Los valores de las plantillas de seguridad
Las plantillas contienen valores de seguridad para todas las áreas de seguridad. Podemos aplicar plantillas a equipos individuales o desplegarlas a grupos de equipos mediante directivas. Cuando se aplica una plantilla a valores de seguridad existentes los valores en la plantilla se combinan con los valores de seguridad del equipo.
Podemos configurar y analizar estos valores para equipos mediante la extensión de Configuración de seguridad de las directivas o con Configuración de seguridad y análisis.
Dentro de los valores de seguridad vemos:
- Directivas de cuentas
- Estos valores nos sirven para configurar las directivas de contraseña, directivas de bloqueo de cuentas, y el protocolo Kerberos V5 para el dominio. Una directiva de cuenta de dominio define el historial de contraseñas, el tiempo de vida de los tickets de Kerberos, el bloqueo de cuentas, y otros más.
- Directivas Locales
- Por definición son locales para equipos. Aquí se incluyen Directiva de auditoría, Asignación de derechos de usuario y opciones de seguridad que pueden configurarse localmente.
- Es importante no confundir estos valores con establecer directivas localmente. Como con todos estos valores de seguridad, podemos configurarlos mediante Directiva de seguridad local y directivas de grupo.
- Registro de sucesos
- Estos valores se pueden utilizar para configurar el tamaño, acceso y parámetros de retención para los logs de aplicación, sistema y seguridad.
- Grupos restringidos
- Con estos valores administramos la pertenencia a grupos integrados que ya tienen habilidades predeterminadas como las cuentas de administradores y usuarios avanzados, añadidos a los grupos de dominio, como los administradores de dominio. Podemos agregar otros grupos al grupo restringido, junto con su información de pertenencia. Esto nos habilita para seguirles la pista y gestión de estos grupos como parte de la directiva de seguridad.
- También podemos usar los valores de grupos restringidos para seguir y controlar la pertenencia inversa de cada grupo restringido. Esta se lista en la columna de Pertenencia (member of), que muestra otros grupos a los cuales el grupo restringido debe pertenecer.
- Servicios del sistema
- Con estos valores configuramos los valores de seguridad e inicio para servicios que se ejecutan en un equipo. Se incluye funcionalidad crítica, como los servicios de red, de archivo e impresión, teléfono y fax, e Internet y Intranet. Los valores generales incluyen el modo de inicio del servicio (automático, manual, o deshabilitado), así como la seguridad sobre él.
- Registro
- Configuración de seguridad de las claves del registro.
- Sistema de archivos
- Configuración de seguridad sobre rutas específicas de archivos.
- Directivas de claves públicas
- Usaremos esta configuración para los agentes de recuperación de datos cifrados, dominios raíz, autoridades de certificados de confianza, etcétera.
- Son los únicos valores que cuelgan bajo Configuración de usuario.
- Directivas de seguridad IP en Active Directory
- Para configurar IPSec.
Importante: Sólo las directivas de cuentas, directivas locales, directivas de claves públicas y directivas de seguridad IP en áreas de AD, se encuentran disponibles cuando utilizamos Directiva de seguridad local.
También podemos asignar configuración de contraseñas, bloqueo de cuentas, configuración Kerberos a nivel de dominio o de OU. Sin embargo, si configuramos la directiva a nivel de OU, los valores afectan sólo a la base de datos local de la SAM(Security Accounts Manager) de los equipos dentro de la OU, no a las directivas de contraseña del dominio. Windows Server 2003 no procesa ningún cambio que se haga en estos tres valores en una GPO a nivel de Sitio.