¿Qué son las plantillas de seguridad?
Una plantilla de seguridad es una colección de valores configurados de seguridad. Windows Server 2003 proporciona plantillas predefinidas que contienen los valores de seguridad recomendados para distintas situaciones.
Podemos usar las plantillas predefinidas para crear directivas de seguridad personalizadas y cumplir las necesidades de diferentes Unidades Organizativas. Podemos personalizarlas con el snap-in de plantillas de seguridad. Después de personalizarlas podemos hacer uso de las mismas para configurar la seguridad de un equipo individual o miles de ellos.
Tenemos la posibilidad de establecer la seguridad a equipos individuales con el snap-in de Configuración y Análisis de seguridad o también con la herramienta de línea de comandos secedit, o mediante la importación de una plantilla en Directiva de Seguridad Local. Podemos establecer la seguridad de múltiples equipos con la importación de una plantilla en configuración de seguridad, que es una extensión de Directiva de grupo.
También podemos usar una plantilla de seguridad como una línea básica para un análisis de un sistema y ver potenciales brechas de seguridad o violaciones de directiva mediante el uso del snap-in de Configuración de seguridad y análisis. Predeterminadamente las plantillas de seguridad predefinidas se encuentran en systemroot/Security/Templates.
En Windows Server 2003 tenemos las siguientes plantillas:
- Default security (Setup security.inf)
- Esta plantilla se crea durante la instalación del sistema operativo en cada equipo y representa los valores de seguridad predeterminados que se aplican durante la instalación, incluyendo los permisos de archivo en la raíz del disco del sistema. Puede variar entre equipos dependiendo si la instalación fue limpia o una actualización. Esta plantilla la podemos usar en servidores y clientes, pero no en controladores de dominio. Podemos aplicar partes de la misma para recuperarnos de un desastre.
- Los valores de seguridad predeterminados sólo se aplican en instalaciones limpias de Windows Server 2003 en particiones NTFS. Cuando se actualizan equipos desde Microsoft Windows NT(r) 4.0, la seguridad no se modifica. Así mismo, cuando se instala Windows Server 2003 sobre un sistema de archivos FAT la seguridad no se aplica al sistema de archivos.
- Domain controller default security (DC security.inf)
- Esta plantilla se crea en el momento en que promocionamos un servidor a controlador de dominio. Refleja los valores de seguridad predeterminados en archivos, claves del registro y servicios del sistema. Reaplicandola reiniciamos los valores a los predeterminados, aunque ello puede sobreescribir permisos en archivos nuevos, claves de registro y servicios creados por otras aplicaciones. Puede aplicarse mediante el snap-in de Configuración de seguridad y análisis o con la herramienta de línea de comandos secedit.
- Compatible (Compatws.inf)
- Los permisos predeterminados para estaciones de trabajo y servidores ante todo son concedidos a tres grupos locales: Administradores, Usuarios avanzados, y Usuarios. Los Administradores tienen los mayores privilegios, los Usuarios los menos.
- Los miembros del grupo de Usuarios pueden ejecutar aplicaciones que pertenecen a Windows Logo Program. Sin embargo, no pueden ejecutar aquéllas que no reunan los requerimientos del programa. Si otras aplicaciones pueden ser compatibles, la plantilla Compatws.inf cambia los permisos predeterminados de archivo y registro concedidos al grupo de usuarios. Los nuevos permisos son consecuentes con los requerimientos de la mayoría de aplicaciones que no pertenecen al programa Windows Logo.
- Secure (Secure*.inf)
- Las plantillas Secure definen los valores de seguridad mejorados que con menos probabilidad afecten a la compatibilidad de las aplicaciones. Por ejemplo, definen contraseñas más fuertes, cierre de sesión, y valores de auditorías.
- Highly Secure (hisec*.inf)
- Las plantillas hisec* son superconjuntos de las plantillas Secure. Imponen mayores restricciones en los niveles de cifrado y firmado que se requieren para autenticación y para los datos que fluyen por canales seguros y entre clientes y servidores SMB (server message block).
- System root security (Rootsec.inf)
- De manera predeterminada, esta plantilla define los permisos para la raíz de la unidad del sistema. Podemos utilizarla para reaplicar los permisos del directorio raíz si estos fueron inadvertidamente cambiados, o modificarla para aplicarles a otros volumenes los mismos permisos de la raíz. La plantilla no sobreescribe permisos explícitos que se definen para objetos hijos. Sólo propaga los permisos que son heredados mediante objetos hijo.