Cada servicio dispone de permisos especiales que podemos asignar o denegar a cada usuario o grupo. Podemos establecer permisos para servicios individuales con sc.exe, directivas, o plantillas de seguridad. Podemos establecer permisos para grupos mediante el complemento de consola Usuarios y Equipos de Active Directory.
Los servicios deben iniciar sesión con una cuenta para acceder a recursos y objetos. Algunos servicios están configurados de forma predeterminada con la cuenta LocalSystem, que es una cuenta privilegiada con acceso completo al sistema. Si un servicio inicia sesión con esta cuenta en un controlador de dominio, el servicio tiene acceso al dominio entero. Otros servicios lo están con las cuentas LocalService o NetworkService, que son cuentas especiales integradas similares a una cuenta de usuario autenticado. Estas cuentas tienen el mismo nivel de acceso a los recursos y objetos que los miembros de grupos de usuarios. Este acceso limitado salvaguarda el sistema si se ven comprometidos servicios o procesos individuales.
Lista de permisos de un servicio
Implementando seguridad en los servicios del sistema en Windows Server 2003 nos permite controlar quien puede administrarlos en un equipo cliente, servidor miembro o controlador de dominio. Actualmente, el único camino para cambiar un servicio del sistema es mediante la configuración de directivas. Si implementamos directivas en la Default Domain Policy, la directiva se aplica a todos los equipos del dominio, si la implementamos en la Default Domain Controllers Policy, se aplica sólo a los servidores en la OU de controladores de dominio. Podemos crear OUs que contengan equipos a los que aplicarles la directiva.
El procedimiento paso a paso podría resumirse en:
- Iniciar el complemento Usuarios y Equipos de Active Directory del controlador de dominio (DC) correspondiente.
- Clic derecho sobre el dominio al que se desea añadir la OU, elegimos Nuevo y luego Unidad Organizativa.
- Le damos un nombre apropiado y pulsamos en Aceptar. La nueva OU saldrá listada bajo el dominio.
- Clic derecho sobre la nueva OU y luego en propiedades.
- En la pestaña Directiva de Grupo, pulsamos en Nueva.
- Le damos un nombre apropiado.
- Después de la creación de la directiva, la seleccionamos y pulsamos en el botón Editar.
- Doble clic en Configuración de Equipo, doble clic en Configuración de Windows, doble clic en Configuración de Seguridad y doble clic en Servicios del sistema.
- Doble clic en el servicio al que queremos aplicar permisos.
- Marcamos la casilla de verificación Definir esta configuración de directiva.
- Clic en Modificar Seguridad.
- Clic en Agregar para añadir la cuenta LocalSystem y cualquier otra cuenta de usuario a la que queremos asignarle acceso. Para agregar la cuenta LocalSystem, escribimos SYSTEM en el cuadro Escriba los nombres de objeto que desea seleccionar y luego en Aceptar.
- Para cada cuenta de usuario o grupo añadido, seleccionamos el nombre, y seleccionamos la casilla de verificación Permitir bajo Control Total, además de los permisos apropiados para el usuario o grupo.
- De forma predeterminada, sólo Iniciar, detener y poner en pausa están asignados a los nuevos usuarios.
- De forma predeterminada, sólo Iniciar, detener y poner en pausa están asignados a los nuevos usuarios.
- Cuando terminamos de añadir usuarios o grupos y asignar sus permisos, clic en Aceptar.
- El modo de inicio predeterminado del servicio está establecido en Deshabilitado. Cambiarlo al modo que queramos (normalmente Automático).
- Pulsamos en Aceptar, cerramos la directiva de grupo y cerramos las propiedades de la OU.
La configuración de directivas locales no proporcionan la capacidad de configurar servicios. Si queremos configurar equipos aleatorios y restringir a un usuario detener o iniciar un servicio, usaremos el complemento plantillas de seguridad para definir una. Aplicaremos la plantilla al equipo mediante la herramienta Security Configuration and Analisys o la de línea de comandos Secedit.exe.
NOTA Si el usuario no es miembro del dominio, no podremos configurar servicios con directiva de grupo ya que no podemos definir la configuración de un servicio a menos qué seamos capaces de seleccionar el usuario desde el editor ACL. Con una cuenta específica de un equipo no es práctico crear una directiva de grupo y aplicarla a otros equipos que no reconocen la cuenta.
Un usuario del dominio puede usar la infraestructura de directivas de grupo para configurar múltiples equipos. Nosotros definimos la configuración de un servicio de la misma forma que con las plantillas de seguridad, excepto que usamos el editor de directivas y la misma se aplica automáticamente.