- Laboratorio de detección – Parte 1: Crear un dominio
- Laboratorio de detección – Parte 2: Unir máquina al dominio
- Laboratorio de detección – Parte 3: Qué es Sysmon
Siguiente paso en nuestra infraestructura de laboratorio de detección. Crearemos una máquina de usuario y tras esto vamos a unir máquina al dominio. Os voy a explicar cómo yo suelo trabajar con máquinas, plantillas y clonaciones enlazadas. Lo cual nos va a permitir ahorrar mucho espacio en disco a la hora de tener muchas máquinas para pruebas. Además, nos va a permitir tenerlas desplegadas con un set de herramientas inicial, lo cual nos facilita el trabajo.
Máquina inicial a modo plantilla
Yo suelo trabajar en este tipo de laboratorios de esta manera. Para simular máquinas de usuarios, lo que voy a hacer es crear una máquina virtual a modo de plantilla. Una máquina con la licencia y con un set de herramientas inicial. Y una vez tenemos esto, para añadir máquinas de usuario a mi laboratorio, voy a clonar la máquina de forma enlazada. Así puedo tener muchas máquinas sin ocupar una gran cantidad de espacio en mi disco.
- Forma fácil: hacerlo con Windows 10 Pro
- Forma compleja: hacerlo con Windows 11 Pro
Windows 11 es más complejo, ya que requiere más requisitos de hardware, además de contar con un chip TPM 2.0 en la máquina. Esto se puede emular con VirtualBox 7.0, pero hace el proceso algo más complejo. Debemos asegurar antes de iniciar el proceso que el TPM es versión 2.0 y que el arranque seguro (Enable Secure Boot) está habitado.
Y a partir de aquí ya tenemos nuestra máquina template para ir añadiendo nuevas máquinas a nuestro lab.
El set de herramientas que dejo instalada en la plantilla es el siguiente. No es demasiado importante, así que instalar lo que consideréis. No es obligatorio instalar esto.
- 7zip
- Firefox
- Chrome
- Varias herramientas para usarlas posteriormente en la detección:
- Wireshark
- ProcessHacker
- Sysinternals, Nirlauncher y ZimmermanTools (las dejo en una carpeta excluida de Defender).
- Sysinternals – Process Monitor
- Sysinternals – Autoruns
- Nirsoft – FolderChangesView
- FTKImager Lite
- Regshot
Crear clones de la template
Vamos a continuar con la Windows 10 por simplicidad. El proceso es el siguiente:
- Generamos un clonado enlazado de la máquina template
- Añadimos la máquina a la red del laboratorio
- Cambiamos el hostname. En PowerShell con permisos de administrador:
- Rename-Computer -NewName «W10HOST001» -Restart
Unir máquina al dominio
Configuración de red de la máquina
Esta máquina de momento tiene dirección IP dentro de la red del laboratorio porque se la asigna el DHCP. Pero este no le asigna la dirección IP, sino que asigna el gateway y los DNS. Los DNS que asigna son los de la máquina host. Y esto es un problema, ya que cuando queramos resolver nombres de nuestro dominio, los DNS del host no van a saber lo que es. Debemos de modificar los DNS de la máquina para que al menos un DNS sea el DC.
Vamos a la configuración del protocolo IPv4 en la interfaz de red de la máquina como vimos en la entrada 1 y establecemos una dirección IP fija.
Añadir la máquina al dominio
Ya podemos unir la máquina al dominio. Para ello tenemos que tener el DC de la entrada 1 encendido. Y vamos a seguir los pasos que nos indica la documentación de Microsoft.
Abrimos el panel de control. Vamos a Sistema y Seguridad. Seleccionamos Sistema. Pulsamos en Cambiar el nombre de este equipo (avanzado).
En la ventana emergente pulsamos en Cambiar en la sección que inicia con «Para cambiar el nombre de este equipo…«
En la sección «Miembro del» seleccionamos Dominio e introducimos el nombre NETBIOS de nuestro dominio: «DFIR«
Introducimos un usuario con permiso de unir máquinas al dominio. Nosotros de momento usamos nuestro usuario «administrador» que es administrador del dominio y puede hacer de todo. Repito, estamos en entorno de laboratorio.
Se une correctamente al dominio. Y tras esto hay que aplicar un reinicio.
Ya tenemos la máquina en el dominio. Podemos comprobarlo si vamos al DC y abrimos la utilidad «Usuarios y equipos de Active Directory«. Donde dentro de la carpeta «Computers» podemos ver este nuevo equipo añadido.
Crear usuario e inicio de sesión
Para poder iniciar sesión en este equipo con una cuenta del dominio, primero debemos crear esta cuenta. Para ellos nos vale con abrir de nuevo en el DC la utilidad «Usuarios y equipos de Active Directory«. Hacemos clic derecho en la carpeta Users y seleccionamos crear nuevo usuario.
Añadimos nombre de pila y nombre para el inicio de sesión del usuario.
Añadimos una contraseña. Y como es un entorno de laboratorio, yo añado que el usuario no debe cambiarla y que no expira.
Ahora ya podemos iniciar sesión en el equipo W10HOST001 con la cuenta usu001.
Conclusiones
Ya tenemos un entorno como el que os muestro en el diagrama. Yo voy manteniendo este diagrama con los datos de mi lab para tenerlos centralizados y accesibles. Insisto, esto es un entono de laboratorio y como veis, yo dejo aquí anotada contraseña e incluso las podría comparto con vosotros. No tiene mayo relevancia, ya que esta infraestructura solo es accesible por mí. En un entorno de producción sería diferente.
¡Nos vemos en el próximo!