Perfil de Usuario Obligatorio en Windows 8

1537_Win8Logo_01_008485DD

Cada que iniciamos sesión por primera vez en Windows, el sistema crea un perfil de usuario asociado que contiene toda su configuración en el archivo ntuser.dat, ubicado en C:UsersNombrePerfil, y que a la vez hace el mapeo a la respectiva clave de registro de HKEY_CURRENT_USER, donde Windows guarda y consulta las configuraciones y preferencias de usuario.
Como se habrán dado cuenta, este perfil siempre tiene una configuración particular, es decir, mismo fondo de pantalla, mismas personalizaciones en el Explorador, cursor, accesos directos, etc. Esta es la plantilla predeterminada que entrega Microsoft con el sistema operativo, y el sistema toma esta plantilla del mismo archivo ntuser.dat, pero del perfil predeterminado, ubicado en C:UsersDefault. En este orden de ideas, cada primer inicio de sesión, el sistema genera una copia de ese archivo y lo almacena en la carpeta correspondiente al perfil que está iniciando. Los inicios posteriores solo carga el archivo nuevamente desde su propio directorio.

Existen diferentes tipos de perfiles; los que más conocemos son: Perfiles locales, Perfiles de dominio y los famosos Perfiles rodantes. Todos se basan en el mismo concepto básico que expliqué arriba, pero varían en ubicación, autenticación e interacción. Windows 8 introdujo además una variante para el Perfil local y el de Dominio, y es la posibilidad de iniciar sesión con una cuenta de Microsoft y poder sincronizar configuraciones utilizando la nube entre los distintos equipos en los que se inicie sesión con la cuenta. Algo similar a los Perfiles rodantes, pero sin una ubicación central para guardar el contenido del perfil, y no se mueven los archivos con el perfil, aunque se podría utilizar la aplicación local de Skydrive para suplir esta necesidad.

Aunque cada uno de estos perfiles tiene mucho de qué hablar, hoy nos concentraremos en aprender de un tipo de perfil que se puede utilizar desde los tiempos XP, pero que ahora tiene una forma mucho más fácil de implementarse, y puede ser realmente útil. Se trata del Perfil de Usuario Obligatorio o Mandatory User Profile como se le conoce en inglés.

Windows reconoce que tiene un Perfil Obligatorio cuando el archivo del perfil termina en .man y no en .dat, por ejemplo: ntuser.man. La diferencia con un Perfil Local, es que con un Perfil Obligatorio, el usuario que inicie sesión, podrá realizar cambios en configuraciones, e incluso crear archivos en el Escritorio y en otras ubicaciones del sistema, pero Windows no los guardará al cerrar sesión. La próxima vez que se inicie sesión, Windows descargará de nuevo la copia limpia del perfil que previamente se configuró. Como el Perfil Obligatorio también está basado en la copia original de ntuser.dat del Perfil Predeterminado de Windows, podemos tomar ventaja, personalizarlo para que se adapte a nuestras necesidades, y finalmente convertir la copia en un Perfil Obligatorio.

Para crear y configurar nuestro Perfil Obligatorio, haremos lo siguiente en este post:

Crear y configurar una cuenta de usuario estándar.
Crear nuestro perfil de usuario predeterminado.
Crear Perfil de Usuario Obligatorio.
Asignar el Perfil de Usuario Obligatorio al Estándar.
Configurar el Autologon del Usuario Obligatorio.

Crear y configurar una cuenta de usuario estándar

Como es necesario darle unos parámetros personalizados a la cuenta estándar, debemos crearla desde la Consola de Administración, en el nodo de Usuarios y Grupos Locales. Para abrir la consola, podemos ir desde Windows 8 al Panel de Control > Sistema y Seguridad > Plantillas Administrativas > Consola de Administración. También podemos presionas las teclas Windows + R para abrir la ventana de Ejecutar y digitar: compmgmt.msc

Expandimos el nodo de Usuarios y Grupos Locales, clic derecho sobre Usuarios y seleccionamos Nuevo Usuario.

MU1

En la ventana de Nuevo Usuario, rellenamos los datos correspondientes con respecto al nombre y contraseña que deseamos, pero además debemos asegurarnos de quitar la selección de “El usuario debe cambiar la contraseña en el primer inicio de sesión”, y seleccionamos: “El usuario no puede cambiar la contraseña”, como también “La contraseña nunca expira”. Después le damos al botón Crear y Cerrar.

image

Crear nuestro perfil de usuario predeterminado

Este es uno de los escenarios donde crear un perfil predeterminado y personalizado, es de las mejores opciones. Como mencioné en la introducción inicial, Windows predeterminadamente instancia copias del ntuser.dat del Default User para las nuevas sesiones que se hagan en los respectivos equipos. Lo que haremos será utilizar el equipo técnico donde se esté creando el Perfil Obligatorio para personalizarlo a nuestra medida, crearle un XML que copie el perfil y resellarlo para que haga la tarea.

Personalizando el perfil

Debemos personalizar todo nuestro ambiente a como desearíamos que el Usuario Obligatorio lo tenga. Básicamente, es necesario que personifiquemos nuestra Pantalla de Inicio, incluyendo la ubicación de las baldozas, nombre a los grupos, colores y demás. A parte de esto, el fondo de pantalla para el Escritorio, configuración de carpetas, colores en la barra de tareas y ventanas, y accesos directos. Entre muchas otras cosas…

Para este artículo, yo personifiqué algunas cosas notables dentro del Escritorio, y de la Pantalla de Inicio:

image

image

Creando archivo de Auto-Respuesta

El archivo de Auto-Respuesta, nos servirá para indicarle a Windows que debe copiar todas las configuraciones del perfil actual, al perfil predeterminado del sistema operativo, es decir, remplazar el ntuser.dat de la carpeta Default.

Fundamentalmente, el XML debe tener la propiedad de CopyProfile en True, para ambas arquitecturas:

<CopyProfile>true</CopyProfile>

Recordemos que el archivo se genera con el Administrador de Imágenes de Windows (SIM), incluido en el ADK para Windows 8.

Como el objetivo de este post no es profundizar en una imagen maestra con el perfil predeterminado a nuestro gusto, pueden descargar el XML que funcione en ambas arquitecturas (x86 y x64) desde aquí:

Archivo de Auto-Respuesta. AutoUnattend.xml

 
Pueden descargar el archivo desde Skydrive también:
 
*Nota 1: No olviden descomprimir primero, pues está en .ZIP.
 
*Nota 2: Si quieren ver más información sobre esto, pueden ver este post.

Debemos pegar el archivo en la raíz de la carpeta: C:WindowsSystem32Sysprep.

image

Resellando

Posteriormente, debemos ejecutar nuevamente el Símbolo del Sistema con privilegios elevados, es decir, buscar CMD desde la Pantalla de Inicio, clic derecho y Ejecutar como administrador.

Navegamos (Utilizando ‘cd’) hasta la ruta C:WindowsSystem32Sysprep y corremos:

Sysprep /oobe /generalize /reboot /unattend:AutoUnattend.xml

image

*Nota: El proceso de resellado limpia todas las configuraciones de Hardware, el SID de usuario, la activación y otras configuraciones básicas, como nombre de equipo y demás.

Cuando reinicie el equipo, arrancará el proceso de OOBE, que consiste en la última fase de instalación, donde se le vuelve a preguntar al usuario por los términos de licencia, nombre de equipo, configuración general y cuenta de usuario. Tendremos que indicarle toda esta información, incluyendo la creación de otra cuenta de usuario, para estar nuevamente en Windows.

Al llegar aquí, es necesario habilitar la cuenta integrada de Administrador en Windows 8. Para esto, iniciamos sesión con alguna cuenta que tenga privilegios administratrivos, y desde la Pantalla de Inicio, buscamos CMD y sobre el resultado hacemos clic derecho y Ejecutar como administrador en la parte inferior.

En el Símbolo del sistema, ejecutamos: Net User Administrador /Active:Yes

image

*Nota: Si tenemos el sistema operativo en inglés, como es el caso de la captura anterior, es necesario cambiar “Administrador” por su equivalente en inglés, es decir: “Administrator”.

Cerramos sesión e iniciamos desde la cuenta de Administrador integrado.

Crear Perfil de Usuario Obligatorio

Desde el Administrador integrado, buscamos ubicados en la Pantalla de Inicio por: “perfil de usuario” (Sin las comillas), seleccionamos el panel de Configuraciones (Settings) y ejecutamos “Configurar propiedades del perfil de usuario avanzadas”:

image

Nos debe aparecer la ventana de Perfil de Usuario, con todas las cuentas disponibles, incluyendo la de Default Profile:

image

Seleccionamos el Default Profile (Perfil Predeterminado), y clic en el botón Copiar a…

En la ventana de Copiar a… indicamos como ruta C:Users, especificando además el nombre que deseamos para nuestro perfil predeterminado, con terminación en .v2, que le dice a Windows que es un perfil de Windows 7 o superiores. Para este caso, utilicé como nombre: “Obligatorio.v2”. Luego hacemos clic en el botón de Cambiar, debajo de Usuarios permitidos y establecemos a Todos (Everyone):

image

Clic en Aceptar (OK) dos veces para cerrar el cuadro de Copiar a… y Perfil de Usuario.

Aquí viene el paso más importante, en primera instancia, debemos habilitar los Archivos ocultos y Protegidos por el Sistema desde las Opciones de Carpeta:

FO

Después vamos a la carpeta recién creada para el Perfil Obligatorio dentro de C:Users, que en este caso es C:UsersObligatorio.v2, y renombramos el archivo ntuser.dat a ntuser.man

image

Asignar Perfil de Usuario Obligatorio al Estándar

En este paso, solo debemos asignar el Perfil de Usuario Obligatorio recién creado al perfil local que se generó desde el principio.

Presionamos las teclas Windows + R para abrir la ventana de Ejecutar y corremos: compmgmt.msc. Se abrirá la Consola de Administración.

Expandimos el nodo de Usuarios y Grupos Locales, Usuarios, hacemos clic derecho en el usuario local que creamos en el primera paso (Para este caso, Compartido) y clic en Propiedades:

MU12

Nos pasamos a la ventana de Perfil, y en el campo de texto al lado de Ruta de perfil, le debemos indicar la ubicación exacta de nuestro Perfil Obligatorio, pero sin incluir el “.v2” que tiene al final. Por ejemplo, para este artículo, sería: C:UsersObligatorio

O1

Clic en Aplicar y Aceptar para terminar.

Con esto, el perfil predeterminado que contiene las personalizaciones que le hicimos al sistema operativo estará asociado al perfil que creamos, y que no hemos iniciado por primera vez. Lo último es solo asegurarnos que Windows siempre inicie desde este perfil y habremos terminado.

Configurar el Autologon del Usuario Obligatorio

Para hacer que Windows inicie siempre con el Perfil Obligatorio, es necesario crear tres valores de Registro:

AutoAdminLogon, DefaultDomainName, DefaultUserName, y DefaultPassword.

Para hacerlo, debemos navegar hasta la clave de registro:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

Hacemos clic derecho en la parte en blanco donde se ubican los respectivos valores de la clave, seleccionar Nuevo (New) > Valor de Cadena (String Value), ingresarle el nombre y el contenido:

MU14

Todos son Valores de Cadena (String Value), y deberían tener el siguiente contenido:

Valor

Contenido
AutoAdminLogon 1
DefaultDomainName <NombreEquipo>
DefaultUserName <NombreObligatorio>
DefaultPassword <ContraseñaObligatorio>
 
Donde <NombreEquipo> es como está identificado el PC, en caso de que estemos en un Grupo de Trabajo, o bien el Dominio, si estamos bajo un Directorio Activo; <NombreObligatorio> es como se llama el Perfil Obligatorio, que en este caso es Compartido, <ContraseñaObligatorio> es la respectiva contraseña del Perfil Obligatorio.
 
Los valores deberían verse así:
 
image

Opción alternativa

Sysinternals Suite, ofrece una herramienta muy útil para configurar el Autologon desarrollada por el gran Mark Russinovich. Se llama Autologon y basta con ejecutarla con privilegios elevados, indicarle los datos y hacer clic en el botón Enable para que empiece a funcionar:

image

La herramienta la pueden descargar desde el sitio oficial de Sysinternals:

http://technet.microsoft.com/en-us/sysinternals/bb963905

¡Todo listo! Solo tendremos que reiniciar y automáticamente iniciará siempre desde el Perfil Obligatorio, permitiendo al usuario compartido que lo esté utilizando realizar diferentes cambios, según se hayan permitido desde la creación de la cuenta y/o por políticas de grupo y una vez cierre sesión, Windows no guardará nada y volverá a cargar el perfil predeterminado al volver a iniciar o reiniciar.

Así quedaría el Perfil de Usuario Obligatorio (Mandatory User Profile) en mi caso después de iniciar:

image

*Nota: Desconozco por qué razón el Usuario Obligatorio sólo tiene Internet Explorer y la Tienda como aplicaciones de Interfaz Moderna instaladas; además de esto, después del primer reinicio, es necesario hacer que IE sea el navegador predeterminado para que se pueda usar la versión de Interfaz Moderna.

Saludos,

Checho

Implementación básica de BitLocker y BitLocker To Go para Windows 8 PRO/Enterprise en la Empresa.

250px-BitLocker_icon

Hace algunos meses atrás, cuando Windows 8 alcanzó su etapa de Consumer Preview (Beta), estuvimos Explorando lo que venía de nuevo con respecto a BitLocker y BitLocker To Go; incluso también su unión con Windows To Go para brindar la posibilidad de cifrar el dispositivo y mejorar su protección. Sin embargo, estos artículos estuvieron más enfocados a las mejoras en su característica como tal, no en su despliegue.

Gracias a que BitLocker pasó a ser una característica de PRO y no de Enterprise, como lo era hasta el maravilloso Windows 7, muchas empresas seguro empezarán a implementar BitLocker como medida de seguridad para sus equipos y discos extraibles. Lo que veremos en este post, será la forma de implementar a través de Políticas de Grupo fácilmente tanto BitLocker, como BitLocker To Go en los equipos de la compañía.

*Nota: La implementación de BitLocker puede ser mucho más productiva y gestionable haciendo uso de la consola de MBAM, incluida en el paquete de MDOP y que reciéntemente se actualizó a su versión 2.0.

Requerimientos

– Servidor Windows 2008 R2 con las Plantillas Administrativas de Windows 8 y Windows Server 2012 instaladas, o bien, Windows Server 2012 preferiblemente. Además de esto, tener instalado y configurado un Controlador de Dominio.

*Nota: Pueden descargar un período de prueba de 190 días de Windows Server 2012 desde aquí: http://technet.microsoft.com/en-us/evalcenter/hh670538.aspx

*Nota 2: Este artículo está basado en Windows Server 2012, pero el procedimiento en general es el mismo para versiones anteriores, obviando algunas plantillas.

– Equipos Windows 8 unidos al dominio.

– Una carpeta compartida. Para este caso, creé una llamada Backups ubicada dentro de la carpeta C:BitLocker.

Configurando las Políticas de Grupo

Desde nuestro Servidor, debemos configurar una serie de poíticas que le indicarán a los clientes conectados al dominio cómo debe comportarse BitLocker y BitLocker To Go.

Debemos acceder entonces desde el Servidor a la Consola de Group Policy Management, expandimos el nodo de Domains, luego hacemos clic derecho sobre el nodo de nuestro Dominio (En este caso: chechosblog.com), y seleccionamos: Create a GPO in this domain, and Link it here…

image

En la ventana de New GPO, le ingresamos un nombre descriptivo, para saber las políticas que se aplicarán y configurarán aquí. En este caso, yo lo llamé: BitLocker Policies. Después de darle el nombre, simplemente aceptamos para que se vea reflejada debajo del nodo de nuestro dominio.

image

*Nota: Este procedimiento no es extrictamente necesario, pues se pueden editar las políticas predeterminadas del dominio, pero no es quizá una muy buena práctica.

Hacemos clic derecho sobre la GPO que creamos, y seleccionamos Edit, para que se abra la Consola de Administración de Políticas de Grupo:

image

Debemos navegar hasta: Computer ConfigurationPoliciesAdministrative TemplatesWindows ComponentsBitLocker Drive Encryption.

Como ya hemos hablado antes, BitLocker tiene una seguridad tan alta, que la única forma hasta ahora de recuperar el acceso al disco en caso de pérdida u olvido de contraseña, es dando formato, e incluso así, la información queda totalmente imposible de recuperar. Por esta razón, la primera plantilla que debemos configurar, es la que le indique a BitLocker que a parte de la contraseña especificada por el usuario, y la clave de recuperación que se genera, se guarde una copia de la última en el Directorio Activo.
Para esto, hacemos doble clic en Operating System Drives, y doble clic en la plantilla: Choose how BitLocker-protected operating system drives can be recovered.

Debemos habilitar la plantilla (Enabled), seleccionar la ficha de Save BitLocker recovery information to AD DS for operating system drives para que al cifrar el dispositivo la clave de recuperación se guarde con el objeto asociado y por último, seleccionar Do not enable BitLocker until recovery information is stored to AD DS for operating system drives, que nos asegurará siempre tener el respaldo de la clave y la contraseña de recuperación antes de que BitLocker empiece a funcionar:

B1

Para los equipos que tienen TPM, pueden empezar a “jugar” con las respectivas plantillas referentes al chip para asegurar otros métodos de autenticación y protección; sin embargo, gran mayoría de los equipos que están en las empresas, no tienen TPM, por esta razón, es necesario asegurar que BitLocker pueda cifrar el disco del sistema operativo utilizando otro método de autenticación.

Abrimos la plantilla de Require additional authentication at startup, la habilitamos (Enabled), y nos asegurarmos de seleccionar Allow BitLocker without a compatible TPM (Requires a password or a startup key on a USB flash drive). De esta forma, y aprovechando una pequeña mejora en Windows 8, el usuario podrá utilizar solo una contraseña para autenticarse al prender el equipo.

image

Lo siguiente, es asegurarnos que los usuarios estándar no puedan cambiar la contraseña de cifrado, pues predeterminadamente les es posible hacerlo. Doble clic entonces sobre la plantilla de Disallow standard users from changing the PIN or password, y la habilitamos:

image

Hasta aquí, estamos asegurando que todas las máquinas se puedan cifrar con BitLocker, y que por supuesto, el respaldo de la clave de recuperación quede en el Directorio Activo asociado al equipo. Ahora, para los equipos propios con Windows 8, tomando ventaja de la característica de cifrar solo el espacio utilizado, forzaremos a que esto pase en todos los equipos, y de esta forma reduciremos notablemente el tiempo que se toma BitLocker.

Doble clic en la plantilla de Enforce drive encryption type on operating system drives, la habilitamos (Enabled) y seleccionamos Used Space Only encryption, debajo de Select the encryption type.

image

Ya está lista la partición del sistema operativo, ahora debemos configurar lo que concierne a BitLocker To Go. Debemos pasar entonces al nodo de Removable Data Drives, y empezar a configurar sus respectivas plantillas.

La primera, como en la de sistemas operativos, es: Choose how BitLocker-protected removable drives can be recovered. La abrimos, habilitamos (Enabled) y seleccionamos las misma opciones que cuando configuramos las unidades de sistema operativo en los primeros pasos:

image

Una vez hecho esto, aprovechamos una política propia para los dispositivos extraibles, y es la posibilidad de prohibir la escritura de archivos hasta que no estén cifrados con BitLocker. Doble clic sobre la plantilla Deny write access to removable dirves not protected by BitLocker. La habilitamos (Enabled), la dejamos predeterminada y aceptamos.

image

Por último, como en las plantillas para sistema operativo, abrimos Enforce drive encryption type on removable data drives, habilitamos (Enabled), y seleccionamos Used Space Only encryption.

image

Todo está listo, y ya sabemos que las claves de recuperación se almacenarán con el objeto en el Directorio Activo; a pesar de esto, podemos darle otro repositorio adicional al usuario en una respectiva ruta de red para que guarde sus claves de recuperación, una vez cifre la unidad.

Nos ubicamos en la raíz de BitLocker Drive Encryption, doble clic sobre la plantilla Choose default folder for recovery password, la habilitamos (Enabled), y le indicamos la ruta de red (Por ejemplo \DCBackups en este post):

image

¡Terminamos! BitLocker y BitLocker To Go están listos para ser utilizandos. =)

Comprobando resultados

Empezaré con BitLocker To Go, pues es el que tiene la plantilla propia que obliga a cada usuario a cifrar su dispositivo antes de poder escribir en él.

Cada que se conecte un nuevo dispositivo, BitLocker mostrará el siguiente mensaje avisándole al usuario que debe cifrar antes de poder copiar:

image

*Nota: Se podrá copiar lo que haya en el dispositivo hacia el equipo host, más no al revés hasta que se habilite BitLocker.

Cuando se acepta cifrar el dispositivo, el asistente solicitará la clave personalizada por el usuario:

image

*Nota: Es posible utilizar una Smart Card, e incluso, forzar diferentes modelos de seguridad en la clave de usuario desde las políticas de grupo, con la plantilla de Configure use of passwords for removable data drives.

Cuando se le pida al usuario guardar la clave de recuperación, predeterminadamente tendrá disponible la carpeta compartida que creamos:

image

Y finalmente, iniciar el cifrado:

image

Para el sistema operativo…

En el caso de la partición correspondiente al sistema operativo, no podemos tener la misma suerte (Al menos por políticas), de que no se pueda escribir nada más antes de proceder a cifrarlo, por lo que se debe hacer manual, o bien, haciendo uso de características como el Pre-Aprovisionamiento de BitLocker en Windows 8 para desplegarlo con MDT (Trataré de cubrir este despliegue en un futuro artículo).

Si lo iniciamos, predeterminadamente pedirá la contraseña personalizada por el usuario:

image

Lo siguiente, al igual que en USB, será guardar  la clave de recuperación nuevamente en la ruta de red, y finalmente solicitará correr el BitLocker System Check, herramienta que se encargará de verificar que no haya ningún problema para cifrar la unidad, por lo que se debe reiniciar:

image

Al reiniciar el sistema operativo, pedirá inmediatamente autenticación con la contraseña establecida para BitLocker, antes de iniciar incluso el sistema operativo:

image

El cifrado real, sin embargo, iniciará en segundo plano una vez se inicie Windows:

image

¿Cómo recupero el acceso a unidad con las claves de recuperación guardadas?

Gracias a que desde el principio se contempla el guardado de la clave de recuperación en el Directorio Activo, no habrá inconveniente cuando a algun usuario se le pierda u olvide la contraseña, pues bastará saber el nombre del equipo para indicarle la clave de recuperación.

Sin embargo, hay que tener en cuenta que para poder ver estas claves, es necesario activar la característica de BitLocker Recovery Password Viewer desde el Server Manager para que se agregue una nueva pestaña a las propiedades de los nombres del equipo. Las características son BitLocker Drive Encryption Tools, y BitLocker Recovery Password Viewer, debajo del nodo principal de Remote Server Administration Tools:

RSAT

Al tener instalado BitLocker Recovery Password Viewer, podemos ir a la Consola de Active Directory Users and Computers, o a la nueva Active Directory Administrative Center (Disponible en 2012). Para ambas, buscamos el nombre del equipo en el nodo de Computers; vamos a las Propiedades haciendo doble clic o clic derecho, Properties, y buscamos la pestaña de BitLocker Recovery, sea en la pestaña propia teniendo en cuenta la primera opción, o bien en la misma pestaña, pero debajo de la categoría de Extensions en la segunda opción:

image

*Nota: Debe utilizarse algún método propio de la empresa para proveer estas claves de recuperación, pues desde el Directorio Activo no se puede recuperar el acceso directamente a la máquina, sólo se le pueden indicar los dígitos al usuario. MBAM, incluido en MDOP, sí entrega la posibilidad de restablecer el acceso a la máquina de forma centralizada.

¡Comentarios bienvenidos!

Saludos,

Checho