Seguridad en Sistemas Operativos

Prof. Wilmer Efrén Pereira González

Principios de administración y seguridad

en Window Server
 Window Server
Es una familia de SOP’s para prestar servicios de red que incluye:
una versión de LDAP (Active Directory), servidor DNS, servidor DHCP y
políticas de seguridad para la protección de usuarios

Están las versiones 2003, 2008, 2012, 2016, 2019 y 2022 (sep/2021) con distintas
facilidades de servicio bajo subscripción (Microsoft Software Assurance):
Upgraded asegurado Soporte telefónico 24x7
Productos Enterprise Entrenamiento gratuito
Acceso por Azure o AWS Almacenamiento en la nube …
Ofrece diferente versiones que son: Standard, Enterprise y datacenter o Web, bajo
dos modelos de ejecución a partir de Window Server 2016:
Window Server Essentials
Window MultiPoint Server
Window Server Essentials: ofrece infraestructura de gestión de intranet e internet
para medianas empresas de no más de 50 estaciones de trabajo y/o 25 usuarios
Window MultiPoint Server: Acepta conexiones vía RDP (Remote Desktop Protocol)

2
 LDAP
Variante de la norma X.500 conocida como Lightweigth Directory Access Protocol.
El protocolo se ejecuta a nivel de capa aplicación y permite el acceso a un servicio
de directorio jerárquico y distribuido en entorno de red.

El directorio está compuesto de objetos o recursos organizados como un árbol. Un

grupo de árboles pueden formar un dominio que, a su vez, pueden estar distribuidos
entre varios servidores o computadoras. Un dominio conforma una base de datos
distribuida.
Asociado a un dominio están usuarios que se pueden autentificar vía login/password
o mediante certificados digitales (CA en México) y tienen sus permisos asociados. La
versión para Window Server es conocida como Active Directory.
El puerto de escucha del servidor LDAP es 389 (puerto 636 para LDAPS). A diferen-
cia de HTTP, los mensajes se codifican en binario. Los comandos más comunes del
protocolo son:
Start TLS: Para certificados Add: Agregar recurso
Bind: Autentificación Unbind: Desconectar
Search: Buscar recurso Delete: Borrar recurso

3
Funcionalidades LDAP
Bind
Add
Delete

4
 Estructura del directorio
Un recurso u objeto LDAP tiene la siguiente estructura, con una lógica similar a
JSON:
dn: cn=John Doe,dc=example,dc=com
cn: John Doe
givenName: John
sn: Doe
telephoneNumber: +1 888 555 6789
mail: john@[Link]
manager: cn=Barbara Doe,dc=example,dc=com
objectClass: inetOrgPerson
objectClass: person
Los dos primeros atributos identifican el recurso (domain name y common name).
Los siguientes son los datos de esa entrada del directorio …
Un URL genérico de LDAP es:
ldap://host:port/DN?attributes?scope?filter?extensions
Por ejemplo
ldap://[Link]/cn=John%20Doe,dc=example,dc=com

5
 Active Directory
LDAP para Window … Tiene una estructura lógica adaptada a Window Server
que autentifica los usuarios con un servidor Kerberos y organiza la información
en varios niveles. Los objetos se identifican con GUID de 128 bits

GUID es la implementación para Microsoft de UUID. Está compuesto de 32 caracteres

hexadecimales (16 bytes o 128 bits). Entidades gubernamentales lo usan para número de folio:
3F2504E0-4F89-11D3-9A0C-0305E82C3301
La estructura lógica de Active Directory es:
Objeto: Nombre GUID para un archivo, carpeta, impresora, usuario, …
Dominio: Conjunto de máquinas que comparte una base de datos
Controlador: Maneja la base de datos de un dominio.
Árbol: Dominio organizado jerárquicamente
Bosque: Agrupamiento de árboles o dominios jerárquicos
U. organizativa: Contenedor de objetos acoplados a la organización
U. administrativa: Subgrupo de dominios asociados a la estructura funcional
Confianza: Comunicación segura de usuarios entre dominios, árboles y bosques

También existen SAMBA (compartir Linux-Window), NFS (Network File System) sistema de
archivos cliente/servidor originalmente para Linux en red, ApacheDS que es una implementación
de LDAP genérica, …

6
 Instalación de Window Server
Existe una interfaz gráfica para la instalación y un primer paso es definir la cuenta del
administrador y cambiar su contraseña.

El siguiente paso es instalar el Active Directory (AD) y el DNS para el servidor con
el asistente de configuración (Servidores en DNS en el mundo)

Se añaden las características

necesarias al AD (asistencia
remota, servicios de red, …) y
se configura el controlador de
dominio asociándole un
bosque y el DNS. Al final se
va a la pestaña de confirma-
ción para verificar lo instala-
do

7
 Servidores raices DNS

A: Network Solutions, Herndon, Virginia, USA. B: Universidad del Sur de California, USA.
C: PSINet, Virginia, USA. D: Universidad de Maryland, USA.
E: NASA, en Mountain View, California, USA. F: Internet Software Consortium, Palo Alto, USA.
G: Agencia de Información de Defensa, USA H: Laboratorio de Investigación del Ejercito, USA.
I: NORDUnet, Estocolmo, Suecia. J: (TBD), Virginia, USA. K: RIPE-NCC, Inglaterra.
L: (TBD), California, USA. M: Wide Project, Universidad de Tokyo, Japón.

8
Configuración de Window Server
Se asocia luego el NetBios (protocolo
de comunicación entre aplicaciones de
red para asociarlas al hardware)

Cuando se configura el DNS con la

herramienta tool DNS, se define el
registro del dominio con la IP
asociada.

Una vez asegurado el funcionamiento de Window Server, ahora se fijan las directivas
de seguridad mínimas para la operación:
(1) Control de usuario y accesos
(2) Compartir recursos
(3) Copias de seguridad
(4) Control de históricos para auditorías
(5) Visualización de eventos
9
Ventana de administración de
directivas de grupo

10
(1) Control de usuarios y accesos
En primer lugar, deben crearse los usuarios que pueden asociarse a un grupo de
Active Directory. Se definen condiciones iniciales de la contraseña …

A cada usuario se le puede definir el rango horario en el que puede realizar

conexiones, desde cuales equipos puede abrir sesiones y cuota de disco.

11
(1) Control de usuarios y accesos

12
 (1) Autentificación
Dentro de las distribuciones de Window Server hay varias estrategias de
autentificación.
Kerberos que funciona con LDAP y usa KDC (Key Data Center)
EAP negocia método de autentificación. En ambiente inalámbricos (WPA)
MS-CHAP2, autentificación con contraseña mediante desafíos (Microsoft)

Además, se incluye
Almacenamiento de contraseñas
Políticas de contraseñas
Autentificación multifactorial con gestión de token por sesión
Modos de ejecución:
Kernel: comparte espacio de direcciones con otros controladores
Usuario: espacio de direcciones privado

13
(1) Principios de autentificación
Existen 4 maneras de verificar la identidad del usuario:

(1) Por lo que sabe: password

PIN …

(2) Por lo que posee: certificado digital

credencial
generador de tokens …

(3) Por lo que es: huella dactilar

biometría estática lectura de iris
simetría de la palma de la mano …

(3) Por lo que hace: patron de tecleo

biometría dinámica identificación vocal

Es diferente la autentificación de usuario y la autentificación de mensaje

(integridad)

14
 (1) Autentificación por clave
Es la estrategia más facil de implantar y facilmente comprendida
por la mayoría de las personas

El sitio al que se conecta debe tener el password. Puede estar cifrado

o se le aplican algoritmos de hash + salt y tambien timestamps

Si se tiene un mal password los ataques de diccionario pueden afectar al

sistema. Sin embargo con un buen password sólo es posible con fuerza
bruta la cual es intratable computacionalmente.

Malas políticas son: mismo password para diferentes cuentas, nombres

comunes, pocos caracteres diferentes de consonantes y vocales.

Debe complementarse con número de intentos, longitud mínima de

la clave, introducción de caracteres especiales y políticas de cambio

15
(1) Políticas de gestion de clave en
Window Server

17
 (1) Autentificación con servidor
El objetivo es tener un soporte de identificación seguro, dificil de falsificar y con varias
funcionalidades: ID nacional, datos biométricos, permiso de conducir, tarjeta de salud,
firma digital para trámites, etc

El protocolo involucra al cliente, servidor que solicita la información y un servidor eID

(4) Requerimiento de autentificación (4)

Servidor eID
(5) Solicitud de PIN (5)
(7)
(6) Introducción de PIN
(6) (8)
(7) Intercambio de autentificación
(8) Redirección del resultado de autentificar

(2) Solicitud de servicio

(2) (3) Redirección al servidor eID

(1) (3)
(1) Requerimiento Web (9)
(10)
Servidor de
aplicaciones

(9) Reenvío del resultado de autentificar

(10) Servicio ofrecido 18
 Kerberos
Permite autentificación de usuario contra los servidores y así
poder negociar una clave simétrica para el intercambio de datos
Estandar definido en MIT con dos servidores
AS: Verifica identidad de los usuarios
TGS: Tickets de identidad de sesión y
negociado de clave de sesión

J AS
KJ
EKJ(KS,EKTGS(J,KS))

EKTGS(J,KS),R,EKS(t) TGS
Julieta
KJ KTGS
EKS(R,KJR),EKR(J,KJR)

EKR(J,KJR),EKJR(t’)
Romeo
EKJR(t’+1)

Define reinos para comunicar distintos servidores en diferentes LAN

Los relojes de Romeo y Julieta deben estar sincronizados que se garantiza con NTP (México, Perú)

19
 (2) Compartir recursos
Existen dos maneras de compartir recursos en Window Server:
SMB (Server Message Blocks) y NFS (Network File System)

SMB o NFS Se comparte recurso del disco E:

21
(2) Configuración del recurso
compartido

22
 (3) Copia de seguridad
Permiten la recuperación de información ante fallos catastróficos.
Se planean: completas, personalizadas o de discos duros

A continuación se indica mes, hora y día de la copia así como el disco destino. El
proceso se realiza en background …

23
(4) Auditoría en Window Server
En principio, es local o través del dominio y ofrece 9 posibilidades de auditoría
básica que a su vez se pueden detallar en 53 configuraciones más específicas:
Acceso a objetos: Los recursos no del AD que usa un usuario con una ACL
Acceso al servicio de directorio: Los objetos de la AD que usa el usuario
Cambio de directivas: Al modificar distintas directivas locales
Seguimiento de procesos: Activación de programas, salida de procesos, …
Uso de privilegios: Cuando un usuario usa un privilegio
Eventos de inicio de sesión: Supervisa a los usuarios ingresando al sistema
Eventos de inicio de cuenta: Supervisa a los usuarios iniciando con una cuenta
Eventos del sistema: Se supervisan sobre todo si son de seguridad
Administración de cuentas: Cuando se crean usuarios o grupos de usuarios.

24
 (4) Herramientas de Auditoría
Se puede configurar y editarse las auditorías mediante:
Administración de directivas de grupo: A través del controlador de dominio
Directivas de seguridad local: Se realizan por equipo (puede haber sobreescritura)

25
(4) Auditoría de recursos

Archivos Impresoras

26
 (5) Visualización de eventos
Se puede examinar los históricos de los window personales con el visor de eventos
usando eventvwr desde cmd. Para Window Server se usa auditpol que es una
herramienta de filtrado …
auditpol /comando /?

27
(5) Visor de eventos de Window
Las notificaciones tienen su centro de ayuda:

Los componentes básicos son:

Vista personalizada
Registros de Window
Aplicación
Tipos de eventos de
Seguridad
seguridad en window
Instalación
Sistema
Eventos reenviados
Registro de aplicaciones y servicios
Eventos de hardware
Microsoft (Antimalware)
OpenSSH
Window PowerShell …

28
(5) Ejemplo de auditpol

29
 Arreglos de discos
Conocidos como RAID’s son estructuras de múltiples discos para: (1) Eficiencia por
acceso paralelo a la información, (2) Respaldo de los datos y (3) Tolerancia a fallas
en HDD o SSD para recuperación por pérdida o corrupción,.

Eficiencia Respaldo y Tolerancia a fallas

Tolerancia a fallas con corrección

En ambientes de servidores, el SOP ve todos los datos principalmente como una

sola unidad lógica.
RAID 0 es eficiente ya que se puede leer y escribir en paralelo pero sin tolerancia a
fallas. Mejora mucho tanto la lectura como la escritura de datos si cada disco tiene su
propia controladora. Para que el conjunto falle es suficiente que falle uno de los
discos …

30
 Tipos de RAID’s
RAID 1 si tiene tolerancia a fallas por réplica pero con un uso
ineficiente del espacio en disco. El conjunto puede ser tan
grande como el más pequeño de los discos. Al igual que con el
RAID 0, se puede aprovechar el paralelismo en la lectura si se
tienen controladoras independientes. Pero no hay aprovecha-
miento en la escritura porque debe copiarse sólo una vez, en
todos los discos. Por último, la probabilidad de fallas será un
producto de las probabilidades de falla de cada disco, la cual,
es muy baja.
RAID 4 ofrece tanto eficiencia en tiempo como tolerancia a
fallos por detección, gracias al disco de paridad. El problema
está en si hay fallas con el disco de paridad. La paridad es un
mecanismo de recuperación de datos con códigos Hamming o
Reed-Solomon

RAID 2 y 3 no se utilizan pues dejaron de tener importancia por la manera en como

fueron definidos.

31
 RAID avanzados
Para resolver la vulnerabilidad de un único disco de paridad, se distribuye en los
discos con RAID 5 (distribución de la paridad) con cálculo de paridad por hardware

Más aún para tener tolerancia a fallos por réplica o respaldo de los bloques de
paridad se usa RAID 6

En el caso de RAID 5 si fallan dos discos hay pérdida de datos … En cambio, para
RAID 6 es resistente a caídas de hasta dos discos …
32
 RAID Combinados
Para RAID 01 se logra eficiencia y tolerancia a fallas por réplica sin hacer cálculos
de paridad por cada escritura. El problema está en el uso ineficiente del disco …

En los RAID 30 permite hasta el fallo de un disco de cada conjunto sin dejar de
funcionar …

Existen RAID propietarios de diversas compañías (IBM, Dell, SCC, …)

33
 Mejoras de Window Server
Las versiones 2016 y 2019 incluyen, en general, mejor integración con Azure y
simplifican el uso de contenedores que son una versión más avanzada de los
sandbox. La última actualización es Window Server 2022 …

Específicamente para Window Server 2019 se ha incluido:

Mayor soporte para manejo de máquinas virtuales con Hyper-V en dos

versiones

Ofrece la cónsola integrada para sistemas heterogéneos, producto del

trabajo del proyecto Honolulu.

Se mejoró sustancialmente Window Defender con integración para

gestión integrada de virus y exploits y muchas herramientas de segu-
ridad preventiva.

Se redujo el tamaño de los contenedores y se incluyó Kubernettes para

la orquestación de contenedores entre varios servidores.

34
35
[Link]@[Link]

[Link]