¿Qué son las directivas de grupo?
Una directiva de grupo no es una mera directriz, ni un simple aviso destinado a evitar que los usuarios instalen software no autorizado. Es más bien un conjunto de reglas implementadas mediante cambios efectuados en el Registro, que se activan al iniciar el equipo o cuando un usuario inicia su sesión de trabajo. Las directivas entran a formar parte del entorno de usuario e imponen restricciones sobre las acciones de dicho usuario.
¿que se puede lograr con estas restricciones?
Puede ejecutarse un guión con el que iniciar un equipo. Este guión, específico para esa máquina, difiere del guión necesario para iniciar la sesión de un usuario., además de poder ejecutar este último tipo de guiones, también permite la ejecución de otros cuando el usuario acaba su sesión de trabajo o cuando se cierra el equipo. No resulta difícil configurar el perfil de un usuario en un equipo para que, eliminando opciones o estableciendo configuraciones restrictivas, no se puedan ejecutar determinadas aplicaciones, sea imposible conectarse a la red o, incluso, no se permita escoger el fondo de pantalla.
También pueden emplearse las directivas de grupo para imponer restricciones de seguridad y controlar el acceso a los recursos de la red.
Podemos aplicar estas directivas en dos campos diferentes dependiendo el requerimiento:
Directivas de configuración de equipo
Las aplicamos cuando solo queremos que dichas directivas se apliquen a la maquina como tal, sin reconocimiento de usuarios, grupos o cualquier otra división que esta tenga
Directivas de configuración de usuario
Estas directivas se aplican únicamente a un usuario especifico sin afectar los valores de los demas usuarios
Aplicación de restricciones.
A continuación asignaremos una serie de restricciones desde las directivas de grupo local para administrar los accesos y denegaciones de nuestra maquina teniendo asi un control total sobre ella y aplicando politicas de seguridad que impidan que dichas reglas sean vulnerables
Para ello crearemos cuatro usuarios mas aparte del administrador estos usuarios son
Benji
Bruno
Carlos
Manuel
Johan (Administrador)
Bruno
Carlos
Manuel
Johan (Administrador)
La creación de estos usuarios en una maquina Windows Seven se realiza ingresando a
Inicio>Panel de control>Cuentas de usuario>Agregar o quitar cuentas de usuario.
y procederemos a ingresar las cuentas anteriormente mensionadas aplicando la opcion usuario estandar
Repetimos este proceso con los demás usuarios y el resultado sera una lista de usuarios como la siguiente donde aparece el usuario Johan como único administrador y los demás usuarios como usuarios estándar
ahora que ya tenemos nuestros usuarios vamos a agruparlos, los usuarios Carlos y Manuel pertenceran al grupo Killers, mientras que Bruno y Benji seran usuarios del grupo Timers. Para realizar este procedimiento ireamos a
Inicio>Click derecho en equipo>Administrar>Herramientas del sistema>Usuarios y grupos locales>Click derecho a grupos>Grupo nuevo...
Se nos abrira una nueva ventana donde ingresaremos el nombre del nuevo grupo que vamos a crear (Killers) ademas de una descripcion opcional, luego de asignar el nombre del grupo agregaremos los usuarios que perteneceran a este grupo (Carlos, Manuel) y aceptamos y luego le damos click en crear
Ahora haremos el mismo procedimiento con el grupo Timers
El resultado sera la aparición de estos dos nuevos grupos en la lista de usuarios y grupos locales de herramientas del sistema
Implementacion de politicas
Ahora que ya tenenos los usuarios asignados a grupos ingresaremos unas politicas que restrinjan el uso de ciertos recursos, aplicaciones o utlidades dentro del sistema operativo, acontinuacion veran una serie de estas politicas que varian de acuerdo a las restricciones que se deseen dar. Asignare unas a Directivas de configuración de equipo y otras a directivas de configuración de usuario
Estas politicas se aplican desde el editor de directivas de grupo local al cual podemos ingresar ejecutando (Tecla windows + R) gpedit.msc
Cambio de vigencia máxima de la contraseña:
Para realizar el cambio de la vigencia (duración de la contraseña) seguiremos la ruta
Configuración de equipo>Configuración de Windows>Configuración de seguridad>Directivas de cuenta>Vigencia máxima de contraseña
Desde allí se abrirá una ventana desde donde podemos cambiar el valor: la contraseña expira en: en mi caso expirara luego de 15 días de uso.
Implementar a las contraseñas requisitos de complejidad por defecto de Windows server
Podemos implementar a los passwords políticas que los rijan como por ejemplo la longitud que debe tener (8 caracteres) la implementación de letras mayúsculas y/o minúsculas, uso de caracteres especiales etc. Para implementar estas políticas haremos cambios tanto en longitud mínima de contraseña como en la contraseña debe cumplir los requerimientos de seguridad atravez de la siguiente ruta
Configuracion de equipo>Configuracion de Windows>Configuracion de seguridad>Directivas de cuenta> longitud mínima de contraseña
Configuracion de equipo>Configuracion de Windows>Configuracion de seguridad>Directivas de cuenta> la contraseña debe cumplir con los requerimientos de complejidad
Exigir historial de las contraseñas
Esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas.
Un ejemplo de la utilizacion de este es cuando los usuarios que requieran cambiar su contraseña no podrán usar un password que se haya usado antes por lo menos desde los 2 últimos cambios. Para implementar esta politca seguiremos la ruta:
Configuracion de equipo>Configuracion de Windows>Configuracion de seguridad>Directivas de cuenta> Exigir historial de contraseña
Impedir que un usuario o grupo apague la maquina
Esta directiva se aplica cuando impondremos la orden de que un usuario especifico no pueda apagar la maquina desde el sistema operativo, obviamente si lo hace por medio del interruptor o cortando la alimentacion esta GOP no tendra ningun efecto. Para implementar dicha directiva seguiremos la ruta
Esta directiva se puede aplicar tanto en usuarios como en grupos en este caso la aplicare a un grupo, el grupo Timers
Impedir que un usuario cambie la hora de la maquina
Mediante esta GPO un usuario especifico no podra cambiar la hora del equipo, esta directiva se aplica generalmente en maquinas que deben estar sincronizadas en la hora con un servidor, para implementar esta directiva seguiremos la ruta
Configuración del equipo> configuración de Windows> Configuración de seguridad> Asignación de derechos de usuarios>Cambiar la hora del sistema
Implementar un servidor Proxy
Esta direcitva se implementa para que una maquina tenga asignada una direccion Proxy en su navegador. Para implementarla seguiremos la ruta
Configuracion de usuario>Configuracion de Windows>Mantenimiento de Internet Explorer>Conexion>Configuracion de los servidores Proxy
Impedir que la configuracion del Proxy que asignamos sea manipulada
hemos implementado un servidor Proxy para nuestra maquina pero cualquier usuario puede cambiar esta configuracion y asignar un Proxy diferente, para impedir que esto sucesa bloquearemos el cambio de Proxy. Para esto seguiremos la ruta
Configuracion de usuario>Componentes de Windows>Internet Explorer>Desabilitar el cambio de configuracion Proxy
Esta ha sido una entrada explicando que son y como implementar las directivas de grupo locales GPO para una maquina Windows Server, tan solo han sido unas pocas configuraciones las que vimos, pero practicando el tema podran ver que por medio de ellas hay un sin fin de configuraciones disponibles tanto para permitir como para denegar las utilidades de nuestra maquina
FIN
No hay comentarios:
Publicar un comentario