UNIVERSIDAD NACIONAL AUTONOMA DE

MEXICO
PROGRAMA DE BECARIOS UNAM-CERT
ADMINISTRACIN Y SEGURIDAD EN WINDOWS

PROYECTO.
EQUIPO TIERNOSITOS.
CASTAEDA NAZARIO ERIC FERNANDO
RUGERIO ONOFRE ISAAC
VASQUEZ MARTINEZ MARIO ALEJANDRO
FECHA 31/10/2014

DOMINIO A
Para las configuraciones que se llevan a cabo a nuestro domain controller A se le otorga la
siguiente ip 192.168.1.248 con mascara 255.255.255.0.

Fig. 1 Asignando IP al Domain Controller

Para instalar el AD DS nos vamos a manage y damos clic en add role.

Fig. 2 Ventana del Server Manager, aplicando opcin de Agregar roles.

Seleccionamos el rol Active Directory Domain Services

Fig. 3 Active Directory Domain Service seleccionado

Al instalar el ADDS es necesario un DNS por lo cual se instala tambin ese rol por defecto, la
configuracin no lleva ms pasos que agregar, damos en Add Features

Fig. 4 Caractersticas para instalar en ambos roles

El proceso es relativamente rpido y nos muestra la pantalla siguiente donde se nos muestra la
instalacin satisfactoria. Podemos realizar la promocin del servidor como Domain Controller
desde esta pantalla (FIGURA 5) o desde el home del Server Manager en los task (FIGURA 6)

Fig. 5 Pantalla de finalizacin de instalacin con opcin para promover

Fig. 6 Promover en task desde pantalla principal desde el server

En la pantalla de inicio tenemos varias opciones, aqu se puede agregar a un dominio existente, a
alguno en un dominio en un bosque existente y la que nos interesa agregar un nuevo bosque. Al
escoger la opcin nos solicita el nombre del dominio (dominioA.local) como se muestra en la
FIGURA 7.

Fig. 7 Agregando nuevo bosque

Escogemos el nivel de funcionalidad, lo dejamos en Windows Server 2012 R2 , se coloca una

contrasea de restauracion en caso de tener algn problema con el dominio.

Fig. 8 Caractersticas del Domain controller.

Si se necesita la delegacin DNS que es el proceso por el cual el gestor de un determinado dominio
delega la tarea de gestin, aqu lo seleccionamos.

Fig. 9 Opciones del DNS

En la siguiente ventana nos muestra la opcin del NetBIOS domain name, aqu se puede cambiar
por alguno otro, pero es recomendable dejar el que est para evitar futuras confusiones.

Fig. 10 Eleccin del NetBIOS domain name

Para la base de datos del AD DS podemos dejarlas en las rutas por defecto, es recomendable
tenerlas en otras particiones para proteccin de ataques.

Fig. 11 Rutas para base de datos, logfiles y SYSVOL del DC..

Al final de la configuracin se nos muestra un resumen de todos las caractersticas configuradas,

tambin existe la opcin de crear un script con estas configuraciones para exportarlas.

Fig. 12 Resumen de las selecciones

Se hace un chequeo de los prerrequisitos para poder realizar la instalacin, si no muestra algn
error podemos continuar.

Fig. 13 Revisin de prerrequisitos.

CERTIFICATE AUTORITY
Realizamos la instalacin del rol de Active Directory Certificate Services, se instala de la misma
manera en Add roles del Server Manager. Al igual instalamos el rol IIS.

Fig. 1 Seleccin de IIS y ADCS

Posteriormente se no nos muestra las caractersticas que se instalaran.

Fig. 2 Caractersticas a instalar.

A continuacin se nos pide informacin ms detallada sobre los servicios del rol a instalar,
seleccionamos los que se muestran en la FIGURA 3

Fig. 3 Seleccin de roles para certificados

A continuacin los servicios del IIS, se configura

Fig. 4 Caractersticas a instalar de IIS

Se nos muestra la lista de caractersticas a instalar de cada uno de los servicios y se continua con la
instalacin.

Fig. 5 Instalacin de los roles.

Fig. 6 Instalacin finalizada

Al terminar la instalacin vamos a los task donde ingresamos a la configuracin del ADCS

Fig. 7 Configuracin posterior del ADCS

Para poder realizar la configuracin, es necesario como en casi todos los servicios tener los
permisos Enterprise y administrator, elegimos un usuario con ellos y damos continuar.

Fig. 8 Configuracin con usuario con permisos.

En este caso nos basta con elegir los siguientes servicios del rol (FIGURA 9) sern de los que
necesitaremos.

Fig. 9 Caractersticas a instalar del ADCS

En la configuracin del tipo de CA elegimos la opcin Enterprise. Ya que se otorgaran certificados a

miembros del dominio. Necesita ADDS

Fig. 10 Selaccion del modo enterprise

Y a que la configuracin que se nos solicita en este dominio, elegimos la opcin de subordinada.

Fig. 11 Seleccin de modo subordinado

Creamos una nueva llave privada para poder usarla.

Fig. 12 Llave privada nueva

Elegimos la configuracin bsica sha1 para firmar el certificado con una longitud de llave de 2048

Fig. 13 Caractersticas de cifrado

Posteriormente cambiamos si queremos Common name que se nos otorga por defecto para esta
CA.

Fig. 14 Eleccion del nombre de la CA

Para mejor facilidad generamos nuestro propio archivo request, el cual usaremos para enviarlo a
la CA ROOT en Debian y nos lo firmen.

Fig. 15 Exportacion del request que solicitar la CA root

Al igual la base de datos de los certificados debe estar en otra ruta diferente a las de defecto para
evitar problemas de seguridad.

Fig. 16 Rutas para base de datos y logs de la CA

A continuacin se nos muestra un resumen de las configuraciones que se realizaron y si estamos

de acuerdo.

Fig. 17 Resumen de caractersticas.

Al final se nos explica las modificaciones que se realizaran y algn warning que pueda ocurrir, en
este caso se nos explica que necesitamos que nuestro request sea firmado por la otra CA ROOT.

Fig. 18 Resultados de instalacion y advertencia para firmar el request con CA ROOT

DHCP
Realizamos la configuracin de la IP de nuestro servidor dhcp en otro equipo que en nuestro caso
ser la 192.168.1.240 y la IP del DNS del domain controller. (FIGURA 1)

Fig.1 Caractersticas a instalar.

Dhcp se instala como cualquier otro rol en nuestro server manager, durante esta instalacin no
requiere configuracin alguna o algn otro complemento necesario, por lo que pulsamos siguiente
hasta
llegar
a
la
instalacin.

Fig. 2 Caractersticas a instalar.

Al finalizar la configuracin podramos completar la configuracin del DHCP pero para evitar
problemas antes de realizar este paso, agregaremos el equipo al dominio

Fig. 2 Caractersticas a instalar.

En las propiedades del sistema colocamos el nombre del dominio, nos pide usuario y contrasea
de algn usuario con permisos de administrador y si todo resulta bien nos agrega.

Fig. 2 Caractersticas a instalar.

Posteriormente reiniciamos e iniciamos sesin con algn usuario que tenga permisos de
administrador y Enterprise para poder realizar satisfactoriamente las configuraciones del DHCP.

Fig. 2 Caractersticas a instalar.

Volvemos al server manager y terminamos la configuracin del DHCP, en la pantalla de

autorizacin podemos ver que usa las credenciales del usuario con el que nos loguemos, si esa
opcin aparece deshabilitada el usuario no tiene los permisos requeridos, se puede usar la opcin
de usar credenciales alternas, aunque a veces resulta en fallos de la funcionamiento si no existen
los permisos requeridos (FIGURA 6) Damos commit y aparece una ventana indicando fallos o si
todo sali correctamente.

Fig. 2 Caractersticas a instalar.

Una ves instalado, en el server manager nos vamos a tools y seleccionamos DHCP, ah
desplegaremos la pestaa del DHCP y tendremos dos opciones damos click derecho en IPV4 y
seleccionamos new scope, empezamos dando el nombre de nuestra nueva regla. (FIGURA 7)

Fig. 2 Caractersticas a instalar.

Posteriormente se configuran algunas otras opciones, en la FIGURA 8 por ejemplo eleg solo
otorgar IPs del rango 200 al 250 de nuestra red, cabe resaltar que hay ms opciones como
restricciones, Gateway, grupos de ips, etc.

Fig. 2 Caractersticas a instalar.

Cada una de las opciones se va adaptando a las necesidades que se necesiten, se puede continuar
sin realizar ms opciones, completamos la configuracin y finalizamos.

Fig. 2 Caractersticas a instalar.

El siguiente paso es crear una regla, para esta se necesita el Mac del equipo que necesitamos para
reservarle la IP. Ahora nos vamos a nuestro cliente, el cual agregamos al dominio de la misma
manera.

Fig. 2 Caractersticas a instalar.

En este cliente abriendo un cmd buscamos su direccin Mac para poder crear una regla de
reservacin para este equipo.

Fig. 2 Caractersticas a instalar.

Una vez obtenida regresamos al dhcp donde desplegamos el sope creado y damos clic derecho en
reservations, elegimos la opcin New Reservation.

Fig. 2 Caractersticas a instalar.

Aqu se despliega una nueva ventana donde colocaremos la IP reservada la cual estar
dependiendo del numero mac que obtuvimos del cliente. En este caso otorgaremos la IP
192.168.1.213, agregamos alguna descripcin y damos clic en Add (FIGURA 13)

Fig. 2 Caractersticas a instalar.

Observamos que se cre la nueva reservacin y estamos listos para solicitar una nueva IP DHCP

Fig. 2 Caractersticas a instalar.

Solicitamos una nueva ip y podemos observar que nos otorga la que definimos y adems que
tenemos el DHCP Server como la ip 192.168.1.240, que es nuestra maquina dhcp, definida.

Fig. 2 Caractersticas a instalar.

Se pueden seguir haciendo ms reservaciones siguiendo el mismo proceso obteniendo las mac de
los equipos e ingresndolas manualmente al dhcp, si es que se quiere tener un control ms
detallado de los equipos.

CONTENIDOSDAV
Creamos una OU y un grupo ContenidosDav.

Fig. 1 Caractersticas a instalar.

Fig. 2 Caractersticas a instalar.

POLITICAS
En un cliente se instala Windows Office.
Pantalla de las Aplicaciones instaladas

Fig. 2 Caractersticas a instalar.

Para hacer la poltica para ingeniero realizamos la siguiente configuracin primero creando una OU
para cada grupo.

Fig. 2 Caractersticas a instalar.

Como ejemplo usaremos al grupo ingenieros para delimitar las aplicaciones necesarias realizamos
la configuracin y denegacin de los ejecutables como se muestra en la imagen. Estos usuarios no
tienen permisos de administrador para la modificacin de archivos ejecutables.

Fig. 2 Caractersticas a instalar.

Fig. 2 Caractersticas a instalar.

Para diseadores y gerentes solo se van cambiando los ejecutables necesarios para cada uno de
los casos, en general y se crea el link a nivel dominio filtrando por grupos

Fig. 2 Caractersticas a instalar.

En cuanto a la poltica de contraseas configuramos en Account Policies/Password Policy las 3

opciones.

Fig. 2 Caractersticas a instalar.

Al igual realizamos configuraciones para limitar los ejecutable de los navegadores opera y Firefox,
en el caso de Chrome aparte de esa configuracin, realizamos configuracin en applocker para
poder bloquearlo ponindolo en un nivel de producto.

Fig. 2 Caractersticas a instalar.

CA ROOT DEBIAN
Generamos una llave para poder firmar nuestro certificado y creamos una peticin para el
certificado de la CA

Creamos el certificado autofirmado a partir de la peticin

Creamos el archivo config1 para crear el certificado de la CA Enterprise.

Creamos y firmamos el certificado de la CA Enterprise a partir de la peticion

Nos devuelve un archivo ca.cert el cual es el certificado para nuestro CA.

Importamos el archivo generado por la CA ROOT DEBIAN y lo agregamos a Trusted Root

Certification y personal

WEBDAV
Generamos un domain certificate.

Usamos el certificado que nos fue otorgado para firmar el nuevo tiernositos.local para nuestra
pgina web

Nos muestra el certificado otorgado que usaremos para la pgina web

Realizamos un nuevo binding con la pagina nueva y el certificado SSL para la autenticacin

Se activa la opcin que se Requiera SSL para el acceso tanto en webdav settings como en SSL
settings

Se realiza la autorizacin para cada uno de los usuarios permitidos

Habilitamos a nivel de dominio la autenticacin por certificado.

Modificamos el archivo hosts por tiernositos.local

Creamos una zona para tiernositos.local

Ingresamos a tiernositos.local desde el navegador web y vemos que nos solicita el certificado del
usuario.

Nota: es necesario que el usuario tenga un certificado para poder acceder y continuar. Al igual que
tenga permitido visualizar la pgina.

Dominio B
Configurando el CA
Uno de los servicios de infraestructura que se requieren para este dominio es una Autoridad
Certificadora raz, a continuacin se muestra el procedimiento de configuracin de tal servicio.
Como en muchos servicios que se requieren en Windows Server, se agrega un nuevo rol, abrir el
Server Manager, dar clic en Manage, despus dar clic en Add roles and features.
Se abre un wizard para agregar nuevos roles, presionamos next

Fig. 1 Wizard para agregar nuevos roles.

Seleccionamos la opcin de Instalacin basada en roles.

Fig. 2

Elegimos en servidor en donde ser instalado un nuevo rol.

Fig. 3 Se instalara en el servidor local.

En esta seccin tenemos que definir qu tipo de servicio va a ser instalado en el server, se debe
tener una CA, y la opcin que trae ese tipo de servicios es Active Directory Certificate Services.

Fig. 4 Marcamos la primera opcin y presionamos Next.

En esta ventana se eligen las dependencias necesarias para que opere el servicio a
instalar.

Fig. 5 Se mantienen las opciones elegidas por default, presionamos Next para continuar.

Seleccionamos las formas de operar que puede utilizar nuestro server para el servicio de CA root.

Fig. 6 Marcamos las 4 opciones mostradas y presionamos Next.

Dejamos las opciones por default para el servicio de IIS, solo hay que agregar todas las opciones de
seguridad (autenticacin) para el servicio web.

Fig. 7 Marcamos todas las opciones de la seccin de Security y presionamos Next.

Es necesario habilitar la casilla de Restart if required.

Fig. 8 Presionamos Install para iniciar la instalacin.

Se muestra el avance de la instalacin.

Fig. 9 Presionar Close para continuar con la instalacin de los siguientes mdulos.

Progreso de instalacin de las dependencias

Fig. 10 Presionar Close para continuar.

Cuando el servidor se reinicie reanudar la instalacin del rol CA, es necesario que
tengamos una cuenta con privilegios de Enterprise.

Fig. 11 Presionamos Net para continuar.

Marcamos la opcin que vayamos a configurar.

Fig. 12 Se configurara la opcin Certification Authority.

Como va a hacer una CA raz para un dominio se debe marcar la opcin Enterprise CA.

Fig. 13 Marcamos Enterprise y presionamos Next.

Se debe crear una CA raz, es por es que se marca la primera opcin.

Fig. 14 Elegimos la opcin Root CA y presionamos Next.

Seleccionamos la primera opcin para crear una llave privada.

Fig. 15 Presionamos Next para continuar.

Como parmetros para la llave privada elegimos en mtodo de cifrado SHA1 con una longitud de
2048 bits.

Fig. 16 Presionamos Next para continuar.

Definimos los datos para los que se creara el certificado.

Fig. 17 Presionamos Next para continuar.

Definimos la ubicacin donde se almacena la base de datos.

Fig. 18 Presionar Next para continuar.

Nos muestra un resumen de las configuraciones a aplicar.

Fig. 19 Presionar Configure para continuar.

Se ha terminado de instalar.

Fig. 20 Presionamos Close para continuar.

VDI
Para este mdulo se debe crear un servidor en donde se alojara la suite office, y por medio de
RemoteApp, ofrecer diferentes aplicaciones para cada tipo de usuario.
Para esto, en nuestro server debemos agregar un rol como Virtual Desktop Infrastructure.

Fig. 21 Presionar Next.

Seleccionamos Quick Start para que todo se instale en el server VDI.

Fig. 22 Presionar Next para continuar.

Elegimos nuestro RD broker, que es nuestro server local.

Fig. 23 Presionamos Next para continuar.

Fig. 24 Presionamos Deploy para continuar.

El server se debe reiniciando.

Fig. 25 Server reiniciando.

Cuando se reinicie el server continuar la instalacin.

Fig. 26 Presionar Close para terminar la instalacin.

Instalando Office
Las aplicaciones que se publicar en RemoteApp es la suite de office, para fines prcticos
instalamos office 2010 en nuestro server de aplicaciones.

Fig. 27 Doble clic al setup de instalacin.

Configurando los programas

Una vez instalada la suite se habilita toda la paquetera de office para los administradores.

Fig. 28 Muestra las aplicaciones que pueden ver los administradores.

Para el grupo de los de conta solo se habilita la aplicacin Microsoft Excel.

Los grupos que tiene permitido esta app son conta y Administradores.

Fig. 29 Presionamos Ok para confirmar los grupos.

Para los ingenieros se habilita Word y Power Point.

Fig. 30 Permitimos el acceso al Word.

Fig. 31 De la misma forma, permitimos el acceso a PowerPoint.

Para ambas aplicaciones les habilitamos el acceso a los grupos elegidos.

Fig. 32 Habilitando el acceso a los grupos elegidos.

Comprobacin del acceso.

Fig. 33 Acceso de un administrador.

Configuracin del quiosco.

Para el quiosco se utiliz un cliente Windows 8.
Se necesita crear polticas para restringir ciertas caractersticas del equipo que ser el
quisco.

Fig. 34 Creamos una poltica.

Editamos el parmetro de Custom User Interface, agregando la opcin de internet

explorer en modo quiosco. C:path_iexplore.exe k

Fig. 35 Configurando Internet Explorer en modo quiosco.

Aplicamos la poltica con el comando gpupdate /force

Fig. 36 Aplicando la poltica.

Restringimos el acceso hacia los botones de bloquear equipo, y dems cuando presionan
la combinacin de teclas Ctrl+Alt+Supr

Fig. 37 Ocultando los botones.

Deshabilitamos que se pueda cerrar el navegador web.

Fig. 38 Evitamos que se cierre el navegador.

Fig. 39

Evitar que se pueda cambiar de usuario.

Fig. 40 Habilitando la poltica.