Manual Pract Mecanismos de Seguridad 2017

Configuracin de Mecanismos de Seguridad en Redes
ESCUELA DE INGENIERA EN COMPUTACIN

TCNICO EN INGENIERA DE REDES INFORMTICAS
PRCTICAS DE LABORATORIO
CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES
NOMBRE DEL PARTICIPANTE:
PERIODO: AO:
SANTA TECLA, JULIO DE 2017
ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 1

INDICE
CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES .........................................................................3
Introduccin ................................................................................................................................................3
OBJETIVO GENERAL DEL MODULO ......................................................................................................................4
rea de competencias .................................................................................................................................4
Subcompetencias ........................................................................................................................................4
Duracin del mdulo ...................................................................................................................................4
EVALUACION INICIAL DEL MODULO....................................................................................................................5
EVALUACION FINAL .............................................................................................................................................6
PRCTICAS DE LABORATORIO .............................................................................................................................7
Prctica1: Anlisis de Vulnerabilidades con MBSA .....................................................................................7
Prctica2: Instalacin y Configuracin de WSUS .........................................................................................9
Prctica3: Polticas de grupo .................................................................................................................... 12
Prctica4: Sistema de Cifrado de Archivos (EFS) ...................................................................................... 14
Prctica5: Auditoria de Eventos ............................................................................................................... 19
Prctica6: Recuperacin del Sistema ....................................................................................................... 23
Prctica7: Respaldo y restauracin de archivos ....................................................................................... 27
Prctica8: Enrutamiento y acceso remoto ............................................................................................... 30
Prctica9: Seguridad en redes inalmbricas............................................................................................. 34

CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES
Introduccin
El siguiente modulo tiene como finalidad que usted pueda conocer sobre los mecanismos de seguridad en
redes informticas, debido al crecimiento que en la actualidad poseen las redes de datos en las
organizaciones las cuales se hacen cada vez ms dependientes de sus sistemas de redes informticas y un
problema que las afecte, por mnimo que este sea puede llegar a comprometer la continuidad de las
operaciones e incluso a tener grandes prdidas en concepto de dinero o costos de oportunidad.
La falta de medidas de seguridad en las redes informticas en un problema que est en crecimiento para las
organizaciones. Cada vez son ms el nmero de ataques a las que estn expuestas las organizaciones y cada
vez ms, estos ataque se realizan de manera estructurados y organizados por individuos que van adquiriendo
da a da habilidades ms especializadas que les permiten tener mayores beneficios. Otro de los factores que
deben de ser considerados, es las fallas de seguridad provenientes del interior de las organizaciones, debido
a diferentes circunstancias que se abordaran en los temas posteriores de este manual.
Es importante destacar que es la misma complejidad de las redes las que hacen que cada vez sea ms difcil
detectar los diferentes problemas de seguridad que se presentan en las redes, tanto las que ya son
conocidas, como las que van apareciendo. Palabras como Hackers, Crackers, Lamers y otras muchas ms se
han ido generalizando en nuestro vocabulario ordinario, tanto en la vida de los usuarios comunes como en
los administradores de redes.
Adems de las tcnicas criptogrficas y de todos los mecanismos de seguridad existentes, cabe mencionar
que una simple accin de seguridad no es suficiente para garantizar la seguridad de nuestros sistemas y
redes, el monitoreo y la constante revisin de nuestros sistemas en conjunto es la que nos proporciona un
marco de referencia adecuado que nos permite realizar acciones preventivas ms que correctivas que nos
ayuden a proteger nuestros sistemas, recordemos que la seguridad es algo utpico, hasta que los
sistemas son vulnerados podemos darnos cuenta que no tenamos un buen sistema de seguridad o que
necesitamos mejorarlo.

OBJETIVO GENERAL DEL MODULO
Al finalizar el modulo, usted habr adquirido las competencias necesarias para aplicar las tcnicas y las
herramientas que le permitirn conocer sobre los diferentes mecanismos de seguridad en las redes
informticas tanto en la proteccin de los datos al momento de transportarse por medio de las redes, as
como la proteccin de extremo a extremo, aplicando tcnicas de encriptacin e implementando polticas
de seguridad tanto a nivel conceptual como a nivel prctico, implementando seguridad perimetral,
desarrollando proteccin contra las diferentes vulnerabilidades y amenazas en la red de datos,
asegurando la integridad y la confiabilidad de datos cuando son transportados por la red e implementar
polticas de seguridad para el trfico entrante o saliente de la red.
rea de competencias
Aplicar mecanismos de seguridad en redes informticas que garanticen la integridad,

confidencialidad y disponibilidad en la transferencia de datos.
Subcompetencias
Disea un plan de resolucin de problemas.

Configura los dispositivos de seguridad a utilizar.
Utiliza herramientas para analizar la seguridad.
Distribuye tareas de forma equitativa.
Participa activamente en los trabajos grupales.
Mantiene limpia y ordenada el rea de trabajo.
Desarrolla las actividades en forma secuencial.
Finaliza las actividades en el tiempo adecuado.
Asisten puntualmente a las actividades programadas.
Entrega tarea a tiempo y en forma completa.
Duracin del mdulo
Nmero de horas: 100

Distribuidas de la siguiente manera:
HORAS TEORICAS: 30
HORAS PRCTICAS: 70

EVALUACION INICIAL DEL MODULO
En su rol de protagonista del proceso de aprendizaje, le proponemos completar el siguiente

cuestionario previo al estudio del mdulo, con el objeto de que usted defina cules son sus
conocimientos inciales de los temas que se van a estudiar y, que evale su aprendizaje en el
transcurso del desarrollo del mdulo. Finalmente puede comparar ambos procesos para que identifique los
aprendizajes alcanzados al terminar el mdulo.
Para tal propsito, complete el cuestionario utilizando la siguiente escala:
1. No conozco ni s hacerlo (Nunca he ledo sobre este tema ni trabajado en l)
2. He escuchado pero no he trabajado en ello.
3. Tengo poco conocimiento del tema.
4. Conozco y s hacerlo.
Coloque un cheque en la escala seleccionada.

Contenidos 1 2 3 4
Seguridad en las redes Informticas
Diferentes tipos de amenazas a las redes informticas
Polticas de seguridad y anlisis de riesgos en las redes
El Proceso administrativo en las organizaciones
Integridad de los datos y el valor de los mismos
Mtodos de Cifrado de datos e informacin
Mtodos de Criptografa de la Informacin
Mecanismos de prevencin de ataques
Mecanismos de proteccin en las redes
Virus y Malware
Tipos de ataques y vulnerabilidades

EVALUACION FINAL
La evaluacin final del mdulo consiste en instalar y configurar un servidor que incluya diferentes
herramientas de seguridad. El documento debe contener:
a) Portada
b) ndice
c) Introduccin
d) Objetivos
e) Anlisis del problema
f) Presupuesto
g) Desarrollo del Caso
Sugerencias para la presentacin del documento:

Revise su ortografa y redaccin.
Incluya la bibliografa utilizada.
Si incluye contenido de sitios web, escriba la URL del sitio, incluyendo la ltima fecha de revisin.
Enumere las pginas.
Ordene el nombre de los integrantes de forma alfabtica.
Formato de presentacin del documento:

Documento en formato de Word tamao carta
Mrgenes de 2.5cm a cada lado.
Tipo de letra Verdana, tamao 11 para textos y los ttulos en tamao 12.
Interlineado 1.5.

PRCTICAS DE LABORATORIO

Carrera: Tcnico en Ing. de Redes Informticas
Mdulo: Configuracin de Mecanismos de Seguridad
Prctica1: Anlisis de Vulnerabilidades con MBSA

OBJETIVOS DE APRENDIZAJE
Al finalizar esta prctica, el estudiante ser capaz de:
Instalar Microsoft Baseline Security A nalizer.

Realizar un anlisis de vulnerabilidades en el servidor.
Resolver las vulnerabilidades identificadas en el servidor
MATERIAL Y EQUIPO
Gua de Laboratorio
Computadora con Virtual Box instalado
Imagen ISO de Windows Server 2008
Conexin a Internet
Memoria USB con ms de 2GB de espacio libre
INTRODUCCIN TERICA
Microsoft Baseline Security Analizer es una herramienta de anlisis de seguridad que nos da la posibilidad de determinar
posibles vulnerabilidades administrativas presentes en uno o ms equipos de nuestra intranet.
MBSA explorar el equipo o su direccin IP de red. En el caso de una exploracin mltiple explorar los equipos en el
dominio o el rango de direcciones IP especificado.
MBSA luego del anlisis nos devolver un informe con los detalles del o de los equipo/s que analiz y tendremos la
posibilidad de ver cmo resolver estos inconvenientes.
La versin 2.0 de MBSA analiza configuraciones de seguridad incorrectas en sistemas operativos Windows, Internet
Information Services (IIS), SQL Server, Internet Explorer y Microsoft Office.
Requerimientos de la herramienta
Para la ejecucin y anlisis del mismo equipo se debe tener en cuenta los siguientes requerimientos:
El equipo debe ejecutar un sistema operativo servidor Windows Server 2008 con Service Pack 3 o superior, o
cliente Windows XP.
Debe tener instalado el Explorador de Internet versin 5.01 o superior.
Se requiere un analizador XML para que la herramienta funcione correctamente. Es recomendado que se
instale el analizador MSXML.
El servicio WWW es requerido si deseamos realizar un chequeo de vulnerabilidades en el servicio local de IIS.

El agente de Windows Update 2.0 es requerido para escanear las actualizaciones disponibles.
Para ejecutar MBSA, debe estar utilizando una cuenta con privilegios de Administrador local del equipo analizador y
analizado, es decir, local y remoto.
Tambin es requerido que en el equipo local o analizador donde se ejecuta MBSA tenga acceso a Internet, ya que se
bajar un catlogo, para utilizar desconectado, desde el sitio Web de Microsoft. Si una copia antigua del catlogo fue
bajada en un anlisis anterior, la herramienta intentar utilizar esta copia si la conexin a Internet no es permitida o
falla. El catalogo es usado para realizar el escaneo del equipo remoto con respecto al sitio de actualizacin de Microsoft.
Formas de uso
La herramienta permite dos formas de utilizacin:
Una interfaz grfica basada en una pgina Web a travs de la cual se puede realizar el chequeo de un equipo
por medio de su nombre dentro del dominio o a travs de su direccin IP de red. Tambin se puede realizar el
chequeo de varios equipos introduciendo el nombre del dominio o el rango de direcciones a chequear. En
ambas formas el asistente tiene varias opciones de chequeo las cuales se pueden cambiar seleccionando o no
las mismas.
A travs de la lnea de comando se puede tambin realizar el chequeo de uno o ms equipos con un poco ms
de detalle en cuando a las opciones del chequeo.
Utilizacin de la herramienta
A travs de la interfaz grfica como de la lnea de comando se puede chequear a grandes rasgos los siguientes temas:
Chequeo de vulnerabilidades del sistema operativo Windows

Chequeo de contraseas
Chequeo de vulnerabilidades de IIS
Chequeo de vulnerabilidades de SQL
Chequeo de actualizaciones de seguridad
Entre las vulnerabilidades del sistema operativo que se pueden llegar a encontrar se encuentran por ejemplo la cantidad
de miembros dentro del grupo de administradores locales del equipo, el sistema de archivos utilizado, si el Firewall est
activo o no, etc.
Respecto a las contraseas se analizar la presencia de cuentas con contrasea en blanco y otros inconvenientes.
Los chequeos de vulnerabilidad de IIS darn una idea de los riesgos y de la misma forma para el caso de un servidor SQL.
Realizar el chequeo contra los servidores internos de actualizacin, a travs de esta opcin solo se instalarn en el equipo
las actualizaciones aprobadas por la empresa. En este caso no se utilizar el sitio de actualizacin de Microsoft ni algn
catlogo que haya sido bajado anteriormente.
Realizar el chequeo contra los servidores de actualizacin de Microsoft. En este caso se bajar un catlogo para utilizar
en la determinacin de actualizaciones faltantes.

Ejercicio:
Descargar e instalar la herramienta MBSA.

Realizar un escaneo de vulnerabilidades en su equipo de Windows Server 2008.
Elaborar un resumen con las principales opciones que muestra el informe de MBSA.

Prctica2: Instalacin y Configuracin de WSUS

Identificar los requerimientos de hardware y software de WSUS

Instalar la herramienta en equipos con Windows Server 2008
Configurar las opciones necesarias para programar las descargas automticas
en equipos con Windows XP
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
Windows Server Update Services permite descargar actualizaciones de seguridad para los sistemas operativos Microsoft.
Mediante Windows Server Update Services (WSUS), los administradores pueden manejar centralmente la distribucin
de parches a travs de Actualizaciones automticas a todos los computadores de la red corporativa. Una de las
principales ventajas con el uso de esta herramienta es que ahorra ancho de banda, tiempo y espacio de almacenamiento
debido a que las computadoras no necesitan conectarse individualmente a los servidores externos a la corporacin, sino
que se conectan a los servidores locales.

PROCEDIMIENTO
Para la implementacin de WSUS en Windows Server 2008 se muestra un listado de requisitos mnimos de software a
continuacin:
Requisitos previos para servidores de WSUS
Windows Server 2008 SP1 o posterior

Microsoft Internet Information Services (IIS) 6.0 o posterior
Microsoft .NET Framework 2.0
Microsoft Report Viewer Redistribuible 2005
Requisitos previos para usar la consola de administracin de WSUS 3.0
Windows XP SP2, Windows 7 o Windows Server 2008

Microsoft Management Console 3.0
Microsoft Report Viewer Redistribuible 2005
INSTALACIN DEL SERVICIO
Una vez que hayamos cumplido con los requisitos de software estaremos listos para llevar a cabo la instalacin siguiendo
estos pasos:
1. Haciendo clic al archivo WSUSSetup_30SP1_x86.exe se inicia el asistente de instalacin

2. En la primera pantalla escogemos el tipo de instalacin que llevaremos a cabo. Se recomienda la instalacin de
servidor completa incluyendo la consola de administracin.
3. Luego debemos configurar la bases de datos que utilizar el servicio. Podemos tener instalado un SQL Server
2005 ya en el equipo y utilizarlo o bien tenerlo instalado en otro servidor y utilizarlo o bien dejar que WSUS
instale el SQL Server Embedded Edition como paso de la implementacin. Si elegimos el ltimo caso debemos
elegir nuevamente el disco y el directorio que utilizar para dicha instalacin.
4. Como ltimo paso de la instalacin debemos seleccionar si va a utilizar el Sitio Web por defecto del IIS o si
queremos que genere uno nuevo. Se recomienda que utilicen el que viene por defecto y luego se le configura
seguridad al mismo, pero se asume que el servidor ser WSUS dedicado.
CONFIGURACIN DEL SERVICIO
Al finalizar la instalacin se iniciar un asistente para la configuracin inicial. Sugiero que se haga en ese momento.
Debemos garantizar que el equipo pueda conectarse a Internet (Microsoft Update Site) o bien al servidor WSUS de
Updates superior para poder conseguir los parches. En caso de no poder comunicarse a Internet verificar ms abajo qu
es necesario para la conexin a internet.
WSUS requiere acceso a ciertos sitios de Internet que deberan estar habilitados en el Firewall o en el Proxy server de la
red corporativa. Los sitios son los siguientes:
http://windowsupdate.microsoft.com
http://*.windowsupdate.microsoft.com
https://*.windowsupdate.microsoft.com
http://*.update.microsoft.com
https://*.update.microsoft.com
http://*.windowsupdate.com

http://download.windowsupdate.com
http://download.microsoft.com
http://*.download.windowsupdate.com
http://wustat.windows.com
http://ntservicepack.microsoft.com
Se debe garantizar el acceso a dichos links para que WSUS funcione correctamente. Este es un punto que se puede
resolver previo a la instalacin del servicio as no tendr problemas a la hora de descargar los parches. A continuacin
se detallan los pasos a seguir para configurar WSUS:
1. El primer paso de configuracin es definir si el servidor va a bajar los parches desde Microsoft Update o los va
a sincronizar de otro servidor de WSUS.
2. En el siguiente paso debemos definir si va a utilizar un servidor Proxy para el acceso a internet o si se conecta
directamente. Una vez configurado el acceso a internet el servidor ya intentar conectarse para poder bajar la
lista de productos actualizada, lenguajes disponibles y tipos de parches.
3. Si la conexin fue exitosa podremos configurar el lenguaje de los parches, los productos de los cuales queremos
que chequee los parches y adems la clasificacin de los parches que deseamos, ya sean Updates, Security
Updates, Critical Updates, Service Packs, etc. Luego de seleccionar estos tres parmetros debemos configurar
el calendario de sincronizacin de cundo queremos que se conecte a internet a bajar dichos parches.
4. Como ltimo paso nos va a preguntar si queremos abrir la consola administrativa al finalizar la configuracin y
si queremos que inicie la sincronizacin inicial. Estos pasos son optativos, es ms podemos obviar la
sincronizacin si queremos y dejarla programada para la noche para no saturar el acceso a Internet.
El servidor ya est listo para operar y entregar parches a las PCs y Servidores que configuremos.
EJERCICIO
Definir una Directiva de Grupo en el servicio de directorio activo para configurar las polticas
necesarias para que los clientes Windows XP, 7 o posterior puedan obtener las
actualizaciones automticas desde el servidor WSUS.
Verificar las configuraciones principales de WSUS, descargando una actualizacin y
aplicndola al cliente Windows XP, 7 o posterior.


Prctica3: Polticas de grupo

Crear Directivas de Seguridad para un Dominio, Controlador de Dominio

y Unidades Organizativas.
Realizar auditoras a los objetos de Active Directory para comprobar las
Directivas de Seguridad asignadas.
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
Un objeto de directiva de grupo (GPO: Group Policy Object) es un conjunto de una o ms polticas del sistema. Cada una
de las polticas del sistema establece una configuracin del objeto al que afecta. Por ejemplo, tenemos polticas para:
Establecer el ttulo del explorador de Internet

Ocultar el panel de control
Deshabilitar el uso de REGEDIT.EXE y REGEDT32.EXE
Establecer qu paquetes MSI se pueden instalar en un equipo
Creacin de un GPO
El primer paso en la implementacin de una Directiva de Grupo es crear un GPO. Recuerde que un GPO es una coleccin
de configuraciones de Polticas de Grupo.
Para crear un GPO, completaremos los siguientes pasos:
1. Determinar si el GPO que estamos creando estar vinculado a un Sitio, Dominio o Unidad Organizativa.
2. Clic derecho al Sitio, Domino o Unidad Organizativa al cual queremos crear un GPO, y luego seleccionamos
Propiedades.
3. En el cuadro de dilogo de Propiedades, seleccionamos Directiva de Grupo. All damos clic al botn Nuevo y
escribimos el nombre que queremos asignar al GPO. Por defecto, el nuevo GPO estar vinculado al Sitio,
Dominio o Unidad Organizativa que fue seleccionada, as que las configuraciones sern aplicadas a dicho
objeto.

4. Finalmente cerramos el cuadro de dilogo.
Creacin de un MMC para un GPO
Despus de haber creado el GPO, deberamos de crear una consola con MMC. Cuando usted crea un MMC para un GPO,
usted puede abrirlo siempre que sea necesario desde el men de Herramientas Administrativas.
Para crear un MMC para el GPO, completaremos los siguientes pasos:
1. Inicie el programa MMC desde Ejecutar.

2. En el men Archivo, de clic a Agregar/Remover Snap-in.
3. En el cuadro Agregar/Remover Snap-in, de clic al botn Agregar.
4. En el siguiente cuadro de dilogo, seleccione Editor de Objetos de Polticas de Grupo y de clic a Agregar.
5. En la pgina Objeto de Directiva de Grupo, de clic en Examinar para encontrar el GPO para el cual quiere crear
el MMC.
6. En siguiente cuadro de dilogo seleccione el nombre del GPO, y de clic en Aceptar.
7. En la pgina de Objeto de Directiva de Grupo, de clic a Finalizar, y luego cierre el siguiente cuadro de dilogo.
8. En el cuadro Agregar/Remover Snap-in, de clic a Aceptar.
9. En el men Archivo, de clic en Guardar como
10. Escriba el nombre del GPO y gurdelo. Ahora el GPO estar disponible en el men de las Herramientas
Administrativas.
Delegacin de control del GPO
Despus de haber creado el GPO, es importante determinar qu grupos de administradores tendrn permiso de acceso
al GPO.
Para delegar el control a un GPO, completaremos los siguientes pasos:
1. Accedemos al Editor de Polticas de Grupo para el GPO.

2. Clic derecho al nodo raz del GPO y seleccionamos Propiedades.
3. En el cuadro de dilogo, clic a Seguridad, luego seleccionamos el grupo de seguridad para el cual queremos
permitir o denegar el acceso administrativo al GPO.
4. Para proporcionar control administrativo de todos los aspectos del GPO, marcamos Permitir a los permisos de
Lectura y Escritura.
5. Finalmente clic en Aceptar.

Configuracin de Directivas de Seguridad
Para configurar el conjunto de Directivas de Seguridad, complete los siguientes pasos:
1. Acceda al Editor de Polticas de Grupo del GPO.

2. Extienda el nodo que representa la configuracin de poltica que quiere configurar. Por ejemplo:
Configuracin de usuarios, Plantillas administrativas, Men Inicio y Barra de tareas.
3. En el panel de detalles, clic derecho en el parmetro que desea modificar y luego Propiedades.
4. En el cuadro de dilogo del parmetro de Directiva de Seguridad, puede seleccionar Permitir para aplicar la
configuracin. La opcin No configurada significa que ningn cambio se aplicar. Deshabilitado significa que
el registro indicar que la configuracin no aplica a los usuarios o computadoras sujetos al GPO.
Ejercicio:
Investigar por lo menos 20 diferentes Directivas de Seguridad que se pueden

implementar, tanto para Dominios como para Unidades Organizativas.
Documentar el nombre de la poltica y la ubicacin dentro de la ventana del Editor
de Directivas de Seguridad.
Aplicar las polticas de grupo a la Unidad Organizativa y verificar su funcionamiento
en los clientes Windows XP, 7 o posterior.

Prctica4: Sistema de Cifrado de Archivos (EFS)

Al finalizar la prctica, el estudiante ser capaz de:
Cifrar y descifrar un archivo o carpeta aplicando EFS

Copiar una carpeta cifrada.
Restaurar archivos cifrados en equipos diferentes.
Realizar una copia de seguridad de los certificados de cifrado.
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet

INTRODUCCIN TERICA
El Sistema de Cifrado de Archivos (EFS) incluido con el sistema operativo Windows Server 2008 se basa en el cifrado de
claves pblicas y aprovecha la arquitectura CryptoAPI de Windows Server 2008. Cada archivo se cifra mediante una clave
de cifrado de archivo generada aleatoriamente, que es independiente del par de claves pblica/privada.
El cifrado de archivos se puede realizar con cualquier algoritmo de cifrado simtrico. La versin de EFS utiliza el Estndar
de cifrado de datos X, o DESX (128 bits en Norteamrica y 40 bits en los dems pases) como algoritmo de cifrado. En
versiones posteriores se utilizarn otros esquemas de cifrado. EFS admite el cifrado y descifrado de archivos
almacenados en unidades locales y en servidores de archivos remotos.
Interaccin con el usuario
La configuracin predeterminada de EFS permite a los usuarios cifrar archivos sin ningn trabajo administrativo. EFS
genera un par de claves pblicas y un certificado de cifrado de archivos cuando el usuario cifra por primera vez un
archivo.
El cifrado y descifrado de archivos se realiza para cada archivo o para toda una carpeta, incluidas todas las subcarpetas.
El cifrado de carpetas se aplica de forma transparente. Todos los objetos creados en una carpeta que estn marcados
para cifrado se cifran automticamente. Cada archivo tiene su propia clave de cifrado nica, lo que permite cambiar el
nombre del archivo de forma segura. Si al cambiar el nombre de un archivo, ste pasa de una carpeta cifrada a una no
cifrada del mismo volumen, el archivo permanecer cifrado. Sin embargo, si copia un archivo no cifrado a una carpeta
cifrada, cambiar el estado del archivo. En ese caso, el archivo sigue estando cifrado. Se proporcionan herramientas de
lnea de comandos e interfaces administrativas para usuarios avanzados y agentes de recuperacin.
Recuperacin de datos
EFS proporciona compatibilidad integrada con la recuperacin de datos. La infraestructura de seguridad de Windows
Server 2008 exige la configuracin de claves de recuperacin de datos. Slo se puede utilizar el cifrado de archivos si el
sistema est configurado con una o varias claves de recuperacin. EFS permite que los agentes de recuperacin
configuren claves pblicas que sirvan para recuperar los datos cifrados si un usuario abandona la organizacin. Con la
clave de recuperacin slo se tiene acceso a la clave de cifrado del archivo, no a la clave privada del usuario. Esto
garantiza que no se revelar otra informacin privada al agente de recuperacin. La recuperacin de datos est diseada
para las organizaciones que necesitan recuperar los datos cifrados por un empleado.
Mediante la Directiva de grupo se puede definir una directiva de recuperacin en un dominio de Windows Server 2008.
La directiva se aplica a todos los equipos del dominio y la controlan los administradores del dominio, que suelen delegar
el control a las cuentas de administrador de seguridad de datos designadas. Esto proporciona un mayor control y
flexibilidad con respecto a los usuarios que disponen de autorizacin para recuperar datos cifrados. EFS admite varios
agentes de recuperacin al permitir distintas configuraciones de recuperacin de datos. Estas caractersticas
proporcionan a las organizaciones redundancia y flexibilidad a la hora de implementar sus procedimientos de
recuperacin.

Escenarios de uso
Cifrar una carpeta o un archivo
1. En Windows XP, inicie sesin como usuario.

2. Haga clic en el botn Inicio, seleccione Programas, Accesorios y, a continuacin, haga clic en Explorador
de Windows.
3. Haga clic con el botn secundario del mouse (ratn) en el nombre de carpeta o archivo con el que desea trabajar
(en este ejemplo, la carpeta que se ha creado bajo Mis documentos llamada Archivos cifrados) y, a
continuacin, seleccione Propiedades.
4. En la ficha General, en el cuadro de dilogo Propiedades de Archivos cifrados, haga clic en Opciones avanzadas.
5. En el cuadro de dilogo Atributos avanzados, active la casilla de verificacin Cifrar contenido para proteger
datos, y despus, haga clic en Aceptar.
6. En el cuadro de dilogo Propiedades de Archivos cifrados, haga clic en Aceptar.
7. Puede que se le pida que elija entre cifrar la carpeta y todo su contenido o slo la carpeta. Si la carpeta est
vaca, no aparecer este mensaje. Si la carpeta contiene objetos, elija cifrar la carpeta y su contenido y, despus,
haga clic en Aceptar.
8. Aparecer un cuadro de dilogo en el que se indicar el estado de cifrado de la carpeta o archivo. Haga clic en
Aceptar.
Descifrar una carpeta o un archivo
Al igual que con el cifrado, puede utilizar el Explorador de Windows o una utilidad de la lnea de comandos para descifrar
una carpeta o un archivo. En esta seccin se describen ambos procedimientos. Tenga en cuenta que no necesita descifrar
un archivo para abrirlo y modificarlo. Descifre un archivo para permitir que otros usuarios lo utilicen.
1. Haga clic en el botn Inicio, seleccione Programas, Accesorios y luego Explorador de Windows.
2. Haga clic con el botn secundario del mouse en el nombre de carpeta o archivo y, despus, elija Propiedades.
3. En la ficha General, en el cuadro de dilogo Propiedades, haga clic en Opciones avanzadas.
4. En el cuadro de dilogo Atributos avanzados, active la casilla de verificacin Cifrar contenido para proteger
datos y, despus, haga clic en Aceptar.
5. En el cuadro de dilogo Propiedades de Archivos cifrados, haga clic en Aceptar.
6. Se le pedir que elija entre descifrar la carpeta y todo su contenido o slo la carpeta. Active la casilla de
verificacin Aplicar cambios a esta carpeta y a todas las subcarpetas y archivos y, a continuacin, haga clic en
Aceptar.
Nota: Se recomienda que cifre carpetas y no archivos individuales, ya que muchas aplicaciones no son compatibles con
el cifrado y pueden procesar el archivo en texto sin cifrar.
Copiar una carpeta cifrada o un archivo cifrado
En esta seccin se explican los procedimientos y las limitaciones de copiar carpetas o archivos cifrados en el mismo
volumen o desde un volumen a otro.
Para copiar un archivo o una carpeta en el mismo equipo entre particiones NTFS de una ubicacin de
Windows Server 2008. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el
Explorador de Windows o el smbolo del sistema. La copia estar cifrada.
Para copiar un archivo o una carpeta en el mismo equipo desde una particin NTFS de un volumen de
Windows Server 2008 a una particin FAT (Tabla de asignacin de archivos). Copie el archivo o la carpeta como

si se tratara de un archivo sin cifrar. Utilice el Explorador de Windows o el smbolo del sistema. Puesto que el
sistema de archivos de destino no admite el cifrado, la copia no estar cifrada.
Para copiar un archivo o una carpeta a un equipo diferente cuando ambos utilizan particiones NTFS de
Windows Server 2008. Copie el archivo o la carpeta como si se tratara de un archivo sin cifrar. Utilice el
Explorador de Windows o el smbolo del sistema. Si el equipo remoto permite cifrar archivos, la copia estar
cifrada; de lo contrario, no lo estar. Tenga en cuenta que el equipo remoto debe ser de confianza para la
delegacin; en un entorno de dominio, el cifrado remoto no est habilitado de manera predeterminada.
Hacer una copia de seguridad de una carpeta cifrada o un archivo cifrado
Hacer una copia de seguridad mediante una copia. Las copias de seguridad creadas con el comando o la opcin
de men Copiar pueden dar lugar a texto sin cifrar, como se explic anteriormente en la seccin Copiar una
carpeta cifrada o un archivo cifrado.
Hacer una copia de seguridad mediante la utilidad Copia de seguridad de Windows Server 2008 o cualquier
utilidad de copia de seguridad compatible con las caractersticas de Windows Server 2008. ste es el mtodo
recomendado para hacer una copia de seguridad de los archivos cifrados. La copia de seguridad mantendr el
cifrado de los archivos, y el operador de la copia de seguridad no necesitar tener acceso a las claves privadas
para hacer la copia de seguridad; slo deber tener acceso al archivo o a la carpeta para realizar esta tarea.
Restaurar una carpeta cifrada o un archivo cifrado
Las operaciones de restauracin son similares a las utilizadas para crear copias de seguridad de archivos cifrados. En esta
seccin se explican los procedimientos y las limitaciones para restaurar copias de seguridad de archivos cifrados en el
mismo equipo donde se realiz la copia y en un equipo diferente.
Restaurar mediante una copia. Los archivos restaurados creados con el comando o la opcin de men Copiar
pueden dar lugar a texto sin cifrar, como se explic anteriormente en la seccin Copiar una carpeta cifrada o
un archivo cifrado.
Restaurar mediante la utilidad Copia de seguridad de Windows Server 2008 o cualquier utilidad de copia de
seguridad compatible con las caractersticas de Windows Server 2008. ste es el mtodo recomendado para
restaurar archivos cifrados. La operacin de restauracin mantiene el cifrado de los archivos y el agente de
restauracin no necesita tener acceso a las claves privadas para restaurarlos. Una vez finalizada la restauracin,
el usuario con la clave privada puede utilizar normalmente el archivo.
Restaurar archivos en un equipo diferente
Si desea poder utilizar archivos cifrados en un equipo distinto del que se us para cifrar los archivos, debe asegurarse de
que el certificado de cifrado y la clave privada asociada estn disponibles en el otro sistema. Para ello, puede utilizar un
perfil mvil o mover manualmente las claves.
Utilizar un perfil mvil. Pida al administrador que le configure un perfil mvil si an no dispone de uno. Cuando
tenga el perfil mvil, utilizar las mismas claves de cifrado en todos los equipos en los que inicie sesin con esa
cuenta de usuario. Tenga en cuenta que aunque utilice perfiles mviles, tal vez desee hacer una copia de
seguridad del certificado de cifrado y la clave privada. Sin embargo, si pierde las claves que le permiten descifrar
un archivo, puede pedir al agente de recuperacin designado (el administrador local o del dominio, de forma
predeterminada) que recupere los archivos cifrados.
Mover manualmente las claves. Antes de contemplar la posibilidad de mover las claves manualmente, debe
realizar una copia de seguridad del certificado de cifrado y de la clave privada. Despus podr restaurar el
certificado y la clave en otro sistema.

Para hacer una copia de seguridad del certificado de cifrado y de la clave privada
1. Para iniciar Microsoft Management Console (MMC), haga clic en el botn Inicio y en Ejecutar, escriba mmc en
el cuadro Abrir y, a continuacin, haga clic en Aceptar.
2. En el men Consola, haga clic en Archivo, en Agregar o quitar complemento y luego en Agregar.
3. Busque y haga clic en el complemento Certificados y, despus, haga clic en Agregar. Haga clic en Cerrar y luego
en Aceptar.
4. Busque los certificados EFS en el almacn de certificados Personales. Haga clic en el signo ms (+) situado junto
a Certificados: usuario actual. Expanda la carpeta Personal y, a continuacin, haga clic en Certificados. Nota: La
columna Propsitos planteados del certificado correspondiente indicar el Sistema de archivos de cifrado.
5. Haga clic con el botn secundario del mouse en el certificado, haga clic en Todas las tareas y despus en
Exportar. Se iniciar el Asistente para exportacin de certificados. Haga clic en Siguiente.
6. Active la casilla de verificacin Exportar la clave privada y, a continuacin, haga clic en Siguiente.
7. El formato de exportacin disponible es Intercambio de informacin personal: PKCS#12 (.PFX). Compruebe que
la casilla de verificacin Permitir proteccin segura est activada y, a continuacin, haga clic en Siguiente.
8. Especifique y confirme una contrasea para proteger el certificado exportado y, despus, haga clic en Siguiente.
9. Especifique la ruta de acceso y el nombre de archivo donde desea almacenar el certificado exportado. Haga clic
en Siguiente y luego en Finalizar para finalizar la exportacin del certificado. Haga clic en Aceptar para
confirmar que la exportacin se ha realizado correctamente.
10. Cierre la consola MMC.
Para restaurar el certificado de cifrado y la clave privada en un sistema diferente
1. Copie el archivo .pfx creado anteriormente en un disquete o un recurso compartido de red.

2. En el otro sistema, haga clic en el botn Inicio para iniciar el complemento Certificados, haga clic en Ejecutar,
escriba mmc y, a continuacin, haga clic en Aceptar.
3. En el men Consola, haga clic en Archivo, en Agregar o quitar complemento y luego en Agregar.
4. Busque y haga clic en el complemento Certificados y, despus, haga clic en Agregar. Si se le indica, active la
casilla de verificacin Mi cuenta de usuario y, a continuacin, haga clic en Finalizar.
5. Haga clic en Cerrar y luego en Aceptar.
6. Haga clic en el signo ms (+) para expandir Certificados: usuario actual.
7. Haga clic con el botn secundario del mouse en la carpeta Personal, haga clic en Todas las tareas y luego en
Importar.
8. Haga clic en Siguiente. Se iniciar el Asistente para importacin de certificados.
9. Especifique la ruta de acceso al archivo .pfx creado anteriormente y, a continuacin, haga clic en Siguiente.
Especifique la contrasea para tener acceso a los datos de certificado y, despus, haga clic en Siguiente.
10. Haga clic en la casilla de verificacin Colocar todos los certificados en el siguiente almacn (opcin
predeterminada) y, a continuacin, haga clic en Siguiente.
11. Haga clic en Finalizar. Cuando termine la importacin, haga clic en Aceptar para cerrar el asistente.
Cuando disponga de las mismas claves, podr utilizar de forma transparente los archivos cifrados de los que se haya
hecho una copia de seguridad en otro equipo.

Carpetas y archivos en un servidor remoto
Puede cifrar y descifrar archivos de forma transparente y utilizar archivos cifrados en un servidor remoto. Para ello, debe
tener acceso a esos archivos de forma remota o iniciar sesin localmente en el otro equipo. Sin embargo, tenga en
cuenta que cuando mueve archivos cifrados mediante los mecanismos de copia de seguridad y restauracin, debe
asegurarse de que tambin se mueven el certificado de cifrado y las claves privadas correspondientes para poder utilizar
los archivos cifrados en sus nuevos destinos. Sin las claves privadas correctas no podr abrir ni descifrar los archivos.
Nota: Si abre el archivo cifrado a travs de la red, los datos que se transmiten por la red mediante este proceso no estn
cifrados. Deben utilizarse otros protocolos, como Nivel de sockets seguro/Tecnologa de comunicaciones personales
(SSL/PCT) o Seguridad del Protocolo Internet (IPSec), para cifrar datos a travs de la red.

Prctica5: Auditoria de Eventos

Al finalizar la prctica, el estudiante ser capaz de:
Usar el Visor de Sucesos para dar seguimiento a las actividades que registra
Windows Server 2008.
Habilitar la auditora de objetos de Active Directory.
Verificar los registros de seguridad de los eventos auditados.
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
Establecer una poltica de auditora es una parte importante de la seguridad. Monitorizar la creacin o modificacin de
objetos nos da una va de seguimiento a problemas potenciales de seguridad, ayudando a asegurar la responsabilidad
de usuario, y proporcionando evidencias en el evento de una brecha de seguridad.
Una poltica de auditora define el tipo de eventos de seguridad que Windows Server 2008 graba en el registro de
seguridad de cada equipo. Windows Server 2008 registra los eventos de seguridad en el equipo especfico donde el
evento ha sucedido.
Una entrada de auditora en el registro de seguridad contiene la informacin siguiente:

La accin que se realiz.

El usuario que realiz la accin.
El xito o el error del suceso y la hora a la que se produjo el suceso.
Establecemos una poltica de auditora para un equipo para:
Seguir los eventos correctos y errneos, como los intentos de inicio de sesin, los intentos de un usuario en
concreto para leer un archivo especfico, cambios en una cuenta de usuario o pertenencia a grupo y cambios
en la configuracin de seguridad.
Minimizar el riesgo de un uso no autorizado de recursos.
Mantener un registro de la actividad de usuario y de administrador.
Usaremos el visor de sucesos para ver los eventos que Windows Server 2008 graba en el registro de seguridad. Tambin
podemos guardar los registros para seguir pautas en el tiempo. Esto es til para determinar aquellas pautas en el uso de
impresoras, accesos a archivos e intentos y uso no autorizado de recursos.
Podemos establecer una poltica de auditora en un slo equipo, directamente usando el Complemento de Directiva
Local o indirectamente mediante Directiva de grupo que es la que ms se utiliza en organizaciones grandes. Despus de
que una poltica de auditora es diseada e implementada, el registro de seguridad comienza a grabar informacin. Cada
equipo de la organizacin tiene su propio registro de seguridad separado que graba los eventos locales.
Cuando implementamos una poltica de auditora:
Especificamos las categoras de los eventos que queremos auditar. No hay poltica de auditora predeterminada.
Establecemos el tamao y comportamiento del registro de seguridad. Podemos verlo desde el Visor de Sucesos.
Determinamos a que objetos queremos monitorizar su acceso y de qu tipo de acceso, si queremos auditar el
acceso al servicio de directorio o el acceso a objetos.
Los valores de auditora por defecto para servidores son configurados administrativamente mediante plantillas.
Microsoft Windows Server 2008 incluye varias plantillas de seguridad predefinidas que puede aplicar para aumentar el
nivel de seguridad de la red. Puede modificar las plantillas de seguridad de acuerdo con sus requisitos utilizando Plantillas
de seguridad en Microsoft Management Console (MMC). Las siguientes plantillas configuran valores de auditora
predeterminadas:
Setup security.inf
Hisecdc.inf
Hisecws.inf
Securedc.inf
Securews.inf
Para ver los valores que cada plantilla configura, en el complemento de Plantillas de seguridad navegamos a Directivas
Locales\Directivas de Auditora para cada plantilla.

Para habilitar la auditora de objetos de Active Directory:
Configure una opcin de directiva de auditora para un controlador de dominio. Cuando configura una opcin
de directiva de auditora puede auditar objetos pero no puede especificar el objeto que desea auditar.
Configure la auditora para determinados objetos de Active Directory. Despus de especificar los sucesos que
desea auditar para archivos, carpetas, impresoras y objetos de Active Directory, Windows Server 2008 hace un
seguimiento y registra estos sucesos.
Para configurar una opcin de directiva de auditora para un controlador de dominio:
1. Ingrese a Usuarios y equipos de Active Directory.
2. En el men Ver, haga clic en Caractersticas avanzadas.
3. Haga clic con el botn secundario en Controladores de dominio y, a continuacin, haga clic en Propiedades.
4. Haga clic en la ficha Directiva de grupo, haga clic en Directiva predeterminada de controladores de dominio y,
despus, haga clic en Editar.
5. Haga clic en Configuracin del equipo, haga doble clic en Configuracin de Windows, Configuracin de
seguridad y Directivas locales y, despus, haga doble clic en Directiva de auditora.
6. En el panel derecho, haga clic con el botn secundario en Auditar el acceso del servicio de directorio y, a
continuacin, haga clic en Propiedades.
7. Haga clic en Definir esta configuracin de directiva y, a continuacin, haga clic para activar una o ambas de las
casillas de verificacin siguientes:
o xito: haga clic para activar esta casilla de verificacin si desea auditar los intentos correctos para la
categora de sucesos.
o Error: haga clic para activar esta casilla de verificacin si desea auditar los intentos fallidos para la
categora de sucesos.
8. Haga clic con el botn secundario en cualquier otra categora de sucesos que desee auditar y, a continuacin,
haga clic en Propiedades.
9. Haga clic en Aceptar.
o Los cambios que realiza en la configuracin de la directiva de auditora del equipo slo surten efecto
cuando la configuracin de la directiva se propaga o se aplica a su equipo. Espere a que se realice la
propagacin automtica de la directiva que tiene lugar a intervalos peridicos que puede configurar.
De forma predeterminada, la propagacin de la directiva se produce cada cinco minutos.
10. Abra el registro de seguridad para ver los sucesos registrados.

Configurar la auditora para determinados objetos de Active Directory
Despus de configurar una opcin de directiva de auditora, puede configurar la auditora para determinados objetos
como usuarios, equipos, unidades organizativas o grupos, especificando tanto los tipos de acceso como los usuarios cuyo
acceso desea auditar. Para configurar la auditora para determinados objetos de Active Directory:
1. Ingrese a Usuarios y equipos de Active Directory.
2. Asegrese de que el comando Caractersticas avanzadas est seleccionado en el men Ver; para ello,
compruebe que el comando tenga una marca de verificacin al lado.
3. Haga clic con el botn secundario en el objeto de Active Directory que desee auditar y, a continuacin, haga clic
en Propiedades.
4. Haga clic en la ficha Seguridad y, despus, haga clic en Opciones avanzadas.
5. Haga clic en la ficha Auditora y, a continuacin, haga clic en Agregar.
6. Realice uno de los pasos siguientes:
o Escriba el nombre del usuario o el grupo cuyo acceso desea auditar en el cuadro Escriba el nombre de
objeto a seleccionar y haga clic en Aceptar.
o En la lista de nombres, haga doble clic en el usuario o el grupo cuyo acceso desee auditar.
7. Haga clic para activar las casillas Correcto o Error correspondientes a las acciones que desee auditar y, a
continuacin, haga clic en Aceptar.
8. Haga clic en Aceptar y, despus, haga clic de nuevo en Aceptar.
Utilice el Visor de sucesos para ver los sucesos que Windows Server 2008 graba en el registro de seguridad. Tambin
puede almacenar los archivos de registro para realizar un seguimiento de las tendencias a lo largo del tiempo. Por
ejemplo, si desea conocer el uso de impresoras o archivos, o si desea comprobar el uso de recursos no autorizados.
Ejercicio:
Activar 5 eventos que permitan auditar el acceso a los recursos del servidor, luego realizar
las pruebas desde clientes Windows XP para verificar los registros de seguridad y confirmar
la efectividad de la auditora.
Revisar las configuraciones por defecto que proporcionan las plantillas administrativas
Securedc.inf y Securews.inf.


Prctica6: Recuperacin del Sistema

Identificar las posibles causas de fallas del sistema.

Iniciar la consola de recuperacin del sistema desde el CD de instalacin.
Realizar las operaciones necesarias para la recuperacin del sistema.
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
El men Opciones de recuperacin del sistema en esta versin de Windows contiene varias herramientas que pueden
ayudarle a recuperar Windows de un error grave. Puede realizar reparaciones en los archivos que Windows utiliza para
iniciarse, realizar una operacin de restauracin con Restaurar sistema y restaurar completamente el equipo y los
archivos de sistema mediante copias de seguridad realizadas previamente.
El men Opciones de recuperacin del sistema se encuentra en el disco de instalacin de Windows. El men se puede
instalar tambin en el disco duro si el equipo tiene opciones de recuperacin preinstaladas.
PROCEDIMIENTO
Para ejecutar la consola de recuperacin, siga estos pasos:
1. Configure el equipo para iniciarse desde la unidad de CD-ROM o DVD-ROM. Para obtener informacin acerca
de cmo hacerlo, consulte la documentacin del equipo o pngase en contacto con su fabricante.
2. Inserte el CD-ROM de Windows Server 2008 o en la unidad de CD o de DVD.
3. Reinicie el equipo.
4. Cuando reciba el mensaje que le pide que presione alguna tecla para iniciar desde el disco compacto, hgalo e
iniciar el sistema desde el CD-ROM de Windows Server 2008.
5. Cuando aparezca la pantalla Programa de instalacin, presione la tecla R para iniciar la consola de recuperacin.
6. Seleccione la instalacin de Windows a la que debe tener acceso desde la consola de recuperacin.
7. Siga las instrucciones que aparecen en la pantalla, escriba la contrasea de administrador y presione ENTRAR.

8. En el smbolo del sistema, escriba los comandos de la consola de recuperacin apropiados para reparar la
instalacin de Windows Server 2008.
9. Para salir de la consola de recuperacin y reiniciar el equipo, escriba exit en el smbolo del sistema y presione
ENTRAR.
Para obtener una lista de los comandos disponibles en la consola de recuperacin, escriba help en el smbolo del sistema
y presione ENTRAR.
COMANDOS DE LA CONSOLA DE RECUPERACIN
La lista siguiente describe los comandos disponibles para la consola de recuperacin:
Bootcfg: se usa para la configuracin del inicio y la recuperacin. Puede usar el comando bootcfg para hacer
cambios en el archivo Boot.ini.
CD (Chdir): slo funciona en los directorios de sistema de la instalacin actual de Windows, en los medios
extrables, en el directorio raz de cualquier particin del disco duro y en los orgenes de instalacin locales.
Chkdsk: el modificador /p ejecuta Chkdsk incluso aunque la unidad no se haya marcado como "incorrecta". El
modificador /r busca posibles sectores defectuosos y recupera en ellos la informacin legible. Este modificador
implica a /p. Chkdsk requiere Autochk. Chkdsk busca automticamente Autochk.exe en la carpeta de inicio. Si
Chkdsk no puede encontrar el archivo en la carpeta de inicio, lo busca en el CD-ROM de instalacin de Windows
Server 2008. Si Chkdsk no puede encontrar el CD-ROM de instalacin, pregunta al usuario la ubicacin de
Autochk.exe.
Cls: borra la pantalla.
Del (delete): elimina un archivo. Del: funciona en los directorios de sistema de la instalacin actual de Windows,
en los medios extrables, en el directorio raz de cualquier particin del disco duro y en los orgenes de
instalacin locales.
Dir: muestra todos los archivos, incluidos los ocultos y los de sistema.
Disable: deshabilita un controlador o un servicio del sistema de Windows. El argumento nombreDeServicio
especifica el nombre del servicio o del controlador que desea deshabilitar. Cuando utiliza este comando para
deshabilitar un servicio, muestra el tipo de inicio original del servicio antes de cambiar el tipo a
SERVICE_DISABLED. Es aconsejable anotar el tipo de inicio original para que pueda usar el comando enable para
reiniciar el servicio.
Diskpart: administra las particiones en los volmenes del disco duro.
o La opcin /add crea una particin nueva.
o La opcin /delete elimina una particin existente.
o El argumento nombreDeDispositivo es el nombre del dispositivo de una particin nueva. Un ejemplo
de nombre de dispositivo de una particin nueva es \dispositivo\discoduro0.
o El argumento nombreDeUnidad es la letra de unidad de la particin que est eliminando (por ejemplo,
D:).
o NombreDeParticin es el nombre de la particin que va a eliminar y se puede usar en lugar del
argumento nombreDeUnidad. Un ejemplo de nombre de particin es
\dispositivo\discoduro0\particin1.
o El argumento tamao es el tamao en megabytes de una particin nueva.
Enable: habilita un controlador o un servicio del sistema de Windows. El argumento nombreDeServicio es el
nombre del servicio o el controlador que desea habilitar, y tipoDeInicio es el tipo de inicio de un servicio
habilitado. El tipo de inicio usa uno de los siguientes formatos
Fixboot: escribe un nuevo sector de inicio en la particin del sistema. El comando fixboot puede utilizarse
nicamente en equipos basados en x86.

Fixmbr: repara el registro de inicio principal de la particin de inicio. El argumento nombreDeDispositivo es un

nombre de dispositivo opcional que especifica el dispositivo que requiere un registro de inicio maestro nuevo.
Omita esta variable cuando el destino sea el dispositivo de inicio. El comando fixmbr puede utilizarse
nicamente en equipos basados en x86.
Listsvc: muestra todos los controladores y servicios disponibles en el equipo.
Map: muestra las asignaciones de dispositivo activas actualmente.
Cmo solucionar problemas de inicio de Windows Server 2008?
Iniciar el equipo con la ltima configuracin vlida conocida
Si el problema del inicio se produce inmediatamente despus de realizar un cambio en el equipo (por ejemplo, despus
de instalar un controlador nuevo), intente iniciar el equipo utilizando la caracterstica ltima configuracin buena
conocida.
Con La ltima configuracin vlida conocida, se inicia el equipo con la configuracin ms reciente con la que funcion
correctamente. Esta caracterstica restaura la informacin del Registro y los valores del controlador que estaban en vigor
la ltima vez que inici el equipo correctamente. Utilice esta caracterstica cuando no pueda iniciar Windows tras realizar
un cambio en el equipo (por ejemplo, despus de instalar o actualizar el controlador de un dispositivo).
Para iniciar el equipo mediante la ltima configuracin vlida conocida, siga estos pasos:
1. Haga clic en Inicio y, a continuacin, en Apagar.

2. Haga clic en Reiniciar y, despus, haga clic en Aceptar.
3. Cuando vea el mensaje Seleccione el sistema operativo que desea iniciar, presione la tecla F8.
4. Utilice las teclas de flecha para seleccionar La ltima configuracin buena conocida y presione ENTRAR.
Si est ejecutando otros sistemas operativos en el equipo, haga clic en Microsoft Windows Server 2008 en la lista que
aparece y, a continuacin, presione ENTRAR.
Seleccionando La ltima configuracin buena conocida, puede recuperarse de problemas tales como un controlador
recin agregado que resulte incorrecto para su hardware. Esta caracterstica no soluciona los problemas generados por
controladores o archivos que faltan o estn daados.
Cuando selecciona ltima configuracin buena conocida, slo se restaura la informacin de la clave:
HKLM\System\CurrentControlSet del Registro. Cualquier otro cambio realizado en las dems claves del Registro se
mantiene.
Si puede iniciar el equipo utilizando La ltima configuracin buena conocida, el ltimo cambio que realiz en el equipo
(por ejemplo, la instalacin de un controlador) puede ser la causa del comportamiento de inicio incorrecto. Se
recomienda quitar o actualizar el controlador o el programa y, a continuacin, probar si Windows se inicia
correctamente.

Solucionar el mensaje de error Falta NTLDR
Este problema puede producirse si el Sistema bsico de entrada y salida (BIOS) del equipo est obsoleto o si uno o ms
de los siguientes archivos de inicio de Windows estn daados o no se encuentran:
NTLDR
Ntdetect.com
Boot.ini
Para resolver este problema, compruebe que el BIOS del equipo est actualizado y, a continuacin, utilice uno o varios
de los mtodos siguientes, dependiendo de su situacin para reparar el entorno de inicio de Windows Server 2008.
Mtodo 1: Utilizar un disco de inicio
Para utilizar un disco de inicio para reparar el entorno de inicio de Windows, siga estos pasos:
1. Crear un disco de inicio de Windows Server 2008.

2. Modifique el archivo Boot.ini para que apunte al controlador de disco duro adecuado y el volumen correcto de
la instalacin de Windows.
3. Inserte el disco de inicio en la unidad de disco y, a continuacin, reinicie el equipo.
4. Copie los archivos Ntldr, Ntdetect.com y Boot.ini del disco de inicio a la particin de sistema del disco duro local.
Mtodo 2: Utilizar la consola de recuperacin
Para utilizar la consola de recuperacin para reparar el Windows entorno de inicio, siga estos pasos:
1. Utilice el CD-ROM de Windows Server 2008 para reiniciar el equipo.

2. En la pantalla programa de instalacin, presione R para reparar la instalacin de Windows Server 2008.
3. Para utilizar la consola de recuperacin para reparar la instalacin de Windows Server 2008, presione C.
4. Escriba el nmero correspondiente a la instalacin de Windows que desea reparar y, a continuacin, presione
ENTRAR. Para obtener ms informacin acerca de la consola de recuperacin, consulte el tema "Introduccin a
consola de recuperacin" en Ayuda de Windows Server 2008 y soporte tcnico.
5. Escriba la contrasea del administrador y, a continuacin, presione ENTRAR.
6. Escriba map y, a continuacin, presione ENTRAR. Anote la letra de unidad que se asign a la unidad de CD-ROM
que contiene el CD-ROM de Windows Server 2008.
7. Copie el archivo NTLDR desde el CD-ROM a su disco duro
8. Copie el archivo NTDETECT.COM desde el CD_ROM a su disco duro
9. Escriba el comando siguiente: type c:/boot.ini y, a continuacin, presione ENTRAR. Aparece una lista es similar
a la siguiente lista:
[boot loader]
timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows Server 2008, Standard"
10. Si el archivo boot.ini no existe o est daado, vuelva a crearlo con un editor de textos.

11. Al finalizar escriba exit y presione ENTRAR para reiniciar el equipo.
EJERCICIO
Eliminar el archivo NTLDR de su mquina virtual, y luego realizar el proceso de recuperacin

desde la imagen ISO de Windows Server 2008.

Prctica7: Respaldo y restauracin de archivos

Realizar una operacin de copia de respaldo con la herramienta ntbackup.

Restaurar las copias de respaldo mediante la herramienta ntbackup.
Aplicar los diferentes tipos de copias de seguridad
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
Actualmente las empresas dependen de los datos y del funcionamiento de los sistemas informticos. Por una parte, los
datos perdidos no siempre son fciles de reconstruir, y por otra parte, una falta de funcionamiento prolongada del
sistema de informacin puede constituir un perjuicio importante en el funcionamiento de la empresa.
Es necesario contar con procedimientos de copia de seguridad y restauracin. Es lo que llamamos un plan de
recuperacin de urgencia. Los procedimientos de copia de respaldo deben organizarse y efectuarse de manera
sistemtica, de igual forma la eleccin del procedimiento de restauracin depende de la magnitud del dao. Las copias

de seguridad deben auditarse para verificar que se han realizado efectivamente y que slo las copias previstas se
efectan por razones de confidencialidad de los datos.
Entonces, es importante contar con copias de seguridad dignas de confianza, comprobadas regularmente. Es necesario
tener varios juegos de copias de seguridad, y al menos uno de los juegos ubicado fuera del sitio de trabajo para los casos
de siniestros importantes, como un incendio. Al mismo tiempo, este juego de copias debe estar fuera del alcance de
personas no autorizadas.
En cuanto a los procedimientos de restauracin, es importante que el plan de recuperacin de urgencia los defina y
permita as elegir el procedimiento adaptado en funcin del siniestro. Desde luego, todos los procedimientos deben
haber sido probados. En todos los casos, hay que estar seguro de la disponibilidad de los juegos de copias de seguridad.
Es importante adems, separar los derechos de copia de seguridad y los derechos de restauracin.
PROCEDIMIENTO
Para programar una copia de seguridad diaria en Windows Server 2008:
1. Inicie sesin como administrador o como miembro del grupo Administradores.
2. Haga clic en Inicio, seleccione Todos los programas, Accesorios, Herramientas del sistema y, a continuacin, haga
clic en Copia de seguridad. Se iniciar el Asistente para copia de seguridad o restauracin.
3. Haga clic en Modo avanzado.
4. En la ficha Bienvenido, haga clic en Asistente para copia de seguridad (avanzado) para iniciar el Asistente para copia
de seguridad y, a continuacin, haga clic en Siguiente.
5. Haga clic en Hacer copia de seguridad de archivos, unidades o datos de red seleccionados y haga clic en
Siguiente.
6. Expanda Mi PC, active las casillas de verificacin situadas junto a la unidad, carpeta o archivo del que desea realizar la
copia de seguridad y, a continuacin, haga clic en Siguiente.
7. Especifique el tipo de copia de seguridad, el destino y el nombre en los cuadros adecuados y, a continuacin, haga clic
en Siguiente. Por ejemplo, C:\Backup.bkf.
NOTA: si no hay ninguna unidad de cinta conectada al equipo, Archivo es el nico tipo de medio de copia de
seguridad disponible en el cuadro Seleccione el tipo de copia de seguridad.
8. En la pgina "Finalizacin del Asistente para copia de seguridad o restauracin", haga clic en Opciones avanzadas para
especificar opciones de copia de seguridad adicionales.
9. Especifique el tipo de copia de seguridad que desea utilizar y haga clic en Siguiente.
10. Si desea comprobar los datos de los que se ha creado la copia de seguridad una vez finalizada la operacin, active la
casilla de verificacin Comprobar datos despus de la copia de seguridad. Haga clic en cualquier otra opcin que
desee en la pgina "Cmo hacer la copia de seguridad" y, a continuacin, haga clic en Siguiente.
11. Haga clic en Reemplazar las copias de seguridad existentes y, despus, en Siguiente.
12. Haga clic en Ms adelante. Escriba un nombre para el trabajo de copia de seguridad programada en el cuadro
Nombre del trabajo y, a continuacin, haga clic en Establecer programacin.
Aparece el cuadro de dilogo Programar trabajo, de modo que puede configurar cundo y con qu frecuencia desea
que se realice la copia de seguridad. Por ejemplo, puede programar que la copia de seguridad se realice todos los

viernes a las 22:00. Tambin puede configurar varias programaciones para una tarea si activa la casilla de verificacin
Mostrar todas las programaciones.
13. Haga clic en la ficha Programacin. En el cuadro Programar tarea, haga clic en Diariamente, especifique una hora en
el cuadro Hora de inicio y, a continuacin, haga clic en Aceptar.
14. En el cuadro de dilogo Establecer informacin de cuenta, compruebe que Nombre_Equipo\Administrador aparece
en el cuadro Ejecutar como, escriba la contrasea en los cuadros Contrasea y Confirmar contrasea y, a
NOTA: si el servicio Programador de tareas no est configurado para iniciarse automticamente, primero se le
preguntar si desea iniciarlo. Cuando se le pregunte, haga clic en S; aparecer el cuadro de dilogo Establecer
informacin de cuenta.
Puesto que el servicio Programador de tareas ejecuta programas automticamente en el contexto de seguridad de un
usuario vlido del equipo o el dominio, se le pedir el nombre y la contrasea con los que se ejecutar el trabajo de
copia de seguridad programado. Para trabajos de copia de seguridad programada, debe proporcionar una cuenta de
usuario con los permisos adecuados para obtener acceso a todas las carpetas y archivos de los que desea realizar la
copia de seguridad. Las instrucciones de este artculo utilizan la cuenta Administrador para ejecutar el trabajo de copia
de seguridad programado.
15. Haga clic en Siguiente.
16. Se muestran las opciones que seleccion en la pgina "Finalizacin del Asistente para copia de seguridad". Asegrese
de que estas opciones son correctas, y, a continuacin, haga clic en Finalizar.
El trabajo de copia de seguridad que program se muestra en el calendario en la ficha Programar trabajos. El trabajo
de copia de seguridad programado se iniciar automticamente a la hora que especific.
17. Cierre la ventana Copia de seguridad.
EJERCICIO
Comprobar el funcionamiento de los tipos de copias de seguridad incremental y diferencial,

luego documentar los resultados.


Prctica8: Enrutamiento y acceso remoto

Configurar el servidor de traduccin de direcciones de red

Instalar y configurar un servidor VPN
Verificar el funcionamiento de las herramientas
MATERIAL Y EQUIPO
Gua de Laboratorio
Conexin a Internet
INTRODUCCIN TERICA
Windows Server Update Services permite descargar actualizaciones de seguridad para los sistemas operativos Microsoft.
Mediante Windows Server Update Services (WSUS), los administradores pueden manejar centralmente la distribucin
de parches a travs de Actualizaciones automticas a todos los computadores de la red corporativa. Una de las
principales ventajas con el uso de esta herramienta es que ahorra ancho de banda, tiempo y espacio de almacenamiento
debido a que las computadoras no necesitan conectarse individualmente a los servidores externos a la corporacin, sino
que se conectan a los servidores locales.
Cmo configurar un servidor NAT de Enrutamiento y acceso remoto
Cuando los clientes de red internos envan una solicitud para Internet, el controlador del protocolo NAT la intercepta y
la reenva al servidor Internet de destino. Todas las solicitudes parecen venir de la direccin IP externa del servidor NAT.
Este proceso oculta el esquema de direcciones IP internas.
Para configurar un servidor NAT de Enrutamiento y acceso remoto:
1. En el men Herramientas administrativas, haga clic en Enrutamiento y acceso remoto.

2. En la MMC Enrutamiento y acceso remoto, expanda nombre_servidor (que es el nombre del servidor que desea
configurar) y, despus, expanda Enrutamiento IP en el panel izquierdo.
3. Haga clic con el botn secundario mouse (ratn) en el nodo General y, a continuacin, haga clic en Protocolo
de enrutamiento nuevo.
4. Active la casilla de verificacin Servidor de seguridad bsico NAT y, despus, haga clic en Aceptar.

5. Haga clic con el botn secundario del mouse en Servidor de seguridad bsico NAT en el panel izquierdo y, a
continuacin, haga clic en Interfaz nueva.
6. Haga clic en la interfaz que representa la interfaz de red interna y haga clic en Aceptar.
7. En Propiedades de Traduccin de direcciones de red, haga clic en Interfaz privada conectada a red privada y, a
continuacin, haga clic en Interfaz nueva.
9. Haga clic en la interfaz que representa la interfaz de red externa y haga clic en Aceptar.
10. En Propiedades de Traduccin de direcciones de red, haga clic en Interfaz pblica conectada a Internet.
11. Active la casilla de verificacin Habilitar NAT en esta interfaz y, despus, haga clic en Aceptar.
El servidor NAT puede asignar automticamente direcciones IP a los clientes de red internos. Puede utilizar esta funcin
si no tiene un servidor DHCP que ya est asignando informacin de direcciones a los clientes de la red interna.
Cmo configurar un servidor NAT de Enrutamiento y acceso remoto para asignar direcciones IP y realizar consultas
DNS de Proxy
El servidor NAT tambin pude realizar consultas del Sistema de nombres de dominio (DNS) en nombre de los clientes
NAT. El servidor NAT de Enrutamiento y acceso remoto resuelve el nombre de host de Internet que se incluye en la
solicitud del cliente y, a continuacin, le reenva la direccin IP.
Para configurar el servidor NAT de Enrutamiento y acceso remoto para asignar direcciones IP y realizar consultas DNS de
Proxy en nombre de los clientes de red internos, siga estos pasos:
continuacin, haga clic en Propiedades.
2. Haga clic en la ficha Asignacin de direccin y, despus, active la casilla de verificacin Asignar direcciones IP
automticamente utilizando el asignador DHCP.
3. En el cuadro Direccin IP, escriba un identificador de red.
4. En el cuadro Mscara, escriba una mscara de subred.
5. Haga clic en la ficha Resolucin de nombres y, a continuacin, active la casilla de verificacin Clientes que usan
el Sistema de nombres de dominio (DNS).
6. Si emplea una interfaz de marcado a peticin para conectarse a Internet, active la casilla de verificacin
Conectarse a la red pblica cuando sea necesario resolver un nombre.
7. En el cuadro Interfaz de marcado a peticin, haga clic en la interfaz con la que se va a marcar.
8. Haga clic en Aplicar y, despus, haga clic en Aceptar.
Luego de estos pasos bsicos de configuracin, los clientes de red internos pueden tener acceso a los servidores de
Internet.
Cmo instalar y activar un servidor VPN
Para instalar y activar un servidor VPN, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Enrutamiento y acceso remoto.
2. Haga clic en el icono de servidor correspondiente al nombre del servidor local en el panel izquierdo de la
consola. Si el icono tiene un crculo de color rojo en la esquina inferior izquierda, el servicio Enrutamiento y
acceso remoto no est activado. Si el icono tiene una flecha de color verde que seala hacia arriba en la esquina

inferior izquierda, el servicio Enrutamiento y acceso remoto est activado. Si el servicio Enrutamiento y acceso
remoto se activ previamente, quizs desee volver a configurar el servidor. Para reconfigurar el servidor:
a. Haga clic con el botn secundario del mouse (ratn) en el objeto servidor y, despus, haga clic en
Deshabilitar el enrutamiento y el acceso remoto. Haga clic en S para continuar cuando aparezca un
mensaje informativo.
b. Haga clic con el botn secundario del mouse en el icono del servidor y, despus, haga clic en Configurar
y habilitar Enrutamiento y acceso remoto para iniciar el Asistente para instalacin del servidor de
enrutamiento y acceso remoto. Haga clic en Siguiente para continuar.
c. Haga clic en Acceso remoto (acceso telefnico o red privada virtual) para activar los equipos remotos
de forma que puedan marcar o conectarse a esta red a travs de Internet. Haga clic en Siguiente para
continuar.
3. Active VPN o Acceso telefnico, dependiendo de la funcin que vaya a asignar a este servidor.
4. En la ventana Conexin VPN, haga clic en la interfaz de red conectada a Internet y, despus, haga clic en
Siguiente.
5. En la ventana Asignacin de direcciones IP, haga clic en Automticamente si se va a utilizar un servidor DHCP
para asignar direcciones a clientes remotos o haga clic en De un intervalo de direcciones especificado si los
clientes remotos slo deben recibir direcciones de un conjunto predefinido. En la mayora de los casos, la opcin
DHCP es ms fcil de administrar. Sin embargo, si DHCP no est disponible, debe especificar un intervalo de
direcciones estticas. Haga clic en Siguiente para continuar.
6. Si hizo clic en De un intervalo de direcciones especificado, se abrir el cuadro de dilogo Asignacin de
intervalo de direcciones. Haga clic en Nuevo. Escriba la primera direccin IP del intervalo de direcciones que
desee utilizar en el cuadro Direccin IP inicial. Escriba la ltima direccin IP del intervalo en el cuadro Direccin
IP final. Windows calcula automticamente el nmero de direcciones. Haga clic en Aceptar para volver a la
ventana Asignacin de intervalo de direcciones. Haga clic en Siguiente para continuar.
7. Acepte la opcin predeterminada No, usar Enrutamiento y acceso remoto para autenticar las solicitudes de
conexin y haga clic en Siguiente para continuar. Haga clic en Finalizar para activar el servicio Enrutamiento y
acceso remoto, y para configurar el servidor como servidor de acceso remoto.
Cmo configurar el servidor de acceso remoto como enrutador
Para que el servidor de acceso remoto reenve el trfico correctamente dentro de la red, debe configurarlo como un
enrutador con rutas estticas o con protocolos de enrutamiento de forma que se pueda llegar a todas las ubicaciones
de la intranet desde l.
Para configurar el servidor como un enrutador:
2. Haga clic con el botn secundario del mouse en el nombre del servidor y, a continuacin, haga clic en
Propiedades.
3. Haga clic en la ficha General y, a continuacin, active Enrutador bajo Habilitar este equipo como.
4. Haga clic en Enrutamiento LAN y de marcado a peticin y, despus, haga clic en Aceptar para cerrar el cuadro
de dilogo Propiedades.
Cmo modificar el nmero de conexiones simultneas
El nmero de conexiones de mdem de acceso telefnico depende del nmero de mdems que se instalan en el servidor.
Por ejemplo, si slo hay un mdem instalado en el servidor, slo se dispone de una conexin por mdem cada vez.

El nmero de conexiones VPN de acceso telefnico depende del nmero de usuarios simultneos que desee permitir.
De manera predeterminada, al ejecutar el procedimiento se permiten 128 conexiones. Para cambiar el nmero de
conexiones simultneas, siga estos pasos:
2. Haga doble clic en el objeto de servidor, haga clic con el botn secundario del mouse en Puertos y, despus,
haga clic en Propiedades.
3. En el cuadro de dilogo Propiedades de Puertos, haga clic en Minipuerto WAN (PPTP) y, despus, haga clic en
Configurar.
4. En el cuadro Nmero mximo de puertos, escriba el nmero de conexiones VPN que desea permitir.
5. Haga clic en Aceptar, haga clic de nuevo en Aceptar, y cierre Enrutamiento y acceso remoto.
Cmo administrar el acceso
Configure las propiedades de acceso telefnico en las cuentas de usuario y en las directivas de acceso remoto para
administrar el acceso a las conexiones de acceso telefnico y a las conexiones VPN.
Acceso mediante cuentas de usuario
Para conceder acceso telefnico a una cuenta de usuario si est administrando el acceso remoto de cada uno de los
usuarios, siga estos pasos:
1. Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Usuarios y equipos de Active
Directory.
2. Haga clic con el botn secundario del mouse en la cuenta del usuario y, a continuacin, haga clic en
Propiedades.
3. Haga clic en la ficha Marcado.
4. Haga clic en Permitir acceso para conceder al usuario permiso de marcado. Haga clic en Aceptar.
Acceso mediante la pertenencia a grupos
Si administra el acceso remoto basndose en grupos, siga estos pasos:
1. Cree un grupo que contenga los miembros a los que se les permite crear conexiones VPN.
3. En el rbol de consola, expanda Enrutamiento y acceso remoto, expanda el nombre del servidor y haga clic en
Directivas de acceso remoto.
4. Haga clic con el botn secundario del mouse en cualquier lugar del panel de la derecha, seleccione Nuevo y
haga clic en Directiva de acceso remoto.
5. Haga clic en Siguiente, escriba el nombre de la directiva y haga clic en Siguiente.
6. Haga clic en VPN para el mtodo de acceso a una red privada virtual o en Marcado para el acceso telefnico y,
despus, haga clic en Siguiente.
7. Haga clic en Agregar, escriba el nombre del grupo que ha creado en el paso 1 y haga clic en Siguiente.
8. Siga las instrucciones que aparecern en la pantalla para finalizar el asistente.

EJERCICIO
Configurar el servidor NAT y realizar pruebas de traduccin de direcciones.

Configurar el servidor VPN y realizar pruebas de conexin a travs del cliente VPN.

Prctica9: Seguridad en redes inalmbricas

Identificar los tipos de red inalmbrica

Configurar las opciones de seguridad de la red inalmbrica
Configurar la autenticacin de la red basado en el estndar 802.1x
Configurar la autenticacin de la red inalmbrica con RADIUS
MATERIAL Y EQUIPO
Gua de Laboratorio
Router inalmbrico
Tarjetas de red inalmbrica
Conexin a Internet
INTRODUCCIN TERICA
Las tecnologas de interconexin inalmbrica van desde redes de voz y datos globales, que permiten a los usuarios
establecer conexiones inalmbricas a travs de largas distancias, hasta las tecnologas de luz infrarroja y radiofrecuencia
que estn optimizadas para conexiones inalmbricas a distancias cortas. Entre los dispositivos comnmente utilizados
para la interconexin inalmbrica se encuentran los equipos porttiles, equipos de escritorio, asistentes digitales
personales (PDA), telfonos celulares, equipos con lpiz y localizadores. Las tecnologas inalmbricas tienen muchos usos
prcticos. Por ejemplo, los usuarios de mviles pueden usar su telfono celular para tener acceso al correo electrnico.
Las personas que viajan con equipos porttiles pueden conectarse a Internet a travs de estaciones base instaladas en
aeropuertos, estaciones de ferrocarril y otros lugares pblicos. En casa, los usuarios pueden conectar dispositivos a su
equipo de escritorio para sincronizar datos y transferir archivos.

Configurar las opciones de redes inalmbricas en equipos cliente
El servicio Configuracin inalmbrica de Windows XP y la familia Windows Server 2008 admite el estndar IEEE 802.11
para redes inalmbricas y reduce la configuracin necesaria para el acceso a estas redes. Este servicio est habilitado de
forma predeterminada y permite desplazarse a distintas redes inalmbricas sin tener que volver a configurar la conexin
de red del equipo en cada ubicacin. A medida que se desplaza de una ubicacin a otra, el servicio Configuracin
inalmbrica busca y enva notificaciones cuando encuentra redes inalmbricas disponibles. Cuando se conecte a una
nueva red inalmbrica, slo tendr que establecer la configuracin especfica de esa red. El servicio Configuracin
inalmbrica actualiza su adaptador de red inalmbrica para ajustarse a esa configuracin e intenta conectar con la red
inalmbrica.
El servicio Configuracin inalmbrica permite utilizar Windows para establecer la configuracin de redes inalmbricas.
Si utiliza Windows para establecer la configuracin de redes inalmbricas, puede crear una lista de redes inalmbricas
preferidas y especificar el orden en el que desea intentar las conexiones a estas redes.
Ver redes inalmbricas 802.11 disponibles
Adems de las notificaciones de redes inalmbricas que suministra el servicio Configuracin inalmbrica, en Windows
XP con Service Pack 2 y Windows Server 2008 con Service Pack 1, los equipos con adaptadores de redes inalmbricas
disponen de una interfaz mejorada denominada Conexin de red inalmbrica.
La interfaz Conexin de red inalmbrica se ha diseado teniendo en cuenta diversas ventajas para el usuario. La interfaz
facilita ver la informacin relativa a las redes inalmbricas 802.11, incluyendo el tipo de red (infraestructura o ad hoc),
la intensidad de la seal inalmbrica, el estado (conectado o desconectado) y si se ha habilitado la seguridad de las redes.
La interfaz Conexin de red inalmbrica tambin facilita configurar y controlar las conexiones a las redes inalmbricas
802.11. El acceso directo a las propiedades inalmbricas 802.11, donde se establece la configuracin general y avanzada
de las redes inalmbricas 802.11, puede realizarse a travs de los siguientes vnculos de la interfaz: Tareas relacionadas,
Cambiar el orden de las redes preferidas y Cambiar configuracin avanzada.
Para controlar las conexiones a las redes inalmbricas, en Elegir una red inalmbrica, haga clic en Conectar o
Desconectar. Para actualizar la lista de redes inalmbricas disponibles, use Tareas de red.
Como ejemplo, cuando intenta conectar con una red inalmbrica, en Elegir una red inalmbrica es posible que el estado
muestre Conectividad limitada o nula. Haga clic en el vnculo Conectividad limitada o nula para obtener ms
informacin, incluyendo posibles soluciones para corregir el problema de conexin.
Seleccionar un tipo de red inalmbrica
Al configurar conexiones de red inalmbrica existentes o nuevas, o conectarse a una red inalmbrica disponible, puede
elegir entre los siguientes tipos de redes inalmbricas:
Punto de acceso (infraestructura): En las redes inalmbricas de punto de acceso, los clientes inalmbricos
(dispositivos con adaptadores de red inalmbricos, como el equipo porttil o el asistente digital personal) se
conectan a puntos de acceso inalmbrico. Estos puntos de acceso funcionan como puentes entre los clientes
inalmbricos y la red troncal existente. Cuando cambia de una ubicacin a otra y la seal para un punto de
acceso inalmbrico se debilita, o el punto de acceso est saturado de trfico, puede conectarse a un nuevo
punto de acceso.
De equipo a equipo (ad hoc): En las redes inalmbricas de equipo a equipo, los clientes inalmbricos se
conectan directamente entre s, no mediante puntos de acceso inalmbrico.

Cualquier red disponible (preferida de punto de acceso): En las redes inalmbricas preferidas de punto de
acceso siempre se intenta establecer primero una conexin con una red inalmbrica de punto de acceso, si hay
alguna disponible. Si no hay disponible ninguna red de punto de acceso, se intenta establecer una conexin con
una red inalmbrica de equipo a equipo.
Configurar las opciones de seguridad de redes inalmbricas
802.1X es un estndar IEEE para un acceso de red autenticado a redes Ethernet por cable y redes 802.11 inalmbricas.
IEEE 802.1X mejora la seguridad y la implementacin al proporcionar la compatibilidad con la identificacin de usuarios,
la autenticacin, la administracin de claves dinmicas y la creacin de cuentas de manera centralizada. Para una mayor
seguridad, en Windows XP Service Pack 1 y en la familia Windows Server 2008, la autenticacin 802.1X slo se encuentra
disponible para las redes de punto de acceso (infraestructura) que requieren el uso de una clave de red (WEP). Privacidad
equivalente por cable (WEP, Wired Equivalent Privacy) proporciona la confidencialidad de los datos al cifrar los datos
que se envan entre clientes inalmbricos y puntos de acceso inalmbrico.
Establecer la configuracin de claves de red inalmbrica
Cuando Privacidad Equivalente por Cable (WEP) est habilitada, se puede utilizar una clave de red para cifrar los datos
enviados a travs de redes inalmbricas. Se puede proporcionar la clave de red automticamente (por ejemplo, si utiliza
802.1X para la distribucin de claves dinmicas) o puede especificar la clave escribindola. Si especifica la clave, tambin
puede especificar el ndice de la clave (la ubicacin donde se almacena una clave concreta).
Es posible configurar un cliente inalmbrico con hasta cuatro claves (los valores de ndice de clave son 0, 1, 2 y 3). Cuando
un punto de acceso inalmbrico o un cliente inalmbrico transmite un mensaje cifrado mediante una clave almacenada
en un ndice de clave especfico, el mensaje transmitido indica el ndice de clave utilizado para cifrar el cuerpo del
mensaje. El punto de acceso inalmbrico o el cliente inalmbrico receptor puede recuperar entonces la clave almacenada
en el ndice de clave y utilizarla para descodificar el cuerpo cifrado del mensaje.
Establecer la configuracin de autenticacin 802.1X para conexiones de red inalmbrica
La compatibilidad que ofrece 802.1X con los tipos de Protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) permite elegir entre varios mtodos de autenticacin para las conexiones de red inalmbrica.
Descripcin de la autenticacin 802.1X para redes inalmbricas
802.1X es un estndar IEEE para un acceso de red autenticado a redes Ethernet por cable y redes 802.11 inalmbricas.
IEEE 802.1X mejora la seguridad y la implementacin al proporcionar la compatibilidad con la identificacin de usuarios,
la autenticacin, la administracin de claves dinmicas y la creacin de cuentas de manera centralizada.
Autenticacin con EAP, EAP-TLS, EAP-MS-CHAP v2 y PEAP
La compatibilidad que ofrece 802.1X con los tipos de Protocolo de autenticacin extensible (EAP, Extensible
Authentication Protocol) permite elegir entre distintos mtodos de autenticacin para clientes y servidores inalmbricos.

EAP
802.1X utiliza EAP para el intercambio de mensajes durante el proceso de autenticacin. Con EAP se utilizan mtodos de
autenticacin arbitrarios, como certificados, tarjetas inteligentes o credenciales. EAP permite que se establezcan
conversaciones abiertas entre clientes EAP (como un equipo inalmbrico) y servidores EAP (como un servidor de Servicio
de Autenticacin de Internet (IAS, Internet Authentication Service)). Esta conversacin se compone de las solicitudes de
informacin de autenticacin realizadas por el servidor y las respuestas del cliente. Para que se produzca la
autenticacin, el cliente y el servidor deben utilizar el mismo mtodo de autenticacin.
EAP-TLS
El tipo de EAP Seguridad de nivel de transporte (TLS, Transport Layer Security) se utiliza en entornos de seguridad
basados en certificados y ofrece el mtodo de autenticacin y determinacin de claves ms seguro. EAP-TLS permite la
autenticacin mutua, la negociacin del mtodo de cifrado y la determinacin de claves cifradas entre el cliente y el
servidor que autentica. Si desea utilizar certificados o tarjetas inteligentes para la autenticacin de usuarios y equipos
cliente, debe utilizar EAP-TLS o, para una mayor seguridad, EAP protegido (PEAP) con EAP-TLS.
EAP-MS-CHAP v2
EAP con la versin 2 del Protocolo de autenticacin por desafo mutuo de Microsoft (MS-CHAP v2, Microsoft Challenge
Handshake Authentication Protocol) es un mtodo de autenticacin mutuo que permite la autenticacin de usuarios y
equipos basada en contraseas. Durante el proceso de autenticacin con EAP-MS-CHAP v2, tanto el servidor como el
cliente deben demostrar que conocen la contrasea del usuario para que la autenticacin sea correcta. Con EAP-MS-
CHAP v2, tras una autenticacin correcta, los usuarios pueden cambiar sus contraseas y se les notifica cundo caducan.
PROCEDIMIENTO
Autenticacin de red inalmbrica usando RADIUS
SERVIDOR DE
AUTENTICACION
RADIUS
CLIENTE
INALAMBRICO
PUNTO DE
ACCESO
RED INTERNA
1. Iniciar el Servicio de autenticacin de Internet desde las herramientas administrativas del servidor
Windows Server 2008.
2. Elegir la opcin de Cliente Radius, haciendo clic derecho y seleccionando Nuevo Cliente Radius.
3. En esta nueva ventana escribimos el nombre del dispositivo inalmbrico y su direccin IP. Opcionalmente
podemos comprobar la conexin del dispositivo.
4. En la siguiente ventana escogemos el cliente proveedor Radius Standard y escribimos el secreto
compartido.

5. Una vez creado el cliente, podemos dar clic derecho en el objeto y seleccionamos Propiedades para abrir
la ventana y modificar las opciones de configuracin del cliente Radius, si fuera necesario.
6. Posteriormente, en la ventana principal del Servicio de autenticacin de Internet podemos crear una
Directiva de acceso remoto para conectarnos al dispositivo inalmbrico.
7. Luego de crear la directiva de acceso remoto vamos a configurar las propiedades avanzadas, agregando en
el perfil la autenticacin mediante MS-CHAPv2.
8. Una vez elegido el protocolo de autenticacin, debemos agregar dos servicios: Service-Type y Termination-
action.
9. Finalmente configuraremos las opciones en el dispositivo inalmbrico para que pueda reconocer el servidor
RADIUS.
EJERCICIO
Configurar los dispositivos de red inalmbrico para comprobar diferentes mtodos de

autenticacin y documentar cada prueba.

Manual Pract Mecanismos de Seguridad 2017

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Manual Pract Mecanismos de Seguridad 2017

Diunggah oleh

Hak Cipta:

Format Tersedia

Configuracin de Mecanismos de Seguridad en Redes

ESCUELA DE INGENIERA EN COMPUTACIN

NOMBRE DEL PARTICIPANTE:

SANTA TECLA, JULIO DE 2017

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 1

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 2

CONFIGURACIN DE MECANISMOS DE SEGURIDAD EN REDES

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 3

OBJETIVO GENERAL DEL MODULO

Aplicar mecanismos de seguridad en redes informticas que garanticen la integridad,

Disea un plan de resolucin de problemas.

Duracin del mdulo

Nmero de horas: 100

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 4

EVALUACION INICIAL DEL MODULO

En su rol de protagonista del proceso de aprendizaje, le proponemos completar el siguiente

Coloque un cheque en la escala seleccionada.

Seguridad en las redes Informticas

Diferentes tipos de amenazas a las redes informticas

Polticas de seguridad y anlisis de riesgos en las redes

El Proceso administrativo en las organizaciones

Integridad de los datos y el valor de los mismos

Mtodos de Cifrado de datos e informacin

Mtodos de Criptografa de la Informacin

Mecanismos de prevencin de ataques

Mecanismos de proteccin en las redes

Tipos de ataques y vulnerabilidades

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 5

Sugerencias para la presentacin del documento:

Formato de presentacin del documento:

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 6

ESCUELA DE INGENIERA EN COMPUTACIN

Prctica1: Anlisis de Vulnerabilidades con MBSA

Al finalizar esta prctica, el estudiante ser capaz de:

Instalar Microsoft Baseline Security A nalizer.

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 7

La herramienta permite dos formas de utilizacin:

Chequeo de vulnerabilidades del sistema operativo Windows

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 8

Descargar e instalar la herramienta MBSA.

ESCUELA DE INGENIERA EN COMPUTACIN

Prctica2: Instalacin y Configuracin de WSUS

Al finalizar esta prctica, el estudiante ser capaz de:

Identificar los requerimientos de hardware y software de WSUS

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 9

Requisitos previos para servidores de WSUS

Windows Server 2008 SP1 o posterior

Requisitos previos para usar la consola de administracin de WSUS 3.0

Windows XP SP2, Windows 7 o Windows Server 2008

INSTALACIN DEL SERVICIO

1. Haciendo clic al archivo WSUSSetup_30SP1_x86.exe se inicia el asistente de instalacin

CONFIGURACIN DEL SERVICIO

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 10

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 11

ESCUELA DE INGENIERA EN COMPUTACIN

Prctica3: Polticas de grupo

Al finalizar esta prctica, el estudiante ser capaz de:

Crear Directivas de Seguridad para un Dominio, Controlador de Dominio

Establecer el ttulo del explorador de Internet

Para crear un GPO, completaremos los siguientes pasos:

ITCA-FEPADE | Tcnico en Ingeniera de Redes Informticas 12

4. Finalmente cerramos el cuadro de dilogo.

Creacin de un MMC para un GPO