====== [Fort] Práctica 7: Configuración general de Windows 11 y securización ======
===== 1. Reinicia el equipo y realiza las siguientes tareas =====
==== Lista los usuarios y grupos creados en el sistema de varias formas ====
La primera forma de hacerlo es desde la interfaz fráfica, poniendo " lusrmgr.msc" en la ventana de Windows + R:
{{:master_cs:fortificacion:pasted:20250401-130503.png}}
{{:master_cs:fortificacion:pasted:20250401-130620.png}}
Otra forma es ir a powershell y usar los siguientes comandos para ver los usuarios y grupos:
Get-LocalUser
{{:master_cs:fortificacion:pasted:20250401-131011.png}}
Get-LocalGroup
{{:master_cs:fortificacion:pasted:20250401-131203.png}}
==== Crea un usuario del grupo usuario de 2 formas distintas ====
El grupo Usuario es el que se asigna por defecto a un usuario, podemos crear una nueva cuenta de este grupo de varias formas, por un lado se puede hacer desde interfaz gráfica yendo a Configuración/Cuentas/Otros Usuarios y pulsando en agregar cuenta:
{{:master_cs:fortificacion:pasted:20250401-131614.png}}
Tras eso, en la ventana que saldrá debemos pulsar en "No tengo los datos de inicio de sesión de esta persona".
{{:master_cs:fortificacion:pasted:20250401-131828.png}}
Y en la siguiente ventana presionar en agregar usuario sin cuenta microsoft:
{{:master_cs:fortificacion:pasted:20250401-131937.png}}
Tras eso nos permitirá crear un nuevo usuario:
{{:master_cs:fortificacion:pasted:20250401-132023.png}}
Una vez creado el usuario lo podemos ver en Cuentas/OtrosUsuarios:
{{:master_cs:fortificacion:pasted:20250401-132109.png}}
Desde Usuarios y Grupos locales podemos observar que el usuario en cuestión se ha añadido de forma automática al grupo Usuarios:
{{:master_cs:fortificacion:pasted:20250401-132233.png}}
Otra forma de crear usuarios es mediante la utilización de PowerShell como administrador, por ejemplo, podemos usar el comando:
New-LocalUser -Name NuevoUsuarioPS
{{:master_cs:fortificacion:pasted:20250401-132624.png}}
En este caso el usuario no se añade automáticamente al grupo usuarios por lo que lo debemos añadir manualmente con el siguiente comando:
Add-LocalGroupMember -Group Usuarios -Member nuevoUsuarioPS
{{:master_cs:fortificacion:pasted:20250401-132945.png}}
Tras eso podemos confirmar que el usuario está en el grupo desde Usuarios y Grupos locales:
{{:master_cs:fortificacion:pasted:20250401-133100.png}}
===== 2. Revisa y documenta los siguientes puntos =====
==== Como podemos saber el estado de la licencia del sistema operativo ====
Si vamos a Configuración/Sistema podemos obsevar una sección donde indica si windows está activado o no:
{{:master_cs:fortificacion:pasted:20250401-133400.png}}
También se puede comprobar escribiendo activación en el menú de inicio y yendo a "Ver si Windows Está Activado":
{{:master_cs:fortificacion:pasted:20250401-133756.png}}
{{:master_cs:fortificacion:pasted:20250401-133809.png}}
==== ¿Está activo el DEP?¿Dónde podemos verlo? ====
Para revisar si está activo el DEP debemos ir a Configuración/Sistema/Información y ahí presionamos en Configuración Avanzada del Sistema:
{{:master_cs:fortificacion:pasted:20250401-134458.png}}
En la ventana que aparece presionamos, en la pestaña de opciones avanzadas presionamos en configuración en la sección de rendimiento:
{{:master_cs:fortificacion:pasted:20250401-134809.png}}
En la ventana que nos sale presionamos en la epstaña de Prevención de Ejecución de Datos y ahí podemos ver si DEP está activado o no y podemos cambiar su estado:
{{:master_cs:fortificacion:pasted:20250401-134919.png}}
En este caso DEP está activado para todos los programas y servicios esenciales.
==== ¿Cual es la configuración por defecto del sistema de actualizaciones automáticas? ====
Podemos revisar esta configuración desde Configuración/Windows Update/Opciones Avanzadas:
{{:master_cs:fortificacion:pasted:20250401-135238.png}}
==== Identifica y lista los permisos NTFS que tiene el disco C: ====
Podemos obtener dicho listado de permisos con el comando de PowerShell:
.\icacls.exe C:\ /T
{{:master_cs:fortificacion:pasted:20250401-140314.png}}
Donde los permisos son:
* F: Control total
* RX: Lectura y Ejecución
* I: Permisos heredados de la carpeta superior
==== Identifica todos los procesos que se inician en el arranque del sistema operativo ====
Por un lado, podemos indicar que programas se inician en el sistema operativo desde la pestaña Aplicaciones de Arranque del Administrador de Tareas:
{{:master_cs:fortificacion:pasted:20250401-140841.png}}
También se pueden ver desde el regedit dentro de "HKCU\Software\Microsoft\Windows\CurrentVersion\Run"
{{:master_cs:fortificacion:pasted:20250401-141156.png}}
===== 3. Realiza las siguientes tareas =====
==== Deshabilitar la gestión de hibernación del equipo ====
Para deshabilitar la gestión de la hibernación del equipo se usa el siguiente comando:
powercfg /hibernate off
{{:master_cs:fortificacion:pasted:20250401-141636.png}}
==== Deshabilita las conexiones de asistencia remota al equipo ====
Vamos al menú windows y escribimos asistencia remota:
{{:master_cs:fortificacion:pasted:20250401-142212.png}}
Dentro de la ventana que aparece desmarcamos la casilla de permitir conexiones de asistencia remota a este equipo:
{{:master_cs:fortificacion:pasted:20250401-142303.png}}
==== Activa la protección del sistema en la unidad C: (5-10%) ====
Vamos a Sistema/Información y pinchamos en Protección del sistema:
{{:master_cs:fortificacion:pasted:20250401-142816.png}}
En la ventana que sale presionamos en configurar:
{{:master_cs:fortificacion:pasted:20250401-142918.png}}
Dentro de configurar activamos la protección del sistema y seleccionamos el uso máximo con el slider:
{{:master_cs:fortificacion:pasted:20250401-143030.png}}
==== Revisa la configuración del archivo de paginación. Confirma que el tamaño sea gestionado
por el sistema ====
Para hacer esto escribimos en el menú de inicio rendiminento y seleccionamos "Ajustar apariencia y rendimiento en windows":
{{:master_cs:fortificacion:pasted:20250401-143447.png}}
Y en la ventana que aparece seleccionamos la pestaña de Opciones Avanzadas:
{{:master_cs:fortificacion:pasted:20250401-143629.png}}
Dentro de esta pestaña pulsamos en el botón cambiar que se encuentra en la sección de Memoria Virtual:
{{:master_cs:fortificacion:pasted:20250401-143743.png}}
En este caso podemos ver que está gestionado por el sistema:
{{:master_cs:fortificacion:pasted:20250401-143849.png}}
==== Revisa las propiedades del sistema, y dentro de la sección de “Rendimiento” activa la
opción de “Ajustar para obtener el mejor rendimiento” ====
En la misma sección que estuvimos en el pasado apartado vamos a la pestaña efectos visuales y seleccionamos Ajustar para obtener el mejor rendimiento:
{{:master_cs:fortificacion:pasted:20250401-144012.png}}
==== Cambia el servidor de hora del equipo por un servidor NTP español “roa.hora.es" ====
Vamos a Ajustar Fecha y hora/Relojes adicionales y enla pestaña de hora de internet le damos a cambiar la configuración y en la ventaba que aparezca ponemos el servidor NTP:
{{:master_cs:fortificacion:pasted:20250401-144401.png}}
===== 4. Vamos a realizar la configuración de diferentes Directivas de Grupo en Windows 11 =====
==== a) ¿Qué dos tipos de directivas de grupo locales tenemos? ¿Cuál es la diferencia entreellas? ====
* Directiva de Configuración Local: Sirve para establecer las configuraciones que seguirán los equipos de los usuarios que pertenezcan al grupo
* Directiva de Seguridad Local: Sirve para definir las restricciones de seguridad de las cuentas de usuario
==== b) ¿Cómo accedemos a las directivas de grupo locales? ====
Pulsamos Windows+R y Escribimos gpedit.msc:
{{:master_cs:fortificacion:pasted:20250401-145304.png}}
==== c) Revisa las siguientes secciones de las directivas de grupo e identificar que parámetros tenemos que cambiar en cada una de las secciones ====
=== Configuración directivas de grupo local I ===
Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas de cuenta → Directiva de contraseñas
{{:master_cs:fortificacion:pasted:20250401-145722.png}}
En esta sección podemos encontrar las siguientes directivas:
* Almacenar contraseñas con cifrado reversible: Poco seguro, se recomienda su desactivación ya que hace las contraseñas vulnerables por la forma en la que las almacena
* Longitud mínima de contraseña: Establece que tamaño debe tener la contraseña como mínimo, recomendable para mejorar la complejidad de las contraseñas
* Exigir Historial de contraseñas: Se puede usar para evitar que el usuario repita alguna de las N contraseñas utilizadas, mejorando así algo la seguridad
* La contraseña debe cumplir con los requisitos de complejidad: Permite exigir que la contraseña contenga cierta cantidad de números, mayúsculas, minúsculas y caracteres, para mejorar su complejidad y hacerla más difícil de descifrar.
* Vigencia máxima de la contraseña: Sirve para establecer una fecha de caducidad para la contraseña, pidiendo una contraseña nueva una vez esta ha expirado.
* VIgencia mínima de la contraseña: Evita que la contraseña sea cambiada antes de que pase el tiempo indicado
=== Configuración de directivas de grupo local II ===
Configuración del equipo → Configuración de Windows → Configuración de seguridad → Directivas locales → Opciones deSeguridad
{{:master_cs:fortificacion:pasted:20250401-151123.png}}
* Control de cuentas de Usuario: elevar solo los archivos ejectuables firmados y validados: Se comprueba la firma PKI, permite a la organización controlar las aplicaciones cuya aplicación está permitida.
* Inicio de sesión interactivo: Límite de inactividad del equipo: Bloquea el equipo pasado el tiempo definido de inactividad
* Inicio de sesión interactivo: Pedir al usuario que cambie la contraseña antes de que expire: Muestra una notificación solicitando el cambio de contraseña cierta cantidad de tiempo antes de que esta expire.
* Inicio de sesión interactivo: Umbral de bloqueo de cuenta del equipo: Se definen cuantos intentos de contraseña fallida se permiten antes de bloquear la cuenta.