Tasca 5: Directives de seguretat

-Anunciat

Directiva local és la que cal usar en clients i servidors que no tenen instal·lat el Directori Actiu. Quan un equip client està afegit a un domini, les seves directives locals depenen de les del domini. • Traieu temporalment el client Windows del domini de forma que torni a ser un equip independent. Aneu a Directives de Comptes => Contrasenyes: establiu el mínim de dies per poder canviar la contrasenya en 7 dies. Directives de Comptes => bloqueig de comptes:

• Establiu el màxim de intents erronis a 3; Política Local => drets d'usuaris: tothom pot canviar la data del sistema. Comproveu que els canvis estan actius: inicieu la sessió amb un usuari no administrador i proveu cada directiva.

• Torneu a afegir l'equip al domini. Un cop fet i reiniciat, entreu com a administradors del domini i aneu a Directives de Comptes => Contrasenyes. Quins valors teniu en les directives que heu modificat anteriorment? Podeu modificar-les? Què ha passat amb els valors anteriors, s'han sobreescrit (i perdut) o es recuperen si torneu a treure l'equip del domini?

• Inicieu sessió en el Server com a administrador

• Aneu a Inici => Herramientas Administrativas => Directivas de Grupo. Desplegueu el node corresponent al domini.

• Clic dret sobre el nom del domini => Crear un GPO en aquest domini i vincular-lo aquí. Doneu-li el nom depinfo_GPO. El GPO d'inici d'origen deseu-lo en blanc.

• Desplegueu el node Objectes de directiva de grup, i en la directiva depinfo_GPO obriu el menú contextual => Editar.

• Establiu les següents propietats de política de seguretat de contrasenya:

• Accepteu. En aquest moment teniu dues directives de domini: la “per defecte”, que s'aplica en primer lloc, i la depinfo_GPO. Per fer que depinfo_GPO s'apliqui en primer lloc de preferència feu Clic sobre el nom del domini i useu les fletxes per pujar a la primera posició la directiva depinfo_GPO.

• Per forçar que s'apliqui immediatament la nova directiva, obriu la consola de comandaments i executeu el comandament gpedit /force

• Comproveu que la nova directiva és efectiva: en el client obriu sessió local (en el desplegable trieu “este equipo”) amb un usuari administrador, i aneu a mirar Directives de Comptes => bloqueig de comptes. Quins valors observeu i per què? Comproveu que la longitud mínima de la contrasenya per usuaris nous és d'un caràcter. La unitat organitzativa (UO) és un tipus d'objecte de directori contenidor en els quals pots col·locar usuaris, grups, equips i altres unitats organitzatives. Una unitat organitzativa no pot contenir objectes d'altres dominis. Una UO és l'àmbit o unitat més petita a la qual es poden assignar configuracions de Directiva de grup. Amb les unitats organitzatives, pots crear contenidors dins d'un domini que representen les estructures lògiques i jeràrquiques existents dins d'una xarxa. Això permet administrar la

configuració i l'ús de comptes i recursos, en funció del seu model organitzatiu. Creareu ara una directiva de grup específica per la UO Comptabilitat.

• Busqueu el node anomenat GPO's d'inici, clic dret, crear; doneu-li el nom GPO d'inici; es crea una plantilla de directives de grup que configurarem. Posteriorment, podeu crear noves directives de grup a partir d'aquesta plantilla. Clic dret sobre el nou GPO, editar.

•Aneu a User =>Desktop => Desktop. Configureu les propietats que impedeixen als usuaris afegir o eliminar objectes de l'escriptori. Tanqueu la finestra d'edició. La plantilla GPO està creada.

•Per crear una GPO a partir de la plantilla, clic dret sobre ella => nova GPO a partir de GPO de inici. Anomeneu-la “GPO per les UO”. En aquest moment l'arbre de directives el tindreu com a la imatge. Accediu a l'editor de directives de la nova GPO i comproveu que s'han copiat les directives de la GPO de inici. Podríem personalitzar-les, però ara no ho farem.

• Anem a aplicar la nova directiva a la UO Informàtica: clic=dret sobre l'UO =>vincular una GPO existent; triem la GPO per les UO. Per forçar que s'apliqui immediatament la nova directiva, obriu la consola de comandaments i executeu el comandament gpedit /force. Verifiqueu que la directiva s'aplica a tots els usuaris de la UO.

• Seguint el mateix procediment, definiu una nova directiva GPO d'inici que no deixa als usuaris usar “afegir o eliminar programes” del panell de control. Creeu una GPO usant la plantilla i assigneu-li al la UO Administració. Comproveu el seu funcionament.

-Teoria

-Teoría

Directives

Són regles que els administradors configuren en un equip o en diversos equips a fi de protegir els recursos d'un equip o una xarxa.L'Extensió de configuració de seguretat del complement Editor d'objectes de directiva de grup local li permet definir les configuracions de seguretat com a part d'un objecte de directiva de grup (GPO)Els GPO estan vinculats a contenidors d'Active Directory, com llocs, dominis o unitats organitzatives, i permeten als administradors administrar la configuració de seguretat de diversos equips des de qualsevol equip unit al domini. La seguretat es fa servir com a part de la implementació de seguretat general per ajudar a protegir els controladors de domini, els servidors, els clients i altres recursos de l'organització.

Directives de seguretat del domini

Llocs, dominis i unitats organitzatives estan vinculats a objectes de directiva de grup. L'eina de configuració de seguretat permet de canviar la configuració de seguretat de l'objecte de directiva de grup, al seu torn, que afecten diversos equips. Amb la configuració de seguretat, pot modificar la configuració de seguretat de molts equips, segons l'objecte de directiva de grup que modifiqui, des de només un equip unit a un domini.Configuració de seguretat o les directives de seguretat són regles que es configuren en un o diversos equips per protegir recursos d'un equip o xarxa. La configuració de seguretat pot controlar el següent:• Com s'autentiquen els usuaris a una xarxa o equip.• El que els usuaris de recursos estan autoritzats a utilitzar.• Si un usuari o grup d'accions es graven en el registre d'esdeveniments.• La pertinença al grup.

APLICACIONS

La configuració de seguretat pot controlar el següent:• L'autenticació d'usuari en una xarxa o un equip. • Els recursos als quals poden accedir els usuaris. • El registre de les accions d'un usuari o grup en el registre d'esdeveniments.• La pertinença a un grup.

Directiva de seguretat local en una màquina fora del domini

Una política de seguretat és una combinació de configuració de seguretat que afecten la seguretat en un equip. Utilitzar la directiva de seguretat local per modificar directives de compte i locals en l'equip local.Amb la directiva de seguretat local, pot controlar:• Qui té accés al seu equip.• El que els usuaris de recursos estan autoritzats a utilitzar en l'equip.• Si un usuari o grup d'accions es graven en el registre d'esdeveniments.Si l'equip local està unit a un domini, poden obtenir una directiva de seguretat de la directiva del domini o de la directiva de qualsevol unitat organitzativa que és membre de. Si obté una directiva de més d'un origen, els conflictes es resolen en el següent ordre de prioritat.

Directiva de seguretat d'Unitats Organitzatives

Les Directives de Grup permeten definir diverses configuracions de l'usuari que accedeix al sistema o de l'equip des del qual s'accedeix, de manera que l'administrador

del servidor determina quals li seran aplicades a cada usuari i / o equip enquadrat en un lloc, domini o unitat organitzativa.La configuració de Directiva de Grup està continguda en un objecte de directiva de grup, de manera que s'associa aquesta directiva als Llocs, Dominis o Unitats Organitzatives indicades a l'Active Directory del servidorCuriosament, i malgrat el seu nom, les Directives de Grup no poden ser associades a un grup d'usuaris o grups d'equips, ja que tan sols són aplicables Llocs, Dominis o Unitats Organitzatives, i el resultat de la seva aplicació afecta els usuaris ja els equips del domini.Quan s'habilita una directiva de grup, l'ordre en què la mateixa és aplicada és el següent:1. En primer lloc s'aplica l'objecte de Directiva de Grup local únic.2. En segon lloc s'apliquen els Objectes de Directiva de Grup del Lloc, en l'ordre especificat administrativament.3. En tercer lloc els Objectes de Directiva de Grup del Domini, en l'ordre especificat administrativament.4. En quart lloc els Objectes de Directiva de Grup de les Unitats Organitzatives, d'Unitat Organitzativa principal a secundària, i en l'ordre especificat administrativament al nivell de cada unitat organitzativa.5. Finalment, per defecte, les directives aplicades posteriorment sobreescriuen les directives aplicades amb anterioritat quan les directives són incoherents, és a dir, hi ha contradiccions entre diverses directives. No obstant això, si no hi ha incoherències de configuració, tant les directives anteriors com les posteriors contribueixen a la directiva efectiva, és a dir, se sumen les configuracions de les diferents directives associades a l'objecte en qüestió.

Observació “In Situ”

-Directiva de seguretat local en una màquina fora del domini

1.Desvincular el client del servidor

2.Configuracio del domini del client

- Directives de seguretat del domini

1.Crear GPO

2.Configuració de la GPO

3.Preferencia del GPO

4.Realitzar els canvis a la força

- Directiva de seguretat local en una màquina fora del domini

1.Crear UO

3.Creació de GPO per les UO

4.Configuració del GPO

5.Posar en primer lloc la nostra directiva personalitzada

6.Aplicar els canvis a la força

-Comprovació