wServer 2012
Content
Windows Server 2012 20 de abril de 2014
Universidad Abierta Interamericana
Ingeniería en Sistemas Informáticos Arquitectura de Sistemas Operativos
Página 1
Windows Server 2012 20 de abril de 2014
Windows Server 2012
Docente: Leandro Mascarello Alumnos: Silvia Aguilar Favio Andrés Leyva
Catedra:
2k Turno Noche
Página 2
Windows Server 2012 20 de abril de 2014
Contenido Introducción ............................................................................................................. Error! Bookmark not defined. Análisis ...................................................................................................................... Error! Bookmark not defined. Conclusión ................................................................................................................ Error! Bookmark not defined. Bibliografía................................................................................................................ Error! Bookmark not defined.
Página 3
Windows Server 2012 20 de abril de 2014
Historia Se trata de un sistema operativo para servidores de la familia Windows de la marca Microsoft , y es el sucesor de Server 2008 R2. Salió al mercado en el año 2012, al principio se llamó Windows Server 8, pero finalmente el 17 de Abril de 2012 se dio a conocer su nombre definitivo: "Windows Server 2012" Previamente se lanzaron 2 versiones beta, una para desarrolladores y otra destinada al público en general. Mientras que la última versión lista para fabricación (RTM) se lanzó el 1 de agosto de 2012 y estuvo a disposición general el 4 de septiembre de 2012
Página 4
Windows Server 2012 20 de abril de 2014
Versiones Existen cuatro versiones: Datacenter Es la más completa destinada a entornos cloud híbridos y privados con alto grado de virtualización, por lo que incluye derechos ilimitados de máquinas virtuales, y es indicado para sistemas con alta densidad de virtualización. La licencia incluye maquinas virtuales ilimitadas. Standard Posee las mismas características que la edición Datacenter, siendo la única diferencia el número de máquinas virtuales. Una licencia de edición Standard le da derecho a ejecutar hasta dos VMs en hasta dos procesadores. Por esto mismo, está destinada a entornos sin virtualización o con baja densidad. Essentials Se dirige a pequeñas empresas sin funciones de virtualización y con límite de 25 cuentas de usuarios y 50 dispositivos También incluye gestión simplificada y brinda además, la posibilidad de conectarse sin problemas a servicios en la nube. Tiene derechos de virtualización limitados. Se puede virtualizar como un SO huésped, pero no puede ser utilizado como un sistema operativo anfitrión de virtualización. Segun Microsoft: “Primer servidor para la pyme conectado al cloud”. Permite hasta 25 usuarios y servidores de uno o dos procesadores. Foundation Es la variante para servidores económicos con un máximo de 15 cuentas de usuario y únicamente estará disponible para fabricantes de equipos originales OEM. Foundation es la edición básica para pequeñas empresas que están en busca de asegurar sus redes, compartir archivos / impresiones, o de una plataforma para aplicaciones de bases de datos y del negocio - todo a un precio accesible. No tiene derechos de Virtualización. No se puede virtualizar como un sistema operativo invitado y no puede ser utilizado como un sistema operativo anfitrión de virtualización. En resumen, las ediciones Datacenter y Standard solamente se diferencian por las maquinas virtuales incluidas en la licencia, tienen las mismas funciones, misma capacidad de memoria y procesador. Es la versión que utilizamos en nuestros Página 5
Windows Server 2012 20 de abril de 2014
datacenters generalmente. Mientras que las ediciones Essentials y Foundation son la solución de microsoft “todo en uno” para la pyme y solamente se vende con equipos. Licenciamiento
Roles
Requisitos mínimos de instalación Los mínimos requisitos del sistema para correr Windows Server 2012 son:
Procesador x64 Memoria RAM 512 Mb Espacio libre en disco de 32 Gb DVD-ROM Monitor SVGA con resolución 800×600 o superior Teclado Página 6
Windows Server 2012 20 de abril de 2014
Mouse o dispositivo apuntador compatible
Además, para añadir el rol de Hyper-V a Windows Server 2012, también se requiere que el procesador de 64 bit sea compatible con las instrucciones de virtualización AMD-V o Intel-VT y por lo menos 4 Gb de RAM para correr hasta cuatro máquinas virtuales. Si se planea usar cinco o más máquinas virtuales, deberá contemplarse que será necesaria más memoria RAM. Nota: Al momento de la instalación se puede elegir entre dos opciones: Server Core, que consta de una interfaz de línea de comandos Server Core with a GUI, una opción de instalación completa con una interfaz gráfica de usuario Entre estas, Server Core es la configuración recomendada. También hay una nueva tercera opción de instalación, que admite la Consola de Administración de Microsoft (MMC) y el Server Manager para ejecutar, pero sin Windows Explorer o las otras partes normales del escritorio. Evolución desde Windows Server 2008 Windows Server 2008
Windows Server 2012
Logical processors on hardware
64
320
Physical memory
1TB
4TB
Virtual processors per host
512
2048
4
64
64GB
1TB
Active virtual machines
384
1024
Maximum cluster nodes
16
64
1000
8000
Si, de terceros
Si, Windows Teaming
Si
Si
MAC spoofing protection
Si, R2 SP1
Si
ARP spoofing protection
Si, R2 SP1
Si
SR-IOV networking
No
Si
Network QoS
No
Si
Network metering
No
Si
Network monitor modes
No
Si
IPsec task offload
No
Si
VM Trunk Mode
No
Características
Virtual processors per virtual machine Memory per virtual machine
Maximum cluster virtual machines NIC Teaming VLAN Tagging
Live storage migration
Si Si, sin limites (maximo No, migracion de almacenamiento que soporte el rapida, a traves de System Center hardware) Página 7
Windows Server 2012 20 de abril de 2014 Virtual machines on file storage
No
Si, SMB 3.0
Guest Fibre Channel
No
Si
Virtual disk format
VHD, hasta 2TB
No
VHD, hasta 2TB Si, VHDX hasta 64TB SI, a traves de iSCSI, Fibre Channel, o Fibre Channel Over Si
No, offline
Si
Live new parent
No
Si
Secure offloaded data transfer
No
Si
Hyper-V PowerShell
No
Si
Network PowerShell
No
Si
Storage PowerShell
No
Si
REST APIs
No
Si
SCONFIG
No
Si
No, servidor core, cuando se instala
Si
No
Si
Virtual machine guest clustering
Si, a través de iSCSI
Native 4 KB disk support Live virtual hard disk merge
Enable/Disable shell VMConnect support for RemoteFX
Seguridad UAC ¿Qué es el Control de cuentas de usuario? es una característica de Windows que le ayuda a controlar el equipo informándole cuando un programa realice un cambio que requiera permiso de nivel de administrador. UAC funciona ajustando el nivel de permiso de su cuenta de usuario. Si realiza tareas que se pueden llevar a cabo como usuario estándar (por ejemplo, leer correo electrónico, escuchar música o crear documentos), tendrá los permisos de un usuario estándar, aunque haya iniciado sesión como administrador.
Cuando se vayan a realizar cambios en el equipo que requieran permiso de nivel de administrador, UAC se lo notificará. Si es administrador, haga clic en Sí para continuar. Si no es administrador, alguien con cuenta de administrador en el equipo tendrá que escribir su contraseña para continuar. Si da permiso, se le concederán temporalmente los derechos de un administrador para llevar a cabo la tarea y posteriormente sus permisos volverán a ser los de un usuario estándar. Esto se hace de tal forma que incluso si usa una cuenta de administrador, no se podrán realizar cambios en el equipo sin que usted lo sepa, lo que ayuda a impedir que se instale software malintencionado (malware) y spyware, o que estos programas realicen modificaciones en el equipo. Cuando es necesario un permiso o una contraseña para completar una tarea, UAC le advierte con uno de los cuatro tipos de cuadro de diálogo que se describen a continuación. En la tabla siguiente se describen los distintos tipos de cuadro de diálogo usados como notificación y se ofrecen instrucciones para responder a las notificaciones.
Página 8
Windows Server 2012 20 de abril de 2014
Icono
Tipo
Descripción
Una opción o característica que forma parte
Este elemento tiene una firma digital válida que
de Windows necesita su permiso para
permite comprobar que su editor es Microsoft.
iniciarse.
Si aparece este tipo de cuadro de diálogo, normalmente resulta seguro continuar. Si no está seguro, compruebe el nombre del programa o de la función para decidir si es algo que desea ejecutar.
Un programa que no forma parte de
Este programa tiene una firma digital válida,
Windows necesita su permiso para iniciarse.
que ayuda a garantizar que es genuino y permite comprobar la identidad del editor del programa. Si aparece este tipo de cuadro de diálogo, asegúrese de que el programa es el que desea ejecutar y de que confía en el editor.
Un programa con un editor desconocido
Este programa no tiene una firma digital válida
necesita su permiso para iniciarse.
de su editor. Esto no significa necesariamente que haya un peligro, dado que muchos programas legítimos más antiguos no tienen firmas digitales. Sin embargo, debe ser especialmente cauteloso y únicamente permitir que un programa se ejecute si lo ha obtenido de una fuente confiable, como el CD original o el sitio web de un editor. Si no está seguro, busque el nombre del programa en Internet para determinar si es un programa conocido o si se trata de software malintencionado.
El administrador del sistema ha bloqueado
Este programa ha sido bloqueado porque se
este programa para que no pueda ejecutarlo.
sabe que no es de confianza. Para ejecutarlo deberá ponerse en contacto con el administrador del sistema.
La mayoría de las veces es recomendable iniciar sesión en el equipo con una cuenta de usuario estándar. De esta manera se puede explorar Internet, enviar mensajes de correo electrónico y usar un procesador de textos sin tener que usar una cuenta de administrador. Cuando se desea ejecutar una tarea administrativa, como instalar un nuevo programa o cambiar una configuración que puede afectar a otros usuarios, no es necesario cambiar a una cuenta de administrador; Windows le pedirá permiso o una contraseña de administrador antes de ejecutar la tarea. También es recomendable crear cuentas de usuario estándar para todas las personas que utilicen el equipo.
Página 9
Windows Server 2012 20 de abril de 2014 En esta versión de Windows puede ajustar la frecuencia con la que UAC le notifica los cambios en el equipo. Si desea que se le informe siempre que se realice cualquier cambio en el equipo, elija recibir una notificación siempre
Componentes de seguridad Feature or Technology
Overview
Access Control Overview
Access Control
Access control helps protect files, applications, and other resources from unauthorized use.
AppLocker Overview
AppLocker
AppLocker provides policy-based access control management for applications.
BitLocker Overview
BitLocker
BitLocker Drive Encryption enables you to encrypt all data that is stored on the operating system volume and configured data volumes for computers running supported versions of Windows. By using a Trusted Platform Module (TPM), it can help ensure the integrity of early startup components.
What changed in Windows Server 2012 R2
What changed in Windows Server 2012
The Protected Users security group and Authentication Policy Silos add more credentials protection. They are administered through Active Directory Domain Services.
Added the ability to use dynamic rules-based policies to protect shared folders and files. For more information, see Dynamic Access Control: Scenario Overview
Redesigned the Access Control List Editor (ACL editor) to more A restricted administration clearly present key information mode is available in the needed to assess and manage Remote Desktop Services access control. For more (RDS) client. information, see Enhanced ACL Editor. For more information see, Credentials Protection and Management. To assist you in process analysis, AppLocker captures command information for each process at runtime, and writes that data to the security log and states, ”The system is attempting to launch a process with the following attributes:” Broadening support for additional platforms.
Recovery password now FIPS-compliant.
Added functionality to set rules on app packages, which helps manage Windows Store apps. For more information, see Packaged Apps and Packaged App Installer Rules in AppLocker.
Added improvements for provisioning and encryption methods, the ability for standard users to change their PINs, support for encrypted hard drives, and a network unlock feature. For more information, see What's New in BitLocker for Windows 8 and Windows Server 2012.
For more information, see What's New in BitLocker for Windows 8.1 and Windows Server 2012 R2. Credential Locker
Credential Locker Overview
Enhancement of credential storage through
Página 10
Added ability to program Windows Store apps to use
Windows Server 2012 20 de abril de 2014 Credential Locker is managed through the Control Panel by Credential Manager, and supports mostly consumer scenarios.
Credentials protection and management. Credentials protection New techniques and features to manage and protect credentials during authentication.
Encrypted Hard Drive Encrypted Hard Drive
Exchange ActiveSync Policy Engine
web authentication brokercapable apps, and ability to select a default credential for each site
Added additional LSA protection configuration options, new security group, new ways to group users and apply specific authentication policies,
Credential Locker, and improvements to credential roaming (which is set to be disabled for domain-joined computers. For more information, see New and changed functionality.
Not available
For more information, see Credentials Protection and Management Device encryption is available on most editions of Windows.
Encrypted Hard Drive is a feature that is provided with BitLocker to enhance data security and management.
For more information, see Device encryption.
Exchange ActiveSync Policy Engine Overview
In certain cases, biometrics sign-in methods are not disabled when the failed-attempts limit is exceeded.
Set of APIs that enable apps to apply EAS policies For more information, on desktops, laptops, and tablets to protect data that see New and changed functionality. is synchronized from the cloud, such as data from Exchange Server.
Introduced in Windows Server 2012 and Windows 8. For more information, see Support for Encrypted Hard Drives for Windows.
Introduced in Windows Server 2012.
Group Managed Service Accounts Overview Group Managed Service Accounts
The group Managed Service Account provides the same functionality as the standalone Managed Service Account within the domain, and it extends that functionality over multiple servers.
No changes.
Change of behavior when Kerberos
Kerberos Authentication the account is in the Overview Protected User security group.
Página 11
Added the group Managed Service Account. For more information, see What's New for Managed Service Accounts.
Reduced authentication failures due to larger service tickets, added changes for developers and IT professionals, changes to smart card sign on KDC validation defaults, and added configuration and maintenance improvements.
Windows Server 2012 20 de abril de 2014 Kerberos protocol is an authentication mechanism that verifies the identity of a user or host.
For more information, see Credentials protection and management.
Important For domain-joined devices, the default changed so that now smart card sign-on requires that the KDC certificate chains to a CA in the NTAuth store. For more information, see What's New in Kerberos Authentication
Security Policy Settings Overview
Local Computer Policy Settings
Security policy settings are the configurable rules that the operating system follows when it determines the permissions to grant in response to a request for access to resources. Group Policy Administrative Templates can also be used for security management.
NTLM Overview
NTLM
The NTLM authentication protocols are based on a challengeand-response mechanism that proves to a server or domain controller that a user knows the password associated with an account.
Passwords Overview Passwords
Security
The most common method for authenticating a user's identity is to use a secret passphrase or password as part of the sign-in process.
Security Auditing
The policy setting System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signingwas changed to reflect changes in the BitLocker recovery password process.
Added new security policies to
For improved process improve security management. auditing, Audit Process For more information, see New Creation was added to and changed functionality. the System node ofAdministrative Templates under Computer Configuration.
Change of behavior when the account is in the Protected User security group.
No changes.
For more information, see Protected Users Security Group.
No changes. Microsoft offers other means for proving identity. For more information, see Smart Card Overview and Virtual smart cards. No changes.
Página 12
No changes.
Added expression-based audit
Windows Server 2012 20 de abril de 2014 Auditing
Overview
policies, and improvements in the ability to audit new types of securable objects and removable storage devices. For more information, see What's New in Security Auditing.
Security auditing can help identify attacks (successful or not) that pose a threat to your network, or attacks against resources that you have determined are of value through a risk assessment.
Security Configuration Wizard Security Configuration Wizard
The Security Configuration Wizard is an attack-surface reduction tool that helps administrators create security policies that are based on the minimum functionality required for a server's roles.
No changes.
The process to enroll TPM-enabled devices as a virtual smart card device has Smart cards provide a improved. APIs are added to tamper-resistant and simplify the enrollment portable security solution process, making it easier to for tasks such as enroll a device with a virtual authenticating clients, smart card regardless of signing in to domains, signing code, and securing whether they are domain joined and regardless of the email. hardware.
No changes.
Smart Card Overview
Smart Cards
Software Restriction Policies Software Restriction Policies
Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run.
TLS/SSL (Schannel SSP) Overview
TLS/SSL (Schannel SSP)
Changed the smart card sign-in experience, service start and stop behavior, and smart card transactions, by adding support for Windows RT devices and Windows 8 applications. For more information, see What's New in Smart Cards. No changes.
No changes.
Supports server-side “TLS/SSL Session Resumption without ServerSide State extension” (also known as RFC 5077).
Added greater flexibility for AppLocker to control programs in your enterprise. For more information, see AppLocker Overview.
Changed how trusted issuers for client authentication can be managed, added TLS support for Schannel is a Security Server Name Indicator (SNI) Support Provider (SSP) that Extensions, and added Datagram implements the Secure Addition of the client-side Transport Layer Security (DTLS) Sockets Layer (SSL) and Application Protocol for the provider. For more Transport Layer Security Negotiation information, see New and (TLS) Internet standard changed functionality in Windows authentication protocols. Server 2012. For more information, see New and changed functionality in Windows Página 13
Windows Server 2012 20 de abril de 2014 Server 2012 R2. Trusted Platform Module Technology Overview Trusted Platform Module (TPM)
User Account Control (UAC)
For more information, Trusted Platform Module see Malware (TPM) technology is resistanceand What's New designed to provide hardware-based, security- for the TPM in Windows 8.1. related functions. User Account Control Overview
UAC helps mitigate the impact of malicious programs. Virtual smart cards offer multifactor authentication and compatibility with many smart card infrastructures, and offer users the convenience of not having to carry a Virtual Smart physical card, so users are Card more likely to follow their organization’s security guidelines rather than working around them.
Understanding and Evaluating Virtual Smart Cards Windows Biometric Framework Overview Windows Biometric Frameworkand Windows Biometrics
Windows Defender
Improved administration and Improvements to the TPM functionality, including Key Storage Provider for platform and key attestation. automated provisioning and
The Windows Biometric Framework (WBF) is a set of services and interfaces that permit consistent development and management of biometric devices, such as fingerprint readers. WBF improves the reliability and compatibility with biometric services and drivers. Windows Defender is a full-featured antimalware solution that is capable of detecting and stopping a wider range of potentially malicious software, including viruses.
No changes.
management, Measured Boot with support for attestation, TPM-based Virtual Smart Card, and secure storage for critical elements. For more information, see New and changed functionality. Refined to allow easier administration of UAC configuration and messages. For more information, see New and changed functionality.
The process to enroll TPM-enabled devices as a virtual smart card device has improved. APIs are added to simplify the enrollment process, making it easier to enroll a device with a virtual Introduced in Windows Server smart card regardless of 2012. whether they are domain joined and regardless of the hardware.
For more information, see Virtual smart cards Enhanced the client and associated APIs.
For more information, see Fingerprint biometrics.
Better integration of fingerprint readers with Fast User Switching, and synchronization of passwords with fingerprints. For more information, see New and changed functionality
Available and enabled by Upgraded from antispyware to default on Server Core a full-featured antimalware installation options and Core solution that is capable of System Server (without the detecting and stopping a wider user interface). range of potentially malicious For more information, software, including viruses.
see Windows Defender.
Comandos utilizados para seguridad Página 14
Windows Server 2012 20 de abril de 2014
Name
Description
ConvertFromSecureString
Converts a secure string into an encrypted standard string.
ConvertToSecureString
Converts encrypted standard strings to secure strings. It can also convert plain text to secure strings. It is used with ConvertFrom-SecureString and Read-Host.
Get-Acl
Gets the security descriptor for a resource, such as a file or registry key.
GetAuthenticodeSignature
Gets information about the Authenticode signature in a file.
Get-Credential
Gets a credential object based on a user name and password.
Get-ExecutionPolicy
Gets the execution policies in the current session.
Get-PfxCertificate
Gets information about .pfx certificate files on the computer.
Set-Acl
Changes the security descriptor of a specified resource, such as a file or a registry key.
SetAuthenticodeSignature
Adds an Authenticode signature to a Windows PowerShell script or other file.
Set-ExecutionPolicy
Changes the user preference for the execution policy of the shell.
Auditpol Displays information about and performs functions to manipulate audit policies. Auditpol command [<sub-command><options>]
Subcomma nd
Description
/get
Displays the current audit policy. See Auditpol get for syntax and options.
/set
Sets the audit policy. See Auditpol set for syntax and options.
/list
Displays selectable policy elements. See Auditpol list for syntax and options.
Página 15
Windows Server 2012 20 de abril de 2014 /backup
Saves the audit policy to a file. See Auditpol backup for syntax and options.
/restore
Restores the audit policy from a file that was previously created by using auditpol /backup. See Auditpol restore for syntax and options.
/clear
Clears the audit policy. See Auditpol clear for syntax and options.
/remove
Removes all per-user audit policy settings and disables all system audit policy settings. See Auditpol remove for syntax and options.
/resourc eSACL
Configures global resource system access control lists (SACLs).
Note
Applies only to Windows 7 and Windows Server 2008 R2. See Auditpol resourceSACL. /?
Displays help at the command prompt.
Icacls Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories. icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]] icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
Parameter
Description
<FileName>
Specifies the file for which to display DACLs.
<Directory>
Specifies the directory for which to display DACLs.
/t
Performs the operation on all specified files in the current directory and its subdirectories.
/c
Continues the operation despite any file errors. Error messages will still be displayed.
Página 16
Windows Server 2012 20 de abril de 2014 /l
Performs the operation on a symbolic link versus its destination.
/q
Suppresses success messages.
[/save <ACLfile> [/t] [/c] [/l] [/q]]
Stores DACLs for all matching files into ACLfile for later use with /restore.
[/setowner <Username> [/t] [/c] [/l] [/q]]
Changes the owner of all matching files to the specified user.
[/findSID <Sid> [/t] [/c] [/l] [/q]]
Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/verify [/t] [/c] [/l] [/q]]
Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/reset [/t] [/c] [/l] [/q]]
Replaces ACLs with default inherited ACLs for all matching files.
[/grant[:r] <Sid>:<Perm>[...]]
Grants specified user access rights. Permissions replace previously granted explicit permissions. Without :r, permissions are added to any previously granted explicit permissions.
[/deny <Sid>:<Perm>[...]]
Explicitly denies specified user access rights. An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q]
Removes all occurrences of the specified SID from the DACL. :g removes all occurrences of granted rights to the specified SID. :d removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI)(OI)]<Level>:<Policy>[...]]
Explicitly adds an integrity ACE to all matching files. Level is specified as: L[ow] M[edium] H[igh] Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/substitute <SidOld> <SidNew> [...]]
Replaces an existing SID (SidOld) with a new SID (SidNew). Requires the Directory parameter.
/restore <ACLfile> [/c] [/l] [/q]
Applies stored DACLs from ACLfile to files in the specified directory. Requires the Directory parameter.
Página 17
Windows Server 2012 20 de abril de 2014
AccessChk v3.0 Como parte de su tarea de garantizar la creación de un entorno seguro, los administradores de Windows con frecuencia deben conocer qué clase de accesos tienen usuarios o grupos específicos a los recursos, incluidos los archivos, los directorios, las claves del Registro los y servicios de Windows. AccessChk responde rápidamente a estas preguntas con una interfaz y resultados intuitivos.
Página 18
Windows Server 2012 20 de abril de 2014
AccessChk v3.0 Por Mark Russinovich Publicado: febrero 27, 2007
Introducción Como parte de su tarea de garantizar la creación de un entorno seguro, los administradores de Windows con frecuencia deben conocer qué clase de accesos tienen usuarios o grupos específicos a los recursos, incluidos los archivos, los directorios, las claves del Registro los y servicios de Windows. AccessChk responde rápidamente a estas preguntas con una interfaz y resultados intuitivos.
Instalación AccessChk es un programa de consola. Copie AccessChk en la ruta de acceso al archivo ejecutable. Al escribir "accesschk", se muestra la sintaxis de uso. AccessChk funciona en Windows Vista, Win2K, Windows XP y Server 2003, incluidas las versiones x64 de Windows.
Uso usage:usage:accesschk [-s][-e][-r][-w][-n][-v][[-k][-p][-c]|[-d]] [username] <username> <file, directory, registry key, service>
-c
El nombre es un servicio de Windows por ejemplo ssdpsrv (especifique '*' para mostrar todos los servicios)
-d
Permite procesar sólo directorios
-e
Permite mostrar sólo niveles de integridad explícitamente establecidos (sólo para Windows Vista)
-k
El nombre es una clave del Registro por ejemplo hklm\software
-n
Permite mostrar sólo objetos que no tienen acceso
-p
El nombre es un nombre de proceso o PID; por ejemplo, cmd.exe (especifique '*' como nombre para mostrar todos los procesos)
-q
Permite omitir banner
-r
Permite mostrar sólo objetos que tienen acceso de lectura
-s
Recursivo
-v
Detallado (incluye el nivel de integridad de Windows Vista)
-w Permite mostrar sólo objetos que tienen acceso de escritura
Página 19
Windows Server 2012 20 de abril de 2014
AccessEnum v1.32 Mientras que el modelo de seguridad flexible empleado por sistemas Windows basados en NT permiten un control total sobre permisos de seguridad y archivos, la administración de los permisos para que los usuarios tengan acceso apropiado a archivos, directorios y claves del registro puede resultar difícil. No existe una forma integrada de consultar rápidamente los accesos de usuario a un árbol de directorios o claves. AccessEnum le ofrece en segundos una vista completa de la configuración de seguridad del sistema de archivos y el registro, lo que lo convierte en la herramienta ideal para ayudarle con las carencias de seguridad y el bloqueo de permisos donde sea necesario.
ShareEnum v1.6 Un aspecto de la seguridad de red de Windows NT/2000/XP que se suele pasar por alto son los recursos compartidos de archivo. Se produce una brecha de seguridad común cuando los usuarios definen los recursos compartidos del archivo con bajos niveles de seguridad, lo que permite que los usuarios no autorizados vean archivos privados. No existen herramientas integradas para listar los recursos compartidos visibles en una red ni su configuración de seguridad, pero ShareEnum llena este vacío y permite bloquear los recursos compartidos de archivo de la red. Cuando se ejecuta ShareEnum, usa la enumeración NetBIOS para analizar todos los equipos dentro de los dominios accesibles, y muestra los recursos compartidos de archivo e impresión y su configuración de seguridad. Dado que sólo el administrador del dominio puede obtener acceso a todos los recursos de red, ShareEnum es más efectivo si se ejecuta desde una cuenta de administrador de dominio.
REFS Los clientes de Windows desean disponer de una plataforma rentable que maximice la disponibilidad de los datos, que escale de manera eficiente a conjuntos de datos de gran tamaño en diversas cargas de trabajo y que garantice la integridad de los datos por medio de la resistencia a los daños (independientemente de los errores de software o hardware). ReFS es un nuevo sistema de archivos que está diseñado para satisfacer estas necesidades de los clientes y, al mismo tiempo, proporcionar una base para importantes innovaciones en el futuro. Mediante una pila de almacenamiento integrada que incluye ReFS y la nueva característica Espacios de almacenamiento en Windows Server 2012, los clientes ahora pueden implementar la plataforma más rentable para obtener un acceso a los datos escalable y disponible utilizando almacenamiento. La característica Espacios de almacenamiento protege los datos contra errores de disco parciales y totales mediante la conservación de copias en varios discos. ReFS establece una interfaz con Espacios de almacenamiento para reparar los daños de manera automática. Las siguientes son algunas de las características clave de ReFS: Mantiene los más altos niveles posibles de disponibilidad y confiabilidad del sistema, suponiendo que el almacenamiento subyacente puede ser, de forma inherente, poco confiable.
Ofrece una arquitectura resistente a errores completa cuando se usa junto con Espacios de almacenamiento para que estas dos características amplíen las funcionalidades y la confiabilidad de la otra cuando se usan juntas.
Mantiene la compatibilidad con las características de NTFS que se adoptan ampliamente y con resultados óptimos, además de reemplazar las características que aportan un valor limitado. Página 20
Windows Server 2012 20 de abril de 2014
Además, existe una nueva herramienta de línea de comandos Integrity.exe para administrar la integridad y las directivas de limpieza de discos. Aplicaciones prácticas
ReFS ofrece funcionalidades que ayudan a los clientes a almacenar y proteger los datos, independientemente de la confiabilidad de la pila subyacente de hardware y software. Esto minimiza el costo del almacenamiento y reduce los gastos de capital para las empresas. Las siguientes son algunas de las aplicaciones prácticas: Servidor de archivos de uso general. El cliente implementa un servidor de archivos conectado a una configuración de almacenamiento JBOD con unidades serie ATA (SATA) o SCSI conectado en serie (SAS).
Almacenamiento remoto consolidado de datos de aplicaciones. El cliente implementa un clúster de servidor de archivos de dos nodos y escalabilidad horizontal con Espacios de almacenamiento, en el cual el clúster usa una configuración de almacenamiento JBOD con unidades SATA o SAS.
Funcionalidad importante La funcionalidad importante que se incluye con ReFS se describe a continuación:
Integridad: ReFS almacena los datos de modo que los protege contra muchos de los errores comunes que normalmente ocasionan pérdida de datos. Cuando ReFS se usa junto con un Espacio de almacenamiento reflejado, los daños detectados (tanto en los metadatos como en los datos de usuario, cuando están habilitadas las secuencias de integridad) se pueden reparar de forma automática mediante la copia alternativa proporcionada por los Espacios de almacenamiento. En caso de que se produzca un error del sistema, ReFS se recupera rápidamente del error sin que haya pérdida de datos de usuario.
Disponibilidad. ReFS prioriza la disponibilidad de los datos. Históricamente, los sistemas de archivos a menudo son susceptibles a daños en los datos que requieren que el sistema se desconecte para la reparación. Con ReFS, si se producen daños, el proceso de reparación se localiza en el área del daño y se ejecuta en línea, por lo que no se requiere tiempo de inactividad de los volúmenes. Pese a que no es algo habitual, si un volumen se daña, o si el usuario decide no usar Espacios de almacenamiento reflejados, ReFS implementa un rescate, una característica que elimina los datos dañados del espacio de nombres en un volumen activo sin que los datos en estado óptimo se vean afectados por los datos dañados que no se pueden reparar. Además, no hay chkdsk con ReFS.
Escalabilidad. Dado que la cantidad y el tamaño de los datos que se almacenan en los equipos sigue aumentando con rapidez, ReFS está diseñado para funcionar correctamente con conjuntos de datos extremadamente grandes, petabytes y volúmenes aún mayores, sin afectar al rendimiento. No obstante, las preocupaciones prácticas en torno a las configuraciones del sistema (como la cantidad de memoria), los límites que imponen diversos componentes del sistema y el tiempo que se necesita para rellenar los conjuntos de datos o las horas de copia de seguridad pueden definir limitaciones prácticas. El formato en disco de ReFS está diseñado para admitir tamaños de volúmenes de hasta 2^78 bytes usando tamaños de clúster de 16 KB, mientras que el direccionamiento de la pila de Windows permite 2^64 bytes. Este formato también admite tamaños de archivo de 2^64-1 bytes, 2^64 archivos en un directorio y la misma cantidad de directorios en un volumen.
Identificación proactiva de errores. Las funcionalidades de integridad de ReFS las aprovecha un escáner de integridad, cuyo proceso se conoce como limpieza. La utilidad de limpieza examina de forma
Página 21
Windows Server 2012 20 de abril de 2014 periódica el volumen e intenta identificar los daños latentes y luego desencadena automáticamente una reparación de los datos dañados.
Página 22
Universidad Abierta Interamericana
Ingeniería en Sistemas Informáticos Arquitectura de Sistemas Operativos
Página 1
Windows Server 2012 20 de abril de 2014
Windows Server 2012
Docente: Leandro Mascarello Alumnos: Silvia Aguilar Favio Andrés Leyva
Catedra:
2k Turno Noche
Página 2
Windows Server 2012 20 de abril de 2014
Contenido Introducción ............................................................................................................. Error! Bookmark not defined. Análisis ...................................................................................................................... Error! Bookmark not defined. Conclusión ................................................................................................................ Error! Bookmark not defined. Bibliografía................................................................................................................ Error! Bookmark not defined.
Página 3
Windows Server 2012 20 de abril de 2014
Historia Se trata de un sistema operativo para servidores de la familia Windows de la marca Microsoft , y es el sucesor de Server 2008 R2. Salió al mercado en el año 2012, al principio se llamó Windows Server 8, pero finalmente el 17 de Abril de 2012 se dio a conocer su nombre definitivo: "Windows Server 2012" Previamente se lanzaron 2 versiones beta, una para desarrolladores y otra destinada al público en general. Mientras que la última versión lista para fabricación (RTM) se lanzó el 1 de agosto de 2012 y estuvo a disposición general el 4 de septiembre de 2012
Página 4
Windows Server 2012 20 de abril de 2014
Versiones Existen cuatro versiones: Datacenter Es la más completa destinada a entornos cloud híbridos y privados con alto grado de virtualización, por lo que incluye derechos ilimitados de máquinas virtuales, y es indicado para sistemas con alta densidad de virtualización. La licencia incluye maquinas virtuales ilimitadas. Standard Posee las mismas características que la edición Datacenter, siendo la única diferencia el número de máquinas virtuales. Una licencia de edición Standard le da derecho a ejecutar hasta dos VMs en hasta dos procesadores. Por esto mismo, está destinada a entornos sin virtualización o con baja densidad. Essentials Se dirige a pequeñas empresas sin funciones de virtualización y con límite de 25 cuentas de usuarios y 50 dispositivos También incluye gestión simplificada y brinda además, la posibilidad de conectarse sin problemas a servicios en la nube. Tiene derechos de virtualización limitados. Se puede virtualizar como un SO huésped, pero no puede ser utilizado como un sistema operativo anfitrión de virtualización. Segun Microsoft: “Primer servidor para la pyme conectado al cloud”. Permite hasta 25 usuarios y servidores de uno o dos procesadores. Foundation Es la variante para servidores económicos con un máximo de 15 cuentas de usuario y únicamente estará disponible para fabricantes de equipos originales OEM. Foundation es la edición básica para pequeñas empresas que están en busca de asegurar sus redes, compartir archivos / impresiones, o de una plataforma para aplicaciones de bases de datos y del negocio - todo a un precio accesible. No tiene derechos de Virtualización. No se puede virtualizar como un sistema operativo invitado y no puede ser utilizado como un sistema operativo anfitrión de virtualización. En resumen, las ediciones Datacenter y Standard solamente se diferencian por las maquinas virtuales incluidas en la licencia, tienen las mismas funciones, misma capacidad de memoria y procesador. Es la versión que utilizamos en nuestros Página 5
Windows Server 2012 20 de abril de 2014
datacenters generalmente. Mientras que las ediciones Essentials y Foundation son la solución de microsoft “todo en uno” para la pyme y solamente se vende con equipos. Licenciamiento
Roles
Requisitos mínimos de instalación Los mínimos requisitos del sistema para correr Windows Server 2012 son:
Procesador x64 Memoria RAM 512 Mb Espacio libre en disco de 32 Gb DVD-ROM Monitor SVGA con resolución 800×600 o superior Teclado Página 6
Windows Server 2012 20 de abril de 2014
Mouse o dispositivo apuntador compatible
Además, para añadir el rol de Hyper-V a Windows Server 2012, también se requiere que el procesador de 64 bit sea compatible con las instrucciones de virtualización AMD-V o Intel-VT y por lo menos 4 Gb de RAM para correr hasta cuatro máquinas virtuales. Si se planea usar cinco o más máquinas virtuales, deberá contemplarse que será necesaria más memoria RAM. Nota: Al momento de la instalación se puede elegir entre dos opciones: Server Core, que consta de una interfaz de línea de comandos Server Core with a GUI, una opción de instalación completa con una interfaz gráfica de usuario Entre estas, Server Core es la configuración recomendada. También hay una nueva tercera opción de instalación, que admite la Consola de Administración de Microsoft (MMC) y el Server Manager para ejecutar, pero sin Windows Explorer o las otras partes normales del escritorio. Evolución desde Windows Server 2008 Windows Server 2008
Windows Server 2012
Logical processors on hardware
64
320
Physical memory
1TB
4TB
Virtual processors per host
512
2048
4
64
64GB
1TB
Active virtual machines
384
1024
Maximum cluster nodes
16
64
1000
8000
Si, de terceros
Si, Windows Teaming
Si
Si
MAC spoofing protection
Si, R2 SP1
Si
ARP spoofing protection
Si, R2 SP1
Si
SR-IOV networking
No
Si
Network QoS
No
Si
Network metering
No
Si
Network monitor modes
No
Si
IPsec task offload
No
Si
VM Trunk Mode
No
Características
Virtual processors per virtual machine Memory per virtual machine
Maximum cluster virtual machines NIC Teaming VLAN Tagging
Live storage migration
Si Si, sin limites (maximo No, migracion de almacenamiento que soporte el rapida, a traves de System Center hardware) Página 7
Windows Server 2012 20 de abril de 2014 Virtual machines on file storage
No
Si, SMB 3.0
Guest Fibre Channel
No
Si
Virtual disk format
VHD, hasta 2TB
No
VHD, hasta 2TB Si, VHDX hasta 64TB SI, a traves de iSCSI, Fibre Channel, o Fibre Channel Over Si
No, offline
Si
Live new parent
No
Si
Secure offloaded data transfer
No
Si
Hyper-V PowerShell
No
Si
Network PowerShell
No
Si
Storage PowerShell
No
Si
REST APIs
No
Si
SCONFIG
No
Si
No, servidor core, cuando se instala
Si
No
Si
Virtual machine guest clustering
Si, a través de iSCSI
Native 4 KB disk support Live virtual hard disk merge
Enable/Disable shell VMConnect support for RemoteFX
Seguridad UAC ¿Qué es el Control de cuentas de usuario? es una característica de Windows que le ayuda a controlar el equipo informándole cuando un programa realice un cambio que requiera permiso de nivel de administrador. UAC funciona ajustando el nivel de permiso de su cuenta de usuario. Si realiza tareas que se pueden llevar a cabo como usuario estándar (por ejemplo, leer correo electrónico, escuchar música o crear documentos), tendrá los permisos de un usuario estándar, aunque haya iniciado sesión como administrador.
Cuando se vayan a realizar cambios en el equipo que requieran permiso de nivel de administrador, UAC se lo notificará. Si es administrador, haga clic en Sí para continuar. Si no es administrador, alguien con cuenta de administrador en el equipo tendrá que escribir su contraseña para continuar. Si da permiso, se le concederán temporalmente los derechos de un administrador para llevar a cabo la tarea y posteriormente sus permisos volverán a ser los de un usuario estándar. Esto se hace de tal forma que incluso si usa una cuenta de administrador, no se podrán realizar cambios en el equipo sin que usted lo sepa, lo que ayuda a impedir que se instale software malintencionado (malware) y spyware, o que estos programas realicen modificaciones en el equipo. Cuando es necesario un permiso o una contraseña para completar una tarea, UAC le advierte con uno de los cuatro tipos de cuadro de diálogo que se describen a continuación. En la tabla siguiente se describen los distintos tipos de cuadro de diálogo usados como notificación y se ofrecen instrucciones para responder a las notificaciones.
Página 8
Windows Server 2012 20 de abril de 2014
Icono
Tipo
Descripción
Una opción o característica que forma parte
Este elemento tiene una firma digital válida que
de Windows necesita su permiso para
permite comprobar que su editor es Microsoft.
iniciarse.
Si aparece este tipo de cuadro de diálogo, normalmente resulta seguro continuar. Si no está seguro, compruebe el nombre del programa o de la función para decidir si es algo que desea ejecutar.
Un programa que no forma parte de
Este programa tiene una firma digital válida,
Windows necesita su permiso para iniciarse.
que ayuda a garantizar que es genuino y permite comprobar la identidad del editor del programa. Si aparece este tipo de cuadro de diálogo, asegúrese de que el programa es el que desea ejecutar y de que confía en el editor.
Un programa con un editor desconocido
Este programa no tiene una firma digital válida
necesita su permiso para iniciarse.
de su editor. Esto no significa necesariamente que haya un peligro, dado que muchos programas legítimos más antiguos no tienen firmas digitales. Sin embargo, debe ser especialmente cauteloso y únicamente permitir que un programa se ejecute si lo ha obtenido de una fuente confiable, como el CD original o el sitio web de un editor. Si no está seguro, busque el nombre del programa en Internet para determinar si es un programa conocido o si se trata de software malintencionado.
El administrador del sistema ha bloqueado
Este programa ha sido bloqueado porque se
este programa para que no pueda ejecutarlo.
sabe que no es de confianza. Para ejecutarlo deberá ponerse en contacto con el administrador del sistema.
La mayoría de las veces es recomendable iniciar sesión en el equipo con una cuenta de usuario estándar. De esta manera se puede explorar Internet, enviar mensajes de correo electrónico y usar un procesador de textos sin tener que usar una cuenta de administrador. Cuando se desea ejecutar una tarea administrativa, como instalar un nuevo programa o cambiar una configuración que puede afectar a otros usuarios, no es necesario cambiar a una cuenta de administrador; Windows le pedirá permiso o una contraseña de administrador antes de ejecutar la tarea. También es recomendable crear cuentas de usuario estándar para todas las personas que utilicen el equipo.
Página 9
Windows Server 2012 20 de abril de 2014 En esta versión de Windows puede ajustar la frecuencia con la que UAC le notifica los cambios en el equipo. Si desea que se le informe siempre que se realice cualquier cambio en el equipo, elija recibir una notificación siempre
Componentes de seguridad Feature or Technology
Overview
Access Control Overview
Access Control
Access control helps protect files, applications, and other resources from unauthorized use.
AppLocker Overview
AppLocker
AppLocker provides policy-based access control management for applications.
BitLocker Overview
BitLocker
BitLocker Drive Encryption enables you to encrypt all data that is stored on the operating system volume and configured data volumes for computers running supported versions of Windows. By using a Trusted Platform Module (TPM), it can help ensure the integrity of early startup components.
What changed in Windows Server 2012 R2
What changed in Windows Server 2012
The Protected Users security group and Authentication Policy Silos add more credentials protection. They are administered through Active Directory Domain Services.
Added the ability to use dynamic rules-based policies to protect shared folders and files. For more information, see Dynamic Access Control: Scenario Overview
Redesigned the Access Control List Editor (ACL editor) to more A restricted administration clearly present key information mode is available in the needed to assess and manage Remote Desktop Services access control. For more (RDS) client. information, see Enhanced ACL Editor. For more information see, Credentials Protection and Management. To assist you in process analysis, AppLocker captures command information for each process at runtime, and writes that data to the security log and states, ”The system is attempting to launch a process with the following attributes:” Broadening support for additional platforms.
Recovery password now FIPS-compliant.
Added functionality to set rules on app packages, which helps manage Windows Store apps. For more information, see Packaged Apps and Packaged App Installer Rules in AppLocker.
Added improvements for provisioning and encryption methods, the ability for standard users to change their PINs, support for encrypted hard drives, and a network unlock feature. For more information, see What's New in BitLocker for Windows 8 and Windows Server 2012.
For more information, see What's New in BitLocker for Windows 8.1 and Windows Server 2012 R2. Credential Locker
Credential Locker Overview
Enhancement of credential storage through
Página 10
Added ability to program Windows Store apps to use
Windows Server 2012 20 de abril de 2014 Credential Locker is managed through the Control Panel by Credential Manager, and supports mostly consumer scenarios.
Credentials protection and management. Credentials protection New techniques and features to manage and protect credentials during authentication.
Encrypted Hard Drive Encrypted Hard Drive
Exchange ActiveSync Policy Engine
web authentication brokercapable apps, and ability to select a default credential for each site
Added additional LSA protection configuration options, new security group, new ways to group users and apply specific authentication policies,
Credential Locker, and improvements to credential roaming (which is set to be disabled for domain-joined computers. For more information, see New and changed functionality.
Not available
For more information, see Credentials Protection and Management Device encryption is available on most editions of Windows.
Encrypted Hard Drive is a feature that is provided with BitLocker to enhance data security and management.
For more information, see Device encryption.
Exchange ActiveSync Policy Engine Overview
In certain cases, biometrics sign-in methods are not disabled when the failed-attempts limit is exceeded.
Set of APIs that enable apps to apply EAS policies For more information, on desktops, laptops, and tablets to protect data that see New and changed functionality. is synchronized from the cloud, such as data from Exchange Server.
Introduced in Windows Server 2012 and Windows 8. For more information, see Support for Encrypted Hard Drives for Windows.
Introduced in Windows Server 2012.
Group Managed Service Accounts Overview Group Managed Service Accounts
The group Managed Service Account provides the same functionality as the standalone Managed Service Account within the domain, and it extends that functionality over multiple servers.
No changes.
Change of behavior when Kerberos
Kerberos Authentication the account is in the Overview Protected User security group.
Página 11
Added the group Managed Service Account. For more information, see What's New for Managed Service Accounts.
Reduced authentication failures due to larger service tickets, added changes for developers and IT professionals, changes to smart card sign on KDC validation defaults, and added configuration and maintenance improvements.
Windows Server 2012 20 de abril de 2014 Kerberos protocol is an authentication mechanism that verifies the identity of a user or host.
For more information, see Credentials protection and management.
Important For domain-joined devices, the default changed so that now smart card sign-on requires that the KDC certificate chains to a CA in the NTAuth store. For more information, see What's New in Kerberos Authentication
Security Policy Settings Overview
Local Computer Policy Settings
Security policy settings are the configurable rules that the operating system follows when it determines the permissions to grant in response to a request for access to resources. Group Policy Administrative Templates can also be used for security management.
NTLM Overview
NTLM
The NTLM authentication protocols are based on a challengeand-response mechanism that proves to a server or domain controller that a user knows the password associated with an account.
Passwords Overview Passwords
Security
The most common method for authenticating a user's identity is to use a secret passphrase or password as part of the sign-in process.
Security Auditing
The policy setting System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signingwas changed to reflect changes in the BitLocker recovery password process.
Added new security policies to
For improved process improve security management. auditing, Audit Process For more information, see New Creation was added to and changed functionality. the System node ofAdministrative Templates under Computer Configuration.
Change of behavior when the account is in the Protected User security group.
No changes.
For more information, see Protected Users Security Group.
No changes. Microsoft offers other means for proving identity. For more information, see Smart Card Overview and Virtual smart cards. No changes.
Página 12
No changes.
Added expression-based audit
Windows Server 2012 20 de abril de 2014 Auditing
Overview
policies, and improvements in the ability to audit new types of securable objects and removable storage devices. For more information, see What's New in Security Auditing.
Security auditing can help identify attacks (successful or not) that pose a threat to your network, or attacks against resources that you have determined are of value through a risk assessment.
Security Configuration Wizard Security Configuration Wizard
The Security Configuration Wizard is an attack-surface reduction tool that helps administrators create security policies that are based on the minimum functionality required for a server's roles.
No changes.
The process to enroll TPM-enabled devices as a virtual smart card device has Smart cards provide a improved. APIs are added to tamper-resistant and simplify the enrollment portable security solution process, making it easier to for tasks such as enroll a device with a virtual authenticating clients, smart card regardless of signing in to domains, signing code, and securing whether they are domain joined and regardless of the email. hardware.
No changes.
Smart Card Overview
Smart Cards
Software Restriction Policies Software Restriction Policies
Software Restriction Policies (SRP) is Group Policy-based feature that identifies software programs running on computers in a domain, and controls the ability of those programs to run.
TLS/SSL (Schannel SSP) Overview
TLS/SSL (Schannel SSP)
Changed the smart card sign-in experience, service start and stop behavior, and smart card transactions, by adding support for Windows RT devices and Windows 8 applications. For more information, see What's New in Smart Cards. No changes.
No changes.
Supports server-side “TLS/SSL Session Resumption without ServerSide State extension” (also known as RFC 5077).
Added greater flexibility for AppLocker to control programs in your enterprise. For more information, see AppLocker Overview.
Changed how trusted issuers for client authentication can be managed, added TLS support for Schannel is a Security Server Name Indicator (SNI) Support Provider (SSP) that Extensions, and added Datagram implements the Secure Addition of the client-side Transport Layer Security (DTLS) Sockets Layer (SSL) and Application Protocol for the provider. For more Transport Layer Security Negotiation information, see New and (TLS) Internet standard changed functionality in Windows authentication protocols. Server 2012. For more information, see New and changed functionality in Windows Página 13
Windows Server 2012 20 de abril de 2014 Server 2012 R2. Trusted Platform Module Technology Overview Trusted Platform Module (TPM)
User Account Control (UAC)
For more information, Trusted Platform Module see Malware (TPM) technology is resistanceand What's New designed to provide hardware-based, security- for the TPM in Windows 8.1. related functions. User Account Control Overview
UAC helps mitigate the impact of malicious programs. Virtual smart cards offer multifactor authentication and compatibility with many smart card infrastructures, and offer users the convenience of not having to carry a Virtual Smart physical card, so users are Card more likely to follow their organization’s security guidelines rather than working around them.
Understanding and Evaluating Virtual Smart Cards Windows Biometric Framework Overview Windows Biometric Frameworkand Windows Biometrics
Windows Defender
Improved administration and Improvements to the TPM functionality, including Key Storage Provider for platform and key attestation. automated provisioning and
The Windows Biometric Framework (WBF) is a set of services and interfaces that permit consistent development and management of biometric devices, such as fingerprint readers. WBF improves the reliability and compatibility with biometric services and drivers. Windows Defender is a full-featured antimalware solution that is capable of detecting and stopping a wider range of potentially malicious software, including viruses.
No changes.
management, Measured Boot with support for attestation, TPM-based Virtual Smart Card, and secure storage for critical elements. For more information, see New and changed functionality. Refined to allow easier administration of UAC configuration and messages. For more information, see New and changed functionality.
The process to enroll TPM-enabled devices as a virtual smart card device has improved. APIs are added to simplify the enrollment process, making it easier to enroll a device with a virtual Introduced in Windows Server smart card regardless of 2012. whether they are domain joined and regardless of the hardware.
For more information, see Virtual smart cards Enhanced the client and associated APIs.
For more information, see Fingerprint biometrics.
Better integration of fingerprint readers with Fast User Switching, and synchronization of passwords with fingerprints. For more information, see New and changed functionality
Available and enabled by Upgraded from antispyware to default on Server Core a full-featured antimalware installation options and Core solution that is capable of System Server (without the detecting and stopping a wider user interface). range of potentially malicious For more information, software, including viruses.
see Windows Defender.
Comandos utilizados para seguridad Página 14
Windows Server 2012 20 de abril de 2014
Name
Description
ConvertFromSecureString
Converts a secure string into an encrypted standard string.
ConvertToSecureString
Converts encrypted standard strings to secure strings. It can also convert plain text to secure strings. It is used with ConvertFrom-SecureString and Read-Host.
Get-Acl
Gets the security descriptor for a resource, such as a file or registry key.
GetAuthenticodeSignature
Gets information about the Authenticode signature in a file.
Get-Credential
Gets a credential object based on a user name and password.
Get-ExecutionPolicy
Gets the execution policies in the current session.
Get-PfxCertificate
Gets information about .pfx certificate files on the computer.
Set-Acl
Changes the security descriptor of a specified resource, such as a file or a registry key.
SetAuthenticodeSignature
Adds an Authenticode signature to a Windows PowerShell script or other file.
Set-ExecutionPolicy
Changes the user preference for the execution policy of the shell.
Auditpol Displays information about and performs functions to manipulate audit policies. Auditpol command [<sub-command><options>]
Subcomma nd
Description
/get
Displays the current audit policy. See Auditpol get for syntax and options.
/set
Sets the audit policy. See Auditpol set for syntax and options.
/list
Displays selectable policy elements. See Auditpol list for syntax and options.
Página 15
Windows Server 2012 20 de abril de 2014 /backup
Saves the audit policy to a file. See Auditpol backup for syntax and options.
/restore
Restores the audit policy from a file that was previously created by using auditpol /backup. See Auditpol restore for syntax and options.
/clear
Clears the audit policy. See Auditpol clear for syntax and options.
/remove
Removes all per-user audit policy settings and disables all system audit policy settings. See Auditpol remove for syntax and options.
/resourc eSACL
Configures global resource system access control lists (SACLs).
Note
Applies only to Windows 7 and Windows Server 2008 R2. See Auditpol resourceSACL. /?
Displays help at the command prompt.
Icacls Displays or modifies discretionary access control lists (DACLs) on specified files, and applies stored DACLs to files in specified directories. icacls <FileName> [/grant[:r] <Sid>:<Perm>[...]] [/deny <Sid>:<Perm>[...]] [/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q] [/setintegritylevel <Level>:<Policy>[...]] icacls <Directory> [/substitute <SidOld> <SidNew> [...]] [/restore <ACLfile> [/c] [/l] [/q]]
Parameter
Description
<FileName>
Specifies the file for which to display DACLs.
<Directory>
Specifies the directory for which to display DACLs.
/t
Performs the operation on all specified files in the current directory and its subdirectories.
/c
Continues the operation despite any file errors. Error messages will still be displayed.
Página 16
Windows Server 2012 20 de abril de 2014 /l
Performs the operation on a symbolic link versus its destination.
/q
Suppresses success messages.
[/save <ACLfile> [/t] [/c] [/l] [/q]]
Stores DACLs for all matching files into ACLfile for later use with /restore.
[/setowner <Username> [/t] [/c] [/l] [/q]]
Changes the owner of all matching files to the specified user.
[/findSID <Sid> [/t] [/c] [/l] [/q]]
Finds all matching files that contain a DACL explicitly mentioning the specified security identifier (SID).
[/verify [/t] [/c] [/l] [/q]]
Finds all files with ACLs that are not canonical or have lengths inconsistent with ACE (access control entry) counts.
[/reset [/t] [/c] [/l] [/q]]
Replaces ACLs with default inherited ACLs for all matching files.
[/grant[:r] <Sid>:<Perm>[...]]
Grants specified user access rights. Permissions replace previously granted explicit permissions. Without :r, permissions are added to any previously granted explicit permissions.
[/deny <Sid>:<Perm>[...]]
Explicitly denies specified user access rights. An explicit deny ACE is added for the stated permissions and the same permissions in any explicit grant are removed.
[/remove[:g|:d]] <Sid>[...]] [/t] [/c] [/l] [/q]
Removes all occurrences of the specified SID from the DACL. :g removes all occurrences of granted rights to the specified SID. :d removes all occurrences of denied rights to the specified SID.
[/setintegritylevel [(CI)(OI)]<Level>:<Policy>[...]]
Explicitly adds an integrity ACE to all matching files. Level is specified as: L[ow] M[edium] H[igh] Inheritance options for the integrity ACE may precede the level and are applied only to directories.
[/substitute <SidOld> <SidNew> [...]]
Replaces an existing SID (SidOld) with a new SID (SidNew). Requires the Directory parameter.
/restore <ACLfile> [/c] [/l] [/q]
Applies stored DACLs from ACLfile to files in the specified directory. Requires the Directory parameter.
Página 17
Windows Server 2012 20 de abril de 2014
AccessChk v3.0 Como parte de su tarea de garantizar la creación de un entorno seguro, los administradores de Windows con frecuencia deben conocer qué clase de accesos tienen usuarios o grupos específicos a los recursos, incluidos los archivos, los directorios, las claves del Registro los y servicios de Windows. AccessChk responde rápidamente a estas preguntas con una interfaz y resultados intuitivos.
Página 18
Windows Server 2012 20 de abril de 2014
AccessChk v3.0 Por Mark Russinovich Publicado: febrero 27, 2007
Introducción Como parte de su tarea de garantizar la creación de un entorno seguro, los administradores de Windows con frecuencia deben conocer qué clase de accesos tienen usuarios o grupos específicos a los recursos, incluidos los archivos, los directorios, las claves del Registro los y servicios de Windows. AccessChk responde rápidamente a estas preguntas con una interfaz y resultados intuitivos.
Instalación AccessChk es un programa de consola. Copie AccessChk en la ruta de acceso al archivo ejecutable. Al escribir "accesschk", se muestra la sintaxis de uso. AccessChk funciona en Windows Vista, Win2K, Windows XP y Server 2003, incluidas las versiones x64 de Windows.
Uso usage:usage:accesschk [-s][-e][-r][-w][-n][-v][[-k][-p][-c]|[-d]] [username] <username> <file, directory, registry key, service>
-c
El nombre es un servicio de Windows por ejemplo ssdpsrv (especifique '*' para mostrar todos los servicios)
-d
Permite procesar sólo directorios
-e
Permite mostrar sólo niveles de integridad explícitamente establecidos (sólo para Windows Vista)
-k
El nombre es una clave del Registro por ejemplo hklm\software
-n
Permite mostrar sólo objetos que no tienen acceso
-p
El nombre es un nombre de proceso o PID; por ejemplo, cmd.exe (especifique '*' como nombre para mostrar todos los procesos)
-q
Permite omitir banner
-r
Permite mostrar sólo objetos que tienen acceso de lectura
-s
Recursivo
-v
Detallado (incluye el nivel de integridad de Windows Vista)
-w Permite mostrar sólo objetos que tienen acceso de escritura
Página 19
Windows Server 2012 20 de abril de 2014
AccessEnum v1.32 Mientras que el modelo de seguridad flexible empleado por sistemas Windows basados en NT permiten un control total sobre permisos de seguridad y archivos, la administración de los permisos para que los usuarios tengan acceso apropiado a archivos, directorios y claves del registro puede resultar difícil. No existe una forma integrada de consultar rápidamente los accesos de usuario a un árbol de directorios o claves. AccessEnum le ofrece en segundos una vista completa de la configuración de seguridad del sistema de archivos y el registro, lo que lo convierte en la herramienta ideal para ayudarle con las carencias de seguridad y el bloqueo de permisos donde sea necesario.
ShareEnum v1.6 Un aspecto de la seguridad de red de Windows NT/2000/XP que se suele pasar por alto son los recursos compartidos de archivo. Se produce una brecha de seguridad común cuando los usuarios definen los recursos compartidos del archivo con bajos niveles de seguridad, lo que permite que los usuarios no autorizados vean archivos privados. No existen herramientas integradas para listar los recursos compartidos visibles en una red ni su configuración de seguridad, pero ShareEnum llena este vacío y permite bloquear los recursos compartidos de archivo de la red. Cuando se ejecuta ShareEnum, usa la enumeración NetBIOS para analizar todos los equipos dentro de los dominios accesibles, y muestra los recursos compartidos de archivo e impresión y su configuración de seguridad. Dado que sólo el administrador del dominio puede obtener acceso a todos los recursos de red, ShareEnum es más efectivo si se ejecuta desde una cuenta de administrador de dominio.
REFS Los clientes de Windows desean disponer de una plataforma rentable que maximice la disponibilidad de los datos, que escale de manera eficiente a conjuntos de datos de gran tamaño en diversas cargas de trabajo y que garantice la integridad de los datos por medio de la resistencia a los daños (independientemente de los errores de software o hardware). ReFS es un nuevo sistema de archivos que está diseñado para satisfacer estas necesidades de los clientes y, al mismo tiempo, proporcionar una base para importantes innovaciones en el futuro. Mediante una pila de almacenamiento integrada que incluye ReFS y la nueva característica Espacios de almacenamiento en Windows Server 2012, los clientes ahora pueden implementar la plataforma más rentable para obtener un acceso a los datos escalable y disponible utilizando almacenamiento. La característica Espacios de almacenamiento protege los datos contra errores de disco parciales y totales mediante la conservación de copias en varios discos. ReFS establece una interfaz con Espacios de almacenamiento para reparar los daños de manera automática. Las siguientes son algunas de las características clave de ReFS: Mantiene los más altos niveles posibles de disponibilidad y confiabilidad del sistema, suponiendo que el almacenamiento subyacente puede ser, de forma inherente, poco confiable.
Ofrece una arquitectura resistente a errores completa cuando se usa junto con Espacios de almacenamiento para que estas dos características amplíen las funcionalidades y la confiabilidad de la otra cuando se usan juntas.
Mantiene la compatibilidad con las características de NTFS que se adoptan ampliamente y con resultados óptimos, además de reemplazar las características que aportan un valor limitado. Página 20
Windows Server 2012 20 de abril de 2014
Además, existe una nueva herramienta de línea de comandos Integrity.exe para administrar la integridad y las directivas de limpieza de discos. Aplicaciones prácticas
ReFS ofrece funcionalidades que ayudan a los clientes a almacenar y proteger los datos, independientemente de la confiabilidad de la pila subyacente de hardware y software. Esto minimiza el costo del almacenamiento y reduce los gastos de capital para las empresas. Las siguientes son algunas de las aplicaciones prácticas: Servidor de archivos de uso general. El cliente implementa un servidor de archivos conectado a una configuración de almacenamiento JBOD con unidades serie ATA (SATA) o SCSI conectado en serie (SAS).
Almacenamiento remoto consolidado de datos de aplicaciones. El cliente implementa un clúster de servidor de archivos de dos nodos y escalabilidad horizontal con Espacios de almacenamiento, en el cual el clúster usa una configuración de almacenamiento JBOD con unidades SATA o SAS.
Funcionalidad importante La funcionalidad importante que se incluye con ReFS se describe a continuación:
Integridad: ReFS almacena los datos de modo que los protege contra muchos de los errores comunes que normalmente ocasionan pérdida de datos. Cuando ReFS se usa junto con un Espacio de almacenamiento reflejado, los daños detectados (tanto en los metadatos como en los datos de usuario, cuando están habilitadas las secuencias de integridad) se pueden reparar de forma automática mediante la copia alternativa proporcionada por los Espacios de almacenamiento. En caso de que se produzca un error del sistema, ReFS se recupera rápidamente del error sin que haya pérdida de datos de usuario.
Disponibilidad. ReFS prioriza la disponibilidad de los datos. Históricamente, los sistemas de archivos a menudo son susceptibles a daños en los datos que requieren que el sistema se desconecte para la reparación. Con ReFS, si se producen daños, el proceso de reparación se localiza en el área del daño y se ejecuta en línea, por lo que no se requiere tiempo de inactividad de los volúmenes. Pese a que no es algo habitual, si un volumen se daña, o si el usuario decide no usar Espacios de almacenamiento reflejados, ReFS implementa un rescate, una característica que elimina los datos dañados del espacio de nombres en un volumen activo sin que los datos en estado óptimo se vean afectados por los datos dañados que no se pueden reparar. Además, no hay chkdsk con ReFS.
Escalabilidad. Dado que la cantidad y el tamaño de los datos que se almacenan en los equipos sigue aumentando con rapidez, ReFS está diseñado para funcionar correctamente con conjuntos de datos extremadamente grandes, petabytes y volúmenes aún mayores, sin afectar al rendimiento. No obstante, las preocupaciones prácticas en torno a las configuraciones del sistema (como la cantidad de memoria), los límites que imponen diversos componentes del sistema y el tiempo que se necesita para rellenar los conjuntos de datos o las horas de copia de seguridad pueden definir limitaciones prácticas. El formato en disco de ReFS está diseñado para admitir tamaños de volúmenes de hasta 2^78 bytes usando tamaños de clúster de 16 KB, mientras que el direccionamiento de la pila de Windows permite 2^64 bytes. Este formato también admite tamaños de archivo de 2^64-1 bytes, 2^64 archivos en un directorio y la misma cantidad de directorios en un volumen.
Identificación proactiva de errores. Las funcionalidades de integridad de ReFS las aprovecha un escáner de integridad, cuyo proceso se conoce como limpieza. La utilidad de limpieza examina de forma
Página 21
Windows Server 2012 20 de abril de 2014 periódica el volumen e intenta identificar los daños latentes y luego desencadena automáticamente una reparación de los datos dañados.
Página 22
