CyOps1.1 Chp02 Instructor Supplemental Material
CyOps1.1 Chp02 Instructor Supplemental Material
CyOps1.1 Chp02 Instructor Supplemental Material
operativo Windows
Materiales del Instructor
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 2
Capítulo 2: Sistema
operativo Windows
Operaciones de ciberseguridad v1.1
Guía de planificación
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 3
Capítulo 2: Actividades
¿Qué actividades se relacionan con este capítulo?
N.° de página Tipo de actividad Nombre de la actividad
2.0.1.2 Actividad de clase Identificación de los procesos en ejecución
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 4
Capítulo 2: Evaluación
Los estudiantes deben completar el capítulo 2 "Evaluación" después de completar el capítulo 2.
Los cuestionarios, las prácticas de laboratorio y otras actividades se pueden utilizar para evaluar
informalmente el progreso de los estudiantes.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 5
Capítulo 2: Prácticas recomendadas
Antes de enseñar el capítulo 2, el instructor debe:
Completar la "Evaluación" del capítulo 2.
Repasar los comandos de la CLI y el sistema operativo Windows.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 6
Capítulo 2: Ayuda adicional
Para obtener ayuda adicional sobre las estrategias de enseñanza, incluidos los planes de
lección, las analogías para los conceptos difíciles y los temas de conversación, visite los
Foros comunitarios.
Si tiene planes o recursos de lección que desee compartir, cárguelos en los Foros
comunitarios a fin de ayudar a otros instructores.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 7
Capítulo 2: Sistema
operativo Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 10
2.1 Descripción general de
Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 11
Historia de Windows
Sistema operativo de disco
Sistema operativo de disco (DOS): sistema
operativo que la computadora utiliza a fin de
habilitar estos dispositivos de almacenamiento
de datos para leer y escribir archivos.
MS-DOS, creado por Microsoft, utiliza una línea de
comando como interfaz para que las personas
creen programas y manipulen archivos de datos.
Las primeras versiones de Windows constaban de
una interfaz gráfica de usuario (GUI) que se
ejecutaba en MS-DOS.
En versiones más recientes de Windows, creadas
en NT, el propio sistema operativo controla
directamente la computadora y su hardware.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 12
Historia de Windows
Versiones de Windows
Desde el año 1993 hubo más de
20 versiones de Windows basadas en el
sistema operativo NT.
A partir de Windows XP, comenzó a estar
disponible una edición de 64 bits.
Windows de 64 bits teóricamente puede
trabajar con 16,8 millones terabytes de RAM
Con cada nuevo lanzamiento de Windows,
el sistema operativo se ha mejorado con la
incorporación de más funciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 13
Historia de Windows
GUI de Windows
Windows tiene una interfaz gráfica de usuario
(Graphical User Interface, GUI) para que los
usuarios trabajen con software y archivos de
datos.
La sección principal de la GUI es el escritorio, que
contiene la barra de tareas
La barra de tareas incluye el menú Inicio y Buscar,
elementos de inicio rápido y área de notificaciones.
Al hacer clic con el botón secundario sobre un
icono aparecerá una lista adicional de funciones,
que se conoce como un menú contextual.
El explorador de archivos de Windows es una
herramienta que se utiliza para desplazarse por el
sistema de archivos completo de un equipo.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 14
Historia de Windows
Vulnerabilidades en el sistema operativo
Para aprovechar una vulnerabilidad de un sistema
operativo, el atacante debe utilizar una técnica o
herramienta para atacarla.
Recomendaciones de seguridad habituales del sistema
operativo Windows:
• Implemente protección contra virus o malware.
• No admita servicios desconocidos o sin gestionar.
• Use cifrado.
• Implemente una política de seguridad sólida.
• Revise la configuración del firewall periódicamente.
• Establezca permisos de compartición de archivos
correctamente.
• Utilice contraseñas seguras.
• Inicie sesión como administrador solo cuando sea necesario.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 15
Arquitectura y operaciones de Windows
Capa de abstracción de hardware
Una capa de abstracción de hardware
(Hardware Abstraction Layer, HAL) es un código
que maneja toda la comunicación entre el
hardware y el kernel.
El kernel es el núcleo del sistema operativo y
controla toda la computadora.
Se encarga de todas las solicitudes de entrada
y salida, la memoria y todos los periféricos
conectados a la computadora.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 16
Arquitectura y operaciones de Windows
Modo de usuario y modo de kernel
Una CPU puede operar en dos modos
diferentes cuando la computadora tiene
Windows instalado: el modo de usuario y
el modo de kernel.
Las aplicaciones instaladas se ejecutan
en el modo de usuario, y el código del
sistema operativo lo hace en el modo de
kernel.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 17
Arquitectura y operaciones de Windows
Sistemas de archivos de Windows
Un sistema de archivos determina cómo se organiza la información en
los medios de almacenamiento.
• Windows es compatible con los siguientes sistemas de archivos:
• Tabla de asignación de archivos (FAT)
• exFAT
• Sistema de archivos jerárquico + (HFS+)
• Sistema de archivos extendido (EXT)
• Sistema de archivos de nueva tecnología (NTFS)
NTFS guarda los archivos como una serie de atributos; por ejemplo, el nombre del archivo o una marca de hora.
Los datos que contiene el archivo se guardan en el atributo $DATA y se denominan flujo de datos.
Cada partición es una unidad lógica de almacenamiento que se puede formatear para almacenar información, como
archivos de datos o aplicaciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 18
Arquitectura y operaciones de Windows
Proceso de arranque de Windows
Existen dos tipos de firmware para
computadoras: sistema básico de
entrada y salida (BIOS), e interfaz de
firmware extensible unificada (UEFI).
UEFI se diseñó para reemplazar el BIOS
y admitir las nuevas funciones.
Ya sea BIOS o UEFI, después de
encontrar una instalación válida de
Windows, se ejecuta el archivo
Bootmgr.exe.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 19
Arquitectura y operaciones de Windows
Inicio y apagado de Windows
Las diferentes entradas en estos lugares del registro definen
qué servicios y aplicaciones se inician, tal como indica su tipo de
entrada.
• HKEY_LOCAL_MACHINE
• HKEY_CURRENT_USER
Algunos tipos son Run, RunOnce, RunServices,
RunServicesOnce y Userinit.
• General
• Arranque
• Servicios
• Inicio
• Herramientas
Siempre es mejor cerrar correctamente la computadora que
apagarla.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 20
Arquitectura y operaciones de Windows
Procesos, subprocesos y servicios
Un proceso es cualquier programa que se esté
ejecutando.
Un subproceso es una parte del proceso que
puede ejecutarse.
En Windows, es posible ejecutar varios
subprocesos al mismo tiempo.
Algunos de los procesos que ejecuta Windows
son servicios: programas que se ejecutan en
segundo plano para respaldar el sistema
operativo y las aplicaciones.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 21
Arquitectura y operaciones de Windows
Asignación de la memoria e identificadores
El espacio para la dirección postal virtual de un
proceso es el conjunto de direcciones virtuales que
puede utilizar el proceso.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 24
2.2 Administración de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 25
Configuración y monitoreo de Windows
Ejecución como administrador
A veces, es necesario ejecutar o instalar
software que exige privilegios de
administrador.
Use "Ejecutar como administrador" o abra
un símbolo del sistema de administrador.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 26
Configuración y monitoreo de Windows
Usuarios y dominios locales
Los usuarios y grupos locales se administran con
el applet del panel de control lusrmgr.msc.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 27
Configuración y monitoreo de Windows
CLI y PowerShell
La interfaz de línea de comandos (CLI) de
Windows se puede usar para ejecutar
programas, recorrer el sistema de archivos,
y administrar archivos y carpetas.
Otro entorno llamado Windows PowerShell
puede usarse para crear scripts que
automaticen las tareas que la CLI regular
no puede crear.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 28
Configuración y monitoreo de Windows
Instrumentación de la administración de Windows
Windows Management Instrumentation
(WMI) se utiliza para administrar
computadoras remotas.
Actualmente, algunos ataques utilizan WMI
para conectarse con sistemas remotos,
modificar el registro y ejecutar comandos.
En consecuencia, el acceso debería ser
estrictamente limitado.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 29
Configuración y monitoreo de Windows
El comando net
El comando net puede ir seguido de muchos otros comandos, que pueden combinarse con
cambios para concentrarse en resultados específicos.
Para ver una lista de los comandos net, escriba net help en la petición de ingreso de
comando.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 30
Configuración y monitoreo de Windows
Administrador de tareas y Monitor de recursos
El Administrador de tareas ofrece mucha
información sobre lo que se está ejecutando y el
desempeño general de la computadora.
El Monitor de recursos se utiliza cuando se
necesita información más detallada del uso de
recursos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 31
Configuración y monitoreo de Windows
Redes
Para configurar las propiedades de redes de
Windows y probar la configuración de redes, se
emplea el Centro de redes y recursos compartidos.
Use la herramienta netsh.exe para configurar los
parámetros de red desde una petición de ingreso de
comando.
Para probar el adaptador de red, escriba ping
127.0.0.1 en la petición de ingreso de comando.
También se debe probar el sistema de nombre de
dominio (DNS) mediante el comando nslookup.
Use netstat en la línea de comando para ver los
detalles de las conexiones de red activas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 32
Configuración y monitoreo de Windows
Acceso a los recursos de red
El protocolo de bloqueo de mensaje del servidor
(SMB) se utiliza para compartir recursos de la red.
Para conectar con los recursos se utiliza el
formato convención de nomenclatura universal
(UNC).
Un recurso compartido administrativo se identifica
con el signo de dólar ($) que aparece después de
su nombre.
El protocolo de escritorio remoto (RDP) puede
utilizarse para iniciar sesión en un host remoto y
realizar cambios de configuración, instalar el
software o solucionar problemas.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 33
Configuración y monitoreo de Windows
Servidor de Windows
En centros de datos se utiliza principalmente
otra versión de Windows: Windows Server.
Servicios que incluyen los hosts del servidor
de Windows:
• Servicios de red
• Servicios de archivos
• Servicios web
• Administración
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 34
Configuración y monitoreo de Windows
Práctica de laboratorio: creación de cuentas de usuario
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 35
Configuración y monitoreo de Windows
Práctica de laboratorio: uso de Windows PowerShell
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 36
Configuración y monitoreo de Windows
Práctica de laboratorio: Administrador de tareas de Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 37
Configuración y monitoreo de Windows
Práctica de laboratorio: monitoreo y administración de los recursos del
sistema en Windows
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 38
Seguridad de Windows
El comando netstat
El comando netstat puede usarse para
buscar conexiones entrantes o salientes
no autorizadas.
Vincule las conexiones a los procesos en
ejecución en el Administrador de tareas
mediante netstat – abno.
Para ver los ID de los procesos en el
Administrador de tareas, ábralo, haga clic
con el botón secundario en el encabezado
de la tabla y seleccione PID.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 39
Seguridad de Windows
Visor de eventos
El Visor de eventos de Windows registra
el historial de eventos del sistema, de
aplicaciones y de seguridad.
Windows incluye dos categorías de
registros de eventos: registros de
Windows y registros de aplicaciones y
servicios.
Una vista personalizada incorporada que
se denomina Eventos administrativos e
incluye todos los eventos críticos, de
error y de advertencia de todos los
registros administrativos.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 40
Seguridad de Windows
Administración de actualizaciones de Windows
Para garantizar el máximo nivel de
protección contra ataques, siempre
asegúrese de que Windows esté
actualizado con los últimos service packs y
parches de seguridad.
Windows verifica sistemáticamente el sitio
web de Windows Update en busca de
actualizaciones de alta prioridad que ayuden
a proteger una computadora de las
amenazas de seguridad más recientes.
Para configurar los ajustes de actualización
de Windows, busque Windows Update y
haga clic en la aplicación.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 41
Seguridad de Windows
Política de seguridad local
La directiva de seguridad local de Windows se
puede utilizar para las computadoras
independientes que no forman parte de un
dominio de Active Directory.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 42
Seguridad de Windows
Política de seguridad local
Windows trae preinstalada una protección
contra virus y spyware llamada Windows
Defender.
Windows Defender le permite realizar
análisis manuales de la computadora y
dispositivos de almacenamiento, y
actualizar las definiciones de virus y
spyware en la ficha de actualización.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 43
Seguridad de Windows
Firewall de Windows
Los firewalls suelen actuar abriendo y
cerrando los puertos que utilizan
diversas aplicaciones.
Al abrir solo los puertos requeridos en
un firewall se implementa una política
de seguridad restrictiva.
La mayoría de los dispositivos ahora
vienen con una configuración
altamente restrictiva.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 44
2.3 Resumen del capítulo
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 45
Resumen del capítulo
En este capítulo aprendieron sobre la historia y la arquitectura del sistema operativo Windows. Al
día de hoy, hubo más de 40 versiones de sistemas operativos Windows para equipos de escritorio,
Windows Server y Windows para dispositivos móviles.
La HAL maneja toda la comunicación entre el hardware y el kernel. La CPU puede funcionar en
dos modos independientes: modo de kernel y modo de usuario. Las aplicaciones instaladas se
ejecutan en el modo de usuario, y el código del sistema operativo lo hace en el modo de kernel.
NTFS formatea el disco en cuatro importantes estructuras de datos:
• Sector de arranque de la partición
• Tabla maestra de archivos (Master File Table, MFT)
• Archivos del sistema
• Área de archivos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 46
Resumen del capítulo
Resumen (continuación)
Las aplicaciones suelen estar compuestas por varios procesos. Un proceso es cualquier programa que se esté ejecutando.
Cada proceso en ejecución está compuesto por al menos un subproceso. Un subproceso es una parte del proceso que
puede ejecutarse. Algunos de los procesos que ejecuta Windows son servicios. Son programas que se ejecutan en
segundo plano para respaldar el funcionamiento del sistema operativo y de las aplicaciones.
Cada proceso en una computadora con Windows de 32 bits admite un espacio virtual de direcciones que hace posible un
máximo de cuatro gigabytes de asignación de direcciones. Cada proceso de una computadora con Windows de 64 bits
admite un espacio de direcciones virtuales de hasta 8 terabytes.
Windows almacena toda la información sobre el hardware, las aplicaciones, los usuarios y la configuración del sistema en
una extensa base de datos conocida como el Registro. El registro es una base de datos jerárquica en la que el nivel más alto
se conoce como sección. Estas son las cinco secciones del Registro de Windows:
• HKEY_CURRENT_USER (HKCU)
• HKEY_USERS (HKU)
• HKEY_CLASSES_ROOT (HKCR)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_CURRENT_CONFIG (HKCC)
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 47
Resumen del capítulo
Resumen (continuación)
En este capítulo también aprendieron a configurar, monitorear y preservar la seguridad
de Windows. Para hacer esto normalmente tienen que ejecutar programas como
Administrador. Como administrador, pueden crear usuarios y grupos, deshabilitar el
acceso a las cuentas de administrador e invitado, y utilizar diversas herramientas para
administradores, como las siguientes:
• Todos los comandos disponibles para la CLI y para PowerShell
• La administración remota de computadoras mediante el WMI y Escritorio remoto
• Administrador de tareas y Monitor de recursos
• Configuración de red
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 48
Resumen del capítulo
Resumen (continuación)
Como administrador, puede usar todas las herramientas de seguridad de Windows; por
ejemplo:
• El comando netstat para buscar conexiones entrantes y salientes no autorizadas
• El Visor de eventos para acceder a registros donde se documenta el historial de eventos
del sistema, de seguridad y de aplicaciones
• Configuración y programación de Windows Update
• Política de seguridad local de Windows para asegurar computadoras independientes que
no forman parte de un dominio de Active Directory
• Configuración de Windows Defender para protección integrada antivirus y antispyware
• Configuración del Firewall de Windows para afinar la configuración predeterminada
Como analistas especializados en ciberseguridad tienen que comprender los aspectos
básicos del funcionamiento de Windows y qué herramientas se pueden utilizar para
preservar la seguridad de los terminales Windows.
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 49
Capítulo 2
Nuevos términos y comandos
Flujo de datos alternativos (ADS) Capa de abstracción de hardware Procesos
Sistema básico de entrada y salida (HAL) Registro
(BIOS) Sistema de archivos jerárquico + Monitor de recursos
Base de datos de la configuración (HFS+) Bloque de mensajes del servidor
de arranque (BCD) Núcleo (SMB)
Interfaz de línea de comandos (CLI) Firma de código del modo de kernel Servicios
Sistema operativo de disco (DOS) (KMCS) Subsistema administrador de
Dominio Registro principal de arranque sesiones (SMSS)
Controlador de dominio (DC) (MBR) Archivos del sistema
Cifrado Tabla maestra de archivos (Master Administrador de tareas
Visor de eventos File Table, MFT) Subprocesos
FAT extendida (exFAT) MS-DOS Interfaz de firmware extensible
Sistema de archivos extendido netstat unificada (UEFI)
(EXT) Sistema de archivos de nueva Windows Defender
Tabla de asignación de archivos tecnología (NTFS) Instrumentación de la administración
(FAT) Sector de arranque de la partición de Windows (WMI)
Firewall PowerShell
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 50
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de ciberseguridad:
De 210-250 SECFND - descripción de temas fundamentales sobre ciberseguridad de Cisco:
Dominio 4: análisis basado en host
• 4.1 Defina los siguientes términos en relación con Microsoft Windows:
• Procesos
• Subprocesos
• Asignación de memoria
• Registro de Windows
• WMI
• Se ocupa de
• Servicios
• 4.3 Describa la función de las siguientes tecnologías de terminal en relación con el monitoreo de
seguridad:
• Antivirus y antimalware
• Firewall basado en host
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 51
Capítulo 2
Certificación en operaciones de ciberseguridad
En este capítulo se tratan las siguientes áreas de certificación en operaciones de
ciberseguridad:
De 210 a 255 SECOP: implementación de operaciones de ciberseguridad de Cisco
Dominio 1: análisis de amenazas para terminales y análisis forense
• 1.4 Defina lo siguiente en relación con el sistema de archivos de Microsoft Windows:
• FAT32
• NTFS
• Flujos de datos alternativos
• Marcas de tiempo en un sistema de archivos
© 2016 Cisco y/o sus filiales. Todos los derechos reservados. Información confidencial de Cisco. 52