Administración de configuraciones de seguridad en windows server con group policy
1. Administración y Seguridad en Windows Server 1
Administración de Configuraciones de Seguridad en Windows
Server con Group Policy
Estela Cruz Díaz
Miguel A. Morales de la Cruz
Francisco de Jesús Sánchez Enríquez
Instituto Tecnológico de Tuxtepec
Febrero 2014
2. Administración y Seguridad en Windows Server 2
RESUMEN & ABSTRACT
Para asegurar Windows se requiere de una correcta implementación de Group
Policy, del cual depende Active Directory y es el principal medio para asegurar los
servidores y sus ambientes de escritorio. Group Policy puede definir el estado del
ambiente de trabajo de los usuarios y equipos permitiendo recuperar servicios,
valores de registro, directivas de cuentas, membresías de grupos y otras
características de las máquinas de la red. Provee a los administradores un alto
grado de control administrativo sobre usuarios y computadoras en la red. El
objetivo principal de este artículo es proporcionar los conocimientos sobre las
formas de como las directivas de seguridad, a través de Group Policy permiten
definir los procedimientos de configuración y administración de seguridad del
ambiente de computo.
3. Administración y Seguridad en Windows Server 3
PALABRAS CLAVE
Seguridad
Configuración
Plantillas
Contraseñas
4. Administración y Seguridad en Windows Server 4
INTRODUCCIÓN
Group Policy es una infraestructura implementada en Windows Server desde sus
inicios, la cual permite especificar configuraciones administradas para usuarios y
equipos a través de la configuración de directiva de grupo y las preferencias
políticas. Se puede administrar su configuración y sus preferencias en un entorno
de servicios de dominio de Active Directory a través de la consola de
administración de directivas de grupo (GPMC).
La directiva de grupo es una infraestructura que permite implementar
configuraciones específicas para los usuarios y equipos. Desafortunadamente
estas directivas no son fáciles de implementar, ya que se encuentran vinculadas
con los contenedores de Active Directory y por lo tanto los usuarios deben primero
conocer esta herramienta.
Este artículo tiene como objetivo que los profesionales de TI y los usuarios en
general entienda las características de auditoría de seguridad en Windows y cómo
su organización puede beneficiarse del uso de estas tecnologías para mejorar la
seguridad y la administración de la red.
5. Administración y Seguridad en Windows Server 5
ADMINISTRACION DE AUDITORIAS DE SEGURIDAD CON GROUP
POLICY
DESCRIPCION DE LA CARACTERISTICA
La auditoria de seguridad es una herramienta poderosa para ayudar a mantener la
seguridad de una empresa. La auditoría puede ser utilizada para una variedad de
propósitos, incluyendo el análisis forense, el cumplimiento normativo, la actividad
de seguimiento del usuario, y la solución de problemas. Regulaciones de la
industria en varios países o regiones exigen en las empresas implementar un
estricto conjunto de normas relacionadas con la seguridad de datos y privacidad.
Las auditorías de seguridad pueden ayudar a implementar estas políticas y
demostrar que estas políticas han sido implementadas. Además, la auditoría de
seguridad se puede utilizar para el análisis forense, para ayudar a los
administradores a detectar comportamientos anómalos, para identificar y mitigar
las lagunas en las políticas de seguridad, y para disuadir el comportamiento
irresponsable de seguimiento de las actividades importantes del usuario.
LA GESTIÓN DE LA AUDITORIA DE SEGURIDAD
Para utilizar la auditoría de seguridad, es necesario configurar la lista de control de
acceso al sistema (SACL) en un objeto, y aplicar la directiva de auditoría de
seguridad adecuado al usuario o equipo. Para obtener más información, consulte
Administración de la seguridad de Auditoría.
(http://technet.microsoft.com/library/cc771475.aspx).
6. Administración y Seguridad en Windows Server 6
DIRECTIVAS DE AUDITORÍA.
Antes de implementar una auditoría, debe tomar una decisión sobre una directiva
de auditoría. Una directiva de auditoría especifica las categorías de eventos
relacionados con la seguridad que desea auditar. Cuando esta versión de
Windows se instala por primera vez, todas las categorías de auditoría están
deshabilitadas. Al habilitar varias categorías de eventos de auditoría, puede
implementar una directiva de auditoría apropiada para las necesidades de
seguridad de su organización.
Las categorías de eventos que puede elegir para auditar son:
Auditar eventos de inicio de sesión de cuenta
Auditar la administración de cuentas
Auditar el acceso del servicio de directorio
Auditar eventos de inicio de sesión
Auditar el acceso a objetos
Auditar el cambio de directivas
Auditar el uso de privilegios
Auditar el seguimiento de procesos
Auditar eventos del sistema
Si opta por auditar el acceso a objetos como parte de su directiva de auditoría,
debe habilitar la categoría Auditar el acceso del servicio de directorio (para auditar
objetos en un controlador de dominio) o la categoría Auditar el acceso a objetos
(para auditar objetos en un servidor miembro o una estación de trabajo). Después
de habilitar la categoría de acceso a objetos, puede especificar los tipos de acceso
que desea auditar para cada grupo o usuario.
Para habilitar la auditoría de objetos locales, debe iniciar una sesión como
miembro del grupo de cuentas predefinidas de administrador.
7. Administración y Seguridad en Windows Server 7
DEFINIR O MODIFICAR LAS CONFIGURACIÓN DE DIRECTIVA DE UNA
CATEGORIA DE EVENTOS.
Al definir la configuración de auditoría para categorías de eventos específicas,
puede crear una directiva de auditoría apropiada para las necesidades de
seguridad de su organización. En los servidores y estaciones de trabajo miembro
que se unen a un dominio, la configuración de auditoría para las categorías de
eventos no está definida de manera predeterminada. En los controladores de
dominio, la auditoría está activada de manera predeterminada.
Para definir o modificar la configuración de la directiva de auditoría para una
categoría de eventos en el equipo local
1. Abra el complemento Directiva de seguridad local y seleccione Directivas
locales.
2. En el árbol de consola, haga clic en Directiva de auditoría.
¿Dónde?
o Configuración de seguridad/Directivas locales/Directiva de auditoría
3. En el panel de resultados, haga doble clic en una categoría de eventos para
la que desee modificar la configuración de directiva de auditoría.
4. Lleve a cabo una de las acciones siguientes, o ambas, y haga clic
en Aceptar.
o Para auditar los intentos correctos, active la casilla Correcto.
o Para auditar los intentos incorrectos, active la casilla Incorrecto.
CONSIDERACIONES ADICIONALES
Para abrir Microsoft Management Console a través de la interfaz de
Windows, haga clic en Inicio, en el cuadro de texto Iniciar búsqueda,
escriba mmc y, después, presione ENTRAR.
Para auditar el acceso a objetos, habilite la auditoría de la categoría de
eventos de acceso a objetos siguiendo los pasos anteriores. A
continuación, habilite la auditoría del objeto específico.
8. Administración y Seguridad en Windows Server 8
Después de configurar la directiva de auditoría, los eventos se guardarán
en el registro de seguridad. Abra el registro de seguridad para ver esos
eventos.
La configuración predeterminada de la directiva de auditoría para
controladores de dominio es Sin auditoría. Eso significa que, incluso si
está habilitada la auditoría en el dominio, los controladores de dominio no
heredan la directiva de auditoría localmente. Si desea que la directiva de
auditoría se aplique a los controladores de dominio, debe modificar esta
configuración de directiva.
9. Administración y Seguridad en Windows Server 9
APLICAR O MODIFICAR LA CONFIGURACIÓN DE DIRECTIVA DE AUDITORÍA
DE UN ARCHIVO O UNA CARPETA LOCAL.
Para aplicar o modificar la configuración de directiva de auditoría de un
archivo o carpeta local.
1. Abra el Explorador de Windows.
2. Haga clic con el botón secundario en el archivo o carpeta que desee
auditar, haga clic en Propiedades y, a continuación, en la ficha Seguridad.
3. Haga clic en Editar y, a continuación, haga clic en Opciones avanzadas.
(Si no inició sesión como miembro del grupo Administradores en este equipo, debe
proporcionar las credenciales administrativas para continuar).
4. En el cuadro de diálogo Configuración de seguridad avanzada para
<objeto>, haga clic en la ficha Auditoría.
5. Realice uno de los siguientes pasos:
o Para configurar la auditoría para un usuario o grupo nuevo, haga clic
en Agregar. En Escriba el nombre del objeto a seleccionar,
escriba el nombre del usuario o grupo que desee y, a continuación,
haga clic en Aceptar.
o Para quitar la auditoría para un grupo o usuario existente, haga clic
en su nombre, en Quitar, en Aceptar y, a continuación, omita el
resto de este procedimiento.
o Para ver o cambiar la auditoría de un grupo o usuario existente, haga
clic en su nombre y, a continuación, haga clic en Editar.
6. En el cuadro Aplicar en, haga clic en la ubicación donde desee que se
realice la auditoría.
7. En el cuadro Acceso, indique las acciones que desea auditar; para ello,
active las casillas adecuadas:
o Para auditar los eventos correctos, active la casilla Correcto.
o Para dejar de auditar los eventos correctos, desactive la
casilla Correcto.
o Para auditar los eventos erróneos, active la casilla Incorrecto.
o Para dejar de auditar los eventos erróneos, desactive la
casilla Incorrecto.
10. Administración y Seguridad en Windows Server
10
o Para dejar de auditar todos los eventos, haga clic en Borrar todo.
8. Si desea evitar que los archivos y las subcarpetas siguientes del objeto
original hereden estas entradas de auditoría, active la casilla Aplicar estos
valores de auditoría sólo a los objetos y/o contenedores dentro de
este contenedor.
Importante: Antes de configurar la auditoría de archivos y carpetas, debe
habilitar la auditoría de acceso a objetos; para ello, defina la configuración
de directiva de auditoría para la categoría de eventos de acceso a objetos.
Si no habilita la auditoría de acceso a objetos, aparecerá un mensaje de
error al configurar la auditoría para archivos y carpetas, y no se auditará
ningún archivo ni carpeta.
Consideraciones adicionales
Debe haber iniciado sesión como miembro del grupo Administradores o
debe tener concedido el derecho para Administrar registro de auditoría y
seguridad en Directiva de grupo para realizar este procedimiento.
Para abrir el Explorador de Windows, haga clic en Inicio, seleccione Todos
los programas, haga clic en Accesorios y, a continuación, haga clic
en Explorador de Windows.
Después de habilitar la auditoría de acceso a objetos, consulte el registro
de seguridad en el visor de eventos para revisar el resultado de los
cambios.
Sólo puede configurar la auditoría de archivos y carpetas en unidades
NTFS.
Si observa una de las situaciones siguientes, se ha heredado la auditoría de
la carpeta principal:
o En el cuadro de diálogo Entrada de auditoría para <archivo o
carpeta>, en el cuadro Acceso, las casillas no están disponibles.
o En el cuadro de diálogo Configuración de seguridad avanzada
para <archivo o carpeta>, el botón Quitar no está disponible.
Debido a que el registro de seguridad tiene un límite de tamaño, seleccione
cuidadosamente los archivos y carpetas que se auditarán. Considere
también la cantidad de espacio en disco que desea dedicar al registro de
seguridad. El tamaño máximo del registro de seguridad se define en el visor
de eventos.
11. Administración y Seguridad en Windows Server
11
VER EL REGISTRO DE SEGURIDAD
El registro de seguridad registra cada evento como se define en las directivas de
auditoría establecidas en cada objeto.
Para ver el registro de seguridad
1. Abra el visor de eventos.
2. En el árbol de consola, abra Registros globales y, después, haga clic
en Seguridad. El panel de resultados enumera los eventos de seguridad
individuales.
3. Si desea ver más detalles acerca de un evento específico, haga doble clic
en el evento en el panel de resultados.
Consideraciones adicionales
Para abrir el visor de eventos, haga clic en Inicio, Panel de
control, Sistema y mantenimiento, haga doble clic en Herramientas
administrativas y, después, haga doble clic en Visor de eventos.
Si el equipo está conectado a una red, es probable que la configuración de
directivas de red le impida realizar el procedimiento.
12. Administración y Seguridad en Windows Server
12
RESULTADOS
Con esta investigación se pretendió entender más acerca Group Policy, una de las
herramientas que se pueden utilizar para poder tener una Administración más
eficaz en el ámbito de las configuraciones de seguridad en Windows Server.
Este tema es de gran importancia debido a que el Administrador de servidores de
Windows Server 2008 permite ver y administrar prácticamente toda la información
y herramientas que afectan a la productividad de un servidor.
El Administrador de servidores aumenta la eficacia de la administración del
servidor, puesto que con una única herramienta (Group Policy) permite a los
administradores:
Ver y modificar las funciones y características instaladas en el servidor.
Realizar tareas de administración asociadas al ciclo de vida operativo del
servidor.
Determinar el estado del servidor, identificar eventos críticos, y analizar
errores de configuración.
Instalar o quitar funciones, servicios de función y características.
El proceso para implementar una solución de directiva de grupo implica planear,
diseñar, implementar y administrar la solución.
Durante la fase de diseño:
Defina el ámbito de aplicación de la directiva de grupo.
Determine los valores de configuración de la directiva que son aplicables a
todos los usuarios corporativos.
Clasifique a los usuarios y equipos según sus funciones y ubicaciones.
Planee las configuraciones de escritorio en función de los requisitos de los
usuarios y equipos.
Un diseño bien planeado contribuirá a garantizar una correcta
implementación de la directiva de grupo.
La fase de implementación comienza con un ensayo en un entorno de prueba. El
proceso incluye:
Creación de configuraciones de escritorio estándar.
Filtrado del ámbito de aplicación de objetos GPO.
Especificación de excepciones a la herencia predeterminada de la directiva
de grupo.
13. Administración y Seguridad en Windows Server
13
Delegación de la administración de la directiva de grupo.
Evaluación de una configuración de directiva efectiva usando Modelado de
directivas de grupo.
Evaluación de los resultados mediante Resultados de directivas de grupo.
Se hizo uso de una técnica para la búsqueda de información, dicha técnica es
conocida como frase exacta, debido a que esta consiste en localizar las palabras
claves o keywords, pues localiza documentos que contengan la palabra al inicio.
14. Administración y Seguridad en Windows Server
14
DISCUSIÓN DE LOS RESULTDOS
Pruebe a conciencia la implementación Group Policy en un entorno de prueba
antes de implementarla en un entorno de producción. Considere una
implementación interactiva de la directiva de grupo: En lugar de implementar 100
valores de configuración de directiva de grupo nuevos, primero pruebe e
implemente solo algunos valores para validar que la infraestructura de la directiva
de grupo está funcionando correctamente.
Finalmente, prepárese para el mantenimiento de la directiva de grupo
estableciendo procedimientos de control para trabajar con objetos.
Antes de diseñar la implementación de la directiva de grupo, debe comprender el
entorno organizativo actual y realizar algunos pasos preparatorios en las
siguientes áreas:
Active Directory: asegúrese de que el diseño de unidades organizativas de
Active Directory para todos los dominios del bosque admite la aplicación de la
directiva de grupo. Para obtener más información, consulte acerca de Diseño de
una estructura de unidades organizativas.
Red: asegúrese de que la red cumple los requisitos de las tecnologías de
administración de cambios y configuración. Por ejemplo, puesto que la directiva de
grupo funciona solo con nombres de dominio completos, el Servicio de nombres
de directorio (DNS) debe estar ejecutándose en el bosque para poder procesar la
directiva de grupo correctamente.
Seguridad: obtenga una lista de los grupos de seguridad que están en uso
actualmente en el dominio. Trabaje junto con los administradores de seguridad,
puesto que delega la responsabilidad de la administración de la unidad
organizativa.
Requisitos de TI: obtenga una lista de los propietarios administrativos y de los
estándares administrativos corporativos de los dominios y unidades organizativas
del dominio. Esto permitirá desarrollar un buen plan de delegación y garantizará
que la directiva de grupo se herede correctamente.
15. Administración y Seguridad en Windows Server
15
BIBLIOGRAFIA:
http://technet.microsoft.com/library/cc771475.aspx
http://technet.microsoft.com/en-us/library/dn319078.aspx
http://technet.microsoft.com/es-es/library/cc730601.aspx
http://technet.microsoft.com/es-es/library/cc732450.aspx
http://technet.microsoft.com/es-es/library/cc771070.aspx
http://technet.microsoft.com/es-es/library/cc731826.aspx
http://technet.microsoft.com/es-es/library/dd349801(v=ws.10).aspx
http://technet.microsoft.com/es-es/library/cc728909.aspx
http://technet.microsoft.com/es-es/library/hh801901.aspx