25 octubre 2011 0 comentarios

WINDOWS SERVER 2003

ADMINISTRACIÓN DE POLÍTICAS DE GRUPOS

Las políticas de grupo permiten establecer de forma centralizada múltiples aspectos de la configuración que reciben los usuarios cuando se conectan a una máquina del dominio.

OBJETO DE POLÍTICA DE GRUPO

las políticas de grupo se han integrado dentro de la administración del Directorio Activo como una herramienta de configuración centralizada en dominios Windows 2003.

Un GPO es un objeto que incluye como atributos cada una de las políticas (también denominadas directivas) que puede establecerse en Windows Server 2003 para equipos y usuarios. Los GPOs se crean y posteriormente se vinculan a distintos contenedores del Directorio Activo (sitios, dominios y unidades organizativas), de forma que los usuarios y equipos que se ubican dentro de estos contenedores reciben los parámetros de configuración establecidos en dichos GPOs. De esta forma, y utilizando sólo el Directorio Activo, cada equipo y cada usuario del dominio puede recibir una configuración apropiada según el tipo de tarea que debe desempeñar.

Para poder implementar un esquema de GPOs en un dominio es necesario crear primero una estructura adecuada de unidades organizativas, y distribuir en ellas los objetos usuario/equipo.

Dentro de cada GPO, las políticas se organizan jerárquicamente en un árbol temático que permite una distribución lógica de las mismas, justo debajo del nodo raíz, existen dos nodos principales que separan las configuraciones para equipos y para usuarios:

1. La configuración del equipo agrupan todos aquellos parámetros de configuración que pueden establecerse a nivel de equipo. Cuando un GPO afecta a un equipo, todas aquellas políticas de equipo del GPO que el administrador haya configurado se aplicarán al equipo cada vez que se inicie.

2. Las configuración de usuario agrupan los parámetros de configuración que pueden establecerse a nivel de usuario. Cuando un GPO afecta a un usuario, todas aquellas políticas de usuario del GPO que el administrador haya configurado se aplicarán cuando dicho usuario inicie una sesión local (en cualquier equipo del dominio).

APLICACIÓN DE POLÍTICAS DE GRUPO

Las políticas de grupo son heredables y acumulativas. Eso quiere decir que, desde el punto de vista de un equipo o de un usuario concretos, la lista de GPOs que les afecta depende de su ubicación en Directorio Activo: esta lista incluye todos los GPOs vinculados a los contenedores por los que hay que pasar para llegar desde el sitio (y dominio) hasta la unidad organizativa concreta donde ese equipo o usuario se ubica.

Resulta necesario que exista un orden de aplicación concreto y conocido, de forma que se sepa finalmente qué politica(s) afectarán a cada usuario y equipo. Este orden es el siguiente:

1. Se aplica la política de grupo local del equipo (denominada Local Group Policy Object, o LGPO).
2. Se aplican los GPOs vinculados a sitios.
3. Se aplican los GPOs vinculados a dominios.
4. Se aplican los GPOs vinculados a unidades organizativas de primer nivel. En su caso, posteriormente se aplicarían GPOs vinculados a unidades de segundo nivel, de tercer nivel, etc.

Este comportamiento puede ser refinado mediante los siguientes dos parámetros:

1. Forzado (Enforced). 
2. Bloquear herencia de directivas (Block policy inheritance). 

POLÍTICAS DE GRUPO Y SEGURIDAD

Como todos los objetos del Directorio Activo, los GPOs poseen listas de control de acceso (o DACLs). En general, estas DACLs establecen qué usuarios y grupos pueden leer, escribir, administrar, etc., dichos objetos. En el caso concreto de los GPOs, esta asociación de permisos a grupos de usuarios (o grupos de seguridad) permite filtrar el ámbito de aplicación de un GPO y delegar su administración.

Uno de los permisos de cada GPO es "Aplicar directiva de grupos" (o, simplemente, Aplicar). Por defecto, este permiso lo tienen concedido el grupo Usuarios autentificados, que incluye en la práctica a todos los usuarios del dominio. Por tanto, la política afecta a todos los usuarios cuyas cuentas se ubiquen dentro del contenedor al que se vincula el GPO.

Cualquier usuario o grupo que tenga concedido el permiso de Control Total sobre un GPO puede administrarlo. Por defecto, en este caso se encuentran:
  • el grupo Administración de Empresas,
  • el grupo Administradores del Dominio,
  • el creador del GPO (Creator Owner),
  • y el sistema (System).
Es posible delegar la administración de GPOs a otros usuarios y grupos. En realidad, la administración de un GPO consta de dos actividades distintas y complementarias, que pueden delegarse independientemente:
  • Creación de un GPO.
  • Vinculación de un GPO a un contenedor.
PRINCIPALES POLÍTICAS INCLUIDAS EN UN GPO

Cada GPO consta de un árbol de políticas, subdividido en su nivel más alto en dos subárboles denominados Configuración de equipo y Configuración de usuario. La jerarquía de políticas en cada uno de ellos se subdivide en tres grupos:
  • Configuración de Software (Software Settings).
  • Configuración de Windows (Windows Settings).
  • Plantillas Administrativas (Administrative Templates).
Plantillas Administrativas:

Este grupo contiene todas las configuraciones de políticas basadas en el registro de Windows 2003, incluyendo aquellas que controlan el funcionamiento y apariencia del escritorio, de los componentes de Windows Server 2003 y de algunas aplicaciones que utilizan estas políticas.

Configuraciones de Seguridad:
  • Políticas de Cuentas.
  • Políticas Locales.
  • Registro de Eventos.
Instalación de software:

Se puede asignar y/o publicar aplicaciones a equipos o a usuarios en el dominio:
  •             Asignar una aplicación significa que los usuarios que la necesitan la tienen disponible en su escritorio sin necesidad de que un administrador la instale.
  • .          Publicar una aplicación a un equipo o usuario le da la oportunidad al usuario de instalar dicha aplicación bajo demanda (a voluntad), pero no se realiza ninguna acción automática en el equipo
Guiones (scripts):

Se pueden asignar scripts a equipos o usuarios. En concreto, existen cuatro tipos de scripts principales:
  • Inicio (equipo)
  • Apagado (equipo)
  • Inicio de sesión (usuario)
  • Cierre de sesión (usuario)
Redirecciones de carpetas:

Este grupo de políticas permite redirigir la ubicación local predefinida de ciertas carpetas particulares de cada usuario (como "Mis Documentos" o el menú de inicio) a otra ubicación, bien sea en la misma máquina o en una unidad de red.

Publicado por Charo y Débora en 14:17
11 octubre 2011 0 comentarios

WINDOWS SERVER 2003

ADMINISTRACIÓN DE DOMINIOS WINDOWS 2003

1.- DIRECTORIO ACTIVO

1.1.-Dominios Windows 2003 y el Directorio Activo

La mejor forma de organizar la información y asegurarla es creando un dominio.
El dominio contiene un directorio que almacena datos, estructurado jerárquicamente.
Active Directory: servicio de directorio de una red windows 2003. Almacena información sobre los recursos que organiza, controla y administra.
Cuando instalamos Active Directory convertimos el ordenador en un servidor de dominio (Domain Controllers), y el resto de los equipos se convierten en nuestros clientes.
El Directorio Activo separa la estructura lógica (dominios) de la física (topología de la red).

1.2.- Estándares relacionados

Windows 2003 proporciona compatibilidad con un buen número de protocolos y estádares, destacando así:

  • DHCP (Dynamic Host Configuration Protocol): protocolo de configuración dinámica de ordenadores, que permite la administración desatendidas de direcciones de red.
  • DNS (Domain Name System): servicio de nombres de dominio, que perminte la administración de nombres de ordenadores. Asignación y resolución de nombres en internet (traducción de IP's).
  • SNTP (Simple Network Time Protocol): protocolo simple de tiempo de red, perminte disponer de un servicio de tiempo distribuido.
  • LDAP (Lightweight Directory Access Protocol): protocolo de acceso a directorio, mediante el cual las aplicaciones acceden y modifican la información existente en el directorio.
  • Kerberos V5: protocolo utilizado para la autenticación de usuarios y máquinas.
  • Certificados X.509: estándar que permite distribuir información a través de la red de forma segura.
1.3.- Directorio Activo y DNS.

Ambos son espacios de nombres. Comparten idénticos nombres de domino, pero se diferencian en que almacenan distinta información:

  • DNS: zonas y registros de recursos.
  • Active Directory: dominios y objetos de dominios.

DNS es el sistema de nombres para redes TCP/IP que usa nombes para localizar equipos y controladores de dominio en internet, ya sea estación de trabajo o servidor.
Cada dominio se identifíca unívocamente mediante un nombre DNS, también cada equipo tiene su porpio nombre DNS, cuyo sufijo será el nombre DNS del domio al que pertenece.
Ejemplo:
dominio = miempresa.com
equipo = pc10.miempresa.com

Active Directory utiliza DNS para:

  • Resolución de nombre.
  • Definición del espacio de nombres (nomenclaturas).
  • Búsqueda de los componentes físicos de AD (equipos que llevan a cabo la autenticación de otros equipos).
1.4.- Estructura Lógica

El dominio es la unidad mínima de directorio, que contiene información sobre recursos (usuarios, grupos, directivas...). Dividido en unidades organizativas que permiten una administración independiente. Pero si se desean varios dominios para ello existen los bosques.

1.4.1.- Dominios

Conjunto de equipos que comparten una base de datos. Los dominios tienen los siguiente objetivos:
Delimitar la seguridad.

  • Replicar información
  • Aplicar políticas o directivas de grupo.
  • Delegar permisos administrativos.
1.4.2.- Múltiples dominios en la misma organización

Cuando se instala el primer controlador de dominio se crea el dominio raíz del bosque, este contiene la configuración y el esquema del bosque.

  • Arbol: conjunto de uno o más dominios que comparten un espacio de nombres contiguo, y está jerarquizado.
  • Bosque: grupo de árboles que no comparten un espacio de nombres contiguo.
1.4.3.- Niveles funcionales

Windows server 2003 soporta cuatro niveles funcionales de dominio y tres niveles funcionales de bosque:
  1. Windows 2000 mixto.
  2. Windows 2000 nativo.
  3. Windows server 2003 provisional.
  4. Windows server 2003.
  1. Windows 2000.
  2. Windows server 2003 provisional.
  3. Windows server 2003.
1.4.4.-  Relaciones de confianza

Relación establecida entre dos dominios de forma que permite a los usuarios de un domino ser reconocidos por los DC's de otro dominio, pudiendo así acceder a los recursos de otro dominio, así como a los administradores hacer cambios también. Tipos de relaciones:
  • Confianza raíz de árbol.
  • Confianza principal-secundario.
  • Confianza de acceso directo.
  • Confianza externa.
  • Confianza de bosque.
  • Confianza de territorio.
1.4.5.- Unidades Organizativas

Es un objeto del Directorio Activo que puede contener a otros objetos del directorio. Su objetivo es estructurar y organizar este conjunto de objetos, y permiten:
  • Delegar la administración.
  • Establecer de forma centralizada comportamientos distintos a usuarios y equipos.
1.5.- Estructura Física

1.5.1.- Sitios

Un sitio es una combinación de una o varias subredes IP que están conectadas por un vínculo de alta velocidad. Definir sitios permite configurar la topología de replicación y acceso a Active Directory de forma que Windows 2003 utilice los vínculos y programas más efectivos para el tráfico de inicio de sesión y replicación. Normalmente los sitios se crean por dos razones principalmente:
  • Para optimizar el tráfico de replicación.
  • Para permitir que los usuarios se conecten a un controlador de dominio mediante una conexión confiable de alta velocidad.
1.5.2.- Controladores de domino

Un controlador de dominio (Domain Controller, DC) es un equipo donde se ejecuta Windows 2003 Server y que almacena una replica del directorio. Los controladores de dominio ejecutan el servicio KDC, que es responsable de autenticar inicios de sesión de usuario. La información almacenada en cada controlador de dominio se divide en tres categorías (particiones): dominio, esquema y datos de configuración. Estas particiones del directorio son las unidades de replicación:
  1. Participación del directorio de esquemas.
  2. Participación del directorio de configuración.
  3. Participación del directorio de dominio.
  4. Participación del directorio de aplicaciones.
1.5.3.- Funciones de los controladores de dominio

Funciones especiales, como la de servidor de catálogo global y operaciones de maestro único, se asignan sólo a determinados controladores de dominio. A continuación veremos estas funciones.

1.5.4.- Servidor de catálogo global

El catálogo global es un depósito de información que contiene un subconjunto de atributos para todos los objetos de Active Directory (partición de directorio de dominio). Los atributos que se almacenan en el catálogo global son los que se utilizan con más frecuencia en las consultas. El catálogo global contiene la información necesaria para determinar la ubicación de cualquier objeto del directorio.

1.5.5.- Operaciones de maestro único

Un maestro de operaciones es un controlador de dominio al que se le ha asignado una o varias funciones de maestro único en un dominio o bosque de Active Directory. Todos los bosques de Active Directory deben tener controladores de dominio que cumplan dos de las cinco funciones de operaciones de maestro único. Las funciones para todo el bosque son:
  • Maestro de esquema.
  • Maestro de nombres de dominio.
Todos los dominios de Active Directory deben tener controladores de dominio que cumplan tres de las cinco funciones de operaciones de maestro único:
  • Maestro de identificadores relativos.
  • Emulador de controlador de dominio principal.
  • Maestro de infraestructuras.


2.- OBJETOS QUE ADMINISTRA UN DOMINIO

2.1.- Usuarios globales

Los datos de una cuenta de usuario global se almacenan en el Directorio Activo y por tanto son conocidos por todos los ordenadores del dominio (en realidad, por todos los ordenadores de bosque).

2.2.- Grupos

De forma análoga a los usuarios globales, existen grupos que son almacenados en el Directorio Activo y que por tanto son visibles desde todos los ordenadores del dominio (y, en algunos casos, también de otros dominios del bosque). En el directorio pueden crearse dos tipos de grupos: grupos de distribución y grupos de seguridad. Los primeros se utilizan exclusivamente para crear listas de distribución de correo electrónico, mientras que los segundos son los que se utilizan con fines administrativos. Se distinguen tres clases:
  • Grupos locales del dominio.
  • Grupos globales.
  • Grupos universales.

2.3.- Equipos

En el Directorio Activo de un dominio se conserva toda la información relativa a cuentas de usuarios y grupos globales. Esta misma base de datos de directorio recoge también una cuenta de equipo por cada uno de los ordenadores miembro de un dominio.
Entre otras informaciones, en cada una de estas cuentas se almacena el nombre del ordenador, así como un identificador único y privado que lo identifica unívocamente. Este identificador es análogo al SID de cada cuenta de usuario o grupo, y sólo lo conocen los DCs y el propio ordenador miembro. Es por tanto, un dato interno del sistema operativo, y ni siquiera el administrador puede cambiarlo.

2.4.- Unidades Organizativas

Son objetos del directorio que a su vez, pueden contener otros objetos. El uso fundamental de las OUs es delegar la administración de sus objetos a otros usuarios distintos del administrador del dominio, y personalizar el comportamiento de los usuarios y/o equipos mediante la aplicación de directivas de grupo (GPOs) específicas a la unidad.


3.- COMPARTICIÓN DE RECURSOS

Cuando un sistema Windows 2003 participa en una red (grupo de trabajo o dominio), puede compartir sus recursos con el resto de ordenadores.

3.1.- Permisos y derechos

Cualquier sistema Windows 2003 puede compartir carpetas, tanto si es un servidor como si es una estación de trabajo. Para poder compartir una carpeta basta con desplegar su menú contextual desde una ventana o desde el explorador de archivos, y seleccionar Compartir.... En la ventana asociada a esta opción se determina el nombre que tendrá el recurso (que no tiene por qué coincidir con el nombre de la propia carpeta), así como qué usuarios van a poder acceder al mismo.

3.2.- Compartición dentro de un dominio

Primero, una vez se ha compartido físicamente una carpeta en la red, el administrador del dominio puede además publicar este recurso en el directorio.
Y segundo, cuando un sistema Windows 2003 se agrega a un dominio, los siguientes recursos se comparten de forma automática y por defecto

3.3.- Mandatos windows 2003 para compartir recursos

Puede realizarse en líneas de órdenes utilizando los mandatos net share (crea, elimina o muestra recursos compartidos) y net use (conecta o desconecta un equipo de un recurso compartido o muestra información acerca de las conexiones del equipo).


4.- DELEGACIÓN DE LA ADMINISTRACIÓN

Para delegar total o parcialmente la administración de una unidad organizativa existe un asistente que aparece cuando se selecciona la acción  Delegar el Control... en el menú contextual de la unidad organizativa.

Publicado por Charo y Débora en 0:44
10 octubre 2011 1 comentarios

WINDOWS SERVER 2003

PROTECCIÓN LOCAL

1.- USUARIO 


Windows 2003 server permite tener un riguroso control de personas que pueden entrar en el sistema y de las acciones que realizan.


Usuario: persona que puede entrar en el sistema.

Cuenta de usuario (user account): para controlar la entrada y las acciones del usuario. Almacena toda su información, la más importante:
    • Nombre de usuario: ha de ser distinto para cada usuario.
    • Nombre completo.
    • Contraseña.
    • Directorio de conexión: donde residen los archivos del usuario, privado a menos que el usuario conceda permisos.
    • Horas de conexión: las horas permitidas a un usuario para que se conecte al sistema.
    • Activada: estado de la cuenta. Si es desactivado, aunque no esté borrada del sistema, no podrá acceder a él.
    SID (identificador seguro): dato especial, único para cada usuario, asociado a su cuenta y generado automáticamente por el sistema. 

    Built-in-users (Administrador e Invitado): usuario integrados por el sistema que no pueden ser borrados, aunque la cuenta de invitado puede ser desactivada por el administrador.


    2.- GRUPOS DE USUARIOS

    Permite agrupar a los usuarios del sistema y establecer permisos y restricciones a todo el grupo. Estas cuentas también poseen un SID.

    Built-in-groups: grupos integrados en el sistema.
    • Administradores: usuarios que deben poseer derechos adminsitrativos completos. Inicialmente sólo está el Administrador.
    • Operadores de copia: vacío inicialmente. Pueden hacer y restaurar una copia de todo el sistema.
    • Usuarios avanzados: vacío inicialmente. Tiene cierta capacidad administrativa.
    • Usuarios: vacío inicialmente. Usuarios normales.
    • Invitados: inicialmente sólo está el Invitado.
    Special Identities (grupos especiales): establecidos de forma automática por el sistema. Utilizados para la protección del sistema.
    • Usuarios interactivos (interactive): grupo de usuarios que tiene derecho a iniciar sesión local.
    • Usuarios de red (network): grupo de usuarios que tiene derecho a acceder al equipo desde la red.
    • Todos (everyone): grupo de usuarios existentes localmente y de otros sistemas conectados a la red, no incluye las conexiones anónimas.
    • Usuarios autentificados (authenticated users): grupo de usuarios que poseen una cuenta propia, no entra usuario invitado.

    3.- MODELO DE PROTECCIÓN

    Establece la forma en que el sistema lleva a cabo el control de acceso de cada usuario y grupo, mediante derechos y permisos:
    • Derecho / privilegio (user right): permite realizar una acción que afecta al sistema en su conjunto, no en concreto. Existen derechos ya predefinidos. Cada derecho posee una lista donde se especifican los grupos/usuarios que alberga.
    • Permiso (permission): característica de cada recurso del sistema que concede o deniega a un grupo/usuario concreto. También posee una lista y el tipo de acceso permitido (lectura, modificación, ejecución, borrado...).

    4.- ATRIBUTOS DE PROTECCIÓN DE LOS PROCESOS

    Cuando un usuario se conecta al sistema, éste construye para él una acreditación (security access token o SAT) que contiene la información de protección, presente en cada proceso del usuario. Así, el sistema puede controlar los accesos a los recursos del sistema hechos por cada usuario.

    SAT contiene los siguientes atributos de protección:
    1. SID: identificador único de usuario.
    2. SID's de sus grupos: lista de SID's de grupos a los que pertenece el usuario.
    3. Derechos: lista de derechos del usuario, otorgados por si mismo y por los grupos a los que pertenece.
    El nivel de acceso de un usuario incluye también a los niveles de los grupos a los que pertenece.


    5.- DERECHOS DE USUARIO
    • Derechos de conexión (logon rights): establecen las diferentes formas que un usuario puede conectarse al sistema
    • Privilegios (privileges): hacen referencia a ciertas acciones predefinidas que el usuario puede realizar una vez conectado al sistema.
    El derecho prevalece sobre los privilegios, y estos ante los permisos.


    5.1.- Otras directivas de seguridad

    Los derechos son un tipo de directiva de seguridad, agrupadas en "directivas de seguridad local", estableciéndose las siguientes:
    1. Cuentas: política de cuentas o de contraseñas que sigue el equipo para sus usuarios locales. Se pueden distinguir reglas en tres epígrafes: Contraseñas, Bloqueo y Kerberos.
    2. Directiva local. Auditoría del equipo, que permite registrar en el visor de sucesos ciertos eventos que sean interesantes. Por otra parte, se incluye los derechos y privilegios.
    3. Claves públicas. se administran las opciones de seguridad de las claves públicas emitidas por el equipo.

    6.- ATRIBUTOS DE PROTECCIÓN DE LOS RECURSOS

    En un sistema de archivos NTFS de Windows 2003, cada carpeta o archivo posee los siguientes atributos de protección:
    • SID del propietario: inicialmente el propietario es siempre el usuario que ha creado el archivo o carpeta, aunque este atributo puede ser luego modificado (esto se explica más adelante).
    • Lista de control de acceso de protección: incluye los permisos que los usuarios tienen sobre el archivo o carpeta. Cada permiso puede ser positivo o negativo. Se divide en dos listas Discretionary Access Control List (lista de control de acceso discrecional) o DACL. Cada elemento de una DACL se denomina Access Control Entry (entrada de control de acceso) o ACE. Cada entrada liga a un SID de usuario o grupo con la concesión o denegación de un permiso concreto (o conjunto de permisos).
    • Lista de control de acceso de seguridad. define qué acciones sobre un archivo o carpeta tiene que auditar el sistema. Esta lista está inicialmente vacía en todos los objetos del sistema de archivos.


    6.1.- Asociación de permisos a recursos


    La asociación de permisos a archivos y carpetas sigue una serie de reglas:

    • Cuando se crea un nuevo archivo o carpeta, éste no posee ningún permiso explícito y adquiere como permisos heredados los permisos heredados y explícitos de su carpeta padre.
    • Si se desea añadir permisos sobre un archivo o carpeta, éstos se añaden siempre a la lista de permisos explícitos. De igual forma, sólo se puede modificar o eliminar individualmente un permiso si éste es explícito.
    • El control sobre la herencia de permisos se puede realizar a dos niveles de forma independiente:
    1. Cada carpeta o archivo tiene la potestad de decidir si desea o no heredar los permisos de su carpeta padre (herencia "desde arriba").
    2. Cada permiso lleva asociada una regla que indica qué recursos van a poder heredarlo (herencia "hacia abajo").
    Copiar un archivo o carpeta a otra ubicación se considera una creación, y por
    tanto el archivo copiado recibe una lista de permisos explícitos vacía y se activa la herencia de la carpeta padre correspondiente a la nueva ubicación.
    Mover un archivo distingue dos casos: si movemos una carpeta o archivo a otra ubicación dentro del mismo volúmen (partición) NTFS, se desactiva la herencia y se mantienen los permisos que tuviera como explíticos en la nueva ubicación. Si el volúmen destino es distinto, entonces se actúa como en una copia (sólo se tienen los permisos heredados de la carpeta padre correspondiente a la nueva ubicación).


    6.2.- Permisos estándar e individuales



    Los permisos estándar son combinaciones predefinidas de permisos individuales, que son aquellos que controlan cada una de las acciones individuales que se pueden realizar sobre carpetas y archivos.
    La existencia de estas combinaciones predefinidas es el resultado de una agrupación "lógica" de los permisos individuales para facilitar la labor del administrador (y de cada usuario cuando administra los permisos de sus archivos). Por este motivo, los permisos estándar se conocen también como "plantillas de permisos".


    Publicado por Charo y Débora en 22:23
    Suscribirse a: Entradas (Atom)
     
    ;