Gpl directivasdegrupolocales windowsserver2008r2

298 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
298
On SlideShare
0
From Embeds
0
Number of Embeds
94
Actions
Shares
0
Downloads
4
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Gpl directivasdegrupolocales windowsserver2008r2

  1. 1. GPL (DIRECTIVAS DE GRUPO LOCALES) EN WINDOWS SERVER 2008 R2. ANGIE VIVIANA LONDOÑO ÁLVAREZ. NILSON ANDRÉS LONDOÑO HERNANDEZ. CAMILA MARTÍNEZ LÓPEZ. Tecnología en Gestión de Redes de Datos. Ficha: 455596. Instructor. Mauricio Ortiz Morales. SERVICIO NACIONAL DE APRENDIZAJE (SENA) CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL (CESGE) MEDELLÍN ­ ANTIOQUIA. 2013 1
  2. 2. Indice. Introducción......................................................................................................................................3 Creación de usuarios y grupos........................................................................................................4 Creación de usuarios.......................................................................................................................4 Creación de grupos e integración de usuarios................................................................................6 Directivas de configuración de equipo...........................................................................................11 Directivas de configuración de usuario.........................................................................................29 Conclusiones.................................................................................................................................40 2
  3. 3. Introducción. Las  directivas  de  grupo (GPO)  es  un  componente  que  posee  la familia  de sistemas operativos Windows  en   el  cual  se  definen  las  reglas  o  políticas  que  compondrá  o  compartirá  todo  un ambiente  de  cuentas  de  usuario  en  un  sistema  informático;  este  tipo  de  reglas  controlan  el contenido  al  que  los  usuarios  pueden  acceder  o  no  de  acuerdo  a  la  configuración  aplicada  y mediante  un sistema operativo Windows Server se determina cuáles políticas del sistema serán aplicadas  a cada usuario y/o equipo que  se encuentre en un dominio, sitio o unidad organizativa. Generalmente  la  gestión  centralizada,  configuración  de  sistemas  operativos  y  gestión  de usuarios se lleva a cabo bajo un Active Directory (Directorio Activo). Las  directivas  de  grupo locales  (GPL)  son  directivas  de  grupo  que  sólo se aplican para un host local único. 3
  4. 4. Creación de usuarios y grupos en Windows Server 2008. ● Grupo: Killers. Usuarios: Carlos, Manuel. ● Grupo: Timers. Usuarios: Bruno, Benji. NOTA: Cada usuario deberá cambiar su contraseña al inicio de sesión. Para  la  creación  de  usuarios  y  grupos  debemos   ingresar  al  panel  de  administración  de  los mismos,  para  esto,  seguimos  la  secuencia,  Start  >  All  programs  >  Administrative  Tools  > Computer Management. 4
  5. 5. En  el  menú   Local  Users  and  Groups  se  pueden  observar  dos  carpetas  Users  y  Groups,  en estos menús, configuramos los aspectos pertinentes a los usuarios del sistema y los grupos. Creación de usuarios. Para  agregar  un  nuevo  usuario,  damos  clic  sobre  el menú Users > Action > New User... (Otras opciones  para acceder a crear nuevos usuarios pueden ser las siguientes: clic derecho sobre el panel  de  administración  de  los  usuarios  y  New  User  ó  clic  derecho  sobre la  pestaña  Users  y New User) 5
  6. 6. A  continuación,  rellenamos  el  siguiente  formulario  con  los   datos  de  el  nuevo  usuario  que deseemos  crear  y  habilitamos  las  opciones  según  las  necesidades  que  se  tengan,  en  este caso,  sólo  se  necesita  que  cada  usuario  cambie  su  contraseña  al  iniciar  sesión  por  primera vez,  para  esto,  marcamos  la  casilla User must change password at  next logon (El usuario debe cambiar  la  contraseña  en  el siguiente  inicio  de  sesión).  Repetimos  el  proceso  para  los  demás usuarios. Al finalizar la creación de usuarios podemos observar los usuarios actuales del sistema. 6
  7. 7. Creación de grupos e integración de usuarios. La  creación  de  grupos  es  muy  similar  a  la  de  usuarios,  aunque  cambian  algunos  aspectos  ya que  se  deben agregar  usuarios  a  uno  o  varios  grupos,  para  efectuar  la  creación  de  los  grupos nos dirigimos a la pestaña de Groups > Action > New Group. Rellenamos  el  siguiente  formulario;  en el campo Group Name insertamos el nombre que tendrá el  grupo  y  en  el  campo Description agregamos la descripción  que tendrá el grupo. Para agregar los miembros del grupo nos vamos a la pestaña Add y damos clic sobre ella. 7
  8. 8. En  esta  ventana,  seleccionamos  los  usuarios  que  pertenecerán  al  grupo  mediante  la  pestaña Advanced.. 8
  9. 9. A  primera  vista,  no   aparecen  los  usuarios  del  sistema  que  deseemos  agregar  al  grupo,  para buscar los usuarios damos clic sobre Find Now,  posteriormente seleccionamos los usuarios. 9
  10. 10. Ahora,  los usuarios Carlos y Manuel, ya hacen parte del grupo Killers, para concretar la creación de grupo damos clic sobre Create. 10
  11. 11. Podemos observar que los grupos han sido creados. Políticas o directivas locales a implementar. Para  abrir  el  panel  de  configuración  de  la  edición  de políticas locales  y  de  grupo  realizamos  lo siguiente: Abrimos la opción de ejecutar mediante Start > Run. 11
  12. 12.   Dentro  del  cuadro  de ejecución,  insertamos  el  comando  gpedit.msc  para  abrir  el  menú  gestor de las directivas de grupo y usuarios, pulsamos sobre OK. Directivas de configuración de equipo. 1. La vigencia máxima de la contraseña para todos los usuarios de la máquina será de 15 días. Para  configurar  los  parámetros  de  contraseña  de  usuarios  en  la  máquina  nos  vamos  a Computer  configuration  >  Windows  Settings > Security  Settings > Account Policies > Password Policies,  en   esta  ventana  podemos  observar  las   diferentes  opciones  para  las  políticas  de contraseña  de  los  usuarios  locales,  algunas  de  estas  opciones  trascienden  en  Enforcing password  history  (forzar  el  historial  de  contraseña),  hace  que  las  contraseñas antiguas  no  se reutilicen  nuevamente  luego  de  un  número  determinado  de cambios  de  contraseña,  Maximum password age (Vigencia máxima de la contraseña), esta opción permite determinar el periodo de en  días  el  tiempo  que  tendrá  vigencia  una  contraseña establecida  a  un  usuario  antes  de que el sistema  le  pida  al  usuario  que  la  cambie,  Minimum  password  age  (Vigencia  mínima  de  la contraseña),  establece  el  número  mínimo  en  días  en  la  que  expirará  una  contraseña,  si  la vigencia  máxima  es de entre 1 y 999 días, la edad mínima de  la contraseña debe ser inferior a la edad  máxima  de  la  contraseña,  Password  must  me  complexity  requirements  (La  contraseña debe  cumplir  los  requerimientos  de  complejidad)  y Store passwords using reversible encryption (Almacenar  contraseñas  usando  el  cifrado  reversible)  proporciona  compatibilidad  a  las aplicaciones  que  utilizan  protocolos  que   necesitan  conocer  la  contraseña  del  usuario  para  la autenticación. 12
  13. 13. 13
  14. 14. La  opción  que  cumple  el  requerimiento  de  vigencia  máxima  de la  contraseña  de  15  días  para todos  los  usuarios  de  la  máquina  es  Maximum  password   age   (Vigencia  máxima  de  la contraseña),  damos  clic  derecho  sobre  la  opción  que  requirámos,  seleccionamos  Properties  y en  la casilla, ingresamos el número de días máximos en los que la contraseña expira, pulsamos sobre OK. 14
  15. 15. 2.   Las  contraseñas  deben  cumplir  con  los  requerimientos  de  complejidad  por  defecto  de Windows Server ¿Cuáles son estos requerimientos? Los  requerimientos  por  defecto  para  una  contraseña   en  Windows  Server  deben  ser  los siguientes: No  contener   el  nombre  o  parte  del  nombre  completo  del  usuario  y  que  tengan  más  de  dos caracteres consecutivos la cuenta del usuario. Tener por lo menos seis caracteres de longitud. Contener  caracteres  de  tres  de  las  siguientes  cuatro  categorías: Caracteres en mayúsculas en inglés (A a Z), caracteres en minúsculas en inglés (A a Z), base de 10 dígitos (del 0 al 9) y los caracteres no alfabéticos (por ejemplo,!, $, #,%). Para  habilitar  esta  opción  seguimos  la  ruta  Computer  configuration  >  Windows  Settings  > Security  Settings  >  Account  Policies  >  Password  Policies  y  clic  derecho  sobre Password must meet  complexity  requirements.  Seleccionamos  en  el  cuadro  de  diálogo  Enabled  (Habilitado)  y pulsamos OK para finalizar. 15
  16. 16. 3.  Los  usuarios  que  requieran cambiar su contraseña no podrán usar un password que se  haya usado antes por lo menos desde los 2 últimos cambios. Para  cambiar  este  parámetro,  nos  dirigimos  a  la  opción  Minimum  password  age  (Vigencia mínima  de  contraseña),  clic  derecho,  Properties,  y  en  el  recuadro  marcamos  el  número  de cambios mínimos para usar una nueva contraseña, damos clic en OK para finalizar. 4.  Los  usuarios  del  grupo  Killers pueden apagar la máquina una vez hayan iniciado sesión, pero los usuarios del grupo ventas no podrán apagar el equipo (Desde el sistema operativo). 16
  17. 17. Nos  dirigimos  a  Computer  Configuration  >  Windows  Settings  >  Security  Settings  >  Local Policies  >  User  Rights  Assignment  >  Shut  down  the  system,  damos  clic  derecho  Properties  y Add User or Group. En  la  nueva  ventana  seleccionaremos  los usuarios o grupos que pertenecerán o serán parte de esta política, seleccionamos Advanced para buscar específicamente el grupo Killers. 17
  18. 18. En  la  nueva  ventana,  seleccionaremos  el  grupo  que  podrán  apagar  el  sistema  operativo, debemos  especificar  el  tipo  de  objetos  que  deseemos   buscar,  para  ello,  damos  clic  sobre Object Types... 18
  19. 19. Seleccionamos Groups  y damos clic sobre Find Now. Buscamos a el grupo Killers en la lista y damos OK. Ahora, tenemos al grupo Killers como parte de la política de seguridad, pulsamos OK 19
  20. 20. 20
  21. 21. 5. Los usuarios del grupo Timers podrán cambiar la hora de la máquina local. Para  ejercer   esta  política  sobre  el  grupo  Timers  nos  vamos  a   Computer  Configuration  > Windows  Settings  >  Security  Settings > Local Policies > User Rights Assignment > Change the system  time,  clic  derecho  Properties.  En  la  nueva ventana de dialogo seleccionamos Add User or  Group  para  seleccionar  el  grupo  que  será  parte  de  la  política  para  cambiar  la  hora  de  la máquina  local, ya  que  por  defecto  sólo  los  administradores  y  la cuenta LOCAL SERVICE, esta cuenta es usada por el sistema para el control administrativo de los servicios, podrán hacer. Seleccionamos Object Types 21
  22. 22. Seleccionamos  el  tipo  de  objeto  Groups  para  buscar  o  detectar  nombres  sólo  por  grupos, pulsamos OK. Ingresamos  el  nombre  del  grupo  o  los  grupos  que  serán  parte  de  la  política y damos clic sobre Check  Names  (Comprobar  nombres), es  importante  la  buena  escritura  del nombre para que el sistema lo acepte correctamente, pulsamos OK para finalizar este asistente. 22
  23. 23. 6.  Todos los usuarios tendrán las siguientes restricciones al  usar el navegador Internet Explorer: No  podrán  eliminar  el  historial  de  navegación,  No  se  permitirá  el  cambio  de  proxy  ya  que todos los  usuarios  usarán  el  mismo proxy  (172.20.49.51:80),  configuración  del  historial  deshabilItada, no permitir el cambio de las directivas de seguridad del navegador. 23
  24. 24. ­ Todos los usuarios no podrán eliminar el historial de navegación. Para  que  ninguno  de  los  usuarios  de  la  máquina local  pueda  eliminar  el historial de navegación nos  dirigimos  a   Local  Computer  Policy  >  User  Configuration  >  Administrative  Templates  > Windows  Components  >  Internet   Explorer  >  Delete  Browsing  History,  en  esta  ventana,  se encuentran  todas  las  opciones  pertinentes  a   la  eliminación  del  historial  de  navegación  en  el navegador  Internet  Explorer,  es  importante  asegurarse   de  que  no  existen  otros  navegadores instalados   en  el  sistema,  ya  que  los  usuarios  podrían  evadir  esta  directiva  facilmente.  Para inhabiltar  la   opción  de  borrar  historial  de  navegación,  acudimos  a  la  directiva  Turn  off  “Delete Browsing  History”  functionality. (Desactivar la funcionalidad de eliminar historial  del navegador) y clic Edit. 24
  25. 25. Marcamos  la  opción  Enabled  para  que  los  usuarios  no   puedan  tener  acceso  a  la  ventana  de diálogo de eliminación de historial de navegación y pulsamos OK, para finalizar el asistente. 25
  26. 26. ­  No  se  permitirá  el  cambio  de  proxy  ya  que  todos  los  usuarios  usarán  el  mismo  proxy (172.20.49.51:80). Para  establecer  un  servidor  proxy  para  todos  los  usuarios  de  la  máquina  local  nos  vamos  a User  Configuration  >  Windows  Settings  >  Internet  Explorer  Maintenance  > Connection, en esta ventana  se  encuentran  las  opciones para  configurar elementos relacionados con la conexión de Internet  Explorer,  para  configurar  el  servidor  proxy  del  navegador,  damos  clic  derecho  sobre Proxy  Settings   y  Properties,  en  el  recuadro,  escribimos,  en  este  caso,  la  dirección  IP  del servidor proxy, pulsamos OK para finalizar. ­ Configuración del historial deshabilItada. 26
  27. 27. ­ No permitir el cambio de las directivas de seguridad del navegador. 7. Desactivar la ventana emergente de reproducción automática. Para  desactivar  la  ventana  de  diálogo  de  reproducción  automática  nos  vamos  a  User Configuration  >  Administrative  Templates  >  Windows  Components  >  AutoPlay  Policies, seleccionamos  Turn  off  AutoPlay  hace que se deshabilite la reproducción automática ya que  se empieza  a  leer  desde  una  unidad  tan  pronto  como  se  inserta  la  tarjeta  en  la  unidad.  Como resultado,  el   archivo  de  instalación  de  los  programas  y   la  música  en  los  medios  de comunicación de audio comienzan inmediatamente, pulsamos OK para finalizar. 27
  28. 28. 8. No permitir el apagado remoto de la máquina Para  aplicar  la   política  de  no  habilitar  el  apagado  del  sistema  en  forma  remota,  nos  vamos  a Computer  Configuration  >  Windows  Settings  >  Security Settings > Local Policies > User Rights Assignment  >  Force  shutdown  from  remote  system.  En  las  propiedades  de  esta  opción observamos  que  sólo  los  administradores  serán  parte  de  esta  regla,  es  decir, los usuarios que tenemos creados actualmente y que no pertenecen a los usuarios del sistema. 28
  29. 29. 9.Aplicar  cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines académicos) Para  aplicar  esta  cuota,  nos  dirigimos  a  Computer  Configuration  >  Administrative  Templates  > Credentials  Delegation >  Disk  Quoutas,  este  ajuste  determina  la  cantidad  de  espacio  en  disco puede  ser   utilizado  por  cada  usuario  en  cada  uno  de  los  volúmenes  del  sistema  de  archivos NTFS  en  un   equipo,  en  este  caso,  será  tan  solo  de  50   MB,  pulsamos  OK  para  guardar  los cambios. Directivas de configuración de usuario. 1.   La  página  principal  que  se  cargará  para  cada  usuario  cuando  abra  su  navegador   será: http://www.sudominio.com (Página institucional de su empresa) Para  que  la  página  de  inicio  del  navegador  sea  una  específicamente seguimos la  siguiente ruta User  Configuration  >  Windows   Settings  >  Internet  Explorer  Maintenance  >  URLs,   en  esta ventana  se  configuran  los  aspectos  pertinentes  a  URLs  en  el  navegador,  para  establecer  una página  de  inicio  ingresamos  a Important URLs y en el  recuadro de configuración de Home page URL  ingresamos  la  página  institucional  de la empresa.  Pulsamos OK para aceptar los cambios y finalizar el asistente. 29
  30. 30. 2. El servidor proxy para todos los usuarios locales será 172.20.49.51:80. Para  establecer  un  servidor  proxy  para  todos  los  usuarios  de  la  máquina  local  nos  vamos  a User  Configuration  >  Windows  Settings  >  Internet  Explorer  Maintenance  > Connection, en esta ventana  se  encuentran  las  opciones para  configurar elementos relacionados con la conexión de Internet  Explorer,  para  configurar  el  servidor  proxy  del  navegador,  damos  clic  derecho  sobre Proxy  Settings   y  Properties,  en  el  recuadro,  escribimos,  en  este  caso,  la  dirección  IP  del servidor proxy, pulsamos OK para finalizar. 30
  31. 31. 3.Restringir  desde  el  navegador  el  acceso  a  los  siguientes  sitios:  www.facebook.com  y www.youtube.com   por  URL,  para  todos  los  usuarios.  El  administrador  será   el  único  con  la contraseña de supervisor para el Asesor de Contenidos. Para  cambiar  la  directiva  de  restricción  de  sitios  web  nos  dirigimos  a   User  Configuration  > Windows  Settings  >  Internet  Explorer   Maintenance  >  Security  >  Security  Zones  and  Content Ratings,  en  este  recuadro  encontramos  las  opciones  de  Zonas  de  seguridad  y  privacidad  y clasificaciones de contenido, para restringir el acceso usamos las clasificaciones de contenido. Dado  que  la  configuración  del  equipo  local  se   importa  para  que  la  política  se  cumpla,  la configuración  de  IE  ESC  debe  coincidir  con  el  de  los  sistemas  cliente.  Usted  puede  apagar  IE ESC  en  el  sistema  de edición  o  simplemente  editar  la  política  desde  un  sistema  cliente que no tiene IE ESC activado. 31
  32. 32. En  la  pestaña  de  General  creamos  la  contraseña  de   supervisor,  sólo  con  esta  password  se podrá acceder a los sitios de restricción. 32
  33. 33. 33
  34. 34. En  la  pestaña  de  Approved  Sites  ingresamos  los  sitios   que  no  podrán  ser  accedidos  en  la máquina local, los agregamos con Never para que no sean accesibles y guardamos con OK. 34
  35. 35. 4. Ocultar la unidad C: (NOTA: Esto no restringirá el acceso a dicha unidad) Para  ocultar  la  unidad  C:  nos  dirigimos  a  User  Configuration  >  Windows  Components  > Windows  Explorer  >  Hide  these  specified  drives in My Computer, habilitamos la directiva con  la opción  Enabled y en el recuadro Pick one of the following combinations seleccionamos la unidad C: y finalizamos con OK para guardar los cambios. 5.   Ocultar  la   menú  opciones  de  carpeta  del  menú  de  herramientas.  Esto  con  el  fin  de  que  los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas. En  la  ruta  User   Configuration  >   Windows  Components  >  Windows  Explorer  >  Removes  the Folder  Options  menu  Items  from  the  Tools  menu,  esta opción elimina el elemento Opciones de carpeta  en  todos  los  menús  del  Explorador  de  Windows  y  elimina  el  elemento  Opciones  de carpeta  en  el  Panel  de  control.  Como  resultado,   los  usuarios  no  pueden  utilizar  el  cuadro  de diálogo Opciones de carpeta, habilitamos mediante Enabled y finalizamos con OK. 35
  36. 36. 6. Restringir el acceso a la unidad E: desde mi PC Para  restringir  el  acceso  a  la  unidad  User  Configuration  >  Windows  Components  > Windows Explorer  > Hide  these  specified  drives  in  My  Computer,  habilitamos y aceptamos cambios con OK. 36
  37. 37. 7. Limitar el tamaño de la papelera de reciclaje a 100MB. Este  parámetro  lo  configuramos  a  través de la ruta User Configuration > Windows Components >  Windows Explorer  > Maximum allowed Recycle Bin Size; Esta directiva limita el porcentaje de espacio en disco de un volumen que se puede utilizar para almacenar archivos eliminados. 8.   No  permitir  que  se  ejecute  messenger  User  Configuration  >  Windows  Components  > Windows  Messenger  >  Do  not  allow  Windows  Messenger  to be  run  y  habilitamos  para  que  los usuarios  no tengan acceso a Messenger en la máquina local, aunque este servicio fue removido de la famila Windows. 37
  38. 38. 9. Ocultar todos los elementos del escritorio para todos los usuarios. Nos  dirigimos  a  User  Configuration  >  Administrative  Templates  >  Desktop  >  Hide  and  disable all  items  on   the  desktop,  habilitamos  esta  opción   para   que  los  usuarios  no  tengan  acceso   a Eliminar  iconos,  accesos  directos  y  otros  por  omisión  y  los  elementos  definidos  por  el  usuario desde el escritorio, incluyendo Maletín, Papelera de reciclaje, PC y ubicaciones de red. 10. Bloquear la barra de tareas 38
  39. 39. 11. Prohibir el acceso del Lecto­escritura a cualquier medio de almacenamiento extraíble. Para  la  prohibición  de  de  el  acceso  a  lectura  y  escritura  en   cualquier  dispositivo  de almacenamiento  seguimos  User  Configuration  >  Windows  Templates  >  System >  Removable Storage   Access  >  Removable   Disks:  Deny  read  access  y  Removable  Disk  :  Deny  write access. Prohibición de lectura. 39
  40. 40. Prohibición de escritura. 40
  41. 41. Conclusiones. La directivas de grupo locales se habilitan sólo para la máquina local. Las  directivas  ayudan  a  tener  control  sobre  el  contenido al  que  los  usuarios  pueden  tener  o  no acceso, ayudando así a la seguridad de la máquina. La  mayoría  de  políticas  se  aplican  a  todos  los  usuarios  de   la  máquina  incluyendo  el administrador del sistema, por ende, se debe tener sumo cuidado al manejar estas directivas. 41

×