Cortafuegos -V- Arquitecturas

Modelos host vs red

Otra de las categorías de los cortafuegos depende si el producto está diseñado para ejecutarse en un único equipo al que protege, o si en cambio lo es para ejecutarse delante de un grupo de equipos y proteger la red entera(o una subred). Aquí se determina si el modelo de cortafuegos está diseñado para Host o para Red.

Modelo Host

El lema de mercado y publicidad más común para aquéllos cortafuegos basados en Host es 'Cortafuegos personal'. Un cortafuegos personal se instala en un equipo con la intención de protegerlo frente a intrusiones de red comunes. Generalmente son baratos, incluso hay varios gratuitos y libres. Tanto Windows XP como Windows Server 2003 incluyen un cortafuegos de este estilo, ICF(Internet Connection Firewall).

Un cortafuegos personal bloquea los paquetes entrantes basándose en su procedencia o destino (IP) y puerto que utiliza, usando para ello reglas preconfiguradas que tienen en cuenta las aplicaciones instaladas y los componentes del sistema operativo. Algunas versiones más sofisticadas también filtran paquetes según su contenido.

Cualquier equipo que conecte directamente a Internet sin pasar por un cortafuegos de red, debería tener uno de estos cortafuegos personales instalado. Incluyendo a todos los equipos que se conectan mediante moden analógico o de banda ancha en los casos en que el dispositivo modem o enrutador no disponga de cortafuegos activo.

Muchas directivas de empresa requieren que cualquier equipo que conecte con su red mediante conexión telefónica, o VPN, tengan cortafuegos personal instalado y habilitado. Esto es para prevenir en lo posible intrusiones desde los clientes remotos hacia sus redes. Y suelen ser los cortafuegos basados en red los que obligan al cumplimientos de estas directivas y requerimientos.

Implementando plantillas administrativas y auditorías VII

Si las plantillas predefinidas son insuficientes para nuestras necesidades de seguridad entonces debemos crear una plantilla personalizada.

Si personalizamos una plantilla predefinida:

  1. Pulsamos en el botón inicio, Ejecutar, escribimos MMC y pulsamos ENTER. Abierta la consola, agregamos el complemento de Plantillas de seguridad: Menú–>Archivo–>Agregar o quitar elemento–>ficha Independiente–>botón Agregar–>Elemento Plantillas de seguridad.
  2. En el árbol de la consola, expandimos Plantillas de seguridad y doble clic en la ruta por defecto systemroot/Security/Templates (normalmente letraunidadWindowsSecuritytemplates).
  3. En el panel de detalles, clic derecho en la plantilla predefinida que se quiere modificar, y pulsar en Guardar como.
  4. En el cuadro de diálogo de Guardar como, escribimos un nuevo nombre para la plantilla de seguridad y pulsamos en Guardar.
  5. Luego, doble clic en el nombre que representa la nueva plantilla en el árbol de la consola y se mostrarán las directivas de seguridad, navegamos hasta aquéllos atributos que queremos modificar para que aparezcan en el panel de detalles.
  6. En el panel de detalles, clic derecho sobre el atributo y pulsamos en propiedades.
  7. En el cuadro de diálogo de propiedades, seleccionamos la casilla Definir esta configuración de directiva en la plantilla, hacemos el cambio y pulsamos Aceptar.
  8. En el árbol de la consola, clic derecho en la nueva plantilla y pulsamos en guardar.

Si queremos crear una nueva:

  1. Pulsamos en el botón inicio, Ejecutar, escribimos MMC y pulsamos ENTER. Abierta la consola, agregamos el complemento de Plantillas de seguridad: Menú–>Archivo–>Agregar o quitar elemento–>ficha Independiente–>botón Agregar–>Elemento Plantillas de seguridad.
  2. En el árbol de la consola, expandimos Plantillas de seguridad y clic derecho sobre la ruta por defecto systemroot/Security/Templates (normalmente letraunidadWindowsSecuritytemplates), pulsamos en Nueva plantilla.
  3. En el cuadro de diálogo escribimos el nombre de la plantilla en el cuadro Nombre y una descripción en el cuadro de descripción y pulsamos Aceptar.
  4. En el árbol de la consola doble clic en la plantilla nueva para que muestre las directivas, navegamos por los atributos que queremos modificar y que aparecen en el panel de detalles.
  5. En cada uno de éllos, clic derecho y seleccionamos propiedades.
  6. En el cuadro de diálogo de propiedades, seleccionamos la casilla Definir esta configuración de directiva en la plantilla, hacemos el cambio y pulsamos Aceptar.
  7. En el árbol de la consola, clic derecho en la nueva plantilla y pulsamos en guardar.

Importar una plantilla de seguridad

Cuando se importa una plantilla de seguridad a un equipo local, se aplican los valores de la plantilla al equipo local. Si la importamos dentro de una GPO, los valores se aplicarán a los equipos en aquéllos contenedores a los que la GPO está vinculada.

Para importar una plantilla hacia un equipo local:

  1. Abrimos Configuración y análisis de seguridad. Podemos agregar el complemento usando el proceso ya descrito anteriormente para MMC.
  2. En el árbol de la consola, clic derecho sobre Configuración y análisis de seguridad y seleccionamos Importar plantilla.
  3. De manera opcional podemos limpiar la base de datos de cualquier plantilla, seleccionando la casilla limpiar esta base de datos antes de importar.
  4. En el cuadro de diálogo de Importar Plantilla, pulsamos en una plantilla y pulsamos en Abrir.
  5. Repetiremos las acciones por cada plantilla que queramos combinar en la base de datos.

Para importar una plantilla a una GPO si GPMc no está instalado:

  1. Abrimos Usuarios y equipos o Sitios y servicios de Active Directory desde las herramientas administrativas.
  2. Editamos la GPO apropiada.
  3. Expandimos Configuración de equipo y expandimos Configuración de Windows.
  4. Clic derecho sobre Configuración de seguridad y pulsamos en Importar directiva.
  5. Seleccionamos una plantilla y pulsamos en Abrir.

Los valores de la plantilla se aplican para la GPO y serán aplicadas la próxima vez que se inicie el equipo.

Para importar una plantilla a una GPO cuando GPMc está instalado:

  1. Abrimos GPM y editamos la GPO apropiada.
  2. Expandimos Configuración de equipo y expandimos Configuración de Windows.
  3. Clic derecho sobre Configuración de seguridad y pulsamos en Importar directiva.
  4. Seleccionamos una plantilla y pulsamos en Abrir.

Los valores de la plantilla se aplican para la GPO y serán aplicadas la próxima vez que se inicie el equipo.

Implementar plantillas administrativas y auditorías VI

Los valores de las plantillas de seguridad

Las plantillas contienen valores de seguridad para todas las áreas de seguridad. Podemos aplicar plantillas a equipos individuales o desplegarlas a grupos de equipos mediante directivas. Cuando se aplica una plantilla a valores de seguridad existentes los valores en la plantilla se combinan con los valores de seguridad del equipo.

Podemos configurar y analizar estos valores para equipos mediante la extensión de Configuración de seguridad de las directivas o con Configuración de seguridad y análisis.

Dentro de los valores de seguridad vemos:

  • Directivas de cuentas
    • Estos valores nos sirven para configurar las directivas de contraseña, directivas de bloqueo de cuentas, y el protocolo Kerberos V5 para el dominio. Una directiva de cuenta de dominio define el historial de contraseñas, el tiempo de vida de los tickets de Kerberos, el bloqueo de cuentas, y otros más.
  • Directivas Locales
    • Por definición son locales para equipos. Aquí se incluyen Directiva de auditoría, Asignación de derechos de usuario y opciones de seguridad que pueden configurarse localmente.
    • Es importante no confundir estos valores con establecer directivas localmente. Como con todos estos valores de seguridad, podemos configurarlos mediante Directiva de seguridad local y directivas de grupo.
  • Registro de sucesos
    • Estos valores se pueden utilizar para configurar el tamaño, acceso y parámetros de retención para los logs de aplicación, sistema y seguridad.
  • Grupos restringidos
    • Con estos valores administramos la pertenencia a grupos integrados que ya tienen habilidades predeterminadas como las cuentas de administradores y usuarios avanzados, añadidos a los grupos de dominio, como los administradores de dominio. Podemos agregar otros grupos al grupo restringido, junto con su información de pertenencia. Esto nos habilita para seguirles la pista y gestión de estos grupos como parte de la directiva de seguridad.
    • También podemos usar los valores de grupos restringidos para seguir y controlar la pertenencia inversa de cada grupo restringido. Esta se lista en la columna de Pertenencia (member of), que muestra otros grupos a los cuales el grupo restringido debe pertenecer.
  • Servicios del sistema
    • Con estos valores configuramos los valores de seguridad e inicio para servicios que se ejecutan en un equipo. Se incluye funcionalidad crítica, como los servicios de red, de archivo e impresión, teléfono y fax, e Internet y Intranet. Los valores generales incluyen el modo de inicio del servicio (automático, manual, o deshabilitado), así como la seguridad sobre él.
  • Registro
    • Configuración de seguridad de las claves del registro.
  • Sistema de archivos
    • Configuración de seguridad sobre rutas específicas de archivos.
  • Directivas de claves públicas
    • Usaremos esta configuración para los agentes de recuperación de datos cifrados, dominios raíz, autoridades de certificados de confianza, etcétera.
    • Son los únicos valores que cuelgan bajo Configuración de usuario.
  • Directivas de seguridad IP en Active Directory
    • Para configurar IPSec.

Importante: Sólo las directivas de cuentas, directivas locales, directivas de claves públicas y directivas de seguridad IP en áreas de AD, se encuentran disponibles cuando utilizamos Directiva de seguridad local.

También podemos asignar configuración de contraseñas, bloqueo de cuentas, configuración Kerberos a nivel de dominio o de OU. Sin embargo, si configuramos la directiva a nivel de OU, los valores afectan sólo a la base de datos local de la SAM(Security Accounts Manager) de los equipos dentro de la OU, no a las directivas de contraseña del dominio. Windows Server 2003 no procesa ningún cambio que se haga en estos tres valores en una GPO a nivel de Sitio.

Implementar plantillas administrativas y auditorías V

¿Qué son las plantillas de seguridad?

Una plantilla de seguridad es una colección de valores configurados de seguridad. Windows Server 2003 proporciona plantillas predefinidas que contienen los valores de seguridad recomendados para distintas situaciones.

Podemos usar las plantillas predefinidas para crear directivas de seguridad personalizadas y cumplir las necesidades de diferentes Unidades Organizativas. Podemos personalizarlas con el snap-in de plantillas de seguridad. Después de personalizarlas podemos hacer uso de las mismas para configurar la seguridad de un equipo individual o miles de ellos.

Tenemos la posibilidad de establecer la seguridad a equipos individuales con el snap-in de Configuración y Análisis de seguridad o también con la herramienta de línea de comandos secedit, o mediante la importación de una plantilla en Directiva de Seguridad Local. Podemos establecer la seguridad de múltiples equipos con la importación de una plantilla en configuración de seguridad, que es una extensión de Directiva de grupo.

También podemos usar una plantilla de seguridad como una línea básica para un análisis de un sistema y ver potenciales brechas de seguridad o violaciones de directiva mediante el uso del snap-in de Configuración de seguridad y análisis. Predeterminadamente las plantillas de seguridad predefinidas se encuentran en systemroot/Security/Templates.

En Windows Server 2003 tenemos las siguientes plantillas:

  • Default security (Setup security.inf)
    • Esta plantilla se crea durante la instalación del sistema operativo en cada equipo y representa los valores de seguridad predeterminados que se aplican durante la instalación, incluyendo los permisos de archivo en la raíz del disco del sistema. Puede variar entre equipos dependiendo si la instalación fue limpia o una actualización. Esta plantilla la podemos usar en servidores y clientes, pero no en controladores de dominio. Podemos aplicar partes de la misma para recuperarnos de un desastre.
    • Los valores de seguridad predeterminados sólo se aplican en instalaciones limpias de Windows Server 2003 en particiones NTFS. Cuando se actualizan equipos desde Microsoft Windows NT(r) 4.0, la seguridad no se modifica. Así mismo, cuando se instala Windows Server 2003 sobre un sistema de archivos FAT la seguridad no se aplica al sistema de archivos.
  • Domain controller default security (DC security.inf)
    • Esta plantilla se crea en el momento en que promocionamos un servidor a controlador de dominio. Refleja los valores de seguridad predeterminados en archivos, claves del registro y servicios del sistema. Reaplicandola reiniciamos los valores a los predeterminados, aunque ello puede sobreescribir permisos en archivos nuevos, claves de registro y servicios creados por otras aplicaciones. Puede aplicarse mediante el snap-in de Configuración de seguridad y análisis o con la herramienta de línea de comandos secedit.
  • Compatible (Compatws.inf)
    • Los permisos predeterminados para estaciones de trabajo y servidores ante todo son concedidos a tres grupos locales: Administradores, Usuarios avanzados, y Usuarios. Los Administradores tienen los mayores privilegios, los Usuarios los menos.
    • Los miembros del grupo de Usuarios pueden ejecutar aplicaciones que pertenecen a Windows Logo Program. Sin embargo, no pueden ejecutar aquéllas que no reunan los requerimientos del programa. Si otras aplicaciones pueden ser compatibles, la plantilla Compatws.inf cambia los permisos predeterminados de archivo y registro concedidos al grupo de usuarios. Los nuevos permisos son consecuentes con los requerimientos de la mayoría de aplicaciones que no pertenecen al programa Windows Logo.
  • Secure (Secure*.inf)
    • Las plantillas Secure definen los valores de seguridad mejorados que con menos probabilidad afecten a la compatibilidad de las aplicaciones. Por ejemplo, definen contraseñas más fuertes, cierre de sesión, y valores de auditorías.
  • Highly Secure (hisec*.inf)
    • Las plantillas hisec* son superconjuntos de las plantillas Secure. Imponen mayores restricciones en los niveles de cifrado y firmado que se requieren para autenticación y para los datos que fluyen por canales seguros y entre clientes y servidores SMB (server message block).
  • System root security (Rootsec.inf)
    • De manera predeterminada, esta plantilla define los permisos para la raíz de la unidad del sistema. Podemos utilizarla para reaplicar los permisos del directorio raíz si estos fueron inadvertidamente cambiados, o modificarla para aplicarles a otros volumenes los mismos permisos de la raíz. La plantilla no sobreescribe permisos explícitos que se definen para objetos hijos. Sólo propaga los permisos que son heredados mediante objetos hijo.

Implementar plantillas administrativas y auditorías IV

Usar plantillas de seguridad para proteger equipos

Podemos conformar plantillas de seguridad para crear una directiva de seguridad o para cambiar una directiva de seguridad que reuna las condiciones de seguridad de la empresa. Podemos implementar directivas de seguridad utilizando varios y diferentes caminos. El método a utilizar dependerá del tamaño de la organización y de sus necesidades. Las pequeñas, o aquéllas que no usan AD, pueden hacerlo manualmente o con una plantilla básica. Si en cambio la organización es grande, o requiere un alto grado de seguridad, lo normal sería desplegar las directivas mediante GPOs.

¿Qué es una directiva de seguridad?

Una combinación de valores de seguridad que afectan a la seguridad de un equipo. Podemos utilizar directiva de seguridad para establecer las directivas de cuenta y las directivas locales en el equipo local y en Active Directory.

Configuración de seguridad equipo local

Mediante la directiva de seguridad en un equipo local podemos modificar directamente las directivas locales y de cuenta, las directivas de claves únicas y directivas de seguridad IP en equipo local (IPSec).

Con ésta se controla:

  • Quién accede al equipo
  • Qué recursos de usuario están autorizados a usarse en el equipo.
  • Si las acciones de un usuario o grupo se graban en el registro de eventos.

Si la red no usa AD, se configura la directiva de seguridad mediante la utilización de Directiva de Seguridad Local, que se encuentra en Herramientas Administrativas.

Configuración de seguridad en Active Directory

Las directivas existentes en AD tienen los mismos valores de seguridad que las de un equipo local. Sin embargo, los administradores de AD ahorrarán un tiempo considerable utilizando GPO para desplegar la directiva de seguridad. Podemos editar o importar valores de seguridad a una GPO para cualquier Site, Dominio u OU y dichos valores se aplicarán automáticamente a los equipos cuando se inicien. Cuando editamos una GPO, extendemos Configuración de equipo o Configuración de usuario y luego Configuración de Windows para ver la directiva de seguridad.

Asignar derechos de usuario

Normalmente los administradores añaden usuarios o grupos a los grupos integrados que ya disponen de derechos de usuario. En algunas circunstancias, un grupo integrado puede dar más o menos derechos a un usuario de los necesarios, entonces deben asignarse de forma manual.

Podemos hacerlo:

Inicio–>Ejecutar–escribir mmc y pulsar INTRO.

En la consola, menú archivo, seleccionar Agregar o quitar complemento.

En el cuadro de diálogo siguiente, pulsamos en el botón agregar.

En el cuadro de Agregar un complemento independiente, doble clic en Directiva de grupo.

Pulsamos en Final para cerrar la ventana del asistente para directivas de grupo.

Pulsamos en cerrar para cerrar el cuadro de diálogo agregar un complemento independiente.

Ahora en Aceptar para cerrar el cuadro de diálogo agregar o quitar complemento.

Expandimos Directiva Equipo local, Configuración de equipo, Configuración de Windows, Configuración de seguridad, y finalmente directivas locales.

Pulsamos en Asignación de derechos de usuario.

Agregamos o quitamos un grupo al derecho de usuario pertinente.

Implementar plantillas administrativas y auditorías III

Derechos de usuario asignados a los grupos predeterminados

De forma predefinida Windows Server 2003 asigna ciertos derechos a los grupos predeterminados. Estos grupos incluyen a los grupos locales, los grupos del contenedor de integrados y los grupos del contenedor usuarios.

Grupos Locales

  • Administradores: Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Permitir el inicio de sesión local; Permitir el inicio de sesión a través de Servicios de Terminal Server; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Realizar tareas de mantenimiento de volumen; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos.
  • Operadores de copia de seguridad: Tener acceso a este equipo desde la red; Permitir el inicio de sesión local; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Restaurar archivos y directorios; Apagar el sistema.
  • Usuarios avanzados: Tener acceso a este equipo desde la red; Permitir el inicio de sesión local; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Hacer perfil de un solo proceso; Quitar el equipo de la estación de acoplamiento; Apagar el sistema.
  • Usuarios de escritorio remoto: Permitir inicio de sesión a través de Servicios de Terminal Server.
  • Usuarios: Tener acceso a este equipo desde la red; Permitir el inicio de sesión local; Saltarse la comprobación de recorrido.

Contenedor de integrados

  • Operadores de cuentas: Permitir el inicio de sesión local; Apagar el sistema.
  • Administradores: Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos.
  • Operadores de copia de seguridad: Hacer copia de seguridad de archivos y directorios; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema.
  • Acceso compatible con versiones anteriores a Windows 2000: Tener acceso a este equipo desde la red; Saltarse la comprobación de recorrido.
  • Operadores de impresión: Permitir el inicio de sesión local; Apagar el sistema.
  • Operadores de servidores: Hacer copia de seguridad de archivos y directorios; Cambiar la hora del sistema; Forzar el apagado desde un sistema remoto; Permitir el inicio de sesión local; Restaurar archivos y directorios; Apagar el sistema.

Contenedor usuarios

  • Administradores del dominio: Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos y otros objetos.
  • Administradores de organización (sólo aparece en el dominio raíz del bosque): Tener acceso a este equipo desde la red; Ajustar las cuotas de memoria de un proceso; Hacer copia de seguridad de archivos y directorios; Saltarse la comprobación de recorrido; Cambiar la hora del sistema; Crear un archivo de paginación; Depurar programas; Habilitar la confianza para la delegación de las cuentas de usuario y de equipo; Forzar el apagado desde un sistema remoto; Aumentar la prioridad de programación; Cargar y descargar controladores de dispositivo; Permitir el inicio de sesión local; Administrar el registro de auditoría y seguridad; Modificar valores de entorno del firmware; Hacer perfil de un solo proceso; Hacer perfil del rendimiento del sistema; Quitar un equipo de una estación de acoplamiento; Restaurar archivos y directorios; Apagar el sistema; Tomar posesión de archivos u otros objetos.

Implementar plantillas administrativas y auditorías II

Derechos de usuario vs permisos

Los administradores pueden asignar derechos de usuario específicos a grupos y/o usuarios. Estos derechos autorizan a los usuarios a llevar a cabo acciones específicas, como iniciar sesión interactiva en un sistema o realizar copias de seguridad de archivos y directorios. Los derechos de usuario son distintos a los permisos, ya que los primeros se asocian a usuarios mientras que los segundos lo hacen a los objetos.

Los derechos de usuario determinan qué usuarios pueden llevar a cabo tareas específicas en un equipo o en un dominio. Aunque podemos asignar los derechos a cuentas individuales estos serán más fáciles de administrar si se asignan a grupos. Un usuario inicia sesión como miembro de un grupo y automáticamente hereda los derechos asignados a ese grupo. La asignación a grupos más que a usuarios individuales simplificará la tarea de administración de usuarios. Cuando los usuarios de un grupo requieren los mismos derechos de usuario, podemos establecerlos para el grupo de una vez sin necesidad de hacerlo repetidamente usuario a usuario.

Los derechos de usuario asignados a un grupo se aplican a todos sus miembros. Si un usuario es miembro de varios grupos los derechos son acumulativos, lo que significa que el usuario tiene establecidos más de un paquete de derechos de usuario. El único caso en que los derechos asignados a un grupo pueden causar conflicto con los establecidos para otro grupo es el caso de ciertos derechos de inicio de sesión. En general, los derechos asignados a un grupo no entrarán en conflicto con los asignados a otro. Para quitar derechos a un usuario, el administrador sólo tiene que quitar al usuario del grupo. El usuario no dispondrá ya de los derechos de ese grupo.

Los derechos se aplican al sistema completo más que a un recurso específico, y afecta al conjunto de operaciones del equipo o dominio. Todos los usuarios que acceden a los recursos de red deben disponer de ciertos derechos comunes en los equipos que utilizan, como el derecho de iniciar sesión o de cambiar la hora. Los administradores cuidarán de asignar estos permisos a los grupos y/o usuarios individuales que lo requieran. Windows Server 2003 asigna ciertos derechos a los grupos built-in de manera predeterminada.

Los permisos definen el tipo de acceso concedido a un usuario o grupo para un objeto o propiedad de objeto. Como el permiso de leer y escribir al grupo administración para el archivo nomina.dat.

Podemos conceder permisos sobre cualquier objeto, como archivos, objetos de AD u objetos de registro. Y concederselos a cualquier usuario, grupo o equipo. Una buena metodología es conceder permisos a los grupos.

Los permisos para objetos se conceden:

  • Grupos, usuarios, y identidades especiales en el dominio.
  • Grupos y usuarios en el dominio y cualesquiera dominios de confianza.
  • Grupos y usuarios locales en el equipo donde residen los objetos.

Cuando proporcionamos acceso a los recursos en un equipo con Windows Server 2003, podemos controlar quien tiene acceso y la naturaleza de dicho acceso mediante la concesión de los permisos apropiados. Estos permisos definen el tipo de acceso para un grupo o usuario a cualquier recurso.

Para la concesión de permisos de archivos y carpetas individuales, Windows Server 2003 utiliza el sistema de archivos NTFS. Al mismo tiempo también podemos controlar los permisos para acceder a los recursos compartidos e impresoras en la red.

Implementar plantillas administrativas y auditorias I

Visión general de seguridad en Windows Server 2003

Derechos de usuario

Cuando un usuario inicia sesión, recibe un token(testigo) de acceso que incluye sus derechos. Un derecho autoriza al usuario, que ha iniciado sesión en un equipo o una red, para llevar a cabo diversas acciones en el sistema. Si un usuario no dispone de los permisos requeridos para realizar una acción, cualquier intento de llevarla a cabo será bloqueada.

Los derechos de usuario pueden aplicarse a usuarios individuales, a grupos o a ambos. Sin embargo, los derechos serán más fáciles de administrar y controlar cuando se asignan usando grupos. Esto asegura que un usuario que inicia sesión como miembro de un grupo recibirá automáticamente los derechos asociados a ese grupo.

Derechos de usuario comunes son:

Iniciar sesión: Habilita al usuario a iniciar sesión en el equipo local o en el dominio desde un equipo.

Cambiar la hora: Habilita al usuario a establecer la hora del reloj interno de un equipo.

Apagar el sistema: Habilita al usuario a apagar el equipo local.

Acceso al equipo desde la red: Habilita al usuario para acceder a un equipo que ejecuta Windows Server 2003 desde cualquier otro equipo en la red.

Crear una Unidad organizativa con script

Crear una OU 


Set objDomain = GetObject(«LDAP://dc=dominio,dc=com»)
Set objOU = objDomain.Create(«organizationalUnit», «ou=administracion»)
objOU.SetInfo


Crear una OU dentro de una OU


Set objOUpadre = GetObject(«LDAP://ou=OU1,dc=na,dc=dominio,dc=com»)
Set objOUhija = objOUpadre.Create(«organizationalUnit», «ou=OUhija»)
objOUhija.SetInfo