Your SlideShare is downloading. ×
8VR GH $FWLYH 'LUHFWRU SDUD FRQILJXUDU SHUPLVRV GH XQD RUJDQL]DFLyQ
Introducción

No es objetivo de este pequeño documento...
En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de
Política de Grupo (Group P...
Estas son las únicas políticas que se aplican a los equipos que no están en un dominio,
           como servidores indepen...
Resumen Prioridad de GPO’s

Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de
sit...
Aunque también se puede especificar que una GPO esta bloqueada y de esta forma se HYLWDUtD
TXH IXHUH KHUHGDGD por los cont...
Restablecer la cuenta de bloqueos después de...
           Umbral de bloqueos de la cuenta.
[editar]
'LUHFWLYDV ORFDOHV ! ...
Depurar programas.
           Forzar el apagado desde un sistema remoto.
           Generar auditorías de seguridad.
     ...
Acceso de red: recursos compartidos accesibles anónimamente.
    Acceso de red: restringir acceso anónimo a canalizaciones...
DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL).
   DCOM...
Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión.
           Seguridad de red: no al...
Directivas de claves públicas.
           Directivas de restricción de software.
           Directivas de seguridad IP de ...
Upcoming SlideShare
Loading in...5
×

El Directorio Activo (Manual de inicio)

10,149

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
10,149
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
271
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Transcript of "El Directorio Activo (Manual de inicio)"

  1. 1. 8VR GH $FWLYH 'LUHFWRU SDUD FRQILJXUDU SHUPLVRV GH XQD RUJDQL]DFLyQ Introducción No es objetivo de este pequeño documento explicar que es el Active Directory pero a modo de simple introducción podemos definirlo como: $FWLYH 'LUHFWRU HV XQD EDVH GH GDWRV GLVWULEXLGD GH LQIRUPDFLyQ VREUH XVXDULRV HTXLSRV LPSUHVRUDV FDVL DEVROXWDPHQWH FXDOTXLHU REMHWR UHODFLRQDGR D OD VLVWHPD LQIRUPiWLFR GH OD HPSUHVD Utiliza distintos protocolos (principalmente protocolo LDAP, DNS, DHCP, kerberos...). Active Directory proporciona la función de administrar las identidades en Windows Server 2003 junto a las muchas identidades que están dispersas en otros sistemas y plataformas. Además las directivas de grupo en Windows Server 2003 permiten de forma sencilla definir políticas de acceso y seguridad para equipos de escritorio y servidores que pueden ser aplicadas automáticamente a tantos equipos de escritorio y servidores como sea necesario vía Active Directory. Los administradores pueden definir e implementar estándares organizacionales mediante Directivas de Grupo, y pueden rápidamente reconfigurar los parámetros para adaptarse a requerimientos comerciales cambiantes. Es importante destacar su estructura jerárquica que permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. La estructura más común es la estructura de árbol, de forma que los objetos de cada nivel pueden tener a su vez muchos objetos hijos, un subnivel, y sucesivamente. El presente documento se centrara en como usar el active directory para controlar permisos y privilegios de los equipos y usuarios. [editar] Políticas - Objetos de Política de Grupo [editar] ¢4Xp 6RQ El medio que usa Windows para asignar a los usuario y equipos (objetos del Active Directory en general) permisos, restricciones y demás son las políticas. En cada sistema Windows, forme parte o no de un dominio, existe una política local que el administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo. Lógicamente, cuando hay muchos equipos que administrar, resultaría incómodo tener que establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows.
  2. 2. En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar. [editar] 2UJDQL]DFLyQ GH 3ROtWLFDV Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales, justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios: La FRQILJXUDFLyQ GHO HTXLSR agrupa todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie. La FRQILJXUDFLyQ GH XVXDULR agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio). En cada GPO, el administrador puede deshabilitar selectivamente las políticas de equipo y/o de usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta útil en aquellos casos en los que en un GPO sólo se configuran políticas de uno de ambos tipos. El presenta documento se centra en las *32¶V GH FRQILJXUDFLyQ GH HTXLSR [editar] ¢'yQGH 6H $SOLFDQ Las GPO’s pueden estar contenidas en cuatro tipos de objetos: 1. (TXLSRV /RFDOHV: son aplicadas únicamente en el equipo que las tiene asignadas independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”.
  3. 3. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio, como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer). 2. 6LWLRV de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio, independientemente del dominio del mismo bosque al que pertenezcan. 3. 'RPLQLRV de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio. 4. 8QLGDGHV 2UJDQL]DWLYDV de Active Directory: se aplican únicamente a los equipos y/o usuarios que pertenezcan a la propia unidad organizativa (OU). El primer caso solo se nombra a titulo informativo puesto que esta fuera de lo que seria el active directory. De los otros tres casos lo lógico y recomendable es aplicar las GPO’s a nivel de Unidades Organizativas (OU). Las OU proporcionan una manera flexible de agrupar recursos relacionados y delegar el acceso de administración al personal apropiado sin proporcionarles la capacidad de administrar todo el dominio. Además, una jerarquía de OU bien diseñada ayudará al desarrollo, la implementación y la administración de medidas de seguridad eficaces. [editar] 2UGHQ GH $SOLFDFLyQ Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios, dominios y OU’s. Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de que las GPO’s contuvieran políticas que se FRQWUDGLMHUDQ HQWUH Vt. Cuando se dan casos de estos, el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas, unas prevalecen sobre otras atendiendo a una serie de reglas.
  4. 4. Resumen Prioridad de GPO’s Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que unas anulen a otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre ellas. Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a nivel de dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se aplicará a un objeto contenido dentro de la OU será la suma de ambas GPO’s, salvo que la política que se aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio, y por tanto el panel de control será visible. También se puede dar el caso de que HQ XQ PLVPR FRQWHQHGRU, por ejemplo una OU, se aplique más de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple: prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor. [editar] +HUHQFLD GH *32¶V Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su vez a sus hijos, es decir: 1. Las OU’s de primer nivel heredan del Dominio 2. Las OU’s hijas heredan de las de primer nivel 3. Las OU’s de nivel 3º heredan de las hijas 4. Y sucesivamente
  5. 5. Aunque también se puede especificar que una GPO esta bloqueada y de esta forma se HYLWDUtD TXH IXHUH KHUHGDGD por los contenedores hijos. [editar] Directrices de Configuración del Equipo En este apartado haremos un repaso por las directrivas aplicables al apartado de configuración del equipo para gestionar permisos de equipos del dominio. Comentar que dichas directrices las podemos encontrar en +HUUDPLHQWDV $GPLQLVWUDWLYDV ! 8VXDULRV HTXLSRV GH $FWLYH 'LUHFWRU y dentro de este panel en propiedades de la Unidad Organizativa a elegida. En la nueva pantalla, tendremos acceso a una nueva solapa, denominada Directiva de grupo y es ahí donde encontramos las directivas aplicadas a la UO. Al añadir, o modificar una directiva accederemos a la ventana del Editor de objetos de directiva de grupo. Dentro de RQILJXUDFLyQ GHO HTXLSR ! RQILJXUDFLyQ GH :LQGRZV encontramos las siguientes directivas que pasamos a detallar por secciones. [editar] $UFKLYRV GH FRPDQGRV ,QLFLR: contiene secuencias de comandos de inicio de equipo. $SDJDU: contiene secuencias de comandos de apagado de equipo. [editar] RQILJXUDFLyQ GH VHJXULGDG [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH FRQWUDVHxDV Almacenar contraseñas usando cifrado reversible Forzar el historial de contraseñas Las contraseñas deben cumplir los requerimientos de seguridad Longitud mínima de contraseña. Vigencia máxima de la contraseña. Vigencia mínima de la contraseña. [editar] 'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH EORTXHR GH FXHQWDV Duración del bloqueo de cuenta.
  6. 6. Restablecer la cuenta de bloqueos después de... Umbral de bloqueos de la cuenta. [editar] 'LUHFWLYDV ORFDOHV ! 'LUHFWLYDV GH DXGLWRUtD Auditar el acceso a objetos. Auditar el acceso del servicio de directorio. Auditar el cambio de directivas. Auditar el seguimiento de procesos. Auditar el uso de privilegios. Auditar la administración de cuentas. Auditar sucesos de inicio de sesión. Auditar sucesos de inicio de sesión de cuenta. Auditar sucesos del sistem [editar] 'LUHFWLYDV ORFDOHV ! $VLJQDFLyQ GH GHUHFKRV GH XVXDULR Actuar como parte del sistema operativo. Administra los registros de auditoría y seguridad. Agregar estaciones de trabajo al dominio. Ajustar cuotas de memoria para un proceso Apagar el sistema. Bloquear páginas en memoria. Cambiar la hora del sistema. Cargar y descargar controladores de dispositivo. Crear objetos compartidos permanentes. Crear objetos globales. Crear un archivo de paginación. Crear un objeto testigo. Denegar el acceso desde la red a este equipo. Denegar el inicio de sesión como servicio. Denegar el inicio de sesión como trabajo por lotes. Denegar el inicio de sesión localmente. Denegar inicio de sesión a través de servicios de Terminal Server.
  7. 7. Depurar programas. Forzar el apagado desde un sistema remoto. Generar auditorías de seguridad. Habilitar cuentas de equipo y de usuario en las que se confía para delegación. Hacer copias de seguridad de archivos y directorios. Incrementar prioridades de planificación de procesos. Iniciar sesión como proceso por lotes. Iniciar sesión como usuario. Modificar valores de entorno de la memoria no volátil (firmware). Omitir la comprovación de recorrido. Perfilar el rendimiento del sistema. Perfilar un proceso individual. Permitir el inicio de sesión local. Permitir inicio de sesión a través de servicios de Terminal Server. Quitar el equipo de la estación de acoplamiento. Realizar la tareas de mantenimiento del volumen. Reemplazar un testigo a nivel de proceso. Representar al cliente después de la autenticación. Restaurar archivos y directorios. Sincronizar los datos de Directory Service. Tener acceso a este equipo desde la red. Tomar posesión de archivos y otros objetos. [editar] 'LUHFWLYDV ORFDOHV ! 2SFLRQHV GH VHJXULGDG Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la atenticación del dominio. Acceso a redes: no permitir enumeraciones anómalas de cuentas SAM. Acceso a redes: no permitir enumeraciones anómalas de cuentas y recursos compartidos SAM. Acceso de red: canalizaciones con nombre accesible anónimamente. Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anónimos. Acceso de red: modelo de seguridad y recuros compartidos para cuentas locales. Acceso de red: permitir traducción SID/nombre anónima.
  8. 8. Acceso de red: recursos compartidos accesibles anónimamente. Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos compartidos. Acceso de red: rutas de registro accesibles remotamente. Acceso de red: rutas y subrutas de registro accesibles remotamente. Apagado: borrar el archivo de páginas de la memoria virtual. Apagado: permitir apagar el sistema sin tener que iniciar sesión. Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad. Auditoría: auditar el acceso de objetos globales del sistema Auditoría: auditar el uso del privilegio de copia de seguridad y restauración. Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros fabricantes: Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (si el servidor lo permite) Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (siempre) Configuración del sistema: subsistemas obcionales. Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows para directivas de restricción de software. Consola de recuperación: permitir el inicio de sersión administrativo automático. Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo. Controlador de dominio: permitir a los operadores de servidor programar tareas. Controlador de dominio: requisitos de firma de servidor LDAP. Criptografía de sistema: estable una protección fuerte de clave para aquellas claves del usuario en el equipo. Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y operaciones hash. Cuentas: cambiar el nombre de cuenta de invitado. Cuentas: cambiar el nombre de la cuenta del administrador. Cuentas: estado de la cuenta de administrador. Cuentas: estado de la cuenta de invitado. Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la consola.
  9. 9. DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de descriptores de seguridad (SDDL). Dispositivos: comportamiento de instalación de controlador no firmado. Dispositivos: impedir que los usuarios instalen controladores de impresora. Dispositivos: permitir el desbloqueo sin tener que iniciar sesión. Dispositivos: permitir formatear y expulsar medios extraíbles. Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente. Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente. Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión. Inicio de sesión interactivo: necesita una tarjeta inteligente. Inicio de sesión interactivo: no mostrar el último nombre de usuario Inicio de sesión interactivo: no requerir Ctlr+Alt+Sup. Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché. Inicio de sesión interactivo: perdir al usuario cambiar la contraseña antes de que caduque. Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear el equipo. Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión. Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión. Miembro de dominio: duración máxima de contraseña de cuenta de equipo. Miembro de dominio: firmar digitalmente datos de un canal seguro. Miembro de dominio: descifrar digitalmente datos de un canal seguro. Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro. Miembro de dominio: deshabilidar los cambiar de contraseña de cuentas de equipo. Miembro de dominio: requerir clave de sesión protegida. Objetos de sistema: propietario predeterminado para objetos creados por miembros del grupo de administradores. Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del sistema. Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas no basados en Windows.
  10. 10. Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión. Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de contraseña. Seguridad de red: requisitos de firma de cliente LDAP. Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP. Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP. Seguridad de redes: nivel de autenticación de LAN Manager. Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión. Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre). Servidor de red Microsoft: tiempo de inactivida requerido antes de suspender la sesión. [editar] 5HJLVWUR GH VXFHVRV Conservar el registro de aplicaciones. Conservar el registro de seguridad. Conservar el registro de sistema. Evitar que el grupo de invitador locales tenga acceso a el registro de aplicaciones. Evitar que el grupo de invitador locales tenga acceso a el registro de seguridad. Evitar que el grupo de invitador locales tenga acceso a el registro del sistema. Método de retención del registro de la aplicación. Método de retención del registro de seguridad. Método de retención del registro del sistema. Tamaño máximo del registro de la aplicación. Tamaño máximo del registro de seguridad. Tamaño máximo del registro del sistema. [editar] 2WUDV GLUHFWLYDV Grupos restringidos. Servicios del sistema. Registro. Sistema de archivos. Directivas de red inalámbrica.
  11. 11. Directivas de claves públicas. Directivas de restricción de software. Directivas de seguridad IP de Active Directory. [editar] Plantillas Administrativas En las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores también influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen cientos de estos valores disponibles para su configuración y se pueden agregar muchos más mediante la importación de archivos .adm adicionales. Mediante estas plantillas podremos gestionar en los equipos de la unidad organizativa los siguiente servicios: Configuración de equipo de Internet Explorer. Configurar las directivas de Terminal Server. Servicios de Internet Information Server. Windows Update. Configuración de inicio de sesión del sistema. Asistente de mantenimiento personalizado de Microsoft Office XP. Configuración de seguridad de Microsoft Office XP Procesamiento de directivas de grupo. Informe de errores. Configuración de usuario de Internet Explorer. Configuración de protector de pantalla. Además esto nos permitirá establecer la misma configuración para un unidad organizativa de forma centralizada.

×