Este documento resume las principales formas en que Active Directory puede usarse para controlar permisos y privilegios de equipos y usuarios en una organización. Explica que las Políticas de Grupo (GPO) son los objetos que definen las configuraciones de permisos, y que estas GPO pueden asignarse a sitios, dominios y unidades organizativas. También describe el orden de prioridad entre GPO contradictorias y la herencia de políticas entre contenedores. Finalmente, detalla varias directivas de configuración de equipo que permiten administrar permisos a nivel
1. 8VR GH $FWLYH 'LUHFWRU SDUD FRQILJXUDU SHUPLVRV GH XQD RUJDQL]DFLyQ
Introducción
No es objetivo de este pequeño documento explicar que es el Active Directory pero a modo de
simple introducción podemos definirlo como:
$FWLYH 'LUHFWRU HV XQD EDVH GH GDWRV GLVWULEXLGD GH LQIRUPDFLyQ VREUH XVXDULRV HTXLSRV
LPSUHVRUDV FDVL DEVROXWDPHQWH FXDOTXLHU REMHWR UHODFLRQDGR D OD VLVWHPD LQIRUPiWLFR GH OD
HPSUHVD Utiliza distintos protocolos (principalmente protocolo LDAP, DNS, DHCP, kerberos...).
Active Directory proporciona la función de administrar las identidades en Windows Server 2003
junto a las muchas identidades que están dispersas en otros sistemas y plataformas. Además las
directivas de grupo en Windows Server 2003 permiten de forma sencilla definir políticas de acceso
y seguridad para equipos de escritorio y servidores que pueden ser aplicadas automáticamente a
tantos equipos de escritorio y servidores como sea necesario vía Active Directory. Los
administradores pueden definir e implementar estándares organizacionales mediante Directivas de
Grupo, y pueden rápidamente reconfigurar los parámetros para adaptarse a requerimientos
comerciales cambiantes.
Es importante destacar su estructura jerárquica que permite mantener una serie de objetos
relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y
asignación de recursos y políticas de acceso. La estructura más común es la estructura de árbol,
de forma que los objetos de cada nivel pueden tener a su vez muchos objetos hijos, un subnivel, y
sucesivamente. El presente documento se centrara en como usar el active directory para controlar
permisos y privilegios de los equipos y usuarios.
[editar]
Políticas - Objetos de Política de Grupo
[editar]
¢4Xp 6RQ
El medio que usa Windows para asignar a los usuario y equipos (objetos del Active Directory en
general) permisos, restricciones y demás son las políticas.
En cada sistema Windows, forme parte o no de un dominio, existe una política local que el
administrador puede editar según su criterio para ajustar el comportamiento de dicho equipo.
Lógicamente, cuando hay muchos equipos que administrar, resultaría incómodo tener que
establecer este comportamiento uno por uno. Por este motivo, las políticas de grupo se han
integrado dentro de la administración del Directorio Activo como una herramienta de configuración
centralizada en dominios Windows.
2. En concreto, las políticas se especifican mediante objetos de directorio denominados Objetos de
Política de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye
como atributos cada una de las políticas (también denominadas directivas) que puede establecerse
en Windows para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos
contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los
usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de
configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo,
cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de
tarea que debe desempeñar.
[editar]
2UJDQL]DFLyQ GH 3ROtWLFDV
Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite
una distribución lógica de las mismas. En este árbol de políticas existen dos nodos principales,
justo por debajo del nodo raíz, que separan las configuraciones para equipos y para usuarios:
La FRQILJXUDFLyQ GHO HTXLSR agrupa todos aquellos parámetros de configuración que
pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas
políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada
vez que se inicie.
La FRQILJXUDFLyQ GH XVXDULR agrupan los parámetros de configuración que pueden
establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas
de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario
inicie una sesión local (en cualquier equipo del dominio).
En cada GPO, el administrador puede deshabilitar selectivamente las políticas de equipo y/o de
usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta útil en aquellos casos en los
que en un GPO sólo se configuran políticas de uno de ambos tipos.
El presenta documento se centra en las *32¶V GH FRQILJXUDFLyQ GH HTXLSR
[editar]
¢'yQGH 6H $SOLFDQ
Las GPO’s pueden estar contenidas en cuatro tipos de objetos:
1. (TXLSRV /RFDOHV: son aplicadas únicamente en el equipo que las tiene asignadas
independientemente del dominio al que pertenezcan. Son modificadas con “gpedit.msc”.
3. Estas son las únicas políticas que se aplican a los equipos que no están en un dominio,
como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. 6LWLRV de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio,
independientemente del dominio del mismo bosque al que pertenezcan.
3. 'RPLQLRV de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.
4. 8QLGDGHV 2UJDQL]DWLYDV de Active Directory: se aplican únicamente a los equipos y/o
usuarios que pertenezcan a la propia unidad organizativa (OU).
El primer caso solo se nombra a titulo informativo puesto que esta fuera de lo que seria el active
directory.
De los otros tres casos lo lógico y recomendable es aplicar las GPO’s a nivel de Unidades
Organizativas (OU). Las OU proporcionan una manera flexible de agrupar recursos relacionados y
delegar el acceso de administración al personal apropiado sin proporcionarles la capacidad de
administrar todo el dominio. Además, una jerarquía de OU bien diseñada ayudará al desarrollo, la
implementación y la administración de medidas de seguridad eficaces.
[editar]
2UGHQ GH $SOLFDFLyQ
Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios,
dominios y OU’s. Como un usuario, por ejemplo, estará en un equipo local que a su vez se ubicará
en un sitio, pertenecerá a un dominio y será miembro de una OU se ve claramente que se puede
dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y
otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podría dar el caso, por tanto, de
que las GPO’s contuvieran políticas que se FRQWUDGLMHUDQ HQWUH Vt. Cuando se dan casos de estos,
el sistema de GPO’s está implementado para asegurar que siempre se aplicarán las políticas, y
para ello establece una forma de prioridad entre éstas por la cual, según dónde estén asignadas,
unas prevalecen sobre otras atendiendo a una serie de reglas.
4. Resumen Prioridad de GPO’s
Las GPO’s de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de
sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que
unas anulen a otras; las políticas se suman, sólo se anulan en caso de ser contradictorias entre
ellas. Por ejemplo, si a nivel de dominio habilitamos la política de deshabilitación del panel de
control y en la OU deshabilitamos esta política, y suponemos que ninguna otra de las políticas a
nivel de dominio entra en contradicción con ninguna otra de las de la OU, el resultado que se
aplicará a un objeto contenido dentro de la OU será la suma de ambas GPO’s, salvo que la política
que se aplica respecto a la deshabilitación del panel de control será la de la OU, no la del dominio,
y por tanto el panel de control será visible.
También se puede dar el caso de que HQ XQ PLVPR FRQWHQHGRU, por ejemplo una OU, se aplique
más de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre sí las GPO’s
que son aplicadas a ése contenedor. ¿Cómo se resuelve esta problemática? Muy simple:
prevalecerá la de la GPO que está más alta en la lista de las aplicadas al contenedor.
[editar]
+HUHQFLD GH *32¶V
Las GPO’s, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su
vez a sus hijos, es decir:
1. Las OU’s de primer nivel heredan del Dominio
2. Las OU’s hijas heredan de las de primer nivel
3. Las OU’s de nivel 3º heredan de las hijas
4. Y sucesivamente
5. Aunque también se puede especificar que una GPO esta bloqueada y de esta forma se HYLWDUtD
TXH IXHUH KHUHGDGD por los contenedores hijos.
[editar]
Directrices de Configuración del Equipo
En este apartado haremos un repaso por las directrivas aplicables al apartado de configuración del
equipo para gestionar permisos de equipos del dominio.
Comentar que dichas directrices las podemos encontrar en +HUUDPLHQWDV $GPLQLVWUDWLYDV !
8VXDULRV HTXLSRV GH $FWLYH 'LUHFWRU y dentro de este panel en propiedades de la Unidad
Organizativa a elegida.
En la nueva pantalla, tendremos acceso a una nueva solapa, denominada Directiva de grupo y es
ahí donde encontramos las directivas aplicadas a la UO. Al añadir, o modificar una directiva
accederemos a la ventana del Editor de objetos de directiva de grupo. Dentro de RQILJXUDFLyQ
GHO HTXLSR ! RQILJXUDFLyQ GH :LQGRZV encontramos las siguientes directivas que pasamos a
detallar por secciones.
[editar]
$UFKLYRV GH FRPDQGRV
,QLFLR: contiene secuencias de comandos de inicio de equipo.
$SDJDU: contiene secuencias de comandos de apagado de equipo.
[editar]
RQILJXUDFLyQ GH VHJXULGDG
[editar]
'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH FRQWUDVHxDV
Almacenar contraseñas usando cifrado reversible
Forzar el historial de contraseñas
Las contraseñas deben cumplir los requerimientos de seguridad
Longitud mínima de contraseña.
Vigencia máxima de la contraseña.
Vigencia mínima de la contraseña.
[editar]
'LUHFWLYDV GH FXHQWD ! 'LUHFWLYDV GH EORTXHR GH FXHQWDV
Duración del bloqueo de cuenta.
6. Restablecer la cuenta de bloqueos después de...
Umbral de bloqueos de la cuenta.
[editar]
'LUHFWLYDV ORFDOHV ! 'LUHFWLYDV GH DXGLWRUtD
Auditar el acceso a objetos.
Auditar el acceso del servicio de directorio.
Auditar el cambio de directivas.
Auditar el seguimiento de procesos.
Auditar el uso de privilegios.
Auditar la administración de cuentas.
Auditar sucesos de inicio de sesión.
Auditar sucesos de inicio de sesión de cuenta.
Auditar sucesos del sistem
[editar]
'LUHFWLYDV ORFDOHV ! $VLJQDFLyQ GH GHUHFKRV GH XVXDULR
Actuar como parte del sistema operativo.
Administra los registros de auditoría y seguridad.
Agregar estaciones de trabajo al dominio.
Ajustar cuotas de memoria para un proceso
Apagar el sistema.
Bloquear páginas en memoria.
Cambiar la hora del sistema.
Cargar y descargar controladores de dispositivo.
Crear objetos compartidos permanentes.
Crear objetos globales.
Crear un archivo de paginación.
Crear un objeto testigo.
Denegar el acceso desde la red a este equipo.
Denegar el inicio de sesión como servicio.
Denegar el inicio de sesión como trabajo por lotes.
Denegar el inicio de sesión localmente.
Denegar inicio de sesión a través de servicios de Terminal Server.
7. Depurar programas.
Forzar el apagado desde un sistema remoto.
Generar auditorías de seguridad.
Habilitar cuentas de equipo y de usuario en las que se confía para delegación.
Hacer copias de seguridad de archivos y directorios.
Incrementar prioridades de planificación de procesos.
Iniciar sesión como proceso por lotes.
Iniciar sesión como usuario.
Modificar valores de entorno de la memoria no volátil (firmware).
Omitir la comprovación de recorrido.
Perfilar el rendimiento del sistema.
Perfilar un proceso individual.
Permitir el inicio de sesión local.
Permitir inicio de sesión a través de servicios de Terminal Server.
Quitar el equipo de la estación de acoplamiento.
Realizar la tareas de mantenimiento del volumen.
Reemplazar un testigo a nivel de proceso.
Representar al cliente después de la autenticación.
Restaurar archivos y directorios.
Sincronizar los datos de Directory Service.
Tener acceso a este equipo desde la red.
Tomar posesión de archivos y otros objetos.
[editar]
'LUHFWLYDV ORFDOHV ! 2SFLRQHV GH VHJXULGDG
Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la
atenticación del dominio.
Acceso a redes: no permitir enumeraciones anómalas de cuentas SAM.
Acceso a redes: no permitir enumeraciones anómalas de cuentas y recursos compartidos
SAM.
Acceso de red: canalizaciones con nombre accesible anónimamente.
Acceso de red: deja que los permisos de Todos se apliquen a los usuarios anónimos.
Acceso de red: modelo de seguridad y recuros compartidos para cuentas locales.
Acceso de red: permitir traducción SID/nombre anónima.
8. Acceso de red: recursos compartidos accesibles anónimamente.
Acceso de red: restringir acceso anónimo a canalizaciones con nombre y recursos
compartidos.
Acceso de red: rutas de registro accesibles remotamente.
Acceso de red: rutas y subrutas de registro accesibles remotamente.
Apagado: borrar el archivo de páginas de la memoria virtual.
Apagado: permitir apagar el sistema sin tener que iniciar sesión.
Auditoría: apagar el sistema de inmediato si no puede registrar auditorías de seguridad.
Auditoría: auditar el acceso de objetos globales del sistema
Auditoría: auditar el uso del privilegio de copia de seguridad y restauración.
Cliente de redes de Microsoft: enviar contraseña no cifrada para conectar SMB de otros
fabricantes:
Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (si el servidor lo
permite)
Cliente de redes de Microsoft: firmar digitálmente las comunicaciones (siempre)
Configuración del sistema: subsistemas obcionales.
Configuración del sistema: usar reglas de certificado en archivos ejecutables de Windows
para directivas de restricción de software.
Consola de recuperación: permitir el inicio de sersión administrativo automático.
Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y
carpetas.
Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo.
Controlador de dominio: permitir a los operadores de servidor programar tareas.
Controlador de dominio: requisitos de firma de servidor LDAP.
Criptografía de sistema: estable una protección fuerte de clave para aquellas claves del
usuario en el equipo.
Criptografía de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y
operaciones hash.
Cuentas: cambiar el nombre de cuenta de invitado.
Cuentas: cambiar el nombre de la cuenta del administrador.
Cuentas: estado de la cuenta de administrador.
Cuentas: estado de la cuenta de invitado.
Cuentas: limitar el uso de cuentas locales con contraseña en blanco sólo para iniciar la
consola.
9. DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL).
DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definición de
descriptores de seguridad (SDDL).
Dispositivos: comportamiento de instalación de controlador no firmado.
Dispositivos: impedir que los usuarios instalen controladores de impresora.
Dispositivos: permitir el desbloqueo sin tener que iniciar sesión.
Dispositivos: permitir formatear y expulsar medios extraíbles.
Dispositivos: restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada
localmente.
Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente.
Inicio de sesión interactivo: comportamiento de extracción de tarjeta inteligente.
Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión.
Inicio de sesión interactivo: necesita una tarjeta inteligente.
Inicio de sesión interactivo: no mostrar el último nombre de usuario
Inicio de sesión interactivo: no requerir Ctlr+Alt+Sup.
Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché.
Inicio de sesión interactivo: perdir al usuario cambiar la contraseña antes de que caduque.
Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para
desbloquear el equipo.
Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar sesión.
Inicio de sesión interactivo: título del mensaje para los usuarios que intentan iniciar sesión.
Miembro de dominio: duración máxima de contraseña de cuenta de equipo.
Miembro de dominio: firmar digitalmente datos de un canal seguro.
Miembro de dominio: descifrar digitalmente datos de un canal seguro.
Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro.
Miembro de dominio: deshabilidar los cambiar de contraseña de cuentas de equipo.
Miembro de dominio: requerir clave de sesión protegida.
Objetos de sistema: propietario predeterminado para objetos creados por miembros del
grupo de administradores.
Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del
sistema.
Objetos de sistema: requerir diferenciación de mayúsculas y minúsculas para subsistemas
no basados en Windows.
10. Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión.
Seguridad de red: no almacenar valor de hash de LAN Manager en el próximo cambio de
contraseña.
Seguridad de red: requisitos de firma de cliente LDAP.
Seguridad de red: seguridad mínima de sesión para clientes basados en NTLM SSP.
Seguridad de red: seguridad mínima de sesión para servidores basados en NTLM SSP.
Seguridad de redes: nivel de autenticación de LAN Manager.
Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).
Servidor de red Microsoft: tiempo de inactivida requerido antes de suspender la sesión.
[editar]
5HJLVWUR GH VXFHVRV
Conservar el registro de aplicaciones.
Conservar el registro de seguridad.
Conservar el registro de sistema.
Evitar que el grupo de invitador locales tenga acceso a el registro de aplicaciones.
Evitar que el grupo de invitador locales tenga acceso a el registro de seguridad.
Evitar que el grupo de invitador locales tenga acceso a el registro del sistema.
Método de retención del registro de la aplicación.
Método de retención del registro de seguridad.
Método de retención del registro del sistema.
Tamaño máximo del registro de la aplicación.
Tamaño máximo del registro de seguridad.
Tamaño máximo del registro del sistema.
[editar]
2WUDV GLUHFWLYDV
Grupos restringidos.
Servicios del sistema.
Registro.
Sistema de archivos.
Directivas de red inalámbrica.
11. Directivas de claves públicas.
Directivas de restricción de software.
Directivas de seguridad IP de Active Directory.
[editar]
Plantillas Administrativas
En las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro
que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores también
influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen
cientos de estos valores disponibles para su configuración y se pueden agregar muchos más
mediante la importación de archivos .adm adicionales.
Mediante estas plantillas podremos gestionar en los equipos de la unidad organizativa los siguiente
servicios:
Configuración de equipo de Internet Explorer.
Configurar las directivas de Terminal Server.
Servicios de Internet Information Server.
Windows Update.
Configuración de inicio de sesión del sistema.
Asistente de mantenimiento personalizado de Microsoft Office XP.
Configuración de seguridad de Microsoft Office XP
Procesamiento de directivas de grupo.
Informe de errores.
Configuración de usuario de Internet Explorer.
Configuración de protector de pantalla.
Además esto nos permitirá establecer la misma configuración para un unidad organizativa de forma
centralizada.