• Like
Guia de Seguridad en win xp
Upcoming SlideShare
Loading in...5
×

Guia de Seguridad en win xp

  • 382 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
382
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
16
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. LA SEGURIDAD EN WINDOWS XP:Control de acceso a los usuariosWindows XP Professional ofrece eficaces características de seguridad que ayudan a lasempresas a proteger sus datos confidenciales y proporcionan soporte para administrar losusuarios de la red. Una de las características más importantes de Windows XP Professional esel uso de objetos de directiva de grupo (GPO). Los objetos de directiva de grupo permiten a losadministradores aplicar un único perfil de seguridad a varios equipos o aprovechar latecnología de tarjeta inteligente para autenticar usuarios.Mejoras de seguridadWindows XP Professional incluye distintas características con las que las empresas puedenproteger archivos, aplicaciones y otros recursos seleccionados. Estas características incluyenlistas de control de acceso (ACL), grupos de seguridad y directiva de grupo, y también lasherramientas necesarias para que las empresas las configuren y administren. En su conjunto,ofrecen una infraestructura de control de acceso eficaz y flexible para las redes empresariales.Windows XP dispone de miles de opciones relacionadas con la seguridad que se puedenimplementar individualmente. El sistema operativo Windows XP también incluye plantillas deseguridad predefinidas que las empresas pueden implementar sin modificaciones o utilizarcomo base para una configuración de seguridad más personalizada. Las empresas puedenaplicar las plantillas de seguridad en los siguientes casos: Cuando crean un recurso, como una carpeta o archivo compartido, y aceptan la configuración predeterminada de la lista de control de acceso o implementan una configuración predeterminada. Cuando sitúan usuarios en los grupos de seguridad estándar, como Usuarios, Usuarios avanzados y Administradores, y aceptan la configuración predeterminada de la ACL que se aplica a dichos grupos de seguridad. Cuando utilizan las plantillas de directiva de grupo básica, compatible, segura o de alta seguridad que se incluyen en el sistema operativo.Todas las características de seguridad de Windows XP (ACL, grupos de seguridad y directivade grupo) tienen configuraciones predeterminadas que pueden modificarse y adaptarse a lasnecesidades de cada organización. Las empresas también pueden utilizar herramientasadecuadas para implementar y modificar el control de acceso. Muchas de ellas, como loscomplementos de Microsoft Management Console, son componentes de Windows XPProfessional.
  • 2. Permisos y configuración en Windows XP Profesional:Protección de Carpetas y archivos con permisos:1.- Creación de Usuarios:En principio vamos a crear cuatro usuarios, Adan, Eva, Ping y Pong :Inicio/Panel de Control/Cuentas de usuario/Crear una cuenta nueva/Adan/ x Limitada.Cambiar una cuenta/Cambiar la contraseña/adanCrear una cuenta nueva/Eva/ x Limitada.Cambiar una cuenta/Cambiar la contraseña/evaCrear una cuenta nueva/Ping/ x Limitada.Cambiar una cuenta/Cambiar la contraseña/pingCrear una cuenta nueva/Pong/ x Limitada.Cambiar una cuenta/Cambiar la contraseña/pong(Ponemos las contraseñas con el mismo nombre de los usuarios, para su fácil recuerdo.)La forma de crear usuarios es mediante Administración de equipos :Formas de entrar en Administración de equipos :a) Inicio/Panel de control/Rendimiento y mantenimiento/Herramientasadministrativas/Administración de equiposb) Inicio/Ejecutar/compmgmt.mscc) Botón derecho sobre Mi PC/Administrar.Vamos a Usuarios locales y grupos/Usuarios/Botón derecho/Usuario nuevo ...
  • 3. 2.- Creación de Grupos:Ahora vamos a Administración de equipos y vamos a meter aAdan y Eva en el grupo Biblios y a Ping y Pong en el grupo Pinipones.Vamos a Usuarios locales y grupos/Grupos/Botón derecho/Grupo nuevo .../Nombre del grupo: Biblios/Agregar ... /Seleccionar Usuarios :Tipos de Objetos (Marcar Todos)Avanzadas....Buscar ahoraElegir AdanAceptarAgregarAvanzadas ....Buscar ahoraElegir EvaAceptar(Se podrían haber agregado los dos a la vez, pulsando, sin soltar, la tecla Ctrl)Si ahora vuelves a Administración de equipos/Usuarios locales y grupos/Usuarios y pulsas conel botón derecho sobre Adan y luego Propiedades observarás que es Miembro del GrupoBiblios3.- Partición NTFS:Con XP podemos tener los discos formateados con FAT32 o con NTFS.Se utiliza NTFS para proteger los archivos y carpetas con permisos, o sea, podemos establecerquién puede ver, leer, escribir, ejecutar esas carpetas o archivos. También con NTFS podemosponer cuotas a los discos y cifrar archivos.
  • 4. Vamos a utilizar NTFS, este tipo de formato para las particiones lo podemos realizar mientrasinstalamos Windows XP, o instalar XP con FAT32 y una vez instalado convertirlo a NTFS.Es mejor que la partición se cree NTFS en vez de ser convertida. (Ver convert en Ayuda deWindows)Hay programas como Partition Magic que nos permite pasar de un tipo de partición a otra sinperder datos.XP no tiene herramienta para la conversión inversa, es decir de NTFS a FAT, el mencionadoPartition Magic si lo puede conseguir, pero es una operación que entraña algún riesgo, por loque es conveniente hacer copias de seguidad de nuestros trabajos antes de realizarla.Suponemos que con Partition Magic u otro programa hemos creado una partición R: conFAT32 y ahora la vamos a pasar a NTFS. (Habría sido mejor crearla de principio NTFS).Si hemos instalado R: en FAT32 la podemos convertir a NTFS de esta manera:Inicio/Ejecutar/cmdC:> convert R: /fs:ntfs /vReiniciamos.Para ver como queda nuestro disco vamos a :Botón derecho sobre Mi PC/Administrar/Almacenamiento/Administración de discos.Suponemos que ya tenemos nuestro disco R: con formato NTFS.Ahora vamos a Mi PC/Botón derecho sobre el disco R:/Propiedades, vemos varias fichas :General-Herramientas-Hardware-Compartir-Seguridad.Si no vemos Seguridad vamos a Herramienta/Opciones de Carpeta ../Ver/Desmarcamos"Utilizar uso compartido simple de archivos"La ficha Seguridad y los permisos sólo valen para las particiones NTFS.4.- Permisos (NTFS): Nota: Para aplicar Permisos en un Archivo o Carpeta: Pulsémoslos con el Botón derecho/Propiedades/Seguridad. Si no vemos la ficha Seguridad: Herramienta/Opciones de Carpeta.../Ver/Desmarcamos "Utilizar uso compartido simple de archivos" (esto lo hacemos como un Administrador)Una vez que tenemos varios usuarios y grupos configurados y una partición NTFS vamos acrear una carpeta y un archivo con permisos.Vamos a entrar como el usuario Adan : Inicio/Cerrar Sesión/Cambiar de usuario : Adan adan • Vamos a Mi PC y a la partición NTFS R: • Entramos en R: Creamos una Nueva carpeta R:CarpetadeAdan • Entramos en R:CarpetadeAdan y Creamos un documento de WordPad, llamado DocumentodeAdan.doc • Editamos R:CarpetadeAdanDocumentodeAdan.doc y escribimos dentro "Este texto ha sido creado por Adán."
  • 5. • Guardamos el documento. Adan es el propietario de su carpeta y de su archivo, porque lo ha creado, y dispone de todos los permisos sobre ellos. Se trata que : Eva, que pertenece al Grupo Biblios de Adán pueda leer y escribir la carpeta y el archivo. Ping que pertenece al Grupo Pinipones pueda solo leer el archivo y la carpeta. Adán va a configurar los permisos : Adán entra en Mi PC/Disco R: NTFS/Botón derecho/CarpetadeAdan/Propiedades/Seguridad Agregar Tipos de objetos ... = Marcar todos Avanzadas Buscar ahora Elegir Biblios Elegir PiniponesEn caso que en Nombres de grupos o usuarios aparezca algo más : Todos, OWNER, ... lo QuitamosSi no se puede Quitar vamos a Opciones Avanzadas y desmarcamos : Heredar del objeto principal lasentradas de permisos ....Ahora en caso que aún siga apareciendo algo más, le quitamos sus permisos. Ahora Adán pulsa con el botón derecho DocumentodeAdan.doc/Propiedades/Seguridad y configura los permisos igual que con la carpeta anterior.
  • 6. Adán puede hacer lo que quiera con la carpeta CarpetadeAdan y con el archivoDocumentodeAdan.Eva que pertenece al Grupo Biblios puede Leer y Escribir el archivo y la carpeta pero no puedeEliminarlos ni cambiarle los permisos.Ping que pertenece al Grupo Pinipones solo puede Leer el archivo y la carpeta pero no puedeEscribir ni EliminarlosPara comprobarlo vamos a Inicio/Cerrar Sesión/Cambiar de usuario (o bien Tecla <Win>+L)Vamos poniendo los distintos usuario : Adan, Eva, Ping y Pong observando que en se cumplenlos permisos especificados por Adán.NOTAS : • Heredar permisos significa que la carpeta actual toma los permisos de la carpeta a la que pertenece. • Tengo la carpeta Superior y quiero que sus carpetas inferiores no hereden los permisos de Superior : En Superior/Propiedades/Seguridad/Opciones avanzadas/Modificar/Aplicar en : Solo ésta carpeta • Tengo la carpeta Superior y quiero que sólo la carpeta inferior1 no herede los permisos de Superior. En inferior/Propiedades/Seguridad/Opciones avanzadas/Desmarco Heredar del objeto principal las entradas de permisos... Cuando desmarcas Heredar del objeto principal ..... sale una ventana, pulsa Copiar. Si en nombre de usuario o grupo salen más líneas las podemos eliminar quitando antes lo de Heredar y Copiar. Principal es la carpeta Padre Secundaria es la carpeta Hija La carpeta Hija hereda los permisos de su Padre Si no queremos que los herede : En Padre : Aplicar en : Solo ésta carpeta. O bien en Hija : Desmarcar : Heredar del objeto principal las entradas de permisos. Los Administradores pueden cambiar los permisos de cualquier carpeta pero antes tienen que hacerse propietario de ella : 1.) Entrar como Administrador. 2.) Propiedades/Seguridad/Opciones avanzadas/Propietario/Cambiar propietario a : Administrador(Juan) Opciones avanzadas : 1.) X Heredar del objeto ...... = Las subcarpetas que se creen a partir de ahora heredan los permisos de su carpeta Padre. 2.) X Reemplazar las entradas ..... = Las subcarpetas que ya estén creadas con otros permisos, cambian sus permisos a las que tiene su carpeta Padre. a) Aplicar en ... Si queremos aplicar los permisos sólo a la carpeta actual y/o a sus subcarpetas y/o archivos b) Aplicar estos permisos a objetos y/o contenedores sólo dentro de este contenedor. = Si queremos que sólo se apliquen a la carpeta actual o queremos que sus subcarpetas
  • 7. también hereden los permisos. (o sea si marcamos, los permisos se aplican a las subcarpeta y acaban. Si no lo marcamos se heredan de subcarpetas a subcarpetas)Ejercicio propuesto :Adan debe copiar la Calculadora (C:WindowsSystem32calc.exe) en la CarpetadeAdan demanera que sólo Adan tenga Control total sobre la Calculadora. Eva puede sólo verla yejecutarla, pero no puede Cambiar nombre ni Eliminarla. Y los Pinipones pueden verla cuandoentren en la CarpetadeAdan, pero no pueden Ejecutarla ni Cambiar nombre ni Eliminarla ninada.Se supone que la Calculadora se puede copiar, en caso contrario el Administrador le copiaría lacalculadora en su carpeta.Resultado :CarpetadeAdanAdan tiene :Control total sobre la CarpetadeAdanPermisos especiales : Desmarcado : Heredar del objeto ....Opciones avanzadas/Modificar/Aplicar sólo en esta carpeta.Eva tiene :Lectura y Escritura, Mostrar el contenido de la carpeta, Leer.Pinipones tiene :Lectura y Escritura, Mostrar el contenido de la carpeta, Leer.Archivo calc.exeAdan tiene :Control totalEva tiene :Lectura y ejecución, Leer.Pinipones tiene :Permisos especiales (Opciones avanzadas) Modificar = Leer DatosEl Administrador puede entrar en todas las carpetas aunque sus propietarios no le hayan dado:Entra Adan, crea una carpeta: R:Secretos y dentro un archivo misecreto.txtQuita a todos, salvo a él, de la ventana de permisos, nadie puede ver ni entrar en su carpeta, niel Administrador (por el momento).Entra el Administrador, intenta leer el archivo misecreto.txt. No puede porque no tienepermisos.Se hace propietario de la carpeta: Propiedades / Seguridad / Opciones avanzadas / Propietario/el Administrador se hace propietarios de la Carpeta.Ahora puede ponerse los permisos como Control Total.En estos momentos puede acceder a la carpeta de Adán pues ésta ha cambiado depropietario.¿Porqué los Administradores se pueden hacer propietarios?Porque está configurada en la Directiva de grupo. permiso.
  • 8. Vamos a realizar lo siguienteInicio/Ejecutar/gpedit.mscDirectiva Equipo Local/Configuración del equipo/Configuración de Windows/Configuración deseguridad/Directivas locales/Asignación de derechos de usuarios/ Take owner of files or otherobjects5.- Las directivas de Equipo local:Las directivas a un equipo se configuran desde el comando “gpedit.msc” que se encuentra en“Wundows/system32”Estas directivas se dividen en dos partes fundamentales: • Configuración del Equipo: Donde se configuran las políticas de todo el equipo. • Configuración del Usuario: Donde se configuran las políticas del usuario iniciado. Configuración del Equipo:En esta sección, podemos Asignarle o denegarle derechos a los distinto usuarios o grupos enun equipo. Esta configuración se encuentra siguiendo la ruta: Directiva EquipoLocal/Configuración del equipo/Configuración de Windows/Configuración deseguridad/Directivas locales/Asignación de derechos de usuarios y, por defecto solo puedeser configurada por los usuarios del Grupo Administradores. Veamos un ejemplo:Ping es miembro de Pinipones y el Grupo Pinipones NO tienen derecho a cambiar la hora :Entra como Ping e intenta cambiar la hora del ordenador = (Reloj/Botón derecho/Ajustar fechay hora). NO PUEDE, porque como Usuario normal y corriente tiene restringido este derecho.Vamos a darles derecho a los Pinipones para que pueda cambiar la hora :Entramos como un Administrador. Inicio/Ejecutar/gpedit.msc (Directiva de grupo)Directiva Equipo Local/Configuración del equipo/Configuración de Windows/Configuración deseguridad/Directivas locales/Asignación de derechos de usuarios/Change the system time :(Doble clic) :Agregar usuario o grupo/Tipos de objetos ... (Marcas todos)/Avanzadas ... /Buscar ahora/ElegirPinipones.Ahora entramos como Ping y observamos que podemos cambiar la hora : (Reloj/Botónderecho/Ajustar fecha y hora)
  • 9. Asignación de otros derechos que le podemos otorgar a los Grupos :Recordemos que se configura con el comando “gpedit.msc” en la ruta “Directiva EquipoLocal/Configuración del equipo/Configuración de Windows/Configuración deseguridad/Directivas locales/Asignación de derechos de usuarios/”• Bypass traverse checking (Saltarse la comprobación de recorrido) Aunque no le demos permiso de Recorrer carpeta a un usuario, éste podrá hacerlo si está configurado en esta Directiva.• Perform volume maintenance tasks (Realizar tareas de mantenimiento de volúmenes) = Para que pueda Limpiar y Desfragmentar discos.• Shut Down System (Apagar el Sistema) = Para que pueda apagar el ordenador.• Take owner of files or other objects (Tomar posesión de archivos y otros objetos) = Para que pueda hacerse propietario de cualquier carpeta protegida con permisos.• Denegar el acceso desde la red a este equipo Para evitar que algún usuario entre en el equipo a través de la red.• Inicio de sesión local Los usuarios aquí configurado pueden acceder en el equipo local. Configuración del Usuario:En esta sección, podemos habilitar o denegar la Configuraciones del Sistema al usuario queestá logueado en ese momento (current user) en un equipo, por medio de las PlantillasAdministrativas.Este último ítem contiene parámetros que sólo se pueden usar para configurar usuarios, y solose puede configurar entrando como ese usuario, y no es imprescindible ser Administrador parahacerlo, por lo que son políticas de seguridad sin restricciones de uso salvo la de poderloguearse como el usuario local.Para evitar que los usuarios accedan a la edición de estas políticas se deberá evitar quecualquiera que no sea del grupo Administradores pudiera ejecutar “gpedit.msc”.Existirían dos formas para restringir el uso de este comando:
  • 10. • Una forma sencilla y mas casera, pensando que el usuario común no tenga conocimientos avanzados, sería la de desinstalar el comando luego del uso. Se puede configurar una política de seguridad para el equipo que solo los usuarios del Grupo Administrador pueden “agregar o quitar Programas”, por lo que al usuario común le será imposible utilizar el comando (que estará desinstalado) y tampoco reinstalarlo. • Otra forma mas avanzada sería colocar el comando en una partición NTFS y configurar la denegación total a aquellos usuarios que no sean del Grupo Administrador. Como solo se puede configurar entrando como el usuario local, el Administrador deberá (previamente a la configuración de la política) darle (o al grupo al que pertenece) el permiso NTFS para el control total del comando provisoriamente para poder loguearse como ese usuario, cambiar las políticas y luego, logueado nuevamente como Administrador, volverle a denegar el acceso al comando en cuestión.Descripción de las Principales Plantillas Administrativas:Las Plantillas Administrativas tienen una serie compleja de configuraciones. Tomaremos lasque consideramos de mayor utilidad para la configuración de un puesto de trabajo local con unacceso a una red workgroup. • Menú Inicio y barra de tareas • Escritorio • Panel de control • Sistema • Componentes de WindowsDentro de cada ítem, existen también una larga serie de sub-ítems. Volveremos a discriminartodos aquellos que no sirvan específicamente a la configuración de seguridad para un equipolocal con acceso a una red pequeña.Principales configuraciones para el Menú Inicio y barra de tareas:Descripción general:Contiene la configuración que le permite agregar, quitar o deshabilitar elementos del menúInicio, barra de tareas y área de notificación.Componentes Principales:1 Quitar carpetas del usuario del menú Inicio:Oculta todas las carpetas de la sección del usuario (sección superior) del menú Inicio. Aunqueotros elementos aparecerán, las carpetas estarán ocultas.Esta configuración se ha creado para utilizarla con carpetas redirigidas. Las carpetasredirigidas aparecen en la parte principal (inferior) del menú Inicio. Sin embargo, la versión dela carpeta original, del usuario sigue apareciendo en la parte superior del menú Inicio. Como laapariencia de dos carpetas con el mismo nombre puede confundir a los usuarios, puede utilizaresta configuración para ocultar las carpetas de usuario.Esta configuración oculta todas las carpetas de usuario, no sólo las asociadas con las carpetasredirigidas.Si habilita esta configuración, no aparecerán carpetas en la sección superior del menú Inicio. Silos usuarios agregan carpetas al directorio Menú Inicio en sus perfiles de usuario, las carpetasaparecerán en el directorio pero no en el menú Inicio.Si deshabilita esta configuración o no la configura, Windows 2000 y Windows XP mostraráncarpetas a ambos lados del menú Inicio.
  • 11. 2 Quitar vínculos a Windows Update:Impide que los usuarios se conecten al sitio Web Windows Update.Esta configuración impide que los usuarios puedan acceder al sitio Web Windows Update enhttp://windowsupdate.microsoft.com. Esta configuración también quita el hipervínculo haciaWindows Update desde el menú Inicio y desde el menú Herramientas de Internet Explorer.Windows Update, la extensión en línea de Windows, ofrece actualizaciones de software paramantener actualizado el sistema del usuario. El Windows Update Product Catalog determinaqué archivos del sistema, correcciones a seguridad y actualizaciones de Microsoft necesitan losusuarios y muestra una lista de las versiones más recientes que pueden descargarse.3 Quitar el icono Mis documentos del Menú Inicio:Quita el icono Mis documentos del Menú Inicio y sus submenús.Esta configuración sólo quita el icono. No impide que el usuario utilice otro métodos para teneracceso al contenido de la carpeta Mis documentos.4 Quitar el menú Documentos del menú Inicio:Quita el menú Documentos del menú Inicio.El menú Documentos contiene vínculos hacia los archivos que no son de programa que losusuarios han abierto más recientemente. Este menú aparece para que los usuarios puedanabrir fácilmente los documentos.Si habilita esta configuración, el sistema guardará accesos directos a documentos pero no losmostrará en el menú Documentos. Si más tarde la deshabilita o la establece como Noconfigurada, los accesos directos a documentos que se guardaron mientras la configuraciónestaba habilitada aparecerán en el menú Documentos.5 Quitar programas del menú Configuración:Impide que Panel de control, Impresoras y Conexiones de red se ejecute.Esta directiva quita las carpetas Panel de control, Impresoras y Conexiones de red de laConfiguración del menú Inicio, de Mi PC y del Explorador de Windows. También impide que losprogramas representados por estas carpetas (como Control.exe) se ejecuten.Sin embargo, los usuarios pueden iniciar elementos del Panel de control utilizando otrosmétodos, como por ejemplo hacer clic con el botón secundario sobre el escritorio para iniciarPantalla o hacer clic con el botón secundario sobre Mi PC para iniciar Sistema.6 Quitar Conexiones de red del menú Inicio:Impide que los usuarios ejecuten Conexiones de red.Esta configuración impide que la carpeta Conexiones de red se abra. Esta configuracióntambién quita la opción Conexiones de red de la Configuración en el menú Inicio.El elemento Conexiones de red seguirá apareciendo en el Panel de control y en el Exploradorde Windows, pero si los usuarios intentan iniciarlo, aparecerá un mensaje explicando queexiste una configuración que impide dicha acción.7 Quitar el menú Favoritos del menú Inicio:Evita que los usuarios agreguen el menú Favoritos al menú Inicio o al menú de inicio clásico.Si habilita esta configuración el elemento Mostrar Favoritos no aparecerá en el cuadro deopciones del menú Inicio Opciones Avanzadas.
  • 12. Si deshabilita o no establece esta configuración el elemento Mostrar Favoritos estarádisponible.Nota: el menú Favoritos no aparece en el menú Inicio de forma predeterminada. Para mostrarel menú Favoritos, haga clic con el botón secundario del mouse en el menú Inicio, señalePropiedades, haga clic en Personalizar. Si está usando el menú Inicio, haga clic en la fichaOpciones avanzadas y en Elementos del menú Inicio, seleccione el menú Favoritos. Si estáusando el menú de Inicio clásico, seleccione Mostrar Favoritos en el cuadro de opciones delmenú Inicio Opciones Avanzadas.8 Quitar el menú Buscar del menú Inicio:Quita el elemento Buscar del menú Inicio, y deshabilita algunos elementos de búsqueda delExplorador de Windows.Esta configuración quita el elemento Buscar del menú Inicio y del menú contextual que aparececuando se hace clic con el botón derecho del mouse en el menú Inicio. Además, el sistema noresponde cuando los usuarios presionan la tecla de la aplicación (la tecla con el logotipo deWindows)+ F.En el Explorador de Windows, el elemento Buscar seguirá apareciendo en los botones de labarra de herramientas estándar, pero el sistema no responderá cuando el usuario presioneCtrl+F. Además, buscar no aparecerá en el menú contextual cuando se haga clic con el botónderecho del mouse sobre un icono que represente una unidad o una carpeta.Esta configuración afecta sólo a los elementos de la interfaz de usuario especificado. No afectaa Internet Explorer y no impide que el usuario use otros métodos para buscar.9 Quitar el menú Ayuda del menú Inicio:Quita el comando Ayuda del menú Inicio.Esta configuración sólo afecta al menú Inicio. No se quitará el menú Ayuda del Explorador deWindows y no impide que los usuarios ejecuten la Ayuda.10 Quitar el menú Ejecutar del menú Inicio:Le permite quitar el comando Ejecutar del menú Inicio, Internet Explorer, y Administrador detareas.Si habilita esta configuración, ocurrirán los siguientes cambios:(1) Se quita el comando Ejecutar del menú Inicio.(2) El comando Nueva tarea (ejecutar) se quita del Administrador de tareas.(3) Se impedirá al usuario escribir lo siguiente en la Barra de direcciones de Internet Explorer:--- Una ruta UNC: <servidor><recurso_compartido>--- Tener acceso a unidades locales: Por ejemplo, C:--- Tener acceso a carpetas locales: Por ejemplo, temp>Además, los usuarios con teclados extendidos no podrán seguir mostrando el cuadro dediálogo Ejecutar presionando la tecla de Aplicación (la tecla con el logotipo de Windows) + R.Si deshabilita esta configuración o no la establece, los usuarios tendrán acceso al comandoEjecutar del menú Inicio y podrán usar la barra de direcciones de Internet Explorer en elAdministrador de tareas.11 Quitar el icono Mis sitios de red del menú Inicio:Quita el icono Mis sitios de red del menú Inicio.
  • 13. 12 Quitar Cerrar sesión en el menú Inicio:Quita el elemento "Cerrar sesión de <nombre de usuario>" del menú Inicio e impide que losusuarios vuelvan a agregarlo.Si habilita esta configuración, el elemento Cerrar sesión de <nombre de usuario> no apareceen el menú Inicio. Esta configuración también quita el elemento Mostrar Cierre de sesión de lasopciones del menú Inicio. Como resultado, los usuarios no podrán volver a agregar el elementoCerrar sesión <nombre de usuario> en el menú Inicio.Si deshabilita esta configuración o no la configura, los usuarios pueden utilizar el elementoMostrar Cierre de sesión para agregar o quitar el elemento Cierre de sesión de.Esta configuración sólo afecta al menú Inicio. No afecta al elemento Cerrar la sesión del cuadrode diálogo Seguridad de Windows que aparece al presionar Ctrl+Alt+Supr, y no impide que losusuarios utilicen otros métodos para cerrar la sesión.13 Quitar e impedir el acceso al comando Apagar:Impide que los usuarios cierren o vuelvan a iniciar Windows.Esta configuración quita la opción Apagar del menú Inicio y deshabilita el botón Apagar delcuadro de diálogo Seguridad de Windows, que aparece al presionar CTRL+ALT+SUPR.Esta configuración impide que los usuarios utilicen la interfaz de usuario de Windows paraapagar el sistema, aunque no les impide que ejecuten programas que cierran Windows.Si deshabilita esta configuración o no la establece, la opción de menú Apagar aparecerá y elbotón Apagar estará habilitado.14 Quitar los menús contextuales para arrastrar y colocar del menú Inicio:Impide que los usuarios utilicen el método de arrastrar y colocar para volver a clasificar o quitarelementos del menú Inicio.Si deshabilita esta configuración o no la configura, los usuarios pueden quitar o volver aclasificar los elementos del menú Inicio con sólo arrastrar y colocar el elemento en cuestión.Los usuarios podrán abrir menús contextuales haciendo clic con el botón secundario sobre unelemento del menú Inicio.Esta configuración no impide que los usuarios utilicen otros métodos para personalizar el menúInicio o para llevar a cabo las tareas a las que se puede acceder desde los menúscontextuales.15 Impedir cambios en la configuración de la barra de tareas y del menú Inicio:Quita el elemento Barra de tareas y menú Inicio de Configuración del menú Inicio. Estaconfiguración también impide que el usuario abra el cuadro de diálogo Propiedades de Barrade tareas y menú Inicio.Si el usuario hace clic con el botón secundario sobre la barra de tareas y luego hace clic sobrePropiedades, aparecerá un mensaje indicándole que existe una configuración que impide dichaacción.16 Quitar el accesos a los menús contextuales para la barra de tareas:Oculta los menús que aparecen cuando hace clic con el botón secundario sobre la barra detareas y sobre elementos de la barra de tareas, como por ejemplo el botón Inicio, el reloj y losbotones de la barra de tareas.Esta directiva no impide que los usuarios utilicen otros métodos para ejecutar los comandosque aparecen en estos menús.
  • 14. 17 Quitar y deshabilitar el botón Apagar equipoSi habilita esta configuración, el botón "Apagar equipo" se quitará del menú Inicio sencillo y elusuario no podrá apagar Windows usando la interfaz de usuario estándar para el apagado.Si deshabilita esta configuración o no la configura, el botón "Apagar equipo" permanecerá en elmenú Inicio sencillo18 Quitar nombre de usuario del menú Inicio:Quita nombre de usuario del menú InicioPrincipales configuraciones para el Escritorio:1 Ocultar y deshabilitar todos los iconos del Escritorio:Quita del escritorio los iconos, accesos directos y otros elementos predeterminados y definidospor el usuario, incluidos el Maletín, la Papelera de reciclaje, Mi PC y Mis sitios de red.Aunque se quiten los iconos y los accesos directos, el usuario puede utilizar otros métodospara iniciar los programas o para abrir los elementos que representan.Consulte también: "Elementos mostrados en la Barra de lugares" en Configuración delusuarioPlantillas administrativasComponentes de WindowsComún. Abra el diálogo de archivopara quitar el icono Escritorio de la Barra de lugares. Esto ayudará a impedir que los usuariosguarden datos en el Escritorio.2 Quitar el icono Mis documentos del escritorio:Quita la mayoría de los iconos Mis documentos.Esta configuración quita el icono Mis documentos del escritorio, del Explorador de Windows, delos programas que utilicen las ventanas del Explorador de Windows y del cuadro de diálogoestándar Abrir.Esta configuración no impide que el usuario utilice otros métodos para acceder al contenido dela carpeta Mis documentos.Esta configuración no elimina el icono Mis documentos del Menú Inicio.Nota: Para que los cambios efectuados en esta configuración se apliquen, debe cerrar lasesión e iniciarla de nuevo en Windows 2000.3 Quitar icono Mi PC del escritorio:Esta configuración oculta Mi PC en el escritorio y en el nuevo menú Inicio. También oculta losvínculos a Mi PC en la vista Web de todas las ventanas del Explorador de Windows y oculta MiPC en el panel del árbol de carpetas del Explorador. Si el usuario llega a Mi PC usando elbotón "Arriba" mientras esta configuración está habilitada, verá una carpeta Mi PC vacía. Estaconfiguración permite a los administradores impedir que los usuarios vean Mi PC en el nombrede espacios Shell, permitiéndoles ofrecer a sus usuarios entornos de escritorio más simples.Si habilita esta configuración, Mi PC no aparecerá en el escritorio, en el nuevo menú Inicio, enel panel del árbol de carpetas del Explorador ni en las vistas Web del Explorador. Si el usuarioconsigue llegar a Mi PC, la carpeta aparecerá vacía.Si deshabilita esta configuración, Mi PC se mostrará normalmente, apareciendo en el escritorio,Menú Inicio, panel del árbol de carpetas y vistas Web, a no ser que otra configuración loimpida.Si no establece esta configuración, el comportamiento predeterminado es mostrar Mi PC connormalidad.
  • 15. Nota: ocultar Mi PC y sus contenidos no oculta los contenidos de las carpetas secundarias deMi PC. Por ejemplo, si los usuarios acceden a uno de sus discos duros, verán todas suscarpetas y archivos, incluso si está configuración está habilitada.4 Quitar la Papelera de reciclaje del escritorio:Quita la mayoría de las ocurrencias del icono de la Papelera de reciclaje.Esta configuración quita el icono de la papelera de reciclaje del escritorio, del explorador deWindows, de programas que usen las ventanas del explorador de Windows y del diálogoestándar Abrir.Esta configuración no impide que los usuarios usen otros métodos para acceder los contenidosde la carpeta Papelera de reciclaje.Nota: para que los cambios de esta configuración tengan efecto, debe cerrar sesión y volver ainiciar sesión.5 Quitar el elemento Propiedades del menú contextual de Mis documentos:Esta configuración oculta Propiedades del menú contextual de Mis documentos.Si habilita esta configuración, la opción propiedades no estará presente cuando el usuario hagaclic con el botón secundario del mouse en Mis documentos o haga clic en Mis documentos yvaya al menú Archivo. Así mismo, Alt-Entrar no hará nada cuando esté seleccionado Misdocumentos.Si deshabilita o no establece esta configuración, la opción Propiedades apareceránormalmente.6 Quitar el elemento Propiedades del menú contextual de Mi PC:Esta configuración oculta Propiedades en el menú contextual de Mi PC.Si habilita esta configuración, la opción Propiedades no estará presente cuando el usuario hagaclic con el botón secundario del mouse en Mi PC o haga clic Mi PC y vaya el menú Archivo. Asímismo, Alt-Entrar no producirá ninguna acción cuando MI PC esté seleccionado.Si deshabilita o no establece esta configuración, la opción Propiedades se mostraránormalmente.7 Quitar Propiedades del menú contextual de la Papelera de reciclaje:Quita la opción Propiedades del menú contextual de la Papelera de reciclaje.Si habilita esta configuración, la opción Propiedades no estará presente cuando el usuario hagaclic con el botón secundario del mouse el la Papelera de reciclaje o abra la Papelera dereciclaje y haga clic en Archivo. Así mismo , Alt-Entrar no hará nada cuando la Papelera dereciclaje está seleccionada.Si deshabilita o no establece esta configuración, la opción Propiedades se mostrará connormalidad.8 Ocultar el icono Mis sitios de red del escritorio:Quita el icono Mis sitios de red del escritorio. Esta configuración sólo afecta al icono deescritorio. No impide que los usuarios se conecten a la red o examinar equipos compartidos enla red.9 Ocultar el icono de Internet Explorer en el Escritorio:Quita el icono de Internet Explorer del escritorio y de la opción Inicio rápido de la barra detareas.Esta configuración no impide que el usuario inicie Internet Explorer utilizando otros métodos.
  • 16. 10 Prohibir al usuario cambiar la ruta de Mis documentos:Impide que los usuarios cambien la ruta hacia la carpeta Mis documentos.Como valor predeterminado, un usuario puede modificar la ubicación de la carpeta Misdocumentos con sólo escribir una ruta nueva en la casilla Destino del cuadro de diálogoPropiedades de Mis documentos. Si habilita esta configuración, los usuarios no podrán escribiren una nueva ubicación de la casilla Destino.11 No guardar la configuración al salir:Impide que los usuarios guarden ciertos cambios en el escritorio.Si habilita esta directiva, los usuarios pueden modificar el escritorio, pero algunos de loscambios, como la posición de las ventanas abiertas o el tamaño y posición de la barra detareas no se guardarán cuando los usuarios cierren la sesión. Sin embargo, los accesosdirectos que se encuentren en el escritorio se guardarán siempre.Principales configuraciones del Panel de Control:1 Prohibir el acceso al Panel de control:Deshabilita los programas del Panel de control.Esta configuración impide que Control.exe, el archivo de programa de Panel de control, seinicie. Como resultado, los usuarios no pueden iniciar Panel de control o ejecutar elementos delPanel de control.Esta configuración también quita Panel de control del menú Inicio. (Para abrir Panel de control,haga clic en Inicio, sitúe el puntero sobre Configuración y haga clic en Panel de control acontinuación.) Esta configuración también quita la carpeta Panel de control del Explorador deWindows.Si los usuarios intentan seleccionar un elemento del Panel de control en un menú de contexto,aparecerá un mensaje explicando que existe una configuración que impide esta acción.2 Ocultar subprogramas especificados del Panel de control:Oculta elementos y carpetas del Panel de control especificados.Esta configuración elimina elementos (por ej. Pantalla) del Panel de control, y carpetas (por ej.Fuentes) de la ventana del Panel de control y del menú Inicio. Puede eliminar elementos delPanel de control que haya agregado al sistema, así como elementos del Panel de controlincluidos en Windows 2000.Para ocultar un elemento del Panel de control, escriba el nombre del archivo del elemento,como por ej. Ncpa.cpl (para Red). Para ocultar una carpeta, escriba el nombre de la carpeta,por ej. Fuentes.Esta configuración sólo se aplica al menú Inicio y a la ventana del Panel de control. No impideque los usuarios ejecuten elementos del Panel de control.Consulte también la configuración "Quitar Pantalla en Panel de control" de Configuración delusuarioPlantillas administrativasPanel de controlPantalla.Si las configuraciones "Ocultar subprogramas especificados del Panel de control" y "Mostrarsólo los subprogramas especificados del Panel de control" están activadas y aparece el mismoelemento en ambas listas, la configuración "Mostrar sólo los subprogramas especificados delPanel de control" se ignora.Nota: para buscar el nombre de archivo de un elemento del Panel de control, busque archivosque tengan la extensión .cpl en el directorio %Systemroot%System32. Nota: para crear unalista de subprogramas no permitidos en el Panel de control, haga clic en Mostrar, luego enAgregar y escriba el nombre de archivo de panel de control (termina en .cpl), o el nombre
  • 17. mostrado para el elemento en el Panel de control (por ejemplo, desk.cpl, powercfg.cpl,Impresoras y Faxes)Nota: esta configuración no afecta a las categorías que se muestran en la nueva vista porcategorías del Panel de control en Windows XP. Si desea controlar qué elementos se muestranen el Panel de control, habilite la configuración "Forzar estilo clásico del Panel de control" paraquitar la vista por categorías y usar esta configuración para controlar qué .cpls no se van amostrar3 Mostrar sólo los subprogramas especificados del Panel de control:Oculta todos los elementos y carpetas del Panel de control, excepto los especificados en estaconfiguración.Esta configuración elimina todos los elementos del Panel de control (como Red) y carpetas(como Fuentes) de la ventana del Panel de control y del menú Inicio. Elimina elementos delPanel de control que haya agregado al sistema y los elementos del Panel de control incluidosen Windows 2000. Los únicos elementos que aparecerán en el Panel de control son los queespecifique en esta configuración.Para mostrar un elemento del Panel de control, escriba el nombre del archivo del elemento,como por ejemplo Ncpa.cpl (para Red). Para mostrar una carpeta, escriba el nombre de lacarpeta, como por ejemplo Fuentes. Si no especifica ningún elemento o carpeta, la ventana delPanel de control aparecerá vacía.Esta configuración sólo afecta al menú Inicio y a la ventana del Panel de control. No impide quelos usuarios ejecuten los elementos del Panel de control.Consulte también la configuración "Quitar Pantalla en Panel de control" en Configuración delusuarioPlantillas administrativasPanel de controlPantalla.Si las configuraciones "Ocultar subprogramas especificados del Panel de control" y "Mostrarsólo los subprogramas especificados del Panel de control" están activadas, la configuración"Mostrar sólo los subprogramas especificados del Panel de control" se ignora.Sugerencia: Para buscar el nombre de archivo de un elemento del Panel de control, busquearchivos que tengan la extensión .cpl en el directorio %Systemroot%System32.4 Agregar o quitar programas:Contiene la configuración para controlar el comportamiento del complemento Agregar o quitarprogramas. • Quitar Agregar o quitar programas • Ocultar la página Cambiar o quitar programas • Ocultar la página Agregar nuevos programas • Ocultar la página Agregar o quitar componentes de Windows • Ocultar la opción "Agregar un programa desde un CD-ROM o disquete" • Ocultar la opción "Agregar programas de Microsoft" • Ocultar la opción "Agregar programas desde la red" • Ir directamente al Asistente para componentes • Quitar la información de compatibilidad • Especificar categoría predeterminada para Agregar nuevos programas5 Pantalla:Configuración de controles disponible en Pantalla del Panel de control o haciendo clic con elbotón secundario del mouse en el escritorio de un usuario. Esto incluye las propiedades delfondo de pantalla, configuración de apariencia y propiedades del protector de pantalla.Los principales subtemas que contiene esta carpeta son: • Quitar Pantalla en Panel de control
  • 18. • Ocultar la ficha Escritorio • Impedir cambios en el papel tapiz • Ocultar la ficha Apariencia y Temas • Ocultar la ficha Configuración • Ocultar la ficha Protector de pantalla • Protector de pantalla • Nombre ejecutable del protector de pantalla • Proteger el protector de pantalla con una contraseña • Tiempo de espera del protector de pantalla • Temas del Escritorio6 Impresoras:Administra impresoras de red y opciones de publicación.Los principales subtemas que contiene esta carpeta son: • Buscar impresoras en un sitio Web común • Buscar impresoras en la red • Ruta predeterminada de Active Directory al buscar impresoras • Impedir la agregación de impresoras • Impedir la eliminación de impresorasPrincipales configuraciones de Sistema:1 Impedir el acceso a herramientas de edición del Registro:Deshabilita las herramientas de edición del registro de Windows, Regedt.exe y Regedit.exe.Si esta configuración se habilita y el usuario intenta ejecutar un editor del registro, aparecerá unmensaje explicando que hay una configuración que impide dicha acción.2 Quitar el administrador de tareas:Ubicación: Configuración de usuarioSistemaOpciones de Ctrl+Alt+SupImpide que los usuarios inicien el Administrador de tareas (Taskmgr.exe).Si esta configuración está habilitada y los usuarios intentan iniciar el Administrador de tareas,aparecerá un mensaje explicando que hay una directiva que impide dicha acción.El Administrador de tareas permite a los usuarios iniciar y detener programas, controlar elrendimiento de sus equipos, ver y controlar todos los programas que se ejecutan en susequipos, incluidos los servicios del sistema, buscar los nombres de programas ejecutables ymodificar la prioridad del proceso en el que se ejecutan los programas.Principales configuraciones de Componentes de Windows:En éste punto se configuran los principales componentes de Windows, entre los quepodemos detallar:
  • 19. • Explorador de Windows • Programador de tareas • Windows Update • Internet Explorer. • Netmeeting • Reproductor de Windows Media.8.- Cuotas de discos (NTFS):Esto consiste en asignar a un usuario o a un grupo una cierta cantidad de disco duro. Es decir,si el disco ( o partición) R: tiene 8 G, podemos hacer que el usuario Juan sólo pueda disponerde 1 G.Se utiliza sólo con NTFS.Para asignarlo vamos a Mi PC/disco R:/Propiedades debe salir la ficha Cuota.Podemos poner un valor de cuota de disco mediante : Limitar espacio de disco Ejemplo : 100MBPodemos poner una advertencia cuando se acerque a esa cantidad : Establecer nivel deadvertencia Ejemplo : 90 MBPodemos particularizar la cuota de disco a cada usuario mediante el botón : Valores de cuotas /Cuota / Nueva entrada de cuota ... / Ponemos o buscamos un usuario y le asignamos lacantidad de disco R: que puede utilizar.Para habilitar la utilización de cuotas de disco vamos a :Inicio/Ejecutar/gpedit.mscConfiguración de equipos/Plantillas administrativas/Sistema/Cuotas de disco/Habilitar cuotas dedisco