Como hemos visto en anteriores artículos, tenemos varias herramientas para hacernos más fácil la tarea de proporcionar seguridad a nuestros servidores WINDOWS 2012.
Ahora vamos a hablar de las famosas GPO, Group Policy Object. Vamos a mostrar algunos objetos de directiva de grupo susceptibles a ser configurados para nuestro propósito. Esto no quiere decir que sean los únicos, ni que tengas que habilitaros todos, pero seguro que te sirve de guía para adaptar tu configuración a tus necesidades. Te recomiendo acceder al detalle de cada uno de ellos (Link Microsoft) para profundizar en su cometido.
Ahora vamos a ver los grupos Built-in, los creados automáticamente al introducirnos en un ambiente de Active Directory, que propiedades tienen marcadas por defecto a nivel de directiva de grupo. EL ARTÍCULO CONTINUA DEBAJO DE LA LISTA.
Account or Group | Default Container, Group Scope and Type | Description and Default User Rights |
Access Control Assistance Operators (Active Directory in Windows Server 2012) | Built-in container Domain-local security group | Los miembros deeste grupo puedenconsultarremotamenteatributosde autorizacióny permisospara los recursosen este equipo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Account Operators | Built-in container Domain-local security group | Los miembros puedenadministrarde usuario de dominioycuentas de grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Administrator account | Users container Not a group | Cuenta integradapara administrar eldominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Ajustar las cuotas dememoria para un proceso Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras Aumenta Aumentarla prioridad de programación Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos |
Administrators group | Built-in container Domain-local security group | Los administradores tienen accesocompleto y sin restriccionesal dominio. Derechos de los usuariosdirectos: El accesoa este equipo desde Ajustar Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras Aumentar Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Allowed RODC Password Replication Group | Users container Domain-local security group | Los miembrosde este grupopueden tener suscontraseñasreplican en todos losde sólo lecturacontroladores de dominio deldominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Backup Operators | Built-in container Domain-local security group | Operadoresde copia de seguridadpueden anularlas restricciones de seguridadcon el únicopropósito de hacer copiasde seguridad o restaurararchivos. Derechos de los usuariosdirectos: Permitirinicio de sesión local Realice una copiade seguridad de archivosy directorios Inicie sesión comoun trabajo por lotes Restaurar archivosy directorios Apague el sistema Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Cert Publishers | Users container Domain-local security group | Los miembros deeste grupose les permitepublicar certificadosen el directorio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Certificate Service DCOM Access | Built-in container Domain-local security group | SiServicios de Certificate Serverestá instalado enun controlador de dominio(no recomendado), este grupo desubvencionesDCOMInscripciónacceso ausuarios del dominioyEquipos del dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS) | Users container Global security group | Los miembros de estegrupoquesoncontroladores de dominiopuedenser clonados. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Cryptographic Operators | Built-in container Domain-local security group | Los miembrosestán autorizadospara realizar operacionescriptográficas. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Debugger Users | This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation. | La presencia de ungrupo deusuarios del depuradorindica que lasherramientas de depuraciónse han instalado enel sistemaen algún momento, ya sea a través deVisualStudio, SQL, Office u otras aplicacionesque requierany apoyarunentorno de depuración. Este grupopermite el accesoremoto a equiposde depuración. Cuandoeste grupoexiste enel nivel de dominio, indica que un depuradorouna aplicación que contieneun depuradorse ha instaladoen un controlador dedominio. |
Denied RODC Password Replication Group | Users container Domain-local security group | Los miembrosde este grupo nopueden tener suscontraseñasreplicar encualquierde sólo lecturacontroladores de dominio deldominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
DHCP Administrators | Users container Domain-local security group | Los miembros de estegrupo tienenacceso administrativoal servicioDHCPServer. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
DHCP Users | Users container Domain-local security group | Los miembros de estegrupo tienenacceso de sólo lecturaparael servicioDHCPServer. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Distributed COM Users | Built-in container Domain-local security group | Los miembros deeste grupopuedeniniciar, activar y usarobjetos COMdistribuido en este equipo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
DnsAdmins | Users container Domain-local security group | Los miembros de estegrupo tienenacceso administrativo alservicio del servidor DNS. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
DnsUpdateProxy | Users container Global security group | Los miembros de estegrupo sonlos clientes DNSque se les permiterealizar actualizaciones dinámicasen nombre delos clientes que nopueden a su vezllevar a cabolas actualizaciones dinámicas. Los miembros deeste gruposuelen serservidores DHCP. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Domain Admins | Users container Global security group | Administradores designadosdel dominio; Administradores de dominioes un miembro decadadominiounido al grupode administradores localesdel equipoy recibelos derechosy permisos concedidosal grupode administradores locales, además de grupo de administradoresdel dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Ajustar las cuotas dememoria para un proceso Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras Aumenta Aumentarla prioridad de programación Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos |
Domain Computers | Users container Global security group | Todas lasestaciones de trabajoy servidoresque se unenal dominiosonlos miembrosde este grupopor defecto. Por defectoderechos de usuariodirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Domain Controllers | Users container Global security group | Todos loscontroladores de dominio deldominio. Nota: Los controladores de dominionoes miembrodel grupoEquipos del dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Domain Guests | Users container Global security group | Todos los huéspedesen el dominio Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Domain Users | Users container Global security group | Todos losusuariosenel dominio Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Enterprise Admins (exists only in forest root domain) | Users container Universal security group | Administradores de organizacióntienenpermisos para cambiarlos valores de configuraciónde todo el bosque, Administradores de organizaciónes miembro delgrupo de administradoresde cadadominio yrecibelos derechosy permisos concedidosa ese grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Ajustar las cuotas dememoria para un proceso Permitirinicio de sesión local Permitir inicio de sesióna través de Serviciosde Escritorio remoto Realice una copiade seguridad de archivosy directorios Omitir comprobación de recorrido Cambiarla hora del sistema Cambiar la zona horaria Crearun archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurarprogramas Habilitarcuentas deusuario y de equipode confianza para delegación Forzar el apagadodesde un sistema remoto Suplantar a uncliente tras Aumenta Aumentarla prioridad de programación Cargar ydescargar controladores de dispositivos Inicie sesión comoun trabajo por lotes Administrarregistro de auditoría yseguridad Modificarvalores deentorno del firmware Realizar tareasde mantenimientodel volumen Perfil deun solo proceso El rendimiento del sistema Quitar el equipode la estación deacoplamiento Restaurar archivosy directorios Apague el sistema Tomar posesión dearchivos u otros objetos |
Users container Universal security group | Este grupo contienelas cuentas de todosde sólo lecturacontroladores de dominio delbosque. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo | |
Event Log Readers | Built-in container Domain-local security group | Los miembros deeste grupopueden leerenlos registros de sucesosen los controladores dedominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Group Policy Creator Owners | Users container Global security group | Los miembros de estegrupo pueden creary modificarobjetosde directiva de grupoen el dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Guest | Users container Not a group | Estaes la única cuentaen un dominio deADDSque notienen losusuarios autenticadosSIDañadidoa sutoken de acceso.Por lo tanto, todos los recursosque están configurados parapermitir el acceso algrupo Usuarios autenticadosno se podrá accedera esta cuenta.Estecomportamiento noes el caso delos miembros delos Invitadosde dominioy gruposinvitados,sin embargo,son miembrosde esos grupostienen elusuarios autenticadosSIDañadido a sustokens de acceso. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Omitir Aumentaunprocesoconjunto de trabajo |
Guests | Built-in container Domain-local security group | Los huéspedes tienenel mismo acceso quelos miembrosdel grupo de usuariosde forma predeterminada, a excepción de la cuenta de invitado, que se limita aún máscomo se ha descritoanteriormente. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Hyper-V Administrators (Windows Server 2012) | Built-in container Domain-local security group | Los miembros de estegrupo tienen accesocompleto y sin restriccionesa todas las característicasdeHyper-V. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
IIS_IUSRS | Built-in container Domain-local security group | Incorporadoen el grupoque utilizaInternet Information Services. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Incoming Forest Trust Builders (exists only in forest root domain) | Built-in container Domain-local security group | Los miembros de estegrupo pueden crearentrantesunidireccionalesa estebosque.(Creacióndeconfianzas de bosquede salidaestá reservada paraAdministradores de empresa.) Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Krbtgt | Users container Not a group | La cuentakrbtgtes lacuenta de servicio delCentrode distribución de clavesKerberosen el dominio.Esta cuentatiene acceso alas credenciales detodas las cuentas"almacenados en ActiveDirectory.Esta cuentaestá desactivada por defectoy nunca debeestar habilitado Derechos del usuario: N / A |
Network Configuration Operators | Built-in container Domain-local security group | Los miembros deeste grupose otorganprivilegios queles permitan gestionarla configuración delas funciones de red. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Performance Log Users | Built-in container Domain-local security group | Los miembros deeste grupo puedenprogramarel registro decontadores de rendimiento, permitirá a los proveedoresde seguimientoyrecopilar seguimientosde eventosa nivel local comoa través de accesoremoto al ordenador. Derechos de los usuariosdirectos: Inicie sesión comoun trabajo por lotes Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Performance Monitor Users | Built-in container Domain-local security group | Los miembros deeste grupo puedenacceder a los datosdel contador de rendimientoa nivel localcomo a distancia. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Pre-Windows 2000 Compatible Access | Built-in container Domain-local security group | Estegrupo existepara la compatibilidad consistemas operativosanterioresa Windows2000 Server, que proporciona la capacidaddelos miembrospara leer la informaciónde usuarioy de grupoen el dominio. Derechos de los usuariosdirectos: El accesoa este equipo desde Omitir Heredadoderechos de usuario: Agregar estaciones de trabajoal dominio Aumentaunprocesoconjunto de trabajo |
Print Operators | Built-in container Domain-local security group | Los miembros deeste grupo puedenadministrarlas impresorasde dominio. Derechos de los usuariosdirectos: Permitirinicio de sesión local Cargar ydescargar controladores de dispositivos Apague el sistema Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
RAS and IAS Servers | Users container Domain-local security group | Los servidores deeste grupo puedenleer las propiedadesde acceso remotoenlas cuentas de usuarioen el dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
RDS Endpoint Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores deestegrupo ejecutanmáquinasvirtualesy sesionesde acogidadonde los usuarios deprogramas deRemoteAppy escritorios virtualespersonalescorren. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores host desesión de Escritorio remotoy servidoreshost de virtualización deEscritorio remotoutilizados en laimplementacióndeben estar eneste grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
RDS Management Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores deeste grupopueden realizar accionesadministrativas de rutinaen los servidores deServicios de Escritorio remotoen ejecución.Estegrupo necesitaser pobladoen todos los servidoresen unaimplementación de Servicios deEscritorio remoto.Losservidores que ejecutanel serviciode administración centralRDSdeben incluirse eneste grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
RDS Remote Access Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores deeste grupopermiten a los usuariosde los programas deRemoteAppy escritorios virtualespersonales,el acceso aestos recursos.EnInternetorientada aldespliegue, estos servidores se despliegantípicamente enuna red EDGE. Estegrupo necesitaser pobladoen servidores que ejecutanAgente de conexión. Servidores depuerta de enlace deEscritorio remoto yservidores de accesoweb de Escritorio remotoutilizados enel desplieguenecesidad deestar en este grupo. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Read-only Domain Controllers | Users container Global security group | Este grupo contienetodos losde sólo lecturacontroladores de dominio deldominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Remote Desktop Services Users | Built-in container Domain-local security group | Los miembros deeste grupose les concede elderecho de iniciar sesiónde forma remota utilizandoRDP. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Remote Management Servers (Windows Server 2012) | Built-in container Domain-local security group | Los miembros deeste grupo puedenacceder a los recursosde WMIa través de protocolosde gestión (comoWS-Management a través del servicioWindows RemoteManagement). Esto se aplica sóloa losespacios de nombres WMIque conceden accesoal usuario. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Replicator | Built-in container Domain-local security group | Admitela replicaciónde archivos heredadoen un dominio. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Schema Admins (exists only in forest root domain) | Users container Universal security group | Administradores de esquemason los únicos usuariosque pueden hacermodificaciones en elesquema de ActiveDirectory,y sólosi el esquemaestáhabilitada para escritura. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Server Operators | Built-in container Domain-local security group | Los miembros deeste grupo puedenadministrar los servidoresde dominio. Derechos de los usuariosdirectos: Permitirinicio de sesión local Realice una copiade seguridad de archivosy directorios Cambiarla hora del sistema Cambiar la zona horaria Forzar el apagadodesde un sistema remoto Restaurar archivosy directorios Apague el sistema Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Terminal Server License Servers | Built-in container Domain-local security group | Los miembros deeste grupopueden actualizarlas cuentas de usuarioen ActiveDirectory coninformación sobrela emisión de licencias, con el fin derastrear y reportarTSCAL por usuario deuso Por defectoderechos de usuariodirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Users | Built-in container Domain-local security group | Los usuarios tienenpermisosque les permitenleermuchos objetosy atributosen ActiveDirectory,si bien no puedencambiar Derechos de los usuariosdirectos: Aumentaunprocesoconjunto de trabajo Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido |
Windows Authorization Access Group | Built-in container Domain-local security group | Los miembros de estegrupo tienen accesoal atributotokenGroupsGlobalAndUniversalcalculadasobre los objetosde los usuarios Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
WinRMRemoteWMIUsers_ (Windows Server 2012) | Users container Domain-local security group | Los miembros deeste grupo puedenacceder a los recursosde WMIa través de protocolosde gestión (comoWS-Management a través del servicioWindows RemoteManagement). Esto se aplica sóloa losespacios de nombres WMIque conceden accesoal usuario. Derechos de los usuariosdirectos: Ninguno Heredadoderechos de usuario: El accesoa este equipo desde Agregar Omitir comprobación de recorrido Aumentaunprocesoconjunto de trabajo |
Una de las características de la pertenencia a estos grupos protegidos por defecto por el sistema operativo es que pueden ser modificadas, ya que al poseer el permiso de poder modificar el propietario del objeto, pueden aplicarse los permisos que quieran. Existe un proceso continuo por parte de Active Directory encargado de garantizar la correcta aplicación de los permisos de los grupos protegidos, revocando cualquier cambio auto-configurado por algún miembro de estos grupos.
Este proceso, llamado SDProp almacena los permisos "tipo" descritos a continuación para las cuentas protegidas del sistemas, dentro de Active Directory como un objeto, denominado ADMINSDHolder.
SDProp lo que hace es comparar los permisos de las cuentas pertenecientes a los grupos restringidos, con la definición de estos permisos ubicada en AdminSdHolder, cada 60 minutos. Lo realiza contra el servicio de emulación PDC (PDC Emulator) En caso de que algún usuario perteneciente a uno de estos grupos haya cambiado algún permiso de su configuración de usuario, el proceso SDProp volverá a dejar al usuario con los permisos definidos en ADMINSDHolder.
SDProp también es encargado de replicar la información de los SID entre controladores de dominio.
Imaginamos un caso hipotético. Tenemos una UO (usuarios de Madrid)en la cual hemos delegado, como administradores del dominio, en un usuario. Imaginamos que por cualquier motivo, se mueve el usuario administrador del dominio a esa UO (porque se mueve de Murcia a Madrid) El usuario creado para administrar la UO podría cambiar la clave del usuario Administrador del dominio, por herencia? SDProp mitiga estos casos.
Para cambiar el parámetro de tiempo de búsqueda de "sintonía" entre los permisos debemos entrar en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. y modificar la clave, en segundos, the AdminSDProtectFrequency.
Cambiar este valor a un intervalo menor de búsqueda va a garantizar mayor coherencia a los permisos de nuestras cuentas dentro de grupos privilegiados, pero irá en detrimento del rendimiento de la red por las constantes búsquedas y cambios.
Para forzar la comprobación de los permisos de ADMINSDHolder -- Usuarios podemos entrar en el editor ldap LDP.exe. Conectamos con el servidor que tiene instalado el ROLE FSMO de PDC Emulator. Una vez conectados pulsamos en conexión, y enlazar.
Podemos proporcionar un usuario con permisos sobre el dominio, administrador de dominio o indicarle que tome las credenciales del usuario logueado, más cómodo.
Pulsamos sobre modificar y escribimos lo siguiente.
En ambientes 2008 anteriores a r2 podemos ejecutarlo de la misma manera, configurando este parámetro.
PERMISOS SOBRE EL LA CUENTA ADMINISTRADOR.
Es curioso, pero lo primero que vamos a hacer es deshabilitarla, y trabajar con otro usuario "parecido". No obstante, para evitar futuros usos indebidos vamos a configurar una seria de parámetros.
Cambiar el nombre de esta cuenta proporciona un nivel de seguridad extra. Puede ser interesante crear un usuario administrador, después de haber cambiado el nombre de la cuenta real administrador ( hablamos de que LDAP trabaja son SID únicos, no importa el nombre o Nick) sin ningún permiso, y una auditoria con notificación por correo para saber si alguien ha intentado acceder a algún recurso con esa cuenta. Claro ejemplo de que estamos siendo atacados. Otros objetos de directiva de grupo que deberíamos cambiar sobre Administrador son:
Configuración del equipo \Directivas \Configuración de Windows\ Configuraciónde seguridad \Configuración local \Asignación de derechos deusuario:
Denegar el acceso aeste equipo desdela red
Denegar inicio de sesióncomo un trabajo porlotes
Denegar inicio de sesióncomo servicio
Denegarinicio de sesióna través deServicios de Escritorio remoto
Denegar el acceso aeste equipo desde
Denegar
Denegar inicio de sesióncomo servicio
Denegarinicio de sesióna través deServicios de Escritorio remoto
Atención a la hora de establecer estos objetos, ya que se aplicarán al contenedor o UO sobre el que apliquemos la directiva, pero debemos especificar si administrador es LOCAL, o es midominio\administrador. Importante esta distinción.
De momento os dejo repasar todo lo aprendido en este artículo y seguiremos en próximas entregas con la seguridad, esta vez en entornos Windows no solo servidores.
Como siempre, gracias por leerme.