Date post: | 19-Jun-2015 |
Category: |
Technology |
Upload: | juan-sarango |
View: | 1,023 times |
Download: | 2 times |
Windows Server
Windows Server 2012 Active DirectoryCurso de IntroducciónIng. Juan Carlos Sarango
Resumen de Contenidos
Presentación del Curso
Clase 1 (Lunes 11 Nov)
Instalación de Windows Server 2012 RC2
Clase 2 (Martes 12 Nov)
Configuraciones de Red
Clase 3 (Miércoles 13 Nov)
Configuración de Rol Active Directory
Clase 4 (Jueves 14 Nov)
Configuraciones de Seguridad de Active
Directory
Clase 5 (Viernes 15 Nov)
Gestión de Usuarios y Políticas de Dominio
Clase 6 (Sábado 16 Nov)
Resumen de Contenidos
Presentación del Curso
Clase 1 (Lunes 11 Nov)
Instalación de Windows Server 2012 RC2
Clase 2 (Martes 12 Nov)
Configuraciones de Red
Clase 3 (Miércoles 13 Nov)
Configuración de Rol Active Directory
Clase 4 (Jueves 14 Nov)
Configuraciones de Seguridad de Active
Directory
Clase 5 (Viernes 15 Nov)
Gestión de Usuarios y Políticas de Dominio
Clase 6 (Sábado 16 Nov)
Clase 4 Clase 5
Clase 2Module 1
Clase 5
Clase 1 Configuraciones de Seguridad de Active Directory
Planear un Medio Ambiente seguro de AD DS.Diseñar una estrategia de autenticaciónDiseñar una estrategia de autorización de recursos
Clase 3
Introducción Para planificar un entorno seguro, es fundamental contar con
una estrategia clara y coherente para abordar los diversos aspectos relacionados con la seguridad de Microsoft Windows Server 2012.
Aspectos clave:
5
Identificar al Usuario
Gestionar los recursos de
Red
GPOs
Grupos de Seguridad
ACLs de Acceso
Cuentas de Usuario
Cuentas de Recursos
Planear un Medio Ambiente seguro de AD DS
6
Proceso de Planeación de la Seguridad El proceso de planeación de la seguridad es diseñado como una vista de alto nivel de las opciones de configuración y de las capacidades del sistema.
Basado en dos principios organizacionales Los usuarios necesitan acceder a los recursos
La red empresarial requiere una conexión segura entre la infraestructura de TI. 8
Usuarios Accediendo a Recursos Incluye:
Login de estaciones de Trabajo.
Facilidad de acceder a Listas de Control de Acceso (ACLs) en los dispositivos.
Servicios Opcionales Logons de Acceso Remoto Accesos a redes inalámbricas Accesos para usuarios externos (partners de negocio, o clientes).
9
Red Empresarial con conexiones seguras de Infraestructura de TI
La gestión de la infraestructura incluye:
Medir siempre los límites de seguridad,
Mantener servidores y servicios seguros,
Implementar redes de seguridad, y
un plan eficaz de delegación de administración
10
Mejores Practicas para la Seguridad de Directorio Activo
Planificar a profundidad la seguridad de los servicios de AD DS.
Establecer los límites seguros los servicios de directorio activo.
Desplegar controladoras de dominio seguras. Proteger adecuadamente el DNS. Fortalecimiento de la configuración de directiva de
controlador de dominio . Establecer prácticas administrativas seguras. 11
Seguridad de la Infraestructura. Asegurar los controladoras de dominio contra el acceso
físico. Prevenir el inicio de las controladoras de dominio con
sistemas operativos alternos. Proteger el reinicio de las controladoras de dominio
usando syskey. Asegurar medios de respaldo contra accesos físicos Mejorar seguridad de infraestructura de red. Proteger las controladoras de dominio contra el reinicio
remoto. Proteger las cuentas de administración. Proteger las estaciones de trabajo de usuarios de
administración. Evitar la delegación para actividades de
administración.
12
Diseñar una estrategia de autenticación
13
Esto involucra: Evaluar la infraestructura actual y el proceso de creación de usuarios.
Establecer los puntos clave de seguridad del proceso de autenticación.
Establecer los estándares de autenticación para la red (Incluida la Sincronización).
Crear un control de la Autenticación Evaluar el entorno actual de autenticación. Modelar la creación de cuentas de usuario. Crear un plan de administración de cuentas que incluya la creación, el dar de baja y el reseteo.
Crear un plan de administración de dispositivos (Computadores), incluyendo la creación, el dar de baja y el reseteo.
Aplicar políticas de autenticación a los grupos.
15
Aplicar Seguridad al Proceso de Autenticación Asignar horarios de autenticación. Crear una política de expiración de tickets. Establecer un estándar de autenticación de la red.
Configurar la tolerancia a la sincronización por reloj.
16
Aplicar Seguridad al Proceso de Autenticación Cont.
Revisar la Política de Dominio por Defecto (Default Domain Policy), tomando en cuenta las siguientes consideraciones.1. Crear una política fuerte de contraseñas para el
dominio.2. Establecer una política de bloqueo de cuentas para
el dominio.3. Crear una política de expiración de tickets
Kerberos. 17
Aplicar Seguridad al Proceso de Autenticación Cont. Revisar la Política por Defecto de las Controladoras de Dominio (Default Domain Controlers Policiy), to tomando en cuenta las siguientes consideraciones:1. Configurar la política de auditoria.2. Fortalecer la política de asignación de permisos sobre las
controladoras de dominio.3. Fortalecer la política de directiva de seguridad de
controladoras de dominio.4. Fortalecer la política de gestión de logs. 18
Educar a los Usuarios Acerca del Proceso de Autenticación
Más importante que diseñar un proceso eficiente de autenticación, es difundir este proceso entre los usuarios.
Difundir el rol del usuario en el proceso de autenticación.
Asegurarse que los usuarios entienden las restricciones de gestión de contraseñas.
19
Diseñar una estrategia de autorización de recursos
20
Diseñar el Método de Autorización de recursos.
21
Grupos / ACLs
Grupos de seguridad añadidos a Listas de acceso
Grupos / Grupos de Recursos
Grupos de seguridad
que se incluyen en grupos de Recursos
Basada en Roles
Grupos de seguridad
que se asocian a
secuencias de
comandos en la
aplicaciones clientes
Definir Políticas de para la Administración de Grupos de Seguridad
Definir la política de creación de Grupos (Quien crea los grupos).
Definir la política de nombres de grupo. Definir la política de dar de baja a grupos. Definir la política de anidación de grupos. Definir quien realiza.
Mantenimiento de grupos, de seguridad, de recursos y mantenimiento de cuentas de usuario.
22
Implementando Active Directory
23
Roles para la implementación Project architect
Dueño del diseño de Directorio Activo Toma las decisiones clave sobre el diseño del servicio. Determina los objetivos de la organización que serán meta
del diseño.
Project manager Provee la planificación del proyecto. Conduce el progreso del diseño. Involucra al personal necesario del proyecto. Punto de contacto del proyecto. Obtiene los consensos entre los involucrados.
Delegando la Administración Considerar:
Decisiones de Replicación. Alcance de los datos.
Alcance: Diseñar un modelo lógico para
decidir dónde colocar: El o los bosques, Los límites del dominio, y Los límites de las OUs.
25
Visionando los Bosques Los bosques otorgan:
Autonomía División de la estructura Organizacional (No deben existir colaboración
entre bosques)
Tipos de Bosques:
26
Simple Modelo de Subscripción Múltiple
Visionando los Bosques Disposición de Dominios del Bosque.
Documentando el Diseño de Bosques
28
Equipo de Diseño de Bosques de AD
Bosques de AD proveedores de Servicio
Documentando el Diseño de Bosques Cont.
29
Administración de BosquesPropuesta de Bosques
Documentando el Diseño de Dominios.
30
Diseño de Dominio Localización de controladoras de dom.
Documentando el Diseño de Dominios.
31
Locaciones y sus subredes
División del forest según el ancho de banda
32
Ancho de banda (kbps)
Crear un forest no más largo de: (usuarios)
Crear dominios regionales de más de: (usuarios)
•9.6 •25,000 •15,000
•14.4 •50,000 •15,000
•19.2 •50,000 •25,000
•28.8 •75,000 •40,000
•38.4 •100,000 •45,000
•56.0 (and higher) •100,000 •100,000
Datos importantes para el diseño Disponer el 10% del ancho de banda mínimo disponible para controlar la replicación.
Todas las DCs son catálogos globales del dominio.
El promedio de nuevos usuarios por año es de 20%.
El promedio de usuarios salientes por año es del 15%
La relación entre usuarios y computadores es de 1:1
33
Ejm. División según los datos
34
Diseño de Unidades Organizacionales (OUs) Las OU son contenedores dentro de los dominios que pueden contener: otras unidades organizativas, usuarios, grupos, Equipos, y otros objetos.
Que forman una estructura jerárquica dentro de un dominio, y se utilizan principalmente para agrupar objetos con fines de gestión. 35
Consejos para la creación de OUs La estructura de OUs no necesariamente debe reflejar la estructura de la organización.
Las OUs se crean con el fin de reflejar un propósito especifico de la distribución.
Para agrupar usuarios con funciones similares se deben de usar Grupos y no OUs.
36
Elementos para la planificación de OUs El administrador del dominio es responsable de completar un diseño OUs del dominio.
El diseño debe contener: Un diagrama de la jerarquía de unidades organizativas. Una lista de las unidades organizativas. Y definir para cada unidad
organizativa: Su propósito. Una lista de los usuarios o grupos que tienen el control de la unidad organizativa o
los objetos en él. El tipo de control que tienen sobre la clase de objetos de la unidad organizativa.
37
Documentando el Diseño de Unidades Organizativas
38
Equipo de Diseño de OUs Ous por cada Dominio
Gracias por su Atención!
©2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Office, Azure, System Center, Dynamics and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.