Como
hemos visto en anteriores artículos, tenemos varias herramientas para hacernos
más fácil la tarea de proporcionar seguridad a nuestros servidores WINDOWS
2012.
Ahora
vamos a hablar de las famosas GPO, Group Policy Object. Vamos a mostrar algunos
objetos de directiva de grupo susceptibles a ser configurados para nuestro
propósito. Esto no quiere decir que sean los únicos, ni que tengas que
habilitaros todos, pero seguro que te sirve de guía para adaptar tu
configuración a tus necesidades. Te recomiendo acceder al detalle de cada uno
de ellos (Link Microsoft) para profundizar en su cometido.
Ahora vamos a ver los grupos Built-in, los creados automáticamente
al introducirnos en un ambiente de Active Directory, que propiedades tienen
marcadas por defecto a nivel de directiva de grupo. EL ARTÍCULO CONTINUA DEBAJO DE LA LISTA.
Account or Group
|
Default Container,
Group Scope and Type
|
Description and
Default User Rights
|
Access
Control Assistance Operators (Active Directory in Windows Server 2012)
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden consultar remotamente atributos de autorización y permisos para los recursos en este equipo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Account
Operators
|
Built-in
container
Domain-local
security group
|
Los miembros pueden administrar de usuario de dominio y cuentas de grupo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Administrator
account
|
Users
container
Not a
group
|
Cuenta integrada para administrar el dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Administrators
group
|
Built-in
container
Domain-local
security group
|
Los administradores tienen
acceso completo
y sin restricciones al dominio.
Derechos de los usuarios directos: El acceso a este equipo desde Ajustar Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumentar Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Allowed
RODC Password Replication Group
|
Users
container
Domain-local
security group
|
Los miembros de este grupo pueden tener sus contraseñas replican en todos los de sólo lectura
controladores de dominio del dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Backup
Operators
|
Built-in
container
Domain-local
security group
|
Operadores de copia
de seguridad pueden anular las
restricciones de seguridad con el único propósito de hacer copias de seguridad o
restaurar archivos.
Derechos de los usuarios directos: Permitir inicio de sesión local Realice una copia de seguridad de archivos y directorios Inicie sesión como un trabajo por lotes Restaurar archivos y directorios Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cert
Publishers
|
Users
container
Domain-local
security group
|
Los miembros de este grupo se les permite publicar certificados en el directorio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Certificate
Service DCOM Access
|
Built-in
container
Domain-local
security group
|
Si Servicios de Certificate Server
está instalado en un controlador de
dominio (no recomendado), este
grupo de subvenciones DCOM
Inscripción acceso a usuarios del dominio y Equipos del dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cloneable
Domain Controllers (AD DS in Windows Server 2012AD DS)
|
Users
container
Global
security group
|
Los miembros de este grupo que
son controladores de dominio pueden ser clonados.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cryptographic
Operators
|
Built-in
container
Domain-local
security group
|
Los miembros están autorizados para realizar operaciones criptográficas.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Debugger
Users
|
This is
neither a default nor a built-in group, but when present in AD DS, is
cause for further investigation.
|
La presencia de un grupo de usuarios del depurador indica que las
herramientas de depuración se han
instalado en el sistema en
algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieran y apoyar un entorno
de depuración. Este grupo permite
el acceso remoto a equipos de
depuración. Cuando este grupo
existe en el nivel de dominio,
indica que un depurador o una aplicación que contiene un depurador
se ha instalado en un controlador de
dominio.
|
Denied
RODC Password Replication Group
|
Users
container
Domain-local
security group
|
Los miembros de este grupo no pueden tener sus contraseñas replicar en cualquier de sólo lectura controladores de dominio del
dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DHCP
Administrators
|
Users
container
Domain-local
security group
|
Los miembros de este grupo tienen acceso administrativo al servicio DHCP Server.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DHCP
Users
|
Users
container
Domain-local
security group
|
Los miembros de este grupo tienen acceso de sólo lectura para el servicio DHCP Server.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Distributed
COM Users
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuido en este equipo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DnsAdmins
|
Users
container
Domain-local
security group
|
Los miembros de este grupo tienen acceso administrativo al servicio del servidor DNS.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DnsUpdateProxy
|
Users
container
Global
security group
|
Los miembros de este grupo son los clientes DNS que se les permite realizar actualizaciones
dinámicas en
nombre de los
clientes que no pueden
a su vez llevar
a cabo las actualizaciones dinámicas. Los miembros de este grupo suelen ser servidores DHCP.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain
Admins
|
Users
container
Global
security group
|
Administradores designados del dominio; Administradores de dominio es un miembro de cada dominio unido al grupo de administradores locales del equipo y recibe los derechos y permisos concedidos al grupo de administradores locales, además de grupo de administradores del dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Domain
Computers
|
Users container
Global security group
|
Todas
las estaciones de trabajo y servidores que se unen al dominio son los miembros de este grupo por defecto.
Por defecto derechos de usuario directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain
Controllers
|
Users
container
Global
security group
|
Todos los controladores de dominio del dominio. Nota: Los controladores de dominio no es miembro del grupo Equipos del dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain
Guests
|
Users
container
Global
security group
|
Todos los huéspedes en el dominio
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain
Users
|
Users
container
Global
security group
|
Todos los usuarios en el dominio
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Enterprise
Admins (exists only in forest root domain)
|
Users container
Universal
security group
|
Administradores de organización tienen permisos para cambiar los valores de configuración de todo el bosque, Administradores de organización es miembro del grupo de administradores de cada dominio y recibe los derechos y permisos concedidos a ese grupo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Users
container
Universal
security group
|
Este grupo contiene las cuentas de todos de sólo lectura controladores de dominio del bosque.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
|
Event Log
Readers
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden leer en los registros de sucesos en los controladores de dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Group
Policy Creator Owners
|
Users
container
Global
security group
|
Los miembros de este grupo pueden crear y modificar objetos de directiva de grupo en el dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Guest
|
Users
container
Not a
group
|
Esta es la única cuenta en un dominio de AD DS que no tienen los usuarios autenticados SID añadido a su token de acceso. Por lo tanto, todos los recursos que están configurados para permitir el acceso al grupo Usuarios autenticados no se podrá acceder a esta cuenta. Este comportamiento no es el caso de los miembros de los Invitados de dominio y grupos invitados, sin embargo, son miembros de esos grupos tienen el usuarios autenticados SID añadido a sus tokens de acceso.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Omitir Aumenta un proceso conjunto de trabajo |
Guests
|
Built-in
container
Domain-local
security group
|
Los huéspedes tienen el mismo acceso que los miembros del grupo de usuarios de forma predeterminada, a excepción de la
cuenta de invitado, que se limita aún más como se ha descrito anteriormente.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Hyper-V Administrators (Windows Server 2012)
|
Built-in container
Domain-local security group
|
Los miembros de este grupo tienen acceso completo y sin
restricciones a todas las características de Hyper-V.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
IIS_IUSRS
|
Built-in
container
Domain-local
security group
|
Incorporado en el grupo que utiliza Internet Information Services.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Incoming
Forest Trust Builders (exists only in forest root domain)
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden crear entrantes unidireccionales a este bosque. (Creación
de confianzas de bosque de salida está reservada para Administradores de empresa.)
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Krbtgt
|
Users container
Not a
group
|
La cuenta krbtgt es
la cuenta de servicio del Centro
de distribución de claves Kerberos
en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas "almacenados
en Active Directory. Esta cuenta está desactivada por defecto
y nunca debe estar habilitado
Derechos del usuario: N / A |
Network
Configuration Operators
|
Built-in
container
Domain-local
security group
|
Los miembros de este
grupo se otorgan privilegios
que les permitan gestionar la
configuración de las funciones de red.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Performance
Log Users
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden programar el registro de contadores de rendimiento, permitirá a los proveedores de seguimiento y recopilar seguimientos de eventos a nivel local como a través de acceso remoto al ordenador.
Derechos de los usuarios directos: Inicie sesión como un trabajo por lotes Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Performance
Monitor Users
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden acceder a los datos del contador de rendimiento a nivel local como a distancia.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Pre-Windows 2000
Compatible Access
|
Built-in
container
Domain-local
security group
|
Este grupo existe para la compatibilidad con sistemas operativos anteriores a Windows 2000 Server, que proporciona la capacidad de los miembros para leer la información de usuario y de grupo en el dominio.
Derechos de los usuarios directos: El acceso a este equipo desde Omitir Heredado derechos de usuario: Agregar estaciones de trabajo al dominio Aumenta un proceso conjunto de trabajo |
Print
Operators
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden administrar las impresoras de dominio.
Derechos de los usuarios directos: Permitir inicio de sesión local Cargar y descargar controladores de dispositivos Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RAS and
IAS Servers
|
Users
container
Domain-local
security group
|
Los servidores de este grupo pueden leer las propiedades de acceso remoto en las cuentas de usuario en el dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS
Endpoint Servers (Windows Server 2012)
|
Built-in
container
Domain-local
security group
|
Los servidores de este grupo ejecutan máquinas virtuales y sesiones de acogida donde los usuarios de programas de RemoteApp y escritorios virtuales personales corren. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores host de sesión de Escritorio remoto y servidores host de virtualización de Escritorio remoto utilizados en la implementación deben estar en este grupo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS
Management Servers (Windows Server 2012)
|
Built-in
container
Domain-local
security group
|
Los servidores de este grupo pueden realizar acciones administrativas de rutina en los servidores de Servicios de Escritorio remoto en ejecución. Este grupo necesita ser poblado en todos los servidores en una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central RDS deben incluirse en este grupo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS
Remote Access Servers (Windows Server 2012)
|
Built-in
container
Domain-local
security group
|
Los servidores de este grupo permiten a los usuarios de los programas de RemoteApp y escritorios virtuales personales, el acceso a estos recursos. En Internet orientada al despliegue, estos servidores se despliegan típicamente en una red EDGE. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores de puerta de enlace de Escritorio remoto y servidores de acceso web de Escritorio remoto utilizados en el despliegue necesidad de estar en este grupo.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Read-only
Domain Controllers
|
Users
container
Global
security group
|
Este grupo contiene todos los de sólo lectura controladores de dominio del dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Remote
Desktop Services Users
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota utilizando RDP.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Remote
Management Servers (Windows Server 2012)
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Replicator
|
Built-in
container
Domain-local
security group
|
Admite la replicación de archivos heredado en un dominio.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Schema
Admins (exists only in forest root domain)
|
Users
container
Universal
security group
|
Administradores de esquema son los únicos usuarios que pueden hacer modificaciones en el esquema de Active Directory, y sólo si el esquema está habilitada para escritura.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Server
Operators
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden administrar los servidores de dominio.
Derechos de los usuarios directos: Permitir inicio de sesión local Realice una copia de seguridad de archivos y directorios Cambiar la hora del sistema Cambiar la zona horaria Forzar el apagado desde un sistema remoto Restaurar archivos y directorios Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Terminal
Server License Servers
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias, con el fin de rastrear y reportar TS CAL por usuario de uso
Por defecto derechos de usuario directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Users
|
Built-in
container
Domain-local
security group
|
Los usuarios tienen permisos que les permiten leer muchos objetos y atributos en Active Directory, si bien no pueden cambiar
Derechos de los usuarios directos: Aumenta un proceso conjunto de trabajo Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido |
Windows
Authorization Access Group
|
Built-in
container
Domain-local
security group
|
Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculada sobre los objetos de los usuarios
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
WinRMRemoteWMIUsers_
(Windows Server 2012)
|
Users
container
Domain-local
security group
|
Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario.
Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Una de las características de la pertenencia a estos grupos
protegidos por defecto por el sistema operativo es que pueden ser modificadas,
ya que al poseer el permiso de poder modificar el propietario del objeto,
pueden aplicarse los permisos que quieran. Existe un proceso continuo por parte
de Active Directory encargado de garantizar la correcta aplicación de los
permisos de los grupos protegidos, revocando cualquier cambio auto-configurado
por algún miembro de estos grupos.
Este proceso, llamado SDProp almacena los permisos
"tipo" descritos a continuación para las cuentas protegidas del
sistemas, dentro de Active Directory como un objeto, denominado ADMINSDHolder.
SDProp lo que hace es comparar los permisos de las cuentas
pertenecientes a los grupos restringidos, con la definición de estos permisos
ubicada en AdminSdHolder, cada 60 minutos. Lo realiza contra el servicio de
emulación PDC (PDC Emulator) En caso de que algún usuario perteneciente a uno
de estos grupos haya cambiado algún permiso de su configuración de usuario, el
proceso SDProp volverá a dejar al usuario con los permisos definidos en
ADMINSDHolder.
SDProp también es encargado de replicar la información de
los SID entre controladores de dominio.
Imaginamos un caso hipotético. Tenemos una UO (usuarios de
Madrid)en la cual hemos delegado, como administradores del dominio, en un
usuario. Imaginamos que por cualquier motivo, se mueve el usuario administrador
del dominio a esa UO (porque se mueve de Murcia a Madrid) El usuario creado
para administrar la UO podría cambiar la clave del usuario Administrador del
dominio, por herencia? SDProp mitiga estos casos.
Para cambiar el parámetro de tiempo de búsqueda de "sintonía"
entre los permisos debemos entrar en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters.
y modificar la clave, en segundos, the AdminSDProtectFrequency.
Cambiar este valor a un intervalo menor de búsqueda va a
garantizar mayor coherencia a los permisos de nuestras cuentas dentro de grupos
privilegiados, pero irá en detrimento del rendimiento de la red por las
constantes búsquedas y cambios.
Para forzar la comprobación de los permisos de ADMINSDHolder
-- Usuarios podemos entrar en el editor ldap LDP.exe. Conectamos con el
servidor que tiene instalado el ROLE FSMO de PDC Emulator. Una vez conectados
pulsamos en conexión, y enlazar.
Podemos proporcionar un usuario con permisos sobre el
dominio, administrador de dominio o indicarle que tome las credenciales del
usuario logueado, más cómodo.
Pulsamos sobre modificar y escribimos lo siguiente.
En ambientes 2008 anteriores a r2 podemos ejecutarlo de la misma manera, configurando
este parámetro.
PERMISOS SOBRE EL LA CUENTA ADMINISTRADOR.
Es curioso, pero lo primero que vamos a hacer es deshabilitarla, y trabajar con otro usuario "parecido". No obstante, para evitar futuros usos indebidos vamos a configurar una seria de parámetros.
Cambiar el nombre de esta cuenta proporciona un nivel de
seguridad extra. Puede ser interesante crear un usuario administrador, después
de haber cambiado el nombre de la cuenta real administrador ( hablamos de que
LDAP trabaja son SID únicos, no importa el nombre o Nick) sin ningún permiso, y
una auditoria con notificación por correo para saber si alguien ha intentado
acceder a algún recurso con esa cuenta. Claro ejemplo de que estamos siendo
atacados. Otros objetos de directiva de grupo que deberíamos cambiar sobre
Administrador son:
Configuración del equipo \ Directivas \
Configuración de Windows \ Configuración de
seguridad \ Configuración
local \ Asignación de
derechos de usuario:
Denegar el acceso a este equipo desdela red
Denegar inicio de sesión como un trabajo por lotes
Denegar inicio de sesión como servicio
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Denegar el acceso a este equipo desde
Denegar
Denegar inicio de sesión como servicio
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Atención a la hora de establecer estos objetos, ya que se
aplicarán al contenedor o UO sobre el que apliquemos la directiva, pero debemos
especificar si administrador es LOCAL, o es midominio\administrador. Importante
esta distinción.
De momento os dejo repasar todo lo aprendido en este artículo y seguiremos en próximas entregas con la seguridad, esta vez en entornos Windows no solo servidores.
Como siempre, gracias por leerme.
