La directiva de grupo es una infraestructura que le permite
implementar configuraciones específicas para los usuarios y equipos. Las
configuraciones de la directiva de grupo se encuentran en los objetos de
directiva de grupo (GPO), que se vinculan con los siguientes contenedores de
servicio de directorio de Active Directory: sitios, dominios o unidades
organizativas (OU). Luego, los destinos afectados evalúan las configuraciones
dentro de las GPO mediante la naturaleza jerárquica de Active Directory. Por lo
tanto, la directiva de grupo es una de las principales razones para implementar
Active Directory, ya que le permite administrar objetos de usuarios y equipos.
Estos son los nueve tipos de características de seguridad de
Directiva de grupo mencionados anteriormente en este capítulo. Son
contenedores situados en la configuración de seguridad de nodo
de un objeto de directiva de grupo. Ellos incluyen:
·
Directivas de cuenta
·
Directivas locales
·
Registro de eventos
·
Grupos restringidos
·
Servicios de Sistemas
·
Registro
·
Sistema de archivos
·
Directivas de claves públicas
·
Políticas de Internet Protocolo de seguridad en
Active Directory
Algunos de los ámbitos políticos se aplican sólo al alcance de
un dominio, es decir, la configuración de directiva son de todo el dominio. Las
directivas de cuentas, por ejemplo, se aplican de manera uniforme a todas las
cuentas de usuario del dominio. No se puede definir diferentes directivas
de cuentas para diferentes unidades organizativas en el mismo dominio.
De las áreas de política de seguridad, políticas de cuentas y
políticas de claves públicas tienen alcance de todo el dominio. Todas las
otras áreas de política se pueden especificar a nivel de la unidad
organizativa.
Directivas de
cuenta
Las directivas de cuentas son la primera subcategoría de la
configuración de seguridad. Las directivas de cuenta son los siguientes:
Directiva de contraseñas Puede
modificar la directiva de contraseñas para satisfacer las necesidades de
seguridad de su organización. Por ejemplo, puede especificar la longitud
mínima de la contraseña y duración máxima de contraseña También puede requerir
contraseñas complejas y evitar que los usuarios vuelvan a utilizar contraseñas
o simples variaciones de contraseñas.
La Directiva de bloqueo Usted
puede obligar a los usuarios a ser bloqueado después de un determinado número
de intentos de conexión fallidos. También puede especificar el período de
tiempo que las cuentas están congeladas.
Kerberos Política de autenticación Usted
puede modificar la configuración por defecto de Kerberos para cada dominio. Por
ejemplo, puede establecer el tiempo de vida máximo de un billete de usuario.
Las políticas que decide afectan el nivel de soporte de mesa
de ayuda necesaria para los usuarios, así como la vulnerabilidad de la red para
que las brechas de seguridad y ataques. Por ejemplo, especificar una
política de bloqueo de cuentas restrictiva aumenta el potencial de ataques de
denegación de servicio, y el establecimiento de unas restrictivas resultados de
directiva de contraseñas en el aumento de mesa de ayuda las llamadas de los
usuarios que no pueden iniciar sesión en la red.
Además, la especificación de directiva de contraseña
restrictiva puede reducir realmente la seguridad de la red. Por ejemplo,
si usted requiere contraseñas de más de siete personajes, la mayoría de los
usuarios tienen dificultades para recordar ellos. Pueden escribir sus
contraseñas y dejarlos donde un intruso puede encontrar fácilmente.
Políticas de
equipo local
La segunda subcategoría de la configuración de seguridad es
directivas de equipo local. Las directivas de equipo local se incluyen las
siguientes:
Directiva de auditoría de
Windows 2000 puede grabar una amplia gama de tipos de eventos de seguridad, a
partir de un evento de todo el sistema, como por ejemplo un usuario que inicia
sesión, a un intento por parte de un usuario en particular para leer un archivo
específico. Ambos intentos exitosos y fallidos de realizar una acción se
pueden grabar.
Asignación de derechos de usuario Usted
puede controlar los derechos asignados a las cuentas de usuario y grupos de
seguridad para los equipos locales. Puede especificar los usuarios y
grupos de seguridad que tienen derechos para realizar una variedad de tareas
que afectan a la seguridad. Por ejemplo, puede controlar quién puede
acceder a los ordenadores de la red, que puede iniciar una sesión local, o que
puede apagar el sistema. Puede especificar quién tiene derechos para
realizar tareas administrativas críticos en el equipo, como realizar copias de
seguridad y restauración de archivos y directorios, tomando posesión de
archivos y objetos, y forzar el apagado desde un sistema remoto.
Opciones de seguridad Puede
controlar una amplia variedad de opciones de seguridad para los equipos
locales. Por ejemplo, puede especificar políticas que obligan a los
usuarios cerrar la sesión cuando el tiempo de sesión, deshabilitar CTRL + ALT +
DEL para inicio de sesión (para forzar el inicio de sesión de tarjeta
inteligente), y las computadoras de la fuerza para detener si no puede auditar.
Las políticas
de registro de eventos
Puede utilizar las políticas de registro de eventos para
controlar los ajustes de la aplicación, el sistema y los registros de eventos
de seguridad en los equipos locales. Por ejemplo, puede especificar el
tamaño máximo de registro, cómo se mantienen los eventos de largo registrados y
registrar los métodos de retención.
Políticas de
grupos restringidos
Puede definir las políticas de grupos restringidos para
administrar y hacer cumplir los miembros del built-in o grupos definidos por el
usuario que tienen derechos especiales y permisos. Políticas de grupos restringidos
contienen una lista de los miembros de grupos específicos cuyos miembros se
definen de forma centralizada como parte de la política de seguridad. Ejecución
de grupos restringidos establece automáticamente cualquier pertenencia al grupo
local de la computadora para que coincida con los ajustes de la lista de
miembros definidos en la política. Los cambios en la pertenencia al grupo
por el administrador del equipo local son sustituidos por la directiva de
grupos restringidos definidos en Active Directory.
Grupos restringidos se pueden utilizar para administrar la
pertenencia a los grupos integrados. Grupos integrados incluyen grupos
locales como administradores, usuarios avanzados, operadores de impresión y
Operadores de servidores, así como grupos globales como administradores de
dominio. Usted puede añadir grupos que considere confidencial o
privilegiada a la lista de grupos restringidos, junto con su información de
pertenencia. Esto permite hacer uso de los miembros de estos grupos por la
política y no permite variaciones locales en cada equipo.
Systems
Servicios Políticas
Los servicios del sistema ofrecen un mecanismo para la posible
explotación por parte de intrusos, que pueden tomar el servicio o utilizar el
servicio como un punto de entrada para acceder a las computadoras y recursos de
la red. Por ejemplo, un intruso puede intentar explotar las debilidades en
un servidor Web que se ejecuta para obtener acceso al sistema operativo de un
ordenador o archivos. Puede utilizar directivas de Servicios de Sistemas
de:
Especifique el modo de inicio de Windows 2000 servicios
(manual o automático) o desactivar los servicios.
Por ejemplo, puede configurar los servicios del sistema para evitar que los servicios innecesarios se ejecute. Esto proporciona la máxima seguridad para los servidores especiales, tales como controladores de dominio, servidores DNS, servidores proxy, servidores de acceso remoto y servidores de autoridad de certificación.
Por ejemplo, puede configurar los servicios del sistema para evitar que los servicios innecesarios se ejecute. Esto proporciona la máxima seguridad para los servidores especiales, tales como controladores de dominio, servidores DNS, servidores proxy, servidores de acceso remoto y servidores de autoridad de certificación.
Especifique derechos y permisos concedidos a los servicios del
sistema cuando se ejecutan.
Por ejemplo, puede configurar los servicios del sistema para operar con los derechos mínimos y permisos para limitar el alcance de los posibles daños causados por los intrusos que intentan explotar el servicio.
Por ejemplo, puede configurar los servicios del sistema para operar con los derechos mínimos y permisos para limitar el alcance de los posibles daños causados por los intrusos que intentan explotar el servicio.
Matizar niveles de auditoría de seguridad de los servicios del
sistema.
Se puede especificar el tipo de eventos que estar conectado para ambos fracasado y eventos exitosos. Por ejemplo, cuando está habilitada la auditoría, se puede refinar la auditoría para supervisar las acciones inapropiadas tomadas mediante la ejecución de los servicios.
Se puede especificar el tipo de eventos que estar conectado para ambos fracasado y eventos exitosos. Por ejemplo, cuando está habilitada la auditoría, se puede refinar la auditoría para supervisar las acciones inapropiadas tomadas mediante la ejecución de los servicios.
Políticas del
Registro
Puede utilizar las políticas de registro para configurar la
seguridad y el control de la auditoría de seguridad de las claves del Registro
y sus subclaves. Por ejemplo, para garantizar que sólo los administradores
pueden cambiar cierta información en el registro, puede utilizar las políticas
de registro para conceder a los administradores un control total sobre las
claves de registro y sus subclaves y conceder permiso de sólo lectura a otros
usuarios. También puede utilizar las políticas de registro para evitar que
ciertos usuarios puedan ver las partes del Registro.
Puede utilizar las políticas de registro para auditar la
actividad del usuario en el registro de la computadora cuando está habilitada
la auditoría. Puede especificar qué usuarios y que los eventos de usuario
se registran tanto fallaron y eventos exitosos.
Archivo
Directivas del sistema
Puede utilizar directivas del sistema de archivos para
configurar la seguridad de archivos y carpetas y controlar la auditoría de
seguridad de archivos y carpetas. Por ejemplo, para garantizar que sólo
los administradores pueden modificar los archivos y carpetas del sistema, puede
utilizar directivas del sistema de archivos para conceder a los administradores
un control total sobre los archivos y carpetas del sistema y conceder permiso
de sólo lectura a otros usuarios. También puede utilizar las políticas del
sistema de archivos para evitar que determinados usuarios puedan ver los
archivos y carpetas.
Puede utilizar directivas del sistema de archivos para auditar
la actividad del usuario afecte a los archivos y carpetas cuando está
habilitada la auditoría. Puede especificar qué usuarios y que los eventos
de usuario se registran tanto fallaron y eventos exitosos.
Directivas de
claves públicas
Esta subdivisión de la configuración de seguridad le permite
agregar un nuevo agente de recuperación de datos cifrados y configurar
solicitudes de certificados automática.También puede administrar sus listas de
entidades emisoras de certificados de confianza.
Políticas de
seguridad IP en Active Directory
Las políticas en esta sección indican al servidor cómo
responder a una solicitud de las comunicaciones IPSec. El servidor puede
requerir una comunicación segura, permitir la comunicación segura, o
comunicarse sin utilizar IPSec. Las políticas predefinidas no están destinados
para su uso inmediato. Ellos proporcionan ejemplos de comportamiento para
realizar pruebas. Los administradores de seguridad de red necesitan para
diseñar cuidadosamente y asignar sus propias costumbres directiva IPSec a las
computadoras.
No hay comentarios:
Publicar un comentario