mejores características de movilidad y de entretenimiento.

Windows Vista Starter disponible en los mercados emergentes, está diseñado para usuarios

principiantes.

8

ENTORNO WINDOWS

Windows Server 2008

Standard Mejoras en configuración y administración y características avanzadas de seguridad

Enterprise funcionalidades de cluster, adición de procesadores en caliente, consolidación de aplicaciones...

Datacenter virtualización a gran escala, configuración en cluster, particionamiento dinámico del hardware, hasta 64 proc...

Web exclusivamente servidor web

( Existen versiones con y sin Hyper-V, excepto web)

9

CONCEPTOS BÁSICOS DE

ADMINISTRACIÓN WINDOWS

ATICA

10

CONCEPTOS BÁSICOS

Consola de administración (MMC)

11

CONCEPTOS BÁSICOS

Complementos de la consola de administración (MSC)

12

CONCEPTOS BÁSICOS

Uso de la consola para administrar equipos remotos

13

CONCEPTOS BÁSICOS

Secuencias de comandos

Símbolo del sistema (CMD) y archivos .CMD

Ejercicios: 1.- Crear un cmd para arrancar internet explorer si el equipo

tiene un nombre determinado.

2.- Crear un cmd que copie haga un espejo de nuestra carpeta

de trabajo en el directorio C:\Pares los días pares y en

C:\Impares los días impares.

14

CONCEPTOS BÁSICOS

Secuencias de comandos

Windows Scripts Host

Ejercicios - Ejecutar un script del repositorio de ejemplos.

Enumerate Administrative Tools Const ADMINISTRATIVE_TOOLS = &H2f&

Set objShell = CreateObject("Shell.Application")

Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS)

Set objTools = objFolder.Items

For i = 0 to objTools.Count - 1

Wscript.Echo objTools.Item(i)

Next

- Buscar y ejecutar un script del repositorio de ejemplos, para prevenir la ejecución de un proceso (p.ej. Iexplore.exe).

15

CONCEPTOS BÁSICOS La nueva herramienta de scripting: PowerShell

Más de 130 herramientas de la línea de comandos (o "cmdlets") para

realizar las tareas de administración habituales

Permiten ordenar, filtrar y dar formato a datos y objetos, con las convenciones de nomenclatura estándar y los parámetros habituales.

Soporte para los lenguajes comandos y herramientas de la línea de comandos existentes

Permiten desplazarse por almacenes de datos, como el Registro y los almacenes de certificados, como si fueran un sistema de archivos.

Análisis de expresiones complejas y control de objetos de .NET Framework en la línea de comandos, incluida la canalización de objetos

Interfaz extensible que permite crear cmdlets personalizados para aplicaciones y administración del sistema.

Basada en C#

16

CONCEPTOS BÁSICOS

Programador de Tareas

WXP-W2003 Tareas Programadas en Panel de Control

17

CONCEPTOS BÁSICOS


WXP-W2003 Tareas Programadas (en Explorer)

18

CONCEPTOS BÁSICOS

Programador de Tareas W-Vista, W-7 y W-Server 2008: Complemento MMC

19

CONCEPTOS BÁSICOS


W-Vista, W-7 y W-Server 2008

Nuevos desencadenadores

Al producirse un evento

Al modificar una tarea

Al conectarse con escritorio remoto

Al desconectarse

Al bloquear la estación de trabajo

Al desbloquearla

Nuevas acciones

Iniciar un programa

Enviar un correo electrónico

Mostrar un mensaje

20

CONCEPTOS BÁSICOS


Carpeta %windir%\Tasks

Archivo %windir%\SchedLgu.txt

Comando AT

Comando SCHTASKS

21

CONCEPTOS BÁSICOS

Servicios

22

CONCEPTOS BÁSICOS

Servicios

Ejercicios

Parar y arrancar un servicio

Configurar opciones de recuperación

Habilitar y deshabilitar servicios.

Comando SC

Parar y arrancar un servicio desde la linea de

comandos.

Comandos Net Start y Net Stop

Parar y arrancar un servicio desde la linea de

comandos.

23

CONCEPTOS BÁSICOS

Programas de inicio y residentes

Msconfig.exe

24

CONCEPTOS BÁSICOS

Programas de inicio y residentes

Windows Defender

25

INSTALACIÓN Y

ACTUALIZACIÓN

26

INSTALACIÓN

Instalación de un S.O. Windows

Desde otro sistema operativo.

Directamente arrancando el ordenador desde la unidad de CD-ROM.

Arrancando un sistema operativo a través de la red.

Utilizando la tecnología PXE a través de Ethernet

Necesita un servidor DHCP

Útil para instalaciones desatendidas

Arrancando desde un disquete. Esta opción está reservada solamente para equipos antiguos que no permiten el arranque desde CD-ROM.

Programa de instalación. Reside en I386: Winnt.exe y Winnt32.exe.

27

INSTALACIÓN

Instalación “clásica”

28

INSTALACIÓN

Instalación CORE en Server 2008

29

INSTALACIÓN Instalación masiva

Instalación basada en imágenes (Image-based Setup, IBS) es el nuevo mecanismo de implementación de sistemas operativos para la

instalación de Windows Vista. Incluye las siguientes herramientas:

XImage.exe • comandos para crear y aplicar archivos de imágenes de Windows.

Windows Imaging (WIM) • Nuevo formato de archivo para imágenes.

Windows Deployment Services (WDS) • Servicios de implementación de Windows que reemplazan a los servicios de instalación remota (RIS) en la implementación de Windows.

Windows Preinstallation Environment (Windows PE) • Entorno de preinstalación de Windows con métodos de inicio adicionales compatibles para las instalaciones cliente OEM o Enterprise.

Windows Setup Manager • Para el mantenimiento de los archivos de imágenes de Windows.

Unattend.xml • Nuevo formato de secuencia de comandos para todas las instalaciones basadas en imágenes de Windows Vista.

System Preparation (SysPrep) • Herramienta de preparación del sistema con un funcionamiento mejorado.

30

INSTALACIÓN Instalación de varios sistemas Windows en el mismo equipo

Cuando se instala Windows XP o Windows Server 2003 en un equipo, en la partición de arranque del sistema se crean varios archivos (ocultos), algunos de ellos herencia de los antiguos sistemas MS-DOS.

Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys; MSDOS.sys

Boot.ini; Ntdetect.com; Ntldr

Pagefile.sys; Hiberfil.sys

Boot.ini.

31

[boot loader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional Alternativo" /noexecute=optin /fastdetect

INSTALACIÓN Arranque múltiple en Windows

Vista, W-7 y W.Server 2008

boot.ini se ha reemplazado por “Boot Configuration Data” (BCD).

Herramienta de la línea de comandos Bcdedit.

Configurar el Arranque múltiple. Panel de control -> Sistema -> Configuración avanzada del sistema -> Opciones avanzadas -> Inicio y recuperación -> Configuración.

Herramientas gráficas (VistaBootPRO).

32

INSTALACIÓN Editor del almacén de datos de la configuración de

arranque (BCD)

Sintaxis: Bcdedit.exe /?

Comandos que operan en un almacén

/createstore Crea un nuevo almacén de datos de arranque vacío.

/export Exporta el contenido del almacén del sistema a un archivo.

/import Restaura el estado del almacén del sistema

Comandos que operan en entradas de un almacén

/copy Hace copias de las entradas del almacén.

/create Crea nuevas entradas en el almacén.

/delete Elimina entradas del almacén.

Comandos que controlan el administrador de arranque

/bootsequence Establece la secuencia de arranque única

/default Establece la entrada predeterminada que se usará

/displayorder Establece el orden en que se muestra el menú de arranque múltiple.

/timeout Establece el valor de tiempo de espera del administrador de arranque.

/toolsdisplayorder Establece el orden en que se muestra el menú de herramientas.

33

INSTALACIÓN Actualización de los Sistemas Operativos Windows

Equipos individuales

Windows Update

Service Packs

34

INSTALACIÓN Actualización de los Sistemas Operativos Windows

35

Equipos en una red corporativa

• Activar la actualización en cada equipo usando directivas de grupo para el servicio Windows Update.

• Mediante WSUS (Windows Server Update Services).

CONFIGURACIÓN

36

CONFIGURACIÓN

El Registro de Windows

En el registro se guardan los datos de

configuración, como:

Perfiles de usuarios

Programas instalados

Configuración de Propiedades de programas,

carpetas, iconos.

Configuración hardware del equipo

Puertos en uso

…

37

CONFIGURACIÓN


Organizado jerárquicamente en:

Claves y subclaves

Secciones

Valores

Datos

Se puede editar con Regedit.exe y Regedit32.exe

38

CONFIGURACIÓN


Claves de primer nivel:

HKEY_CLASSES_ROOT

Asocia tipos de archivo con los programas correspondientes

HKEY_CURRENT_USER

Configuración para el usuario que ha iniciado sesión

HKEY_LOCAL_MACHINE

Configuración del equipo para todos los usuarios

HKEY_USERS

Perfiles de todos los usuarios que han hecho logon

HKEY_CURRENT_CONFIG

Perfil de HW que usa el equipo para arrancar el sistema

39

CONFIGURACIÓN

El Registro de Windows – Tipos de datos

REG_DWORD

Un dato de 4 bytes en binario, hexadecimal o decimal

REG_SZ

Cadena de texto de longitud fija

REG_EXPAND_SZ

Cadena de longitud variable

REG_MULTI_SZ

Varias cadenas de longitud variable

REG_BINARY

En formato hexadecimal

REG_FULL_RESOURCE_DESCRIPTOR

Tablas anidadas con listas de recursos

40

CONFIGURACIÓN


Ejercicios

Buscar un dato en el registro

Cambiar un dato

Añadir un valor

Proteger una clave

Administración remota

Acceder al registro de un equipo remoto

41

CONFIGURACIÓN


Administración mediante línea de comandos

El comando REG

Estudiar su sintaxis

Archivos .REG

Ejercicios

Hacer que al iniciar la sesión de usuario se arranque el block de notas.

42

CONFIGURACIÓN

Directivas de Grupo

(Group Policy)

Aparecieron en Windows 2000

Permiten aplicar directivas de configuración a equipos y usuarios

Se ejecutan en tiempo de “startup” o de “logon”

Pueden ser Globales o Locales

Las directivas Globales se administran centralizadamente en un

dominio o UO.

Las directivas locales residen en cada máquina

A diferentes grupos de usuarios se les pueden aplicar directivas

diferentes

43

CONFIGURACIÓN

Directivas de Grupo

(Herramientas de administración de GP)

GPMC.MSC

Permite administrar el conjunto de políticas de un dominio. En

W.Vista y WS2008 está integrada. En WXP se puede instalar.

Para usarla se necesita ser Administrador de Dominio

GPEDIT.MSC

Permite editar una política concreta.

44

CONFIGURACIÓN

Directivas de Grupo

(Novedades en Wvista, W7 y WS2008)

Aplicación de las GP más fiable y eficiente

Antes se aplicaban en Winlogon

Ahora con un servicio ad-hoc: “Group Policy Service”

Adaptabilidad a las condiciones de la red.

Extensión de la cobertura

Mayor número de parámetros y componentes que se pueden

configurar

Facilidad de uso

Gestión sencilla

45

CONFIGURACIÓN

Directivas de Grupo

(Directivas de Grupo Locales)

Permiten establecer parámetros de configuración sin tener AD

Múltiples GP locales (LGPO)

Cada LGPO se asocia con un usuario o un grupo de usuarios.

(Ficheros de Log y Eventos)

Hasta Vista, Userenv.dll es el encargado de generar un log

(userenv.log) con anotaciones de la aplicación de GPOs.

Ahora el encargado es “Local Policy Service”

Solo eventos relacionados y en formato XML

46

47

CONFIGURACIÓN

Aplicabilidad de Directivas de Grupo

Las directivas de grupo locales se pueden aplicar a usuarios individuales, además de administradores / no administradores.

CONFIGURACIÓN

Directivas de Grupo

Administración de directivas locales

Gpedit.msc de MMC

48

CONFIGURACIÓN

Directivas de Grupo

Plantillas administrativas

Antes ficheros de texto. Ahora nuevo formato XML

Ficheros con extensión ADM (antes) y ADMX (nuevo)

En WVista y WS2008 pueden coexistir ambos

Soporte multiidioma

Las plantillas ADMX residen en

%systemRoot%\PolicyDefinitions

49

CONFIGURACIÓN

Directivas de Grupo

Directivas locales Ejercicios

Recorrer las directivas. Aplicar alguna de usuario y cerrar y abrir la sesión

Habilitar y deshabilitar que se apliquen directivas locales

Buscar plantillas de directivas de grupo y ver cómo están escritas

Buscar dónde se guardan las directivas locales y cómo se podrían desplegar en una red de ordenadores sin directorio activo

¡Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos los usuarios de la máquina, incluidos los administradores

50

ACCESO A RECURSOS

51

APRENDIZAJES ESPERADOS

Conocer sobre administración de

recursos

Acceso a recursos

Administrar cuentas y grupos de

usuarios

52

ACCESO A RECURSOS

Permisos

Definen el tipo de acceso concedido a un usuario o grupo para un

objeto o una propiedad de objeto.

Se otorgan a: Grupos, usuarios y otros objetos con identificadores de seguridad del

dominio.

Grupos y usuarios del dominio y de cualquier dominio de confianza.

Grupos y usuarios locales del equipo en que reside el objeto.

Permisos comunes son: Leer

Modificar

Cambiar propietario

Eliminar

53

ACCESO A RECURSOS

Propietario de los objetos

Cuando se crea un objeto, se le asigna un propietario.

De forma predeterminada es el creador del objeto.

El propietario del objeto siempre puede cambiar los permisos

de éste.

Herencia de permisos

Los objetos de un contenedor heredan automáticamente todos

los permisos heredables de ese contenedor.

Sólo se heredan los permisos marcados para ello

54

ACCESO A RECURSOS

Permisos y descriptores de seguridad

Entrada de control de acceso (ACE) es una

asignación de permisos a un usuario o grupo

Lista de control de acceso (ACL) es el conjunto

de las ACE de un objeto

55

ACCESO A RECURSOS

Permisos especiales Control total Modificar Leer y ejecutar

Mostrar el contenido Lectura Escritura

Recorrer carpeta / Ejecutar archivo x x x x

Listar carpeta / Leer datos x x x x x

Atributos de lectura x x x x x

Atributos extendidos de lectura x x x x x

Crear archivos / Escribir datos x x x

Crear carpetas / Anexar datos x x x

Atributos de escritura x x x

Atributos extendidos de escritura x x x

Eliminar subcarpetas y archivos x

Eliminar x x

Permisos de lectura x x x x x x

Cambiar permisos x

Tomar posesión x

Sincronizar x x x x x x 56

Permisos especiales

ACCESO A RECURSOS

Permisos efectivos

Un usuario puede pertenecer a varios grupos.

Los permisos efectivos se calculan a partir de

los factores siguientes: Pertenencia al grupo global

Pertenencia al grupo local

Permisos locales

Privilegios locales

Pertenencia a grupos universales

57

ACCESO A RECURSOS

Añadir o modificar

permisos mediante

interfaz gráfica

Propiedades de objeto

-> pestaña Seguridad

58

ACCESO A RECURSOS Permisos efectivos

59

ACCESO A RECURSOS Línea de comandos

Se pueden administrar los permisos de acceso a

ficheros y objetos en general mediante

comandos:

Icacls

subinacl (resource kit)

60

ACCESO A RECURSOS

Auditoría de accesos

Se puede aplicar a accesos

correctos o incorrectos

Antes de configurar la auditoría de archivos hay que habilitar la auditoría de objetos.

Los eventos de auditoría se muestran en el registro de seguridad.

Pueden generarse muchos eventos

61

ADMINISTRACIÓN DE

CUENTAS Y GRUPOS

62

ADMINISTRACIÓN DE CUENTAS

Cuenta de usuario

Colección de información que indica a Windows: los archivos y carpetas a los que puede obtener acceso

los cambios que puede realizar en el equipo

preferencias personales, como el fondo de escritorio o tema de color preferidos.

Permiten que se comparta el mismo equipo entre varias personas, cada una de las cuales tiene sus propios archivos y configuraciones.

Cada persona obtiene acceso a su propia cuenta de usuario con un nombre de usuario y contraseña.

63


Grupos

Permiten definir características comunes a varias cuentas

Facilitan la administración

Existen grupos predeterminados y se pueden definir nuevos grupos

Una cuenta de usuario puede pertenecer a varios grupos.

64

Grupos predeterminados en Windows XP *Administradores

*Duplicadores

*HelpServicesGroup

*Invitados

*Operadores de configuración de red

*Operadores de copia

*Usuarios

*Usuarios avanzados

*Usuarios de escritorio remoto

*Usuarios del depurador

ADMINISTRACIÓN DE CUENTAS Grupos Integrados

Administradores. Máximo nivel de permisos predeterminados y pueden cambiar sus

propios permisos.

Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el equipo, independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el equipo y apagarlo, pero no pueden cambiar la configuración de seguridad.

Usuarios avanzados. Pueden crear cuentas y grupos pero únicamente pueden modificar y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de copia, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoría y seguridad.

Usuarios. Pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar impresoras locales y de red, así como cerrar y bloquear la estación de trabajo.No pueden compartir directorios ni crear impresoras locales.

Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión y cerrar el sistema en una estación de trabajo.

Replicador. El único miembro del grupo Replicador debe ser una cuenta de usuario de dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No debe agregarse a este grupo cuentas de usuarios reales. 65


Administrar cuentas de usuario y grupos

Mediante la consola MMC

Mediante secuencias

de comandos

> net user

> net group

> net localgroup

66


Perfiles de usuario

Formado por un conjunto de carpetas en las que se guardan

todas las opciones de personalización, preferencias, ficheros

temporales, música, fotos, documentos, etc. del usuario.

En la carpeta raíz, se encuentra el archivo NTUSER.DAT donde

se guardan las claves de HKEY_CURRENT_USER.

67

Perfiles Itinerantes

Permiten trabajar en

cualquier ordenador de la

empresa conservando toda la

configuración personal

Perfiles obligatorios

Renombrando ntsuser.dat

como .man, todas las

modificaciones hechas por el

usuario se pierden

ADMINISTRACIÓN DE CUENTAS Control de cuentas de usuario (UAC) en Windows Vista

Dos niveles de usuarios: Usuarios estándar y Administradores. (grupos: Usuarios y Administradores)

Inicio de sesión: Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario.

Administrador -> Dos tokens de acceso independientes Usuario estándar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas

("aplicaciones de usuario estándar").

Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas (Vista pide que eleven su contexto de seguridad al de administrador).

Directiva de grupo El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar

mediante Directiva de grupo.

Diseño de aplicaciones Los programadores deberían identificar su aplicación como aplicación de administrador o

aplicación de usuario estándar. Si una aplicación no se ha identificado como aplicación de administrador, Windows la trata como una aplicación de usuario estándar.

68

69


Control de cuentas de usuario (UAC) en Windows 7

El nuevo UAC trata

de resolver los problemas de W. Vista.

SEGURIDAD

70

SEGURIDAD Administración de la Seguridad del Sistema

Directivas de seguridad Son reglas que se configuran para proteger los recursos de un equipo o una red.

Permiten controlar: Cómo los usuarios se autentican en una red o un equipo.

Qué recursos están autorizados a utilizar los usuarios.

Si las acciones de un usuario o un grupo se graban en el registro de sucesos.

Pertenencia a grupos.

Plantillas de seguridad Son un complemento de MMC.

Una vez creada, se puede utilizar para configurar la seguridad de un sistema

Configuración y Análisis de Seguridad Es otro complemento MMC

Permite aplicar una plantilla de seguridad

Permite llevar a cabo un análisis de seguridad de un sistema en relación con una plantilla de seguridad

El análisis se actualiza cada 90 minutos en una estación de trabajo o un servidor, y cada 5 minutos en un controlador de dominio.

La configuración se actualiza también cada 16 horas, con independencia de que se produzcan cambios o no.

71

SEGURIDAD

Administración de la Seguridad del Sistema

72

SEGURIDAD

Plantillas de Seguridad

Representa una configuración de seguridad.

Se guarda en un archivo . Inf y se puede importar en un objeto de Directiva de grupo.

Se pueden utilizar para definir (entre otras): Directivas de cuenta

Directiva de contraseña

Directiva de bloqueo de cuentas

Directiva de auditoría

Asignación de derechos de usuario

Configuración del registro de sucesos

Pertenencia a grupos importantes para la seguridad

Inicio y permisos de los servicios

Permisos para las claves del Registro

Se pueden utilizar plantillas de seguridad predefinidas. 73

SEGURIDAD Plantillas de Seguridad predefinidas (WS2003, WXP)

Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir los diferentes requisitos organizativos. Están almacenadas en %SystemRoot%\Security\Templates

Seguridad predeterminada (Setup security.inf)

Representa la configuración de seguridad predeterminada que se aplica durante la instalación

Compatible (Compatws.inf)

Los permisos predeterminados para estaciones de trabajo y servidores se conceden principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios.

Segura (Secure*.inf)

Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones.

De alta seguridad (hisec*.inf)

Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles de cifrado y firmado que se requieren para la autenticación y para los datos que fluyen en canales protegidos y entre clientes y servidores.

Seguridad de la raíz del sistema (Rootsec.inf)

Especifica los nuevos permisos de la raíz introducidos en Windows XP Professional.

74

SEGURIDAD Directivas de Seguridad

Directivas de cuentas

Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el dominio. Hay 3 subconjuntos:

Directiva de contraseñas.

Directiva de bloqueo de cuentas.

Directiva Kerberos.

Directivas locales Se aplican a un equipo y contienen tres subconjuntos:

Directiva de auditoría.

Asignación de derechos de usuario.

Opciones de seguridad.

En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es: unidad organizativa, dominio y equipo local.

75

SEGURIDAD

76

Directivas de Seguridad

SEGURIDAD

Configurar la Seguridad del sistema

Crear una plantilla de seguridad

En Configuración y análisis de seguridad Abrir base de datos. (Si es la primera vez, hay que crearla) Importar plantilla (con las directivas de seguridad que se quieren aplicar

al equipo). Configurar el equipo ahora.

Configurar la seguridad del sistema mediante la línea de comandos:

secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas Área1 Área2...] [/log RutaRegistro]

[/quiet]

77

SEGURIDAD

78

Configurar la Seguridad del

sistema

SEGURIDAD Analizar la Seguridad de un equipo y ver los resultados

Análisis de seguridad Se hace comparando el estado actual con una base de datos de

análisis.

Ésta utiliza al menos una plantilla de seguridad. (puede usar más de una)

Resultados del análisis de seguridad Los presenta organizados por área de seguridad.

Marcas visuales para indicar la existencia de problemas. X roja Entrada definida en la base de datos de análisis y en el sistema,

cuyos valores de las opciones de seguridad no coinciden

Marca verde Entrada definida en la base de datos de análisis y en el sistema, cuyos valores coinciden

Interrogación Entrada no definida en la base de datos de análisis.

Exclamación Elemento de la base de datos de análisis que no existe en el sistema.

Sin resaltar Elemento no definido en la base de datos de análisis ni en el sistema.

79

TRATAMIENTO DE ERRORES

80

TRATAMIENTO DE ERRORES El visor de eventos

Permite supervisar el funcionamiento de todos los elementos del S.O. como forma de prevenir errores.

Un análisis de los eventos de advertencia o error que se estén produciendo en un equipo, permitiría a un administrador anticiparse al problema y buscar soluciones que lo eviten.

Los eventos son elementos con información relativa a algún suceso que ha ocurrido en el equipo. Pueden ser de: Información, como arranques y paradas, conexión con otros equipos, actualización de la

hora, etc. Advertencia, como una desconexión del cable de red, etc. Error, como que no se ha podido leer un archivo en un disco porque éste tiene algún

sector deteriorado.

Es un complemento de Microsoft Management Console (MMC)

Permite realizar las siguientes tareas: Ver eventos desde varios registros de eventos Guardar filtros de eventos útiles como vistas personalizadas que se pueden volver a usar Programar una tarea para que se ejecute como respuesta a un evento Crear y administrar suscripciones a eventos

81


82

El visor de eventos

TRATAMIENTO DE ERRORES Registros de eventos

Aplicación. Eventos registrados por aplicaciones o programas. Los programadores deciden qué registrar.

Seguridad. Intentos de inicio de sesión válidos y no válidos, creación, apertura o eliminación de archivos (si se habilitó auditoría).

Sistema. Eventos registrados por componentes del sistema Windows.

Nuevos en W.Vista, W.7 y W.Server 2008

Instalación. Eventos relacionados con la instalación de aplicaciones.

Eventos reenviados. Se usa para almacenar eventos recopilados de equipos remotos, mediante una suscripción de evento.

83


84

Registros de eventos en Vista y Srv2008


Ejecutar una tarea como respuesta a un evento dado

Es una opción muy útil para los administradores de un parque de

ordenadores consiste en la posibilidad de configurar una tarea para que se ejecute cuando se registre un evento que cumpla los criterios especificados. Esto permitiría, por ejemplo, enviar una correo electrónico o incluso un mensaje SMS a un administrador, cuando un dispositivo deje de funcionar, o cuando se detenga una aplicación crítica.

Permite: Iniciar un programa

Enviar correo electrónico

Mostrar un mensaje

85

RENDIMIENTO

86

RENDIMIENTO

Monitor de rendimiento

El Monitor de rendimiento muestra los contadores de rendimiento En tiempo real

Para revisar los datos históricos.

Contadores de rendimiento Son mediciones del estado o de la actividad del sistema.

El Monitor de rendimiento muestra el valor de los contadores de rendimiento a intervalos de tiempo especificados.

En XP y Srv2003 se arranca como herramienta administrativa. En Vista, W.7 y Srv2008 es un complemento de MMC

87

RENDIMIENTO

88

RENDIMIENTO

Objetos y contadores de rendimiento

Objetos de rendimiento Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales

como la memoria, los procesadores, etcétera.

Contadores de rendimiento Representan aspectos específicos de un sistema o servicio. (Por ej. Páginas por segundo)

Datos de rendimiento Son los valores de los contadores en el momento actual o en periodos anteriores.

Objetos de rendimiento más importantes Caché

Memoria

Objetos

Archivo de paginación

Disco físico

Proceso

Procesador

Servidor

Sistema

Subproceso 89

RENDIMIENTO

Objetos y contadores de

rendimiento

Ejercicio: Añadir al monitor en tiempo real algunos contadores importantes de

los objetos:

Memoria

Archivo de paginación

Disco físico

Procesador

90

RENDIMIENTO Recopilación de datos para análisis

Registros de seguimiento. Guardan sucesos detallados de las aplicaciones del sistema cuando

ocurren eventos como una operación de E/S en un disco o un error de página.

Cuando ocurre el suceso, el sistema operativo registra los datos de sistema en un archivo especificado por el servicio Registros y alertas de rendimiento.

Para interpretar el resultado del registro de seguimiento, se requiere una herramienta de análisis. Los programadores pueden crear una herramienta de este tipo mediante las interfaces de programación de aplicaciones (API) proporcionadas en MSDN Library

Registros de contador El servicio obtiene datos del sistema cuando ha transcurrido el

intervalo de actualización, en lugar de esperar a que se produzca un suceso determinado.

91

RENDIMIENTO

Recopilación de datos para análisis

Ejercicio:

Crear un fichero con registros de contador y analizarlo

92

RENDIMIENTO

Monitor de confiabilidad

Permite medir la estabilidad del sistema y analizar

tendencias a partir de eventos individuales que

pueden afectar a la estabilidad general, como:

Instalaciones de software

Actualizaciones del sistema operativo

Errores de hardware.

La información de configuración se recopila de los

valores de las claves del Registro de Windows.

93

RENDIMIENTO

94

Monitor de confiabilidad

WINDOWS 7 XP MODE

95

96

ENTORNO WINDOWS 7

Máquina Virtual XP dentro de Windwos 7

¿Qué es Windows 7 XP Mode?

• Nueva versión de Windows Virtual PC

• Windows XP Professional SP3 VM, preconfigurado con Firewall y actualizaciones automáticas.

• Disponible en W7 Professional, Enterprise y Ultimate.

ADMINISTRACIÓN DE WINDOWS

EN UNA RED DE ORDENADORES

ATICA

PARTE 2

97

98

ÍNDICE

1. Creación del entorno básico de pruebas

2. Planificación del Directorio Activo

3. Creación del Directorio Activo

4. Directorio Activo - Conceptos

5. Server Core

6. Read Only Domain Controllers

7. Seguridad

CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS

ATICA

99

100


Entorno virtual con VMWare

S.O. Windows Server 2008 y W.7

Acceso a las imágenes ISO de los DVD

Red local virtual VMnet1 (host-only)

101


102


Sistemas operativos base

Windows Server 2008 Datacenter

WS2K8D

Windows Server 2008 Standard

WS2K8S

Windows Server 2008 Standard Core

WS2K8C

Windows 7

Win7

103


Acciones a realizar:

Cambiar contraseña de Administrador:

A-tic-A

Instalar VMWare Tools.

Cambiar nombre de la máquina.

Activar la detección de redes

Cambiar configuración de actualizaciones a no

actualizar nunca.

Comprobar la dirección IP y apuntarla

104


Cambio de nombre en un Server Core:

> Netdom renamecomputer %computername%

/NewName:nuevo-nom

Comprobar la dirección IP en Server Core

> Ipconfig /all

105

¿Cómo ampliar el periodo de evaluación de Windows?

- Comprobar estado: slmgr.vbs –dli

- Restablecer periodo: slmgr.vbs –rearm

(Se puede ejecutar 2 veces, lo que permite 3 periodos

de evaluación. Se puede planificar y automatizar.)

Más información: Support.microsoft.com/kb/948472

PLANIFICACIÓN DEL DIRECTORIO ACTIVO

ATICA

106

107

¿Uno o varios dominios?

Razones por las que se debe crear más de un dominio:

Requisitos de contraseñas distintos en los diversos departamentos y

divisiones

Número muy grande de objetos

Administración descentralizada de la red

Mayor control de la replicación

El uso de un único dominio en toda una red tiene ventajas

si la administración es centralizada y el número de usuarios

no muy alto.

Planificación del Directorio Activo

108

Árboles y Bosques

Un bosque es una colección de dominios que

permite:

La interacción de los usuarios con el directorio.

La administración de múltiples dominios.

Un árbol es un conjunto de uno o varios dominios

con nombres DNS contiguos.

Un bosque puede tener más de un árbol.


109

Unidades Organizativas (OU)

Son contenedores de AD con usuarios, grupos,

equipos y otras OU.

No puede contener objetos de otros dominios.

Se le pueden asignar directivas de grupo

Se puede delegar la autoridad administrativa.


110

Diseño de un Active Directory


111

Determinar el número de bosques de una red

Escenario con un único bosque Normalmente es suficiente en la mayoría de las situaciones. Administración más sencilla. Los cambios de configuración sólo tienen que aplicarse una vez para afectar a todos los dominios.

Escenario con varios bosques Si hay muchas divisiones autónomas que: No confían en sus administradores respectivos.

No pueden acordar una política de cambios en el bosque.

Desean limitar el alcance de una relación de confianza.


112

Plan de dominios

Dibujar la topología de la red


113

Plan de dominios

Crear particiones en el bosque


114

Plan de dominios

Plan de árboles de dominios


115

Plan de dominios

Plan de Unidades Organizativas OU


116

Plan de dominios

Plan de topología de sitios


117

Nuestro ejemplo

empresa.es filial.es

rrhh.empresa.es

Delegacion

SedeCentral

SedeFilial


118

Nuestro ejemplo

empresa.es filial.es

rrhh.empresa.es

Delegacion

SedeCentral

SedeFilial

Controladores

de Dominio

RODC


CREACIÓN DEL DIRECTORIO ACTIVO

ATICA

119

120

DIRECTORIO ACTIVO

Creación del Directorio Activo de ejemplo

Laboratorio

Clonar las máquinas base para obtener

máquinas que se pueden borrar y volver a

crear facilmente.

Tomar nota de todos los nombres,

contraseñas, direcciones IP etc que se

vayan asignando.

Después de instalar el primer DC,

observar los cambios producidos en el S.O.

DIRECTORIO ACTIVO - CONCEPTOS -

ATICA

121

122

Novedades en W2008

Active Directory Domain Services

Reemplaza a “Active Directory”

Active Directory Lightweight Directory Services

Reemplaza a “Active Directory Application Mode” o ADAM

Funciones de Servidor

Funcionalidades del servidor como AD DS, AD LDS, y DNS

Se administran centralmente a través del Server Manager

Server Core para controladores de dominio

Opción de instalación mínima del Servidor

Menor superficie de ataque debido a los pocos componentes

instalados

Directorio Activo

123

Novedades en W2008

AD DS reiniciable

Sin reiniciar el servidor, ahora se puede: Aplicar parches de los DS

Realizar una desfragmentación offline

Un servidor con los DS parados es similar a un servidor miembro NTDS.dit está offline

Puede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)

Ojo: Un usuario que conozca la pwd de recuperación podría arrancar en modo DSRM y forzar la desinstalación del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!

Directorio Activo

124

Novedades en W2008

Directivas de Grupo

DFS-R reemplaza a FRS para la replicación de Sysvol

Compresión

Replicación diferencial block-level

Planificación

Control de Ancho de Banda

Es necesario que el Bosque/Dominio esté funcionando en

el nivel funcional de “Windows Server 2008”

Requiere que todos los DCs sean Windows Server 2008

El paso de FRS a DFS-R no es automático

Directorio Activo

125

DIRECTORIO ACTIVO

AD incluye:

El esquema conjunto de reglas que definen las

clases de objetos y los atributos del directorio

Un catálogo global contiene información acerca de

los objetos del directorio. Permite encontrar

información con independencia del dominio.

Un sistema de índices y consultas, para publicar

y encontrar objetos y sus propiedades.

Un servicio de replicación distribuye los datos

del directorio por toda la red a través de los

controladores de dominio.

126

DIRECTORIO ACTIVO

Características principales:

Seguridad

Administración flexible y simplificada

Escalabilidad

Alta disponibilidad

Capacidad de ampliación

Compatibilidad con estándares abiertos

Acceso mediante programación simple

Autenticación de usuarios

127

DIRECTORIO ACTIVO

(Fuente: Caja Madrid)

128

DIRECTORIO ACTIVO

Autenticación en el Directorio Activo:

La Autoridad de Seguridad Local (LSA) es el

subsistema de responsable de la autenticación.

LSA también procesa solicitudes de autenticación

realizadas por medio del protocolo Kerberos.

LSA del DC de autenticación genera un testigo de

acceso de usuario y le asocia un Id. de seguridad

(SID).

Testigo de acceso contiene nombre de usuario, grupos a

los que pertenece, SID del usuario y todos los SID de los

grupos a los que pertenece.

Cuentas de Directorio Activo

Cuentas de usuario: Es un objeto almacenado en

el AD que permite su inicio de sesión único en la

red

Cuentas locales

Cuentas de dominio

Cuentas Integradas (Built-in)

Cuentas de Equipos. Ofrecen una forma de

autenticar y auditar a los equipos que acceden a la

red y a recursos del dominio.

Cuentas de grupos: Colección de usuarios,

equipos y otros grupos. Su principal objetivo es

simplificar la administración

DIRECTORIO ACTIVO

129

User Principal Name (UPN)

En AD, cada cuenta de usuario tiene:

DIRECTORIO ACTIVO

Un nombre de

inicio de sesión de

usuario.

Un nombre de

inicio de sesión de

usuario anterior a

Windows 2000

Un sufijo UPN (User

Principal Name, segun

RFC 822)

UPN = nombre_de_inicio_de_sesión@Sufijo_UPN 130

Cómo agregar Sufijos UPN

En la consola de Dominios y confianzas del AD

DIRECTORIO ACTIVO

[email protected]

ó

juanp@grupoempresas

131

NOMINACIÓN DE OBJETOS Se puede hacer referencia a cada objeto de Directorio Activo con

varios nombres diferentes. AD crea a partir de los datos durante

la creación del objeto:

El nombre completo relativo LDAP: identifica unívocamente al

objeto dentro su contenedor principal.

CN=JuanP

El nombre completo LDAP: es globalmente único.

CN=JuanP, OU=Users, DC=empresa, DC=es

El nombre canónico: se crea de la misma manera que el nombre

completo, pero se representa con una notación diferente.

Empresa.es/Users/JuanP

Objetos principales de Seguridad (Security Principals): Son

objetos del directorio que tienen asignados un Identificados

único de seguridad (SID)

Directorio Activo

132

Sintaxis LDAP Cómo se construye el DN (Distinguish Name)

CN= : Common Name. OU= : Unidad Organizativa DC= : Domain Component

Ejemplos:

Dominio: DC=empresa,DC=es

Controlador de Dominio: CN=DC1,OU=Domain Controllers,DC=empresa,DC=es

Dominio hijo: DC=rrhh,DC=empresa,DC=es

Site: CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es

Usuario: CN=Administrador,CN=Users,DC=empresa,DC=es

DIRECTORIO ACTIVO

133

Búsquedas LDAP al directorio

RootDSE es parte del estándar de LDAPv3.0

Definido en RFC 2251

Define la raíz de búsqueda en un servidor LDAP

Muestra, entre otras cosas, las particiones básicas a las que se puede

conectar un cliente

Pasos:

Conexión con un servidor LDAP

Por defecto devuelve RootDSE

Antes de consultar hay que validarse

Opción bind con usuario y contraseña

Buscar

Definir el ámbito de la búsqueda (Base DN)

Uso de filtros con sintaxis LDAP (Sintaxis LDAP)

Profundidad de la búsqueda (En el ámbito dado)

Resultados a devolver (Qué atributos extraer)

DIRECTORIO ACTIVO

134

NOMINACIÓN DE OBJETOS Objetos en NTds.dit (editor ADSI)

Directorio Activo

135

Creación de usuarios en AD Para crear/modificar/borrar un solo usuario

Usuarios y equipos de Directorio Activo

DsAdd, DsMod, DsRm (“Scriptables”). – Solo en servidores DC

Para crear/modificar/borrar múltiples usuarios

Csvde

Importa/Exporta usuarios desde/a un fichero .csv

LDIFDE

Utiliza ficheros de texto, con formato de líneas separadas para cada atributo, para crear, modificar o borrar objetos en el Directorio Activo

ADSI: Interfaz de programación para crear objetos en Directorio Activo vía desarrollo

En todos los casos, se deben especificar al menos estos atributos:

DN,objectClass, sAMAccountName, userPrincipalName, displayName, userAccountControl

DIRECTORIO ACTIVO

136

Grupos

Grupos de Distribución:

Utilizados por aplicaciones de correo (p.e Microsoft Exchange

Server 2000/2003)

No pueden ser usados para especificar controles de acceso a

recursos.

Grupos de Seguridad:

Asignación de derechos (funciones que se pueden desempeñar)

Asignación de permisos de acceso a recursos

Permiten anidación, es decir, meter unos grupos dentro de otros.

Ambos tipos de grupo pueden ser de tres ámbitos distintos:

Locales de Dominio

Global

Universal

DIRECTORIO ACTIVO

137

Grupos Locales de Dominio

Pueden contener:

Grupos Universales, Globales, Locales de su dominio

Usuarios de cualquier dominio del bosque

Pueden pertenecer a otro grupo Local de Dominio

Solo son visibles en su propio dominio

Se utilizan para asignar permisos a recursos existentes

en el dominio en donde se esta creando el grupo

DIRECTORIO ACTIVO

138

Grupos Globales

Pueden contener:

Usuarios, Grupos y equipos de su propio dominio

Otros grupos globales

Pueden pertenecer a Grupos Locales, Universales o

Globales del mismo dominio

Son visibles desde cualquier dominio del bosque en

los que se confíe.

Pueden asignarse a recursos de cualquier dominio

de confianza del bosque

DIRECTORIO ACTIVO

139

Grupos Universales

Pueden contener:

Usuarios y equipos de cualquier dominio del bosque

Grupos globales o universales de cualquier dominio del bosque

Pueden pertenecer a otros grupos universales y a grupos Locales

de Dominio.

Son visibles desde todos los dominios del bosque

Se usan para asignar permisos a recursos relacionados en todos

los dominios del bosque, anidando en ellos grupos globales.

DIRECTORIO ACTIVO

Identificar qué grupos son Locales, Globales y Universales en el primer controlador de dominio instalado en el laboratorio.

140

Grupos

DIRECTORIO ACTIVO

141

Tipos de Confianzas Transitividad

Transitivas (T) Intransitivas (I)

Dirección Bidireccionales (B) Unidireccionales (U)

Confianzas por defecto Entre dominios (padres/hijos): Transitivas bidireccionales Entre raíces de árboles: Transitivas bidireccionales

Otros tipos de confianzas: Externa: Con NT 4.0 (I, U/B) Territorios: Kerberos con sistemas no Windows: (T/I, U/B) Bosque: Entre bosques (T, U/B) Acceso Directo: Para mejorar los tiempos de acceso entre

dominios “lejanos” lógicamente (T, U/B)

DIRECTORIO ACTIVO

142

Confianzas

DIRECTORIO ACTIVO

Kerberos NT 4.0

143

Dominios y Confianzas de AD

DIRECTORIO ACTIVO

144

Almacén de datos del directorio

Contiene información acerca de objetos como usuarios, grupos, equipos, dominios, unidades organizativas y directivas de seguridad.

Se almacena en controladores de dominio. Cada DC dispone de una copia.

Los cambios realizados en el directorio en un DC se replican al resto de DC en el dominio, el árbol de dominios o el bosque.

AD utiliza cuatro tipos diferentes de particiones de directorio: Dominio. información acerca de los objetos de un dominio. Configuración. describen la topología del directorio. Esquema. definición formal de todos los datos de objetos Aplicación. datos de aplicaciones

Cuando un DC es catálogo global, almacena un subconjunto de datos del directorio para todos los demás dominios del bosque.

Los datos del directorio se almacenan en el archivo Ntds.dit del DC. Los datos privados se almacenan de forma segura y los datos públicos del directorio se guardan en SYSVOL desde donde se pueden replicar a otros controladores del dominio.

DIRECTORIO ACTIVO

145

Control de acceso en Active Directory

Un descriptor de seguridad contiene dos listas de control de acceso (ACL):

Listas de control de acceso discrecional (DACL). Identifican a los

usuarios y grupos que tienen asignados o denegados permisos de acceso a un objeto.

Listas de control de acceso al sistema (SACL). Identifican a los usuarios y los grupos que desea auditar cuando consiguen o no consiguen obtener acceso a un objeto.

Las DACL y las SACL están asociadas de forma predeterminada con todos los objetos de AD.

DIRECTORIO ACTIVO

146

DACL:

Discretionary

Access control

List

SACL: System

Access Control

List

ACE: Access

Control Entry

ACCESS TOKEN Y ACLS

Directorio Activo

147

Funciones de servidor de Active Directory

Servidores miembro

Pertenece a un dominio

No es un controlador de dominio.

No procesa inicios de sesión de cuentas, no participa en la replicación de AD ni

almacena información de directivas de seguridad de dominio.

Controladores de dominio (DC)

Almacena una copia de lectura y escritura del directorio de AD.

Autentica usuarios.

Sincroniza los datos del directorio utilizando replicación.

Controladores de dominio de solo lectura (RODC)

Para escenarios donde la seguridad local no se puede garantizar o donde

almacenar credenciales de usuarios y servicios se considera un riesgo no

asumible.

El administrador del dominio decide qué contraseñas se replican o cachean.

DIRECTORIO ACTIVO

148

149

Catálogo Global

DC que almacena una copia de todos los objetos de AD del bosque

(Copia completa de su dominio y parcial de los demás dominios del bosque )

Funciones:

•Búsqueda de objetos

•Autenticación del nombre

principal de usuario

•Información de pertenencia a

grupos universales en un entorno

de dominios múltiples

•Validación de referencias a

objetos dentro de un bosque

Directorio Activo

150

Funciones del maestro de operaciones (FSMO)

(funciones flexibles de operaciones de un solo maestro)

Maestro de esquema

Maestro de nombres de dominio

Maestro de Id. relativo (RID)

Maestro emulador del controlador principal de

dominio (PDC)

Maestro de infraestructuras

Directorio Activo

151


Funciones que solo puede desempeñar un DC en cada

bosque:

Maestro de esquema: DC que controla todos los

cambios que tienen lugar en el esquema.

Maestro de nombres de dominio: Controla las

altas y bajas de dominios del bosque.

Directorio Activo

152


Funciones que solo puede desempeñar un DC en cada

dominio:

Maestro de Id. relativo (RID): Asigna secuencias de Id.

relativos (RID) a cada uno de los distintos controladores del dominio que

los usa para asignar id. de seguridad (SID).

Maestro emulador del controlador principal de

dominio (PDC): Actúa como controlador principal de dominio.

También se encarga de sincronizar la hora en todos los controladores del

dominio.

Maestro de infraestructuras: Es el responsable de

actualizar las referencias de los objetos de su dominio en los objetos de

los otros dominios.

Directorio Activo

153


¿Qué DCs ejercen las funciones FSMO en un dominio?

> netdom query /Domain:empresa.es FSMO

Maestro de esquema WS2K8DC1.empresa.es

Maestro nomencl. Dominios WS2K8DC1.empresa.es

PDC WS2K8DC1.empresa.es

Administrador de grupos RID WS2K8DC1.empresa.es

Maestro de infraestructura WS2K8DC1.empresa.es

El comando se completó correctamente.

Directorio Activo

154

Transferir funciones del maestro de operaciones

Es una operación crítica que hay que realizar cuando

debe sustituirse el DC que la hacía.

Función Consola de MMC

Maestro de esquema Esquema de AD

Maestro nomencl. Dominio Dominios y confianzas de AD

PDC Usuarios y equipos de AD

Administrador de grupos RID Usuarios y equipos de AD

Maestro de infraestructura Usuarios y equipos de AD

Ejercicio: Llegar a los cuadros de diálogo para transferir las funciones de maestro de Operaciones

Directorio Activo

155

Transferir la función del maestro de esquema

El complemento de consola “Esquema de Active

Directory” no aparece por defecto:

Es preciso registrar la dll: “schmmgmt.dll” Para ello:

• Colocarse en %windir%\system32

• Ejecutar: regsvr32 schmmgmt.dll

Directorio Activo

SERVER CORE

ATICA

156

157

Server Core es una opción de instalación

mínima de Windows Server 2008

¿GUI? – Desaparece (En su mayoría).

Windows Explorer? – Desaparece.

Internet Explorer y Media Player? – Desaparecen.

.Net Framework? – Desaparece

MMC? – También desaparece.

Diseñado para cubrir ciertos entornos y cargas

de trabajo

Disponible en 32 y 64 bits

Server Core

158

¿Porqué Server Core?

Reduce el mantenimiento del software Solo se instalan los componentes esenciales

Reduce la superficie de Ataque Menos cosas que parchear y asegurar

Reduce la Gestión Menos cosas que gestionar.

Consumo menor de Memoria Ejemplo: 184 MB frente a 309 MB

Menos espacio en disco requerido Core: 1.6 GB / Completo: 7.6 GB

Instalación base (sin Pagefile.sys).

(A la gente de UNIX “les pone”).

Server Core

Opciones Mínimas de Instalación

Poca superficie

Interface por Línea de Comando

Conjunto limitado de Roles de

Servidor

Roles de Servidor de Server Core

Server Core

Seguridad, TCP/IP, Sistema de Ficheros, RPC, y otros Sub-Systems del nucleo de Servidor.

DNS DHCP File AD

Servidor

With WinFx, Shell, Tools, etc.

TS IAS Web

Server Share Point® Etc…

Server, Server Roles (Por ejemplo, solo)

GUI, CLR, Shell, IE,

Media, OE, etc.

Media Server

Web Server

Server Core

160

SERVER CORE

Compatibilidad de Aplicaciones

Las aplicaciones han de ser probadas

NO esta disponible lo siguiente:

.Net Framework (En WS2008 R2 sí estará disponible)

Windows Explorer (shell o GUI)

Globos de notificación

Run as

PowerShell (En WS2008 R2 sí estará disponible)

MMC

161

SERVER CORE

Instalación

Se puede:

Instalar desde el mismo DVD de Windows Server

2008

No se puede:

Actualizar desde versiones previas de Windows

Convertir una instalación completa en Core

Convertir una instalación Core en completa

162

SERVER CORE

Configuración Inicial de Server Core

Establecer la contraseña del Administrador

CTRL+ALT+DEL y hacer click en “Cambiar la Contraseña”

net user administrator *

Cambiar el nombre del servidor

Netdom renamecomputer %computername% /Newname:nuevonombre

Configurar una IP Estática

Netsh

interface ipv4

show interfaces

show address

set address 2 static 192.168.x.104 255.255.255.0

set dnsserver 2 static 192.168.x.101 primary

163

SERVER CORE

Configuración Inicial de Server Core Ver opciones básicas de configuración del Server Core

Cscript scregedit.wsf (ejecutado desde %windir%\system32)

Cscript scregedit.wsf/cli

Activar la copia de Windows Slmgr.vbs –ato

Unirse a un dominio (si se requiere) Netdom join /domain:dominio /UserD:usuario

/PassworD:contraseña /UserO:usuario /PasswordO:contraseña /reboot

Añadir funciones (roles) y características Ocsetup

Listar las funciones y características instaladas Oclist

Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.

164

SERVER CORE

SCRegEdit.wsf

No todas las tareas se pueden ejecutar mediante la

línea de comando o de manera remota

SCRegEdit.wsf esta incluido en Server Core para:

Permitir las actualizaciones automáticas

Permitir Sesiones de terminal en modo administración

Permitir la administración remota del Monitor de IPSEC

Configurar el peso y la prioridad de un registro DNS SRV

Nuevo modificador /cli que lista comandos y

modificadores comunes

Localizado en \Windows\System32

165

SERVER CORE

OCList.exe

Única herramienta de linea de comando

propia de “Server Core”

Lista los roles de servidor y las

funcionalidades adicionales que se pueden

instalar con “OCSetup”

Lista si los paquetes están o no instalados

166

SERVER CORE

Añadir Roles de Servidor

Únicamente mediante línea de comando, sin “Server Manager”

Start /w Ocsetup RolePackage DHCP = DHCPServerCore

DNS = DNS-Server-Core-Role

File Replication service = FRS-Infrastructure

Distributed File System service = DFSN-Server

Distributed File System Replication = DFSR-Infrastructure-ServerEdition

Network File System = ServerForNFS-Base

Media Server = MediaServer

Print = Printing-ServerCore-Role

LPD = Printing-LPDPrintService

Active Directory Dcpromo instala el “Active Directory”

Dcpromo /unattend:Unattendfile

Ocsetup no esta soportado para instalar “Active Directory”

167

SERVER CORE

Añadir Características Adicionales

Start /w ocsetup OptionalFeaturePackage Failover Cluster = FailoverCluster-Core

Network Load Balancing = NetworkLoadBalancingHeadlessServer

Subsystem for UNIX-bases applications = SUA

Multipath IO = MultipathIo

Removable Storage Management = Microsoft-Windows-RemovableStorageManagementCore

Bitlocker Drive Encryption = BitLocker

Backup = WindowsServerBackup

Simple Network Management Protocol (SNMP) = SNMP-SC

Telnet Client = TelnetClient

WINS = WINS-SC

QoS = QWAVE

168

SERVER CORE

Desinstalar funciones y características

Start /w Ocsetup Package /uninstall

Excepto para “Active Directory”

Hay que usar DCPromo y demote

Dcpromo /unattend:<unattendfile>

Esto también elimina los binarios del “Active Directory”

NO hay herramienta de entorno grafico para

instalar o desinstalar roles y funcionalidades

en remoto

169

SERVER CORE

Administración de Server Core

CMD para ejecución de comandos en local

CMD usando Terminal Server

WS-Management y Windows Remote Shell para ejecución remota de comandos

WMI

Programador de Tareas para ejecutar trabajos y tareas

“Event Logging” y “Event Forwarding”

RPC y DCOM para soporte remoto a MMC

170

SERVER CORE

Hardware en un Server Core

Plug and Play esta incluido en Server Core

Si se añade hardware con un driver que ya esté incluido en el

sistema, PnP lo instalara silenciosamente

Si el driver no esta incluido, pero tienes un driver PnP

para el hardware

Copiar los ficheros del driver al servidor

Ejecutar: Pnputil –i –a driverinf

Para listar los drivers instalados

sc query type= driver

Para eliminar un driver

sc delete driver_name

171

SERVER CORE

Trucos

Panel de control (Algunos) Cambio de la Zona horaria “Control timedate.cpl”

Cambios para el idioma o teclado “Control intl.cpl”

Notepad, Incluido con algunas limitaciones La Ayuda no funciona

Cuadros de dialogo antiguos

Copiar, Pegar, Buscar, Reemplazar, si funcionan

Si cierras línea de comando Presionar ctrl-alt-del, click Start Task Manager,

Cierra e inicia sesión

172

SERVER CORE

Limitaciones

NO hay soporte para código manejado

No hay globos de notificación, como por

ejemplo para las actualizaciones o la

activación. Tampoco para la notificación de la

caducidad de las contraseñas

“Ejecutar como” no esta soportado

READ ONLY DOMAIN CONTROLLERS

ATICA

173

174

RODC

Desafíos de las delegaciones remotas

Los administradores se enfrentan a los siguientes desafíos a la

hora de desplegar Controladores de Dominio en una delegación remota El DC se coloca en una localización física insegura

El DC tiene una conexión de red poco fiable con el HUB

El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que: Los Domain Admins gestionan el DC remotamente, o

Los Domain Admins delegan privilegios al personal de la delegación

Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero Los usuarios no podrían iniciar sesion o acceder a recursos de red si

la WAN falla

175

RODC

Desafíos de las delegaciones

remotas

176

RODC

Modelos de Administración recomendados Cuentas no cacheadas (por defecto)

A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas

En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión

La mayor parte de las cuentas cacheadas A Favor: facilidad en la gestión de contraseñas. Para entornos en

los que es más importante la administrabilidad que la seguridad.

En contra: Más contraseñas expuestas potencialmente por el RODC

Solo una pocas contraseñas cacheadas A Favor: Permite el acceso offline de quien lo necesite realmente,

maximizando la seguridad de los demás

En Contra: Requiere una administración granular más fina Mapear equipos por delegación

Requiere buscar manualmente el atributo Auth2 para identificar las cuentas

177

RODC

Menor superficie de ataque para los DCs de delegaciones remotas

Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC

El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC

Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR

Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas

La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC

Los RODCs tienen cuentas de estación de trabajo No son miembros de los grupos Enterprise-DC o Domain-DC

Derechos muy limitados para escribir en el Directorio

Los RODC son totalmente compatibles con Server Core

Cacheo de secretos en el primer inicio de sesión

Hub

`

Read Only DCDC en el Hub

Delegación

2. RODC: No tiene las credenciales

de este usuario

3. Reenvía la petición al DC del Hub

4. El DC del Hub autentica la petición

5. Devuelve la petición de

autenticación y el TGT al RODC

6. El RODC da el TGT al usuario y

encola una peticion de replicación

de los secretos

7. El DC del Hub comprueba

la política de replicación

de contraseñas para ver

si la contraseña puede

ser replicada

1. AS_Req enviado al RODC

(TGT request)

1

23

4

5

6

6

7

7

Como Funciona

RODC

SEGURIDAD

ATICA

179

180

SEGURIDAD

Auditorías de cambios en AD

• Los Event logs dicen exactamente: – Quien hizo el cambio

– Cuándo se hizo el cambio

– Que objeto/atributo fue cambiado

– Los valores inicial y final

• La auditoría esta controlada por – Política global de auditoría

– SACL

– Schema

Event

ID

Event

type Event description

5136 Modify This event is logged

when a successful

modification is made to

an attribute in the

directory.

5137 Create This event is logged

when a new object is

created in the directory.

5138 Undelete This event is logged

when an object is

undeleted in the

directory.

5139 Move This event is logged

when an object is moved

within the domain.

181

SEGURIDAD

Backup/Recovery Windows Server Backup (wbadmin.exe)

NTBackup está discontinuado

Nueva tecnología Block-Level, basada en imágenes

Backup/recovery del System State por línea de comandos

Debe hacerse a una partición diferente

Recuperación del System State en DSRM (auth & non-auth)

Se instala agregando: “Características de copia de

Seguridad de Windows Server”

No está instalado por defecto

DATABASE MOUNTING TOOL NTDSUtil.exe permite sacar instantáneas (“snapshots”) de AD DS/LDS

regularmente.

DsaMain.exe permite a los administradores elegir la instantánea más apropiada y exponerla con LDAP.

NO permite restaurar objetos (hay que hacerlo manualmente)

Ahora: Herramienta + tombstone reanimation + LDAP

Post-WS08: ¿Undelete?

Seguridad

NTDSUTIL.EXE

•Saca SnapShots de DS/LDS via VSS

DSAMAIN.EXE

•Expone las snapshots como servidores LDAP

LDP.EXE

•Ver datos de solo lectura de DS/LDS

182

DATABASE MOUNTING TOOL

NTDSUtil.exe ? (para ver las opciones disponibles). snapshot

Instantánea: ? (para ver las opciones disponibles) Instantánea: activate instance NTDS (se establece la instancia a “NTDS”) Instantánea: create

Creando instantánea... Conjunto de instantáneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.

Instantánea: list all 1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} 2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}

Instantánea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} Instantánea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como

C:\$SNAP_200808242313_VOLUMEC$\

DsaMain.exe dsamain /dbpath

C:\$SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit /ldapport 456

EVENTLOG (Informational): NTDS General / Control de servicios : 1000 Inicio de los Servicios de dominio de Active Directory de Microsoft completado, versión 6.0.6001.18000

Seguridad

183

Objeto/OU existentes Nueva unidad Organizativa

Seguridad ADUC: Protección contra borrado accidental

Algunos objetos y contenedores tienen una nueva opción: “Prevent

container from accidental deletion” (por defecto está marcado cuando se

crea una OU)

184

Password

Settings Object

PSO 1

Password

Settings Object

PSO 2

Precedencia= 10

Precedencia= 20

Se aplica a

Se aplica a

PSO

Resultante

= PSO1

PSO

Resultant

e = PSO1

Políticas de contraseñas granulares (PSO)

Seguridad

185

Aplicar una PSO => modificar atributo msDsPSOAppliesTo

ADMINISTRACIÓN DE PSO Recomendación: Administración basada en grupos

Delegar la modificación de la membresía del grupo

Esta característica puede ser también delegada Por defecto, solo los Administradores de Dominio pueden:

Crear y leer PSOs

Aplicar una PSO a un grupo o usuario

Permisos

Operación a Delegar Permisos Delegados

Crear y borrar PSOs

En el PSO:

Create all child objects

Delete all child objects

Aplicar PSOs a usuarios/grupos En el PSO:

Write

Seguridad

186

FIN

ATICA

187

Documents

ADMINISTRACIÓN DE SISTEMAS OPERATIVOScahecaz.ublog.cl/archivos/17042/administracion_de... · CONCEPTOS BÁSICOS La nueva herramienta de scripting: PowerShell Más de 130 herramientas