Uso de Active Directory para configurar permisos de una organizacin

Introduccin
No es objetivo de este pequeo documento explicar que es el Active Directory pero a modo de
simple introduccin podemos definirlo como:
Active Directory es una base de datos distribuida de informacin sobre usuarios, equipos,
impresoras y casi absolutamente cualquier objeto relacionado a la sistema informtico de la
empresa. Utiliza distintos protocolos (principalmente protocolo LDAP, DNS, DHCP, kerberos...).
Active Directory proporciona la funcin de administrar las identidades en Windows Server 2003
junto a las muchas identidades que estn dispersas en otros sistemas y plataformas. Adems las
directivas de grupo en Windows Server 2003 permiten de forma sencilla definir polticas de acceso
y seguridad para equipos de escritorio y servidores que pueden ser aplicadas automticamente a
tantos equipos de escritorio y servidores como sea necesario va Active Directory. Los
administradores pueden definir e implementar estndares organizacionales mediante Directivas de
Grupo, y pueden rpidamente reconfigurar los parmetros para adaptarse a requerimientos
comerciales cambiantes.
Es importante destacar su estructura jerrquica que permite mantener una serie de objetos
relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y
asignacin de recursos y polticas de acceso. La estructura ms comn es la estructura de rbol,
de forma que los objetos de cada nivel pueden tener a su vez muchos objetos hijos, un subnivel, y
sucesivamente. El presente documento se centrara en como usar el active directory para controlar
permisos y privilegios de los equipos y usuarios.
[editar]
Polticas - Objetos de Poltica de Grupo
[editar]
Qu Son?
El medio que usa Windows para asignar a los usuario y equipos (objetos del Active Directory en
general) permisos, restricciones y dems son las polticas.
En cada sistema Windows, forme parte o no de un dominio, existe una poltica local que el
administrador puede editar segn su criterio para ajustar el comportamiento de dicho equipo.
Lgicamente, cuando hay muchos equipos que administrar, resultara incmodo tener que
establecer este comportamiento uno por uno. Por este motivo, las polticas de grupo se han
integrado dentro de la administracin del Directorio Activo como una herramienta de configuracin
centralizada en dominios Windows.
En concreto, las polticas se especifican mediante objetos de directorio denominados Objetos de
Poltica de Grupo (Group Policy Objects), o simplemente GPOs. Un GPO es un objeto que incluye
como atributos cada una de las polticas (tambin denominadas directivas) que puede establecerse
en Windows para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos
contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los
usuarios y equipos que se ubican dentro de estos contenedores reciben los parmetros de
configuracin establecidos en dichos GPOs. De esta forma, y utilizando slo el Directorio Activo,
cada equipo y cada usuario del dominio puede recibir una configuracin apropiada segn el tipo de
tarea que debe desempear.
[editar]
Organizacin de PoIticas
Dentro de cada GPO, las polticas se organizan jerrquicamente en un rbol temtico que permite
una distribucin lgica de las mismas. En este rbol de polticas existen dos nodos principales,
justo por debajo del nodo raz, que separan las configuraciones para equipos y para usuarios:
La configuracin deI equipo agrupa todos aquellos parmetros de configuracin que
pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas
polticas de equipo del GPO que el administrador haya configurado se aplicarn al equipo cada
vez que se inicie.
La configuracin de usuario agrupan los parmetros de configuracin que pueden
establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas polticas
de usuario del GPO que el administrador haya configurado se aplicarn cuando dicho usuario
inicie una sesin local (en cualquier equipo del dominio).
En cada GPO, el administrador puede deshabilitar selectivamente las polticas de equipo y/o de
usuario, lo cual evita que se procesen y puedan aplicarse. Esto resulta til en aquellos casos en los
que en un GPO slo se configuran polticas de uno de ambos tipos.
El presenta documento se centra en las GPO's de configuracin de equipo
[editar]
Dnde Se ApIican?
Las GPOs pueden estar contenidas en cuatro tipos de objetos:
1. Equipos LocaIes: son aplicadas nicamente en el equipo que las tiene asignadas
independientemente del dominio al que pertenezcan. Son modificadas con gpedit.msc.
Estas son las nicas polticas que se aplican a los equipos que no estn en un dominio,
como servidores independientes(stand alone) o clientes en red igual a igual (peer to peer).
2. Sitios de Active Directory: se aplican para todos los equipos y/o usuarios de un sitio,
independientemente del dominio del mismo bosque al que pertenezcan.
3. Dominios de Active Directory: se aplican a todos los equipos y/o usuarios de un dominio.
4. Unidades Organizativas de Active Directory: se aplican nicamente a los equipos y/o
usuarios que pertenezcan a la propia unidad organizativa (OU).
El primer caso solo se nombra a titulo informativo puesto que esta fuera de lo que seria el active
directory.
De los otros tres casos lo lgico y recomendable es aplicar las GPOs a nivel de Unidades
Organizativas (OU). Las OU proporcionan una manera flexible de agrupar recursos relacionados y
delegar el acceso de administracin al personal apropiado sin proporcionarles la capacidad de
administrar todo el dominio. Adems, una jerarqua de OU bien diseada ayudar al desarrollo, la
implementacin y la administracin de medidas de seguridad eficaces.
[editar]
Orden de ApIicacin
Una GPO, como ya hemos visto anteriormente, puede ser contenida por equipos locales, sitios,
dominios y OUs. Como un usuario, por ejemplo, estar en un equipo local que a su vez se ubicar
en un sitio, pertenecer a un dominio y ser miembro de una OU se ve claramente que se puede
dar el caso de que en el equipo local se aplique una GPO, en el sitio otra, otra para el dominio y
otra para la OU (e incluso para la OU hija, de tercer nivel, etc.). Se podra dar el caso, por tanto, de
que las GPOs contuvieran polticas que se contradijeran entre s. Cuando se dan casos de estos,
el sistema de GPOs est implementado para asegurar que siempre se aplicarn las polticas, y
para ello establece una forma de prioridad entre stas por la cual, segn dnde estn asignadas,
unas prevalecen sobre otras atendiendo a una serie de reglas.
Resumen Prioridad de GPOs
Las GPOs de una OU prevalecen sobre las del dominio, que a su vez prevalecen sobre las de
sitio, las cuales a su vez prevalecen sobre las del equipo local. Por prevalecer no se entiende que
unas anulen a otras; las polticas se suman, slo se anulan en caso de ser contradictorias entre
ellas. Por ejemplo, si a nivel de dominio habilitamos la poltica de deshabilitacin del panel de
control y en la OU deshabilitamos esta poltica, y suponemos que ninguna otra de las polticas a
nivel de dominio entra en contradiccin con ninguna otra de las de la OU, el resultado que se
aplicar a un objeto contenido dentro de la OU ser la suma de ambas GPOs, salvo que la poltica
que se aplica respecto a la deshabilitacin del panel de control ser la de la OU, no la del dominio,
y por tanto el panel de control ser visible.
Tambin se puede dar el caso de que en un mismo contenedor, por ejemplo una OU, se aplique
ms de una GPO. Esta posibilidad abre otra; la de que puedan contradecirse entre s las GPOs
que son aplicadas a se contenedor. Cmo se resuelve esta problemtica? Muy simple:
prevalecer la de la GPO que est ms alta en la lista de las aplicadas al contenedor.
[editar]
Herencia de GPO's
Las GPOs, en el dominio son heredadas; las aplicadas a un contenedor padre, son aplicadas a su
vez a sus hijos, es decir:
1. Las OUs de primer nivel heredan del Dominio
2. Las OUs hijas heredan de las de primer nivel
3. Las OUs de nivel 3 heredan de las hijas
4. Y sucesivamente
Aunque tambin se puede especificar que una GPO esta bloqueada y de esta forma se evitara
que fuere heredada por los contenedores hijos.
[editar]
Directrices de Configuracin del Equipo
En este apartado haremos un repaso por las directrivas aplicables al apartado de configuracin del
equipo para gestionar permisos de equipos del dominio.
Comentar que dichas directrices las podemos encontrar en Herramientas Administrativas >
Usuarios y equipos de Active Directory y dentro de este panel en propiedades de la Unidad
Organizativa a elegida.
En la nueva pantalla, tendremos acceso a una nueva solapa, denominada "Directiva de grupo" y es
ah donde encontramos las directivas aplicadas a la UO. Al aadir, o modificar una directiva
accederemos a la ventana del "Editor de objetos de directiva de grupo". Dentro de Configuracin
del equipo > Configuracin de Windows encontramos las siguientes directivas que pasamos a
detallar por secciones.
[editar]
Archivos de comandos
Inicio: contiene secuencias de comandos de inicio de equipo.
Apagar: contiene secuencias de comandos de apagado de equipo.
[editar]
Configuracin de seguridad
[editar]
Directivas de cuenta > Directivas de contraseas
Almacenar contraseas usando cifrado reversible
Forzar el historial de contraseas
Las contraseas deben cumplir los requerimientos de seguridad
Longitud mnima de contrasea.
Vigencia mxima de la contrasea.
Vigencia mnima de la contrasea.
[editar]
Directivas de cuenta > Directivas de bIoqueo de cuentas
Duracin del bloqueo de cuenta.
Restablecer la cuenta de bloqueos despus de...
Umbral de bloqueos de la cuenta.
[editar]
Directivas IocaIes > Directivas de auditora
Auditar el acceso a objetos.
Auditar el acceso del servicio de directorio.
Auditar el cambio de directivas.
Auditar el seguimiento de procesos.
Auditar el uso de privilegios.
Auditar la administracin de cuentas.
Auditar sucesos de inicio de sesin.
Auditar sucesos de inicio de sesin de cuenta.
Auditar sucesos del sistem
[editar]
Directivas IocaIes > Asignacin de derechos de usuario
Actuar como parte del sistema operativo.
Administra los registros de auditora y seguridad.
Agregar estaciones de trabajo al dominio.
Ajustar cuotas de memoria para un proceso
Apagar el sistema.
Bloquear pginas en memoria.
Cambiar la hora del sistema.
Cargar y descargar controladores de dispositivo.
Crear objetos compartidos permanentes.
Crear objetos globales.
Crear un archivo de paginacin.
Crear un objeto testigo.
Denegar el acceso desde la red a este equipo.
Denegar el inicio de sesin como servicio.
Denegar el inicio de sesin como trabajo por lotes.
Denegar el inicio de sesin localmente.
Denegar inicio de sesin a travs de servicios de Terminal Server.
Depurar programas.
Forzar el apagado desde un sistema remoto.
Generar auditoras de seguridad.
Habilitar cuentas de equipo y de usuario en las que se confa para delegacin.
Hacer copias de seguridad de archivos y directorios.
Incrementar prioridades de planificacin de procesos.
Iniciar sesin como proceso por lotes.
Iniciar sesin como usuario.
Modificar valores de entorno de la memoria no voltil (firmware).
Omitir la comprovacin de recorrido.
Perfilar el rendimiento del sistema.
Perfilar un proceso individual.
Permitir el inicio de sesin local.
Permitir inicio de sesin a travs de servicios de Terminal Server.
Quitar el equipo de la estacin de acoplamiento.
Realizar la tareas de mantenimiento del volumen.
Reemplazar un testigo a nivel de proceso.
Representar al cliente despus de la autenticacin.
Restaurar archivos y directorios.
Sincronizar los datos de Directory Service.
Tener acceso a este equipo desde la red.
Tomar posesin de archivos y otros objetos.
[editar]
Directivas IocaIes > Opciones de seguridad
Acceso a redes: no permitir el almacenamiento de credenciales o .NET Passports para la
atenticacin del dominio.
Acceso a redes: no permitir enumeraciones anmalas de cuentas SAM.
Acceso a redes: no permitir enumeraciones anmalas de cuentas y recursos compartidos
SAM.
Acceso de red: canalizaciones con nombre accesible annimamente.
Acceso de red: deja que los permisos de Todos se apliquen a los usuarios annimos.
Acceso de red: modelo de seguridad y recuros compartidos para cuentas locales.
Acceso de red: permitir traduccin SID/nombre annima.
Acceso de red: recursos compartidos accesibles annimamente.
Acceso de red: restringir acceso annimo a canalizaciones con nombre y recursos
compartidos.
Acceso de red: rutas de registro accesibles remotamente.
Acceso de red: rutas y subrutas de registro accesibles remotamente.
Apagado: borrar el archivo de pginas de la memoria virtual.
Apagado: permitir apagar el sistema sin tener que iniciar sesin.
Auditora: apagar el sistema de inmediato si no puede registrar auditoras de seguridad.
Auditora: auditar el acceso de objetos globales del sistema
Auditora: auditar el uso del privilegio de copia de seguridad y restauracin.
Cliente de redes de Microsoft: enviar contrasea no cifrada para conectar SMB de otros
fabricantes:
Cliente de redes de Microsoft: firmar digitlmente las comunicaciones (si el servidor lo
permite)
Cliente de redes de Microsoft: firmar digitlmente las comunicaciones (siempre)
Configuracin del sistema: subsistemas obcionales.
Configuracin del sistema: usar reglas de certificado en archivos ejecutables de Windows
para directivas de restriccin de software.
Consola de recuperacin: permitir el inicio de sersin administrativo automtico.
Consola de recuperacin: permitir la copia de disquetes y el acceso a todas las unidades y
carpetas.
Controlador de dominio: no permitir los cambios de contrasea de cuenta de equipo.
Controlador de dominio: permitir a los operadores de servidor programar tareas.
Controlador de dominio: requisitos de firma de servidor LDAP.
Criptografa de sistema: estable una proteccin fuerte de clave para aquellas claves del
usuario en el equipo.
Criptografa de sistema: usar algoritmos que cumplan la norma FIPS para cifrado, firma y
operaciones hash.
Cuentas: cambiar el nombre de cuenta de invitado.
Cuentas: cambiar el nombre de la cuenta del administrador.
Cuentas: estado de la cuenta de administrador.
Cuentas: estado de la cuenta de invitado.
Cuentas: limitar el uso de cuentas locales con contrasea en blanco slo para iniciar la
consola.
DCOM: restricciones de acceso al equipo en sintaxis de Lenguaje de definicin de
descriptores de seguridad (SDDL).
DCOM: restricciones de inicio de equipo en sintaxis de Lenguaje de definicin de
descriptores de seguridad (SDDL).
Dispositivos: comportamiento de instalacin de controlador no firmado.
Dispositivos: impedir que los usuarios instalen controladores de impresora.
Dispositivos: permitir el desbloqueo sin tener que iniciar sesin.
Dispositivos: permitir formatear y expulsar medios extrables.
Dispositivos: restringir el acceso a la unidad de disquete slo al usuario con sesin iniciada
localmente.
Dispositivos: restringir el acceso al CD-ROM slo al usuario con sesin iniciada localmente.
Inicio de sesin interactivo: comportamiento de extraccin de tarjeta inteligente.
Inicio de sesin interactivo: mostrar informacin de usuario cuando se bloquee la sesin.
Inicio de sesin interactivo: necesita una tarjeta inteligente.
Inicio de sesin interactivo: no mostrar el ltimo nombre de usuario
Inicio de sesin interactivo: no requerir Ctlr+Alt+Sup.
Inicio de sesin interactivo: nm. de inicios de sesin previos en la cach.
Inicio de sesin interactivo: perdir al usuario cambiar la contrasea antes de que caduque.
Inicio de sesin interactivo: requerir la autenticacin del controlador de dominio para
desbloquear el equipo.
Inicio de sesin interactivo: texto del mensaje para los usuarios que intentan iniciar sesin.
Inicio de sesin interactivo: ttulo del mensaje para los usuarios que intentan iniciar sesin.
Miembro de dominio: duracin mxima de contrasea de cuenta de equipo.
Miembro de dominio: firmar digitalmente datos de un canal seguro.
Miembro de dominio: descifrar digitalmente datos de un canal seguro.
Miembro de dominio: descifrar o firmar digitalmente datos de un canal seguro.
Miembro de dominio: deshabilidar los cambiar de contrasea de cuentas de equipo.
Miembro de dominio: requerir clave de sesin protegida.
Objetos de sistema: propietario predeterminado para objetos creados por miembros del
grupo de administradores.
Objetos de sistema: reforzar los permisos predeterminados de los objetos internos del
sistema.
Objetos de sistema: requerir diferenciacin de maysculas y minsculas para subsistemas
no basados en Windows.
Seguridad de red: forzar el cierre de sesin cuando expire la hora de inicio de sesin.
Seguridad de red: no almacenar valor de hash de LAN Manager en el prximo cambio de
contrasea.
Seguridad de red: requisitos de firma de cliente LDAP.
Seguridad de red: seguridad mnima de sesin para clientes basados en NTLM SSP.
Seguridad de red: seguridad mnima de sesin para servidores basados en NTLM SSP.
Seguridad de redes: nivel de autenticacin de LAN Manager.
Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesin.
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite)
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre).
Servidor de red Microsoft: tiempo de inactivida requerido antes de suspender la sesin.
[editar]
Registro de sucesos
Conservar el registro de aplicaciones.
Conservar el registro de seguridad.
Conservar el registro de sistema.
Evitar que el grupo de invitador locales tenga acceso a el registro de aplicaciones.
Evitar que el grupo de invitador locales tenga acceso a el registro de seguridad.
Evitar que el grupo de invitador locales tenga acceso a el registro del sistema.
Mtodo de retencin del registro de la aplicacin.
Mtodo de retencin del registro de seguridad.
Mtodo de retencin del registro del sistema.
Tamao mximo del registro de la aplicacin.
Tamao mximo del registro de seguridad.
Tamao mximo del registro del sistema.
[editar]
Otras directivas
Grupos restringidos.
Servicios del sistema.
Registro.
Sistema de archivos.
Directivas de red inalmbrica.
Directivas de claves pblicas.
Directivas de restriccin de software.
Directivas de seguridad IP de Active Directory.
[editar]
Plantillas Administrativas
En las plantillas administrativas de Directiva de grupo se incluyen valores basados en el Registro
que determinan el comportamiento y el aspecto de los equipos del entorno. Estos valores tambin
influyen en el comportamiento de los componentes y aplicaciones del sistema operativo. Existen
cientos de estos valores disponibles para su configuracin y se pueden agregar muchos ms
mediante la importacin de archivos .adm adicionales.
Mediante estas plantillas podremos gestionar en los equipos de la unidad organizativa los siguiente
servicios:
Configuracin de equipo de Internet Explorer.
Configurar las directivas de Terminal Server.
Servicios de Internet Information Server.
Windows Update.
Configuracin de inicio de sesin del sistema.
Asistente de mantenimiento personalizado de Microsoft Office XP.
Configuracin de seguridad de Microsoft Office XP
Procesamiento de directivas de grupo.
Informe de errores.
Configuracin de usuario de Internet Explorer.
Configuracin de protector de pantalla.
Adems esto nos permitir establecer la misma configuracin para un unidad organizativa de forma
centralizada.