Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Nosotros explicaremos como configurar los permisos para una organización que tiene un
numero elevado de ordenadores que administrar. El problema de esto es que algunos
cambios suponen ir equipo por equipo haciendo la misma modificación, lo cual es un
trabajo pesado y largo. Por eso hemos decidido utilizar Active Directory y sus directivas o
políticas de grupo, ya que nos van a sacar de forma trivial y sencilla del problema, pues
solamente debemos indicar al servidor que configure los equipos cliente de tal forma.
Dichas directivas nos permitirán realizar múltiples configuraciones que podemos aplicar a
los usuarios o equipos del dominio, con sólo indicárselo al servidor en el apartado
correspondiente, puedes limitar la cuota de disco del perfil de los usuarios, configuración
de la contraseña, especificar la página de inicio del navegador, especificar el fondo de
escritorio, …
[editar]
Contextos de nomenclatura
[editar]
[editar]
Sólo hay un contexto de nomenclatura de configuración por bosque y almacena los datos de
configuración del bosque necesarios para el correcto funcionamiento de Active Directory
como servicio de directorio. Por ejemplo, toda la información necesaria para garantizar el
correcto funcionamiento de la replicación está almacenada en la partición de configuración,
que también aloja información relacionada con la topología del sitio. La información que
Active Directory utiliza para construir la jerarquía de árboles de directorio también se
almacena en la partición de directorio de configuración, al igual que la información
específica de los servicios de toda la red que las aplicaciones utilizan para conectarse a
instancias de los servicios del bosque. Cada controlador de dominio tiene una copia de la
partición de directorio de configuración en la que se puede escribir.
[editar]
[editar]
Vamos a citar y definir los siguientes términos, con los que trabajaremos habitualmente a lo
largo de este apartado:
[editar]
Unidades Organizativas
Es un objeto contenedor de Active Directory que se utiliza en los dominios. Las Unidades
Organizativas son contenedores lógicos en los que pueden colocarse usuarios, grupos,
equipos y otras Unidades Organizativas. Sólo pueden contener objetos de su dominio
principal. Una U.O. es el ámbito más pequeño al que se puede aplicar una Directiva de
Grupo.
[editar]
La recomendación para aplicar permisos delegados es aplicar los permisos en una unidad
organizativa (UO) principal. Este método aísla la aplicación de los permisos a determinados
objetos de clase contenidos dentro de la unidad organizativa y de sus contenedores
secundarios. De esta manera tendremos un mecanismo sencillo para agrupar usuarios,
equipos y otras entidades de seguridad principales, además de proporcionar un medio eficaz
de segmentar los límites administrativos.
Los requisitos empresariales pueden impedir que la organización aplique esta metodología;
por tanto, quizás haya que aplicar los permisos en varias unidades organizativas.
[editar]
Diseño de las unidades organizativas
• Lo primero que vamos a hacer para crear las Unidades Organizativas deseadas en
nuestro centro es acceder a las "Herramientas administrativas" del "Panel de
Control" y hacer doble clic sobre "Usuarios y Equipos de Active Directory".
[editar]
Directivas de Grupo
Utilice objetos GPO para asegurarse de que se aplican a todas las estaciones de trabajo o
usuarios de una unidad organizativa las configuraciones de directiva, los derechos de
usuario y los comportamiento específicos. El uso de Directiva de grupo en vez de la
configuración manual simplifica la actualización de varias estaciones de trabajo o usuarios
en el futuro cuando se producen cambios adicionales.
[editar]
El Editor
Lo primero que vamos a hacer para definir las Directivas de Grupo deseadas en nuestro
centro es acceder a las "Herramientas administrativas" del "Panel de Control" y hacer doble
clic sobre "Usuarios y Equipos de Active Directory", y pulsando con el botón derecho del
ratón sobre el dominio raiz, seleccionar la opción "Propiedades"; en la ventana que se
muestra a continuación nos situamos sobre la pestaña "Directiva de Grupo".
Observaremos que ya hay definida una política de dominio por defecto; podríamos crear
una nueva que también sería aplicada a todos los usuarios y equipos del dominio, pero
aprovecharemos la ya existente, seleccionándola y pulsando a continuación sobre el botón
"Modificar" para personalizar lo que deseemos.
Tanto para los equipos como para los usuarios, la primera directiva susceptible de ser
configurada está relacionada con la "Configuración de software"; por la importancia que
tiene esta política le dedicaremos íntegramente el siguiente capítulo del curso. De hecho en
el apartado "Configuración de equipo", utilizaremos esta entrada para especificar todo el
software que se instalará en todos los equipos de la organización.
[editar]
Configuración de usuario
[editar]
Si disponemos de un proxy en nuestra red por el cual deseamos que salgan a Internet todos
los equipos del centro, en la entrada "Configuración de Usuarios"-> "Configuración de
Windows"-> "Mantenimiento de Internet Explorer"-> "Conexión", haremos doble clic
sobre la directiva "Configuración de los servidores proxy".
Las contraseñas complejas que se pueden modificar regularmente reducen los riesgos de
que se produzcan ataques a las mismas. La configuración de la directiva de contraseñas
permite controlar la complejidad y la vigencia de las contraseñas y sólo se puede establecer
mediante Directiva de grupo en el nivel de dominio.
Configuración
Configuración predeterminada del EC SSLFThis
controlador de dominio
Forzar el historial de 24
24 contraseñas 24 contraseñas
contraseñas contraseñas
Vigencia máxima de la 42 días 90 días 90 días
contraseña
Vigencia mínima de la
1 día 1 día 1 día
contraseña
Longitud mínima de la
7 caracteres 8 caracteres 12 caracteres
contraseña
Las contraseñas deben
cumplir los requerimientos de Habilitada Habilitada Habilitada
complejidad
Almacenar contraseña usando
cifrado reversible para todos Deshabilitado Deshabilitado Deshabilitadoa
los usuarios del dominio
[editar]
Esta configuración determina el número de nuevas contraseñas únicas que se deben asociar
a una cuenta de usuario antes de que sea posible volver a utilizar una contraseña anterior. El
valor de esta configuración de directiva debe estar comprendido entre 0 y 24 contraseñas.
El valor predeterminado para Windows Server 2003 es de 0 contraseñas, pero en el caso de
un dominio es de 24. Para mantener la eficacia de esta configuración de directiva, utilice el
parámetro Vigencia mínima de la contraseña con objeto de evitar que los usuarios cambien
repetidamente sus contraseñas.
[editar]
Los valores de esta configuración de directiva están comprendidos entre 1 y 999 días.
(También puede establecer el valor en 0 para especificar que las contraseñas no caducan).
Esta configuración de directiva define durante cuánto tiempo puede utilizar un usuario su
contraseña antes de que caduque. El valor predeterminado de esta configuración de
directiva es de 42 días. La mayoría de las contraseñas se pueden descifrar; por tanto, cuanto
mayor sea la frecuencia con la que se cambian, menores serán las posibilidades de que el
atacante pueda utilizarlas. No obstante, cuanto menor sea el valor de la configuración,
mayor será, con mucha probabilidad, el número de llamadas al servicio de asistencia que
realice el usuario.
Establezca la configuración Vigencia máxima de la contraseña en un valor de 90 días para
los dos entornos de seguridad definidos en esta guía.
[editar]
Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que
se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el
valor de esta configuración de directiva en Windows XP se establece en Deshabilitado,
pero aparece como Habilitado en el dominio Windows Server 2003.
[editar]
Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio
[editar]
Mecanismos para impedir que los usuarios cambien las contraseñas excepto cuando se les solicite
Los usuarios pueden cambiar sus contraseñas en el período entre la vigencia mínima y
máxima de la contraseña. Sin embargo, el diseño para el entorno Seguridad especializada:
Funcionalidad limitada requiere que los usuarios cambien sus contraseñas únicamente
cuando el sistema operativo así lo solicite, después de que sus contraseñas hayan llegado a
la vigencia máxima de 42 días. Para lograr este nivel de control, los administradores pueden
deshabilitar el botón Cambiar contraseña... en el cuadro de diálogo Seguridad de Windows
que aparece al presionar Ctrl+Alt+Supr.
[editar]
Esta configuración de directiva determina el número de días que se debe utilizar una
contraseña antes de que un usuario la pueda cambiar. Los valores para esta configuración
están comprendidos entre 1 y 998 días. (También puede establecer el valor en 0 para
permitir cambios de contraseña inmediatos). El valor predeterminado para esta
configuración de directiva es de 0 días.
[editar]
Esta configuración de directiva comprueba todas las contraseñas nuevas para garantizar que
se cumplen los requisitos básicos de una contraseña segura. De forma predeterminada, el
valor de esta configuración de directiva en Windows XP se establece en Deshabilitado,
pero aparece como Habilitado en el dominio Windows Server 2003.
[editar]
Estas configuraciones de directiva ayudan a evitar que los atacantes puedan averiguar las
contraseñas de los usuarios y reducen las probabilidades de ataques con éxito en el entorno
de red. Sin embargo, es probable que la habilitación de una directiva de bloqueo de cuentas
provoque más problemas de soporte para los usuarios de red. Antes de habilitar la
configuración siguiente, asegúrese de que su organización desea aceptar esta carga de
administración adicional. Para muchas organizaciones, una solución mejorada y menos
costosa consiste en analizar los registros de eventos de seguridad para los controladores de
dominio y generar alarmas administrativas cuando parezca que alguien intenta adivinar las
contraseñas de cuentas de usuario.
Configuración
Configuración predeterminada del EC SSLFThis
controlador de dominio
Duración del bloqueo
No está definido 15 minutos 15 minutos
de cuenta
50 intentos de 10 intentos de
Umbral de bloqueos de 0 intentos de inicio de sesión
inicio de sesión inicio de sesión no
la cuenta incorrectos
no válidos válidos
Restablecer la cuenta No está definido 15 minutos 15 minutos
de bloqueos después
de
[editar]
Esta configuración de directiva determina el tiempo que debe transcurrir antes de que una
cuenta se bloquee y de que un usuario pueda volver a intentar iniciar sesión. Funciona
especificando el número de minutos que permanece no disponible una cuenta bloqueada. Si
el valor de esta configuración de directiva está establecido en 0, las cuentas permanecerán
bloqueadas hasta que el administrador las desbloquee. El valor predeterminado de
Windows XP para esta configuración de directiva es No está definido.
Aunque quizás parezca una buena idea configurar el valor de esta configuración de
directiva de modo que nunca se desbloqueen las cuentas automáticamente, es probable que
en ese caso se incremente el número de llamadas al servicio de asistencia para desbloquear
cuentas bloqueadas por error. El valor de configuración recomendado de 15 minutos se
consideró un tiempo razonable de espera de los usuarios antes de intentar iniciar sesión
nuevamente en caso de bloqueo de la cuenta. Los usuarios también deben ser informados
de cómo se configura esta directiva para que sepan que sólo tienen que llamar al personal
de asistencia si necesitan recuperar urgentemente el acceso a su equipo.
[editar]
Dado que un atacante puede utilizar este estado de bloqueo como una denegación de
servicio (DoS) desencadenando un bloqueo que afecte a un gran número de cuentas, es
aconsejable que la organización determine si debe utilizarse esta configuración de directiva,
en función de las amenazas identificadas y de los riesgos que se desea evitar. Son dos las
opciones que se deben considerar en el caso de esta configuración de directiva.
•
o Una directiva de contraseñas que obligue a los usuarios a tener contraseñas
complejas compuestas de 8 o más caracteres.
•
o Un mecanismo de auditoría eficaz para avisar a los administradores cuando
se produzca una serie de bloqueos de cuentas en el entorno. Por ejemplo, la
solución de auditoría debería supervisar el suceso de seguridad 539, que es
un error de inicio de sesión. Este suceso significa que la cuenta se bloqueó
en el momento en el que se intentó el inicio de sesión.
[editar]