Seguridad Con El Directorio Activo Politicas de Grupo 3292

7/25/2019 Seguridad Con El Directorio Activo Politicas de Grupo 3292

1/17

Global Information Assurance Certification Paper

Copyright SANS Institute

Author Retains Full Rights

This paper is taken from the GIAC directory of certified professionals. Reposting is not permited without express written perm

Interested in learning more?Check out the list of upcoming events offering

"Security Essentials Bootcamp Style (Security 401)"

at http://www.giac.org/registration/gsec
http://www.giac.org/http://www.giac.org/http://www.giac.org/registration/gsechttp://www.giac.org/registration/gsechttp://www.giac.org/registration/gsechttp://www.giac.org/registration/gsechttp://www.giac.org/registration/gsechttp://www.giac.org/http://www.giac.org/


2/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.

Key fingerprint = AF19 FA27 2F94 998D FDB5 DE3D F8B5 06E4 A169 4E46

SANS Institute 2003, As part of GIAC practical repository. Author retains full ri

SANS Institute 2003, 1

INDICE

1. INTRODUCCION __________________________________________________ 2

2. OBJETIVOS______________________________________________________ 2

3. INTRODUCCION A LA ESTRUCTURA DEL DIRECTORIO ACTIVO _________ 3

1.- Estructura Lgica.- _______________________________________________ 3a) Unidades Organizacionales.- ______________________________________ 4c) rboles.-_______________________________________________________ 4

b) Bosques.- _____________________________________________________ 52) Estructura Fsica__________________________________________________ 5

a) Sitios _________________________________________________________ 5a) Controlador de Dominio __________________________________________ 5

4. DESCRIPCIN DEL DIRECTORIO ACTIVO ____________________________ 5

5. VENTAJAS DEL DIRECTORIO ACTIVO _______________________________ 7

8. EJEMPLO: Creacin de cuentas de usuarios y polticas de grupo en el ____ 9

Directorio activo para su aplicacin en un centro de computo.________________ 9

9. CONCLUSIN___________________________________________________ 1410. REFERENCIAS __________________________________________________ 14


3/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




1. INTRODUCCION

Para una persona comn, el que pueda acceder de una manera fcil a un servicio quenecesita, le es beneficioso ya que le simplifica su trabajo, evitndole pasar horas dandosolucin a sus bsquedas. Es all cuando un servicio de directorio le resulta de granutilidad, de modo que le da libertad para acceder a la informacin de manera ordenada.

Un ejemplo podra ser: El directorio telefnico, que le permite acceder a nmeros detelfonos, que estn debidamente ordenados basndose en nombres, ya sea depersonas fsicas (Nmeros personales) o Personas Jurdicas (Empresas), lo cual hacesencillo una bsqueda especifica. Asimismo se pueden realizar bsquedas, aunque no seconozca el nombre exacto del recurso que se necesita, de este modo si desea encontrarel numero de una lnea rea, de la cual no se este totalmente seguro del nombre, puedebuscarse una lista de nombres que coincidan con el atributo que se conoce, para ellopodra buscar todas las empresas de lneas areas que se encuentran en la ciudad, yterminara encontrando lo que necesita.

De igual manera dentro de una organizacin es importante proveer a los usuarios de unservicio que les permita localizar la informacin que necesitan para realizar su trabajo ymantener fuera de su alcance otros recursos no necesarios, ello incluye tanto lainformacin ms confidencial de la institucin, como la propiedad personal de otrosusuarios; todos ellos coinciden en que la seguridad de la informacin es fundamental,hasta el da en que olvidan una contrasea, y se les niega el acceso a los documentosque necesitan. En ese momento esta se convierte en un obstculo, ya que impide quepuedan realizar su trabajo, entonces culpan a los administradores de red por unaseguridad excesiva; sin embargo de igual forma se quejaran de una seguridad descuidadasi sus archivos llegan a ser accedidos, cambiados o destruidos, por otros usuarios.

Wndows 2000 Server, provee un servicio de directorio, denominado el Directorio Activoque proporciona la estructura y las funciones necesarias para mantener, organizar,administrar y controlar los recursos de la red, como ser (impresoras, equipos, servidores,base de datos, grupos de trabajo) y hace estos accesibles a los usuarios.

2. OBJETIVOS

El objetivo de este documento es realizar una introduccin y descripcin del DirectorioActivo y sus componentes para recalcar la importancia de su uso dentro de unaorganizacin, las ventajas que proporcionan para Configurar una infraestructura de redsimple, tambin mostrar un panorama general sobre los aspectos bsicos de seguridad

con la aplicacin de polticas de grupo y cmo afectan en el acceso a los recursos.

Pero este documento no ahondar en la informacin tcnica detallada, que se va a utilizaral considerar la Implementacin, como planear la estructura de DNS, Opciones deInstalacin, tecnologas soportadas por el directorio activo, replicacion y sufuncionamiento, as como la descripcin de la nomenclatura de nombres a usarse en loscomponentes.


4/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




3. INTRODUCCION A LA ESTRUCTURA DEL DIRECTORIO ACTIVO

Todo proyecto comienza con la planificacin minuciosa del diseo, antes deimplementarse en una organizacin, para comprender el alcance que se desea lograr.En este caso es importante conocer las caractersticas del directorio activo, ya que ascomo puede proveer una estructura sencilla de red, para que los usuarios accedan a los

recursos, y los administradores controlen dicho acceso.Tambin pude ser demasiado complejo su uso, si no se tiene claro varios aspectos,basados en la estructura de la organizacin como ser los grupos administrativos yaexistentes.Para ello primero se debe disear el mbito, es decir organizar los recursos de la red,decidir el numero de dominios, arboles o Ous que se creara, as como los nombres quese desea dar a cada uno, tambin definir dnde y cuando ocurrir el trafico de logon yreplicacion, todo esto debe ser comprendido en su descripcin a fin de que se utiliceapropiadamenteEs as que el Directorio Activo se divide en dos estructura, claramente definidas comoson:

La Estructura Lgica y la Estructura Fsica.

1.- Estructura Lgica.-

Es flexible y proporciona un mtodo de diseo y jerarqua de directorio, que se usa paraorganizar los recursos de la red. Tiene como componentes:

a) Dominio.- Unidad bsica de organizacin de seguridad en el Directorio Activo, todoslos objetos son mantenidos en un dominio y este guarda la informacin solo de losobjetos que contiene. Cada dominio tiene sus propias polticas de seguridad y lasrelaciones de confianza de seguridad con otros dominios. El administrador de un

dominio tiene los permisos y derechos necesarios para desempear las tareas deadministracin en ese dominio.

Imagen1: El cuadrado representa el dominio, y los crculos que estn dentro de el, las Ous por lascuales esta conformado. Ej.: En este caso las Ous estn divididas por departamentos.

OUDpto de Sistemas

OUDpto de Marketing

OUDpto de Registros

DOMINIODOMINIO

de la Universidad X


5/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




a) Unidades Organizacionales.-

Una Unidad Organizacional (OU) es un objeto contenedor que se usa para organizarobjetos (como cuentas de usuario, grupos, equipos, impresoras y otras OUs.) dentro deun dominio. Las OU proveen un mecanismo sencillo para agrupar usuarios y es launidad ms pequea a la que se le pueden asignar configuraciones de Polticas de

grupo.

Imagen2: Muestra un circulo y dentro de el a los objetos que podran agruparse, en una OU.

c) rboles.-Son una recopilacin jerrquica de los dominios, los que comparten un espacio paranombres comn. Cuando se aade un dominio a un rbol existente, el nuevo dominio esun dominio hijo de un dominio padre existente, y se establece automticamente unarelacin de confianza Kerberos; lo cual de una manera simple es, s el Dominio A confaen el Dominio B y el Dominio B confa en el Dominio C, entonces el Dominio A confa enel Dominio C. Muchos dominios pueden formar un rbol de dominio.

Por ejemplo: Para la Universidad X su nombre en el Directorio Activo es X.edu. Sinembargo se han adquirido dos nuevas sucursales, una en Cochabamba y otra en La Paz,y se decide crear dos nuevos dominios al rbol ya existente. Los dominios resultantesseran a.X.edu y b.X.edu.

Imagen3: Representa un rbol de dominio, en el que el primer dominio es la raz, y se crean los nuevosdominios, adjuntndole a los nuevos dominios el nombre del dominio principal.

Usuarios

OOUUDDppttooddeeMMaarrkkeettiinngg

DDoommiinniioo

DDoommiinniiooDDoommiinniioo

XX..eedduu

aa..xx..eedduu bb..xx..eedduu


6/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




b) Bosques.-

Est formado por varios rboles los cuales no comparten un nombre comn. Cada rbolde un bosque tiene su propio nombre de espacio nico.

Por ejemplo: La Universidad X crea una organizacin separada llamada YX decide crear un nuevo nombre de dominio del Directorio Activo para Y, llamado Y.edu

Aunque las dos organizaciones no comparten un espacio de nombres comn, al aadir elnuevo dominio del Directorio Activo como un rbol nuevo dentro del bosque existente, lasdos organizaciones podrn compartir recursos y funciones administrativas.

Imagen4: Representa un bosque de dominios, que se forma de varios arboles, pero con su propio nombrecada dominio raz.

2) Estructura Fsica

Se usa para configurar y administrar el trfico de red. Entender los componentes de la

estructura fsica del Directorio Activo es importante para optimizar el trfico de red y elproceso de logon.Se compone de:a) Sitios

Determina la forma que debe replicarse la informacin de directorio y como debe tratarselas solicitudes de servicio de equipos los que son asignados a sitios, estos son unacombinacin de una o ms subredes IP conectadas en enlaces de alta velocidad, lascuales constituyen una forma sencilla y eficaz para representar agrupamientos en la red.

a) Controlador de Dominio

Es un equipo que ejecuta Windows 2000 Server donde se almacena una copia deldirectorio, y que almacenan datos y administran las interacciones entre el usuario y eldominio, como los procesos de inicio de sesin, la autenticacin y las bsquedas dedirectorio Tambin administra los cambios del directorio y los replica a otros controladoresde dominio del mismo dominio.4. DESCRIPCIN DEL DIRECTORIO ACTIVO

DDoommiinniioo

DDoommiinniioo

DDoommiinniioo

XX..eedduu

DDoommiinniioo

DDoommiinniiooDDoommiinniioo

YY..eedduu

BBoossqquuee


7/17


8/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




Puede crear objetos en un dominio Windows 2000, pero cuando los controladores dereserva necesiten obtener los cambios, no se dirigen al controlador de dominio; slosaben dirigirse al Emulador PDC.5) Maestro de infraestructuraRealiza un seguimiento del movimiento de los objetos. Si mueve un usuario de undominio o OU a otro, parte del nombre del usuario cambiar. Este hara que el grupo en

donde el usuario se encuentra refleje ese cambio de nombre lo ms pronto posible.

5. VENTAJAS DEL DIRECTORIO ACTIVO

Entre las ventajas que puede proporcionar su uso, dentro de una organizacin, esta: . La seguridad de la informacin.- El control de acceso se puede definir no slo para

cada objeto del directorio, sino tambin para cada una de las propiedades delobjeto.

. La administracin basada en polticas.- Establece un conjunto de normas de laempresa

. La capacidad de ampliacin.- Ya que los administradores tienen la posibilidad de

agregar nuevos objetos al esquema y nuevos atributos. . La replicacion de la informacin.- Permite actualizar el directorio en cualquier

controlador de dominio. Integracin con DNS.- Usa el Sistema de nombres de dominio. Que es un servicio

estndar de Internet que traduce nombres de equipos host, a direcciones IPnumricas.

Las consultas flexibles.- Los usuarios y administradores pueden utilizar el comandoBuscar, para encontrar rpidamente un objeto en la red por sus propiedades.

6. PAUTAS PARA LA PLANIFICACION DEL DIRECTORIO ACTIVO

El Directorio Activo aumenta no slo la forma de administrar, sino tambin la complejidadde la red. Por ello, la correcta planificacin de esta infraestructura se debehacer de una forma minuciosa.

Algunos de los factores que deben tomarse en cuenta son:El contornoConsiste en disear el modo de organizar los recursos de red, para ello es precisodecidir el nmero de dominios, unidades Organizacionales, rboles de dominios ybosques que se van a crear, as como los nombres que se desea dar a los mismosEstructura de la organizacin.Es mejor respetar las divisiones administrativas que existen en la organizacin ydisear una estructura de acuerdo a sus necesidades.

Dimensin de la organizacinAntes de iniciar el diseo es importante conocer la dimensin de la organizacin, si esUna empresa mediana, pero con aspiraciones de llegar a ser una multinacional. En habrque disear el entorno teniendo muy en cuenta las perspectivas de crecimiento deldirectorio activo ms all de las fronteras nacionales.Factores tcnicos.Es preciso conocer a fondo las limitaciones que presenta el directorioactivo antes de iniciar el diseo del entorno de trabajo, as como la forma en que se


9/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




utilizan las polticas de grupo y el modo en que stas pueden afectar al diseo.

Se dice que cuando slo existe un dominio para la totalidad de la empresa, laadministracin es ms fcil, sin embargo esto depender de la dimensin de laEmpresa. Para la creacin de bosques, lo aconsejable, en casi todos los casos, es queExista un solo bosque en la Infraestructura del directorio activo.

El siguiente paso consiste en planificar a Implementacin fsica del diseo. Entre losfactores que habr que considerar va desde los requisitos de hardware de loscontroladores de dominio a la topologa de sitios para la replicacion del directorio activo,as como la Implementacin del servicio DNS.Los sitios determinan la forma en que se replican los datos a travs de la red. Y el disearsu topologa es quiz, la parte ms complicada del diseo del directorio activo, ya queellos permiten controlar el momento la frecuencia con que se realiza la replicacion deldirectorio activo. Tambin habr que interiorizarse en algunos de los protocolos que utilizael directorio activo, para conocer el efecto sobre l.

Como se puede percibir la Implementacin del servicio, no es nada sencillo y requiereconocer de antemano cmo y cunto se va a utilizar el directorio activo.

7. POLTICAS DE GRUPO

Las polticas de grupo del directorio activo definen las configuraciones de grupos deusuarios y equipos, para controlar su acceso a los recursos de red. Utilizndolas sepuede crear un entorno de trabajo que se adapte a las necesidades de cada usuario.

Las polticas de grupo se definen de dos formas:

Configuracin de equipos.Especifica el proceder del sistema operativo, la apariencia del escritorio, laconfiguracin de las aplicaciones, de seguridad y los scripts de iniciar y apagar lacomputadora. Se aplican cuando se inicia el sistema operativo.

Configuracin de usuarios.Configura informacin especifica del usuario, tales como acceso al panel de control, laconfiguracin de red, de escritorio (fondo, protector de pantalla, etc.), de InternetExplorer, e instalacin de software, etc. Se aplica al momento en que el usuario seconecta a una computadora con su cuenta y contrasea.

Tipos de polticas de grupoLas polticas de grupo en Windows 2000 permiten a un administrador establecer unosrequerimientos para un usuario o para un equipo a la vez, y estos requerimientos sonforzosos.Se pueden configurar las siguientes polticas de grupo:a) Directrices administrativas. Configuraciones basados en el registro, opciones deconfiguracin de aplicaciones, apariencia del entorno de trabajo, y el


10/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




comportamiento de los servicios del sistemab) Configuraciones de Seguridad. Opciones para equipos locales, dominios yconfiguraciones de seguridad de la red.c) Instalacin del software. Administracin central de instalacin de software,actualizaciones y eliminaciones.( Ej: aplicaciones disponibles para usuarios yaquellos que aparecen en sus escritorios)

d) Scripts. Para cuando un equipo arranca o se apaga y para cuando un usuario iniciasesin o la termina.e) Redireccin de carpetas. Almacenamiento de las carpetas de usuario de la red.

Orden de Herencia en la aplicacin de polticas de grupo

Cada objeto menor hereda permisos de un objeto mayor. En el nivel ms superior, lasDirectivas de grupo se pueden aplicar a un sitio. El siguiente nivel que se comprueba esnivel de todo el dominio. Despus las unidades organizaciones y todos sus niveles.

Los derechos de acceso se aplican a los grupos y cuentas de usuarios y autorizan al

grupo o usuario a realizar ciertas operaciones. Ya que este derecho requiere lacapacidad de leer todos los archivos en dichos servidores, el usuario podr acceder losdatos que de otra manera tenan acceso prohibido a travs de permisos en el objeto.Los permisos son atributos de seguridad de objetos, que especifican que usuarios ogrupos pueden acceder el objeto as como qu acciones pueden realizar en l.

Las polticas tratan de ayudar a proveer:La confidencialidad de los datos. Slo las personas autorizadas deben poder ver laInformacin.La integridad de los datos. Todos los usuarios autorizados deben estar seguros de quelos datos que obtienen son precisos y de que no fueron modificados de forma

Inadecuada.La disponibilidad de los datos. Los usuarios autorizados deben poder tener acceso a laInformacin que necesiten, en cualquier momento.

8. EJEMPLO: Creacin de cuentas de usuarios y polticas de grupo en elDirectorio activo para su aplicacin en un centro de computo.

Este ejemplo presenta de forma resumida, como crear cuentas de usuarios en eldirectorio activo y tambin aplicar algunas polticas que considere necesarias elsupervisor para el acceso de usuarios. La creacin de cuentas de usuarios, es una delas opciones que permite el directorio activo.

Los supervisores de 2 centros de computo, estn de acuerdo en que hacer funcionar lared en los laboratorios seria bastante tranquilo y divertido, si no fuese por esosMolestosos alumnos que tienen una asombrosa capacidad de complicar las cosas.En este caso, si las cuentas de usuarios, y los permisos de acceso a los recursos, estn

Apropiadamente configurados muchos de estos problemas desaparecen.Se necesita crear cuentas de usuarios, a todos los alumnos de la carrera de Ingenierade sistemas, de una Universidad, ya que estos son los que mas utilizan los laboratorios,y deben almacenar sus trabajos en cuentas personales, para las cuales hay que definir


11/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




un estndar de identificacin, un mximo de almacenamiento, y las polticas de grupoPara el acceso, de cada una de las cuentas. Mas adelante se realizara lo mismo paraOtras carreras.

No especifica en detalles la creacin del dominio, el servicio DNS, y las OUs, todosellos se supone que ya han sido creados, para simplificar el ejemplo.

a) Se dispone de un equipo Servidor, llamado CENTROS, con el Sistema OperativoWindows 2000 Server, el cual tiene instalado el Servicio de Directorio activo.

b) 50 equipos cliente, los cuales utilizan el servicio DNS para identificarse mediante unnombre, y ubicar la localizacin del dominio, que proporciona la autenticacin de losusuarios, para que puedan tener acceso a los recursos.

c) Las maquina cliente llevaran inicialmente la letra M seguida de un numero y estarnen el rango de (M50 hasta M74) para una OU y el rango de (M75-M99) para la otraOU.

d) El dominio al cual tendrn acceso las maquinas cliente ser denominadoDominiocentros.

e) El Directorio Activo se compone de objetos que representan recursos de la red,como los usuarios, equipos e impresoras; estos se organizan en unidadesorganizacionales (OUs). Se han creado 2 OUs, denominadas CENTRO306 yCENTRO307.

f) Las cuentas para los estudiantes debern ser creadas antes de implementar laspolticas. Para ello se debe:1) Abrir el men de Administrative Tools, y hacer click en Active directory Usersand Computer2) Colocarse en la carpeta Users, hacer click en botn derecho y seleccionar New.

Aparecer varias opciones. Como se quiere crear un nuevo usuario, hacer click enUser.3) Aparecern las siguientes opciones, que debern ser llenadas con los datos delalumno.First Name, Initials, Last Name, Full Name, User logon name (el cual deber sernico en el directorio activo)4) El estndar a emplearse ser, el primer apellido paterno completo, la inicial delsegundo apellido, y la inicial de su nombre: Cuellargv (Cuellar Gmez Vernica), enel caso de existir otro usuarios con las mismas iniciales, se colocara un numerodespus, para diferenciar a los estudiantes, de modo que sea nico.5) Luego hacer click en Next, y le pedir el password y su confirmacin, el cualser el Registro del estudiante dentro de la Universidad. (Ej: 76985)6) Y tickear las opciones: User cannot change password y el Password neverexpires, para tener el control de la cuenta del usuario, como administrador.

Una vez creada la cuenta del usuario, se pueden personalizar una serie de opcionesque complementen sus datos.Para ello:


12/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




1) Ubicar la cuenta de usuario en el dominio, hacer click en botn derecho y elegir laopcin de Properties.2) Se abrir una ventana con una serie de opciones para implementar.

Los grupos simplifican la administracin ya que permiten dar permisos a variosusuarios, en vez de uno por uno. Un grupo puede tener hasta 5.000 usuarios como

miembros.

En este caso se crearan grupos Locales, para ello:Abrir Active Directory Users and Computers, que se encuentra en el menAdministrative ToolsElegir la opcin de Users, y hacer botn derecho para elegir New y luego Group.Le aparecer una ventana, con las siguientes opciones:Group Name: Aqu se especifica el nombre del nuevo grupo, el cual debe ser nico enel dominio, donde haya sido creado. (Ej: AlumnoSistemas)Group scope: Tiene 3 opciones el Dominio local, Global y Universal.En nuestro caso ser un Dominio Local, el que se elegir.

Group Type: Aqu aparecern 2 opciones para seleccionarse. Security y DistributionEn nuestro caso se usara el Security Groups, ya que aqu puede se usado para asignarpermisos, y puede usarse en una lista de distribucin de e-mail.Luego de elegir todo, hacer click en OK

Una vez creado el grupo, se deben adicionar los miembros al grupo de dominio.Pueden incluir cuentas de usuarios y computadoras. Para ello:1.- Seleccionar botn derecho, al grupo que se ha creado, y hacer click en Properties yelegir la opcin de Members, y luego click en Add (para adicionar).2.- Se abrir una nueva pantalla, en la parte superior Look in: elegir el Dominiocentros3.- En la columna Name, le aparecern la lista de todos las cuentas de usuarios, elegir

las cuentas de alumnos de sistemas y click en Add.4.- Una vez terminada la seleccin de todas la cuentas, Click Ok para adicionar a losmiembros del grupo, y luego click OK otra vez.Una vez definido el grupo al cual pertenecern los usuarios, en este caso al grupo

AlumnoSistemas

Se debe proveer una localizacin centralizada, en la cual los usuarios puedanalmacenar sus trabajos. Por ello se creara un Folder de nombre ALUMNOS, y dentro deel, las carpetas para cada usuario, con el mismo nombre de su cuenta.Lo cual se realizara en Computer Management, y luego en Shared FoldersDespus de creadas las cuentas de cada usuario, se debe especificar la cantidad

mxima de almacenamiento, para sus archivos. Lo cual es denominado asignar cuotasde disco.

1) En Computer Management, elegir Disk Management y seleccionar la unidad dedisco, en la cual se almacenaran los folder de cuentas de usuarios.2) Botn derecho y elegir Properties, aparecer una pantalla, hacer click en Quota.3) Tickear la opcin Enabled Cuota Management, para que se active las demsopciones. Deny disk space to users exceeding cuota limit


13/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




4) Limitar el espacio de disco que los usuarios pueden utilizar. En nuestro caso serde: 10 MB y de 6MB para el conjunto de errores.5) Luego click en Quota Entries, en la cual se abrir una nueva pantalla, en la barrade menu elegir New Quota Entry.6) En la nueva pantalla seleccionar el usuario, o el grupo al cual se le asignara lacuota, y clik en Add. Luego OK. Aparecer una pantalla de confirmacin de la cuota a

implementarse.7) Luego cerrar la ventana, y click en OK para que sea aplicada la cuota.Cuando las carpetas hayan sido creadas y se les haya asignado un mximo dealmacenamiento. Se deber compartir el Folder ALUMNOS para que cada usuarioque esta contenido all, pueda acceder a los recursos que necesite.1) En el Shared Folder, botn derecho y se abrir una pantalla, elegir Sharing2) Hacer click en Share this folder.En share Name: ALUMNOSComments: Cuenta Alumnos de SistemasY una opcin que puede ser opcional, como es el User limit Y luego click en Permisos

En los cuales se seleccionara de Lectura, cambios, control total, escritura. Elegir los quese considere necesarios como administrador.Como los usuarios ya tienen acceso a sus cuentas, y a las computadoras del centro decomputo, es importante especificar su acceso a los recursos, establecidas por lapolticas de grupo.

La seccin de User configuration, tiene 3 opciones generales para las polticas de grupoSoftware SettingsWindows Settings

Administrative Templates.

Para nuestro ejemplo, todas las opciones de polticas que debern ser fijadas a losusuarios, ser realizadas en el Administrative Templates, la cual provee internamenteestas opciones:Componentes de windows, Start Menu & Taskbar, El escritorio, Panel deControl., Red y Sistema.

Se puede seleccionar una serie de politicas, para proveer la seguridad en la red. Ellodepender de las necesidades de cada organizacin. En el caso del ejemplo de Centrode computo, sern aplicadas estas polticas.

Poltica Accin requerida

Administrative Templates/Windows Components/Internet ExplorerDisable changing history settings ActivadaDisable changing font settings ActivadaDisable changing language settings ActivadaDisable changing Temporary Internet files settings ActivadaAdministrative Templates/Windows Components/Internet Explorer /Toolbars


14/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




Disable customizing browser toolbar buttons ActivadaAdministrative Templates/Windows Components/Internet Explorer /Browser

Tools menu: Disable Internet Options ....menu options ActivadaAdministrative Templates/Desktop

Dont save settings at exit ActivadaRemove Run menu from Start menu Activada

Disable/Remove the shut Down command ActivadaAdministrative Templates/Control Panel/Start Menu & Taskbar

Remove Run menu from start menu ActivadaAdministrative Templates/Control Panel

Disable control panel ActivadaDisable Add/Remove Programs ActivadaDisable Display in Control Panel ActivadaDisable deletion of printers ActivadaAdministrative Templates/Network

Prohibit TCP/IP advanced configuration Activada

Otras Medidas de Seguridad a considerarse en los centros de computo

Al implementar un Servidor, independientemente de cual sea el entorno de trabajo, esmuy recomendable tomarse en serio la seguridad.En los centros de computo se deben tomar ciertas medidas de seguridad, tanto en laparte fsica (Hardware), como en la parte de datos (Software) para problemas mayoresque impidan el normal desarrollo de las actividades.

SERVIDORa) Software

Una de las principales medidas de proteccin contra ataques, es mantener el entornoactualizado con todas las revisiones de seguridad necesarias, las que pueden ser

Aplicadas tanto para el servidor como para los clientes.Las ms fciles de implementar sin que ello demande mucho el costo, en este casopodran ser:

Mantener actualizados los Parches para las distintas aplicaciones que estnInstaladas en el servidor; EJ: Internet explorer.

Tambin es importante actualizar el Service Pack, para una mayor seguridad en elSistema operativo. Tanto los parches como el Service Pack pueden ser bajados de

la pagina de http://windowsupdate.microsoft.com/ Verificar que no tenga los permisos por defecto que se habilitan en la instalacin del

Sistema Operativo, para ello revisar, a travs de otro equipo: EJ: \\centros\C$ Hacer discos espejos, ello permite mantener exactamente la misma informacin de

la base de datos que aparecen al mundo real, como una entidad nica. Windows2000 soporta volmenes en espejo y RAID-5 que protegen a los datos contra erroresde disco.

Hacer BackUp, Lo cual se utiliza para proteger los datos de los fallos de dispositivos


15/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




de Almacenamiento o del hardware. Desinstalar software innecesario. Evitar abrir archivos adjuntos que venga con mensajes no esperados, o de personas

extraas. No se debe conceder a los servicios ms privilegios de los necesarios. Se debe tener instalado en el equipo Software Antivirus y bajar regularmente las

actualizaciones, para evitar todo tipo de virus que pudiera atacar, e impedir laejecucin de archivos necesarios.

Recomendaciones a supervisores encargados

La contrasea para el servidor debe ser bien elegida por los supervisores, esrecomendable que sea una combinacin de letras y nmeros. Y mejor si se lee allado inverso para evitar su fcil reconocimiento.

Los supervisores no deberan reutilizar una contrasea en particular, que haya sidoconocida por algn usuario externo.

Se debe cambiar regularmente la contrasea, para evitar problemas con los

usuarios molestosos. Se debe educar a los supervisores sobre la privacidad de las contraseas, la cual

solo deben mantener en conocimiento con sus compaeros de trabajo, y no asotras personas externas.

Concientizar a los supervisores que deben bloquear la maquina al ausentarse de lamisma, por ello es recomendable, colocar un pequeo cartel en un lugar visible, quehaga referencia a esta accin.

Las copias de seguridad del sistema, que se realicen en Cds deben ser guardadasen un lugar cercano, y bajo llave.

9. CONCLUSIN

La seguridad es una parte importante de una organizacin, ya que un sistema deinformacin con una seguridad dbil llegar a verse comprometido. Muchas empresasconsideren que el peligro de violar la seguridad es poco probable que se de a un nivelinterno. Por ello no se dan el trabajo de ser minuciosos en proveer solo la informacinque necesitan sus usuarios. Y solo cuando sucede algo grave es cuando tomanmedidas necesarias para disminuir el dao.

La puesta en prctica de las polticas del grupo, en el directorio activo ayuda a losadministradores a crear los ambientes de escritorio adaptados a la responsabilidad deltrabajo de cada usuario, que proporciona el acceso a los recursos de una manera

especfica.

10. REFERENCIAS


16/17

SANSIn

stitu

te20

03,Autho

rretai

nsfull

rights

.




[1] No author. 1.2 SANS Security Essentials II: Basic Security Policy. SANS Institute.

[2] No author. 5.3 SANS Security Essentials V: Windows 2000 Security. SANS Institute.

[3] Documento Pedro Gmez. Grupo Eidos. Windows 2000 Madrid (Espaa), 2000.

URL: www. grupoeidos.com[4] Implementing and Administering Microsoft Windows 2000 Directory Services

[5] URL: http://club.telepolis.com/jlrosalesf/articulo_w2000c11.htm

[6]

URL: http://www.softdownload.com.ar/cursos/windows2000/directorio_activo.zip

[7]URL:http://exa.unne.edu.ar/depar/areas/informatica/SistemasOperativos/MonogSO/S

EGW01/CENTRAL_directorio_activo_y_la_seguridad.htm#Ventajas%20de%20la%20ad

ministracin%20de%20cuentas%20de%20directorio%20activo

[8]

URL:http://www.windowstimag.com/atrasados/2000/48_dic00/articulos/especial.htm

[9]

URL: http://www.windowstimag.com/atrasados/2000/39_feb00/articulos/directorio.htm

[10]

URL:http://www.microsoft.com/spain/technet/recursos/articulos/welcome3.asp?opcion=18

[11]

URL:http://www.microsoft.com/spain/download/servidores/windows2000/Estructura-del-Directorio-Activo.doc

[12]

URL:http://www.microsoft.com/spain/download/servidores/windows2000/Directorio-

Activo.doc

[13]

URL:http://www.microsoft.com/spain/download/servidores/windows2000/Active-Directory-

Design.doc


17/17

Last Updated: February 8th, 2016

Upcoming Training

SANS Northern Virginia - McLean 2016 McLean, VA Feb 15, 2016 - Feb 20, 2016 Live Event

SANS Southern California - Anaheim 2016 Anaheim, CA Feb 22, 2016 - Feb 27, 2016 Live Event

Community SANS Ottawa SEC401 Ottawa, ON Feb 22, 2016 - Feb 27, 2016 Community SANS

Anaheim 2016 - SEC401: Security Essentials Bootcamp Style Anaheim, CA Feb 22, 2016 - Feb 27, 2016 vLive

Mentor Session - SEC 401 Houston, TX Feb 23, 2016 - Apr 26, 2016 Mentor

SANS Philadelphia 2016 Philadelphia, PA Feb 29, 2016 - Mar 05, 2016 Live Event

SANS London Spring 2016 London, UnitedKingdom

Feb 29, 2016 - Mar 05, 2016 Live Event

Community SANS SEC401 Oman 2016 Oman, Oman Mar 05, 2016 - Mar 10, 2016 Community SANS

Community SANS Nashville SEC401 Nashville, TN Mar 07, 2016 - Mar 12, 2016 Community SANS

SANS 2016 Orlando, FL Mar 12, 2016 - Mar 21, 2016 Live Event

Community SANS New York SEC401 New York, NY Mar 14, 2016 - Mar 19, 2016 Community SANS

SANS 2016 - SEC401: Security Essentials Bootcamp Style Orlando, FL Mar 14, 2016 - Mar 19, 2016 vLive

Community SANS Minneapolis SEC401 Minneapolis, MN Mar 14, 2016 - Mar 19, 2016 Community SANS

Mentor Session - SEC401 Virginia Beach, VA Mar 15, 2016 - May 17, 2016 Mentor

Community SANS Pittsburgh SEC401 Pittsburgh, PA Mar 28, 2016 - Apr 02, 2016 Community SANS

SANS Secure Europe 2016 Amsterdam, Netherlands Apr 04, 2016 - Apr 16, 2016 Live Event

SANS Atlanta 2016 Atlanta, GA Apr 04, 2016 - Apr 09, 2016 Live Event

Community SANS Birmingham SEC401 Birmingham, AL Apr 04, 2016 - Apr 09, 2016 Community SANS

Community SANS Omaha SEC401 Omaha, NE Apr 04, 2016 - Apr 09, 2016 Community SANS

SANS Northern Virginia - Reston 2016 Reston, VA Apr 04, 2016 - Apr 09, 2016 Live Event

Threat Hunting and Incident Response Summit New Orleans, LA Apr 12, 2016 - Apr 19, 2016 Live Event

Community SANS Tampa SEC401 Tampa Bay, FL Apr 18, 2016 - Apr 23, 2016 Community SANS

SANS Secure Canberra 2016 Canberra, Australia Apr 18, 2016 - Apr 23, 2016 Live Event

SANS Pen Test Austin Austin, TX Apr 18, 2016 - Apr 23, 2016 Live Event

Pen Test Austin - SEC401: Security Essentials Bootcamp Style Austin, TX Apr 18, 2016 - Apr 23, 2016 vLive

Mentor Session SEC 401 Sacramento, CA Apr 20, 2016 - Apr 27, 2016 Mentor

Community SANS Paris SEC401 (in French) Paris, France Apr 25, 2016 - Apr 30, 2016 Community SANS

SANS Security West 2016 San Diego, CA Apr 29, 2016 - May 06, 2016 Live Event

SANS Baltimore Spring 2016 Baltimore, MD May 09, 2016 - May 14, 2016 Live Event

Houston 2016 - SEC401: Security Essentials Bootcamp Style Houston, TX May 09, 2016 - May 14, 2016 vLive
http://www.sans.org/link.php?id=40902&mid=98http://www.sans.org/mclean-2016http://www.sans.org/link.php?id=40907&mid=98http://www.sans.org/anaheim-2016http://www.sans.org/link.php?id=41707&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=42802&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=43217&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=40922&mid=98http://www.sans.org/philadelphia-2016http://www.sans.org/link.php?id=40947&mid=98http://www.sans.org/london-in-the-spring-2016http://www.sans.org/link.php?id=44052&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41772&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=27559&mid=98http://www.sans.org/sans-2016http://www.sans.org/link.php?id=42565&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=42757&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=43192&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=42647&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=43917&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=40985&mid=98http://www.sans.org/secure-europe-2016http://www.sans.org/link.php?id=41557&mid=98http://www.sans.org/atlanta-2016http://www.sans.org/link.php?id=42605&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43622&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41542&mid=98http://www.sans.org/reston-2016http://www.sans.org/link.php?id=41307&mid=98http://www.sans.org/threat-hunting-and-incident-response-summit-2016http://www.sans.org/link.php?id=43902&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41592&mid=98http://www.sans.org/secure-canberra-2016http://www.sans.org/link.php?id=41562&mid=98http://www.sans.org/pentest2016http://www.sans.org/link.php?id=43332&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=43752&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=43447&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41547&mid=98http://www.sans.org/sans-security-west-2016http://www.sans.org/link.php?id=41567&mid=98http://www.sans.org/baltimore-spring-2016http://www.sans.org/link.php?id=43587&mid=98http://www.sans.org/vLivehttp://www.sans.org/houston-2016http://www.sans.org/link.php?id=41572&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=43587&mid=98http://www.sans.org/baltimore-spring-2016http://www.sans.org/link.php?id=41567&mid=98http://www.sans.org/sans-security-west-2016http://www.sans.org/link.php?id=41547&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43447&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=43752&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=43332&mid=98http://www.sans.org/pentest2016http://www.sans.org/link.php?id=41562&mid=98http://www.sans.org/secure-canberra-2016http://www.sans.org/link.php?id=41592&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43902&mid=98http://www.sans.org/threat-hunting-and-incident-response-summit-2016http://www.sans.org/link.php?id=41307&mid=98http://www.sans.org/reston-2016http://www.sans.org/link.php?id=41542&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43622&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=42605&mid=98http://www.sans.org/atlanta-2016http://www.sans.org/link.php?id=41557&mid=98http://www.sans.org/secure-europe-2016http://www.sans.org/link.php?id=40985&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43917&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=42647&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=43192&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=42757&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=42565&mid=98http://www.sans.org/sans-2016http://www.sans.org/link.php?id=27559&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41772&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=44052&mid=98http://www.sans.org/london-in-the-spring-2016http://www.sans.org/link.php?id=40947&mid=98http://www.sans.org/philadelphia-2016http://www.sans.org/link.php?id=40922&mid=98http://www.sans.org/mentor/about.phphttp://www.sans.org/link.php?id=43217&mid=98http://www.sans.org/vLivehttp://www.sans.org/link.php?id=42802&mid=98http://www.sans.org/Community%20SANShttp://www.sans.org/link.php?id=41707&mid=98http://www.sans.org/anaheim-2016http://www.sans.org/link.php?id=40907&mid=98http://www.sans.org/mclean-2016http://www.sans.org/link.php?id=40902&mid=98http://www.giac.org/registration/gsec

Documents

Seguridad Con El Directorio Activo Politicas de Grupo 3292