Plantilla de seguridad

Para facilitar la implantación y administración de configuración de seguridad en la red de la organización, Windows Server 2003 incluye el complemento de Plantillas de seguridad. Este complemento permite a los administradores definir plantillas estándar y aplicarlas uniformemente a múltiple equipos o usuarios.

Una plantilla de seguridad es una representación física de una configuración de seguridad, un archivo en el que un grupo de valores de seguridad pueden almacenarse. Windows Server 2003 incluye un conjunto de plantillas estándar, cada una apropiada para la función de un equipo. El rango de plantillas va desde una configuración de baja seguridad para clientes de dominio hasta alta seguridad para controladores de dominio. Podemos usar estas plantillas como están o modificarlas, o usarlas como base de plantillas para crearlas nosotros.

La herramienta de análisis y configuración de seguridad es el compañero del complemento de Plantillas de Seguridad. Se usa para aplicar las restricciones definidas en una plantilla a los sistemas reales. También para analizar la seguridad de un sistema y compararlo con la configuración de equipos que han sido desplegados para asegurarnos que cumple con los estándares de la compañía.

  1. Desde el botón Inicio, seleccionamos Ejecutar, escribimos mmc y pulsamos ENTER
    analisisconfig01
  2. Aparece Microsoft Management Console, Pulsamos en Menú Console y luego en Add/Remove snap-in, en la ventana siguiente en el botón Add.
    analisisconfig02 analisisconfig03
  3. Nos deslizamos por los complementos hasta Configuración y Análisis de Seguridad, lo seleccionamos y pulsamos Add. Cerramos y Aceptar.
    analisisconfig04 analisisconfig05
  4. Clic derecho en el complemento que ahora se muestra en la Consola, seleccionamos Abrir Base de Datos.
    analisisconfig06 analisisconfig07
  5. Escribimos un nombre distintivo y pulsamos en Abrir.
    analisisconfig08
  6. Escogeremos una de las plantillas de seguridad predefinidas o una que hayamos creado nosotros.
    analisisconfig09
  7. Elegimos la adecuada a la configuración de seguridad que queremos analizar y pulsamos en Abrir.
    analisisconfig10
  8. Clic derecho sobre el complemento otra vea, ahora seleccionamos Analizar equipo ahora , indicamos la ruta para guardar el log con la info y se comenzará la comparación de la configuración actual con la de la plantilla elegida.
    analisisconfig11analisisconfig12
  9. Cuando finaliza la comparación, vemos en las opciones de seguridad la información.
    analisisconfig13 analisisconfig14
  10. Un dato que no cumpla se mostrará con una Aspa roja.
    analisisconfig15

Las plantillas predefinidas en Windows Server 2003 (Fuente KnowledgeBase de Microsoft):

  • compatws.inf Esta plantilla cambia los permisos predeterminados de archivos y del Registro que se conceden a los miembros del grupo Usuarios de manera que sean coherentes con los requisitos de la mayoría de los programas que no pertenecen al programa de logotipo de Windows para software (Windows Logo Program for Software). La plantilla Compatible también quita todos los miembros del grupo Usuarios avanzados.

 

  • DC security.inf Esta plantilla se crea cuando se promueve un servidor a controlador de dominio. Refleja la configuración de seguridad predeterminada de los archivos, el Registro y los servicios del sistema. Si vuelve a aplicar esta plantilla, esta configuración se establecerá en los valores predeterminados. Sin embargo, la plantilla puede sobrescribir los permisos de los nuevos archivos, claves del Registro y servicios del sistema creados por otros programas.

 

  • hisecdc.inf
  • hisecws.inf

Las plantillas Highly Secure especifican restricciones adicionales no definidas por las plantillas Secure, como niveles de cifrado y la firma necesarios para la autenticación y el intercambio de datos a través de canales seguros, y entre los clientes y servidores de Bloque de mensajes del servidor (SMB).

  • iesacls.inf

Internet Explorer Security ACLs

  •  rootsec.inf Esta plantilla especifica los permisos raíz. De forma predeterminada, Rootsec.inf define estos permisos para la raíz de la unidad del sistema. Puede utilizar esta plantilla para volver a aplicar los permisos del directorio raíz si se cambian inadvertidamente o puede modificar la plantilla para aplicar los mismos permisos raíz a otros volúmenes. Como se especifica, la plantilla no sobrescribe los permisos explícitos definidos en los objetos secundarios; sólo propaga los permisos heredados por los objetos secundarios.

 

  • securedc.inf
  • securews.inf

    Las plantillas Secure definen configuraciones de seguridad mejorada que es menos probable que afecten a la compatibilidad de programas. Por ejemplo, las plantillas Secure definen configuraciones más seguras de contraseñas, bloqueo y auditoría. Además, las plantillas limitan el uso de LAN Manager y los protocolos de autenticación NTLM configurando los clientes para enviar únicamente respuestas de NTLMv2 y configurando los servidores para que rechacen las respuestas de LAN Manager.

    Hay dos plantillas Secure predefinidas en Windows Server 2003: Securews.inf para las estaciones de trabajo y Securedc.inf para los controladores de dominio. Para obtener información adicional acerca de cómo utilizar estas plantillas y otras plantillas de seguridad, busque «plantillas de seguridad predefinidas» en el Centro de ayuda y soporte técnico.

  • setup security.inf

    La plantilla Setup security.inf se crea durante la instalación y es específica de cada equipo. Varía de un equipo a otro, dependiendo de si se trata de una instalación limpia o de una actualización. Setup security.inf representa la configuración de seguridad predeterminada que se aplica durante la instalación del sistema operativo, incluyendo los permisos de archivo para la raíz de la unidad del sistema. Puede utilizarse en servidores y en equipos cliente; no puede aplicarse a controladores de dominio. Puede aplicar partes de esta plantilla para la recuperación tras desastres.

    No aplique Setup security.inf utilizando Directiva de grupo. Si lo hace, puede disminuir el rendimiento.

Aplicar una plantilla de seguridad
  1. clic derecho en Configuración y análisis de seguridad y, a continuación, clic en Abrir base de datos.
  2. En el cuadro Nombre de archivo, escribir el nombre de la base de datos y clic en Abrir.
  3. clic en la plantilla de seguridad que deseamos aplicar y, seguidamente, clic en Abrir para importar a la base de datos las entradas contenidas en la plantilla.
  4. clic derecho en Configuración y análisis de seguridad y, después, clic en Configurar el equipo ahora.

En el procedimiento descrito para añadir el complemento de Configuración y análisis de seguridad, nos sirve para añadir también las plantillas de seguridad, en el paso 3 buscamos el complemento y lo agregamos de igual modo que lo hemos hecho con Configuración y análisis de seguridad. Así en la misma consola podemos tener ambos complementos.

Crear y definir una plantilla de seguridad nueva

1. En la consola, extendemos Plantillas de seguridad.

2. clic derecho en %raíz_del_sistema%SecurityTemplates y después, clic en Nueva plantilla.

3. En el cuadro Nombre, escribimos uno para la plantilla nueva.
clic en Aceptar.
La plantilla de seguridad aparece en la lista de plantillas de seguridad. Ver que aún no se define la configuración de seguridad para esta plantilla. Cuando extendemos la plantilla se extienden además cada componente de la misma y seguidamente, doble clic en cada valor que muestre el estado No Definido en la columna Configuración del equipo.

4. Para directivas de Directivas de cuenta, Directivas locales o registro de sucesos:

a. Extendemos el componente que contiene la configuración de seguridad que queremos configurar.

b. A la derecha, doble clic en la configuración de seguridad a configurar.

c. clic para seleccionar la casilla de verificación Definir esta configuración de directiva en la plantilla, especificamos la opción o configuración que creeemos que es la apropiada en la configuración de seguridad y después, clic en Aceptar.

5. Para definir una directiva Grupos restringidos:

. clic derecho en Grupos restringidos y seguidamente, clic en Agregar grupo.

a. clic en Examinar.

b. En el cuadro de diálogo Seleccionar grupos, escribimos el nombre del grupo al que queremos restringir el acceso, clic en Aceptar y después, clic en Aceptar.

c. En el cuadro de diálogo Propiedades Nombre de Grupo bajo miembros de este grupo, clic en Agregar miembros para agregar los miembros que queramos al grupo.
Para agregar este grupo como miembro de otro grupo, en Este grupo es miembro de, clic en Agregar grupos.

d. clic en Aceptar.

6. Para definir directiva de Servicios del sistema:

. Extendemos Servicios del sistema.

a. A la derecha, doble clic en el servicio a configurar.

b. Especificamos las opciones que queremos y seguidamente, clic en Aceptar.

7. Para definir seguridad para claves de Registro:

. clic derecho en Registro y después, clic en Agregar clave.

a. En el cuadro de diálogo Seleccionar clave de registro, clic en la clave de Registro a la que queremos definir seguridad y después, clic en Aceptar.

b. En el cuadro de diálogo Seguridad de base de datos para Clave Seleccionada especificamos los permisos para la clave de Registro y después, clic en Aceptar.

c. En el cuadro de diálogo Agregar objeto, especificamos cómo queremos los permisos para esta clave heredada, clic en Aceptar y después, clic en Aceptar.

8. Para definir seguridad para archivos o carpetas:

. clic derecho Sistema de archivos y después, clic en Agregar archivo.

a. En el cuadro de diálogo Agregar archivo o carpeta, clic en una carpeta o en un archivo al que queremos agregar seguridad y después, clic en Aceptar.

b. En el cuadro de diálogo Seguridad de base de datos para Nombre archivo o Nombre carpeta especificamos los permisos que queremos, clic en Aceptar y después, clic en Aceptar.

Copiar configuración de seguridad de una plantilla predefinida en otra plantilla

1. Extendemos una plantilla predefinida que contenga las configuraciones que queremos copiar, clic derecho en el componente a copiar y después, clic en Copiar.

2. Extendemos la plantilla personalizada, clic derecho en el componente apropiado y luego, clic en Pegar.

Cree una plantilla nueva de seguridad basada en una plantilla predefinida

1. clic derecho en la plantilla a copiar y seguidamente, clic en Guardar como.

2. En Guardar como, escribimos un nombre y después, clic en Guardar.
La plantilla de seguridad nueva aparece en la lista de plantilla de seguridad. Configurar la plantilla con las configuraciones deseadas.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *