Este documento proporciona instrucciones detalladas sobre cómo instalar y configurar la consola de administración de directivas de grupo (GPMC) en un controlador de dominio para administrar políticas de seguridad de dominio. También describe cómo crear una política para publicar y ejecutar un archivo .bat en las máquinas del dominio a través de la carpeta Netlogon. Además, discute conceptos clave como normas de seguridad ISO, seguridad física en centros de datos y planes de contingencia.

1. 22/04/2015
Para poder utilizar las políticas de seguridad es necesario de una
G P M C {Group Policy Management Consolé), la cual se debe de
instalar. Los pasos son los siguientes:
1. Conéctese al equipo dei
dominio (AD), botón Inicio y
abra el Panel de Control,
trxgrese en la opcióft Activar o
Desactivar las características
de Windows.
2. Para continuar, oprima el
botón derecho del mouse sobre
la opción llamada
Características del árbol y elija
Agregar características.
3; Marque la opción
Administración de
directivas de grupo para
agregar la nueva función que
le permitirá administrar las
políticas del dominio
4. Oprima el bo6n Instalar
para comenzar la instalación
y espere unos minutos.
5. Luego, compaiebe que la
instalación se realizó
correctamente expandiendo
árbo/ debajo de
Características/Administrac
ion de directivas de grupo.
1

2. 22/04/2015
La consola GPMC se conectará a un controlador de dominio para
mostrar la configuración del dominio A D , Podemos ver un árbol,
parecidas a las Usuarios y equipos, pero con algunas
diferencias que solo se ven las O U y las políticas aplicadas.
Las políticas se aplicarán a todos los objetos que estén en la
Unidad Organizativa configurada.
Una vez creada una política, se puede conectar o desconectar
de distintas O ü que necesitemos.
Las políticas aplicadas a una máquina pueden
chequearse desde la línea de c o m a n d o s de la siguiente
manera:
C : > G P R E S U L T IR: Este comando muestra un listado
con las configuraciones de políticas de cada máquina
y las configuraciones de políticas de usuario que tenga
la PC o el servidor en donde se ejecute,
C : > G P U P D A T E : Este comando te permite forzar la
actualización de las políticas.
Ejemplo de políticas corporativas
Existen políticas para configurar cualquier aspecto del uso de una máquina o
servidor, las más utilizadas son:
• Normas de longitud y detalles en la creación de contraseñas.
• Destiabilítar o habilitar servicios que funcionan en el sistema operativo.
• Iniciar una aplicación automáticamente, ya que el usuario acceda al
sistema,
• Instalar un parche de Windows o algún softwiare.
Para publicar un paquete de software para
las máquinas de ta red y a configurarlo, se
debe de hacer desde Netlogon, ya que es
ahí donde podemos publicar scnpts y
paquetes de Instalación para que sean
accedidos por cualquier usuario de la red. Lo
hacen con permisos de sólo lectura; los de
modificación los tendrán los administradores.
U Q Q P B
m a 13 O ^
Para acceder al Netlogon y copiar un archivo, sólo será
necesario que escribamos el comando Wnombredominio.com
netlqon en el menú Inicio del sistema operativo, desde la opción
Ejecutar. Se abrirá la carpeta correspondiente al controlador de
dominio adecuado. Después de esto, debemos proceder a crear
una carpeta para la aplicación y posteriormente, copiar el
ejecutable.
¡
2

3. 22/04/2015
Crear una política y conectarla a una OiJ
1. Vaya al menú Inicio/Ejecutar y escriba ei comando notepad.exe, para abrir el
editor de texto.
2. Para continuar, será necesario que escriba el siguiente texto en el editor de
notas del sistema operativo: @ectio off. Debe tener en cuenta la necesidad de
dejar un renglón. Luego escriba {para el ejemplo que mencionamos más arriba):
nombredominio.comnettcgoncarpetaaplicacionaplicacion.exe. Por último,
guarde el arctiivo utilizando el menú adecuado.
3. Renombre ei arcfiivo para cambiar su extensión .TXT por .BAT o guárdelo
desde el editor de notas con esa extensión. A continuación, muévalo para
ubicarlo en la carpeta de la aplicación en et Netlogon.
4. Vaya a tnicio/Ejecutar, bscriba gpmc.msc para abrir la consola de
comandoa.
5. Posiciónese en Objetos de '^^¿¡¿^¡¿¿^¿¿^P^ V ^ ' ' i ^ opción Nuevo
6. Escriba un nombre para la política y opnma el botón Aceptar. Deje la lista
desplegable de abajo como esta por defecto.
7. Vaya a la política recién creada y posteriomiente haga clic con el botón
derecho del mouse en ella. Elija Editar para poder configurarla.
8, A continuación, expanda el ártol de Configuración del equipo y luego
diríjase a la sección denominada Configuración de Windows, Expanda
nuevamente et árbol y elija la opción llamada Scripts. En el lado derecho de ta
pantalla haga clic derecho sobre Inicio y escoja la opción Propiedades.
9, Para continuar, oprima el botón denominado Agregar y posteriormente
escribir la ruta del script; en este caso deberá copiar la que se muestra a
continuación: dominio.comnetlogonaplicacionaplicacion.bat.
10. En este paso deberá oprimir el botón Aceptar, luego de to cual tendrá que
cerrar la pantalla de edición. En !a consola posiciónese donde quiera conectar la
política. Para todas las computadoras de escritorio, ubiqúese en la OU
denominada Computadoras. Para continuar, haga clic con el botón derecho del
mouse y elija ia opción Vincular un GPO existente.
11. Elija la nueva política antes creada dei listado que figura en pantalla y
finalmente haga clic sobre ei botón llamado Aceptar.
3

4. 1
22/04/2015
Política avanzadas para Windows 7 y Windows
Server 2008.
" Cambios de Windows Server "2003 aí 2C08
Windows S«fV6f 2Ü03 i wmdowa Server 2QífS
tOi^'miA'- na S-^Hí lítUkOíií: ^uJMíw j Power Sbeíf Í,O^ io'Qfi
V no píKJia erfipieotse ¥mm
kú se peíia ffftlnngtr íos'^señfts fie
!a> í t «J4sefia$ para ffesáfní-os tipos ííe
^iomplo: ic íc/iía ijtío siííMWe-ecr !s; Efempla: podemos íjístear qtíc /a$
imgiUid. la ífWizacfon íít» carjcíwfts i cíwifrastsñas de ijsuano nivol
tipeelaias, u debe tañar mafussulAi o í«ai> rrtAi seguran ¡pie la»
mífíUKítias. m. m ususno ccrmn.
Eldtsmo es Í3 esuuciara que a&ttnmüs psra que una cfavs exfsm
Ah<!i3 m putífíen resífHtqif Jas
com&iBUdiS para io& «Ss^rslos tipos de
u f fií •< f- i tfrr^ef <é fíníOü t pt
Acceso a los centro de cómputos.
• Seguridad física en los centros de cómputo.
El centro de cómputo es el lugar en donde se encuentran los
equipos de cómputos, servidores, racks, armarios y muchos otros
elementos que se deben de proteger, por lo que la seguridad
física es de suma importancia. Por lo que debe contar con
herramientas para mantener al centro cómputo seguro:
Indicadores de temperatura, siempre
deben de estar a la mano ya que los
equipos generan calor, todo debe de
estar ventilador, refrigerado y ordenado,
esto para evitar un incendio.
Algunas medidas de seguridad:
• Controlar el indicador de temperatura
• Los racks deben estar bien ventilados, refrigerados y ordenados para que todo
funcione correctamente,
• Resguardar y proteger los elementos contra intrusos, desastres naturales,
incendios, sabotajes, y otros factores,
• Restringir el acceso,
• Contar con un sistema de cámaras como respaldo de !a seguridad, que son fáciles
de instalar y muy utilizadas actualmente.
• El piso, et techo y las paredes deben estar creados con materiales ignífugos y no
tiene que haber ningún elemento inflamable dentro del centro,
• Contar con algún equipo controlador de incendios en estado latente
Plan de contingencias
El plan de contingencias nos dice qué hacer en caso de que ocurra una situación no
deseada. Tiene que contener todas las tareas que debemos realizar para que el
centro de computos vuelva a su estado original y operativo.
El plan contempla posibles incendios, catástrofes, cortes de luz, sabotajes, etc. La
capacidad para recuperarse exitosamente de un desastre en un corto periodo es
crucial para el negocio.
El plan de contingencias, generalmente, se extiende del plan general de la empresa.
Indica las salidas de emergencia, la ubicación de los manuales de emergencia, los
procedimientos por seguir, los responsables y los teléfonos a donde llamar.
4

5. 22/04/2015
Normas de seguridad
Las normas nos permiten certificarnos en calidad (ISO9001), en
seguridad (ISO27001) y en buenas prácticas (ISO20000), ITIL no es
una certificación pero las empresas están aplicando los procedimientos
descriptos como tal. Estas prácticas provienen del Reino Unido,
Normas ISO 9001 y 27001
Las normas ISO 9001 y 27001 son estándares elaborados por la
Organización Internacional para ia Estandarización, una federación
internacional de los institutos de normalización de 175 paises;
organización no gubernamental con sede en Ginebra (Suiza). El
organismo no obliga a aplicas lo estándares; esto es voluntario y sólo es
obligatorio si en el país rige una legislación sobre su aplicación.
^^^^
La norma ISO9001 especifica los requerimientos para un buen
sistema de gestión de la calidad. En la actualidad se encuentra
la cuarta versión. 1309001:2008.
Todas estas normas, pueden servir a la empresa para trabajar
mejor. La norma ISO9001 nos da una gran ayuda para
'mantener una guia de calidad en nuestro trabajo. La norma
1309001:2008 se compone de ocho capitulas.
IS0 9Ci.ll
BSWO KCÍMIí
Aplicar la norma en la empresa es una
carta de presentación. Nos otorga una
mejora en ia documentación, nos
asegura que la información se actualice y
sea efectiva, reduce los costos y
disminuye la cantidad de proceso.
La norma ISO 27001 gestiona la seguridad. Se basa en un Sistema
de gestión de la Seguridad de Información (SGSI). Este sistema, nos
permitirá hacer un análisis de los requerimientos de ta seguridad de
nuestro entorno. La norma contempla procedimientos de
mantenimiento y puesto a punto, y aplicar controles para medir la
eficacia de nuestro trabajo.
El objetivo ai aplicar esta norma es asegurar la confidencialidad,
integridad y disponibilidad de la información para nuestros
empleados, clientes y cada persona que intervenga en et negocio.
Ayuda con leyes de protección de datos personales, de inspección y
de control, y también en juicios, en los que casi se solicitan datos
históricos.
. Confidencialidad (Privacidad de ia información). Asegura que
l la información solamente será revelada a personas autorizadas.
. Integridad. Estipula que el contenido de la información deber
permanecer inalterado a menos que sea modificado por persona
autorizadas.
• Disponibilidad. Asegura que la información se encontrará
' disponible cada vez que el usuario autorizado haga uso de ella.
5

6. 22/04/2015
ITIL y la norma ISO20000
ITIL Information technology Infrastructure Library • Biblioteca
de Infraestructura de Tecnologías de la Información, es un
marco de referencia de mejores prácticas para gestionar
operaciones y servicios de IT Fue definido en los años 80 por el
Reino Unido. ITIL no es un estándar, podemos obtener la
certificación de las normas ISO20000 o BS15000 que se basa en
ITIL. Cualquier empresa puede implementar ITIL, pero es
recomendable para aquellas que tengan más de cinco personas
en el departamento de helpdesk.
Ciclo de vida de ITIL
.a ISO20000 fue publicada en diciembre del año 2005. Permite
concentrarnos en una gestión de problemas de tecnología de la
información mediante el uso de un planteamiento de servicio de
asistencia. También controla la capacidad del sistema, los niveles
de gestión necesarios cuando éste cambia, la asignación de
presupuestos, y el control y la distribución del software.
1 3 0 2 0 0 0 0
sPrteH^ par». S» ar-iam
[<rrji^a san k4 r«IC«I« 0Mt» :
Corporativos
Los antivirus corporativos son una evolución de los comunes,
usados fuera de una red empresarial. Tienen una configuración
centralizada y varios módulos que detallaremos a continuación.
Características de tos antivirus corporativos.
Los antivirus de servidores son sumamente potentes, tienen más
opciones, más configuraciones, y abarcan la seguridad de la
empresa como un todo. Además centraliza la información de toda la
red y las descargas de actualizaciones muy importantes para
unificar la seguridad, incorporando antivirus, firewail, antispyware,
antispam, analizadores de tráfico de red, etc. Las empresas
dedicadas al desarrollo de los antivirus en este rubro, y que
abarcan gran parte del mercado, son Symatec y McAfee.
/^tívírus Carporatíva MeAfeéS Í C U S t I Y
Symantec.
Firewails corporativos
Los firewails son las puertas de entrada a nuestra empresa, por lo que debemos
controlar el acceso de la manera adecuada
Firewails físicos y lógicos
• Diseñados para bloquear el acceso no autorizado por ciertos canales de
comunicación en nuestra red.
• Limitan el tráfico y también cifrado, para ocultar datos hasta el destino.
• Se les puede utilizar como gateways {puertas de enlace) entre distintas redes
Sin la seguridad del firewail, ei tráfico seria un caos, y cualquier paquete de
información podría llegar a cualquier puerto de nuestro servidor y, así, entrar sin
permiso a-la red,
6

7. 22/04/2015
Firewails físicos: Pueden bloquear conexiones por puertos o direcciones de tP o
MAC, pero no, una máquina que cambia de dirección IP constantemente.
Entonces, si dentro de un protocolo HTTP queremos bloquear todas las
conexiones a los sitios que contengan la palabra virus, los fireví/alls físicos podrán
bloquear sólo direcciones de IP, por lo que tendremos que cargar continuamente
direcciones por ser bloqueadas según una búsqueda previa.
Firewails lógicos: Trabajan a nivel de aplicación, dentro de cada protocolo. Para
bloquear sitios, precisamos configurar una regla que nos diga que se cierren
todas las conexiones en donde el nombre del sitio por conectar contenga la
palabra virus. ^
W %mn í X t IS MtAfee i.i:í*te^
Firewail
Ejemplo de Firewail
Lógico es el ISA Server
de Microsoft, llamado
ForefrontTMG
Definición de regias de seguridad
Hay dos políticas básicas y formas de realizar las configuraciones que tienen
que ver con la filosofía de la seguridad dentro de la empresa:
Política restrictiva: Debemos denegar todo el tráfico excepto el que esté
explícitamente permitido. Entonces, cerramos todos los puertos de
comunicación, y habilitamos los protocolos y los puertos que utilicemos.
Política permisiva: Es un poco más blanda, ya que con ella permitimos todo el
tráfico excepto el que esté explícitamente denegado; es decir que dejamos todos
los puertos abiertos y bloqueamos sólo aquellos que nos parezcan una
amenaza.
7