ADMINISTRACIÓN AVANZADA DE SISTEMAS OPERATIVOS ATICA 1
ÍNDICE GENERAL PARTE 1 Administración de Windows como Sistema Operativo Individual PARTE 2 Administración de Windows en una Red de Ordenadores
2
PARTE 1 WINDOWS COMO SISTEMA OPERATIVO INDIVIDUAL
ATICA 3
ÍNDICE 1. 2. 3. 4. 5. 6. 7. 8. 9.
Entorno Windows Conceptos básicos de administración Instalación Configuración Acceso a los recursos Administración de cuentas y grupos Seguridad Tratamiento de errores Rendimiento 4
ENTORNO WINDOWS Windows
EVOLUCIÓN
2.X .. 3.1 Windows 3.11 Windows 95 - 98 Windows NT 4 Windows ME Windows 2000 Windows XP Windows Vista Windows 7 -
(WS + Server) (WS + Server) Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 5
ENTORNO WINDOWS ¿Cuáles son las nuevas versiones de Windows? Windows
NT 4.x Windows 2000 5.0 Windows XP 5.1 Wind.Server 2003 5.2 Windows Vista 6.0 Wind.Server 2008 6.0 Windows 7 ??? Wind.Server 2008 R2 ??? 6
ENTORNO WINDOWS Windows Management Instrumentation (WMI)
WMI proporciona compatibilidad integrada para el Modelo de Información Común (CIM, Common Information Model), que describe los objetos existentes en un entorno de administración.
7
ENTORNO WINDOWS Windows Vista
EDICIONES
Windows Vista Business
Windows Vista Enterprise
para usuarios que sólo necesitan las funciones esenciales de su equipo.
Windows Vista Ultimate
Entretenimiento en el hogar y conexión a Internet.
Windows Vista Home Basic
para grandes organizaciones con infraestructuras de TI de gran complejidad.
Windows Vista Home Premium
reducir los costos de administración y aumentar la seguridad y la productividad.
mejores características de movilidad y de entretenimiento.
Windows Vista Starter
disponible en los mercados emergentes, está diseñado para usuarios principiantes. 8
ENTORNO WINDOWS Windows Server 2008 Standard Enterprise Datacenter 64 proc...
Web
Mejoras en configuración y administración y características avanzadas de seguridad funcionalidades de cluster, adición de procesadores en caliente, consolidación de aplicaciones... virtualización a gran escala, configuración en cluster, particionamiento dinámico del hardware, hasta exclusivamente servidor web
( Existen versiones con y sin Hyper-V, excepto web) 9
CONCEPTOS BÁSICOS DE ADMINISTRACIÓN WINDOWS ATICA 10
CONCEPTOS BÁSICOS Consola de administración (MMC)
11
CONCEPTOS BÁSICOS Complementos de la consola de administración (MSC)
12
CONCEPTOS BÁSICOS Uso de la consola para administrar equipos remotos
13
CONCEPTOS BÁSICOS Secuencias de comandos Símbolo
del sistema (CMD) y archivos .CMD
Ejercicios:
1.- Crear un cmd para arrancar internet explorer si el equipo tiene un nombre determinado. 2.- Crear un cmd que copie haga un espejo de nuestra carpeta de trabajo en el directorio C:\Pares los días pares y en C:\Impares los días impares.
14
CONCEPTOS BÁSICOS Secuencias de comandos Windows
Scripts Host
Ejercicios
- Ejecutar un script del repositorio de ejemplos. Enumerate Administrative Tools
Const ADMINISTRATIVE_TOOLS = &H2f& Set objShell = CreateObject("Shell.Application") Set objFolder = objShell.Namespace(ADMINISTRATIVE_TOOLS) Set objTools = objFolder.Items For i = 0 to objTools.Count - 1 Wscript.Echo objTools.Item(i) Next
- Buscar y ejecutar un script del repositorio de ejemplos, para prevenir la ejecución de un proceso (p.ej. Iexplore.exe).
15
CONCEPTOS BÁSICOS La nueva herramienta de scripting: PowerShell
Más de 130 herramientas de la línea de comandos (o "cmdlets") para realizar las tareas de administración habituales Permiten ordenar, filtrar y dar formato a datos y objetos, con las convenciones de nomenclatura estándar y los parámetros habituales. Soporte para los lenguajes comandos y herramientas de la línea de comandos existentes Permiten desplazarse por almacenes de datos, como el Registro y los almacenes de certificados, como si fueran un sistema de archivos. Análisis de expresiones complejas y control de objetos de .NET Framework en la línea de comandos, incluida la canalización de objetos Interfaz extensible que permite crear cmdlets personalizados para aplicaciones y administración del sistema. Basada en C#
16
CONCEPTOS BÁSICOS Programador de Tareas WXP-W2003 Tareas Programadas en Panel de Control
17
CONCEPTOS BÁSICOS Programador de Tareas WXP-W2003 Tareas Programadas (en Explorer)
18
CONCEPTOS BÁSICOS Programador de Tareas
W-Vista, W-7 y W-Server 2008: Complemento MMC
19
CONCEPTOS BÁSICOS Programador de Tareas W-Vista, W-7 y W-Server 2008
Nuevos desencadenadores
Al producirse un evento Al modificar una tarea Al conectarse con escritorio remoto Al desconectarse Al bloquear la estación de trabajo Al desbloquearla
Nuevas acciones
Iniciar un programa Enviar un correo electrónico Mostrar un mensaje
20
CONCEPTOS BÁSICOS Programador de Tareas
Carpeta %windir%\Tasks
Archivo %windir%\SchedLgu.txt
Comando AT
Comando SCHTASKS 21
CONCEPTOS BÁSICOS Servicios
22
CONCEPTOS BÁSICOS Servicios
Ejercicios Parar y arrancar un servicio Configurar opciones de recuperación Habilitar y deshabilitar servicios. Comando SC Parar y arrancar un servicio desde la linea de comandos. Comandos Net Start y Net Stop Parar y arrancar un servicio desde la linea de comandos.
23
CONCEPTOS BÁSICOS Programas de inicio y residentes
Msconfig.exe
24
CONCEPTOS BÁSICOS Programas de inicio y residentes
Windows Defender
25
INSTALACIÓN Y ACTUALIZACIÓN
26
INSTALACIÓN Instalación de un S.O. Windows
Desde otro sistema operativo.
Directamente arrancando el ordenador desde la unidad de CD-ROM.
Arrancando un sistema operativo a través de la red. Utilizando la tecnología PXE a través de Ethernet Necesita un servidor DHCP Útil para instalaciones desatendidas Arrancando desde un disquete. Esta opción está reservada solamente para equipos antiguos que no permiten el arranque desde CD-ROM. Programa de instalación. Reside en I386: Winnt.exe y Winnt32.exe.
27
INSTALACIÓN Instalación “clásica”
28
INSTALACIÓN Instalación CORE en Server 2008
29
INSTALACIÓN Instalación masiva Instalación basada en imágenes (Image-based Setup, IBS) es el nuevo mecanismo de implementación de sistemas operativos para la instalación de Windows Vista. Incluye las siguientes herramientas: XImage.exe • comandos para crear y aplicar archivos de imágenes de Windows. Windows Imaging (WIM) • Nuevo formato de archivo para imágenes. Windows Deployment Services (WDS) • Servicios de implementación de Windows que reemplazan a los servicios de instalación remota (RIS) en la implementación de Windows. Windows Preinstallation Environment (Windows PE) • Entorno de preinstalación de Windows con métodos de inicio adicionales compatibles para las instalaciones cliente OEM o Enterprise. Windows Setup Manager • Para el mantenimiento de los archivos de imágenes de Windows. Unattend.xml • Nuevo formato de secuencia de comandos para todas las instalaciones basadas en imágenes de Windows Vista. System Preparation (SysPrep) • Herramienta de preparación del 30 sistema con un funcionamiento mejorado.
INSTALACIÓN Instalación de varios sistemas Windows en el mismo equipo Cuando se instala Windows XP o Windows Server 2003 en un equipo, en la partición de arranque del sistema se crean varios archivos (ocultos), algunos de ellos herencia de los antiguos sistemas MS-DOS. Autoexec.bat; Config.sys; Bootfont.bin; Bootsect.dos; IO.sys; MSDOS.sys Boot.ini; Ntdetect.com; Ntldr Pagefile.sys; Hiberfil.sys Boot.ini. [boot loader] timeout=30 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems]multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Professional Alternativo" /noexecute=optin /fastdetect
31
INSTALACIÓN Arranque múltiple en Windows Vista, W-7 y W.Server 2008
boot.ini se ha reemplazado por “Boot Configuration Data” (BCD). Herramienta de la línea de comandos Bcdedit. Configurar el Arranque múltiple. Panel de control -> Sistema -> Configuración avanzada del sistema -> Opciones avanzadas -> Inicio y recuperación -> Configuración. Herramientas gráficas (VistaBootPRO). 32
INSTALACIÓN Editor del almacén de datos de la configuración de arranque (BCD)
Sintaxis: Bcdedit.exe /? Comandos que operan en un almacén /createstore Crea un nuevo almacén de datos de arranque vacío. /export Exporta el contenido del almacén del sistema a un archivo. /import Restaura el estado del almacén del sistema Comandos que operan en entradas de un almacén /copy Hace copias de las entradas del almacén. /create Crea nuevas entradas en el almacén. /delete Elimina entradas del almacén. Comandos que controlan el administrador de arranque /bootsequence Establece la secuencia de arranque única /default Establece la entrada predeterminada que se usará /displayorder Establece el orden en que se muestra el menú de arranque múltiple. /timeout Establece el valor de tiempo de espera del administrador de arranque. 33 /toolsdisplayorder Establece el orden en que se muestra el menú de herramientas.
INSTALACIÓN Actualización de los Sistemas Operativos Windows Equipos individuales
Windows Update
Service Packs
34
INSTALACIÓN Actualización de los Sistemas Operativos Windows
Equipos en una red corporativa •
Activar la actualización en cada equipo usando directivas de grupo para el servicio Windows Update.
•
Mediante WSUS (Windows Server Update Services).
35
CONFIGURACIÓN
36
CONFIGURACIÓN En
El Registro de Windows
el registro se guardan los datos de configuración, como: Perfiles
de usuarios Programas instalados Configuración de Propiedades de programas, carpetas, iconos. Configuración hardware del equipo Puertos en uso … 37
CONFIGURACIÓN Organizado Claves
El Registro de Windows
jerárquicamente en:
y subclaves Secciones Valores Datos
Se
puede editar con Regedit.exe y Regedit32.exe
38
CONFIGURACIÓN Claves
El Registro de Windows
de primer nivel:
HKEY_CLASSES_ROOT
Asocia tipos de archivo con los programas correspondientes
HKEY_CURRENT_USER
Configuración para el usuario que ha iniciado sesión
HKEY_LOCAL_MACHINE
Configuración del equipo para todos los usuarios
HKEY_USERS
Perfiles de todos los usuarios que han hecho logon
HKEY_CURRENT_CONFIG
Perfil de HW que usa el equipo para arrancar el sistema
39
CONFIGURACIÓN El Registro de Windows – Tipos de datos
REG_DWORD
REG_SZ
Varias cadenas de longitud variable
REG_BINARY
Cadena de longitud variable
REG_MULTI_SZ
Cadena de texto de longitud fija
REG_EXPAND_SZ
Un dato de 4 bytes en binario, hexadecimal o decimal
En formato hexadecimal
REG_FULL_RESOURCE_DESCRIPTOR
Tablas anidadas con listas de recursos
40
CONFIGURACIÓN El Registro de Windows
Ejercicios
Buscar un dato en el registro Cambiar un dato Añadir un valor Proteger una clave
Administración remota
Acceder al registro de un equipo remoto
41
CONFIGURACIÓN El Registro de Windows Administración mediante línea de comandos
El comando REG
Estudiar su sintaxis
Archivos .REG
Ejercicios
Hacer que al iniciar la sesión de usuario se arranque el block de notas.
42
CONFIGURACIÓN Directivas de Grupo (Group Policy) Aparecieron en Windows 2000 Permiten aplicar directivas de configuración a equipos y usuarios Se ejecutan en tiempo de “startup” o de “logon” Pueden ser Globales o Locales
Las directivas Globales se administran centralizadamente en un dominio o UO. Las directivas locales residen en cada máquina
A diferentes grupos de usuarios se les pueden aplicar directivas diferentes 43
CONFIGURACIÓN Directivas de Grupo
(Herramientas de administración de GP)
GPMC.MSC
Permite administrar el conjunto de políticas de un dominio. En W.Vista y WS2008 está integrada. En WXP se puede instalar. Para usarla se necesita ser Administrador de Dominio
GPEDIT.MSC
Permite editar una política concreta.
44
CONFIGURACIÓN Directivas de Grupo
(Novedades en Wvista, W7 y WS2008) Aplicación de las GP más fiable y eficiente Antes se aplicaban en Winlogon Ahora con un servicio ad-hoc: “Group Policy Service” Adaptabilidad a las condiciones de la red.
Extensión de la cobertura
Mayor número de parámetros y componentes que se pueden configurar
Facilidad de uso
Gestión sencilla
45
CONFIGURACIÓN Directivas de Grupo
(Directivas de Grupo Locales) Permiten establecer parámetros de configuración sin tener AD Múltiples GP locales (LGPO)
Cada LGPO se asocia con un usuario o un grupo de usuarios.
(Ficheros de Log y Eventos) Hasta Vista, Userenv.dll es el encargado de generar un log (userenv.log) con anotaciones de la aplicación de GPOs. Ahora el encargado es “Local Policy Service”
Solo eventos relacionados y en formato XML
46
CONFIGURACIÓN Aplicabilidad de Directivas de Grupo
Las directivas de grupo locales se pueden aplicar a usuarios individuales, además de administradores / no administradores.
47
CONFIGURACIÓN Directivas de Grupo Administración de directivas locales
Gpedit.msc de MMC
48
CONFIGURACIÓN Directivas de Grupo Plantillas administrativas
Antes ficheros de texto. Ahora nuevo formato XML Ficheros con extensión ADM (antes) y ADMX (nuevo)
En WVista y WS2008 pueden coexistir ambos
Soporte multiidioma Las plantillas ADMX residen en %systemRoot %\PolicyDefinitions
49
CONFIGURACIÓN Directivas de Grupo Directivas locales
Ejercicios Recorrer las directivas. Aplicar alguna de usuario y cerrar y abrir la sesión Habilitar y deshabilitar que se apliquen directivas locales
Buscar plantillas de directivas de grupo y ver cómo están escritas
Buscar dónde se guardan las directivas locales y cómo se podrían desplegar en una red de ordenadores sin directorio activo
50 ¡Ojo!: En Windows XP y Server 2003, las directivas locales se aplican a todos los usuarios de la máquina, incluidos los administradores
ACCESO A RECURSOS
51
ACCESO A RECURSOS Permisos
Definen el tipo de acceso concedido a un usuario o grupo para un objeto o una propiedad de objeto. Se otorgan a:
Grupos, usuarios y otros objetos con identificadores de seguridad del dominio. Grupos y usuarios del dominio y de cualquier dominio de confianza. Grupos y usuarios locales del equipo en que reside el objeto.
Permisos comunes son:
Leer Modificar Cambiar propietario Eliminar
52
ACCESO A RECURSOS
Propietario de los objetos
Cuando se crea un objeto, se le asigna un propietario. De forma predeterminada es el creador del objeto. El propietario del objeto siempre puede cambiar los permisos de éste.
Herencia de permisos
Los objetos de un contenedor heredan automáticamente todos los permisos heredables de ese contenedor. Sólo se heredan los permisos marcados para ello
53
ACCESO A RECURSOS Permisos y descriptores de seguridad Entrada
de control de acceso (ACE) es una asignación de permisos a un usuario o grupo
Lista
de control de acceso (ACL) es el conjunto de las ACE de un objeto
54
ACCESO A RECURSOS Permisos especiales Control total
Modificar
Leer y ejecutar
Mostrar el contenido
Recorrer carpeta / Ejecutar archivo
x
x
x
x
Listar carpeta / Leer datos
x
x
x
x
x
Atributos de lectura
x
x
x
x
x
Atributos extendidos de lectura
x
x
x
x
x
Crear archivos / Escribir datos
x
x
x
Crear carpetas / Anexar datos
x
x
x
Atributos de escritura
x
x
x
Atributos extendidos de escritura
x
x
Eliminar subcarpetas y archivos
x
Permisos especiales
Lectura
Escritura
55 x
ACCESO A RECURSOS
Permisos efectivos Un
usuario puede pertenecer a varios grupos. Los permisos efectivos se calculan a partir de los factores siguientes: Pertenencia al grupo global Pertenencia al grupo local Permisos locales Privilegios locales Pertenencia a grupos universales
56
ACCESO A RECURSOS Añadir o modificar permisos mediante interfaz gráfica Propiedades
de objeto -> pestaña Seguridad
57
ACCESO A RECURSOS
Permisos efectivos
58
ACCESO A RECURSOS
Línea de comandos
Se pueden administrar los permisos de acceso a ficheros y objetos en general mediante comandos: cacls subinacl
(resource kit) 59
ACCESO A RECURSOS Auditoría de accesos
Se puede aplicar a accesos correctos o incorrectos Antes de configurar la auditoría de archivos hay que habilitar la auditoría de objetos. Los eventos de auditoría se muestran en el registro de seguridad. Pueden generarse muchos eventos 60
ADMINISTRACIÓN DE CUENTAS Y GRUPOS
61
ADMINISTRACIÓN DE CUENTAS Cuenta de usuario
Colección de información que indica a Windows:
los archivos y carpetas a los que puede obtener acceso los cambios que puede realizar en el equipo preferencias personales, como el fondo de escritorio o tema de color preferidos.
Permiten que se comparta el mismo equipo entre varias personas, cada una de las cuales tiene sus propios archivos y configuraciones. Cada persona obtiene acceso a su propia cuenta de usuario con un nombre de usuario y contraseña.
62
ADMINISTRACIÓN DE CUENTAS Grupos
Permiten definir características comunes a varias cuentas Facilitan la administración Existen grupos predeterminados y se pueden definir nuevos grupos Una cuenta de usuario puede pertenecer a varios grupos.
Grupos predeterminados en Windows XP *Administradores *Duplicadores *HelpServicesGroup *Invitados *Operadores de configuración de red *Operadores de copia *Usuarios *Usuarios avanzados *Usuarios de escritorio remoto *Usuarios del depurador
63
ADMINISTRACIÓN DE CUENTAS Grupos Integrados
Administradores. Máximo nivel de permisos predeterminados y pueden cambiar sus
Operadores de copia. Pueden hacer copias de seguridad y restaurar archivos en el
Usuarios avanzados. Pueden crear cuentas y grupos pero únicamente pueden modificar
Usuarios. Pueden realizar las tareas más habituales, como ejecutar aplicaciones, utilizar
Invitados. Permite a los usuarios ocasionales o a los usuarios de una sola vez iniciar sesión
Replicador. El único miembro del grupo Replicador debe ser una cuenta de usuario de
propios permisos.
equipo, independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el equipo y apagarlo, pero no pueden cambiar la configuración de seguridad. y eliminar los que creen. No pueden modificar los grupos Administradores u Operadores de copia, ni pueden tomar la posesión de archivos, copiar o restaurar directorios, cargar o descargar controladores de dispositivo ni administrar los registros de auditoría y seguridad. impresoras locales y de red, así como cerrar y bloquear la estación de trabajo.No pueden compartir directorios ni crear impresoras locales. y cerrar el sistema en una estación de trabajo.
dominio que se utilice para iniciar los servicios Replicador del controlador de dominio. No 64 debe agregarse a este grupo cuentas de usuarios reales.
ADMINISTRACIÓN DE CUENTAS Administrar cuentas de usuario y grupos Mediante la consola MMC
Mediante secuencias de comandos > net user
> net group
> net localgroup
65
ADMINISTRACIÓN DE CUENTAS Perfiles de usuario
Formado por un conjunto de carpetas en las que se guardan todas las opciones de personalización, preferencias, ficheros temporales, música, fotos, documentos, etc. del usuario. En la carpeta raíz, se encuentra el archivo NTUSER.DAT donde se guardan las claves de HKEY_CURRENT_USER.
Perfiles Itinerantes
Perfiles obligatorios
Permiten trabajar en cualquier ordenador de la empresa conservando toda la configuración personal
Renombrando ntsuser.dat como .man, todas las modificaciones hechas por el usuario se pierden 66
ADMINISTRACIÓN DE CUENTAS Control de cuentas de usuario (UAC) en Windows Vista
Dos niveles de usuarios: Usuarios estándar y Administradores. (grupos: Usuarios y Administradores) Inicio de sesión:
Usuario normal -> Token de acceso con el nivel de acceso que se le concede al usuario. Administrador -> Dos tokens de acceso independientes
Directiva de grupo
Usuario estándar sin privilegios, para iniciar aplicaciones que no realizan tareas administrativas ("aplicaciones de usuario estándar"). Administrador, para cuando tiene que ejecutar aplicaciones que realizan tareas administrativas (Vista pide que eleven su contexto de seguridad al de administrador).
El comportamiento del mensaje de Control de cuentas de usuario se puede cambiar mediante Directiva de grupo.
Diseño de aplicaciones
Los programadores deberían identificar su aplicación como aplicación de administrador o aplicación de usuario estándar. Si una aplicación no se ha identificado como aplicación de administrador, Windows la trata como una aplicación de usuario estándar. 67
ADMINISTRACIÓN DE CUENTAS Control de cuentas de usuario (UAC) en Windows 7
El nuevo UAC trata de resolver los problemas de W. Vista.
68
SEGURIDAD
69
SEGURIDAD Administración de la Seguridad del Sistema
Directivas de seguridad
Son reglas que se configuran para proteger los recursos de un equipo o una red. Permiten controlar:
Plantillas de seguridad
Cómo los usuarios se autentican en una red o un equipo. Qué recursos están autorizados a utilizar los usuarios. Si las acciones de un usuario o un grupo se graban en el registro de sucesos. Pertenencia a grupos.
Son un complemento de MMC. Una vez creada, se puede utilizar para configurar la seguridad de un sistema
Configuración y Análisis de Seguridad
Es otro complemento MMC Permite aplicar una plantilla de seguridad Permite llevar a cabo un análisis de seguridad de un sistema en relación con una plantilla de seguridad El análisis se actualiza cada 90 minutos en una estación de trabajo o un servidor, y cada 5 minutos en un controlador de dominio. La configuración se actualiza también cada 16 horas, con independencia de que se produzcan cambios o no.
70
SEGURIDAD Administración de la Seguridad del Sistema
71
SEGURIDAD Plantillas de Seguridad
Representa una configuración de seguridad. Se guarda en un archivo . Inf y se puede importar en un objeto de Directiva de grupo. Se pueden utilizar para definir (entre otras):
Directivas de cuenta Directiva de contraseña Directiva de bloqueo de cuentas Directiva de auditoría Asignación de derechos de usuario Configuración del registro de sucesos Pertenencia a grupos importantes para la seguridad Inicio y permisos de los servicios Permisos para las claves del Registro
Se pueden utilizar plantillas de seguridad predefinidas.
72
SEGURIDAD Plantillas de Seguridad predefinidas (WS2003, WXP) Son el punto de partida para crear directivas de seguridad que se personalizan para cumplir los diferentes requisitos organizativos. Están almacenadas en %SystemRoot%\Security\Templates
Seguridad predeterminada (Setup security.inf) Representa la configuración de seguridad predeterminada que se aplica durante la instalación Compatible (Compatws.inf) Los permisos predeterminados para estaciones de trabajo y servidores se conceden principalmente a tres grupos locales: Administradores, Usuarios avanzados y Usuarios. Segura (Secure*.inf) Define una seguridad mejorada sin afectar a la compatibilidad de las aplicaciones. De alta seguridad (hisec*.inf) Son superconjuntos de plantillas seguras que imponen mayores restricciones en los niveles de cifrado y firmado que se requieren para la autenticación y para los datos que fluyen en canales protegidos y entre clientes y servidores. Seguridad de la raíz del sistema (Rootsec.inf) Especifica los nuevos permisos de la raíz introducidos en Windows XP Professional.
73
SEGURIDAD
Directivas de Seguridad
Directivas de cuentas
Afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o el dominio. Hay 3 subconjuntos:
Directiva de contraseñas. Directiva de bloqueo de cuentas. Directiva Kerberos.
Directivas locales
Se aplican a un equipo y contienen tres subconjuntos:
Directiva de auditoría. Asignación de derechos de usuario. Opciones de seguridad.
En caso de tener aplicadas varias directivas, el orden de prioridad de mayor a menor es: unidad organizativa, dominio y equipo local. 74
SEGURIDAD Directivas de Seguridad
75
SEGURIDAD
Configurar la Seguridad del sistema
Crear una plantilla de seguridad
En Configuración y análisis de seguridad
Abrir base de datos. (Si es la primera vez, hay que crearla) Importar plantilla (con las directivas de seguridad que se quieren aplicar al equipo). Configurar el equipo ahora.
Configurar la seguridad del sistema mediante la línea de comandos:
secedit/configure /DB Archivo [/CFG Archivo] [/overwrite] [/areas Área1 Área2...] [/log RutaRegistro] [/quiet]
76
SEGURIDAD
Configurar la Seguridad del sistema
77
SEGURIDAD Analizar la Seguridad de un equipo y ver los resultados
Análisis de seguridad
Se hace comparando el estado actual con una base de datos de análisis. Ésta utiliza al menos una plantilla de seguridad. (puede usar más de una)
Resultados del análisis de seguridad
Los presenta organizados por área de seguridad. Marcas visuales para indicar la existencia de problemas.
X roja Entrada definida en la base de datos de análisis y en el sistema, cuyos valores de las opciones de seguridad no coinciden Marca verde Entrada definida en la base de datos de análisis y en el sistema, cuyos valores coinciden Interrogación Entrada no definida en la base de datos de análisis. Exclamación Elemento de la base de datos de análisis que no existe en el sistema. Sin resaltar Elemento no definido en la base de datos de análisis ni en el 78 sistema.
TRATAMIENTO DE ERRORES
79
TRATAMIENTO DE ERRORES El visor de eventos
Permite supervisar el funcionamiento de todos los elementos del S.O. como forma de prevenir errores. Un análisis de los eventos de advertencia o error que se estén produciendo en un equipo, permitiría a un administrador anticiparse al problema y buscar soluciones que lo eviten. Los eventos son elementos con información relativa a algún suceso que ha ocurrido en el equipo. Pueden ser de:
Información, como arranques y paradas, conexión con otros equipos, actualización de la hora, etc. Advertencia, como una desconexión del cable de red, etc. Error, como que no se ha podido leer un archivo en un disco porque éste tiene algún sector deteriorado.
Es un complemento de Microsoft Management Console (MMC)
Permite realizar las siguientes tareas:
Ver eventos desde varios registros de eventos Guardar filtros de eventos útiles como vistas personalizadas que se pueden volver a usar Programar una tarea para que se ejecute como respuesta a un evento Crear y administrar suscripciones a eventos 80
TRATAMIENTO DE ERRORES El visor de eventos
81
TRATAMIENTO DE ERRORES Registros de eventos
Aplicación. Eventos registrados por aplicaciones o programas. Los programadores deciden qué registrar. Seguridad. Intentos de inicio de sesión válidos y no válidos, creación, apertura o eliminación de archivos (si se habilitó auditoría). Sistema. Eventos registrados por componentes del sistema Windows. Nuevos en W.Vista, W.7 y W.Server 2008
Instalación. Eventos relacionados con la instalación de aplicaciones. Eventos reenviados. Se usa para almacenar eventos recopilados de equipos remotos, mediante una suscripción de evento. 82
TRATAMIENTO DE ERRORES Registros de eventos en Vista y Srv2008
83
TRATAMIENTO DE ERRORES Ejecutar una tarea como respuesta a un evento dado
Es una opción muy útil para los administradores de un parque de ordenadores consiste en la posibilidad de configurar una tarea para que se ejecute cuando se registre un evento que cumpla los criterios especificados. Esto permitiría, por ejemplo, enviar una correo electrónico o incluso un mensaje SMS a un administrador, cuando un dispositivo deje de funcionar, o cuando se detenga una aplicación crítica.
Permite:
Iniciar un programa Enviar correo electrónico Mostrar un mensaje
84
RENDIMIENTO
85
RENDIMIENTO Monitor de rendimiento
El Monitor de rendimiento muestra los contadores de rendimiento En tiempo real Para revisar los datos históricos.
Contadores de rendimiento
Son mediciones del estado o de la actividad del sistema.
El Monitor de rendimiento muestra el valor de los contadores de rendimiento a intervalos de tiempo especificados. En XP y Srv2003 se arranca como herramienta administrativa. En Vista, W.7 y Srv2008 es un complemento de MMC
86
RENDIMIENTO
87
RENDIMIENTO Objetos y contadores de rendimiento
Objetos de rendimiento
Se integran en el sistema operativo y suelen corresponder a los componentes principales del hardware tales como la memoria, los procesadores, etcétera.
Contadores de rendimiento
Representan aspectos específicos de un sistema o servicio. (Por ej. Páginas por segundo)
Datos de rendimiento
Son los valores de los contadores en el momento actual o en periodos anteriores.
Objetos de rendimiento más importantes
Caché Memoria Objetos Archivo de paginación Disco físico Proceso Procesador Servidor Sistema Subproceso
88
RENDIMIENTO
Objetos y contadores de rendimiento Ejercicio:
Añadir al monitor en tiempo real algunos contadores importantes de los objetos: Memoria Archivo de paginación Disco físico Procesador
89
RENDIMIENTO Recopilación de datos para análisis
Registros de seguimiento.
Guardan sucesos detallados de las aplicaciones del sistema cuando ocurren eventos como una operación de E/S en un disco o un error de página. Cuando ocurre el suceso, el sistema operativo registra los datos de sistema en un archivo especificado por el servicio Registros y alertas de rendimiento. Para interpretar el resultado del registro de seguimiento, se requiere una herramienta de análisis. Los programadores pueden crear una herramienta de este tipo mediante las interfaces de programación de aplicaciones (API) proporcionadas en MSDN Library
Registros de contador
El servicio obtiene datos del sistema cuando ha transcurrido el intervalo de actualización, en lugar de esperar a que se produzca un suceso determinado.
90
RENDIMIENTO Recopilación de datos para análisis
Ejercicio:
Crear un fichero con registros de contador y analizarlo
91
RENDIMIENTO Monitor de confiabilidad
Permite medir la estabilidad del sistema y analizar tendencias a partir de eventos individuales que pueden afectar a la estabilidad general, como: Instalaciones de software Actualizaciones del sistema operativo Errores de hardware.
La información de configuración se recopila de los valores de las claves del Registro de Windows. 92
RENDIMIENTO
Monitor de confiabilidad
93
WINDOWS 7 XP MODE
94
ENTORNO WINDOWS 7 Máquina Virtual XP dentro de Windwos 7 ¿Qué es Windows 7 XP Mode? • Nueva versión de Windows Virtual PC • Windows XP Professional SP3 VM, preconfigurado con Firewall y actualizaciones automáticas. • Disponible en W7 Professional, Enterprise y Ultimate.
95
PARTE 2 ADMINISTRACIÓN DE WINDOWS EN UNA RED DE ORDENADORES ATICA 96
ÍNDICE 1. 2. 3. 4. 5. 6. 7.
Creación del entorno básico de pruebas Planificación del Directorio Activo Creación del Directorio Activo Directorio Activo - Conceptos Server Core Read Only Domain Controllers Seguridad
97
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
ATICA 98
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
Entorno virtual con VMWare
S.O. Windows Server 2008 y W.7
Acceso a las imágenes ISO de los DVD
Red local virtual VMnet1 (host-only)
99
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
100
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
Sistemas operativos base Windows
Server 2008 Datacenter
Windows
Server 2008 Standard
Windows
Server 2008 Standard Core
Windows
7
WS2K8D WS2K8S
WS2K8C Win7
101
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
Acciones a realizar: Cambiar
A-tic-A
contraseña de Administrador:
Instalar
VMWare Tools. Cambiar nombre de la máquina. Activar la detección de redes Cambiar configuración de actualizaciones a no actualizar nunca. Comprobar la dirección IP y apuntarla
102
CREACIÓN DEL ENTORNO BÁSICO DE PRUEBAS
Cambio de nombre en un Server Core:
> Netdom renamecomputer %computername% /NewName:nuevo-nom
Comprobar la dirección IP en Server Core > Ipconfig /all
103
¿Cómo ampliar el periodo de evaluación de Windows? -
Comprobar estado: slmgr.vbs –dli Restablecer periodo: slmgr.vbs –rearm
(Se puede ejecutar 2 veces, lo que permite 3 periodos de evaluación. Se puede planificar y automatizar.) Más información: Support.microsoft.com/kb/948472
104
PLANIFICACIÓN DEL DIRECTORIO ACTIVO
ATICA 105
Planificación del Directorio Activo ¿Uno o varios dominios?
Razones por las que se debe crear más de un dominio: Requisitos de contraseñas distintos en los diversos departamentos y divisiones Número muy grande de objetos Administración descentralizada de la red Mayor control de la replicación
El uso de un único dominio en toda una red tiene ventajas si la administración es centralizada y el número de usuarios no muy alto.
106
Planificación del Directorio Activo Árboles y Bosques Un bosque es una colección de dominios que permite: La interacción de los usuarios con el directorio. La administración de múltiples dominios. Un árbol es un conjunto de uno o varios dominios con nombres DNS contiguos. Un bosque puede tener más de un árbol.
107
Planificación del Directorio Activo Unidades Organizativas (OU) Son
contenedores de AD con usuarios, grupos, equipos y otras OU.
No
puede contener objetos de otros dominios.
Se
le pueden asignar directivas de grupo
Se puede delegar la autoridad administrativa. 108
Planificación del Directorio Activo Diseño de un Active Directory
109
Planificación del Directorio Activo Determinar el número de bosques de una red
Escenario con un único bosque Normalmente es suficiente en la mayoría de las situaciones. Administración más sencilla. Los cambios de configuración sólo tienen que aplicarse una vez para afectar a todos los dominios. Escenario con varios bosques Si hay muchas divisiones autónomas que: No confían en sus administradores respectivos. No pueden acordar una política de cambios en el bosque. Desean limitar el alcance de una relación de confianza.
110
Planificación del Directorio Activo Plan de dominios Dibujar la topología de la red
111
Planificación del Directorio Activo Plan de dominios Crear particiones en el bosque
112
Planificación del Directorio Activo Plan de dominios Plan de árboles de dominios
113
Planificación del Directorio Activo Plan de dominios Plan de Unidades Organizativas OU
114
Planificación del Directorio Activo Plan de dominios Plan de topología de sitios
115
Planificación del Directorio Activo Nuestro ejemplo
Delegacion
empresa.es
filial.es SedeFilial
SedeCentral
rrhh.empresa.es 116
Planificación del Directorio Activo Nuestro ejemplo
Delegacion
empresa.es
filial.es SedeFilial
Controladores de Dominio
SedeCentral
RODC
rrhh.empresa.es 117
CREACIÓN DEL DIRECTORIO ACTIVO
ATICA 118
DIRECTORIO ACTIVO Creación del Directorio Activo de ejemplo
Laboratorio
Clonar
las máquinas base para obtener máquinas que se pueden borrar y volver a crear facilmente. Tomar nota de todos los nombres, contraseñas, direcciones IP etc que se vayan asignando. Después de instalar el primer DC, observar los cambios producidos en el S.O. 119
DIRECTORIO ACTIVO - CONCEPTOS -
ATICA 120
Directorio Activo Novedades en W2008
Active Directory Domain Services
Active Directory Lightweight Directory Services
Reemplaza a “Active Directory”
Reemplaza a “Active Directory Application Mode” o ADAM
Funciones de Servidor
Funcionalidades del servidor como AD DS, AD LDS, y DNS Se administran centralmente a través del Server Manager
Server Core para controladores de dominio
Opción de instalación mínima del Servidor Menor superficie de ataque debido a los pocos componentes instalados
121
Directorio Activo Novedades en W2008 AD DS reiniciable
Sin reiniciar el servidor, ahora se puede:
Aplicar parches de los DS Realizar una desfragmentación offline
Un servidor con los DS parados es similar a un servidor miembro
NTDS.dit está offline Puede iniciarse sesión local con la contraseña del Modo de Recuperación del Directorio Activo (DSRM)
Ojo: Un usuario que conozca la pwd de recuperación podría arrancar en modo DSRM y forzar la desinstalación del AD DS comprometiendo todo el bosque => PROTEGERLA !!!!
122
Directorio Activo Novedades en W2008 Directivas de Grupo
DFS-R reemplaza a FRS para la replicación de Sysvol
Compresión Replicación diferencial block-level Planificación Control de Ancho de Banda
Es necesario que el Bosque/Dominio esté funcionando en el nivel funcional de “Windows Server 2008”
Requiere que todos los DCs sean Windows Server 2008 El paso de FRS a DFS-R no es automático
123
DIRECTORIO ACTIVO
AD incluye: esquema conjunto de reglas que definen las clases de objetos y los atributos del directorio Un catálogo global contiene información acerca de los objetos del directorio. Permite encontrar información con independencia del dominio. Un sistema de índices y consultas, para publicar y encontrar objetos y sus propiedades. Un servicio de replicación distribuye los datos del directorio por toda la red a través de los controladores de dominio. El
124
DIRECTORIO ACTIVO
Características principales: Seguridad
Administración Escalabilidad
flexible y simplificada
Alta
disponibilidad Capacidad de ampliación Compatibilidad con estándares abiertos Acceso mediante programación simple Autenticación de usuarios
125
DIRECTORIO ACTIVO
(Fuente: Caja Madrid) 126
DIRECTORIO ACTIVO
Autenticación en el Directorio Activo: La
Autoridad de Seguridad Local (LSA) es el subsistema de responsable de la autenticación. LSA también procesa solicitudes de autenticación realizadas por medio del protocolo Kerberos. LSA del DC de autenticación genera un testigo de acceso de usuario y le asocia un Id. de seguridad (SID).
Testigo de acceso contiene nombre de usuario, grupos a los que pertenece, SID del usuario y todos los SID de los grupos a los que pertenece. 127
DIRECTORIO ACTIVO Cuentas de Directorio Activo Cuentas de usuario: Es un objeto almacenado en el AD que permite su inicio de sesión único en la red Cuentas locales Cuentas de dominio Cuentas Integradas (Built-in)
Cuentas de Equipos. Ofrecen una forma de autenticar y auditar a los equipos que acceden a la red y a recursos del dominio. Cuentas de grupos: Colección de usuarios, equipos y otros grupos. Su principal objetivo es simplificar la administración
128
DIRECTORIO ACTIVO User Principal Name (UPN) En AD, cada cuenta de usuario tiene:
Un nombre de inicio de sesión de usuario. Un nombre de inicio de sesión de usuario anterior a Windows 2000
UPN = nombre_de_inicio_de_sesión@Sufijo_UPN
Un sufijo UPN (User Principal Name, segun RFC 822)
129
DIRECTORIO ACTIVO Cómo agregar Sufijos UPN En la consola de Dominios y confianzas del AD
[email protected] ó juanp@grupoempresas
130
Directorio Activo
NOMINACIÓN DE OBJETOS
Se puede hacer referencia a cada objeto de Directorio Activo con varios nombres diferentes. AD crea a partir de los datos durante la creación del objeto:
El nombre completo relativo LDAP: identifica unívocamente al objeto dentro su contenedor principal.
El nombre completo LDAP: es globalmente único.
CN=JuanP, OU=Users, DC=empresa, DC=es
El nombre canónico: se crea de la misma manera que el nombre completo, pero se representa con una notación diferente.
CN=JuanP
Empresa.es/Users/JuanP
Objetos principales de Seguridad (Security Principals): Son objetos del directorio que tienen asignados un Identificados único de seguridad (SID) 131
DIRECTORIO ACTIVO Sintaxis LDAP Cómo se construye el DN (Distinguish Name)
CN= : Common Name. OU= : Unidad Organizativa DC= : Domain Component
Ejemplos:
Dominio:
Controlador de Dominio:
DC=rrhh,DC=empresa,DC=es
Site:
CN=DC1,OU=Domain Controllers,DC=empresa,DC=es
Dominio hijo:
DC=empresa,DC=es
CN=SedeCentral,CN=Sites,CN=Configuration,DC=empresa,DC=es
Usuario:
CN=Administrador,CN=Users,DC=empresa,DC=es 132
DIRECTORIO ACTIVO Búsquedas LDAP al directorio
RootDSE es parte del estándar de LDAPv3.0
Definido en RFC 2251
Define la raíz de búsqueda en un servidor LDAP Muestra, entre otras cosas, las particiones básicas a las que se puede conectar un cliente Pasos:
Conexión con un servidor LDAP
Antes de consultar hay que validarse
Por defecto devuelve RootDSE Opción bind con usuario y contraseña
Buscar
Definir el ámbito de la búsqueda (Base DN)
Uso de filtros con sintaxis LDAP (Sintaxis LDAP)
Profundidad de la búsqueda (En el ámbito dado)
Resultados a devolver (Qué atributos extraer)
133
Directorio Activo
NOMINACIÓN DE OBJETOS
Objetos en NTds.dit (editor ADSI)
134
DIRECTORIO ACTIVO Creación de usuarios en AD
Para crear/modificar/borrar un solo usuario
Usuarios y equipos de Directorio Activo DsAdd, DsMod, DsRm (“Scriptables”). – Solo en servidores DC
Para crear/modificar/borrar múltiples usuarios
Csvde
LDIFDE
Importa/Exporta usuarios desde/a un fichero .csv Utiliza ficheros de texto, con formato de líneas separadas para cada atributo, para crear, modificar o borrar objetos en el Directorio Activo
ADSI: Interfaz de programación para crear objetos en Directorio Activo vía desarrollo
En todos los casos, se deben especificar al menos estos atributos:
DN,objectClass, sAMAccountName, userPrincipalName, displayName, userAccountControl
135
DIRECTORIO ACTIVO
Grupos de Distribución:
Grupos
Utilizados por aplicaciones de correo (p.e Microsoft Exchange Server 2000/2003) No pueden ser usados para especificar controles de acceso a recursos.
Grupos de Seguridad:
Asignación de derechos (funciones que se pueden desempeñar) Asignación de permisos de acceso a recursos Permiten anidación, es decir, meter unos grupos dentro de otros.
Ambos tipos de grupo pueden ser de tres ámbitos distintos: Locales de Dominio Global Universal
136
DIRECTORIO ACTIVO
Grupos Locales de Dominio
Pueden contener:
Grupos Universales, Globales, Locales de su dominio Usuarios de cualquier dominio del bosque
Pueden pertenecer a otro grupo Local de Dominio Solo son visibles en su propio dominio Se utilizan para asignar permisos a recursos existentes en el dominio en donde se esta creando el grupo
137
DIRECTORIO ACTIVO Grupos Globales Pueden contener:
Usuarios, Grupos y equipos de su propio dominio Otros grupos globales
Pueden pertenecer a Grupos Locales, Universales o Globales del mismo dominio Son visibles desde cualquier dominio del bosque en los que se confíe. Pueden asignarse a recursos de cualquier dominio de confianza del bosque
138
DIRECTORIO ACTIVO
Pueden contener:
Grupos Universales
Usuarios y equipos de cualquier dominio del bosque Grupos globales o universales de cualquier dominio del bosque
Pueden pertenecer a otros grupos universales y a grupos Locales de Dominio. Son visibles desde todos los dominios del bosque Se usan para asignar permisos a recursos relacionados en todos los dominios del bosque, anidando en ellos grupos globales.
Identificar qué grupos son Locales, Globales y Universales en el primer controlador de dominio instalado en el laboratorio.
139
DIRECTORIO ACTIVO
Grupos
140
DIRECTORIO ACTIVO
Transitividad
Tipos de Confianzas
Transitivas (T) Intransitivas (I)
Bidireccionales (B) Unidireccionales (U)
Entre dominios (padres/hijos): Transitivas bidireccionales Entre raíces de árboles: Transitivas bidireccionales
Externa: Con NT 4.0 (I, U/B) Territorios: Kerberos con sistemas no Windows: (T/I, U/B) Bosque: Entre bosques (T, U/B) Acceso Directo: Para mejorar los tiempos de acceso entre dominios “lejanos” lógicamente (T, U/B)
Dirección
Confianzas por defecto
Otros tipos de confianzas:
141
DIRECTORIO ACTIVO Confianzas
NT 4.0
Kerbero s
142
DIRECTORIO ACTIVO
Dominios y Confianzas de AD
143
DIRECTORIO ACTIVO
Almacén de datos del directorio
Contiene información acerca de objetos como usuarios, grupos, equipos, dominios, unidades organizativas y directivas de seguridad. Se almacena en controladores de dominio. Cada DC dispone de una copia. Los cambios realizados en el directorio en un DC se replican al resto de DC en el dominio, el árbol de dominios o el bosque. AD utiliza cuatro tipos diferentes de particiones de directorio:
Dominio. información acerca de los objetos de un dominio. Configuración. describen la topología del directorio. Esquema. definición formal de todos los datos de objetos Aplicación. datos de aplicaciones
Cuando un DC es catálogo global, almacena un subconjunto de datos del directorio para todos los demás dominios del bosque. Los datos del directorio se almacenan en el archivo Ntds.dit del DC. Los datos privados se almacenan de forma segura y los datos públicos del directorio se guardan en SYSVOL desde donde se pueden replicar a otros controladores del dominio. 144
DIRECTORIO ACTIVO
Control de acceso en Active Directory
Un descriptor de seguridad contiene dos listas de control de acceso (ACL):
Listas de control de acceso discrecional (DACL). Identifican a los usuarios y grupos que tienen asignados o denegados permisos de acceso a un objeto.
Listas de control de acceso al sistema (SACL). Identifican a los usuarios y los grupos que desea auditar cuando consiguen o no consiguen obtener acceso a un objeto.
Las DACL y las SACL están asociadas de forma predeterminada con todos los objetos de AD.
145
Directorio Activo ACCESS TOKEN Y ACLS DACL: Discretionary Access control List SACL: System Access Control List ACE: Access Control Entry
146
DIRECTORIO ACTIVO Funciones de servidor de Active Directory
Servidores miembro
Pertenece a un dominio No es un controlador de dominio. No procesa inicios de sesión de cuentas, no participa en la replicación de AD ni almacena información de directivas de seguridad de dominio.
Controladores de dominio (DC)
Almacena una copia de lectura y escritura del directorio de AD. Autentica usuarios. Sincroniza los datos del directorio utilizando replicación.
Controladores de dominio de solo lectura (RODC)
Para escenarios donde la seguridad local no se puede garantizar o donde almacenar credenciales de usuarios y servicios se considera un riesgo no asumible. El administrador del dominio decide qué contraseñas se replican o cachean.
147
Directorio Activo Catálogo Global
DC que almacena una copia de todos los objetos de AD del bosque (Copia completa de su dominio y parcial de los demás dominios del bosque
)
Funciones: •Búsqueda de objetos •Autenticación del nombre principal de usuario •Información de pertenencia a grupos universales en un entorno de dominios múltiples •Validación de referencias a objetos dentro de un bosque 148
Directorio Activo Funciones del maestro de operaciones (FSMO) (funciones flexibles de operaciones de un solo maestro)
Maestro de esquema Maestro de nombres de dominio Maestro de Id. relativo (RID) Maestro emulador del controlador principal de dominio (PDC) Maestro de infraestructuras
149
Directorio Activo Funciones del maestro de operaciones (FSMO) Funciones que solo puede desempeñar un DC en cada bosque: Maestro de esquema: DC que controla todos los cambios que tienen lugar en el esquema.
Maestro de nombres de dominio: Controla las altas y bajas de dominios del bosque.
150
Directorio Activo Funciones del maestro de operaciones (FSMO) Funciones que solo puede desempeñar un DC en cada dominio: Maestro de Id. relativo (RID): Asigna secuencias de Id.
relativos (RID) a cada uno de los distintos controladores del dominio que los usa para asignar id. de seguridad (SID).
Maestro emulador del controlador principal de dominio (PDC): Actúa como controlador principal de dominio.
También se encarga de sincronizar la hora en todos los controladores del dominio.
Maestro de infraestructuras: Es el responsable de
actualizar las referencias de los objetos de su dominio en los objetos de los otros dominios. 151
Directorio Activo Funciones del maestro de operaciones (FSMO) ¿Qué DCs ejercen las funciones FSMO en un dominio?
> netdom query /Domain:empresa.es FSMO Maestro de esquema Maestro nomencl. Dominios PDC Administrador de grupos RID Maestro de infraestructura
WS2K8DC1.empresa.es WS2K8DC1.empresa.es WS2K8DC1.empresa.es WS2K8DC1.empresa.es WS2K8DC1.empresa.es
El comando se completó correctamente.
152
Directorio Activo Transferir funciones del maestro de operaciones Es una operación crítica que hay que realizar cuando debe sustituirse el DC que la hacía. Función
Consola de MMC
Maestro de esquema
Esquema de AD
Maestro nomencl. Dominio
Dominios y confianzas de AD
PDC
Usuarios y equipos de AD
Administrador de grupos RID
Usuarios y equipos de AD
Maestro de infraestructura
Usuarios y equipos de AD
Ejercicio: Llegar a los cuadros de diálogo para transferir las funciones de maestro de Operaciones
153
Directorio Activo Transferir la función del maestro de esquema El complemento de consola “Esquema de Active Directory” no aparece por defecto: Es preciso registrar la dll: “schmmgmt.dll” Para ello: • Colocarse en %windir%\system32 • Ejecutar: regsvr32 schmmgmt.dll
154
SERVER CORE
ATICA 155
Server Core Server
Core es una opción de instalación mínima de Windows Server 2008 ¿GUI?
– Desaparece (En su mayoría). Windows Explorer? – Desaparece. Internet Explorer y Media Player? – Desaparecen. .Net Framework? – Desaparece MMC? – También desaparece.
Diseñado
para cubrir ciertos entornos y cargas de trabajo Disponible en 32 y 64 bits 156
Server Core ¿Porqué Server Core?
Reduce el mantenimiento del software
Reduce la superficie de Ataque
Menos cosas que gestionar.
Consumo menor de Memoria
Menos cosas que parchear y asegurar
Reduce la Gestión
Solo se instalan los componentes esenciales
Ejemplo: 184 MB frente a 309 MB
Menos espacio en disco requerido
Core: 1.6 GB / Completo: 7.6 GB
Instalación base (sin Pagefile.sys).
(A la gente de UNIX “les pone”). 157
Server Core Server, Server Roles
Opciones Mínimas de Instalación
(Por ejemplo, solo)
Poca superficie
TS
Interface por Línea de Comando
IAS
Web Share Server Point®
Etc…
Conjunto limitado de Roles de Servidor Roles de Servidor de Server Core DNS
DHCP
File
AD
Web Server
Media Server
Server Core Seguridad, TCP/IP, Sistema de Ficheros, RPC, y otros Sub-Systems del nucleo de Servidor.
Servidor With WinFx, Shell, Tools, etc.
GUI, CLR, Shell, IE, Media, OE, etc.
SERVER CORE Compatibilidad de Aplicaciones Las aplicaciones han de ser probadas NO esta disponible lo siguiente: .Net
Framework (En WS2008 R2 sí estará disponible) Windows Explorer (shell o GUI) Globos de notificación Run as PowerShell (En WS2008 R2 sí estará disponible) MMC
159
SERVER CORE Se
puede:
Instalar
2008
No
Instalación desde el mismo DVD de Windows Server
se puede:
Actualizar
desde versiones previas de Windows Convertir una instalación completa en Core Convertir una instalación Core en completa
160
SERVER CORE Configuración Inicial de Server Core
Establecer la contraseña del Administrador
y hacer click en “Cambiar la Contraseña” net user administrator *
Cambiar el nombre del servidor
CTRL+ALT+DEL
Netdom renamecomputer %computername% /Newname:nuevonombre
Configurar una IP Estática
Netsh
interface ipv4
show interfaces show address set address 2 static 192.168.x.104 255.255.255.0 set dnsserver 2 static 192.168.x.101 primary
161
SERVER CORE Configuración Inicial de Server Core
Ver opciones básicas de configuración del Server Core
Cscript scregedit.wsf (ejecutado desde %windir%\system32) Cscript scregedit.wsf/cli
Activar la copia de Windows
Unirse a un dominio (si se requiere)
Netdom join /domain:dominio /UserD:usuario /PassworD:contraseña /UserO:usuario /PasswordO:contraseña /reboot
Añadir funciones (roles) y características
Slmgr.vbs –ato
Ocsetup
Listar las funciones y características instaladas
Oclist
Ejercicio: Activar la consola remota para acceder al server core desde otro equipo.
162
SERVER CORE SCRegEdit.wsf No todas las tareas se pueden ejecutar mediante la línea de comando o de manera remota SCRegEdit.wsf esta incluido en Server Core para: Permitir las actualizaciones automáticas Permitir Sesiones de terminal en modo administración Permitir la administración remota del Monitor de IPSEC Configurar el peso y la prioridad de un registro DNS SRV
Nuevo modificador /cli que lista comandos y modificadores comunes Localizado en \Windows\System32
163
SERVER CORE OCList.exe Única herramienta de linea de comando propia de “Server Core” Lista los roles de servidor y las funcionalidades adicionales que se pueden instalar con “OCSetup” Lista si los paquetes están o no instalados
164
SERVER CORE
Añadir Roles de Servidor Únicamente mediante línea de comando, sin “Server Manager” Start /w Ocsetup RolePackage
DHCP = DHCPServerCore DNS = DNS-Server-Core-Role File Replication service = FRS-Infrastructure Distributed File System service = DFSN-Server Distributed File System Replication = DFSR-InfrastructureServerEdition Network File System = ServerForNFS-Base Media Server = MediaServer Print = Printing-ServerCore-Role LPD = Printing-LPDPrintService
Active Directory
Dcpromo instala el “Active Directory” Dcpromo /unattend:Unattendfile Ocsetup no esta soportado para instalar “Active Directory”
165
SERVER CORE Añadir Características Adicionales Start /w ocsetup OptionalFeaturePackage
Failover Cluster = FailoverCluster-Core Network Load Balancing = NetworkLoadBalancingHeadlessServer Subsystem for UNIX-bases applications = SUA Multipath IO = MultipathIo Removable Storage Management = Microsoft-WindowsRemovableStorageManagementCore Bitlocker Drive Encryption = BitLocker Backup = WindowsServerBackup Simple Network Management Protocol (SNMP) = SNMP-SC Telnet Client = TelnetClient WINS = WINS-SC QoS = QWAVE
166
SERVER CORE Desinstalar funciones y características Start /w Ocsetup Package /uninstall Excepto
Hay que usar DCPromo y demote
NO
para “Active Directory”
Dcpromo /unattend:
Esto también elimina los binarios del “Active Directory”
hay herramienta de entorno grafico para instalar o desinstalar roles y funcionalidades en remoto
167
SERVER CORE Administración de Server Core CMD para ejecución de comandos en local CMD usando Terminal Server WS-Management y Windows Remote Shell para ejecución remota de comandos WMI Programador de Tareas para ejecutar trabajos y tareas “Event Logging” y “Event Forwarding” RPC y DCOM para soporte remoto a MMC 168
SERVER CORE Hardware en un Server Core Plug and Play esta incluido en Server Core
Si se añade hardware con un driver que ya esté incluido en el sistema, PnP lo instalara silenciosamente
Si el driver no esta incluido, pero tienes un driver PnP para el hardware Copiar los ficheros del driver al servidor Ejecutar: Pnputil –i –a driverinf
Para listar los drivers instalados
sc query type= driver
Para eliminar un driver
sc delete driver_name
169
SERVER CORE Trucos Panel de control (Algunos) Cambio
de la Zona horaria “Control timedate.cpl” Cambios para el idioma o teclado “Control intl.cpl”
Notepad, La
Incluido con algunas limitaciones
Ayuda no funciona Cuadros de dialogo antiguos Copiar, Pegar, Buscar, Reemplazar, si funcionan
Si
cierras línea de comando
Presionar
ctrl-alt-del, click Start Task Manager, Cierra e inicia sesión 170
SERVER CORE Limitaciones NO hay soporte para código manejado No
hay globos de notificación, como por ejemplo para las actualizaciones o la activación. Tampoco para la notificación de la caducidad de las contraseñas
“Ejecutar
como” no esta soportado 171
READ ONLY DOMAIN CONTROLLERS
ATICA 172
RODC Desafíos de las delegaciones remotas
Los administradores se enfrentan a los siguientes desafíos a la hora de desplegar Controladores de Dominio en una delegación remota El DC se coloca en una localización física insegura El DC tiene una conexión de red poco fiable con el HUB El personal de la delegación tiene pocos conocimientos o permisos para gestionar el DC, por lo que:
Los Domain Admins gestionan el DC remotamente, o Los Domain Admins delegan privilegios al personal de la delegación
Para consolidar la infraestructura de Directorio Activo, los administradores quisieran eliminar los DCs de las delegaciones remotas, pero
Los usuarios no podrían iniciar sesion o acceder a recursos de red si la WAN falla
173
RODC Desafíos de las delegaciones remotas
174
RODC Modelos de Administración recomendados
Cuentas no cacheadas (por defecto)
A Favor: Mas seguro, permitiendo además la autenticación rápida y la aplicación de políticas En Contra: No hay acceso offline para nadie. Se requiere de la WAN para el inicio de sesión
La mayor parte de las cuentas cacheadas
A Favor: facilidad en la gestión de contraseñas. Para entornos en los que es más importante la administrabilidad que la seguridad. En contra: Más contraseñas expuestas potencialmente por el RODC
Solo una pocas contraseñas cacheadas
A Favor: Permite el acceso offline de quien lo necesite realmente, maximizando la seguridad de los demás En Contra: Requiere una administración granular más fina
Mapear equipos por delegación Requiere buscar manualmente el atributo Auth2 para identificar las cuentas
175
RODC Menor superficie de ataque para los DCs de delegaciones remotas
Por defecto, no hay contraseñas de usuarios o equipos almacenadas en un RODC El Read-only Partial Attribute Set (RO-PAS) puede evitar que las credenciales de las aplicaciones se repliquen al RODC Estado de Solo lectura con replicación unidireccional del AD y FRS/DFSR Cada RODC tiene su propia cuenta KDC KrbTGT para tener claves criptográficas propias y distintas La delegación del DCPROMO elimina la necesidad de que el Administrador del dominio se conecte vía TS al RODC Los RODCs tienen cuentas de estación de trabajo
No son miembros de los grupos Enterprise-DC o Domain-DC Derechos muy limitados para escribir en el Directorio
Los RODC son totalmente compatibles con Server Core
176
RODC Como Funciona
Cacheo de secretos en el primer inicio de sesión
1. AS_Req enviado al RODC (TGT request) 2. RODC: No tiene las credenciales de este usuario 3. Reenvía la petición al DC del Hub 4. El DC del Hub autentica la petición 5. Devuelve la petición de autenticación y el TGT al RODC 6. El RODC da el TGT al usuario y encola una peticion de replicación de los secretos 7. El DC del Hub comprueba la política de replicación de contraseñas para ver si la contraseña puede ser replicada
SEGURIDAD
ATICA 178
SEGURIDAD Auditorías de cambios en AD • Los Event exactamente:
logs
dicen
– Quien hizo el cambio – Cuándo se hizo el cambio – Que objeto/atributo fue cambiado – Los valores inicial y final
• La auditoría esta controlada por – Política global de auditoría – SACL – Schema
Event
Event
ID 5136
type Modify
5137
Create
5138
Undelete
5139
Move
Event description This event is logged when a successful modification is made to an attribute in the directory. This event is logged when a new object is created in the directory. This event is logged when an object is undeleted in the directory. This event is logged when an object is moved within the domain.
179
SEGURIDAD
Backup/Recovery
Windows Server Backup (wbadmin.exe)
NTBackup está discontinuado Nueva tecnología Block-Level, basada en imágenes Backup/recovery del System State por línea de comandos Debe hacerse a una partición diferente Recuperación del System State en DSRM (auth & non-auth)
Se instala agregando: “Características de copia de Seguridad de Windows Server”
No está instalado por defecto
180
Seguridad
DATABASE MOUNTING TOOL
NTDSUtil.exe permite sacar instantáneas (“snapshots”) de AD DS/LDS regularmente.
DsaMain.exe permite a los administradores elegir la instantánea más apropiada y exponerla con LDAP. NO permite restaurar objetos (hay que hacerlo manualmente) Ahora: Herramienta + tombstone reanimation + LDAP Post-WS08: ¿Undelete?
181
Seguridad DATABASE MOUNTING TOOL
NTDSUtil.exe
? (para ver las opciones disponibles). snapshot Instantánea: ? Instantánea: activate instance NTDS Instantánea: create
(para ver las opciones disponibles) (se establece la instancia a “NTDS”)
Creando instantánea... Conjunto de instantáneas {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} generado correctamente.
Instantánea: list all
1: 2008/08/24:23:13 {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} 2: C: {88626e0b-72ca-4b56-8a44-df66d7eb761e}
Instantánea: mount {b9b1cfd4-8687-46f3-906d-f5eddf7e8e54} Instantánea {88626e0b-72ca-4b56-8a44-df66d7eb761e} montada como C:\ $SNAP_200808242313_VOLUMEC$\
DsaMain.exe
dsamain /dbpath C:\ $SNAP_200808242313_VOLUMEC$\Windows\NTDS\ntds.dit /ldapport 456
EVENTLOG (Informational): NTDS General / Control de servicios : 1000 Inicio de los Servicios de dominio de Active Directory de Microsoft completado, versión 6.0.6001.18000
182
Seguridad ADUC: Protección contra borrado accidental Algunos objetos y contenedores tienen una nueva opción: “Prevent container from accidental deletion” (por defecto está marcado cuando se crea una OU)
Objeto/OU existentes
Nueva unidad Organizativa
183
Seguridad Políticas de contraseñas granulares (PSO) PSO Resultante = PSO1 Precedencia= 10
Password Settings Object
PSO 1
Se aplica a
Se ap lic aa
PSO Resultante = PSO1
Precedencia= 20
Password Settings Object
Se aplica a
PSO 2
Aplicar una PSO => modificar atributo msDsPSOAppliesTo
184
Seguridad ADMINISTRACIÓN DE PSO
Recomendación: Administración basada en grupos
Delegar la modificación de la membresía del grupo
Esta característica puede ser también delegada
Por defecto, solo los Administradores de Dominio pueden: Crear y leer PSOs Aplicar una PSO a un grupo o usuario
Permisos
Operación a Delegar
Permisos Delegados
Crear y borrar PSOs
En el PSO: Create all child objects Delete all child objects
Aplicar PSOs a usuarios/grupos
En el PSO: Write 185
FIN
ATICA 186
