MMC segura para plantillas de seguridad

Uno se crea su propia MMC con las herramientas que necesitaremos para editar, analizar y aplicar plantillas de seguridad:

  1. Inicio, Ejecutar, escribimos MMC y pulsamos el botón Aceptar.
    mmcsecure01
  2. En el Menú Archivo, clic en Agregar o quitar complemento.
    mmcsecure02
  3. En el siguiente cuadro de diálogo, pulsamos en Agregar.
    mmcsecure03
  4. En el cuadro de Agregar un complemento independiente, seleccionamos Plantillas de seguridad y le damos a Agregar.
    mmcsecure04
  5. Sin salir del cuadro, seleccionamos Configuración y Análisis de seguridad y le damos a Agregar.
    mmcsecure05
  6. Cerramos el cuadro de diálogo y pulsamos Aceptar en la siguiente. Nos queda la consola con ambas herramientas y que podemos guardar para usarla cuando se desee.
    mmcsecure06

 

Elegir una plantilla predefinida

Con Windows vienen varias plantillas de seguridad predefinidas, lo que podría hacer que no necesitaramos crear una nueva ya que podemos personalizar cualquiera de las predefinidas y guardarlas con otro nombre. Estas plantillas predefinidas nos proporcionan puntos de entrada para aplicar directivas de seguridad en distintos modelos, tengan uno, cien o miles de equipos. Las plantillas predefinidas son:

  • setup security.inf La plantilla Setup security.inf se crea durante la instalación y es específica de cada equipo. Varía de un equipo a otro, dependiendo de si se trata de una instalación limpia o de una actualización. Setup security.inf representa la configuración de seguridad predeterminada que se aplica durante la instalación del sistema operativo, incluyendo los permisos de archivo para la raíz de la unidad del sistema. Puede utilizarse en servidores y en equipos cliente; no puede aplicarse a controladores de dominio. Puede aplicar partes de esta plantilla para la recuperación tras desastres.

No aplique Setup security.inf utilizando Directiva de grupo. Si lo hace, puede disminuir el rendimiento.

  • compatws.inf Esta plantilla cambia los permisos predeterminados de archivos y del Registro que se conceden a los miembros del grupo Usuarios de manera que sean coherentes con los requisitos de la mayoría de los programas que no pertenecen al programa de logotipo de Windows para software (Windows Logo Program for Software). La plantilla Compatible también quita todos los miembros del grupo Usuarios avanzados.
  • DC security.inf Esta plantilla se crea cuando se promueve un servidor a controlador de dominio. Refleja la configuración de seguridad predeterminada de los archivos, el Registro y los servicios del sistema. Si vuelve a aplicar esta plantilla, esta configuración se establecerá en los valores predeterminados. Sin embargo, la plantilla puede sobrescribir los permisos de los nuevos archivos, claves del Registro y servicios del sistema creados por otros programas.
  • securedc.inf, securews.inf

Las plantillas Secure definen configuraciones de seguridad mejorada que es menos probable que afecten a la compatibilidad de programas. Por ejemplo, las plantillas Secure definen configuraciones más seguras de contraseñas, bloqueo y auditoría. Además, las plantillas limitan el uso de LAN Manager y los protocolos de autenticación NTLM configurando los clientes para enviar únicamente respuestas de NTLMv2 y configurando los servidores para que rechacen las respuestas de LAN Manager.

Hay dos plantillas Secure predefinidas en Windows Server 2003: Securews.inf para las estaciones de trabajo y Securedc.inf para los controladores de dominio. Para obtener información adicional acerca de cómo utilizar estas plantillas y otras plantillas de seguridad, busque “plantillas de seguridad predefinidas” en el Centro de ayuda y soporte técnico.

  • hisecdc.inf, hisecws.inf Las plantillas Highly Secure especifican restricciones adicionales no definidas por las plantillas Secure, como niveles de cifrado y la firma necesarios para la autenticación y el intercambio de datos a través de canales seguros, y entre los clientes y servidores de Bloque de mensajes del servidor (SMB).
  • rootsec.inf Esta plantilla especifica los permisos raíz. De forma predeterminada, Rootsec.inf define estos permisos para la raíz de la unidad del sistema. Puede utilizar esta plantilla para volver a aplicar los permisos del directorio raíz si se cambian inadvertidamente o puede modificar la plantilla para aplicar los mismos permisos raíz a otros volúmenes. Como se especifica, la plantilla no sobrescribe los permisos explícitos definidos en los objetos secundarios; sólo propaga los permisos heredados por los objetos secundarios.
  • iesacls.inf Internet Explorer Security ACLs
  • Notssid.inf Esta plantilla eliminalos SIDs innecesarios de TS del sistema de archivos y del Registro cuando se ejecuta TS en modo aplicación.

La mayoría de estas plantillas son incrementales, es decir modifican alguna predefinida. Cualquier plantilla que no sea setup security.inf no configuran valores de seguridad predeterminados antes de cambiar la configuración de seguridad del equipo. Tampoco podemos usarlas en el caso de utilizar el sistema de archivos FAT.

Las plantillas las podemos ver en la consola MMC que hemos creado más arriba.

Crear una plantilla personalizada

El camino más complicado es crear una plantilla personalizada desde cero:

  1. Desde plantillas de seguridad, clic derecho en la carpeta donde queramos dejar la plantilla nueva y pinchar en Nueva plantilla.
    securitytemplates01
  2. En el cuadro de diálogo ponemos un nombre y descripción para la plantilla, y le damos a Aceptar.
    securitytemplates02
  3. En el panel izquierdo, abrimos la nueva plantilla (doble-clic en su nombre) Seleccionamos una área de seguridad, por ejemplo el REgistro y luego la configuramos desde el panel derecho.
    securitytemplates03 

No es el camino más recomendable, más que nada por la laboriosidad necesaria para completarla. Lo mejor es crear una plantilla desde una predefinida, se guarda con un nombre nuevo y se edita para la parte que queramos.

Puesto que estamos viendo la seguridad del Registro veamos como configurar su seguridad en una plantilla.

  1. Desde plantillas de seguridad, clic derecho en una plantilla predefinida y le damos a guardar como, le damos el nombre y Aceptamos.
    securitytemplates04securitytemplates05
  2. Abrimos con doble clic la plantilla guardada, seleccionamos el Registro en el panel izquierdo y vamos al panel derecho.
    securitytemplates06
  3. Vemos una lista de las llaves, donde podemos añadir una nueva o editarla de la lista:
    1. Doble clic en la que se quiera y seleccionamos una de las dos opciones.
      1. Configurar esta clave
        1. Propagar los permisos heredables a todas las subclaves
        2. Reemplazar los permisos existentes en todas las subclaves con permisos heredables.
      2. No permitir que se reemplacen permisos en esta clave.
        securitytemplates07

 

Análisis de la configuración del equipo

Con la plantilla personalizada en mano, podemos usarla para analizar la configuración de seguridad. Con Configuración y Análisis de seguridad, que nos permite comparar el estado actual con los valores configurados en la plantilla, aquí podemos realizar cambios inmediatos en la configuración del equipo. También lo podemos usar para el seguimiento de los niveles de seguridad.

Primero: Clic derecho en Configuración y Análisis de seguridad, (la tenemos añadida a la consola) y pulsamos abrir Base de Datos.

securityanalysis01

Segundo: Desde el cuadro de diálogo que aparece respecto a la BD, podemos hacer una de dos:

Crear un nuevo análisis de BD, escribiendo un nombre nuevo para esa BD nueva y darle a Abrir, entonces importamos la plantilla y Abrir.

securityanalysis02 securityanalysis03

Abrir un análisis ya existente y darle a Abrir.

securityanalysis04

 

 

 

Tercero: Clic derecho en Configuración y análisis de seguridad, seleccionar Analizar ahora y aceptar la ruta del archivo de registro (o cambiarla).

securityanalysis05 securityanalysis06

En cuanto le damos a aceptar se realiza la acción:

securityanalysis07

 

 

Configuración y análisis de seguridad compara la seguridad actual del equipo contra la BD elegida. Si queremos importar diversas plantillas a la BD, click derecho sobre Configuración y análisis de seguridad y darle a importar plantilla, la herramienta las unirá en una. Si acaso detecta conflictos, la última plantilla añadida tiene precedencia (LIFO). Después del análisis del equipo, se muestra en pantalla los resultados, con indicadores que señalan diversas coincidencias o inconsistencias con la configuración definida en la plantilla:

  • Aspa sobre fondo rojo.

securityanalysis08

La configuración existe tanto en la BD como en el equipo, pero no coinciden.

  • Marca verde sobre círculo blanco.(imagen anterior). La configuración existe en ambas y concuerda.
  • Interrogación sobre círculo blanco.

securityanalysis09

La configuración no está en la BD y no se analizó. (puede intervenir también la falta de permisos del usuario que lanza el análisis).

  • Exclamación sobre círculo rojo.

securityanalysis10

La configuración está en la BD pero no en el equipo. Una llave del Registro puede estar en la BD y no estar en el equipo.

  • Sin indicador. El valor no está en la BD o en el equipo.

¿Qué hacer con las discrepancias?

Podemos actualizar la BD editándola, aunque esto no cambiará en la plantilla ni en el equipo. Para ello debemos modificar la plantilla o actualizar la configuración en el equipo.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *