Mes: octubre 2006

¿Qué es escritorio remoto?

Mediante escritorio remoto podemos administrar uno o más equipos remotos desde un único lugar. En una organización extensa, podemos usar administración remota para centralizar la gestión de muchos equipos que están ubicados en otros edificios o incluso en otras ciudades. En una organización perqueña, podemos usarla para la gestión de un servidor que se encuentra en una oficina cercana.

Escritorio remoto proporciona acceso a un servidor desde un equipo en otro lugar mediante el protocolo RDP. RDP transmite el interfaz de usuario a la sesión del cliente, y a la vez el teclado y el ratón desde el cliente al servidor.

Disponemos de dos conexiones simultáneas remotas. Cada sesión que iniciamos es independiente de otras sesiones de clientes y de la sesión de consola. Cuando usamos escritorio remoto para iniciar sesión en un servidor remoto es como si hubiesemos iniciado sesión en el servidor localmente.

Escritorio remoto nos proporciona dos herramientas que podemos usar para la administración de un servidor remoto: Conexión de escritorio remoto y complemento de escritorios remotos.

Cada instancia de la herramienta de conexión de escritorio remoto crea su propia ventana y nos permite administrar un servidor por ventana. Esto siempre inicia una nueva sesión en el servidor.

El complemento de Escritorios remotos es útil para administradores que gestionan remotamente multiples servidores o para los que deben conectar con la sesión de consola remotamente. El complemento muestra una ventana dividida con el árbol de consola a la izquierda y la información conexión remota en el panel de detalles de la derecha.

Como ya he dicho, el límite de conexiones simultáneas de escritorio remoto son dos, una vez alcanzadas no se abrirán más conexiones hacia ese servidor remotamente.

Nota:  Para permitir más de dos conexiones simultáneas de escritorio remoto debemos instalar Servicios de Terminal.

¿Por qué usar Escritorio Remoto para administrar?

Parece que sea un servicio eficiente y conveniente que puede reducir mucho el incremento que está asociado con la administración remota. Por ejemplo: RDP permite múltiples administradores de sistemas para gestionar servidores remotos.

Escritorio remoto nos permite una de dos, iniciar una sesión remota nueva en un servidor o tomar remotamente la sesión de consola en un servidor. Sin embargo, sólo puede haber una sesión de consola activa en un servidor a la vez. Si se inicia remotamente en la consola mientras otro administrador está conectado a la misma, el primero será desconectado.

Nota: los mensajes del sistema que son envíados hacia la consola se muestran en esa sesión y no en el resto de sesiones remotas.

También podemos conectarnos de forma remota mediante Escritorio remoto a un servidor de la familia Windows Server 2003 aún cuando nuestro equipo está ejecutando alguna versión anterior de Windows.

Escritorio remoto es útil, ya que nos proporciona acceso remoto a la mayor parte de configuraciones y valores de configuración, incluyendo el panel de control que normalmente no puede configurarse remotamente.

Mediante la sesión de Escritorio remoto, podemos acceder a MMC, al directorio activo AD, MSMS (Microsoft Systems Management Server), herramientas de configuración de red y muchas otras herramientas administrativas.

Así pues Escritorio remoto puede ayudarnos a diagnosticar problemas y realizar comprobaciones rápidamente.

Podemos acceder a los servidores desde cualquier parte del mundo en donde exista una conexión a internet, sea Lan, Wan o acceso telefónico a redes, mediante una VPN*. Podemos conectarnos realizar alguna tarea administrativa como programar una copia de seguridad e iniciarla, desconectarnos y volver a conectarnos más tarde para ver como se va realizando la tarea.

Podemos también actualizar las aplicaciones del servidor remotamente y llevar a cabo aquéllas tareas que no son normalmente posibles si no se está trabajando directamente sobre la consola.

Por supuesto también podemos abrir la línea de comandos y utilizarla para nuestras necesidades.

*Ojo a la conexión desde 'cualquier parte del mundo' sin hacerlo sobre una VPN.

¿Cuales son los requisitos para el servicio de Escritorio Remoto?

Antes de poder administrar un servidor remotamente éste debe habilitarse para administración remota.

El servicio debe habilitarse localmente en el servidor remoto desde la sesión de consola y por un administrador del sistema.

1. Clic derecho sobre MI PC
2. Clic en propiedades
3. Clic en Remoto
4. Marcar la casilla de Permitir a los usuarios que puedan conectarse remotamente a este equipo.

Preferencias de cliente para la conexión de Escritorio Remoto

Windows XP, y toda la familia Windows Server 2003 lleva incorporado un cliente de Escritorio Remoto, que será el que nos permitirá conectar con el servidor si aquél fue habilitado para permitir Escritorio Remoto.

Antes de seguir, he de decir que hay cliente más actual, y que puede descargarse desde:

http://www.microsoft.com/downloads/details.aspx?FamilyID=80111f21-d48d-426e-96c2-08aa2bd23a49&DisplayLang=en cuya versión es la 6.0.2600.0.

De todas formas estamos testeando nuevas versiones ante la llegada de Vista y Loghorn Server.

La ventana del cliente de Escritorio Remoto nos ofrece una serie de pestañas en las que podemos configurar varios aspectos y valores.

• General
• Pantalla/Mostrar
• Recursos locales
• Programas
• Rendimiento

(En versiones posteriores habrá algunas opciones más, además de un entorno más seguro)

• General:Esta pestaña nos sirve para proporcionar información necesaria para iniciar sesión automáticamente en el servidor remoto. Nombre del servidor (o IP), nombre de usuario y contraseña, y, nombre de dominio. También podemos guardar la contraseña, la configuración de la conexión, y abrir o guardar la conexión.
• Mostrar: Esta pestaña nos servirá para la configuración del tamaño de pantalla y colores del escritorio remoto y para ocultar o mostrar la barra de conexión en el modo de pantalla completa.
• Recursos locales: Aquí elegiremos si permitimos al escritorio remoto tener acceso a las unidades de disco, puertos serie, impresoras, o smart card en el equipo local. Permitir el acceso desde el escritorio remoto supone una redirección de recursos. Cuando permitimos a escritorio remoto el acceso a estos recursos le permitimos su uso durante la duración de la sesión.
• Programas: Usaremos esta pestaña para especificar que un programa se ejecutará en la conexión al servidor remoto.
• Rendimiento: Use esta pestaña para mejorar el rendimiento de la conexión al servidor remoto mediante la habilitación de ciertas características de la sesión de escritorio remoto, como el fondo de escritorio aparezca tal cual está en el equipo remoto. Para mejorar el rendimiento de la conexión debe seleccionarse una velocidad de conexión rápida(si lo es). De forma predeterminada esta en 56k por segundo, que ofrece un buen rendimiento para la mayoría de redes. Utilice una velocidad más rápida para activar características gráficas superiores, como fondo de escritorio o atenuación o desplazamiento de menús.

Administrar remotamente mediante Administración de equipos

Podemos usar Administración de equipos cuando estamos fuera del lugar en que se encuentra el servidor que necesitamos administrar. Las herramientas de administración remota que son proporcionadas con Windows Server 2003 nos ayudan a identificar y solucionar problemas que se encuentran los usuarios sin tener que enviar personal de soporte a los sitios de trabajo de los usuarios.

1. Iniciamos sesión como administrador(o no)
2. Abrimos la consola de administración de equipos desde Inicio, clic derecho sobre MI PC, seleccionamos Administrar.
3. Clic derecho en Administración de equipos(local) y pulsamos en Conectar con otro equipo.
4. Clic otro equipo, escribimos el nombre del equipo que queremos administrar remotamente, o clic en navegar para ubicar el equipo, y pulsamos en Aceptar.
5. En Administración de equipos, árbol de la consola, extendemos Herramientas de sistema, o Almacenamiento, o Servicios y aplicaciones.
6. Clic en el elemento, y entonces selecciona las herramientas que quieres usar.

—

Papel de la MMC en Administración remota

Microsoft Management Console (MMC) proporciona un interfaz que podemos usar para crear, guardar y abrir herramientas administrativas, denominados snap-ins, que administran el hardware, software, y los componentes de red de Windows Server 2003. Cuando abrimos un herramienta administrativa en una MMC, podemos especificar si aplicar la herramienta a un equipo local o a un equipo remoto.

Para llevar a cabo tareas repetitivas a diversos servidores, use MMC snap-ins. La mayoría de las herramientas administrativas que se proporcionan con Windows Server 2003 son MMC snap-ins que podemos utilizar para la administración remota de servidores tan bien como lo podemos hacer  con un equipo local.

Las ventajas de usar MMC snap-ins son que podemos:

• Crear una consola que contenga las herramientas que utilizamos para las tareas que llevamos a cabo más frecuentemente.
• Establecer el foco a una herramienta para cualquiera de los servidores que administramos y cambiar entre ellos y las herramientas dentro de una MMC consola única.

Configurar una MMC para administración remota:

1. Abrimos MMC, desde inicio–>ejecutar escribimos mmc y pulsamos enter.
2. En el menú archivo, pulsamos en Agregar/quitar complemento y pulsamos en agregar.
3. En la lista de complementos, pulsamos en Administración de equipos y pulsamos en agregar.
4. Cuando se pregunte, seleccionamos el equipo local o equipo remoto que queremos administrar mediante este complemento y pulsamos en finalizar.
5. Pulsamos en cerrar y luego en Aceptar.

Filtrado multicapa

Tres tipos básicos de cortafuegos son los existentes, basados en el nivel en que el cortafuegos lleva a cabo las acciones de filtrado. En los primeros se filtraba en un sólo nivel, normalmente a nivel de paquete. Los más modernos usan filtrado multicapa para proporcionar la mejor seguridad. A un cortafuegos multicapa suele llamarsele cortafuegos Híbrido. Un cortafuegos multicapa lleva a cabo dos o más de los siguientes niveles de filtrado:

• Filtrado a nivel de red.(paquetes)
• Filtrado a nivel de transporte.(circuito)
• Filtrado a nivel de capa de aplicación.

Estas tres capas de filtrado se relacionan con el modelo de red OSI.

El modelo OSI fue desarrollado por La Organización Internacional de Estandarización (ISO) para proporcionar un modelo multicapa que diseñadores/desarrolladores de software y hardware de redes pudieran utilizar para asegurar mejor la compatibilidad entre sus productos.

Filtrado a nivel de red(Paquetes)

Los primeros cortafuegos fueron cortafuegos de filtrado de red, trabajaban a nivel de red del modelo OSI. Examinan las cabeceras de los paquetes que contienen direcciones IP y opciones de paquete y bloquean o permiten el trafico a través del cortafuegos basado en esta información.

Un cortafuegos de filtrado a nivel de red puede utilizar alguna de las siguientes tecnologías:

• Filtrado estático de paquetes: reglas establecidas manualmente y los puertos permanecen abiertos o cerrados hasta que se cambie manualmente.
• Filtrado dinámico de paquetes: más inteligente que el anterior, en que las reglas se cambian dinámicamente dependiendo de sucesos o condiciones, y los puertos se mantienen abiertos mientras es necesario y entonces se cierran.
• Filtrado a nivel de datos o estado: se usa una tabla para mantener los estados de conexión de sesiones tanto como el orden en que los paquetes deben pasar en una secuencia autorizada por las políticas de filtrado.

Stateful Inspection o Inspección de paquetes a nivel de datos es una tecnología por la que se realiza un análisis profundo de la información contenida en los paquetes(por encima de la capa de aplicación) y consecuentemente las decisiones de filtrado se basan en lo que el cortafuegos ha aprendido de los paquetes examinados previamente.

Filtrado de circuito

Un cortafuegos de este tipo, también denominado pasarela a nivel de circuito, trabaja en las capas de transporte y sesión del modelo OSI. Puede examinar estrechamente la información TCP que se está enviando entre equipos para verificar que la solicitud de sesión es legítima.

Los filtros de circuito operan en una capa alta del modelo, la capa de transporte (capa host a host en el modelo DOD). Restringen el acceso a la base de los equipos(no usuarios) mediante el proceso de la información hallada en la cabecera del paquete TCP y UDP. Esto permite a los administradores crear filtros que, por ejemplo, prohibirían a cualquiera usar el equipo A y desde FTP acceder al equipo B.

Cuando los filtros de circuito se utilizan, el control de acceso se basa en los datos TCP o datagramas UDP. Pueden actuar según las banderas de estado TCP o UDP y la secuencia de la información, como añadido a las direcciones de origen y destino y número de puertos. Este filtrado permite a los administradores inspeccionar las sesiones, más que paquetes. Una sesión a veces se cree como una conexión, pero realmente una sesión puede realizarse desde más de una conexión. Las sesiones se establecen sólo en respuesta a una solicitud de usuario, que se agrega a la seguridad.

Este filtrado no restringe el acceso basado en la información de usuario; tampoco interpretar el sentido de los paquetes. Es decir, no puede distinguirse entre un comando GET y un comando PUT envíados por una aplicación. Hacer esto significa utilizar filtrado de aplicación.

Filtrado de capa de aplicación

El filtrado de aplicación se lleva a cabo por pasarelas de aplicación, también denominadas proxys. Estos cortafuegos operan en la capa de aplicación del modelo OSI y pueden examinar el contenido de los datos.

Hay veces en que la mejor táctica es filtrar paquetes basada en la información contenida en éllos mismos. Los dos tipos de filtrado anteriores no pueden usar esos contenidos de los paquetes para tomar decisiones de filtrado, pero esto puede realizarse mediante filtrado de aplicación. Un filtro de aplicación opera en la capa superior del modelo de red, la capa de aplicación. Este filtrado puede usar la información contenida en la cabecera del paquete pero también es capaz de permitir o rechazar paquetes en base a los contenidos de los datos y a la información de usuario.

Los administradores pueden usar este filtrado para controlar el acceso basado en la identidad del usuario y/o en la tarea concreta que el usuario está intentando llevar a cabo. Con filtros de aplicación, los criterios pueden establecerse basados en comandos emitidos por las aplicaciones. Esto significa que, por ejemplo, el administrador podría restringir a un usuario en concreto la descarga de archivos de un equipo específico, usando FTP. Al mismo tiempo podría permitir que el usuario cargase archivos vía FTP en el mismo equipo. Esto es posible porque los diferentes comandos son emitidos dependiendo de si el usuario está recuperando archivos desde el servidor o depositándolos allí.

Las pasarelas de aplicación están consideradas por muchos expertos en cortafuegos como la más segura de las tecnologías de filtrado. Debido principalmente a que los criterios que estos cortafuegos utilizan para filtrado abarcan mucho más que otros métodos. A veces los hackers escriben programas maliciosos que usan direcciones de puertos de una aplicación autorizada, como el puerto 53 que es el DNS. Un filtrado de paquete o circuito sería incapaz de reconocer que el paquete no es un paquete de solicitud o respuesta DNS válido, y permitiría su paso. Un filtrado de aplicación, sin embargo, es capaz de examinar el contenido del paquete y determinar que no debe ser permitido su paso.

Hay inconvenientes en este tipo de filtrado. El más grande es que deben tener una pasarela de aplicación separada para cada servicio de internet que el cortafuegos debe soportar. Esto supone un mayor trabajo de configuración; sin embargo, esta debilidad es también un punto fuerte que añade a la seguridad del cortafuegos.  Como una pasarela para cada servicio debe ser habilitada explícitamente, un administrador no podrá casualmente permitir servicios que representen una amenaza para la red. El filtrado de aplicación es el más sofisticado nivel de filtrado llevado a cabo por el servicio de cortafuegos y es especialmente útil en proteger la red frente a tipos específicos de ataques como comandos SMTP maliciosos o intentos de penetración a los servidores locales DNS.

Otro inconveniente del filtrado de aplicación es el rendimiento o su carencia. Este filtrado es un proceso lento ya que los datos del interior de los paquetes deben examinarse. Consecuentemente, no parece probable que desearemos emplazar un cortafuegos con filtrado de aplicación en la periferia de la red cuando se tiene una conexión de entrada muy rápida. En su lugar, un simple y rápido cortafuegos de filtrado de paquetes sería mejor y el filtrado de aplicación puede efectuarse más lejos de allí y más cerca de la aplicación misma.

La primera función de un cortafuegos es simple: proteger la red. Los cortafuegos más modernos utilizan múltiples métodos sofisticados para cumplir esta misión.

• Primera línea de defensa frente a ataques a la red. Como añadido al bloqueo de paquetes originados desde direcciones IP, o dominios en concreto, o direcciones de correo específicas, un cortafuegos efectivo puede reconocer las firmas o características específicas de los que constan paquetes de tipos de ataques de red comunes, como ataques DOS (Denial of Service) o IP spoofing. Esta es una función de los cortafuegos de sistema de detección de intrusiones / sistema de prevención de intrusiones (IDS/IPS).
• Primera línea de defensa frente a virus y spam. Un cortafuegos efectivo debe también ser capaz de reconocer virus, gusanos, caballos de troya y otros códigos maliciosos diseñados para dañar los programas o datos en una red, enviando datos hacia una parte no autorizada sin nuestro conocimiento o consentimiento, y/o use los sistemas en la red como intermediarios (zombies) para lanzar ataques contra otros equipos remotos.
• Herramienta forense para después del hecho. La primera funcionalidad del cortafuegos es prevenir atacantes, código malicioso y usuarios no autorizados desde toda la red, pero ello también supone una funcionalidad secundaria como herramienta forense después de un ataque o intento del mismo. Los cortafuegos modernos graban sucesos en registros que se pueden usar para generar informes utilizados como respuesta a incidentes y como evidencias en los casos de procesamiento de agujeros de seguridad. Un buen sistema de informes es esencial para proporcionar un rastro utilizable de auditoría y encontrar cualquier agujero de seguridad existente.

NOTA: Un buen cortafuegos es un medio efectivo para prevenir muchos tipos de agujeros de seguridad, pero no garantiza un 100 por 100 de seguridad para una red. Los Hackers tienen caminos para abrir brechas de seguridad, como la ingeniería social, que sortean las protecciones proporcionadas por los cortafuegos. De esta manera, es importante que un acercamiento verdadero multicapa hacia la seguridad también enfoque el entrenamiento, educación del usuario, políticas de recursos humanos y prácticas, etc…

Algunas de las características importantes incluídas en los cortafuegos modernos incluyen:

• Filtrado múlticapa
• Enlaces VPN
• Prevención y detección de ataques
• Anti-virus
• Caché web
• Herramientas de adminsitración avanzadas.

Administración de equipo

Digamos que es una colección de herramientas administrativas que podemos utilizar para administrar local o en remoto un equipo.

Podemos:

• Monitorizar eventos del sistema.
• Crear y administrar recursos compartidos.
• Ver la lista de usuarios que están conectados a un equipo local o remoto.
• Iniciar y detener servicios del sistema.
• Establecer las propiedades de los dispositivos de almacenamiento.
• Ver la configuración de los dispositivos y agregar nuevos controladores de dispositivo.
• Administrar aplicaciones y servicios.

La consola de Administración de equipo  organiza las herramientas en tres categorías:

• Herramientas de sistema
• Almacenamiento y,
• Aplicaciones y servicios.

Herramientas para el sistema

Nos servirán para administrar los eventos de sistema y el rendimiento en el equipo que administramos.

• Visor de sucesos: Aquí podemos ver los eventos que se han grabado en los registros de sistema, aplicación y seguridad. Podemos monitorizar esos registros para el seguimiento de eventos de seguridad e identificar posibles errores de software, hardware y del sistema.
• Carpetas compartidas: Ver las conexiones a los recursos que están en uso en el equipo. Podemos también, crear, ver y administrar los recursos compartidos; ver sesiones y archivos abiertos; y cerrar archivos y desconectar las sesiones.
• Usuarios y grupos locales: Creación y administración de cuentas de usuario y grupo locales.
• Registros y alertas de rendimiento: Para monitorizar y recoger información sobre el rendimiento del equipo.
• Administrador de dispositivos: Aquí podemos ver los dispositivos hardware que están instalados en el equipo, actualizar controladores de dispositivo, modificar configuración de dispositivos y resolver conflictos de dispositivos.

Almacenamiento

Administración de los medios de almacenamiento.

• Medios de almacenamiento extraíbles: Seguimiento de los medios extraíbles de almacenamiento y administrar las librerías o sistemas de datos almacenados que contienen.
• Desfragmentador de disco: Análisis y desfragmentación de volumenes en discos duros.
• Administrador de discos: Administración de discos para llevar a cabo tareas relacionadas, como convertir discos, crear o formatear volumenes. Nos ayuda a la administración de los discos duros y las particiones o volumenes que contengan.

Aplicaciones y servicios

Administración de servicios y aplicaciones del equipo especificado.

• Servicios: Administración de los servicios en el equipo local o remoto. Podemos iniciar, detener, parar, resumir o deshabilitar un servicio.
• Control WMI: Administración y configuración de Windows Management Service.
• Servicio de Index server: Administración del servicio de Indexación y para la creación y configuración de catálogos adicionales para almacenar la información indizada.

Yo tengo instalado SQL server 2005 y también se me muestra el SQL Configuration Manager.

Para ganar tiempo, podemos y debemos configurarnos accesos directos a las herramientas más utilizadas en nuestro escritorio. Por ejemplo, creamos un acceso directo a rendimiento:

1. Clic derecho sobre el escritorio, elegimos Nuevo, después Acceso directo.
2. En el cuadro de diálogo del acceso directo, casilla Escribe la ubicación del elemento, escribimos: runas /user:dominioadministrador "mmc %windir%system32perfmon.msc" y pulsamos siguiente.
3. Le damos un nombre, por ejemplo Rendimiento y pulsamos en finalizar.

Hecho. Al pulsar sobre el acceso directo nos pedirá la contraseña y abrirá el complemento.

Otros:

Administrador de equipos:

runas /user:dominioadministrador "mmc %windir%system32compmgmt.msc"

Administrador de dispositivos:

runas /user:dominioadministrador "mmc %windir%system32devmgmt.msc"

Administrador de discos:

runas /user:dominioadministrador "mmc %windir%system32diskmgmt.msc"

Active Directory:

runas /user:dominioadministrador "mmc %windir%system32dsa.msc"

Abrir MMC:

runas /user:dominioadministrador mmc

Abrir Command Prompt:

runas /user:dominioadministrador cmd

—-

Utilicemos Run As para lanzar la ejecución de una consola MMC en el contexto de una cuenta que tenga los privilegios adecuados para llevar a cabo la tarea. Imagínemos que no podemos agregar o quitar programas con los privilegios de la cuenta con que hemos iniciado, pero tenemos otra que si los posee, bien, siempre podemos cerrar la sesión y abrir una nueva, pero creo que si vamos al panel de control y mientras mantenemos pulsada la tecla mayúsculas, hacemos clic derecho sobre el icono de agregar o quitar programas y elegimos Ejecutar como nos servirá igualmente.

—-

Aunque sobre este tema ya escribí un artículo que podeis bajar desde http://download.microsoft.com/download/2/2/d/22d605b7-58d5-4dde-a873-8359e3460c53/Navegar_y_recibir_correo_mas_seguro.doc

El comando Run As (Ejecutar como)

Mediante el comando Run As lo que hacemos es iniciar una sesión secundaria de manera que un administrador que ha iniciado sesión como un usuario sin privilegios puede realizar tareas administrativas y ejecutar programas que le son de confianza.

Si hemos de utilizar el comando para llevar a cabo tareas de administración, entonces se requiere una cuenta regular con privilegios básicos, y la cuenta administrativa requerida. Me refiero a que posiblemente cada administrador dispone de una cuenta administrativa diferente y según las necesidades de sus tareas, siempre basándome en los grupos que puse en el artículo anterior, aunque por supuesto, podríamos tener una cuenta idéntica y compartida para todos los admin(vaya descontrol…:-(, no me gusta personalmente)

 

La mayor responsibilidad de un administrador de sistemas es como su nombre indica, administrar los servidores de una empresa, organización, ¿en casa? jejeje. Ya que muchos de dichos administradores no suelen encontrarse en el mismo sitio, físicamente, que los servidores que administran, deben entender como hacerlo de forma remota.

Veamos como usar Windows Server 2003 para administrar servidores remotamente, que herramientas utilizar y qué permisos se requieren para éllo. También como administrar las conexiones remotas y porque este aspecto es importante para la administración de un sistema.

——

Pertenencia a grupos usada para administrar

Para la administración de un servidor deben tenerse los permisos apropiados para la tarea a realizar. Es muy importante familiarizarse con los permisos que se asignan a los grupos locales de dominio que permiten a sus miembros llevar a cabo funciones específicas, ya que los usaremos para realizar las tareas administrativas comunes.

Cuando un servidor promociona a controlador de dominio, los grupos íntrinsecos se crean en el servicio de directorio de Active Directory. De forma predeterminada estos grupos poseen permisos predefinidos que determinan las tareas del sistema cuyos miembros pueden llevar a cabo. Estos grupos no pueden suprimirse.

• Administradores. Los miembros del grupo de Administradores pueden realizar todas las funciones compatibles con el sistema operativo. Pueden asignar ellos mismos a cualquier usuario derechos que no tienen de forma predeterminada. La pertenencia a este grupo debe estar dirigida a sólo aquéllos usuarios que necesiten un acceso total. Inicie sesión sólo cuando sea necesario.

Se aconseja precaución sobre la agregación de otros usuarios al grupo de administradores. Por ejemplo, si hay un técnico dedicado a las impresoras en la organización, agréguelo al grupo de Operadores de impresión en lugar del grupo de administradores.

• Operadores de copia de seguridad. Sus miembros pueden realizar copias de seguridad y restaurar todos los archivos mediante la herramienta de copia de seguridad.
• Operadores de cuentas. Sus miembros pueden administrar cuentas de usuarios y grupos. La excepción es que sólo un miembro del grupo de administradores pueden modificar un grupo de administradores o cualquier grupo de Operadores.
• Operadores de servidores. Sus miembros pueden compartir los recursos de disco, iniciar sesión en el servidor interactivamente, crear y suprimir recursos de red, iniciar y detener servicios, formatear el disco duro del servidor y apagar el equipo. Asímismo pueden realizar copias de seguridad y restaurar archivos mediante la herramienta de copia de seguridad.
• Operadores de impresión. Los miembros del grupos de Operadores de impresión pueden instalar las impresoras locales y de red para asegurarse que los usuarios podrán fácilmente conectar y usar recursos de impresión.

Utilizando una variedad de grupos locales de dominio y sus niveles de permisos asociados pueden proteger los recursos de posibles agujeros de seguridad. Un Administrador de sistemas debe siempre pertenecer al grupo más restringido que le proporcione los derechos apropiados y permisos necesarios para cumplir su tarea. Por ejemplo, un administrador de sistema que administra sólo impresoras y realiza copias de seguridad, debe pertenecer sólo al grupo de Operadores de impresión y tener autoridad para la copia de seguridad.

A los miembros de los grupos locales de dominio le son asignados permisos para realizar tareas del sistema, como realizar copia de seguridad de archivos, restaurar archivos, o, cambiar la hora del sistema. Use estos grupos para administrar recursos, como archivos del sistema o impresoras que se ubican en cualquier equipo en el dominio donde sólo se necesitan permisos de acceso común.

Cuando inicia un equipo como miembro del grupo de administradores se corren ciertos riesgos de seguridad. Una simple visita a una página en internet o abrir el adjunto de un correo pueden dañar seriamente el sistema, ya que nunca sabemos si dicha página o correo tienen código malévolo y que se ejecutará en el sistema.

Hay unos eventos más comunes que otros, pero aún así entrar a detallarlos cuando se dispone de la knowledgebase creo que no vale la pena.
Aquí teneis un par de enlaces si teneis curiosidad.
http://support.microsoft.com/kb/299475/es
http://support.microsoft.com/kb/301677/es
—

En un registro de seguridad aparecen diversos eventos, cada uno de ellos tiene un valor numérico denominado Event ID + una cifra. La búsqueda de información sobre un evento puede realizarse desde la http://support.microsoft.com/search/default.aspx.

—-
Todos los eventos relacionados con la seguridad del sistema operativo en NT, Windows server 2003 y XP se graban en el registro de seguridad del visor de eventos. También pueden serlo en los registros de aplicación y  sistema.

Antes de habilitar directivas de auditorías, debería evaluarse si la configuración predeterminada de los archivos de registro del visor de eventos es la apropiada para nuestras necesidades.
La configuración la podemos ver desde el menú de herramientas administrativas, abrimos el visor de eventos y luego con clic derecho en el registro y seleccionar propiedades.
De forma predeterminada el registro se almacena en systemroot/system32/config, en un archivo llamado SecEvent.evt. En Windows Server 2003 podemos cambiar la ubicación del registro desde las propiedades del propio registro. En NT o Windows Server 2000 debe editarse el registro para cambiar la ubicación de cada registro de seguridad.
También de forma predeterminada sólo la cuenta system y el grupo de administradores tienen acceso al registro de seguridad. Esto evita que los no administradores pueden leer, escribir o suprimir eventos de seguridad. Así que si movemos la ubicación de los registros hemos de asegurarnos que el nuevo archivo tenga los permisos NTFS correctos. Y ya que el servicio de Visor de eventos no puede detenerse, cualesquiera cambios no se aplicarán hasta que el servidor sea reiniciado.

También viene definido el tamaño máximo que el registro de seguridad puede alcanzar para comenzar a sobrescribir los existentes y que es de 512KB. Ya que en la actualidad parece que disponemos de más espacio en los discos duros que anteriormente, sería muy interesante incrementar ese valor. La cantidad que debe incrementarse dependerá también de la configuración de sobrescritura para dicho registro de seguridad, aunque parece que una cantidad generalmente utilizada es un tamaño máximo de al menos 50MB. Podemos cambiar el tamaño máximo del registro de seguridad en equipos individuales en las propiedades del propio registro de seguridad o en una gran cantidad de equipos mediante la utilización de plantillas o editando el registro de windows.
El tamaño máximo que establecería para el conjunto de los tamaños de todos los registros es de 300MB. Cada evento tiene entre 350 y 500 bytes, así que 10MB contendrían aproximadamente entre 20000 y 25000 eventos de seguridad.

Cuando configuramos el registro de seguridad, debemos definir el comportamiento de sobrescritura para cuando se alcanza el tamaño máximo.
– Sobrescribir eventos cuando sea necesario
Los nuevos eventos continuan grabándose aunque el registro esté lleno. Cada nuevo evento sustituye e uno antiguo.
– Sobrescribir eventos antiguos de más de x días.
Los eventos se retienen en el registro durante los días especificados antes de ser sobrescritos. De forma predeterminada son 7 días.
– No sobrescribir eventos.
Los nuevos eventos no se graban hasta que se vacíe manualmente el registro.

Para delegar los derechos de administración sobre los archivos de registro, configuraremos la directiva de grupo Administrar los registros de auditoría y seguridad, que se encuentra en Configuración de equipoconfiguración de windowsconfiguración de seguridaddirectiva localasignación de derechos de usuario.

Administrando los registros de seguridad

Podemos configurar registros de seguridad (logs) para grabar información relativa a los sucesos y eventos de un servidor y de AD. Estos sucesos se graban en el registro de seguridad de Windows, que puede grabar suceso de seguridad, como un inicio de sesión válido o intentos inválidos de iniciar sesión, el uso de los recursos, como crear, abrir o borrar archivos. Debemos iniciar sesión como administrador para controlar que eventos son auditados y mostrados en el registro de seguridad.

¿Qué es un archivo de registro(log)?

Archivos que graban sucesos, que cada equipo tiene por separado para grabar sucesos locales. Los controladores de dominio registran la información sobre AD.

Podemos ver los siguientes archivos de registro desde el Visor de Sucesos, y dependiendo del equipo que se está usando y de los servicios instalados en el mismo.

• Aplicación

Registra aquéllos eventos generados por las aplicaciones instaladas en el equipo, incluyendo aplicaciones de servidor, como Exchange o SQL, y aplicaciones de escritorio, como Office.

• Seguridad

Eventos generados por las Auditorías. Incluyendo inicios y cierres de sesión, acceso a los recursos y cambios en las políticas.

• Sistema

Eventos generados por componentes y servicios en Windows Server 2003.

• Servicio de Directorio

Presente sólo en DCs. Por ejemplo registra la replicación de AD.

• Servicio de replicación de archivos

Igual que el anterior, sólo presente en DCs. Registra la replicación de las políticas de grupo, por ejemplo.

Como se ha comentado, pueden existir otros logs, dependiendo de esos servicios instalados y en funcionamiento. Si decidimos utilizar la auditoría de forma extensiva, hemos de aumentar el tamaño de los archivos logs en el apartado de registro de eventos de la directiva de seguridad.

Los registros se guardan en raízdelsistema/system32/config y se pueden exportar y guardar con los siguientes formatos de archivo:

• Event log files (.evt), predeterminado.
• Delimitado por comas (.csv)
• Texto (.txt)