Professional Documents
Culture Documents
MEXICO
PROGRAMA DE BECARIOS UNAM-CERT
ADMINISTRACIN Y SEGURIDAD EN WINDOWS
PROYECTO.
EQUIPO TIERNOSITOS.
CASTAEDA NAZARIO ERIC FERNANDO
RUGERIO ONOFRE ISAAC
VASQUEZ MARTINEZ MARIO ALEJANDRO
FECHA 31/10/2014
DOMINIO A
Para las configuraciones que se llevan a cabo a nuestro domain controller A se le otorga la
siguiente ip 192.168.1.248 con mascara 255.255.255.0.
Al instalar el ADDS es necesario un DNS por lo cual se instala tambin ese rol por defecto, la
configuracin no lleva ms pasos que agregar, damos en Add Features
El proceso es relativamente rpido y nos muestra la pantalla siguiente donde se nos muestra la
instalacin satisfactoria. Podemos realizar la promocin del servidor como Domain Controller
desde esta pantalla (FIGURA 5) o desde el home del Server Manager en los task (FIGURA 6)
En la pantalla de inicio tenemos varias opciones, aqu se puede agregar a un dominio existente, a
alguno en un dominio en un bosque existente y la que nos interesa agregar un nuevo bosque. Al
escoger la opcin nos solicita el nombre del dominio (dominioA.local) como se muestra en la
FIGURA 7.
Si se necesita la delegacin DNS que es el proceso por el cual el gestor de un determinado dominio
delega la tarea de gestin, aqu lo seleccionamos.
En la siguiente ventana nos muestra la opcin del NetBIOS domain name, aqu se puede cambiar
por alguno otro, pero es recomendable dejar el que est para evitar futuras confusiones.
Para la base de datos del AD DS podemos dejarlas en las rutas por defecto, es recomendable
tenerlas en otras particiones para proteccin de ataques.
Se hace un chequeo de los prerrequisitos para poder realizar la instalacin, si no muestra algn
error podemos continuar.
CERTIFICATE AUTORITY
Realizamos la instalacin del rol de Active Directory Certificate Services, se instala de la misma
manera en Add roles del Server Manager. Al igual instalamos el rol IIS.
A continuacin se nos pide informacin ms detallada sobre los servicios del rol a instalar,
seleccionamos los que se muestran en la FIGURA 3
Se nos muestra la lista de caractersticas a instalar de cada uno de los servicios y se continua con la
instalacin.
Al terminar la instalacin vamos a los task donde ingresamos a la configuracin del ADCS
Para poder realizar la configuracin, es necesario como en casi todos los servicios tener los
permisos Enterprise y administrator, elegimos un usuario con ellos y damos continuar.
En este caso nos basta con elegir los siguientes servicios del rol (FIGURA 9) sern de los que
necesitaremos.
Y a que la configuracin que se nos solicita en este dominio, elegimos la opcin de subordinada.
Elegimos la configuracin bsica sha1 para firmar el certificado con una longitud de llave de 2048
Posteriormente cambiamos si queremos Common name que se nos otorga por defecto para esta
CA.
Para mejor facilidad generamos nuestro propio archivo request, el cual usaremos para enviarlo a
la CA ROOT en Debian y nos lo firmen.
Al igual la base de datos de los certificados debe estar en otra ruta diferente a las de defecto para
evitar problemas de seguridad.
Al final se nos explica las modificaciones que se realizaran y algn warning que pueda ocurrir, en
este caso se nos explica que necesitamos que nuestro request sea firmado por la otra CA ROOT.
DHCP
Realizamos la configuracin de la IP de nuestro servidor dhcp en otro equipo que en nuestro caso
ser la 192.168.1.240 y la IP del DNS del domain controller. (FIGURA 1)
Dhcp se instala como cualquier otro rol en nuestro server manager, durante esta instalacin no
requiere configuracin alguna o algn otro complemento necesario, por lo que pulsamos siguiente
hasta
llegar
a
la
instalacin.
Al finalizar la configuracin podramos completar la configuracin del DHCP pero para evitar
problemas antes de realizar este paso, agregaremos el equipo al dominio
En las propiedades del sistema colocamos el nombre del dominio, nos pide usuario y contrasea
de algn usuario con permisos de administrador y si todo resulta bien nos agrega.
Posteriormente reiniciamos e iniciamos sesin con algn usuario que tenga permisos de
administrador y Enterprise para poder realizar satisfactoriamente las configuraciones del DHCP.
Una ves instalado, en el server manager nos vamos a tools y seleccionamos DHCP, ah
desplegaremos la pestaa del DHCP y tendremos dos opciones damos click derecho en IPV4 y
seleccionamos new scope, empezamos dando el nombre de nuestra nueva regla. (FIGURA 7)
Posteriormente se configuran algunas otras opciones, en la FIGURA 8 por ejemplo eleg solo
otorgar IPs del rango 200 al 250 de nuestra red, cabe resaltar que hay ms opciones como
restricciones, Gateway, grupos de ips, etc.
Cada una de las opciones se va adaptando a las necesidades que se necesiten, se puede continuar
sin realizar ms opciones, completamos la configuracin y finalizamos.
El siguiente paso es crear una regla, para esta se necesita el Mac del equipo que necesitamos para
reservarle la IP. Ahora nos vamos a nuestro cliente, el cual agregamos al dominio de la misma
manera.
En este cliente abriendo un cmd buscamos su direccin Mac para poder crear una regla de
reservacin para este equipo.
Una vez obtenida regresamos al dhcp donde desplegamos el sope creado y damos clic derecho en
reservations, elegimos la opcin New Reservation.
Aqu se despliega una nueva ventana donde colocaremos la IP reservada la cual estar
dependiendo del numero mac que obtuvimos del cliente. En este caso otorgaremos la IP
192.168.1.213, agregamos alguna descripcin y damos clic en Add (FIGURA 13)
Observamos que se cre la nueva reservacin y estamos listos para solicitar una nueva IP DHCP
Solicitamos una nueva ip y podemos observar que nos otorga la que definimos y adems que
tenemos el DHCP Server como la ip 192.168.1.240, que es nuestra maquina dhcp, definida.
Se pueden seguir haciendo ms reservaciones siguiendo el mismo proceso obteniendo las mac de
los equipos e ingresndolas manualmente al dhcp, si es que se quiere tener un control ms
detallado de los equipos.
CONTENIDOSDAV
Creamos una OU y un grupo ContenidosDav.
POLITICAS
En un cliente se instala Windows Office.
Pantalla de las Aplicaciones instaladas
Para hacer la poltica para ingeniero realizamos la siguiente configuracin primero creando una OU
para cada grupo.
Como ejemplo usaremos al grupo ingenieros para delimitar las aplicaciones necesarias realizamos
la configuracin y denegacin de los ejecutables como se muestra en la imagen. Estos usuarios no
tienen permisos de administrador para la modificacin de archivos ejecutables.
Para diseadores y gerentes solo se van cambiando los ejecutables necesarios para cada uno de
los casos, en general y se crea el link a nivel dominio filtrando por grupos
Al igual realizamos configuraciones para limitar los ejecutable de los navegadores opera y Firefox,
en el caso de Chrome aparte de esa configuracin, realizamos configuracin en applocker para
poder bloquearlo ponindolo en un nivel de producto.
CA ROOT DEBIAN
Generamos una llave para poder firmar nuestro certificado y creamos una peticin para el
certificado de la CA
WEBDAV
Generamos un domain certificate.
Usamos el certificado que nos fue otorgado para firmar el nuevo tiernositos.local para nuestra
pgina web
Realizamos un nuevo binding con la pagina nueva y el certificado SSL para la autenticacin
Se activa la opcin que se Requiera SSL para el acceso tanto en webdav settings como en SSL
settings
Ingresamos a tiernositos.local desde el navegador web y vemos que nos solicita el certificado del
usuario.
Nota: es necesario que el usuario tenga un certificado para poder acceder y continuar. Al igual que
tenga permitido visualizar la pgina.
Dominio B
Configurando el CA
Uno de los servicios de infraestructura que se requieren para este dominio es una Autoridad
Certificadora raz, a continuacin se muestra el procedimiento de configuracin de tal servicio.
Como en muchos servicios que se requieren en Windows Server, se agrega un nuevo rol, abrir el
Server Manager, dar clic en Manage, despus dar clic en Add roles and features.
Se abre un wizard para agregar nuevos roles, presionamos next
Fig. 2
En esta seccin tenemos que definir qu tipo de servicio va a ser instalado en el server, se debe
tener una CA, y la opcin que trae ese tipo de servicios es Active Directory Certificate Services.
En esta ventana se eligen las dependencias necesarias para que opere el servicio a
instalar.
Fig. 5 Se mantienen las opciones elegidas por default, presionamos Next para continuar.
Seleccionamos las formas de operar que puede utilizar nuestro server para el servicio de CA root.
Dejamos las opciones por default para el servicio de IIS, solo hay que agregar todas las opciones de
seguridad (autenticacin) para el servicio web.
Fig. 9 Presionar Close para continuar con la instalacin de los siguientes mdulos.
Cuando el servidor se reinicie reanudar la instalacin del rol CA, es necesario que
tengamos una cuenta con privilegios de Enterprise.
Como va a hacer una CA raz para un dominio se debe marcar la opcin Enterprise CA.
Como parmetros para la llave privada elegimos en mtodo de cifrado SHA1 con una longitud de
2048 bits.
Se ha terminado de instalar.
VDI
Para este mdulo se debe crear un servidor en donde se alojara la suite office, y por medio de
RemoteApp, ofrecer diferentes aplicaciones para cada tipo de usuario.
Para esto, en nuestro server debemos agregar un rol como Virtual Desktop Infrastructure.
Instalando Office
Las aplicaciones que se publicar en RemoteApp es la suite de office, para fines prcticos
instalamos office 2010 en nuestro server de aplicaciones.
Los grupos que tiene permitido esta app son conta y Administradores.
Restringimos el acceso hacia los botones de bloquear equipo, y dems cuando presionan
la combinacin de teclas Ctrl+Alt+Supr
Fig. 39