Embed Size (px)
Citation preview
Directivas de seguridad y auditoría
Directivas de seguridad
Dentro de las directivas de seguridad podemos encontrar:
Directivas de seguridad local
Directivas de seguridad de dominio
Directivas de seguridad de controlador de dominio
Directiva de seguridad local.
Nos permite modificar la directiva de seguridad de un equipo que no sea servidor Windows, o
que no tenga instalado el directorio activo.
Accedemos a ella desde Herramientas administrativas > Directiva de seguridad local
Directiva de seguridad de dominio.
Se realiza desde un servidor de Windows con controlador de dominio, desde ella modificamos
la configuración de seguridad para todos los equipos miembros del dominio.
Accedemos a ella desde Herramientas administrativas > Administración de directivas de
grupos.
Directiva de seguridad de controlador de dominio.
Se realiza desde un servidor de Windows, desde ella modificaremos todos los controladores de
dominio.
Accederemos a ella desde Herramientas administrativas > Administración de directivas de
grupos.
Las directivas de grupos
Con las directivas de grupos configuraremos lo siguiente:
Definiremos los distintos componentes de la configuración del equipo y usuario.
Influyen en las cuentas de usuario, de grupo, y de equipo.
La configuración se aplica a dominios, sitios o unidades organizativas (OU).
Tienen un orden específico de aplicación, que de manera ascendente es el siguiente:
Directiva de equipo local.
Directiva de usuario local.
Directiva de grupo de sitio.
Directiva de grupo de dominio.
Directiva de grupo de la UO.
Directiva de grupo del controlador de dominio.
Si una configuración de directiva de equipo estuviera en conflicto con una configuración de la
directiva de grupo del controlador del dominio, prevalecería la de este último.
Configuración del equipo
Al iniciar el equipo, sin tener en cuenta al usuario, nos encontramos la siguiente configuración:
Configuración de Software.
Configuración de Windows.
Dentro de la configuración de Software encontraremos el Software para todos los usuarios.
Dentro de la configuración de Windows encontraremos lo siguiente:
Scripts, que se ejecutan al inicio y al final.
Configuración de seguridad.
A su vez, la configuración de seguridad está compuesta por diferentes aspectos:
Directivas de cuentas
Directivas de contraseña.
Directivas de bloqueo de cuentas.
Directiva de contraseñas
Dentro de ella podremos configurar aspectos como los siguientes:
Longitud mínima de la contraseña.
Vigencia máxima/mínima de la contraseña.
Etc.
Directiva de bloqueo de cuentas
Dentro de ella podremos configurar los siguientes aspectos:
Inicios erróneos de sesión.
Duración del bloqueo.
Umbral de bloqueos.
Etc.
Directivas locales
Directiva de auditoría
Auditar el acceso a objetos.
Auditar eventos de inicio de sesión,
Etc.
Asignación de derechos de usuario
Hacer copias de seguridad.
Restaurar archivos.
Apagar el sistema.
Opciones de seguridad
Impedir que se instalen controladores de impresora.
Permitir apagar sistema sin tener que iniciar sesión.
Desconectar a clientes cuando expire el tiempo de inicio de sesión.
Registro de eventos
Tamaño máximo de los distintos registros.
Conservar los distintos registros.
Servicios del sistema
Registros
Permisos de acceso.
Configuración de la auditoría.
Sistemas de archivos
Permisos de acceso.
Configuración de la auditoría.
Directivas de Red cableada
Se establecen directivas sobre la red cableada.
Firewall de Windows con seguridad avanzada
Permite establecer aspectos avanzados en la configuración del Firewall.
Directivas de Red inalámbrica
Se establecen directivas sobre la red inalámbrica.
Directivas de restricción de Software
Plantillas administrativas
Permiten administrar la configuración del equipo, encontraremos:
Componentes de Windows
NetMetting.
Internet Explorer.
Programador de tareas.
Etc...
Impresoras
Directiva de habilitación y configuración.
Panel de control
Directivas para habilitar y configurar el panel de control.
o Configuración regional y de idioma.
o Cuentas de usuarios.
Red
Directivas de habilitación y configuración de la red.
o Archivos sin conexión.
o Conexiones de red.
Sistema
Directivas de habilitación y configuración del sistema.
Inicio de sesión.
Cuotas de disco.
Perfiles de usuario.
Y otros aspectos.
Configuración de usuario
Se trata de la configuración que se aplica cuando un usuario inicia sesión en el dominio, de
forma independiente del equipo.
Configuración de software
Configuración de software aplicada a usuarios.
Es independiente del equipo.
Configuración de Windows
Servicios de instalación remota
o Opciones disponibles para los usuarios durante el asistente para la instalación
de clientes.
Script
o Script que hay que ejecutar cuando el usuario inicie o finalice su sesión.
Configuración de seguridad
o Directivas de clave pública.
o Directivas de restricción de software.
Mantenimiento de Internet Explorer
o Interfaz de usuario del explorador.
o Conexión.
o Direcciones URL.
o Otros aspectos.
Plantillas administrativas
Configuran el HKEY_CURRENT_USER
Carpetas compartidas
o Habilitación y configuración.
Componentes de Windows
Escritorio
o Escritorio.
o Active Directory.
Menú de Inicio y barras de tareas
o Habilitación y configuración.
Panel de control
o Habilitar y configurar
Agregar o quitar programas.
Pantalla.
Impresora.
Red
o Archivos sin conexión.
o Conexiones de red.
Sistema
o Habilitación y configuración
Perfiles de usuarios.
Scripts.
Ctrl + alt + supr.
Otros aspectos.
Directivas de grupo incorporadas por defecto
Default Domain Policy
Se aplica a todos los equipos del dominio.
Afecta a la configuración del equipo y a la del usuario.
Default Controller Domain Policy
Se aplican a todos los equipos que sean controladores de dominio.
Afecta a los equipos y usuarios.
Para acceder a ellas hay que dirigirse a Inicio > Herramientas administrativas > Administración
de directivas de dominio.
Nodo del bosque > Nodo del dominio > Nodo objetos de directiva de grupo.
Botón derecho sobre la política a editar, y pulsare sobre editar.
Trabajar con las directivas de Windows
Si queremos que las directivas se apliquen en un orden distinto al predefinido, al pulsar sobre
ellas, aparecerá a la derecha el orden. Seleccionamos el orden que queramos establecer y le
daremos al triángulo arriba o abajo.
Si queremos impedir que otras directivas puedan anular la configuración de una directiva de
grupo, seleccionaremos dicha directiva, pulsaremos botón derecho sobre ella, y
seleccionaremos Exigido.
Para evitar que se apliquen otras directivas de grupo superiores, lo que tendremos que hacer
es seleccionar dicha directiva superior, pulsar botón derecho sobre ella, y seleccionar Bloquear
herencia.
Para ver o modificar una directiva de grupo, la seleccionaremos, pulsaremos botón derecho y
seleccionaremos Editar > Menú acción > Propiedades > Seguridad, y podremos ver los usuarios
y grupos tienen permisos, y que permisos son.
Según apreciamos en la imagen, podremos ver que hay cuatro fichas. Pasaremos a describir
brevemente cada una:
Ámbito
Vínculos de la directiva de grupo (si se quiere modificar alguna, se debe pulsar botón
derecho).
En filtrado de seguridad se muestra los grupos, usuarios y equipos a los que se aplica la
directiva.
En los filtros WMI encontraremos los filtros que se aplican a la directiva.
Detalles
Información sobre la directiva.
En estado GPO para poder deshabilitar la configuración del equipo, usuario, o de
ambas.
Configuración
Resumen de los datos recopilados de la directiva.
Delegación
Grupos y usuarios que tienen permisos sobre la directiva de grupo.
Comando Ejecutar como
No conviene estar trabajando como Administrador, salvo para lo estrictamente
necesario.
Los usuarios únicamente deberían poder realizar las tareas habituales.
Los operadores, deberían ser capaz de realizar las tareas habituales, y la instalación de
programas.
Los administradores deberían encargarse de las tareas administrativas.
Otra opción posible es la del uso del comando Ejecutar como (menú contextual).
Auditorias
Nos permiten supervisar sucesos relacionados con la seguridad, lo más común es:
Acceso a objetos.
Administración de cuentas de usuario y grupos.
Inicio y finalización de una sesión.
Auditar sucesos de seguridad
Para:
Llevar seguimiento de los problemas de seguridad.
Controlar la creación o modificación de objetos.
Proporcionar pruebas en caso de infracción de seguridad.
Para ello se hace lo siguiente en 3 pasos:
Especificar las categorías de los sucesos que se desean auditar.
Definir el tamaño y el comportamiento del registro de seguridad.
Determinar los objetos.
Directiva de auditoria
Categorías de sucesos relacionados con la seguridad que se audita.
Se pueden auditar:
Acceso a objetos (archivos, impresoras, carpetas...).
Acceso a servicio de directorio.
Cambio de directivas.
Seguimiento de procesos.
Uso de privilegios.
Administración de cuentas.
Sucesos de inicio de sesión (servicios).
Sucesos de inicio de sesión de cuentas (usuarios).
Sucesos del sistema (apagado, reinicio...).
Cada objeto dispone de un descriptor de seguridad (información de seguridad) con dos partes:
Lista de control de acceso direccional: Una de las partes del descriptor son los
usuarios y grupos que tienen acceso al objeto, y los permisos concedidos y/o
denegados.
Lista de control de acceso al sistema: Sucesos que van a ser auditados:
o Cuentas de grupo y usuario que se van a auditar al tener acceso al objeto.
o Los sucesos de acceso que se van a auditar para cada usuario y grupo.
o Un atributo (acierto/error) por cada suceso de acceso.
Sólo pueden ser auditados sistemas NTFS, los FAT no se pueden auditar.
Las siguientes acciones, entre otras, pueden ser auditadas:
Recorrer carpeta.
Mostrar carpeta.
Leer atributos.
Crear archivos.
Crear carpetas.
Escribir atributos.
Eliminar carpeta.
Permisos de lectura.
Cambiar permisos.
Tomar posesión de la carpeta.
Ejecutar archivos.
Leer datos.
Escribir datos.
Anexar datos.
Eliminar datos.
Etc...
Ver los registros de seguridad
1. Inicio > Herramientas administrativas > Visor de eventos.
2. Pulsar sobre el + que aparece a la izquierda de Registros de Windows.
3. Seleccionar Seguridad, y en el panel central se mostrarán todos los eventos
correspondientes.
