GPL (DIRECTIVAS DE GRUPO LOCALES) EN WINDOWS SERVER 2008 R2.

ANGIE VIVIANA LONDOÑO ÁLVAREZ.NILSON ANDRÉS LONDOÑO HERNANDEZ.

CAMILA MARTÍNEZ LÓPEZ.

Tecnología en Gestión de Redes de Datos.Ficha: 455596.

Instructor.Mauricio Ortiz Morales.

SERVICIO NACIONAL DE APRENDIZAJE (SENA)CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE)

MEDELLÍN ­ ANTIOQUIA.2013

1

Indice.

Introducción......................................................................................................................................3Creación de usuarios y grupos........................................................................................................4Creación de usuarios.......................................................................................................................4Creación de grupos e integración de usuarios................................................................................6Directivas de configuración de equipo...........................................................................................11Directivas de configuración de usuario.........................................................................................29Conclusiones.................................................................................................................................40

2

Introducción.

Las directivas de grupo (GPO) es un componente que posee la familia de sistemas operativos Windows en el cual se definen las reglas o políticas que compondrá o compartirá todo un ambiente de cuentas de usuario en un sistema informático; este tipo de reglas controlan el contenido al que los usuarios pueden acceder o no de acuerdo a la configuración aplicada y mediante un sistema operativoWindows Server se determina cuáles políticas del sistema serán aplicadas a cada usuario y/o equipo que se encuentre en un dominio, sitio o unidad organizativa. Generalmente la gestión centralizada, configuración de sistemas operativos y gestión de usuarios se lleva a cabo bajo un Active Directory (Directorio Activo).

Las directivas de grupo locales (GPL) son directivas de grupo que sólo se aplican para un host local único.

3

Creación de usuarios y grupos en Windows Server 2008.

Grupo: Killers.Usuarios: Carlos, Manuel.

Grupo: Timers.Usuarios: Bruno, Benji.

NOTA: Cada usuario deberá cambiar su contraseña al inicio de sesión.

Para la creación de usuarios y grupos debemos ingresar al panel de administración de los mismos, para esto, seguimos la secuencia, Start > All programs > Administrative Tools > Computer Management.

4

En el menú Local Users and Groups se pueden observar dos carpetas Users y Groups, en estos menús, configuramos los aspectos pertinentes a los usuarios del sistema y los grupos.

Creación de usuarios.

Para agregar un nuevo usuario, damos clic sobre el menú Users > Action > New User... (Otras opciones para acceder a crear nuevos usuarios pueden ser las siguientes: clic derecho sobre el panel de administración de los usuarios y New User ó clic derecho sobre la pestaña Users y New User)

5

A continuación, rellenamos el siguiente formulario con los datos de el nuevo usuario que deseemos crear y habilitamos las opciones según las necesidades que se tengan, en este caso, sólo se necesita que cada usuario cambie su contraseña al iniciar sesión por primera vez, para esto, marcamos la casilla User must change password at next logon (El usuario debe cambiar la contraseña en el siguiente inicio de sesión). Repetimos el proceso para los demás usuarios.

Al finalizar la creación de usuarios podemos observar los usuarios actuales del sistema.

6

Creación de grupos e integración de usuarios.

La creación de grupos es muy similar a la de usuarios, aunque cambian algunos aspectos ya que se deben agregar usuarios a uno o varios grupos, para efectuar la creación de los grupos nos dirigimos a la pestaña de Groups > Action > New Group.

Rellenamos el siguiente formulario; en el campo Group Name insertamos el nombre que tendrá el grupo y en el campo Description agregamos la descripción que tendrá el grupo. Para agregar los miembros del grupo nos vamos a la pestaña Add y damos clic sobre ella.

7

En esta ventana, seleccionamos los usuarios que pertenecerán al grupo mediante la pestaña Advanced..

8

A primera vista, no aparecen los usuarios del sistema que deseemos agregar al grupo, para buscar los usuarios damos clic sobre Find Now, posteriormente seleccionamos los usuarios.

9

Ahora, los usuarios Carlos y Manuel, ya hacen parte del grupo Killers, para concretar la creación de grupo damos clic sobre Create.

10

Podemos observar que los grupos han sido creados.

Políticas o directivas locales a implementar.

Para abrir el panel de configuración de la edición de políticas locales y de grupo realizamos lo siguiente: Abrimos la opción de ejecutar mediante Start > Run.

11

Dentro del cuadro de ejecución, insertamos el comando gpedit.msc para abrir el menú gestor de las directivas de grupo y usuarios, pulsamos sobre OK.

Directivas de configuración de equipo.

1. La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días.

Para configurar los parámetros de contraseña de usuarios en la máquina nos vamos a Computer configuration > Windows Settings > Security Settings > Account Policies > Password Policies, en esta ventana podemos observar las diferentes opciones para las políticas de contraseña de los usuarios locales, algunas de estas opciones trascienden en Enforcing password history (forzar el historial de contraseña), hace que las contraseñas antiguas no se reutilicen nuevamente luego de un número determinado de cambios de contraseña, Maximum password age (Vigencia máxima de la contraseña), esta opción permite determinar el periodo de en días el tiempo que tendrá vigencia una contraseña establecida a un usuario antes de que el sistema le pida al usuario que la cambie, Minimum password age (Vigencia mínima de la contraseña), establece el número mínimo en días en la que expirará una contraseña, si la vigencia máxima es de entre 1 y 999 días, la edad mínima de la contraseña debe ser inferior a la edad máxima de la contraseña, Password must me complexity requirements (La contraseña debe cumplir los requerimientos de complejidad) y Store passwords using reversible encryption (Almacenar contraseñas usando el cifrado reversible) proporciona compatibilidad a las aplicaciones que utilizan protocolos que necesitan conocer la contraseña del usuario para la autenticación.

12

13

La opción que cumple el requerimiento de vigencia máxima de la contraseña de 15 días para todos los usuarios de la máquina es Maximum password age (Vigencia máxima de la contraseña), damos clic derecho sobre la opción que requirámos, seleccionamos Properties y en la casilla, ingresamos el número de días máximos en los que la contraseña expira, pulsamos sobre OK.

14

2. Las contraseñas deben cumplir con los requerimientos de complejidad por defecto de Windows Server ¿Cuáles son estos requerimientos?

Los requerimientos por defecto para una contraseña en Windows Server deben ser los siguientes:No contener el nombre o parte del nombre completo del usuario y que tengan más de dos caracteres consecutivos la cuenta del usuario.Tener por lo menos seis caracteres de longitud.Contener caracteres de tres de las siguientes cuatro categorías: Caracteres en mayúsculas en inglés (A a Z), caracteres en minúsculas en inglés (A a Z), base de 10 dígitos (del 0 al 9)y los caracteres no alfabéticos (por ejemplo,!, $, #,%).

Para habilitar esta opción seguimos la ruta Computer configuration > Windows Settings > Security Settings > Account Policies > Password Policies y clic derecho sobre Password must meet complexity requirements. Seleccionamos en el cuadro de diálogo Enabled (Habilitado) y pulsamos OK para finalizar.

15

3. Los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios.

Para cambiar este parámetro, nos dirigimos a la opción Minimum password age (Vigencia mínima de contraseña), clic derecho, Properties, y en el recuadro marcamos el número de cambios mínimos para usar una nueva contraseña, damos clic en OK para finalizar.

4. Los usuarios del grupo Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo).

16

Nos dirigimos a Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Shut down the system, damos clic derecho Properties y Add User or Group.En la nueva ventana seleccionaremos los usuarios o grupos que pertenecerán o serán parte de esta política, seleccionamos Advanced para buscar específicamente el grupo Killers.

17

En la nueva ventana, seleccionaremos el grupo que podrán apagar el sistema operativo, debemos especificar el tipo de objetos que deseemos buscar, para ello, damos clic sobre Object Types...

18

Seleccionamos Groups y damos clic sobre Find Now.

Buscamos a el grupo Killers en la lista y damos OK.

Ahora, tenemos al grupo Killers como parte de la política de seguridad, pulsamos OK

19

20

5. Los usuarios del grupo Timers podrán cambiar la hora de la máquina local.

Para ejercer esta política sobre el grupo Timers nos vamos a Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Change the system time, clic derecho Properties. En la nueva ventana de dialogo seleccionamos Add User or Group para seleccionar el grupo que será parte de la política para cambiar la hora de la máquina local, ya que por defecto sólo los administradores y la cuenta LOCAL SERVICE, esta cuenta es usada por el sistema para el control administrativo de los servicios, podrán hacer.

Seleccionamos Object Types

21

Seleccionamos el tipo de objeto Groups para buscar o detectar nombres sólo por grupos, pulsamos OK.

Ingresamos el nombre del grupo o los grupos que serán parte de la política y damos clic sobre Check Names (Comprobar nombres), es importante la buena escritura del nombre para que el sistema lo acepte correctamente, pulsamos OK para finalizar este asistente.

22

6. Todos los usuarios tendrán las siguientes restricciones al usar el navegador Internet Explorer: No podrán eliminar el historial de navegación, No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80), configuración del historial deshabilItada, no permitir el cambio de las directivas de seguridad del navegador.

23

­ Todos los usuarios no podrán eliminar el historial de navegación.

Para que ninguno de los usuarios de la máquina local pueda eliminar el historial de navegación nos dirigimos a Local Computer Policy > User Configuration > Administrative Templates > Windows Components > Internet Explorer > Delete Browsing History, en esta ventana, se encuentran todas las opciones pertinentes a la eliminación del historial de navegación en el navegador Internet Explorer, es importante asegurarse de que no existen otros navegadores instalados en el sistema, ya que los usuarios podrían evadir esta directiva facilmente. Para inhabiltar la opción de borrar historial de navegación, acudimos a la directiva Turn off “Delete Browsing History” functionality. (Desactivar la funcionalidad de eliminar historial del navegador) y clic Edit.

24

Marcamos la opción Enabled para que los usuarios no puedan tener acceso a la ventana de diálogo de eliminación de historial de navegación y pulsamos OK, para finalizar el asistente.

25

­ No se permitirá el cambio de proxy ya que todos los usuarios usarán el mismo proxy (172.20.49.51:80).

Para establecer un servidor proxy para todos los usuarios de la máquina local nos vamos a User Configuration > Windows Settings > Internet Explorer Maintenance > Connection, en esta ventana se encuentran las opciones para configurar elementos relacionados con la conexión de Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la dirección IP del servidor proxy, pulsamos OK para finalizar.

­ Configuración del historial deshabilItada.

26

­ No permitir el cambio de las directivas de seguridad del navegador.

7. Desactivar la ventana emergente de reproducción automática.

Para desactivar la ventana de diálogo de reproducción automática nos vamos a User Configuration > Administrative Templates > Windows Components > AutoPlay Policies, seleccionamos Turn off AutoPlay hace que se deshabilite la reproducción automática ya que se empieza a leer desde una unidad tan pronto como se inserta la tarjeta en la unidad. Como resultado, el archivo de instalación de los programas y la música en los medios de comunicación de audio comienzan inmediatamente, pulsamos OK para finalizar.

27

8. No permitir el apagado remoto de la máquina

Para aplicar la política de no habilitar el apagado del sistema en forma remota, nos vamos a Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment > Force shutdown from remote system. En las propiedades de esta opción observamos que sólo los administradores serán parte de esta regla, es decir, los usuarios que tenemos creados actualmente y que no pertenecen a los usuarios del sistema.

28

9.Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos)

Para aplicar esta cuota, nos dirigimos a Computer Configuration > Administrative Templates > Credentials Delegation > Disk Quoutas, este ajuste determina la cantidad de espacio en disco puede ser utilizado por cada usuario en cada uno de los volúmenes del sistema de archivos NTFS en un equipo, en este caso, será tan solo de 50 MB, pulsamos OK para guardar los cambios.

Directivas de configuración de usuario.

1. La página principal que se cargará para cada usuario cuando abra su navegador será: http://www.sudominio.com (Página institucional de su empresa)

Para que la página de inicio del navegador sea una específicamente seguimos la siguiente ruta User Configuration > Windows Settings > Internet Explorer Maintenance > URLs, en esta ventana se configuran los aspectos pertinentes a URLs en el navegador, para establecer una página de inicio ingresamos a Important URLs y en el recuadro de configuración de Home page URL ingresamos la página institucional de la empresa. Pulsamos OK para aceptar los cambios y finalizar el asistente.

29

2. El servidor proxy para todos los usuarios locales será 172.20.49.51:80.

Para establecer un servidor proxy para todos los usuarios de la máquina local nos vamos a User Configuration > Windows Settings > Internet Explorer Maintenance > Connection, en esta ventana se encuentran las opciones para configurar elementos relacionados con la conexión de Internet Explorer, para configurar el servidor proxy del navegador, damos clic derecho sobre Proxy Settings y Properties, en el recuadro, escribimos, en este caso, la dirección IP del servidor proxy, pulsamos OK para finalizar.

30

3.Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador será el único con la contraseña de supervisor para el Asesor de Contenidos.Para cambiar la directiva de restricción de sitios web nos dirigimos a User Configuration > Windows Settings > Internet Explorer Maintenance > Security > Security Zones and Content Ratings, en este recuadro encontramos las opciones de Zonas de seguridad y privacidad y clasificaciones de contenido, para restringir el acceso usamos las clasificaciones de contenido.

Dado que la configuración del equipo local se importa para que la política se cumpla, la configuración de IE ESC debe coincidir con el de los sistemas cliente. Usted puede apagar IE ESC en el sistema de edición o simplemente editar la política desde un sistema cliente que no tiene IE ESC activado.

31

En la pestaña de General creamos la contraseña de supervisor, sólo con esta password se podrá acceder a los sitios de restricción.

32

33

En la pestaña de Approved Sites ingresamos los sitios que no podrán ser accedidos en la máquina local, los agregamos con Never para que no sean accesibles y guardamos con OK.

34

4. Ocultar la unidad C:\ (NOTA: Esto no restringirá el acceso a dicha unidad)

Para ocultar la unidad C:\ nos dirigimos a User Configuration > Windows Components > Windows Explorer > Hide these specified drives in My Computer, habilitamos la directiva con la opción Enabled y en el recuadro Pick one of the following combinations seleccionamos la unidad C:\ y finalizamos con OK para guardar los cambios.

5. Ocultar la menú opciones de carpeta del menú de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas.

En la ruta User Configuration > Windows Components > Windows Explorer > Removes the Folder Options menu Items from the Tools menu, esta opción elimina el elemento Opciones de carpeta en todos los menús del Explorador de Windows y elimina el elemento Opciones de carpeta en el Panel de control. Como resultado, los usuarios no pueden utilizar el cuadro de diálogo Opciones de carpeta, habilitamos mediante Enabled y finalizamos con OK.

35

6. Restringir el acceso a la unidad E:\ desde mi PC

Para restringir el acceso a la unidad User Configuration > Windows Components > Windows Explorer > Hide these specified drives in My Computer, habilitamos y aceptamos cambios con OK.

36

7. Limitar el tamaño de la papelera de reciclaje a 100MB.Este parámetro lo configuramos a través de la ruta User Configuration > Windows Components > Windows Explorer > Maximum allowed Recycle Bin Size; Esta directiva limita el porcentaje de espacio en disco de un volumen que se puede utilizar para almacenar archivos eliminados.

8. No permitir que se ejecute messenger User Configuration > Windows Components > Windows Messenger > Do not allow Windows Messenger to be run y habilitamos para que los usuarios no tengan acceso a Messenger en la máquina local, aunque este servicio fue removido de la famila Windows.

37

9. Ocultar todos los elementos del escritorio para todos los usuarios.

Nos dirigimos a User Configuration > Administrative Templates > Desktop > Hide and disable all items on the desktop, habilitamos esta opción para que los usuarios no tengan acceso a Eliminar iconos, accesos directos y otros por omisión y los elementos definidos por el usuario desde el escritorio, incluyendo Maletín, Papelera de reciclaje, PC y ubicaciones de red.

10. Bloquear la barra de tareas

38

11. Prohibir el acceso del Lecto­escritura a cualquier medio de almacenamiento extraíble.

Para la prohibición de de el acceso a lectura y escritura en cualquier dispositivo de almacenamiento seguimos User Configuration > Windows Templates > System > Removable Storage Access > Removable Disks: Deny read access y Removable Disk : Deny write access.

Prohibición de lectura.

39

Prohibición de escritura.

40

Conclusiones.

La directivas de grupo locales se habilitan sólo para la máquina local.

Las directivas ayudan a tener control sobre el contenido al que los usuarios pueden tener o no acceso, ayudando así a la seguridad de la máquina.

La mayoría de políticas se aplican a todos los usuarios de la máquina incluyendo el administrador del sistema, por ende, se debe tener sumo cuidado al manejar estas directivas.

41