TRABAJO TUTELADO A.S.O Grupo formado por: - Alfonso Torralba Mantiñán (a.torralba) - Lois Soto López (lois.soto.lopez) - Óscar Lamas Ríos (oscar.lamas1) El contenido del trabajo puede dividirse principalmente en dos partes: - Gestión de usuarios y grupos (Windows 7)

- Active Directory y dominios (Windows Server 2016)

Gestión de usuarios y grupos en Windows 7 1. Introducción. Una excelente práctica en Windows, como en cualquier Sistema Operativo, es personalizar las configuraciones que posee para elevar los niveles de seguridad. Usaremos la creación de perfiles de usuarios de equipo como invitados; estos serán asociados un grupo donde es posible administrarlos y, por último, veremos cómo definir políticas, por ejemplo, denegar la ejecución de aplicaciones fuera de nuestro control en estos grupos. Vemos que a diario surgen nuevas amenazas que afectan a los Sistemas Operativos. Suele darse que diferentes usuarios usan un mismo ordenador, y con esto la pérdida del control en la ejecución de

aplicaciones, lo que podría derivar en la infección con distintas amenazas. Es por eso que, en esta entrada, veremos tres formas de aumentar la seguridad en equipos con Windows 7 utilizando sus propias herramientas.

Para la informática, un usuario es aquella persona que utiliza un dispositivo o un ordenador y realiza múltiples operaciones con distintos propósitos. A menudo es un usuario aquel que adquiere una computadora o dispositivo electrónico y que lo emplea para comunicarse con otros usuarios, generar contenido y documentos, utilizar software de diverso tipo y muchas otras acciones posibles.

Los grupos de trabajo son una de las posibles formas de organizar los equipos dentro de una red local. La totalidad de equipos pertenecientes a un mismo grupo de trabajo podrán verse y comunicarse entre ellos. Este hecho proporcionará las siguientes ventajas:

• Los equipos pertenecientes a un mismo grupo podrán compartir archivos y directorios entre ellos de forma extremadamente sencilla.

• Los equipos pertenecientes a un mismo grupo podrán compartir recursos como por ejemplo impresoras, etc.

• Se facilita la gestión de los permisos de Equipos.

Hay que destacar que cada uno de los equipos pertenecientes a un grupo de trabajo tienen una relación de igual a igual entre ellos.

La política de grupo es una característica de la familia de sistemas operativos Microsoft Windows

NT que controla el entorno de trabajo de las cuentas de usuario y de computadora. Además, proporciona una administración y configuración centralizadas de los sistemas operativos, aplicaciones y configuraciones de los usuarios en un entorno de Active Directory.

2. Gestión de usuarios, grupos y sus privilegios. Un aspecto muy importante es el de los permisos en los perfiles de usuario. Como en Linux existe el

súper usuario root, aquí existe la posibilidad de contar con diferentes perfiles de usuario con menor

cantidad de privilegios. En Windows, estas sesiones se pueden crear y asignarles permisos según lo que

vayan a necesitar. Esto permite dejar el usuario Administrador solo para fines de administración del equipo,

como instalación de aplicaciones o actualizaciones, entre otros

¿Cómo crear un nuevo perfil de usuario?

Método 1:

I. Ingresamos al “Panel de Control”.

II. Allí en el ícono “Cuentas de usuarios”.

III. Una vez dentro se debe acceder a “Administrar cuentas” y desde ahí se podrá crear una.

Método 2:

Esta segunda alternativa además de administrar usuarios también nos permite administrar grupos.

Pasos a seguir:

1. Click derecho sobre el ícono “Mi PC” o “Equipo”.

2. Ir a la carpeta “Usuarios para crear uno nuevo.”

1. Dentro de la carpeta se ven los diferentes perfiles de usuario existentes en el equipo.

3. Para crear un nuevo perfil, hacer click derecho dentro de la carpeta “Usuarios” y seleccionar

la primera opción.

A continuación, se proporcionarán imágenes de los pasos más relevantes del proceso.

Paso 1

Paso 3

En estas imágenes de ejemplo cabe recalcar la existencia del perfil de usuario “Administrador” el cuál tiene una peculiaridad, se encuentra deshabilitado. Esto lo podemos saber fijándonos en el símbolo de la flecha apuntando hacia abajo. En este ejemplo, el usuario “Labo”, será el que cuente con permisos de administrador.

Tenemos que darnos cuenta de que, antes de quitar permisos, será necesario habilitar el Administrador, puesto que, una vez hechos los cambios, de requerir permisos de ese tipo, no se tendrán. Se recomienda habilitarlo y definirle una contraseña fuerte y robusta.

Para habilitar la cuenta de Administrador:

1. Accedemos al perfil de usuario Administrador 2. Desmarcamos la opción “La cuenta está deshabilitada”.

Retomando el tema de la creación de un nuevo usuario una vez nos encontremos en el Paso 3 del

Método 2.

Una vez se accede a crear el nuevo usuario nos aparecerá una ventana en la cual podremos definir los siguientes campos:

• Nombre de usuario

• Nombre Completo

• Contraseña

• Descripción

Crear diferentes perfiles de usuario permite crear grupos y con esto poder administrarlos todos por igual.

¿Cómo trasladar los permisos a las carpetas? Una vez tengamos creados los nuevos perfiles de usuario, se pueden definir sus permisos en los diferentes directorios para otorgarles (o denegarles) permisos de escritura o lectura. En esta parte veremos cómo restringir a las sesiones de invitado para que no puedan crear ni modificar archivos en un determinado directorio.

Pasos a seguir:

1. Click derecho en el directorio que se quiera modificar los permisos. 2. Una vez desplegado el menú, seleccionar “Propiedades”. 3. Dentro del menú propiedades:

1. Acceder a la solapa “Seguridad”. 2. Seleccionar el grupo a restringir. 3. Hacer click en el botón “Editar...” y nos abrirá una nueva ventana. 4. Esta nueva ventana nos muestra el conjunto de permisos que posee ese grupo

dentro de ese directorio. En esta ventana también podemos permitir o denegar permisos.

Paso 2

Paso 3

En nuestro caso, modificamos los permisos de acceso del usuario “Usuario” a un determinado directorio, restringiéndole el acceso a este. En caso de que intentase acceder le mostraría el siguiente mensaje ¿Cómo crear y administrar grupos?

De la misma forma que vimos cómo crear usuarios al principio, también podemos crear grupos para incluirlos y administrarlos. Por ejemplo, en el caso de que varias personas usen diferentes perfiles para acceder al ordenador y sus aplicaciones, esto puede restringirse mediante políticas de grupo.

Pasos a seguir:

1. Ingresar al “Panel de control” (“Todos los elementos de Panel de control”) 2. Ir a “Herramientas administrativas” 3. Ingresar a “Directiva de Seguridad Local”

Para este apartado, crearemos una regla que impida la ejecución de aplicaciones a los usuarios pertenecientes al grupo “HogarProtegido”, dentro del cual encontraremos a todos nuestros usuarios creados excepto a Administrador.

Para esto tendremos que hacer click derecho en la ventana de “Directiva de Seguridad Local” y seguir estos pasos:

1. Accedemos a “Reglas ejecutables”. 2. En el panel derecho veremos la nueva regla.

1. Podemos acceder a ella para ver su configuración. 1. Podemos ver su nombre, la acción misma y el usuario/grupo sobre el que se aplica

esta política. (Hay que mencionar que también se pueden añadir excepciones como permitir usar el navegador).

3. Una vez realizado esto, acceder a la carpeta “Niveles de seguridad”, en la que se preestablecerá automáticamente la configuración de seguridad.

4. En el panel derecho basta con seleccionar el nivel deseado y hacer click derecho para seleccionarlo como predeterminado.

5. A continuación, accedemos al directorio “Directivas de restricción de software” 1. Dentro de este, hacer click en el panel derecho en “Cumplimiento” que nos abrirá una

nueva ventana. 2. En esta ventana pueden usarse configuraciones como aplicar directivas de restricción a

todos los usuarios excepto a los administradores locales, por ejemplo.

Igual que anteriormente, proporcionaremos imágenes de los pasos más relevantes del proceso. Paso 1

Paso 3

Paso 5

Una vez aplicadas estas reglas, si cualquiera de los perfiles de usuario pertenecientes a ese grupo intenta ejecutar cualquier aplicación se mostrará un mensaje como el siguiente:

3.Resumen Todas estas configuraciones anteriormente explicadas nos permitir conseguir que nuestro Sistema Operativo se vuelva más fuerte y robusto (sobre todo cuando es utilizado por varias personas y su dueño desconoce la actividad que cada una de estas realiza con el ordenador). También es una buena forma de reducir infecciones de malware en nuestro equipo, permitiendo controlar qué aplicaciones son usadas.

Esto se vuelve muy útil a la hora de establecer control parental en caso de que nuestro equipo sea utilizado por niños. En un caso real, por ejemplo, un padre podría bloquear la ejecución de distintos juegos o aplicaciones de ocio, pero permitir la ejecución de herramientas para realizar trabajos escolares.

Como consejo es muy recomendable utilizar estos perfiles con mínimos privilegios. Buenas configuraciones en conjunto con buenas prácticas fortalecerán la seguridad de los equipos.

4.Bibliografía. https://searchitchannel.techtarget.com/tip/Windows-7-user-accounts-and-groups-management

https://edu.gcfglobal.org/en/windows7/managing-user-accounts-and-parental-controls/1/

https://www.sevenforums.com/tutorials/7539-local-users-groups-manager-open.html

https://www.pcworld.com/article/171933/manage_users_in_windows_7.html

Active Directory 1.Introducción

Active Directory (AD) o “Directorio Activo” es una herramienta de Microsoft que implementa servicios de directorio (SD) en redes distribuídas. Este tipo de servicios almacenan y organizan de forma centralizada información sobre la jerarquía de usuarios y recursos de una red. Antes de que Active Directory apareciese en Windows 2000, sucedido por Windows XP para equipos de escritorio y por Windows Server 2003 para servidores, el modelo de autenticación y autorización de Microsoft obligaba a dividir la red en dominios y luego a vincularlos con un sistema de confianza de una y dos vías. Esto era un proceso complicado en ocasiones impredecible. Active Directory permitió implementar servicios de directorio en entornos más grandes y complejos.

2.Conceptos y terminología básica. Active Directory trata con usuarios, ordenadores, impresoras, contactos … objetos con identidad a los que se asocian una serie de atributos. En su mayoría estos atributos son mutables, a excepción del GUID (Globally Unique Identifier) usado por AD para la búsqueda de replicación de información y asignado por el DSA (Directory System Agent) en la creación del objeto.

Al igual que los objetos, los contenedores tienen atributos, pero no representan algo concreto, sino que se utilizan como almacén de objetos y otros contenedores.

Un término importante es el de dominio. Un Dominio Windows no es más que una forma de

administración centralizada de los distintos recursos disponibles en una red (usuarios, equipos, servidores, impresoras, etc.)

Nos referimos al conjunto de relaciones entre los objetos como un árbol, donde los puntos finales

del árbol son objetos. Un subárbol es cualquier camino sin interrupciones del árbol.

Un árbol de dominios es una colección de uno o más dominios que comparten un espacio de nombres contiguo. Por ejemplo, si tengo un dominio que se llama contoso.com y tiene varios subdominios, estos serían subdominio1.contoso.com, subdominio2.contoso.com, etc.

Un bosque es la agrupación de varios árboles de dominio en una estructura jerárquica, que comparten estructura lógica, catálogo global, esquema y configuración.

El catálogo global (GC) permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de

dominio, proporcionando uno o más atributos del objeto. Contiene una copia de cada objeto de AD pero con solo un pequeño número de atributos.

Centrándonos de nuevo en los dominios, cada bosque tiene un dominio raíz del cual podemos crear

particiones con dominios adicionales cada uno con al menos un controlador de dominio. De este modo dividimos el directorio (conjunto de objetos del bosque) en partes, para poder controlar la replicación. De este modo Active Directory puede limitar esta replicación a los controladores de dominio. Esto es útil porque por ejemplo, si tenemos una oficina en A Coruña y otra en León, la primera no debe replicar los datos de AD de la segunda y viceversa. Esto favorece la gestión del ancho de banda en nuestra red y limita el daño causado a través de brechas de seguridad.

Otra ventaja de crear dominios adicionales es que pese a que la replicación de la información de cada dominio se hace solo en su controlador, se pueden aplicar de forma centralizada directrices y políticas de seguridad, sobre los diferentes niveles del árbol de dominios.

Supongamos que una serie de usuarios han de tener acceso a recursos compartidos en distintos servidores. SIN dominio habría que dar permisos localmente a dichos usuarios en cada uno de los equipos desde los que pudieran tener acceso a la red. CON un dominio tanto los usuarios como los grupos y permisos que se les otorgan se definen una sola vez en el controlador del dominio.

Los lugares de acceso a la red se denominan sitios y suelen agrupar múltiples subredes.

4.Proceso de instalación.

Con el fin de mostrar el proceso de instalación de Active Directory hemos realizado una serie de capturas del mismo en un Windows Server 2016 Evaluation Edition, cuya ISO proporciona Microsoft gratuitamente durante 180 días.

El proceso se realiza mediante un asistente gráfico de instalación, es muy sencillo.

• En el Administrador del servidor, accedemos a Agregar roles y características.

• Instalación basada en características o en roles, seleccionamos como servidor donde instalar el propio equipo, marcamos el servicio de dominio de Active Directory y dejamos las características marcadas por defecto sin modificar, asegurándonos de que el check de instalación de las herramientas de administración esté marcado.

• Active Directory nos recomienda instalar un segundo controlador de dominio, para garantizar el servicio en caso de que uno de ellos falle. Además, se nos indica que es necesario tener instalado un servidor DNS.

• Continuamos hasta que finalice el proceso de instalación, y cuando se nos muestren los resultamos, promovemos el servidor a controlador de dominio. Esto iniciará un segundo proceso de configuración.

• Agregamos un nuevo bosque, y a la hora de elegir el nombre de dominio raíz es importante tener en cuenta lo siguiente. Elegir el nombre de dominio raíz es un tema delicado, por lo que es importante hacerlo con prudencia. Prefijos como example, local, localhost o test no son recomendados ya que se reservan para propósitos especiales. Debemos asegurarnos de que el nombre elegido para el dominio esté disponible en la red, especialmente si lo vamos a integrar en una red donde ya existe un DNS.

• Procedemos con otras opciones de configuración que dejaremos o bien como se muestran en las imágenes a continuación o por defecto.

5.Creando usuarios y grupos. Accedemos al Centro de Administración de Active Directory ejecutando el comando dsac (Win+r > dsac.exe), o desde el Panel de Administración del Servidor a través del menú Herramientas > Centro de Administración de Active Directory.

Desde aquí podemos realizar todas las tareas de administración y gestión de los objetos del dominio. A continuación, mostramos una serie de capturas en las que creamos un grupo, un usuario y asociamos ese usuario al grupo.

El formulario de creación de grupos de AD nos pide entre otros datos que especifiquemos el nombre (itemployee), tipo de grupo y el ámbito del grupo.

Los grupos se utilizan para reunir las cuentas de usuario en unidades administrables simplificando el mantenimiento de la administración de la red. A priori, podemos diferenciar dos grupos:

• Grupos de distribución, utilizados para crear listas de distribución de correo electrónico.

• Grupos de seguridad, utilizados para asignar características a los recursos compartidos.

o Por un lado, permiten asignar derechos de usuarios a grupos de seguridad en AD. Estos derechos de usuario determinan qué acciones pueden llevar a cabo los miembros del grupo en el ámbito de un dominio o bosque.

o También permiten asignar permisos a grupos de seguridad en recursos. Los permisos se asignan al grupo de seguridad sobre un recurso compartido. Determinan quien tiene acceso al recurso y el nivel de acceso.

Podemos hacer otra clasificación, en función del ámbito del grupo.

• Grupos de dominio local: pueden tener miembros con cuentas de cualquier dominio de grupos globales o universales, de grupos locales… Pero solo del mismo dominio que el grupo local del dominio primario.

• Grupos globales: los miembros de estos grupos pueden incluir cuentas del mismo dominio que el grupo global primario y de los grupos globales del mismo dominio que el grupo global primario. A los miembros de estos grupos se les pueden asignar permisos en cualquier dominio del bosque. Los grupos globales se usan para administrar objetos de directorio que requieran un mantenimiento diario, ya que no replican fuera de su propio dominio y por ello se pueden cambiar frecuentemente sin generar tráfico de replicación en el catálogo global.

Si seguimos con el proceso que estábamos explicando, a continuación, vamos a crear una cuenta de usuario asociada al grupo (itemployee) que acabamos de crear.

Además, vamos a crear una carpeta compartida en el servidor sobre la que solo tengan permiso los administradores del servidor, en este caso el usuario “Administrador” y los miembros del grupo “itemployee”, en este caso “juanfona”.

Para comprobar que hemos realizado todo el proceso correctamente procedemos a configurar un equipo para que se pueda unir al dominio creado. Tendremos que darle una configuración de red y un nombre adecuados, así como configurarlo como miembro del dominio. A continuación, mostramos una serie de capturas del proceso de configuración manual en un equipo de Windows 7. Además, también vemos como tenemos permisos sobre la carpeta “itemployee” compartida en el servidor WS06-AD-01

Durante este proceso, no solo hemos tenido que configurar manualmente la red y el nombre del equipo o el dominio, sino que lo hemos tenido que hacer con una cuenta de administrador en el equipo local. Realizar esta tarea en todos los equipos de una red corporativa manualmente sería muy costoso en tiempo, por lo que lo habitual es realizar este proceso automáticamente, mediante servidores DHCP y un servicio de clonación de equipos por red.

5.1 Políticas de Grupo.

Cómo hemos visto, los grupos de seguridad permiten asignar derechos y permisos sobre conjuntos de equipos y usuarios. Esto lo haremos para los equipos y usuarios gestionados por nuestro servidor de Active Directory mediante las Políticas de Grupo “no locales” que gestionará el controlador de dominio. Estas políticas, tienen distintos tipos de características a configurar:

• Configuraciones de software. ◦ Permiten configurar la instalación y actualización de software. ◦ Hay dos posibles configuraciones para este caso:

▪ Asignación de software, por la cual la instalación del software no se hace por petición del usuario.

▪ Publicación de software, opción solo aplicable a políticas de grupo sobre usuarios que permite a los usuarios añadir y eliminar programas desde el Panel de Control.

• Configuraciones de Windows. ◦ Engloban la mayor parte de configuraciones del sistema. ◦ Se engloban en:

▪ Arranque y finalización de scripts. ▪ Configuraciones de seguridad, como la configuración IP, de clave pública, Firewall…

▪ Configuraciones de cuenta, como la complejidad requerida para la contraseña, el tiempo de expiración de la contraseña…

▪ Opciones sobre la gestión de la configuración local, sobre logs, derechos de usuario y opciones de seguridad.

▪ Gestión de acceso a directorios remotos.

• Plantillas administrativas. ◦ Contienen una serie de configuraciones que permiten customizar el entorno de usuario y de

máquina. ◦ Por ejemplo:

▪ Configuración de tareas programadas. ▪ Configuraciones de sistema como cuotas de disco, autenticación o apagado. ▪ Otras configuraciones de personalización de fondo de pantalla, formato de iconos, etc.

Las posibles configuraciones de Políticas de Grupo que hagamos se almacenarán como objetos del dominio (Group Policy Objects – GPOs), de modo que se pueden asociar a sitios, dominios o unidades organizativas del directorio activo en sus correspondientes ventanas de configuración. Dado que varias GPOs pueden ser asociadas a un mismo sitio, domino o unidad, existen una serie de reglas bien definidas para la herencia y predomino de características.

6.Bibliografía. https://www.winhelp.us/user-management-in-windows.html https://en.wikipedia.org/wiki/Active_Directory https://docs.microsoft.com/en-us/windows/desktop/ad/managing-users https://searchitchannel.techtarget.com/tip/Windows-7-user-accounts-and-groups-management https://docs.microsoft.com/en-us/windows/desktop/ad/managing-users https://docs.microsoft.com/en-us/windows/security/identity-protection/access-control/active-directory-security-groups https://www.sqa.org.uk/e-learning/NetServerOS02CD/page_18.htm

https://www.varonis.com/blog/top-10-active-directory-tutorials-web/ https://blogs.ua.es/si/2011/02/16/que-es-un-dominio-windows/ https://smrbitabit.wordpress.com/2012/10/22/que-es-un-dominio-en-windows/ http://www.windows-active-directory.com/group-policy.html