Windows Server

Windows Server 2012 Active DirectoryCurso de IntroducciónIng. Juan Carlos Sarango

Resumen de Contenidos

Presentación del Curso

Clase 1 (Lunes 11 Nov)

Instalación de Windows Server 2012 RC2

Clase 2 (Martes 12 Nov)

Configuraciones de Red

Clase 3 (Miércoles 13 Nov)

Configuración de Rol Active Directory

Clase 4 (Jueves 14 Nov)

Configuraciones de Seguridad de Active

Directory

Clase 5 (Viernes 15 Nov)

Gestión de Usuarios y Políticas de Dominio

Clase 6 (Sábado 16 Nov)

Resumen de Contenidos

Presentación del Curso

Clase 1 (Lunes 11 Nov)

Instalación de Windows Server 2012 RC2

Clase 2 (Martes 12 Nov)

Configuraciones de Red

Clase 3 (Miércoles 13 Nov)

Configuración de Rol Active Directory

Clase 4 (Jueves 14 Nov)

Configuraciones de Seguridad de Active

Directory

Clase 5 (Viernes 15 Nov)

Gestión de Usuarios y Políticas de Dominio

Clase 6 (Sábado 16 Nov)

Clase 4 Clase 5

Clase 2Module 1

Clase 5

Clase 1 Configuraciones de Seguridad de Active Directory

Planear un Medio Ambiente seguro de AD DS.Diseñar una estrategia de autenticaciónDiseñar una estrategia de autorización de recursos

Clase 3

Introducción Para planificar un entorno seguro, es fundamental contar con

una estrategia clara y coherente para abordar los diversos aspectos relacionados con la seguridad de Microsoft Windows Server 2012.

Aspectos clave:

5

Identificar al Usuario

Gestionar los recursos de

Red

GPOs

Grupos de Seguridad

ACLs de Acceso

Cuentas de Usuario

Cuentas de Recursos

Planear un Medio Ambiente seguro de AD DS

6

Proceso de Planeación de la Seguridad El proceso de planeación de la seguridad es diseñado como una vista de alto nivel de las opciones de configuración y de las capacidades del sistema.

Basado en dos principios organizacionales Los usuarios necesitan acceder a los recursos

La red empresarial requiere una conexión segura entre la infraestructura de TI. 8

Usuarios Accediendo a Recursos Incluye:

Login de estaciones de Trabajo.

Facilidad de acceder a Listas de Control de Acceso (ACLs) en los dispositivos.

Servicios Opcionales Logons de Acceso Remoto Accesos a redes inalámbricas Accesos para usuarios externos (partners de negocio, o clientes).

9

Red Empresarial con conexiones seguras de Infraestructura de TI

La gestión de la infraestructura incluye:

Medir siempre los límites de seguridad,

Mantener servidores y servicios seguros,

Implementar redes de seguridad, y

un plan eficaz de delegación de administración

10

Mejores Practicas para la Seguridad de Directorio Activo

Planificar a profundidad la seguridad de los servicios de AD DS.

Establecer los límites seguros los servicios de directorio activo.

Desplegar controladoras de dominio seguras. Proteger adecuadamente el DNS. Fortalecimiento de la configuración de directiva de

controlador de dominio . Establecer prácticas administrativas seguras. 11

Seguridad de la Infraestructura. Asegurar los controladoras de dominio contra el acceso

físico. Prevenir el inicio de las controladoras de dominio con

sistemas operativos alternos. Proteger el reinicio de las controladoras de dominio

usando syskey. Asegurar medios de respaldo contra accesos físicos Mejorar seguridad de infraestructura de red. Proteger las controladoras de dominio contra el reinicio

remoto. Proteger las cuentas de administración. Proteger las estaciones de trabajo de usuarios de

administración. Evitar la delegación para actividades de

administración.

12

Diseñar una estrategia de autenticación

13

Esto involucra: Evaluar la infraestructura actual y el proceso de creación de usuarios.

Establecer los puntos clave de seguridad del proceso de autenticación.

Establecer los estándares de autenticación para la red (Incluida la Sincronización).

Crear un control de la Autenticación Evaluar el entorno actual de autenticación. Modelar la creación de cuentas de usuario. Crear un plan de administración de cuentas que incluya la creación, el dar de baja y el reseteo.

Crear un plan de administración de dispositivos (Computadores), incluyendo la creación, el dar de baja y el reseteo.

Aplicar políticas de autenticación a los grupos.

15

Aplicar Seguridad al Proceso de Autenticación Asignar horarios de autenticación. Crear una política de expiración de tickets. Establecer un estándar de autenticación de la red.

Configurar la tolerancia a la sincronización por reloj.

16

Aplicar Seguridad al Proceso de Autenticación Cont.

Revisar la Política de Dominio por Defecto (Default Domain Policy), tomando en cuenta las siguientes consideraciones.1. Crear una política fuerte de contraseñas para el

dominio.2. Establecer una política de bloqueo de cuentas para

el dominio.3. Crear una política de expiración de tickets

Kerberos. 17

Aplicar Seguridad al Proceso de Autenticación Cont. Revisar la Política por Defecto de las Controladoras de Dominio (Default Domain Controlers Policiy), to tomando en cuenta las siguientes consideraciones:1. Configurar la política de auditoria.2. Fortalecer la política de asignación de permisos sobre las

controladoras de dominio.3. Fortalecer la política de directiva de seguridad de

controladoras de dominio.4. Fortalecer la política de gestión de logs. 18

Educar a los Usuarios Acerca del Proceso de Autenticación

Más importante que diseñar un proceso eficiente de autenticación, es difundir este proceso entre los usuarios.

Difundir el rol del usuario en el proceso de autenticación.

Asegurarse que los usuarios entienden las restricciones de gestión de contraseñas.

19

Diseñar una estrategia de autorización de recursos

20

Diseñar el Método de Autorización de recursos.

21

Grupos / ACLs

Grupos de seguridad añadidos a Listas de acceso

Grupos / Grupos de Recursos

Grupos de seguridad

que se incluyen en grupos de Recursos

Basada en Roles

Grupos de seguridad

que se asocian a

secuencias de

comandos en la

aplicaciones clientes

Definir Políticas de para la Administración de Grupos de Seguridad

Definir la política de creación de Grupos (Quien crea los grupos).

Definir la política de nombres de grupo. Definir la política de dar de baja a grupos. Definir la política de anidación de grupos. Definir quien realiza.

Mantenimiento de grupos, de seguridad, de recursos y mantenimiento de cuentas de usuario.

22

Implementando Active Directory

23

Roles para la implementación Project architect

Dueño del diseño de Directorio Activo Toma las decisiones clave sobre el diseño del servicio. Determina los objetivos de la organización que serán meta

del diseño.

Project manager Provee la planificación del proyecto. Conduce el progreso del diseño. Involucra al personal necesario del proyecto. Punto de contacto del proyecto. Obtiene los consensos entre los involucrados.

Delegando la Administración Considerar:

Decisiones de Replicación. Alcance de los datos.

Alcance: Diseñar un modelo lógico para

decidir dónde colocar: El o los bosques, Los límites del dominio, y Los límites de las OUs.

25

Visionando los Bosques Los bosques otorgan:

Autonomía División de la estructura Organizacional (No deben existir colaboración

entre bosques)

Tipos de Bosques:

26

Simple Modelo de Subscripción Múltiple

Visionando los Bosques Disposición de Dominios del Bosque.

Documentando el Diseño de Bosques

28

Equipo de Diseño de Bosques de AD

Bosques de AD proveedores de Servicio

Documentando el Diseño de Bosques Cont.

29

Administración de BosquesPropuesta de Bosques

Documentando el Diseño de Dominios.

30

Diseño de Dominio Localización de controladoras de dom.

Documentando el Diseño de Dominios.

31

Locaciones y sus subredes

División del forest según el ancho de banda

32

Ancho de banda (kbps)

Crear un forest no más largo de: (usuarios)

Crear dominios regionales de más de: (usuarios)

•9.6 •25,000 •15,000

•14.4 •50,000 •15,000

•19.2 •50,000 •25,000

•28.8 •75,000 •40,000

•38.4 •100,000 •45,000

•56.0 (and higher) •100,000 •100,000

Datos importantes para el diseño Disponer el 10% del ancho de banda mínimo disponible para controlar la replicación.

Todas las DCs son catálogos globales del dominio.

El promedio de nuevos usuarios por año es de 20%.

El promedio de usuarios salientes por año es del 15%

La relación entre usuarios y computadores es de 1:1

33

Ejm. División según los datos

34

Diseño de Unidades Organizacionales (OUs) Las OU son contenedores dentro de los dominios que pueden contener: otras unidades organizativas, usuarios, grupos, Equipos, y otros objetos.

Que forman una estructura jerárquica dentro de un dominio, y se utilizan principalmente para agrupar objetos con fines de gestión. 35

Consejos para la creación de OUs La estructura de OUs no necesariamente debe reflejar la estructura de la organización.

Las OUs se crean con el fin de reflejar un propósito especifico de la distribución.

Para agrupar usuarios con funciones similares se deben de usar Grupos y no OUs.

36

Elementos para la planificación de OUs El administrador del dominio es responsable de completar un diseño OUs del dominio.

El diseño debe contener: Un diagrama de la jerarquía de unidades organizativas. Una lista de las unidades organizativas. Y definir para cada unidad

organizativa: Su propósito. Una lista de los usuarios o grupos que tienen el control de la unidad organizativa o

los objetos en él. El tipo de control que tienen sobre la clase de objetos de la unidad organizativa.

37

Documentando el Diseño de Unidades Organizativas

38

Equipo de Diseño de OUs Ous por cada Dominio

Gracias por su Atención!

©2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Office, Azure, System Center, Dynamics and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.