Control de Cuentas de Usuario (IV)

En este nuevo post abordaremos las posibilidades de configuración que presenta el control de cuentas de usuario con respecto a los administradores. Con respecto a esta configuración es conveniente empezar matizando el tratamiento que reciben los usuarios que pertenecen al grupo de administradores frente al super-usuario administrador.


El tratamiento especial que recibe la cuenta integrada del administrador consiste en liberar a dicho usuario del control, restricciones y en definitiva las protecciones que ofrece el control de cuentas de usuario al resto de cuentas.


Esto supone un riesgo para esta cuenta, pero la idea y recomendación por parte de Microsoft es dedicar su uso únicamente a aquellas tareas que el resto de administradores no pueden realizar. De todos modos podremos configurar el UAC para que proteja también al administrador.


Configuración de UAC para los administradores


Por un lado nos encontramos una directiva que configura el comportamiento sobre el usuario administrador. Esta directiva es la siguiente:


Modo de aprobación de administrador para la cuenta Administrador integrado


Las posibles configuraciones que nos ofrece esta directiva van a proporcionar los siguientes comportamientos al UAC:


·         Habilitada: indica al control de cuentas de usuario que el super-usuario administrador se comportará como el resto de usuarios de la máquina.


 


·         Deshabilitada (por defecto): el administrador queda excluido del control de cuentas de usuario. Carece de control de seguridad en todas sus acciones.



Mientras que para el conjunto total de los usuarios con privilegios administrativos, las configuraciones que permite realizar el control de cuentas de usuario dependen de la configuración de varias directivas.


·         “Ejecutar todos los usuarios, incluidos los administradores, como usuarios estándar”: Esta directiva configura el comportamiento del UAC con respecto a los administradores.


 


·         Deshabilitada: el control de cuentas de usuario dejará de proteger la ejecución del entorno de estos usuarios. ¡CUIDADO! Dejamos de distinguir la aplicaciones que ejecutamos nosotros de las que se ejecutan aprovechando vulnerabilidades del sistema.


 


·         Habilitada (por defecto): UAC protege a los administradores con el mismo interés y control que al resto de usuarios del equipo.


 


 


·         “Comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador” Esta configuración establece el comportamiento del indicador de elevación de privilegios para todos los administradores.


 


·         Pedir consentimiento (predeterminado): cada vez que se desee realizar una configuración se debe pedir el consentimiento del usuario. Solo dicha aplicación se ejecutará con los privilegios necesarios. ¡Es necesario leer el mensaje de elevación de permisos, no sea que nos ESTEN engañando!


 


·         Pedir credenciales: El administrador necesita insertar de nuevo sus credenciales para que la tarea pueda ejecutarse. ¿Se te olvida siempre bloquear la sesión cuando abandonas tu puesto?


 


·         No preguntar: no necesita el consentimiento del administrador. Se ejecuta sin más. ¡Muy peligroso!




 


Referencias


GPOs en Windows Vista II : Plantillas administrativas

Continuamos este repaso por las
mejoras en las políticas de grupo de Windows Vista abordando en este segundo
post los cambios relativos a las plantillas administrativas.

 

Un repaso general de las plantillas administrativas:

Una parte fundamental de las
políticas de grupo son las plantillas administrativas, es decir, aquellos
archivos responsables de que podamos personalizar de manera sencilla el
comportamiento de nuestro equipo o los equipos de nuestra empresa a través de la MMC de edición de políticas de
grupo. En Windows XP y Windows 2000 las plantillas administrativas se
encontraban en la carpeta oculta
%Windir%inf
en forma de archivos con extensión *.adm editables a través
del bloc de notas o con herramientas especializadas para ello. Echando un
vistazo al contenido de estos archivos podemos comprobar que no son más que ficheros
que vinculan una política determinada de la MMC de políticas de grupo a un cambio en el
registro de Windows, teniendo por tanto la posibilidad de crear nuestras
propias plantillas administrativas orientadas a nuestras necesidades o las de
nuestra empresa pero con el inconveniente de tener que estar familiarizado con
su modelo de configuración específico que sigue un lenguaje no estándar.

 

Desde el punto de vista del
administrador, las plantillas administrativas pueden vincularse o desvincularse
de una GPO a través del editor de políticas de grupo (gpedit.msc), donde, tanto
en la configuración de equipo como en la configuración de usuario, encontramos
una carpeta llamada «Plantillas Administrativas» que muestra las
configuraciones ofrecidas por los archivos *.adm mencionados anteriormente. Para
agregar o quitar una plantilla a nuestra configuración de políticas de grupo debemos
hacer clic con el botón derecho del ratón sobre la carpeta de plantillas
administrativas, y seleccionar «agregar o quitar plantillas». Por defecto
tenemos 5 plantillas vinculadas en nuestro equipo:

  • Conf.adm: configuración
    de NetMeeting
  • Inetres.adm:
    configuración de Internet Explorer.
  • System.adm: configuración
    del sistema operativo
  • wmplayer.adm:
    configuración del Reproductor de Windows Media
  • wuau.adm:
    configuración de Windows Update

Podemos agregar nuevas plantillas
de productos Microsoft o de productos de otros fabricantes, un ejemplo de esto
son las plantillas de OFFICE 2007 o Internet Explorer 7 que se encuentras
disponibles para descarga en los siguientes enlaces:

 

Plantillas administrativas para
OFFICE 2007:

http://www.microsoft.com/downloads/details.aspx?FamilyID=92d8519a-e143-4aee-8f7a-e4bbaeba13e7&DisplayLang=en

Plantillas administrativas para
Internet Explorer 7:

http://www.microsoft.com/downloads/details.aspx?FamilyID=11AB3E81-6462-4FDA-8EE5-FCB8264C44B1&displaylang=en

 

Todas las políticas que vayamos
agregando son incluidas automáticamente en %windir%system32GroupPolicyAdm
(GroupPolicy es una carpeta oculta donde se guardan las configuraciones de
nuestras políticas locales).

En los siguientes enlaces podéis encontrar
más información referente a plantillas administrativas en Windows 2000 y XP:

http://www.microsoft.com/spain/technet/recursos/articulos/gpfeat.mspx

https://www.microsoft.com/spain/technet/recursos/articulos/secmod63.mspx

 

Plantillas administrativas en Windows Vista:

El concepto de plantilla
administrativa en Windows Vista es exactamente el mismo que en Windows 2000 o
XP pero con un par de cambios sustanciales:

 

  • Formato
    estándar de configuración (XML):
    Windows Vista ha cambiado las
    plantillas administrativas *.adm por las nuevas *.admx siendo compatible
    con cualquiera de los dos formatos. Las plantillas *.admx están
    configuradas mediante el lenguaje de marcas XML desvinculándose así del
    formato específico de los archivos *.adm anteriores, y obteniendo todas
    las ventajas de XML como la portabilidad, la facilidad de configuración, la
    menor especificidad, una mejor integración con otros sistemas y
    aplicaciones etc. Además Microsoft ha puesto a disposición de los usuarios
    una herramienta llamada ADMX
    Migrator
    que permite transformar fácilmente cualquier plantilla en
    formato ADM al nuevo formato ADMX, así como realizar ediciones de estas de
    manera sencilla y sin tener que estar completamente familiarizado con el
    formato de dichos archivos.

 

ADMX Migrator es
descargable del siguiente del siguiente vínculo:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f1eec3d-10c4-4b5f-9625-97c2f731090c&DisplayLang=en

 

Las plantillas
administrativas con extensión .admx se encuentran ubicadas en %windir%PolicyDefinitions y son mucho
más modulares que los archivos *.adm dividiendose en aproximadamente 150
plantillas, cada una de las cuales encargadas de un tema en concreto, por
ejemplo IIS.admx para Internet
Information Server, WindowsMessenger.admx
para el Messenger o ParentalControls.admx
para las configuraciones de control parental.

 

  • Independencia
    del idioma:
    Realmente esta característica se desprende también del
    lenguaje XML que permite hacer referencia a otro archivo donde, en este
    caso, estarán ubicadas las descripciones de cada una de las políticas,
    esto permite que la configuración de las plantillas administrativas sean
    independientes del idioma (característica recurrente en Windows Vista).
    Los archivos de idioma tienen el mismo nombre que los archivos de plantilla
    administrativa, pero con extensión *.adml y están ubicados en la carpeta
    de idioma correspondiente (es-ES, us-EN, fr-FR etc.) dentro de la carpeta %windir%PolicyDefinitions

 

 

           Las plantillas administrativas
con formato *.admx son vinculadas de manera automática al editor de                   políticas de grupo en el momento en que la añadimos a la carpeta PolicyDefinitions sin
ser necesario                hacer uso de «agregar o quitar plantillas» que queda reservado
para los archivos *.adm heredados.

 

En el próximo post abordaremos la
manera de crear un repositorio centralizado de políticas de grupo en Active Directory
para Windows Vista.

Despliegue masivo de Windows Vista con BDD 2007 (III de V)

Para preparar el laboratorio podéis leer los  artículos anteriores “Despliegue masivo de Windows Vista con BDD 2007 (I de V)”  y  “Despliegue masivo de Windows Vista con BDD 2007 (II de V)”


En esta tercera entrega de esta serie destinada al despliegue de Windows Vista abordaremos la personalización del «Build» o paquete de despliegue que dejamos creado en el artículo anterior.


Recordemos que el “build” será el producto final que utilizaremos para realizar el despliegue, por lo tanto debe  estar lo más ajustado a las necesidades de la organización como podamos. Desde configuraciones de escritorio, Internet Explorer, Red, Firewall, hasta la instalación de aplicaciones de línea de negocios (LOB), actualizaciones, controladores, etc.


Por lo tanto, estas tareas de personalización las haremos con dos herramientas fundamentalmente: Windows SIM (Windows System Image Manager) e ImageX. Ambas herramientas son componentes de Windows AIK.


Si abrimos las propiedades del “Build” que ya tenemos creado, en la etiqueta settings, observaremos que podemos, desde aquí comenzar a modificar algunos parámetros como el nombre de la organización, contraseña de la cuenta Administrador (creada siempre en Windows Vista pero deshabilitada por defecto), página de inicio de Internet Explorer  y el número de licencia (CD Key) de la edición de Windows Vista que hemos adquirido.



Propiedades del paquete de despliegue 


En realidad todos estos parámetros, junto con muchos otros, forman parte del un fichero de instalación desatendida que se llama unattend.xml, el cual sustituye a los diferentes formatos que debíamos de gestionar en versiones anteriores cuando diseñábamos despliegues de Windows XP con RIS (sysprep.inf y unattend.txt). Con el botón “Edit Unattend.xml” abrimos la herramienta Windows SIM y podemos editar todos los detalles de respuestas que se pasarán en cada una de las tareas durante el proceso de instalación de la imagen del Sistema Operativo.


Para aquellos acostumbrados a desarrollar aplicaciones con Visual Studio, verán que el entorno es bastante familiar, ya que cada uno de los componentes o paquetes que forman parte del archivo de respuesta unattend.xml, son en realidad objetos con propiedades que podemos editar. Básicamente el entorno de trabajo se divide en cinco áreas:


1.       Distribution Share: Panel de exploración del recurso compartido de distribución, con los elementos y componentes que se han incluido en pasos anteriores como paquetes (actualizaciones de sistema) y controladores “out-of-box”


2.       Imagen Windows: Panel en donde podemos visualizar los paquetes que ya están actualmente incluidos en la imagen WIM, como paquetes de lenguaje, funcionalidades, características y el núcleo del sistema. Estos paquetes se pueden agregar al archivo de respuesta para personalizar la instalación y realizarla sin intervención del usuario


3.       Archivo de respuesta (Answer File): En esta sección veremos los paquetes que ya están incluidos en unattend.xml. Podremos editar sus propiedades, para realizar finalmente el despliegue desatendido que queremos lograr


4.       Propiedades: Cada vez que seleccionemos un paquete del archivo de respuesta o de la imagen de Windows, veremos sus propiedades y las podremos modificar para ajustarlas a los requisitos de la organización.


5.       Mensajes: Al utilizar las herramientas del menú Tools, obtendremos las respuestas de la acción realizada en este panel de mensajes.


Por ejemplo, supongamos que queremos configurar las particiones que tendrá el disco de los equipos en donde instalaremos Windows Vista. Pues bien, para ello debemos agregar al archivo de respuesta unattend.xml el componente necesario y configurar las propiedades. Uno de los aspectos más interesantes de Windows SIM es su nivel de detalle en cada una de las tareas. Para realizar esta configuración seleccionaríamos de la lista de componentes en el panel de imagen Windows, el objeto:


·         x86_Microsoft-Windows-Setup_6.0.6000.16386_neutralDiskConfiguration


Con el botón derecho lo agregamos al archivo de respuesta.



Paquetes en Unattend.xml 


Una vez integrado, podemos crear nuevos discos y nuevas particiones para cada disco. Siempre con el botón derecho, pero esta vez directamente en el archivo de respuesta, seleccionamos:


·         Disk Configuration > Insert new disk.


·         Disk / CreatePartitions > Insert new CreatePartitions


·         Disk / ModifyPartitions > Insert new ModifyPartitions


Cuando ya tenemos el disco creado y las particiones que necesitamos, debemos configurar las propiedades de cada disco y partición, por ejemplo:


·         Disk:  DiskID = 0, WillWipeDisk = true


·         DiskCreatePartitionsCreatePartition: Extend – false, Order = 1, Size = 25000, Type = Primary


·         DiskModifyPartitionsModifyPartition:  Active = true, Extend = false, Format = NTFS, Label = WindowsSystem, Letter = C, Order = 1, PartitionID = 1


Ahora debemos asegurarnos que el sistema se instalará en la partición que se ha creado para tal fin. Para ello abrimos las propiedades del objeto ImageInstallOSImageInstallTo. Este objeto se agrega automáticamente cuando se crea el archivo de respuesta, pero debemos comprobar que DiskID y PartitionID tengan los valores correctos. En nuestro ejemplo DiskID debe tener un valor 0 (Disco 0) y PartitionID un valor 1 (Partición 1).


Otros aspectos que se pueden configurar automáticamente son:


·         x86_Microsoft-Windows-Setup_6.0.6000.16386_neutralUserData


o   Aceptación de EULA


o   Nombre completo


o   Organización


·         x86_Microsoft-Windows-Setup_6.0.6000.16386_neutralUserDataProductKey


o   Licencia de producto (CD Key)


·         x86_Microsoft-Windows-Setup_6.0.6000.16386_neutralDisplay


o   Profundidad de colores


o   Resolución horizontal


o   Resolución vertical


o   Refrescamiento


·         x86_Microsoft-Windows-UnattededJoin_6.0.6000.16386_neutral


o   Dominio o grupo de trabajo al que unir el equipo


o   OU para el equipo


o   Contraseña de equipo


o   Credenciales de cuenta con permisos para agregar equipos al dominio


·         x86_Microsoft-Windows-TCPIP_6.0.6000.16386_neutral


o   Configuración de interfaces de red


o   Configuración IPv4 e IPv6


o   Puertas de enlace


·         x86_Microsoft-Windows-Sidebar_6.0.6000.16386_neutral


o   Gadgets presentados y configuración de Sidebar


Como podéis observar, son muchos los componentes que se pueden configurar de forma desatendida. Por lo tanto, si queréis profundizar en la arquitectura y componentes de Windows SIM, podéis visitar http://technet2.microsoft.com/WindowsVista/en/library/f3b1573b-4915-4532-933a-57ee2bcddf921033.mspx?mfr=true


Una vez finalizada la tarea de personalización de unattend.xml, el siguiente paso es guardar toda la configuración (File > Save Answer File). Por defecto se guarda en C:DistributionControl<Nombre del Build>unattend.xml. Si lo editamos con el Bloc de notas, comprobamos que efectivamente, toda la configuración que hemos ido agregando con Windows SIM está guardada en la estructura XML.


Otra herramienta que podemos utilizar para capturar y modificar imágenes WIM es imageX. El propósito de imageX es completamente diferente del de Windows SIM. Mientras que Windows SIM nos permite editar imágenes WIM y crear, a partir de los componentes incluidos, un archivo de instalación desatendida, imageX la vamos a utilizar en pasos inmediatamente anteriores o posteriores a la creación de unattend.xml.


Utilizaremos imageX para capturar una imagen a partir de un equipo de referencia. En nuestro caso, hemos iniciamos esta serie de artículos con la imagen en DVD de Windows Vista, por lo tanto no hemos tenido la necesidad de capturar una imagen previa. Sin embargo, si podemos tener la necesidad de que, una vez creado todo el entorno de despliegue, queramos modificar la imagen final WIM. Por ejemplo, actualizar unas librerías de unos controladores, o agregar una serie de archivos que utilizarán nuestros usuarios o aplicaciones en la organización.


Para ello, no es necesario volver a repetir todos los pasos y crear nuevas imágenes cada vez que realizamos cambios. Basta con montar la imagen actual e incorporar o actualizar los archivos necesarios. Fijaros que el montaje se realiza a partir de una carpeta previamente creada, y podremos navegar por toda la estructura de carpetas de la imagen .wim como si de un árbol de carpetas locales se tratara.


La herramienta la podéis encontrar en C:Program FilesWindows AIKToolsx86, es realmente sencilla de utilizar. Los modificadores que admite son los siguientes:


·         Append – Agrega un nuevo volumen de imagen a un fichero .wim existente


·         Apply – Aplica un volumen de imagen a la unidad especificada


·         Capture – Captura un volumen de imagen en un nuevo fichero .wim


·         Delete – Elimina una imagen de un fichero .wim con múltiples imágenes


·         Dir – Muestra una lista de archivos y carpetas en un volumen de imagen


·         Export – Transfiere una imagen de un fichero .wim a otro fichero .wim


·         Info – muestra las descripciones XML del fichero .wim


·         Split – Separa un fichero .wim existente en múltiples partes wim de solo lectura


·         Mount – Monta una imagen con acceso de solo lectura en la carpeta especificada


·         MountRW – Monta una imagen con acceso de lectura y escritura en la carpeta especificada


·         Unmount – Desmonta la imagen montada en la carpeta especificada


·         Compress – Establece el nivel de compresión a ninguno, rápido o máximo


·         Commit – Aplica los cambios realizados a una imagen .wim montada


Aquí van algunos ejemplos del uso que podemos darle a imageX


·         Si queremos crear una imagen a partir de un equipo de referencia debemos ejecutar el comando


o   imageX /capture /compress maximun C:  E:ImagenesmiWindowsVista.wim “Imagen de mi Windows Vista”


·         Si queremos aplicar esta imagen a un disco nuevo ejecutaremos


o   imageX /apply E:ImagenesmiWindowsVista.wim 1 D:


·         Opcionalmente se puede crear un fichero de configuración en donde se incluirán las exclusiones que se tendrán en cuenta durante el proceso de captura de la imagen. Dicho fichero debe tener extensión .ini y puede ser algo como esto:



Configuración de imageX /capture 


En nuestro laboratorio, vamos a ver cómo podemos montar y modificar la imagen a partir de la cual estamos realizando todo el proceso de despliegue. Recordemos que la imagen .wim que estamos utilizando proviene del DVD de Windows Vista, por lo tanto si queremos agregar algún archivo o carpeta a dicha imagen, debemos montarla en modo lectura y escritura, hacer los cambios necesarios y posteriormente aplicar los cambios.


La imagen está en C:DistributionOperating SystemsWindows Vistasourcesinstall.wim


Para montarla vamos a crear una carpeta que será nuestro punto de montaje, por ejemplo C:ImagenVista. Para montar la imagen debemos saber qué imagen montar, recordemos que en un único fichero .wim podemos almacenar múltiples imágenes. En nuestro laboratorio tenemos en install.wim todas las ediciones de Windows Vista, por lo que si queremos saber en qué orden están guardadas, podemos hacerlo con:


·         imagex /info «C:distributionoperating systemswindows vistasourcesinstall.wim»


Observaremos que la información proporcionada está en formato XML. Debemos localizar la etiqueta <IMAGE_INDEX> Y <NAME> para saber el índice de la imagen que buscamos.



imageX /info 


Según nuestro fichero .wim, la edición Ultimate está en la posición 4, por lo tanto montaremos esta imagen:


·         imagex /mountRW «C:distributionoperating systemsWindows Vistasourcesinstall.wim» 4 C:ImagenVista



imageX /MountRW 


Ahora podemos ver el contenido de la imagen en C:ImagenVista y navegar por la estructura de directorios. Podremos crear carpetas, agregar ficheros o modificar contenido. Por ejemplo, si queremos agregar o actualizar los controladores disponibles en nuestra imagen para la posterior instalación de dispositivos, entonces basta con agregarlos a WindowsSystem32DriverStore.


Una vez realizados los cambios debemos aplicarlos con la siguiente instrucción:


·         imageX /unmount /commit C:ImagenVista



imageX /unmount /commit 


Bien, hemos visto cómo podemos crear, editar y aplicar imágenes .wim con las herramientas Windows SIM e ImageX. En la siguiente entrega de esta serie comenzaremos las tareas de preparación del despliegue y las pruebas con un cliente que sin tener un Sistema Operativo instalado, deberemos iniciar ya sea con un CD de arranque de Windows PE o mediante PXE.

Bitlocker (VI): Implementando el cifrado

En este último post sobre bitlocker, vamos a definir como se realiza la implementación en Windows Vista. Antes de realizar la implementación, necesitamos haber definido inicialmente una estructura de disco consecuente para la implantación de Bitlocker.


 


            Inicialmente necesitamos para habilitar bitlocker 2 particiones formateadas en NTFS. Una de las particiones, la activa, es el volumen de sistema, que contendrá todo el sistema de arranque y no se cifrará, esta partición no cifrada además de mantener todo el arranque, nos permitirá cargar el boot loader y arrancan otro sistema operativo que pudiera estar coexistiendo en nuestra máquina y en otra partición diferente de aquella que vamos a cifrar. La otra partición, almacenará el sistema operativo y es aquella que podemos cifrar. Únicamente mediante bitlocker se puede cifrar esta partición.


 


            Una vez que tenemos definido y creado nuestro sistema de almacenamiento siguiendo estas características, procederemos a habilitarlo. En el caso de que no poseamos el chip TPM, siempre podremos optar por utilizar un Stick USB para el almacenamiento de las claves.  Para utilizar esta metodología deberíamos habilitar la directiva correspondiente tal y como definimos en post anteriores.


 


            Posteriormente a la definición del método para el almacenamiento de las claves, el sistema nos presenta la posibilidad de guardar una password de recuperación. El almacenamiento de la misma se puede realizar en un dispositivo USB, en una carpeta o bien imprimirse. Esta clave debiera quedar bien resguardada, tanto por motivos de seguridad, como por motivos de administración, puesto que nos permitirá recuperar el disco cifrado, en caso de contratiempos, aunque nos lleváramos el disco duro a otra máquina diferente del que hallamos implementado el cifrado del disco. Esta password de recuperación es única para cada sistema donde hayamos implementada por bitlocker.


 


            Finalizaremos la aplicación de Bitlocker, reiniciando la máquina. Se realiza un pre-arranque donde se comprueban las condiciones para su implementación y la compatibilidad. Si supera este proceso, se procederá a la implementación del cifrado. Una vez completado en el siguiente proceso de arranque, en función del escenario de implementación que hayamos utilizado, bien por PIN o USB, nos lo solicitará para proceder con el proceso de carga del sistema operativo.


 


            Uno de los mecanismos que tenemos que tener siempre presente es el de la recuperación en caso de una contingencia. Para ello deberemos disponer de la clave de recuperación bien que se encuentre en un dispositivo USB, o lo hubiéramos impreso. Durante el arranque si el sistema está bloqueado nos pedirá la clave de recuperación. Inicialmente nos solicitará la llave USB o bien introducir manualmente la clave que tuviéramos en papel. Este mismo mecanismo deberemos implementar en el caso de que el hardware haya provocado fallos y tuviéramos que llevarnos el disco a otra máquina.


 


Referencias Externas


 


 —————————————————————-


Bitlocker III: Escenarios de bitlocker.


Guia para la implementación de bitlocker.


Extensión del esquema para la implementación de claves de recuperación en Directorio Activo.

GPOs en Windows Vista I : Múltiples políticas locales

En esta nueva serie de POST iremos tratando las mejoras en Windows Vista relacionadas con las políticas de grupo. En el presente post trataremos sobre el soporte de Windows Vista de  varias políticas de grupo locales (LGPO).

 

Un repaso general:

Las políticas de grupo o GPO son una de las características más interesantes del directorio activo y de personalización del comportamiento de nuestro equipo o de los equipos de una red. Gracias a las GPO podemos controlar desde qué herramientas están disponibles para los usuarios hasta que permisos NTFS deseamos establecer en nuestras unidades, es decir podemos modificar aspectos como el comportamiento de protocolos, auditorias del sistema, difusión de certificados, restricciones de contraseñas, restricciones de usuario, comportamiento de componentes del sistema y un largo etc. tanto a nivel local como a nivel de dominio, siguiendo la regla de prioridad LSDOU (del ingles Local, Site, Domain, Organizational Unit). En el fondo la mayoría de las configuraciones de una GPO son cambios en el registro de Windows del equipo final, el cual, según sea el caso, va a permitir o restringir ciertas acciones. Todo esto es configurable, con las explicaciones oportunas, a través del MMC (Microsoft Management Console) de edición de políticas de grupo (gpedit.msc).

 

LGPO en Windows Vista:

Windows Vista trae consigo una serie de mejoras relativas al funcionamiento y uso de las políticas de grupo que iremos desgranando en sucesivos post, hoy partiremos de la posibilidad de usar varias políticas locales permitiendo así una personalización de estas por usuario o según se pertenezca o no al grupo administradores.

En Windows XP cuando creábamos alguna LGPO esta se aplicaba al equipo y a todos los usuarios, algo que no siempre es lo más optimo según las configuraciones que deseemos realizar, es por ello que por Internet podemos encontrar formas de hacer que las políticas configuradas no afecten a los administradores como se puede comprobar en el siguiente artículo de Microsoft.

http://support.microsoft.com/kb/q293655/

En Windows Vista ya tenemos implementada la posibilidad de realizar una gestión de políticas diferenciada, para ello debemos seguir el siguiente proceso:

Ejecutar MMC > Archivo > Agregar o quitar complementos > Editor de objetos de directiva de grupo

Nota: No confundir «editor de objetos de directiva de grupo» con el complemento de «administración de directivas de grupo» también conocido como GPMC y que ya viene integrado como parte de Windows Vista para la administración de GPOs en un dominio.

Al pulsar sobre el botón «agregar» para agregar el complemento y antes de seleccionar cualquier otra opción debemos hacer clic sobre el botón «Examinar» donde además de la posibilidad de aplicar la LGPO a otro equipo distinto desde la pestaña «equipos» nos aparecerá una nueva pestaña llamada «usuarios» donde podremos seleccionar entre las cuentas de usuario existentes o entre los grupos «administradores» para aplicar políticas propias a usuario con privilegios administrativos y «no administradores» para la creación de políticas que afecten al resto de los usuarios; finalmente solo tenemos que pulsar en aceptar para empezar a editar las políticas de usuario correspondientes (obviamente esto no afecta a las políticas de equipo que se aplican a todos por igual).

Alguno ya habrá caído en la cuenta de que mediante este método existe la posibilidad de existencia de conflictos entre políticas, por ejemplo tendríamos un conflicto al aplicar una política concreta sobre un usuario corriente llamado Pablo y esa misma política pero con una configuración diferente aplicada a todos los usuarios no administradores. Para resolver este tipo de situaciones y partiendo de que quien edita las políticas locales en conflicto es normalmente la misma persona, podemos concluir que normalmente la configuración deseada es la ultima modificación realizada; partiendo de esto, Windows Vista aplica aquella configuración que haya sido editada la última.

¿A quien le apetece restringir las funciones del Panel de Control de sus usuarios o modificar el comportamiento de Internet Explorer sin afectar a algún usuario específico? Con Windows Vista ya podeis hacerlo.

 

En el próximo POST trataremos sobre el cambio en el formato de las plantillas administrativas y su independencia del idioma.

Bitlocker (V): AES – CBC + Difusor


Como planteé en el anterior post, existen numerosos elementos necesarios aplicar a la hora de determinar un mecanismo de cifrado, y estos deben garantizarse, de tal forma que el acceso a los datos cifrados deben ser controlados, tanto a nivel lógico, como el impedir los ataques que mediante manipulación arbitraria permitiera el acceso aleatorio a los datos y la obtención del mecanismo de cifrado.


Por mecanismos de rendimiento el mejor sistema que se puede emplear para el cifrado de datos de disco es AES-CBC, pero ya advertimos anteriormente el riesgo de posibles ataques al utilizar únicamente este mecanismo. La decisión finalmente establecía la utilización de AES-CBC para la encriptación primaria y una clave difusor independiente para texto plano. Este difusor tiene como objetivo fortificar frente a los ataques de manipulación, mejor que lo que puede realizar de forma única el algoritmo de AES-CBC.


 


 


 


        


 


 Figura 1 – Funciones de cifrado mediante AES-CBC + Difusor


 


La figura anterior describe los mecanismos empleados para el cifrado de los datos. Los datos en texto plano son corred con una clave del sector. Posteriormente se le aplican los difusores y finalmente se encripta con el modo AES-CBC. La clave del sector viene definida por la siguiente función:


 


KS:=E(KSEC, e(s)) || E(KSEC,e’(s))


 


donde E() es la función AES de encriptación, KSEC es la clave utilizada (128 o 256 bits, según lo elegido) y e(s) y e’(s), es la función de codificación utilizada en la capa AES-CBC teniendo en cuenta que e’ es como e solo que el último byte tiene el valor 128. La clave Ks se repite tantas veces como sea necesario hasta completar una clave del tamaño del bloque y se aplica una función corred sobre el texto plano.


 


El uso de dos difusores, muy similares pero aplicados en direcciones opuestas, permite la propiedad de difusión correcta en ambas direcciones. Los difusores vienen determinadas en una función donde intervienen el número de palabras del sector y un operador de 4 constantes (diferentes para cada difusor) en un array que especifica la rotación. Este mecanismo tiene como objetivo minimizar el impacto del cifrado en el rendimiento al utilizar un menor uso de ciclos por segundo para realizar el mismo.


 


Referencias Externas


 


——————————————————-


 


RFC 3602 AES – CBC


 


Algoritmo AES – CBC + Elephant


 


 

Control de Cuentas de Usuario (III)

En estos nuevos posts hablaremos de las posibles configuraciones que permite realizar el Control de Cuentas de Usuarios, para poder adaptarlo a nuestras necesidades.Iremos viendo ante todo los posibles riesgos (no tan graves como deshabilitarlo) que conlleva cada configuración. El administrador no puede conseguir asegurar nunca un sistema operativo al máximo, pero si puede asumir los riesgos que corre.


Las posibles configuraciones del UAC la vamos a dividir en dos grandes grupos, los usuarios estándar y los administradores. Windows Vista nos proporciona la posibilidad de definir su comportamiento de forma independiente a ambos tipos de usuarios. En este post lo dedicaremos a la configuración de UAC para los usuario estándar.


 Configuración de UAC para los Usuarios


Los usuarios estándar no van a poder realizar jamás tareas administrativas con sus credenciales. Pero ¿Qué ocurre si el administrador necesita realizar una tarea administrativa cuando se encuentra bajo la sesión de uno de estos usuarios?. Ante este tipo de situación antes, utilizabamos el comando runas para ejecutar la acción, pero no siempre resultaba lo suficientemente cómodo y rápido.


Ahora mediante políticas (locales o de grupo) vamos a poder definir el comportamiento del UAC, para favorecer la operativa del sistema operativo en el escenario anteriormente descrito. Para ello debemos abrir la política que deseemos configurar y acceder a la directiva que se encuentra en la ruta: Configuración del Equipo –> Configuración de Windows –> Configuración de Seguridad –> Directivas Locales –> Opciones de Seguridad. En dicha ruta existen una directiva con el nombre «Control de cuentas de usuario: Comportamiento del indicador de elevación para los usuarios estándar».



 


Esta directiva proporciona dos posibles configuraciones:



  • Rechaza solicitudes de elevación automáticamente. Esta configuración impide a los usuarios realizar cualquier tipo de tarea administrativa, ya que su usuario no posee privilegio para ello.



 



  • Pedir credenciales. Esta configuración permite proporcionar al usuario nuevas credenciales para realizar la tarea administrativa, dando mayor funcionalidad al equipo a la hora de su administración. Pero nos muestra por defecto todos los nombres de las cuentas que pueden realizar dicha configuración.


Cuidado con esto, ya que nos acabos de saltar uno de los dos niveles de seguridad que tienen la cuentas de usuarios. ¡Ya tenemos el nombre de una cuenta válida, ahora solo nos queda adivinar su contraseña!




 


Estas son las dos posibilidades que nos proporciona Windows Vista a la hora de configurar el comportamiento de UAC con los usuarios estándar (que carecen de privilegios). En el post de la semana que viene (y prometo que sea el viernes) hablaremos de la configuraciones para los administradores.


 


Referencias


Despliegue masivo de Windows Vista con BDD 2007 (II de V)

Para preparar el laboratorio podéis leer el artículo anterior “Despliegue masivo de Windows Vista con BDD 2007 (I de V)”


Una vez instalados todos los componentes y servicios necesarios ya estamos listos para comenzar la preparación de imágenes de Windows Vista y su posterior despliegue en los dos equipos que tenemos (un Windows XP que actualizaremos y un equipo sin OS).


En este laboratorio vamos a utilizar un CD de Windows Vista como imagen de referencia, pero también se puede utilizar un equipo previamente instalado como equipo de referencia.


Lo primero que debemos hacer es iniciar “Deployment Workbench”. Esta aplicación nos va a permitir preparar todo lo necesario para el despliegue. Como observaréis se divide en cuatro nodos: “Information Center, Distribution Share, Builds y Deploy”.


·         El “Information Center” es un centro de documentación y enlaces a recursos Web que podemos utilizar para revisar los procedimientos y tareas de todo el proyecto de despliegue.


Microsoft divide el proyecto en varias claramente identificadas. Estas fases incluyen desde una primera comprobación de compatibilidad de nuestra infraestructura con Windows Vista (hardware y software), hasta la preparación de imágenes, configuración de la instalación de aplicaciones, migración de perfiles de usuario y el propio despliegue en los equipos de destino.


Es una guía muy completa que esta a vuestra disposición y que haciendo clic en cada uno de los íconos podemos acceder a los documentos de procedimientos de cada una de las fases.


 Fases del proyecto de despliegue con BDD 2007


·         El segundo nodo es el recurso compartido de distribución. Es aquí donde tendremos de importar las imágenes WIM de referencia y prepararemos las aplicaciones, actualizaciones de sistema y conjunto de controladores de dispositivos necesarios para nuestros equipos de destino.


·         En el nodo “Builds” veremos nuestras  “construcciones” de imágenes ya preparadas, es decir, una vez copiado y configurado todo el software necesario que se incluirá en Windows Vista durante el proceso de instalación y pasos post-instalación. Para poder crear un “Build” debemos tener al menos un Sistema Operativo configurado en el nodo de distribución.


·         Por último tenemos el nodo “Deploy” en donde crearemos los puntos de despliegue e identificaremos los equipos de destino, ya sea por nombre de máquina, dirección MAC, rol, ubicación y marca y modelo. Todo esto con la ayuda de una base de datos que debemos crear y configurar. Con respecto a los puntos de despliegue, BDD 2007 admite la creación de 4 tipos de despliegue.


a.      Mediante un recurso compartido en el mismo equipo


b.      Mediante un recurso compartido en otro equipo en la red,  por ejemplo un servidor de archivos,


c.       Mediante un medio extraíble, por ejemplo un DVD


d.      Mediante SMS 2003 con OSD


Bien pues una vez conocido esto, ahora llega el momento de importa la imagen WIM desde nuestro DVD de Windows Vista hacia el Distribution Share. Para ello, agregamos un nuevo OS con el asistente. En este laboratorio seleccionamos la primera opción ya que estamos trabajando con el DVD. No es necesario seleccionar la imagen .wim, solo la raíz del DVD, BDD detectará todas las imágenes que contiene el fichero .wim


Copia de archivos de instalación de Windows Vista


Una vez copiados todos los archivos de instalación, tendremos todas las ediciones de Windows Vista disponibles para ver sus propiedades y configurar la que vayamos a instalar en los equipos de destino


El siguiente paso es agregar a nuestra imagen las aplicaciones que se instalarán junto con el sistema operativo. Después veremos que gracias a un secuenciador de tareas podremos configurar el momento en que queremos que se produzca la instalación de las aplicaciones que aquí agregamos.


En este paso podemos agregar desde una pequeña utilidad que nuestros clientes requieren, hasta un sistema completo como Office 2007. Tenemos dos opciones en el asistente: aplicaciones que contienen archivos de origen, es decir, instaladores, archivos de configuración, archivos .cab, ficheros de texto, documentos, etc. Y como segunda opción podemos agregar aplicaciones que no tienen ficheros de origen o que están alojadas en un servidor de archivos.


Asistente para agregar aplicaciones


En la siguiente pantalla del asistente tenemos que indicar el nombre de la aplicación y la plataforma en que puede ejecutarse (x86, x64, IA64 o todas)


Por último seleccionamos la carpeta en donde residen los archivos de instalación de la aplicación y posteriormente los detalles de la instalación, es decir, los parámetros que se le van a pasar al programa de instalación para hacer un proceso automático y desatendido (estos datos varían según la aplicación). Si es un instalador basado en Windows Installer, algunos de los parámetros que podemos utilizar son los siguientes:


·         /q – quiet


·          /n Sin UI


·          /norestart – Sin reinicio


·         /passive – modo desatendido solo con barra de progreso


·         /log – crea un registro de instalación (se debe especificar la ubicación)


De todas formas, si tenéis cualquier duda, estos valores los podéis consultar ejecutando en una consola de comandos el instalador, por ejemplo “miaplicacion.msi /?”


Una vez que tenemos todas nuestras aplicaciones agregadas al recurso de distribución, a continuación haremos lo mismo con las actualizaciones que sean necesarias. Para ello debemos seleccionar con el asistente para nuevo paquete, la carpeta en donde se encuentran los ficheros .cab que contienen la actualización.


Por último, si necesitamos agregar controladores que se instalarán junto con el sistema operativo, lo podemos hacer con el asistente para nuevo controlador. En esta ocasión se buscarán los ficheros .inf  en la carpeta que indiquemos.


Bien, una vez que hemos terminado de agregar componentes a nuestra imagen ya podemos crear el “Build”. El Build se utiliza internamente durante el proceso de despliegue, realmente lo que se hace es unificar todo el contenido que hemos ido agregando en los pasos anteriores.


Necesitaremos identificar el “Build” con un número único, especificar un nombre y agregar algún comentario en el asistente de creación.



Posteriormente seleccionamos la edición de Vista que vamos a desplegar, en este caso seleccionaremos Vista Ultimate.


El asistente nos seguirá pidiendo datos como la clave de producto, nombre de la organización, página de inicio de Internet Explorer y la contraseña de la cuenta Administrador.


Selección de la imágen de Windows Vista


Todos estos datos van a formar parte del archivo de instalación desatendida, el cual podremos configurar y ampliar en un paso posterior utilizando la herramienta Windows SIM (Windows System Image Manager)


Hemos llegado al final de esta segunda parte. En la tercera parte abordaremos la personalización del “Build” que acabamos de crear. Podremos agregar componentes de Windows Vista a la instalación, configurar cada unos de los pasos y utilizar el secuenciador de tareas para incluir nuestros propios scripts de configuración y personalización del entorno.


Hasta entonces, saludos a todos.