SAB - T1

(U) ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Dominio?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

(U) ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de referencia?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

(U) ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de directivas de grupo en el nivel de Rol?. Para cumplir los requisitos comunes de seguridad. Para cumplir los requisitos de seguridad específicos del servidor. Para cumplir los requisitos de seguridad de los roles específicos del servidor. Ninguna de las anteriores.

(U) La protección avanzada contra amenazas de Windows Defender (ATP), es una característica de qué Windows server. 2019. 2016. 2022. Ninguna de las anteriores.

(U) ¿En qué versión de Windows Server está introducida la novedad Virtual Secure Mode?. 2019. 2016. 2022. Ninguna de las anteriores.

(U) ¿En qué versión de Windows Server está introducida la novedad Secured-core server?. 2019. 2016. 2022. Ninguna de las anteriores.

(U) ¿A qué afectan las directivas de cuenta?. Solo a las cuentas de usuarios. Solo a las cuentas de servicio. Solo a los administradores. Todas las anteriores son ciertas.

(U) ¿Dónde se especifican los cifrados permitidos para Kerberos?. Directivas de cuenta\opciones de seguridad. Directivas locales\opciones de seguridad. Directivas de contraseñas\opciones de seguridad. Ninguna de las anteriores.

(U) Para un controlador de dominio, ¿qué es la directiva de auditoría?. Directiva local. Directiva de cuenta. Directiva de registro. Ninguna de las anteriores.

(U) ¿Qué elemento permite delimitar reglas de filtrado para definir el tráfico de red entrante y saliente del servidor que debe ser permitido o denegado?. Reverse proxy. Firewall. Opciones. Todas las anteriores son ciertas.

Respecto a la instalación de Windows Server y los requisitos de partición de disco, ¿qué recomendación destaca el texto para la mayoría de servicios?. Instalar todo en la misma partición para mejorar la velocidad de lectura del disco. Usar particiones separadas para el sistema operativo y los archivos de la aplicación. No particionar el disco bajo ningún concepto para evitar la fragmentación de archivos. Crear una partición exclusiva para el archivo de paginación y otra para el sistema.

¿Qué característica de seguridad introducida en Windows Server 2016 permite acotar la duración de los privilegios otorgados para evitar usuarios administrativos permanentes?. Just Enough Administration (JEA). Credential Guard Remoto. Just in Time Administration (JIT). Device Guard Protection.

¿Cuál es la función principal de Credential Guard según el documento?. Proteger el inicio de sesión único en sesiones de escritorio remoto (RDP). Aislar las claves de usuario mediante virtualización para evitar ataques como Pass the Hash. Bloquear la ejecución de aplicaciones que no sean confiables por integridad de código. Detectar y bloquear vectores de ataque relacionados con la corrupción de memoria.

En el contexto de Windows Server 2019/2022, ¿qué tecnología proporciona un almacenamiento seguro para datos confidenciales y claves mediante TPM 2.0?. Hardware root-of-trust (Secured-core). Virtualization-based security (VBS). Transport HTTPS and TLS 1.3. System Guard Runtime Monitor.

¿Qué nivel de directiva de grupo (GPO) se utiliza para cumplir los requisitos de seguridad específicos que son comunes a todos los servidores miembros del dominio?. Nivel de Dominio. Nivel de Referencia. Nivel de Rol. Nivel de Unidad Organizativa.

¿Dónde se recomienda ubicar las cuentas de los Controladores de Dominio (DC) en la estructura de Active Directory?. En una Unidad Organizativa (OU) anidada dentro de Servidores Miembro. En el contenedor predeterminado de Domain Controllers, no en OUs de bajo nivel. En la misma OU que los servidores de Exchange para heredar sus políticas. En una OU específica llamada "Servidores Seguros" bajo la raíz del dominio.

Sobre las directivas de contraseñas, ¿qué afirma el texto sobre la complejidad técnica y los malos hábitos?. La complejidad técnica garantiza por sí sola que la contraseña sea segura. Contraseñas como "Cualquiera01" cumplen la complejidad pero son inseguras. Se recomienda desactivar la complejidad para que el usuario recuerde la clave. Es obligatorio que el administrador conozca las contraseñas de los usuarios.

¿Qué medida se sugiere para evitar que un atacante realice un ataque de denegación de servicio (DoS) bloqueando cuentas de usuario mediante intentos fallidos?. Deshabilitar la directiva de bloqueo de cuentas tras intentos fallidos. Aumentar el umbral de bloqueo de cuenta a un número muy alto. Usar funciones de política de contraseñas específica (FGPP) para controlar el bloqueo. Configurar el servidor para que reinicie automáticamente el servicio de NetLogon.

¿Qué efecto tiene reducir la validez de los tickets en la Directiva Kerberos?. Aumenta la carga del servidor al requerir renovaciones constantes de sesión. Reduce la posibilidad de que un atacante suplante una cuenta con un ticket robado. Impide que los usuarios puedan iniciar sesión en sistemas operativos anteriores. Obliga a usar autenticación NTLM en lugar de Kerberos v5 en todo el dominio.

¿Por qué es un riesgo habilitar la directiva "Acceso de red: traducción SID/nombre anónima" en un Controlador de Dominio?. Porque permite a un usuario conocer el nombre del administrador usando su SID conocido. Porque impide que los usuarios del dominio puedan cambiar su propia contraseña. Porque bloquea el acceso a las carpetas compartidas del servidor desde la red. Porque deshabilita el cifrado AES256 en las comunicaciones SMB del servidor.

Según la estructura de OUs propuesta, ¿qué archivo de configuración base se debe asociar a la política de la OU "Servidores Miembro"?. CCN-STIC-570A Member Server.inf. CCN-STIC-570A Domain Controller.inf. CCN-STIC-599A Windows 10 Client.inf. CCN-STIC-619B Policy Analyzer.inf.

¿Qué herramienta se utiliza para analizar y comparar colecciones de objetos de directiva de grupo (GPO) y detectar configuraciones redundantes?. Security Compliance Toolkit (SCT). Policy Analyzer. Herramienta CLARA. Consola de Administración de Directivas de Grupo.

En cuanto al Firewall de Windows con seguridad avanzada, ¿cuál es la configuración recomendada para las conexiones entrantes y salientes según la guía STIC 570A?. Permitir todas las entrantes y bloquear todas las salientes por defecto. Bloquear entrantes que no coincidan con regla y permitir salientes sin regla. Bloquear tanto las conexiones entrantes como las salientes por defecto. Permitir todo el tráfico si el perfil de red detectado es "Dominio".

¿Qué característica de seguridad de Windows Server 2016 utiliza la virtualización para aislar procesos críticos del sistema operativo como el kernel?. Control Flow Guard (CFG). Device Guard. Virtual Secure Mode (VSM). Just Enough Administration.

¿Qué perfil del Firewall de Windows se aplica cuando el servidor tiene conectividad con un controlador de dominio?. Perfil Privado. Perfil Público. Perfil de Dominio. Perfil de Confianza.

¿Qué novedad de seguridad en Windows Server 2022 protege contra ataques de firmware utilizando la tecnología Dynamic Route Measurement Trust (DRTM)?. Firmware protection en servidores Secured-core. Windows Defender Advanced Threat Protection (ATP). Protección de flujo de control (CFG). Cifrado AES-256 para el protocolo SMB.

Con respecto a las cuentas de servicio, ¿qué recomendación da el texto para mejorar la seguridad si el servidor se ve comprometido físicamente?. Usar siempre cuentas de Administrador de Dominio para todos los servicios. Ejecutar los servicios con la cuenta LocalSystem para evitar el uso de red. Usar cuentas de servicio administradas (MSA) en lugar de cuentas de dominio estándar. Deshabilitar todos los servicios que requieran autenticación en el dominio.

¿Qué permite hacer la herramienta CLARA?. ¿Qué permite hacer la herramienta CLARA?. Crear particiones de disco seguras durante la instalación de Windows Server. Monitorizar en tiempo real los ataques de fuerza bruta contra el Directorio Activo. Generar contraseñas aleatorias que cumplan con los requisitos del CCN-STIC.

¿En qué ubicación de las plantillas de seguridad se configuran los derechos como "Denegar el inicio de sesión a través de Servicios de Escritorio remoto"?. Directivas locales \ Opciones de seguridad. Directivas locales \ Asignación de derechos de usuario. Directivas de cuenta \ Directiva de Kerberos. Servicios del sistema \ Escritorio remoto.

¿Qué función cumple "Device Guard" en Windows Server 2016?. Bloquear el dispositivo para ejecutar solo aplicaciones confiables según integridad de código. Proteger las credenciales de usuario mediante el aislamiento de secretos LSA. Gestionar los permisos de los dispositivos USB conectados al servidor físico. Cifrar el disco duro mediante BitLocker para proteger los datos en reposo.

Para los servidores miembro, ¿cómo se aplican los cambios de seguridad de los diferentes roles según el texto?. Se crea una única política gigante que contiene todas las configuraciones de todos los roles. Se aplican políticas acumulativas mediante OUs anidadas para cada rol específico. Se configuran manualmente las directivas locales en cada servidor para evitar conflictos. Se utiliza el perfil "Público" del firewall para diferenciar los roles de servidor.

¿Qué directiva de auditoría permite a los administradores saber si se han cambiado las configuraciones de auditoría?. Auditoría de acceso a objetos del sistema. Auditoría de cambio de políticas. Auditoría de inicio de sesión de cuenta. Auditoría de uso de privilegios.

¿Qué es el "Security Compliance Toolkit (SCT)"?. Un conjunto de herramientas para descargar, analizar y probar líneas base de seguridad. Un antivirus integrado en Windows Server 2019 para detectar malware en memoria. Un servicio de Windows que gestiona los certificados digitales del dominio. Una normativa del CCN para la clasificación de sistemas de información.

En relación al protocolo SMB en Windows Server 2022, ¿qué conjuntos de cifrado se admiten para mejorar la seguridad?. RC4 y DES para mantener la compatibilidad con sistemas antiguos. AES256GCM y AES256CCM para cifrado y firma. Solo admite cifrado si se deshabilita la firma de paquetes SMB. RSA 2048 para el intercambio de claves en la red local.

¿Qué recomendación específica sobre la cuenta de "Administrador" se menciona para evitar ataques maliciosos?. Borrar la cuenta y crear una nueva con otro nombre. Cambiar el nombre de la cuenta (renombrarla). Quitarle todos los permisos y usar una cuenta de invitado. No usarla nunca y dejarla deshabilitada por defecto.

¿Qué sucede con las reglas de firewall cuando se instala un nuevo rol o función en Windows Server?. Se deben crear manualmente todas las reglas necesarias antes de la instalación. Se crean automáticamente las reglas necesarias para esa función. El firewall se desactiva temporalmente para permitir la configuración. Se bloquean todas las conexiones hasta que el administrador las apruebe.

¿Qué afirmación es correcta sobre las "Máquinas virtuales blindadas" en Windows Server 2016?. Permiten que la máquina virtual se cifre con BitLocker y solo corra en hosts autorizados. Son máquinas virtuales que no tienen conexión a red para evitar ataques externos. Son instancias que solo pueden ejecutar el sistema operativo Linux en Hyper-V. Permiten ejecutar aplicaciones sin necesidad de un sistema operativo base.

Según las pautas del CCN, ¿qué se debe hacer con los servicios del sistema que no son estrictamente necesarios?. Dejarlos en modo "Manual" por si acaso se necesitan en el futuro. Deshabilitarlos o eliminarlos para reducir la superficie de ataque. Configurarlos para que se ejecuten con una cuenta de servicio de bajos privilegios. Monitorizarlos constantemente pero mantenerlos activos para evitar errores.

¿Qué guía se recomienda aplicar para mejorar la seguridad de los clientes Windows 10 en el dominio?. CCN-STIC-808 Seguridad en entornos de usuario final. CCN-STIC-599A Seguridad en Windows 10. CCN-STIC-570A Controladores de Dominio. ISO 27001 Estándar de seguridad de la información.

¿Qué requisito menciona el texto sobre el uso del teclado para crear contraseñas seguras según el CCN?. Usar solo el teclado numérico para los dígitos de la contraseña. Deben emplearse contraseñas que requieran escribir con ambas manos. Evitar el uso de teclas de función (F1-F12) en la contraseña. Escribir la contraseña lentamente para evitar errores de tecleo.