Guía de operaciones de seguridad para Windows 2000 Server (PARTE II)




Una vez determinado el nivel de riesgo apropiado para el entorno y establecida la directiva de seguridad general, deberá empezar a asegurar el entorno. En un entorno basado en Windows 2000, esto se lleva a cabo principalmente por medio de la Directiva de grupo. En este capítulo, aprenderá a configurar Objetos de directiva de grupo (GPO) con plantillas de seguridad para definir la configuración de seguridad del entorno basado en Windows 2000 y se explicará una estructura de unidad organizativa (OU) sencilla para apoyar el uso de los GPO. Advertencia: antes de implementar en un entorno de producción las plantillas de seguridad tratadas en este capítulo, deberá probarlas de forma exhaustiva en un laboratorio para garantizar que los servidores sigan funcionando correctamente. Importancia de utilizar la Directiva de grupo El objetivo de las directivas de seguridad es definir los procedimientos de configuración y administración de la seguridad del entorno. La Directiva de grupo de Windows 2000 puede ayudarle a implementar las recomendaciones técnicas de la directiva de seguridad para todas las estaciones de trabajo y los servidores de los dominios de Active Directory. Puede utilizar la Directiva de grupo junto con la estructura de la unidad organizativa para definir una configuración de seguridad específica para determinadas funciones del servidor. Si utiliza la Directiva de grupo para implementar la configuración de seguridad, puede garantizar que todos los cambios realizados en una directiva se apliquen a todos los servidores que la utilizan y que los servidores nuevos obtengan automáticamente la nueva configuración. Cómo aplicar la Directiva de grupo Para utilizar la Directiva de grupo de forma segura y eficaz, es especialmente importante comprender cómo aplicarla. Un objeto de usuario o de equipo puede estar sujeto a varios GPO. Éstos se aplican de forma secuencial y la configuración se acumula, excepto cuando se produce un conflicto, en cuyo caso la configuración de las directivas posteriores prevalecerá sobre la configuración de directivas anteriores de forma predeterminada. La primera directiva que se debe aplicar es el GPO local. Todos los equipos que ejecutan Windows 2000 tienen almacenado un GPO local. De forma predeterminada, sólo se configuran los nodos de Configuración de seguridad. Las opciones de configuración de otras partes del espacio de nombres del GPO local no se activan ni desactivan. El GPO local se almacena en cada servidor en %systemroot%\System32\GroupPolicy. Tras el GPO local, se aplican los GPO posteriores en el sitio, dominio, unidad organizativa primaria y finalmente en la unidad organizativa secundaria. Si se han definido varios GPO en cada nivel, el administrador establecerá el orden en que se aplican. El usuario o el equipo aplicará la configuración definida en una Directiva de grupo si a) la Directiva de grupo se ha aplicado a su contenedor y b) se muestra en la DACL (Lista de control de acceso discrecional) del GPO con un permiso Aplicar directiva de grupos como mínimo. Nota: el grupo integrado Usuarios autenticados tiene el permiso Aplicar directiva de grupos de forma predeterminada. Este grupo contiene todos los usuarios y equipos del dominio. Garantizar la aplicación de la Directiva de grupo La configuración de la Directiva de grupo se encuentra situada (en parte) en Active Directory. Esto significa que los cambios realizados en la Directiva de grupo no se aplican inmediatamente. Primero los controladores de dominio deben replicar los cambios de la Directiva de grupo en otros controladores de dominio. Este proceso puede tardar hasta 15 minutos en un sitio y mucho más tiempo si la replicación se lleva a cabo en otros sitios. Una vez replicados los cambios, debe transcurrir todavía otro período de tiempo (cinco minutos para controladores de domino y 90 minutos más o menos un margen de 30 minutos para otros equipos) para que se actualicen los cambios de la directiva en el equipo de destino. Si lo desea, puede hacer que cualquiera de estas acciones se lleve a cabo de forma inmediata. Para forzar la replicación de controladores de dominio Abra Sitios y servicios de Active Directory, expanda Sitios, expanda el y, a continuación, expanda Servidores. Expanda y y, a continuación, seleccione Configuración NTDS para cada servidor. En el panel derecho, haga clic con el botón secundario del mouse (ratón) en el nombre del objeto de conexión y seleccione Replicar ahora. Así se forzará la replicación de forma inmediata entre los dos controladores de dominio. Repita los pasos 2 y 3 para cada controlador de dominio. Para actualizar la directiva de forma manual en un servidor En el símbolo del sistema del servidor, escriba Secedit /refreshpolicy machine_policy /enforce. Este comando indica al servidor que compruebe si existen actualizaciones de la directiva en Active Directory y, en caso afirmativo, que las descargue inmediatamente. Para comprobar la configuración de directiva efectiva Inicie la Directiva de seguridad local. En Configuración de seguridad, haga clic en Directivas locales y luego en Opciones de seguridad. En el panel derecho, examine la columna Configuración vigente para comprobar que se ha aplicado la configuración de seguridad correcta. Nota: puesto que va a aplicar la configuración de seguridad por medio de la Directiva de grupo, es muy importante que comprenda a la perfección sus propiedades e interacciones. Las notas del producto de Microsoft "Windows 2000 Group Policy" (en inglés) contienen información más detallada acerca de su implementación. Para obtener más detalles, consulte el apartado "Más información" que se halla al final de este capítulo. Estructura de la Directiva de grupo Las opciones de configuración de la Directiva de grupo se almacenan en dos ubicaciones: GPO - situados en Active Directory Archivos de plantillas de seguridad - situados en el sistema de archivos local Los cambios realizados en el GPO se guardan directamente en Active Directory, mientras que los cambios realizados en los archivos de plantillas de seguridad se deben volver a importar al GPO dentro de Active Directory para poder aplicarlos. Nota: esta guía de operaciones incluye plantillas con las que puede modificar sus GPO. Si realiza cambios y modifica directamente los GPO, éstos no estarán sincronizados con los archivos de plantillas. Por lo tanto, se recomienda que modifique los archivos de plantillas y los vuelva a importar al GPO. Windows 2000 incluye varias plantillas de seguridad. Las siguientes plantillas pueden aplicarse en un entorno de baja seguridad. Basicwk.inf - para Windows 2000 Professional Basicsv.inf - para Windows 2000 Server Basicdc.inf - para controladores de dominio basados en Windows 2000 Se incluyen todavía más plantillas para implementar una mayor seguridad en los equipos basados en Windows 2000. Éstas proporcionan opciones de configuración de seguridad adicionales con respecto a las plantillas básicas: Securedc.inf y Hisecdc.inf - para controladores de dominio Securews.inf y Hisecws.inf - para servidores y estaciones de trabajo miembros Estas plantillas se consideran plantillas incrementales porque, para poder agregarlas, primero se deben aplicar las plantillas básicas. Para esta guía se han creado nuevas plantillas de seguridad utilizando Hisecdc.inf y Hisecws.inf como puntos de partida. El objetivo es la creación de un entorno muy restrictivo que luego podrá abrir de forma selectiva para ofrecer la funcionalidad requerida y al mismo tiempo seguir dando la máxima prioridad a la seguridad. Nota: las plantillas de seguridad predeterminadas de Windows 2000 se encuentran almacenadas como archivos .inf en la carpeta %SystemRoot%\Security\Templates. Formato de las plantillas de seguridad Las plantillas de seguridad son archivos de texto. Para modificar los archivos de plantillas, se pueden utilizar las plantillas de seguridad del complemento de MMC o un editor de texto como el Bloc de notas. Algunas secciones del archivo de plantillas de seguridad, como [File Security] y [Registry Keys], contienen listas de control de acceso (ACL) específicas. Estas ACL son cadenas de texto definidas por el SDDL (Security Descriptor Definition Language). Para obtener más información acerca de SDDL y de cómo modificar plantillas de seguridad, consulte MSDN. Para obtener más detalles, consulte el apartado "Más información" que se halla al final de este capítulo. Entorno de prueba Es imprescindible que evalúe detalladamente cualquier cambio realizado en la seguridad de los sistemas de TI en un entorno de prueba antes de realizar cambios en el entorno de producción. El entorno de prueba deberá reproducir el entorno de producción lo más exactamente posible. Como mínimo, deberá incluir varios controladores de dominio y todas las funciones de servidor miembro que tenga en el entorno de producción. Las pruebas son necesarias para determinar si el entorno es funcional después de realizar los cambios, pero también es imprescindible para verificar si se ha aumentado el nivel de seguridad tal y como se había planeado. Deberá validar al máximo todos los cambios y llevar a cabo evaluaciones de vulnerabilidad en el entorno de prueba. Nota: antes de que alguien lleve a cabo evaluaciones de vulnerabilidad en la organización, deberá asegurarse de que haya obtenido el correspondiente permiso por escrito. Comprobar el entorno del dominio Para poder implementar la Directiva de grupo en el entorno de producción, es importante que el entorno del dominio sea estable y funcione correctamente. Entre las áreas clave de Active Directory que deben comprobarse, figuran los servidores DNS, la replicación de controladores de dominio y la sincronización temporal. También deberá utilizar un entorno de prueba para garantizar un entorno de producción estable. Comprobar la configuración de DNS La resolución de nombres de DNS resulta esencial para que funcionen correctamente los servidores y los controladores de dominio. Cuando se implementan varios servidores DNS para un dominio, se deberá comprobar cada uno de ellos. Deberá realizar las siguientes pruebas: En controladores de dominio: Ejecute dcdiag /v y netdiag /v con la opción detallada para probar el DNS en cada controlador de dominio y verificar cualquier error que se produzca. DCDIAG y NETDIAG se incluyen en el directorio Support Tools del CD de instalación de Windows 2000. Detenga e inicie el servicio Inicio de sesión en la red y compruebe si se produjeron errores en el Registro de sucesos. El servicio Inicio de sesión en la red registrará dinámicamente los registros de servicio en el DNS para el controlador de dominio y generará mensajes de error si no consigue registrar correctamente los registros DNS. Estos registros se servicio figuran en el archivo netlogon.dns, que se encuentra en el directorio %SystemRoot%\System32\Config. En los servidores miembros, utilice nslookup o ejecute netdiag /v para comprobar que el DNS funciona correctamente. Replicación de controladores de dominio Es importante que la replicación entre varios controladores de dominio funcione correctamente antes de implementar la Directiva de grupo. Si la replicación no funciona correctamente, los cambios realizados en la Directiva de grupo no se aplicarán a todos los controladores de dominio. Esto puede crear incoherencias entre los servidores que busquen actualizaciones de la Directiva de grupo en los controladores de dominio. Los servidores se actualizarán si apuntan al controlador de dominio en el que se realizó el cambio, mientras que los servidores que apunten a los controladores de dominio que todavía están esperando a que se replique la Directiva de grupo no se actualizarán. Forzar y comprobar la replicación con Repadmin Repadmin es una herramienta de la línea de comandos que se incluye en el directorio Support del CD de Windows 2000. Puede utilizar repadmin para determinar los socios de replicación del directorio del servidor de destino y, a continuación, emitir un comando para sincronizar el servidor de origen con el de destino. Para ello, utilice el identificador único global (GUID) del objeto del servidor de origen. Para utilizar repadmin con el fin de forzar la replicación entre dos controladores de dominio En el símbolo del sistema de un controlador de dominio, escriba lo siguiente: repadmin /showreps En la sección Inbound Neighbors del resultado, busque la partición del directorio que debe sincronizarse y el servidor de origen con el que se debe sincronizar el servidor de destino. Anote el valor del GUID del objeto del servidor de origen. Escriba el siguiente comando para iniciar la replicación: repadmin /sync Nota: una vez tenga el GUID del objeto de cada controlador de dominio, puede crear un archivo de comandos por lotes que utilice la herramienta repadmin para iniciar la replicación entre servidores y obtener el estado acerca de si se realizó correctamente la replicación. Centralizar las plantillas de seguridad Es muy importante que las plantillas de seguridad utilizadas para la producción estén almacenadas en una ubicación segura a la que sólo puedan tener acceso los administradores responsables de implementar la Directiva de grupo. De forma predeterminada, las plantillas de seguridad están almacenadas en la carpeta %SystemRoot%\security\templates de cada controlador de dominio. Esta carpeta no se replica en varios controladores de dominio. Por lo tanto, deberá seleccionar un controlador de dominio para mantener la copia original de las plantillas de seguridad, de forma que no se produzcan problemas de control de versiones con las plantillas. Configuración temporal Es muy importante que la hora del sistema sea exacta y que todos los servidores utilicen la misma fuente temporal. El servicio W32Time de Windows 2000 proporciona sincronización temporal para equipos basados en Windows 2000 que se ejecuten en un dominio de Active Directory. El servicio W32Time garantiza que los relojes de los clientes basados en Windows 2000 estén sincronizados con los controladores de dominio de un dominio. Esto es necesario para la autenticación Kerberos, pero la sincronización temporal también resulta útil para el análisis de los registros de sucesos. El servicio W32Time sincroniza los relojes por medio de SNTP (Simple Network Time Protocol), tal y como se describe en RFC 1769. En un bosque de Windows 2000, la hora se sincroniza del siguiente modo: El maestro de operaciones del emulador del controlador de dominio principal (PDC) en el dominio raíz del bosque es la fuente de tiempo autoritativa de la organización. Todos los maestros de operaciones del PDC de otros dominios del bosque siguen la jerarquía de dominios cuando se selecciona un emulador del PDC con el que sincronizar la hora. Todos los controladores de dominio de un dominio sincronizan la hora con el maestro de operaciones del emulador del PDC de su dominio como su socio temporal de entrada. Todos los servidores miembros y los equipos de escritorio cliente utilizan el controlador de dominio de autenticación como su socio temporal de entrada. Para garantizar la exactitud de la hora, el emulador del PDC del dominio raíz del bosque deberá estar sincronizado con un servidor temporal SNTP externo. Para configurarlo, ejecute el siguiente comando net time, en el que es su lista de servidores: net time /setsntp: Nota: si el emulador del PDC de la raíz del bosque se encuentra detrás de un servidor de seguridad, es posible que tenga que abrir el puerto UPD 123 del servidor de seguridad para permitir que el emulador del PDC se conecte a un servidor temporal SNTP de Internet. Si su red utiliza sistemas operativos Windows anteriores en esos equipos, los relojes pueden sincronizarse con el siguiente comando en una secuencia de comandos de inicio de sesión, en el que es un controlador de dominio de la red. net time \\ /set /yes Nota: los equipos que ejecuten un sistema operativo distinto de Windows también deberán sincronizar sus relojes con fuentes temporales externas para permitir el análisis de los sucesos registrados en función de la hora. Para obtener más información, consulte el artículo de Microsoft Knowledge Base Q216734,"How to Configure an Authoritative Time Server in Windows" (en inglés). Diseño e implementación de directivas Para utilizar la Directiva de grupo de forma eficiente, deberá determinar cuidadosamente su aplicación. Con el fin de simplificar el proceso de aplicación y comprobación de la configuración de seguridad de la Directiva de grupo, se recomienda aplicarla en dos niveles: Nivel de dominios. Para cumplir los requisitos de seguridad comunes, como las directivas de cuentas y de auditoría que deben respetarse para todos los servidores. Nivel de unidad organizativa. Para cumplir los requisitos de seguridad específicos de servidores que no son comunes a todos los servidores de la red. Por ejemplo, los requisitos de seguridad de los servidores de infraestructuras son distintos de los requisitos de los servidores que ejecutan IIS. Todos los equipos tienen una directiva local predefinida. Al crear un dominio de Active Directory, se crean también directivas de dominios y de controladores de dominio predeterminadas. Antes de modificar cualquier directiva predeterminada, es importante documentar la configuración que contiene, de forma que se pueda volver fácilmente al estado anterior si se produce un problema. Funciones del servidor Para esta guía, se han definido varias funciones del servidor y se han creado plantillas de seguridad para aumentar la seguridad de estas funciones. Los requisitos de seguridad de cada una de estas funciones son distintos. Nota: esta guía asume que los servidores realizan funciones específicas bien definidas. Si los servidores no coinciden con estas funciones o tiene servidores multiuso, deberá utilizar las opciones de configuración aquí definidas como pauta para crear sus propias plantillas de seguridad. No obstante, deberá tener en cuenta que cuanto mayor sea el número de funciones realizadas por los servidores, más vulnerables serán a los ataques. Estructura de Active Directory para admitir las funciones del servidor Tal y como se mencionó anteriormente, se puede aplicar la Directiva de grupo de muchas formas distintas, con varios GPO y en varios niveles distintos de jerarquía. Para esta guía, hemos definido varias opciones de configuración de la Directiva de grupo que puede utilizar para asegurar las distintas funciones del servidor. Deberá asegurarse de que su estructura de Active Directory le permite aplicar estas opciones de configuración. Para ayudarle a asegurar su entorno basado en Windows 2000, hemos predefinido algunas plantillas de seguridad que se pueden importar a los GPO. No obstante, si se van a utilizar tal y como se proporcionan, deberá comprobar que tiene la estructura de Active Directory adecuada. Para crear la estructura de unidad organizativa Inicie Usuarios y equipos de Active Directory. Haga clic con el botón secundario del mouse en el nombre del dominio, seleccione Nuevo y, a continuación, seleccione Unidad organizativa. Escriba Servidores miembros y, a continuación, haga clic en Aceptar. Haga clic con el botón secundario del mouse en Servidores miembros, seleccione Nuevo y, a continuación, seleccione Unidad organizativa. Escriba Servidores de aplicaciones y, a continuación, haga clic en Aceptar. Repita los pasos 5 y 6 para Servidores de archivos e impresión, Servidores IIS y Servidores de infraestructuras. Es importante examinar de forma más detallada la estructura de unidad organizativa. Directiva del nivel de dominios Cuando se crea un dominio de Windows 2000, se crea una directiva de dominio predeterminada. Para la configuración de seguridad que desea aplicar a todo el dominio, puede: Crear una directiva adicional y vincularla sobre la directiva predeterminada Modificar la directiva predeterminada existente Normalmente, resulta más sencillo modificar la directiva existente; no obstante, la ventaja de crear una directiva de dominio adicional en lugar de modificar la predeterminada es que si se producen problemas con la adicional, puede desactivarse y dejar que la predeterminada vuelva a tomar el control. Tenga en cuenta que, a menudo, los dominios contienen usuarios y equipos cliente además de servidores. Por lo tanto, si desea bloquear servidores, a menudo resultará poco práctico definir la configuración específica en el nivel de dominios. En la práctica, suele ser mejor restringir las opciones de configuración de seguridad del servidor a las que se deben establecer en el nivel de dominios. En esta guía de operaciones, no se definen opciones de configuración específicas en el nivel de dominios, puesto que muchas de ellas, como la longitud de contraseñas, se modificarán en función de la directiva de seguridad general de la organización. No obstante, la guía contiene recomendaciones generales, que pueden consultarse en el capítulo 4, "Asegurar servidores basándose en su función". Nota: la directiva de contraseñas y de cuentas SÓLO afecta a las cuentas del dominio si éstas se han configurado en el nivel de dominios (de forma que sólo se puede configurar una directiva de contraseñas y de cuentas por dominio). Si las directivas se establecen en el nivel de unidad organizativa o en cualquier otro nivel, sólo afectarán a las cuentas locales. Para obtener más información, consulte el artículo de Knowledge Base Q259576,"Group Policy Application Rules for Domain Controllers" (en inglés). Unidad organizativa de los servidores miembros Muchas de las opciones de configuración de seguridad que se definen para los servidores miembros deberán aplicarse a todas las funciones de servidores miembros. Para simplificar este proceso, hemos creado una plantilla de seguridad de línea de base denominada Baseline.inf que puede importarse a un GPO y aplicarse a la unidad organizativa de los servidores miembros. Estas opciones de configuración se aplicarán tanto a la unidad organizativa de los servidores miembros como a cualquiera de las unidades organizativas secundarias. Unidad organizativa de los controladores de dominio Windows 2000 incluye una unidad organizativa de controladores de dominio. Cuando un servidor se convierte en un controlador de dominio, se ubica automáticamente en la unidad y no se debe eliminar, puesto que puede causar problemas de inicio de sesión y de acceso a los usuarios. Con esta guía, se proporciona una plantilla de seguridad denominada BaselineDC.inf, que puede importarse a un GPO y aplicarse a la unidad organizativa de los controladores de dominio. Puede aplicarla al GPO de controladores de dominio predeterminado o simplemente modificar las opciones de configuración del GPO de controladores de dominio predeterminado. Unidades organizativas individuales de funciones del servidor Las unidades organizativas individuales de funciones del servidor son unidades organizativas secundarias de la unidad organizativa del servidor miembro. Por esta razón, estos servidores adoptarán las opciones de configuración definidas en la Directiva de línea de base para los servidores miembros de forma predeterminada. Si utiliza la directiva de línea de base para asegurar los servidores miembros, deberá llevar a cabo modificaciones que se aplicarán a cada función del servidor. Para ello, puede asignar GPO a cada unidad organizativa de funciones del servidor. Con esta guía, se proporcionan plantillas de seguridad que puede importar a GPO para cada unidad organizativa de funciones del servidor. Las funciones del servidor se tratan en mayor detalle en el capítulo 4, "Asegurar servidores basándose en su función". Importar las plantillas de seguridad El siguiente procedimiento importa las plantillas de seguridad proporcionadas con esta guía a la estructura de unidad organizativa propuesta en este capítulo. Para poder implementar el siguiente procedimiento en un controlador de dominio, deberá extraer el contenido del archivo SecurityOps.exe file que se proporciona con esta guía. Advertencia: las plantillas de seguridad de esta guía se han diseñado para aumentar la seguridad del entorno. Es posible que, al instalar las plantillas proporcionadas con la guía, se pierda alguna funcionalidad del entorno. Esto puede incluir errores de aplicaciones fundamentales. Por lo tanto, es ESENCIAL que pruebe al máximo estas plantillas antes de instalarlas en un entorno de producción y realice los cambios adecuados para el entorno. Antes de aplicar nuevas opciones de configuración de seguridad, realice una copia de seguridad de cada servidor y controlador de dominio. Asegúrese de incluir el estado del sistema en la copia de seguridad, puesto que en él se guardan los datos del registro y, que respecto a los controladores de dominio, también incluye todos los objetos de Active Directory. Nota: antes de continuar, si utiliza Windows 2000 Service Pack 2, deberá aplicar la revisión descrita en el artículo de Knowledge Base Q295444, "SCE Cannot Alter a Service's SACL Entry in the Registry" (en inglés). Si no se aplica esta revisión, las plantillas de la Directiva de grupo no podrán desactivar ningún servicio. Importar la directiva de línea de base de controladores de dominio En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Controladores de dominio y, a continuación, seleccione Propiedades. En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo Objeto de directiva de grupo. Escriba Directiva de línea de base de controladores de dominio y presione Entrar. Haga clic con el botón secundario del mouse en Directiva de línea de base de controladores de dominio y seleccione No reemplazar. Nota: se requiere esta opción de configuración porque la directiva de controladores de dominio predeterminada configura todas las opciones de configuración de directivas de auditoría como Sin auditoría, con la excepción de la administración de cuentas. Puesto que la directiva de controladores de dominio predeterminada tiene mayor prioridad, la opción de configuración Sin auditoría se convertirá en la opción de configuración válida. Haga clic en Modificar. Expanda la Configuración de Windows, haga clic en Configuración de seguridad con el botón secundario y seleccione Importar directiva. Nota: si Importar directiva no aparece en el menú, cierre la ventana Directiva de grupo y repita los pasos 4 y 5. En el cuadro de diálogo Importar la directiva desde, desplácese a C:\SecurityOps\Templates y haga doble clic en BaselineDC.inf. Cierre Directiva de grupo y haga clic en Cerrar. Fuerce la réplica entre los controladores de dominio a fin de que todos los controladores dispongan de la directiva. Compruebe en el Registro de sucesos que se ha descargado correctamente la directiva y que el servidor puede comunicarse con los otros controladores de dominio del dominio. Reinicie todos los controladores de dominio de uno en uno para garantizar un reinicio correcto. Importar las directivas de servidores miembros En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Servidores miembros y, a continuación, seleccione Propiedades. En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo Objeto de directiva de grupo. Escriba Directiva de línea de base y presione Entrar. Haga clic en Modificar. Expanda la Configuración de Windows, haga clic en Configuración de seguridad con el botón secundario y seleccione Importar directiva. Nota: si Importar directiva no aparece en el menú, cierre la ventana Directiva de grupo y repita los pasos 4 y 5. En el cuadro de diálogo Importar la directiva desde, desplácese a C:\SecurityOps\Templates y haga doble clic en Baseline.inf. Cierre Directiva de grupo y haga clic en Cerrar. Repita los pasos 1 a 7 con la unidad organizativa y los archivos de plantillas de seguridad Fuerce la réplica entre los controladores de dominio a fin de que todos los controladores dispongan de la directiva. Mueva un servidor para cada función a la unidad organizativa correspondiente y, en el servidor, descargue la directiva por medio del comando secedit. Compruebe en el Registro de sucesos que se ha descargado correctamente la directiva y que el servidor puede comunicarse con los controladores de dominio y con otros servidores del dominio. Después de realizar pruebas con resultados satisfactorios en un servidor de la unidad organizativa, mueva los servidores restantes a la unidad organizativa y, a continuación, aplique la seguridad. Reinicie cada servidor para asegurarse de que se reinician correctamente. Mantener la seguridad de la configuración de la Directiva de grupo Si aplica la configuración de seguridad por medio de la Directiva de grupo, es importante garantizar que la configuración sea lo más segura posible. Para ello, se suele comprobar que los permisos de los GPO y de las unidades organizativas y los dominios en los que se aplica se hayan configurado correctamente. Las plantillas proporcionadas con esta guía no modifican los permisos predeterminados de Active Directory, por lo que necesitará modificarlos de forma manual. Puede suceder que la configuración de la Directiva de grupo definida en contenedores de nivel superior sea reemplazada por la configuración de contenedores de nivel inferior. Para evitar que se reemplace la configuración de un contenedor de nivel superior, utilice la opción No reemplazar del GPO. Nota: no establezca No reemplazar en la directiva de línea de base para los servidores miembros. Si lo hace, las directivas de funciones del servidor no podrán activar los servicios y las opciones de configuración adecuados. Además de separar las funciones del servidor en el nivel de unidad organizativa, también deberá crear las funciones de administrador correspondientes por separado y asignarles derechos administrativos sobre las unidades organizativas que les correspondan. De este modo, si un intruso consigue hacerse con los derechos administrativos del servidor IIS, no podrá tener acceso a los servidores de infraestructuras y así sucesivamente. Sólo los administradores del nivel de dominios y superiores deben tener derechos para modificar los miembros de una unidad organizativa. Si un administrador del nivel de unidad organizativa puede eliminar un servidor de la misma, podrá modificar la configuración de seguridad de los servidores. Una vez aplicada la directiva a los servidores, todavía deberán llevarse a cabo varias tareas. Deberá comprobar los servidores regularmente para asegurarse de que: Se ha aplicado la directiva correcta al servidor. Ningún administrador ha cambiado una opción de configuración de la directiva y ha disminuido el nivel de seguridad de los servidores. Se han aplicado todos los cambios o las actualizaciones a todos los servidores. Al comprobar que la configuración del GPO se ha aplicado a los servidores de forma correcta, sabrá que los servidores se han asegurado adecuadamente. Puede utilizar varios métodos para examinar la Directiva de grupo de un servidor y comprobar si se ha configurado correctamente. Sucesos del Registro de sucesos Si se descarga correctamente la directiva, se muestra un suceso del Registro de sucesos con la siguiente información: Tipo: información Id. de origen: SceCli Id. de suceso: 1704 Cadena de mensaje: la directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente. Puede que el mensaje tarde varios minutos en aparecer tras haber aplicado la directiva. Si no recibe el mensaje, deberá ejecutar secedit /refreshpolicy machine_policy /enforce y, a continuación, reiniciar el servidor para forzar la descarga de la directiva. Vuelva a comprobar el Registro de sucesos tras haber reiniciado para asegurarse de que se ha descargado correctamente la directiva. Nota: cuando los servicios están establecidos como Deshabilitado en un GPO y se reinicia una vez el servidor, normalmente los servicios se habrán reiniciado antes de que se aplique la configuración definida en el GPO. Si vuelve a reiniciar el servidor, se garantiza que no se inicien los servicios establecidos como Deshabilitado. Comprobar la directiva con el MMC de la directiva de seguridad local Para comprobar si se ha aplicado correctamente la directiva, también puede revisar la configuración de directiva efectiva del servidor local. Para comprobar la configuración de directiva efectiva Inicie el MMC de la Directiva de seguridad local. En Configuración de seguridad, haga clic en Directivas locales y luego en Opciones de seguridad. En el panel derecho, muestre la columna Configuración vigente. La columna Configuración vigente deberá mostrar las opciones configuradas en la plantilla para la función del servidor seleccionado. Comprobar la directiva con herramientas de la línea de comandos Existen también dos herramientas de la línea de comandos que sirven para comprobar la configuración de la directiva. Secedit Esta herramienta está incluida en Windows 2000 y sirve para mostrar las diferencias existentes entre el archivo de plantillas y la directiva del equipo. Para comparar una plantilla con la directiva actual de un equipo, utilice la siguiente línea de comandos: secedit /analyze /db secedit.sdb /cfg Nota: si aplica las plantillas proporcionadas con esta guía y, a continuación, ejecuta el comando anterior, se generará un error de acceso denegado. Esto se debe a la seguridad adicional aplicada. También se generará un archivo de registro con los resultados del análisis. Gpresult Windows 2000 Server. Kit de recursos (Microsoft Press, ISBN: 1-57231-805-8) incluye una herramienta denominada GPResult que sirve para mostrar las directivas aplicadas en la actualidad a un servidor. Para obtener una lista de las directivas aplicadas a un servidor, utilice la siguiente línea de comandos: Gpresult /c Nota: Gpresult se trata en mayor detalle en el apartado "Solucionar problemas de la Directiva de grupo" más adelante en este capítulo. Auditar la Directiva de grupo Se pueden auditar los cambios de la Directiva de grupo. La auditoría de los cambios de la directiva puede servir para realizar un seguimiento de las personas que están modificando o intentando modificar la configuración de directiva. La auditoría de los aciertos y errores de los cambios de la directiva se activa en las plantillas de seguridad de línea de base. Solucionar problemas de la Directiva de grupo Aunque la Directiva de grupo se aplica de forma automática, es posible que la Directiva de grupo resultante de un servidor no sea la que se esperaba, principalmente porque puede configurarse en varios niveles. En este apartado se proporcionan instrucciones que pueden utilizarse para solucionar problemas de la Directiva de grupo. Nota: si se produce un problema específico de la Directiva de grupo que no se menciona en este capítulo, consulte Microsoft Knowledge Base. Algunos artículos importantes de Knowledge Base acerca de la Directiva de grupo figuran en el apartado "Más información" al final de este capítulo y en las notas del producto "Troubleshooting Group Policy" (en inglés). Herramientas del kit de recursos GPResult y GpoTool son dos herramientas de Windows 2000 Server. Kit de recursos que le ayudarán a solucionar problemas de la Directiva de grupo. Nota: estas herramientas también se encuentran disponibles en línea; consulte el apartado "Más información" que se halla al final de este capítulo para obtener más detalles. GPResult Esta herramienta proporciona una lista de todos los GPO que se han aplicado a un equipo, el controlador de dominio del que proceden los GPO y la fecha y la hora en la que se aplicaron los GPO la última vez. Al ejecutar GPResult en un servidor para comprobar que tiene los GPO correctos, utilice el modificador /c para mostrar únicamente información acerca de la configuración del equipo. Cuando se utiliza GPResult con el modificador /c, proporciona la siguiente información general: Sistema operativo Tipo (Professional, Server, controlador de dominio) Número de versión y detalles de Service Pack Si está instalado Servicios de Terminal Server y, en caso afirmativo, el modo que utiliza Información del equipo Nombre y ubicación del equipo en Active Directory (si corresponde) Nombre y tipo de dominio (Windows NT o Windows 2000) Nombre del sitio GPResult con el modificador /c también proporciona la siguiente información acerca de la Directiva de grupo: Última vez que se aplicó la directiva y el controlador de dominio que la aplicó, para el usuario y el equipo Lista completa de los Objetos de directiva de grupo y sus detalles, incluido un resumen de las extensiones que contiene cada Objeto de directiva de grupo. Configuración del registro aplicada y sus detalles Carpetas redirigidas y sus detalles Información de gestión de software, incluidas las aplicaciones asignadas y publicadas Información de la cuota de disco Configuración de seguridad IP Archivos de comandos GpoTool Esta herramienta de la línea de comandos le permite comprobar las condiciones de los Objetos de directiva de grupo en controladores de dominio, entre ellas: Comprobar la coherencia de los Objetos de directiva de grupo. La herramienta lee las propiedades de los servicios de directorio obligatorias y opcionales (versión, nombre descriptivo, GUID de extensiones y datos del volumen del sistema [SYSVOL] de Windows 2000 [Gpt.ini]), compara números de versión de los servicios de directorio y SYSVOL y lleva a cabo otras comprobaciones de coherencia. Si la propiedad de las extensiones contiene algún GUID, la versión de funcionalidad debe ser 2 y la versión del usuario o equipo debe ser superior a 0. Comprobar la replicación del Objeto de directiva de grupo. Lee las instancias de GPO de cada controlador de dominio y las compara (propiedades seleccionadas del contenedor de la Directiva de grupo y comparación recursiva completa de la plantilla de la Directiva de grupo). Mostrar información acerca de un GPO determinado. Incluye propiedades a las que no se puede tener acceso mediante el complemento Directiva de grupo, como la versión de funcionalidad y los GUID de extensiones. Examinar GPO. Una opción de la línea de comandos permite realizar búsquedas de directivas en función del nombre descriptivo o el GUID. Es posible realizar búsquedas parciales del nombre o el GUID. Controladores de dominio preferidos. De forma predeterminada, se utilizarán todos los controladores disponibles en el dominio, aunque se puede omitir este comportamiento si se incluye en la línea de comandos una lista de los controladores de dominio preferidos. Ejecutar en distintos dominios. Existe una opción de la línea de comandos que permite comprobar las directivas de distintos dominios. Ejecutar en modo detallado. Si todas las directivas son correctas, la herramienta muestra un mensaje de validación; si hay errores, se imprime información acerca de las directivas dañadas. Una opción de la línea de comandos permite activar la información detallada para cada una de las directivas que se procesan. Utilice la siguiente línea de comandos para obtener detalles acerca de una Directiva de grupo y de si se detectan errores en la directiva: GPOTool /gpo: Errores del Registro de sucesos de la Directiva de grupo. Algunos errores del Registro de sucesos de la Directiva de grupo indican problemas específicos del entorno. Los dos siguientes no permiten que se aplique correctamente la Directiva de grupo: En un controlador de dominio, el suceso de advertencia 1202 combinado con el suceso de error 1000. Suele indicar que se ha movido un controlador de dominio de la unidad organizativa de Controladores de dominio a otra unidad organizativa que no tiene vinculado el GPO de controladores de dominio predeterminado. Cuando un administrador intenta abrir uno de los GPO predeterminados, se devuelve el siguiente error: No se puede abrir el objeto de directiva de grupo. Puede que no disponga de los derechos adecuados. Detalles: error no especificado En el registro de sucesos, aparecen los sucesos 1000, 1001 y 1004. Esto se debe a un archivo registry.pol dañado. Los errores deberían desaparecer al eliminar el archivo registry.pol de SYSVOL, reiniciar y realizar un cambio en el servidor.

Otras artículos de interés:

Sincronizar tus archivos locales con box.com - Debian - Ubuntu y Derivados
Ya hemos publicado como sincronizar nuestros archivos en la nube en Pcloud y Google Drive. Recuerda que tambien puedes hacerlos con Mega y Dropbox que ya treaen clientes linux bastante amigable. Por lo que ya no hay excusas para que pierdas tu dat...
Instalar Editor de ePub Sigil en Ubuntu y Mint y derivados
Está información fue recopilada desde el sitio: jeidienwp.wordpress.com Que es Sigil? Sigil es una...
DNSCrypt: Cifrar DNS en Ubuntu / LinuxMint
Para proteger nuestra navegación ningún método es infalible, pero hay que tomar en cuenta ciertas medidas. Navegando por la red buscando info al respecto, recordé que había leído en el Blog del amigo ...
Bloquear sitios en Linux usando el archivo HOSTS
Es muy útil tener un archivo host ya que nos facilita agregar direcciones/dominios que deseamos que si alguien los visita no los muestre. En el ejemplo los sitios al ser visitados serán redireccionado a 127.0.0.1 ...
GtkOrphan: Elimina los huerfanos! (Ubuntu/LinuxMint)
GtkOrphan es una aplicacion gráfica para los sistemas Debian o basados en ella (Ubuntu, LinuxMint por ejemplo) que soporten Perl/Gtk2 para analizar el estado de sus instalaciones, en busca de bibliotecas huérfanas. E...
Estructura de Directorios y sistemas de archivos en GNU Linux
En GNU/Linux todo es un fichero (archivo). Los directorios (carpetas) son archivos, los archivos son archivos, y los dispositivos son archivos. En algunas ocasiones a los dispositivos se les llama nodos, pero igualmente siguen siendo archivos....
Sub-process /usr/bin/dpkg returned an error code (1) Ubuntu | Linux Mint
A veces intentamos eliminar un archivo y ocurre este error: Sub-process /usr/bin/dpkg returned an error code (1) El cual ocurre debido a una mala instalación/desinstalacion, por cualquier motivo Para reparar abrimos consola (termi...
Cambiar la Mac Address por consola en Linux Debian - Ubuntu - Mint
Diferentes dispositivos escanean la MAC Address de los equipos que se conectan a ellos. De esa forma se puede llevar el seguimiento de nuestros [movimientos]. Ahora, para brindar algo más de anonimato es necesario cambiar periódicamente nuestra ...
El mundo del Virus (II)
En Linux no hay virus... ¡Falso! Objetivos y técnicas: Scripts: sh, Perl Los lenguajes interpretados han sido una constante en todo sistema UNIX. Actualmente los más utilizados son los scripts de shell y ...
Encountered a section with no Package: header, E:Problem with MergeList
Este problema es bastante sencillo de solucionar (Ubuntu y derivados) sudo rm /var/lib/apt/lists/* -vf sudo apt-get update ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • guia
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • operaciones
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra