R2 y las GPO–II-

Directivas de grupo Locales

Dos son los tipos de directivas aplicables alos sistemas Windows y a las cuentas de usuario de estos sistemas: las Locales y las de Active Directory. Las Directivas Locales existen en todos los Windows, pero las de Active Directory sólo están disponibles en un bosque de AD. Hasta Windows Vista y Windows Server 2008, los servidores y estaciones de trabajo podían contener y aplicar sólo una única directiva local de equipo y usuario. Esta directiva contiene los valores que pueden aplicarse al equipo local y a los objetos usuario para el control de la seguridad y la configuración.

En muchos entornos, debido a los requerimientos de aplicaciones de negocio o antiguas, los usuarios finales tenían asignado con demasiada frecuencia la pertenencia al grupo de administradores locales en las estaciones de trabajo y por ello esencialmente excluídos de la aplicación de muchos valores de seguridad aplicadas tanto por la directiva local como por la directiva de grupo. Los usuarios finales con esta pertenencia tenían la capacidad de sobreescribir valores y realizar cambios en la configuración que podían comprometer la seguridad, o con mayor frecuencia, reducir la fiabilidad del sistema.

Comenzando con Windows Vista y Windows Server 2008, los administradores ahora disponen de la capacidad de crear múltiples directivas de grupo local. Una de las nuevas características es que pueden crearse directivas de grupo de usuario específicas para todos los usuarios, para usuarios no administradores y para usuarios que pertenecen al grupo de administradores local, en los equipos. Esta nueva característica es especialmente atractiva para configuraciones en equipos en Grupos de Trabajo o de forma independiente para incrementar la seguridad y fiabilidad del equipo. En configuraciones de Dominio, las directivas de seguridad de equipo se especifican normalmente utrilizando Directivas de Grupo y se aplican a los equipos del AD.

Directiva de equipo local

La directiva local de equipo predeterminada contiene valores de directiva listos para usar, disponibles para configurar el equipo y el entorno de usuario. Esta directiva será la primera en aplicarse, tanto para el equipo como para los objetos de usuario que inicien sesión en el equipo en Grupo de Trabajo o Dominio.

localpolicycomputer01

Directivas de usuario local para Administradores y NO-administradores

Desde Windows Vista y Windows Server 2008, y siguiendo con Windows 7 y Windows Server 2008 R2, los administradores disponen ahora de la opción de crear múltiples directivas de grupo de usuario local en un único equipo. En versiones anteriores, la única directiva de equipo local permitía a los administradores aplicar la configuración de la única directiva a todos los usuarios con sesión iniciada en un equipo parte de un Grupo de trabajo. Ahora, los equipos en Grupo de trabajo y en dominio pueden tener directivas adicionales aplicadas a usuarios locales específicos. Así como que las directivas pueden aplicarse a administradores o no-administradores locales. Esto permite al administrador del equipo a dejar la sección de usuario de la directiva de equipo local predeterminada en blanco, y crear una directiva más restrictiva para usuarios locales y una menos restrictiva para los miembros del grupo de administradores del equipo local.

Plantillas de seguridad

Dentro de cada directiva de equipo local y dentro del nodo de Configuración de Equipo se encuentra la sección Configuración de Seguridad.

localpolicycomputer02

Esta sección incluye configuraciones para Directiva de auditoría, Directiva de cuentas y Asignación de derechos de usuario. Esta sección de la directiva es única porque puede importarse y exportarse de forma individual. En versiones anteriores de Windows se proporcionaban diversas plantillas de seguridad listas para su uso para dar al administrador la capacidad de carga rápida de un conjunto de valores de configuración de seguridad recomendadas. Estas plantillas incluían plantillas de equipo y de servidor básicas junto a otras de alta seguridad, de seguridad compatible y de seguridad para Controladores de Dominio.

Para administrar y aplicar un conjunto estándar de configuraciones de seguridad a sistemas en Grupo de trabajo o independientes, los administradores pueden aprovechar las funciones de administración de las plantillas de seguridad. Ya sea utilizando el Editor de Objetos de Directiva de grupo, el editor de directiva de seguridad local, o el elemento de MMC Configuración y Análisis de seguridad, los administradores pueden importar una plantilla base, configurar o ajustar los valores que reunan lo deseado y, exportarlo o guardarlo en un archivo de plantilla personalizada. Esta plantilla personalizada podría aplicarse o importarse a todos los sistemas deseados mediante las herramientas comentadas.

* Editor de Objetos de Directiva

localpolicycomputer05localpolicycomputer06

*Editor de directiva de seguridad local

localpolicycomputer03localpolicycomputer04

*Configuración y Análisis desde MMC

localpolicycomputer07localpolicycomputer08localpolicycomputer09

Las plantillas de seguridad existen para Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2, y se encuentran ubicadas en %systemroot%\inf. Todas las plantillas predeterminadas comienzan por el nombre deflt y acaban por la extensión .inf. En R2 tenemos por ejemplo defltbase.inf. Estos archivos se pueden usar para configurar lós valores de seguridad de los sistemas a un estándar de configuración de seguridad.

AVISO: La importación de plantillas de seguridad a servidores y equipos ya implantados puede causar errores graves, como la perdida de iniciar sesión, acceder desde la red, etc… Toda importación debe probarse antes en un entorno de pruebas aislado para asegurarse de su correcto funcionamiento.

R2 y las GPO–I-

Estaremos de acuerdo en qué desde el comienzo de las redes de equipos ha existido el deseo y la necesidad de la administración CENTRAL de las mismas. El continuo desarrollo de las redes por Microsoft comenzó con NTFS y los dominios, y las directivas del sistema reunían la seguridad y configuración de forma centralizada, aunque carecían de varias cosas. Con Windows 2000 server y el inicio de Active Directory, las directivas del sistema han evolucionado en lo que conocemos como Directivas de Grupo.

La infraestructura de las Directivas de Grupo es un sistema complejo que usa muchas características y servicios incluidos en Windows Server, en los sistemas cliente y en las redes IP de estos. Si hay que darle una definición: mecanismo para centralizar la seguridad, las configuraciones y, la implementación de un conjunto común de configuraciones de usuario y equipo, de valores de seguridad y en algunos casos, de software, de los servidores, estaciones  y usuarios Windows en un bosque de Active Directory.

Esta infraestructura de Directivas de Grupo nos permite hacer cumplir configuraciones, simplificar la administración de escritorios, asegurar el acceso a los recursos de red, y en algunos casos, cumplir con los requerimientos de cumplimiento normativo. Como obligar a que las contraseñas de usuario cumplan ciertos requisitos, forzar la habilitación del cortafuegos Windows Firewall en los equipos cliente, etc…

Los valores de las Directivas han cambiado desde su introducción en Windows 2000 Server, evolucionaron con Windows Server 2003 y Windows XP donde se introdujeron nuevos valores y arreglaron errores, como ocurrió con Windows Server 2008 y Windows Vista, hasta hoy, con las versiones actuales de Windows Server 2008 R2 y Windows 7.

Proceso de Directivas

El cómo una Directiva es procesada viene determinado por un número de diferentes valores y criterios. El proceso es distinto si es para usuarios o equipos; además, cada Directiva también puede contener valores específicos que definan cómo y cuando ha de ser procesada.

Las Directivas contienen un número de revisión tanto para la configuración de equipo como la configuración de usuario de la propia directiva. De forma predeterminada, si ese número no ha cambiado desde su última aplicación, la mayor parte de la directiva se ignora. Ciertas partes, sin embargo, como el inicio del equipo y los scripts de apagado y de inicio/cierre de sesión de usuario, son procesados en el ciclo cada vez que una directiva se procesa.

Proceso del Equipo

Los equipos procesan las directivas en un orden predeterminado y durante ciertos eventos. Se aplican al equipo durante su arranque, apagado, y de forma periódica durante el intervalo de refresco en segundo plano establecido, predeterminadamente es cada 90 minutos en Servidores Miembros y Estaciones de Trabajo con una compensación entre 0 y 30 minutos; En los Controladores de Dominio el intervalo es de 5 minutos. La compensación asegura que el refresco no se produzca simultáneamente en todos los equipos del dominio. Cuando un equipo arranca, si puede localizar y comunicarse con éxto con un DC, se procesará la Directiva. Durante el proceso, el sistema comprueba cada directiva heredada o vínculada para verificar si la Directiva ha cambiado desde su último ciclo de proceso, para ejecutar lo scripts de arranque y comprobar cualquier otro requerimiento para reaplicar la Directiva. Durante el apagado y el intervalo de refresco, se procesan también para comprobar cualquier actualización o cambio desde la última aplicación del ciclo.

El proceso de las Directivas de Equipo se determinan por las Directivas vínculadas, el filtrado de seguridad y los filtros WMI(Windows Management Instrumentation).

Proceso del usuario

Es muy similar a la del Equipo. Las principales diferencias son qué: el proceso se efectúa durante el inicio/cierre de sesión del usuario, y periódicamente. El intervalo en este caso es de 90 minutos con una compensación de entre 0 y 30 minutos.

Las Directivas de Usuario se determinan por las Directivas vínculadas y el filtrado de seguridad.

Reconocimiento de Ubicación de Red (NLA)

NLA (Network Location Awareness) es un servicio integrado en Windows que se usa para determinar que el equipo tiene conectividad con la infraestructura de Active Directory. La infraestructura de Directivas usa NLA para determinar si intenta descargar y aplicar las Directivas. Esta función de la Directiva se llama slow link detection.

En versiones anteriores, el proceso de Diretiva utilizaba la detección de vínculos lentos para determinar si la red era lo suficientemente fiable para el proceso y aplicación de la directiva. La detección confiaba con el protocolo ICMP (ping) para la comprobación de la conectividad de red y no era muy de confianza. Debido a esta especificación, el proceso de Directiva en equipos móviles y clientes remotos era muy poco fiable. Cuando un equipo móvil conectaba con la red corporativa mediante una VPN, salía de hibernación o suspensión, el cambio de conectividad de red pasaba inadvertido y las Directivas no se aplicaban o referescaban. En estos casos, la única forma para hacer que los clientes se les aplicasen las directivas era hacerlo manualmente, ejecutando una actualización de directiva desde la línea de comandos o reiniciar los equipos manteniéndoles conectados a la red corporativa vía conexión ethernet.

El proceso en Windows Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2 utiliza ahora un reconstruido servicio NLA para la detección de cambios en la red. Este nuevo NLA es mucho mejor detectando cambios en las conexiones de red, y cuando está establecida, NLA comprueba la conectividad del DC. Si puede contactarse con un DC, NLA se lo notifica al servicio de directiva de equipo que a su vez, activa el proceso de la configuración tanto de equipo como de usuario. NLA no depende de ICMP, lo que lo hace mucho más fiable. El servicio NLA el servicio debería funcionar en la mayoría de redes sin ninguna configuración especial en los dispositivos de red o cortafuegos de red, incluso si la comunicación ICMP está deshabilitada o bloqueada por el firewall.

Administrar el proceso de las Directivas con los valores de Directiva

Dentro de la sección, tanto de Equipo como de usuario, Directivas\Plantillas Administrativas\Sistema\Directivas de Grupo podemos revisar y controlar el proceso de las directivas. Aquí se tienen los valores necesarios para determinar la frecuencia de refresco, la reaplicación, si se aplican en vínculos lentos o si una directiva de equipo local se ha de procesar por un equipo o usuario.

gpoprocessing