- Directives de seguretat local: s’utilitza per modificar la configuració de seguretat local d’un equip que no és un servidor Windows o no té instal•lat el directori actiu. (Inici Eines AdministrativesDirectiva de seguretat local)
- Directiva de seguretat de domini:s’utilitza per modificar la configuració de seguretat de tots els equips d’un domini (en el servidor, Inici Eines administratives Administració de directives de grup)
- Directives de seguretat del controlador del domini: s’utilitza en el servidor Windows controlador de domini per modificar la configuració de seguretat de tots els equips que siguin controlador del domini (en el servidor, Inici Eines administratives Administració de directives de grup)
A més, poden haver-hi directives de seguretat per llocs i per unitats organitzatives.
Directives de grup
Les directives de grup (GPO) defineixen els diferents components de la configuració de l’equip i de l’usuari. Influeix en comptes d’usuari, de grup i d’equip i es poden aplicar a llocs, dominis o unitats organitzatives
Les directives de grup s’apliquen en el següent ordre:
- Directiva d’equip local
- Directiva d’usuari local
- Directiva de grup del lloc
- Directiva de grup del domini
- Directiva de grup de la unitat organitzativa
- Directiva de grup del controlador de domini
Una directiva de grup està constituïda, entre d’altres, pels següents elements:
Configuració del equip
S’aplica quan s’inicia l’equip independentment de l’usuari que ho faci. Normalment, està formada per les següents directives:
- Configuració de software: configuració per a tots els usuaris quan s’inicia una sessió
- Configuració de Windows
- Scripts (inici/apagat)
- Configuració de seguretat
Directives de compte:
- Directives de contrasenyes (longitud, vigència...)
- Directives de bloqueig de comptes (duració del bloqueig, umbral...)
Directives Locals
- Directiva d’auditoria (auditar l’accés a un objecte, canvis de directives...)
- Assignació de drets d’usuari: permet assignar drets a usuaris
- Opcions de seguretat: defineix l’accés a dispositius, apagat del sistema...
- Registres d’esdeveniments: longitud dels registres...
- Serveis del sistema: defineix els permisos i el mode d’inici pels serveis locals.
- Registre: defineix els permisos d’accés (DACL) i la configuració d’auditoria (SACL) per les claus del registre.
- Sistema d’arxius: defineix els permisos d’accés (DACL) i la configuració d’auditoria (SACL) pel sistema d’arxius.
- Directives de xarxa cablejada
- Firewall de Windows amb seguretat avançada
- Directives de xarxa inalàmbrica
- Directives de restricció de software: regula el software desconegut o en el que no confia.
Plantilles administratives
- Components de Windows (NetMeeting, Internet Explorer, Compatibilitat d’aplicació, programador de feines, Windows Installer, Windows Messenger, Administració de drets digitals de Windows Media, Reproductor de Windows Media, Windows Update)
- Impressores
- Panell de control (configuració regional i d’idioma, Comptes d’usuari)
- Xarxa (arxius sense connexió, connexions de xarxa)
- Sistema (inici de sessió, quotes de disc, perfils d’usuari, directiva de grup, protecció d’arxius de Windows)
Configuració d’usuari
S’aplica quan d’usuari inicia una sessió independentment de l’equip en el que ho faci. Format per les següents directives:
- Configuració de software: software que s’aplica a l’usuari, independentment de l’equip on inicia sessió
- Configuració de Windows: configuració de finestres dels usuris.
- Scripts (inici/apagat)
- Configuració de seguretat
- Serveis d’instal•lació remota
- Script
- Configuració de seguretat
- Manteniment d’Internet Explorer
Plantilles administratives
- Carpetes compartides
- Components de Windows (NetMeeting, Internet Explorer, Compatibilitat d’aplicació, programador de feines, Windows Installer, Windows Messenger, Reproductor de Windows Media, Windows Update)
- Escriptori (escriptori, active directory)
- Inici i barra de tasques
- Panell de control (afegir o treure programes, pantalla, impressores, configuració regional i d’idioma)
- Xarxa (arxius sense connexió, connexions de xarxa)
- Sistema (inici de sessió, perfils d’usuari, directiva de grup, scripts, opciones Ctrl+Alt+Supr, administració de l’energia)
Per treballar amb les directives de grup ha de ser usuari amb permisos d’administrador. Windows Server incorpora dues directives de grup per defecte:
- Default domain policy en la que s’aplica a tots els equips
- Default controller Domain policy s’aplica a tots els equips que siguin controladors de domini i afecta tant a la configuració d’equip com d’usuari.
Es pot accedir a elles des de Inici Eines administratives Administració de directives de grup. Al node del bosc, node de Dominis, node del domini nostre, node d’Objectes de directiva de grup.
Per crear una directiva de grup vinculada automàticament: Inici Eines administratives Administració de directives. A sobre d’una Unitat Organitzativa, seleccioni Crear una GPO en aquest domini i vincular-ho aquí. Dóna-li un nom. Ara ja es poden modificar les directives que es desitgin.
Directives en Windows Server 2008
Un cop creada una nova directiva de grup, i s’hagi establert la configuració desitjada, es poden realitzar diferents processos (Inici Eines administrativesAdministració de directives de grup)
Si desitja que les directives s’apliquin en un ordre diferent (dintre del domini, lloc, unitat organitzativa o controlador del domini), seleccioni-ho, i en el panell de la dreta, li mostrarà les seves directives de seguretat. (seleccioni-la i mou-la amunt o avall)
Si desitja impedir que altres directives anul•lin la configuració d’una directiva de grup, situa’t sobre la directiva de seguretat que desitgi i al menú contextual marqui Exigit. Si desitja impedir que altres directives de grup que estiguin vinculades a llocs, dominis, unitats organitzatives de nivell superior o controladors de domini, s’apliquin al contenidor actual i als seu elements secundaris, situïs a sobre i al menú contextual, seleccioni: Bloquejar herència
Per veure o modificar els permisos d’una directiva de grup selecciona-la, mostri el menú contextual, Editar, Acció, Propietats, Seguretat, i veurà el noms dels usuaris, grups i identificats especials que tinguin permisos sobre l’objecte i, a sota, els permisos estàndard que té cadascun d’ells.
Per veure o modificar diferents propietats d’una directiva de grup, seleccioni-la, i en el panell dret surt la informació en les diferents fitxes.
1. Observa la Directiva de seguretat local d’un equip que no sigui controlador de domini.
En windows 7 desde un usuario LOCAL y ADMINISTRADOR vamos a inicio --> panel de control-->Herramientas administrativas -->directiva de seguridad local
Seleccionamos una: por ejemplo Directivas de cuenta ---> directivas de contraseña --- >
Y abrimos una a editar por ejemplo: La contraseña debe cumplir los requisitos de complejidad y la habilitamos.
Estas de DIRECTIVA DE CUENTA no nos las deja manipular desde un usuario local. Pero si vamos a :
DIRECTIVAS LOCALES si podemos editar:
Podemos activar directivas de AUDITORIA tanto en caso de error como de correctas. Estas aparecerán en forma de mensaje en el VISOR DE EVENTOS cuando se cumplan. por ejemplo pondremos auditar inicios de sesión tanto en entradas correctas,como erróneas.
También podemos añadir desde DIRECTIVAS LOCALES--->OPCIONES DE SEGURIDAD, añadir un mensaje para inicio de sesión interactivo.
2. En un Windows Server, observa la Directiva de seguretat del controlador del domini d’un equip que tingui instal•lat el Directori Actiu.
En windows server 2008 vamos a inicio ---> herrmaientas administrativas --->Administración de directivas del grupo
En una GPO existente o si no hay creamos una.
Por ejemplo Default Domain Policy.
La seleccionamos y clic botón derecho -->editar.
ENTRAMOS en CONFIGURACIÓN DEL EQUIPO--->DIRECTIVAS -->CONFIGURACIÓN DE WINDOWS ---> CONFIGURACIÓN DE SEGURIDAD
Desde aquí podemos auditar cualquier directiva.
Probamos con la misma que hemos intentado habilitar en windows 7 y no nos dejaba en directivas de cuenta--> directivas de contraseña-->
Desde este windows server si nos deja modificar
También podemos añadir auditorias para registros de eventos, o desde plantillas administrativas también podemos auditar diferentes opciones.
3. Quines son les directives de grup incorporades per defecte?
Las DEFAULT DOMAIN POLICY , para ver su configuración sin editarla. Nos posicionamos sobre ella y vamos a la pestaña CONFIGURACIÓN
Le vamos dando a MOSTRAR en las diferentes pestañas que lo permitan para ver su CONFIGURACIÓN
4. Edita la directiva de grup del domini de un equip que tingui instal•lat el Directori Actiu.
Desde Usuarios y Equipos de Active Directory miramos que en Computers o en alguna UO ya creada tengamos añadido un PC (en mi caso Windows7), dentro de esta UO crearemos una nueva GPO.
Para crear una nueva GPO:
hemos de entrar desde: inicio --> herramientas administrativas --> Administración de directivas de grupo--> y nos posicionamos en la UO que contiene el Equipo Windows 7,
Seleccionamos Crear una GPO en este dominio y vincularlo aquí.
Le damos un nombre:
Nos posicionamos sobre la nueva GPO (grup police object) y botón derecho editar, auditamos al gusto.
Por ejemplo: Configuración de usuario --> preferencias-->configuración de panel de control--> menú inicio
clic botón derecho --> nuevo
Elegimos el sistema más similar al que queremos añadir.(suele dejar elegir entre winxp y win vista)
Y modificamos al gusto.
Desde aquí podemos modificar el menú inicio de los usuarios. No mostrar , mostrar como menú o como vínculo. Podemos hacerlo con muchos elementos del menú inicio:
Y para terminar nos vamos a la GPO y botón derecho marcamos Exigido.
De esta forma si otra directiva intenta bloquear el paso de esta, no podrá hacerlo,esta mandará sobre otras directivas.
5. Consulta la directiva de contrasenya que hi ha definida per l’equip.
Desde cualquier GPO ya creada ( porqué solo vamos a consultar sin hacer cambios), clic derecho --> editar : configuración del equipo --> directivas -->configuración de windows --> configuración de seguridad --> directivas de cuenta --> directiva de contraseñas
No hay nada definido. Desde aquí podemosAlmacenar contraseñas con cifrado reversible, Exigir historial de contraseñas, asignarle un cumplimiento de requisitos mínimos a la contraseña, su longitud mínima, el máximo de la duración hasta tener que cambiarla i el mínimo hasta tener que cambiarla.
Por defecto al activar "la contraseña debe cumplir requisitos", el valor de vigencia máxima es de 42 días y el de mínima de 30 días.
6. Consulta la directiva de bloqueig de comptes que hi ha definida per l’equip.
Desde cualquier GPO ya creada ( porqué solo vamos a consultar sin hacer cambios), clic derecho --> editar : configuración del equipo --> directivas -->configuración de windows --> configuración de seguridad --> directivas de cuenta -->directiva de bloqueo de cuenta
Desde aquí podemos modificar los tiempos y duración de los bloqueos de cuenta , que se activan normalmente por que un usuario a intentado acceder al sistema con una contraseña errónea y al agotar los intentos de inicio de sesión, se activa este bloqueo. La duración del bloqueo si la habilitamos, por defecto lo deja en 30 minutos.
Aunque podemos poner menos o mayor tiempo.
Al darle a aplicar nos aparece un pequeño mensaje que nos avisa que el máximo de intentos predefinido es de 5 valor que se establecerá en UMBRAL DE BLOQUEO DE CUENTA. Y el valor de reestablecer el bloqueo de cuenta después de ... será de 30 minutos, pasado el tiempo del bloqueo.
7. Consulta directiva de assignació de drets d’usuari que hi ha definit per l’equip.
Desde cualquier GPO ya creada ( porqué solo vamos a consultar sin hacer cambios), clic derecho --> editar : configuración del equipo --> directivas -->configuración de windows --> configuración de seguridad -->directivas locales-->asignación de derechos de usuario
No hay nada definido.
Desde aquí podemos modificar muchas cosas. Por ejemplo esta de Apagar el sistema, son usuarios que añadiremos que podrán usar el comando de apagar el sistema.
Entre otras muchas opciones.
8. Consulta la directiva de opcions de seguretat que hi ha definit per l’equip.
Desde cualquier GPO ya creada ( porqué solo vamos a consultar sin hacer cambios), clic derecho --> editar : configuración del equipo --> directivas -->configuración de windows --> configuración de seguridad -->directivas locales-->opciones de seguridad.
Desde aquí podemos modificar muchas opciones de seguridad para los equipos del dominio. Como por ejemplo : Inicio de sesión interactivo pedir al usuario que cambie la contraseña antes de que expire.
Se establece por defecto en 14 días, pedirle al usuario que cambie la contraseña antes de su expiración.
9. Consulta la directiva de impressores que hi ha definit per l’usuari.
configuración de usuario---> preferencias--->configuración panel de control--> impresoras
Desde aquí podemos añadir nuevas impresoras compartidas, en RED, O LOCAL
10. Consulta la directiva de connexions de xarxa que hi ha definida per l’usuari.
configuración del equipo---> directivas---> configuración de windows--->configuración de seguridad --> directivas de red cableada (IEEE 802.3)
No hay nada definido. Podemos hacer clic botón derecho--> crear nueva directiva de windows vista
Para autentificarse con el acceso a la red.
11. Afegeix una nova Unitat Organitzativa al domini i crea una nova directiva de grup per la UO que acabes de crear. Modifica la directiva de contrasenyes i la de bloqueig de comptes per l’equip. Afegeix un usuari a la UO i realitza les proves
Desde Usuarios y Equipos de active directory:Nos situamos en la raíz del dominio crear UO en el domini.
Llamaremos a esta nueva UO directivas. Y le delegamos control para usuario Administrador
Ahora vamos a : inicio---> herramientas administrativas--->Administración de directivas de grupo.
Seleccionamos la UO directivas
botón derecho crear nueva GPO i vincular aquí, la llamaré “directivas de grupo”
Y ahora botón derecho --> editar ,configuramos tal y como queramos!!! por ejemplo añadiendo la directiva de seguridad de contraseña, El bloqueo de cuenta,... para finalizar crearemos un usuario dentro de la UO directivas que hemos hecho (desde usuarios y equipos de active directory) y probaremos.
La ponemos como exigida para que otras directivas no afecten.
Ahora hacemos tecla inicio +r y ponemos gpupdate para actualizar las directivas.
creamos el nuevo usuario dentro de la UO
De contraseña le pongo también desy.
Ahora desde windows 7 por ejemplo, probamos a entrar con desy.(desde el dominio)
DOMASIX16\desy y ponemos conntraseña de acceso
Primero lo hacemos de forma correcta.
Todo correcto.
Cerramos sesión y ¡LA LIAMOS!para que nos salte el bloqueo de contraseña,según lo establecido lo debe hacer después de 2 intentos erróneos, durará 5 minutos.
Y así es una vez bloqueada nos saldrá este mensaje.
En 5 minutos nos ha de volver a salir la pantalla de presione: ctrl+alt+supr
12. A la UO anterior, modifica les directives de les plantilles administratives de l’usuari explicant les teves opcions (per exemple: sense poder accedir al panell de control)
inici ---> herrameintas administratives ---> administració de directives de grup
Modificamos la GPO creada antes, y haremos una modificación dentro de plantillas administrativas del usuario. Y vamos a configuración del usuario --> directivas --> plantillas administrativas
Aquí podemos modificar muchas cosas: Podemos hacer ---->panel de control---> prohibir el acceso a panel de control :
Si habilitamos esta opción el usuario no tendrá acceso al panel de control. Hacemos un gpupdate y cerramos sesión en windows7 y volvemos a iniciarla.
Ahora el usuario Desy, no debería tener acceso a panel de control.
Y efectivamente ya no aparece el vínculo a panel de control en el menú inicio de el usuario Desy.
13. Quina directiva preval, la de la unitat organitzativa o la del domini?
La del dominio
Recorda:
gpupdate: per actualitzar la configuració de directiva de grup
gpupdate/force: fa que la directiva de grup torni a processar tota la informació de la directiva.
gpresult:mostra el conjunt resultant de directives (RSOP) d’un usuari o equip
No hay comentarios:
Publicar un comentario