Directivas de seguridad (Parte I)

Windows Server 2003 logo

La idea de comentar algo sobre las directivas de seguridad en Windows Server 2003 es para contestar a una de las preguntas del blog, y explicará como hacer que al iniciar una sesion en una red administrada con W2k3 sólo se pueda utilizar un programa (más o menos)

El procedimiento a seguir es el siguiente, lo primero es hacer que se ejecute la aplicación deseada, yo he puesto por ejemplo calc.exe y lo siguiente que deberemos hacer es, a través de las directivas de grupo, hacer que estas impidan que el usuario en cuestión tenga acceso a ninguna otra función, para lo que nos facilitará mucho el trabajo crear un usuario con el mínimo de privilegios posible y con un perfil guardado en la extensión .MAN.

Lo del perfil lo podemos ver en c:Documents and settingsUsuarioNTUSER.DAT este archivo se encuentra oculto así que deberemos deshabilitar la opción en el Explorador de Windows de ocultar los archivos protegidos del sistema operativo (recomendado) para poder ver este archivo. Una vez lo tengamos localizado deberemos renombrarlo cambiando su exteniendo ntuser.dat -> ntuser.man con esto haremos que el perfil no sufra modificaciones, es decir que al salir de la sesión los cambios que afecten al perfil no se guarden (para mayor seguridad y un mejor mantenimiento de la cuenta de usuario) y hacer el perfil obligatorio.

Antes de seguir quiero decir que esto ya es algo que empieza a ser demasiado complejo para hacerlo sin conocimientos medios del sistema, por lo que recomiendo hacer estas cosas en una maquina virtual instalada en VMWare o Virtual Pc de Microsoft (o VirtualBox, editado el 10 de Junio de 2009) y comprobar los resultados antes de efectuarlos en un entorno corporativo.

Bién, hecho esto deberemos de dirigirnos a las directivas de grupo y limitar al máximo e impedir que el usuario pueda ejecutar nada que no sea el programa, es más, mediante las directivas podremos hacer que al cerrar el programa se cierre la sesión automaticamente.

Si alguien ha trabajado con directivas sabe seguro que existen cientos de ellas y yo que no trabajo con ellas actualmente no recuerdo cómo se llaman o cómo hay que modificarlas por lo que no os puedo decir exactamente cuales son ahora mismo. En unos días espero probarlo para poder explicarlo aquí mejor. Sé que hay directivas para impedir el acceso al menú inicio, directivas para impedir que se vean las propiedades de pantalla, etc… asi que debemos buscarlas, aplicarlas y tras esto ejecutar el comando gpupdate /force lo que forzará que las directivas se apliquen de inmediato. Para probarlo basta con que iniciéis sesión en el servidor con la cuenta de Usuario limitada y comprobeis poco a poco los cambios, si no sabeis que estais modificando lo mejor es que modifiqueis las directivas poco a poco. Una cosa muy importante debido a que hay directivas que se contradicen siempre será aplicada la mas restrictiva, es decir, creamos una carpeta, le damos acceso al Usuario Manolo, pero mediante directivas de seguridad le impedimos el acceso, pues el resultado será que no podrá acceder a esta carpeta.

Desde esta ubicación haremos que se ejecute el programa que queramos, en este caso calc.exe que es la calculadora. En otras ocasiones he puesto la imagén mas ampliada pero en este caso y de ahora en adelante pondré una vista miniatura que al pulsar sobre ella se ampliará y si de nuevo pulsamos sobre ella veremos la imagen en su tamaño original que es como mas calidad ofrece.

Directivas de seguridad – Parte II Contraseñas
Directivas de seguridad – Parte III IExplorer
Directivas de seguridad – Parte IV Blindando el sistema

De momento esto es todo. En unos días me extenderé un poco más en este mundo de las directivas. Un saludo!

Sin categoría

Deja una respuesta