Administración de Directivas de Grupo

Una directiva puede utilizarse para configurar la seguridad de todos los equipos de un Sitio, Dominio u OU. Esto hace muy importante el asegurar la administración de las mismas.

De manera predeterminada diversos grupos disponen de la autoridad administrativa necesaria sobre las directivas. Esta configuración puede que sea o no la que nos interesa.

Permiso Objeto Descripción
Control Total Directiva Da control total a la cuenta de usuario o grupo de seguridad sobre la directiva.
Escribir Directiva Permite a la cuenta de usuario o grupo de seguridad para modificar la configuración de la directiva.
Leer Directiva Permite la lectura de la configuración de la directiva a la cuenta de usuario o grupo de seguridad.
Aplicar Directiva de Grupo Directiva Permite a la cuenta de usuario o grupo de seguridad el proceso de directiva durante el inicio de sesión o ciclo de refresco.
Leer/Escribir gPLink Contenedor Permite a la cuenta de usuario o grupo de seguridad vincular directivas al contenedor.
Leer/Escribir gPOptions Contenedor Permite a la cuenta de usuario o grupo de seguridad bloquear la herencia de directivas al contenedor.

 

Los Grupos de Administradores del dominio, Administradores de Empresa, Creador y System tienen control total sobre las directivas vinculadas a dominios y OUs. El grupo de usuarios autenticados tiene los permisos leer/escribir.

En AD podemos delegar permisos para la administración de directivas tanto mediante el asistente de delegación del control o desde la pestaña de seguridad del cuadro de diálogo de una Directiva u objeto contenedor. Delegar el control es lo suficientemente flexible para permitirnos otorgar control administrativo sobre las directivas siguiendo las necesidades de nuestra organización.

De forma predeterminada los grupos de administradores del dominio y de propietarios creadores de directivas pueden crear nuevas directivas en su dominio. Aunque los propietarios pueden crear nuevas directivas no pueden vincularlas a un contenedor. En cuanto un creador crea una nueva directiva y se vincula a un contenedor, la cuenta de dicho creador retiene los permisos explícitos para modificarla. Otros miembros de dicho grupo de creadores no tienen ningún permiso sobre las directivas creadas por otros miembros del grupo.

El permiso gPLink

Las cuentas de usuario que tienen este permiso pueden vincular directivas existentes a los contenedores en los que el mismo dispone de este permiso. Las cuentas de usuario con permiso de Escribir o Control Total sobre un dominio u OU dispone de éste permiso de forma predeterminada. Este permiso no permite a la cuenta de usuario para crear nuevas directivas.

El permiso gPOptions

Las cuentas de usuario con este permiso pueden habilitar el bloqueo de herencia de directivas en un contenedor de dominio u OU. Aquéllas cuentas de usuario con permiso Escribir o Control Total sobre un dominio u OU tienen este permiso de forma predeterminada. Este permiso no concede ningún otro permiso sobre las directivas a las cuentas de usuario.

Recomendaciones

  • Usar las directivas para implementar una línea básica de seguridad. Son un excelente método para asegurar una línea básica de seguridad consistente y un nivel de seguridad adicional para equipos basados en esta función.
  • Precaución cuando delegamos la autoridad sobre las directivas. La administración de directivas puede fácilmente comprometer la seguridad de nuestra red, maliciosa o accidentalmente, desplegando plantillas de seguridad o configuraciones de seguridad que debiliten o eliminen la seguridad base de equipos con Windows 2003 Server, Windows 2000 y Windows XP.
  • Racionalicemos el uso del bloqueo de la herencia, no reemplazar y del filtrado de directivas. Usar estas opciones en el cambio del comportamiento normal de las directivas cuando no tenemos caminos alternativos razonables. El uso indiscriminado incrementa la dificultad en resolución de problemas de directivas y cierta confusión de la no aplicación de directivas.
  • Es muy interesante el uso de la consola de administración de directivas GPMC para resolver los problemas de directivas.

Alterar el proceso de Directivas de Grupo

Puede que cuando creemos una Directiva necesitemos alterar el procesamiento predefinido. Para ello disponemos de cuatro opciones:

  • Bloqueo de herencia
  • No reemplazar
  • Filtrado de objetos de Directiva de Grupo
  • Procesado en modo bucle invertido (Loopback)

* También podemos utilizar filtros WMI en equipos Windows Server 2003 y Windows XP si tienen cuentas en un AD de Windows Server 2003.

Bloqueo de herencia

Puede que nos encontremos con una situación en la que un subcontenedor, una OU por ejemplo, no deba recibir Directivas desde objetos padre. Tenemos una directiva a nivel de dominio en la que hay partes que no queremos que se le apliquen a cierta OU, en este caso usaremos el bloqueo de la herencia para evitar que dicha OU reciba los valores establecidos desde el objeto padre. Tengamos en cuenta que el bloqueo resulta en todas las directivas de objetos padre que puedan afectar y no podemos hacerlo de forma individual, unas sí y otras no.

No reemplazar

Puede que seamos administradores de Directivas vinculadas al dominio y queremos asegurarnos que ciertas políticas se apliquen, aun si una OU tiene configurado el bloqueo de herencia o una Directiva configurada con valores opuestos entra en conflicto, lo que remplazaría el valor. En este caso, podemos marcar la directiva con la opción No reemplazar. Una directiva con esta opción establecida en un objeto padre se aplicará a pesar del bloqueo de herencia.

noreemplazar

*Si tenemos instalado GPMC la opción se denomina Forzado y no No Reemplazar.

forzado

Filtrado de objetos de Directiva

Cuando aplicamos una directiva a un contenedor, se aplica a todo equipo y usuario dentro del mismo y a su vez a sus sub-contenedores. Puede que necesitemos tener algunos equipos o usuarios exentos de tal aplicación. En lugar de crear un contenedor especial y utilizar series de No reemplazar y bloqueo de herencia, lo que podemos hacer es filtrar la directiva mediante DACLs en la propia directiva.

Podemos ver y modificar la configuración de seguridad en la pestaña ‘Seguridad’ en la página de propiedades de la directiva específica.

Para que una directiva se aplique a un equipo o usuario estos deben tener los permisos de lectura y aplicación de directiva en la GPO. DE forma predeterminada los miembros del grupo Usuarios auténticados tienen concedidos ambos permisos. Los equipos y usuarios automáticamente se convierten en miembros de este grupo en cuanto se validan sus credenciales con éxito y que sucede antes de la aplicación de la directiva. Por lo tanto, el comportamiento predeterminado es que todas las directivas se aplican a equipos y usuarios. Así mismo, de forma predeterminada los grupos de Administradores del dominio, Administradores de empresa y sistema local (Local system) tienen control total, sin la entrada (ACE) de control de acceso a Aplica directiva. Sin embargo, los administradores son miembros de Usuarios Auténticados, lo que significa que recibirán la configuración de la directiva predeterminadamente.

Impedir que una directiva se aplique a un grupo específico requiere que quitemos la entrada de Aplica directiva (ACE) de dicho grupo. Si la quitamos para los usuarios auténticados (desmarcar permitido), podemos, explícitamente, marcarlo a grupos de seguridad individuales que son a los que debe aplicarse la directiva. Es posible usar ‘denegar’ de forma explícita para los grupos a los que no debe aplicarse, ya que una denegación explícita siempre reemplaza al permiso ‘permitir’, el equipo o usuario no procesará la directiva.

Procesado en modo bucle invertido (Loopback)

Otro de los escenarios en el que puede que necesitemos alterar la aplicación de directivas predeterminado es cuando tenemos equipos y usuarios en distintos contenedores. La OU que mantiene el objeto usuario tiene una directiva restrictiva activada –como impedir a los usuarios modificar la configuración de red, quitarles el panel de control, y otras-. Cuando un usuario inicia sesión en su equipo , la directiva actúa protegiendo la red y estandarizando el escritorio; sin embargo, el usuario puede también administrar un servidor de impresión de windows 2000 server. Cuando el usuario inicia sesión en el servidor, la directiva impide que complete la administración de la tarea que el usuario necesita realizar. En lugar de crear cuentas separadas para el usuario use cuando administra el servidor, podemos implementar el modo bucle invertido.

El modo de bucle invertido en sí es una configuración de directiva que podemos habilitar en la parte de configuración de equipo de una directiva. Este modo dispone de dos configuraciones:

  • Replace (reemplazar) Si habilitamos el modo mediante esta configuración, la directiva que se aplica sobre el usuario no lo hará, en su lugar la configuración relacionada con el usuario se aplicará desde la ubicación de la cuenta de equipo unida a la configuración relacionada con el equipo. Es una configuración comúnmente utilizado para resolver el escenario comentado.
  • Merge (combinar) Con esta configuración, la configuración de usuario desde el objeto equipo será aplicado después de la correspondiente al usuario. Esto resulta en una combinación de ambos con un reemplazar en los posibles conflictos.

Podemos establecer este modo en la parte de configuración de equipo de Directivaplantillas administrativassistemadirectiva.

Procesar Directivas de Grupo

Las directivas son procesadas y aplicadas inicialmente cuando el equipo arranca y cuando el usuario inicia sesión. Después de la aplicación inicial, las directivas se procesan y aplican a intervalos regulares. En el intervalo el equipo cliente sólo recupera la directiva si la versión almacenada en AD se ha incrementado. Podemos cambiar este comportamiento y también refrescar manualmente la configuración de directiva si lo consideramos necesario.

Cuando un equipo arranca o un usuario inicia sesión es cuando se aplican las directivas, se recupera la configuración desde el Sitio, si existe. Todas las directivas se procesan en el equipo, por lo tanto, un equipo que haya sido comprometido con anterioridad no es de confianza para procesar o implementar directivas de grupo correctamente. Si hay más de dos directivas vinculadas a un contenedor, éstas se procesan con un orden de precedencia, la lista que muestra el interfaz. Se recuperan las directivas del dominio y se aplican, y se sigue con las de OU, si las hay, comenzando con la OU raíz y siguiendo con los objetos padre del equipo.

La configuración de directivas es acumulativa; sin embargo, si se produce algún conflicto entre las mismas, el valor procesado será el posterior. Por ejemplo, a nivel de dominio se indica que las credenciales salvadas son 5, y luego a nivel de OU se establece 1, el resultado será 1.

Cuando el usuario inicia sesión, las directivas se procesan en el mismo orden que las relacionadas con el equipo. En caso de conflicto entre configuración para equipo y con el usuario, se aplicará –normalmente- el valor de la directiva relacionada con el equipo.

Refresco de las directivas

Las directivas se procesan periódicamente, de acuerdo a un intervalo definido. De forma predeterminada, si no son controladores de dominio, se produce cada 90 minutos con una compensación aleatoria de 30 minutos. Para los controladores de dominio, las directivas se refrescan cada 5 minutos. Podemos cambiar estos valores en plantillas administrativas. Si lo establecemos en 0 minutos, el refresco se producirá cada 7 segundos.

Aunque la mayoría de los cambios efectuados en las directivas o en nuevas directivas se aplican durante el intervalo de refresco, las siguientes no lo hacen, siendo aplicadas la siguiente vez que el equipo arranca o el usuario inicia sesión:

  • Las referentes al equipo para instalación de software.
  • Las referentes al usuario para instalación de software.
  • Las referentes al usuario para redirección de carpetas.
  • Algunos de los valores de Seguridad.

*Los valores de seguridad de las directivas relacionadas con el equipo se refrescan cada 16 horas, a pesar de si el equipo cliente ha detectado un cambio en la directiva. Esto proporciona la garantía de que los valores de seguridad se aplican cada 16 horas, aunque se hayan modificado localmente.

Proceso bajo demanda

También podemos activar un refresco en segundo plano de una directiva bajo demanda desde el cliente. Sin embargo, la aplicación de la directiva no se puede obligar a los clientes bajo demanda desde el servidor.

Para un refresco manual de la directiva en equipos con Windows 2000 hemos de utilizar el comando Secedit:

Directivas relacionadas con el equipo: secedit /refreshpolicy machine_policy /enforce

Directivas relacionadas con el usuario: secedit /refreshpolicy user_policy /enforce

Para Windows 2003 y XP, usaremos el comando gpupdate:

Directivas relacionadas con el equipo: gpupdate /target:equipo /force

Directivas relacionadas con el usuario: gpupdate /target:usuario /force

A ambas a la vez: gpupdate /force

Usando objetos de directiva

Objeto de directiva local

Todos los equipos con Windows Server 2003, demás de Windows 2000 y Windows XP tienen una directiva local que define su configuración predeterminada. La directiva local se aplica a todos los usuarios del equipo. Además, si los equipos son miembros de un dominio de Active Directory, podemos implementar directivas a todos los equipos de un Sitio, Dominio u OU.

Podemos configurar la directiva local de cualquier equipo, sea o no miembro de un dominio, para ello usamos el complemento de Directiva de la consola MMC.

objetoGPOlocal

Recordemos que la aplicación de las directivas siguen un orden:

  1. Las directivas locales (LGPO)
  2. Sitios
  3. Dominios
  4. OUs

La directiva local no puede ser filtrada por una cuenta de usuario. A diferencia de las de Active Directory, no hay permiso en la lista de control de acceso discrecional (DACL) que se llame Aplicar Directivas; sólo hay permiso de lectura. Las cuentas de usuario requieren el permiso de lectura para o leer la configuración de directiva o aplicarla en la sesión iniciada. El permiso de Aplicar Directiva se comprueba durante el proceso de la directiva. Si el usuario dispone de este permiso entonces será procesada.

Objetos de Directiva de Sitio

Las directivas vinculadas a los Sitios afectan a todos los equipos  o usuarios en un bosque de dominios que tienen pertenencia en el sitio. Los equipos con Windows Server 2003, 2000 y XP son automáticamente miembros del sitio Default-First-Site-Name a menos que otros Sitios y Subredes hayan sido definidos. La información del sitio se replica a todos los controladores de dominio en el bosque. Por lo tanto, cualquier directiva vinculada a un sitio se aplica a todos los equipos de ese sitio, a pesar del dominio. Esto permite a una única directiva abarcar múltiples dominios aunque resulta en una autenticación a través de dominios ya que los DC deben recuperar la directiva desde el dominio en el que se encuentra almacenada.

La directivas de sitio son efectivas para la administración de configuración a aplicar a un grupo de equipos existentes en el mismo canal de comunicaciones de alta velocidad.

Objetos de Directiva de Dominio

Las directivas vinculadas a un dominio afectan a todos los equipos o usuarios en el dominio. De forma predeterminada existen dos directivas en cada dominio de Active Directory:

  • Default Domain Policy
  • Default Domain Controllers Policy

La primera contiene la directiva de seguridad predeterminada para todos los equipos en el dominio y las directivas de cuenta para cuentas del dominio. La segunda contiene la predeterminada para los controladores de dominio, con una seguridad aumentada en referencia a la primera.

Objetos de Directiva de OU

Uno de los principales propósitos de las OU es facilitar el despliegue de Directivas de Grupo a usuarios y equipos. A diferencia de los dominios, las OU son flexibles: los objetos, incluyendo principales de seguridad, pueden moverse con facilidad entre OUs, y las OU pueden crearse y eliminarse sin demasiadas consecuencias. Podemos crear OUs que faciliten la aplicación de directivas basadas en necesidades de seguridad de usuarios y equipos. La OU de controladores de dominio es la única OU creada predeterminadamente en cada dominio. Su propósito es para facilitar el despliegue de la directiva de Default Domain Controllers Policy.

Directivas de grupo relacionadas con el equipo y el usuario

Las directivas relacionadas con el equipo son específicamente para él y se aplican a todos los usuarios del mismo. Se aplican durante la fase de arranque* del sistema operativo y se completa su aplicación antes de que aparezca el cuadro de inicio de sesión.

* Si cambiamos valores de la directiva no se aplicarán hasta que los equipos se reinicien.

Las directivas relacionadas se componen de:

Configuración de software (Software Settings)

Habilita al software para ser instalado en los equipos.

Configuración de Windows (Windows Settings)

Habilita la implantación de las plantillas de seguridad y a los scripts ser ejecutados al inicio y apagado del equipo.

Plantillas administativas (Administrative Templates)

Podemos realizar cambios en la parte del registro relacionado con el equipo. Estos valores integrados, a diferencia de los del sistema NT 4.0, no realizan cambios permanentes en el registro.

Mediante las directivas de instalación de software podremos asegurarnos que la seguridad relacionada con el software se instala en todos los equipos de la red. Por ejemplo: instalar un antivirus.

Podemos importar plantillas de seguridad a la parte de configuración de equipo de la directiva para desplegar una seguridad uniforme a los equipos de nuestra red.

Podemos usar los valores de configuración de Windows para ejecutar scripts al inicio o apagado de un equipo. Estos scripts se ejecutan en el inicio antes de que aparezca el cuadro de diálogo de seguridad, y durante el apagado, después del cierre de sesión del usuario pero antes  de la finalización de los servicios .

Las plantillas administrativas son valores que configuran los registros de Windows Server 2003, 2000 y XP. Además de las plantillas incluidas predeterminadamente, podemos importar valores personalizados creando e importando archivos .adm. En contraste con las directivas de NT, no será necesario reiniciar para que se apliquen inmediatamente.

 

Además de las directivas relacionadas con el equipo cuando un usuario inicia sesión en él, las relacionadas con los usuarios se aplican a usuarios específicos. De forma predeterminada, la relacionadas con los usuarios se aplican inmediatamente después de que las credenciales del usuario se han autenticado correctamente pero justo antes de que el usuario tenga acceso al shell de windows.

Al igual que las relacionadas con el equipo, las del usuario se componen de:

Configuración de software (Software Settings)

Habilita al software para ser instalado en los equipos.

Configuración de Windows (Windows Settings)

Habilita la implantación de las plantillas de seguridad y a los scripts ser ejecutados al inicio y cierre de sesión del usuario.

Plantillas administativas (Administrative Templates)

Habilita los cambios en el registro para el usuario.

El software puede distribuirse a los usuarios de dos formas: puede ser asignado, o puede ser publicado. La única diferencia entre asignar y publicar aplicaciones para los usuarios es si la aplicación se muestra en el menú de inicio, que corresponde a las asignadas. Los paquetes también se instalarán en el equipo cuando el usuario invoque la aplicación al intentar abrir un archivo del tipo predeterminado que usa dicha aplicación (Si la opción está habilitada en la directiva). La aplicación aparecerá en el Panel de Control, en Añadir/quitar programas.

* Las aplicaciones instaladas mediante la directiva de software sólo instalarán los archivos una vez por equipo aunque múltiples usuarios del equipo la tengan asignada o publicada. La información única para cada usuario se escribirá en la carpeta de datos de aplicación en el perfil del usuario, o en la rama del registro del usuario (HKEY_USERS).

La configuración de Windows para los usuarios contiene opciones para configurar scripts de inicio y cierre de sesión, comportamiento de la redirección de carpetas, configuración de IE, PKI, y RIS.

Las plantillas administrativas funcionan de forma similar para los usuarios como para los equipos.

Las directivas (GPOs)

Potentes y útiles, las directivas son una característica de seguridad en Windows 2000 y Windows Server 2003. Para la administración de un número elevado de usuarios y equipos, los administradores disponen de las directivas en el servicio de directorio Active Directory. El mayor beneficio de seguridad de las directivas es que podemos usarlas para implementar y mantener una configuración básica de seguridad consistente en equipos que son miembros de un dominio.

Las directivas se aplican de dos formas, aquéllas que se aplican al equipo y aquéllas que se aplican al usuario. Las relativas al equipo se aplican siempre, sin importar la cuenta de usuario usada para iniciar sesión en el mismo. Las relativas al usuario se aplican específicamente a la cuenta de usuario que haya sido usada para iniciar sesión en un equipo. Las directivas de seguridad se aplican al equipo y así se aplicarán a todos los usuarios del mismo, incluyendo los miembros del grupo de administradores. De forma predeterminada, una directiva local de seguridad, configuración de seguridad, captura los valores de seguridad aplicados a cada equipo que ejecuta Windows 2000 o superior durante su instalación. Podemos implementar valores de directiva en un equipo local, aunque las directivas de grupo local no están almacenadas ni aplicadas por Active Directory. Las directivas implementadas mediante ACtive Directory están asociadas a contenedores de Sitios, Dominios y Ou’s en la forma de Directivas de Grupo, en inglés GPOs (Group Policy Objects).

Una directiva de grupo puede asociarse a cualquier sitio, dominio u OU, y la directiva puede vincularse a múltiples sitios, dominios u OU’s. A la inversa, un determinado sitio, dominio u OU puede tener múltiples directivas vinculadas a sí mismo. En caso de que múltiples directivas estén vinculadas a un particular sitio, dominio u OU, podemos priorizar el orden en que las mismas se aplicarán.

Vinculando directivas a sitios, dominios u OU’s de Active Directory podemos implementar valores de directiva a lo ancho y a lo largo o a una parte de la organización que necesitemos, teniendo en cuenta qué:

  • Una directiva vinculada a un sitio se aplicará a todos los equipos en el sitio.
  • Una directiva aplicada a un dominio se aplicará a todos los usuarios y equipos en el dominio, incluso si los mismos están ubicados dentro de OUs en el dominio. Las directivas asociadas con dominios padre no se heredan por los dominios hijos.
  • Una directiva aplicada a una OU se aplica a todos los usuarios y equipos ubicados directamente dentro de la OU y, por herencia, a todos los usuarios y equipos de sus OU’s hijas.

La acumulación de directivas a un sitio, dominio y todas las OU’s anidadas se aplican. Las directivas se almacenan por dominio. Ya que los dominios son unidades autónomas, los dominios hijo no heredan las directivas de sus dominios padre. Podemos vincular una directiva a un sitio, dominio u OU en otro dominio de confianza, aunque no se recomienda por razones de rendimiento. Las directivas asociadas a un sólo sitio se almacenan en el dominio raíz del bosque, y se recuperan desde un controlador de dominio en el dominio raíz del bosque. Las directivas son aplicadas en un arreglo jerárquico. Si hay conflictos, el último valor procesado será el único que se aplica. De forma predeterminada las directivas se acumulan y procesan en el siguiente orden:

  1. Las directivas locales
  2. Las vinculadas a sitios
  3. Las vinculadas a dominios
  4. Las vinculadas a OU’s. En caso de anidamiento de OU’s, las directivas asociadas a las OU’s padre se aplican antes que las aplicadas a las hijas.(Hablo de una OU que es hija.)