Como de seguro es tu Windows? Parte 3. Si no tienes memoria, usa una chuleta...
Como hemos visto en anteriores artículos, tenemos varias herramientas para hacernos más fácil la tarea de proporcionar seguridad a nuestros servidores WINDOWS 2012.
Ahora vamos a hablar de las famosas GPO, Group Policy Object. Vamos a mostrar algunos objetos de directiva de grupo susceptibles a ser configurados para nuestro propósito. Esto no quiere decir que sean los únicos, ni que tengas que habilitaros todos, pero seguro que te sirve de guía para adaptar tu configuración a tus necesidades. Te recomiendo acceder al detalle de cada uno de ellos (Link Microsoft) para profundizar en su cometido.
Ahora vamos a ver los grupos Built-in, los creados automáticamente al introducirnos en un ambiente de Active Directory, que propiedades tienen marcadas por defecto a nivel de directiva de grupo. EL ARTÍCULO CONTINUA DEBAJO DE LA LISTA.
Account or Group | Default Container, Group Scope and Type | Description and Default User Rights |
Access Control Assistance Operators (Active Directory in Windows Server 2012) | Built-in container Domain-local security group | Los miembros de este grupo pueden consultar remotamente atributos de autorización y permisos para los recursos en este equipo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Account Operators | Built-in container Domain-local security group | Los miembros pueden administrar de usuario de dominio y cuentas de grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Administrator account | Users container Not a group | Cuenta integrada para administrar el dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Administrators group | Built-in container Domain-local security group | Los administradores tienen acceso completo y sin restricciones al dominio. Derechos de los usuarios directos: El acceso a este equipo desde Ajustar Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumentar Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Allowed RODC Password Replication Group | Users container Domain-local security group | Los miembros de este grupo pueden tener sus contraseñas replican en todos los de sólo lectura controladores de dominio del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Backup Operators | Built-in container Domain-local security group | Operadores de copia de seguridad pueden anular las restricciones de seguridad con el único propósito de hacer copias de seguridad o restaurar archivos. Derechos de los usuarios directos: Permitir inicio de sesión local Realice una copia de seguridad de archivos y directorios Inicie sesión como un trabajo por lotes Restaurar archivos y directorios Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cert Publishers | Users container Domain-local security group | Los miembros de este grupo se les permite publicar certificados en el directorio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Certificate Service DCOM Access | Built-in container Domain-local security group | Si Servicios de Certificate Server está instalado en un controlador de dominio (no recomendado), este grupo de subvenciones DCOM Inscripción acceso a usuarios del dominio y Equipos del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cloneable Domain Controllers (AD DS in Windows Server 2012AD DS) | Users container Global security group | Los miembros de este grupo que son controladores de dominio pueden ser clonados. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Cryptographic Operators | Built-in container Domain-local security group | Los miembros están autorizados para realizar operaciones criptográficas. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Debugger Users | This is neither a default nor a built-in group, but when present in AD DS, is cause for further investigation. | La presencia de un grupo de usuarios del depurador indica que las herramientas de depuración se han instalado en el sistema en algún momento, ya sea a través de Visual Studio, SQL, Office u otras aplicaciones que requieran y apoyar un entorno de depuración. Este grupo permite el acceso remoto a equipos de depuración. Cuando este grupo existe en el nivel de dominio, indica que un depurador o una aplicación que contiene un depurador se ha instalado en un controlador de dominio. |
Denied RODC Password Replication Group | Users container Domain-local security group | Los miembros de este grupo no pueden tener sus contraseñas replicar en cualquier de sólo lectura controladores de dominio del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DHCP Administrators | Users container Domain-local security group | Los miembros de este grupo tienen acceso administrativo al servicio DHCP Server. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DHCP Users | Users container Domain-local security group | Los miembros de este grupo tienen acceso de sólo lectura para el servicio DHCP Server. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Distributed COM Users | Built-in container Domain-local security group | Los miembros de este grupo pueden iniciar, activar y usar objetos COM distribuido en este equipo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DnsAdmins | Users container Domain-local security group | Los miembros de este grupo tienen acceso administrativo al servicio del servidor DNS. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
DnsUpdateProxy | Users container Global security group | Los miembros de este grupo son los clientes DNS que se les permite realizar actualizaciones dinámicas en nombre de los clientes que no pueden a su vez llevar a cabo las actualizaciones dinámicas. Los miembros de este grupo suelen ser servidores DHCP. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain Admins | Users container Global security group | Administradores designados del dominio; Administradores de dominio es un miembro de cada dominio unido al grupo de administradores locales del equipo y recibe los derechos y permisos concedidos al grupo de administradores locales, además de grupo de administradores del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Domain Computers | Users container Global security group | Todas las estaciones de trabajo y servidores que se unen al dominio son los miembros de este grupo por defecto. Por defecto derechos de usuario directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain Controllers | Users container Global security group | Todos los controladores de dominio del dominio. Nota: Los controladores de dominio no es miembro del grupo Equipos del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain Guests | Users container Global security group | Todos los huéspedes en el dominio Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Domain Users | Users container Global security group | Todos los usuarios en el dominio Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Enterprise Admins (exists only in forest root domain) | Users container Universal security group | Administradores de organización tienen permisos para cambiar los valores de configuración de todo el bosque, Administradores de organización es miembro del grupo de administradores de cada dominio y recibe los derechos y permisos concedidos a ese grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Ajustar las cuotas de memoria para un proceso Permitir inicio de sesión local Permitir inicio de sesión a través de Servicios de Escritorio remoto Realice una copia de seguridad de archivos y directorios Omitir comprobación de recorrido Cambiar la hora del sistema Cambiar la zona horaria Crear un archivo de paginación Crear objetos globales Cree enlaces simbólicos Depurar programas Habilitar cuentas de usuario y de equipo de confianza para delegación Forzar el apagado desde un sistema remoto Suplantar a un cliente tras Aumenta Aumentar la prioridad de programación Cargar y descargar controladores de dispositivos Inicie sesión como un trabajo por lotes Administrar registro de auditoría y seguridad Modificar valores de entorno del firmware Realizar tareas de mantenimiento del volumen Perfil de un solo proceso El rendimiento del sistema Quitar el equipo de la estación de acoplamiento Restaurar archivos y directorios Apague el sistema Tomar posesión de archivos u otros objetos |
Users container Universal security group | Este grupo contiene las cuentas de todos de sólo lectura controladores de dominio del bosque. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo | |
Event Log Readers | Built-in container Domain-local security group | Los miembros de este grupo pueden leer en los registros de sucesos en los controladores de dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Group Policy Creator Owners | Users container Global security group | Los miembros de este grupo pueden crear y modificar objetos de directiva de grupo en el dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Guest | Users container Not a group | Esta es la única cuenta en un dominio de AD DS que no tienen los usuarios autenticados SID añadido a su token de acceso. Por lo tanto, todos los recursos que están configurados para permitir el acceso al grupo Usuarios autenticados no se podrá acceder a esta cuenta. Este comportamiento no es el caso de los miembros de los Invitados de dominio y grupos invitados, sin embargo, son miembros de esos grupos tienen el usuarios autenticados SID añadido a sus tokens de acceso. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Omitir Aumenta un proceso conjunto de trabajo |
Guests | Built-in container Domain-local security group | Los huéspedes tienen el mismo acceso que los miembros del grupo de usuarios de forma predeterminada, a excepción de la cuenta de invitado, que se limita aún más como se ha descrito anteriormente. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Hyper-V Administrators (Windows Server 2012) | Built-in container Domain-local security group | Los miembros de este grupo tienen acceso completo y sin restricciones a todas las características de Hyper-V. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
IIS_IUSRS | Built-in container Domain-local security group | Incorporado en el grupo que utiliza Internet Information Services. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Incoming Forest Trust Builders (exists only in forest root domain) | Built-in container Domain-local security group | Los miembros de este grupo pueden crear entrantes unidireccionales a este bosque. (Creación de confianzas de bosque de salida está reservada para Administradores de empresa.) Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Krbtgt | Users container Not a group | La cuenta krbtgt es la cuenta de servicio del Centro de distribución de claves Kerberos en el dominio. Esta cuenta tiene acceso a las credenciales de todas las cuentas "almacenados en Active Directory. Esta cuenta está desactivada por defecto y nunca debe estar habilitado Derechos del usuario: N / A |
Network Configuration Operators | Built-in container Domain-local security group | Los miembros de este grupo se otorgan privilegios que les permitan gestionar la configuración de las funciones de red. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Performance Log Users | Built-in container Domain-local security group | Los miembros de este grupo pueden programar el registro de contadores de rendimiento, permitirá a los proveedores de seguimiento y recopilar seguimientos de eventos a nivel local como a través de acceso remoto al ordenador. Derechos de los usuarios directos: Inicie sesión como un trabajo por lotes Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Performance Monitor Users | Built-in container Domain-local security group | Los miembros de este grupo pueden acceder a los datos del contador de rendimiento a nivel local como a distancia. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Pre-Windows 2000 Compatible Access | Built-in container Domain-local security group | Este grupo existe para la compatibilidad con sistemas operativos anteriores a Windows 2000 Server, que proporciona la capacidad de los miembros para leer la información de usuario y de grupo en el dominio. Derechos de los usuarios directos: El acceso a este equipo desde Omitir Heredado derechos de usuario: Agregar estaciones de trabajo al dominio Aumenta un proceso conjunto de trabajo |
Print Operators | Built-in container Domain-local security group | Los miembros de este grupo pueden administrar las impresoras de dominio. Derechos de los usuarios directos: Permitir inicio de sesión local Cargar y descargar controladores de dispositivos Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RAS and IAS Servers | Users container Domain-local security group | Los servidores de este grupo pueden leer las propiedades de acceso remoto en las cuentas de usuario en el dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS Endpoint Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores de este grupo ejecutan máquinas virtuales y sesiones de acogida donde los usuarios de programas de RemoteApp y escritorios virtuales personales corren. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores host de sesión de Escritorio remoto y servidores host de virtualización de Escritorio remoto utilizados en la implementación deben estar en este grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS Management Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores de este grupo pueden realizar acciones administrativas de rutina en los servidores de Servicios de Escritorio remoto en ejecución. Este grupo necesita ser poblado en todos los servidores en una implementación de Servicios de Escritorio remoto. Los servidores que ejecutan el servicio de administración central RDS deben incluirse en este grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
RDS Remote Access Servers (Windows Server 2012) | Built-in container Domain-local security group | Los servidores de este grupo permiten a los usuarios de los programas de RemoteApp y escritorios virtuales personales, el acceso a estos recursos. En Internet orientada al despliegue, estos servidores se despliegan típicamente en una red EDGE. Este grupo necesita ser poblado en servidores que ejecutan Agente de conexión. Servidores de puerta de enlace de Escritorio remoto y servidores de acceso web de Escritorio remoto utilizados en el despliegue necesidad de estar en este grupo. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Read-only Domain Controllers | Users container Global security group | Este grupo contiene todos los de sólo lectura controladores de dominio del dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Remote Desktop Services Users | Built-in container Domain-local security group | Los miembros de este grupo se les concede el derecho de iniciar sesión de forma remota utilizando RDP. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Remote Management Servers (Windows Server 2012) | Built-in container Domain-local security group | Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Replicator | Built-in container Domain-local security group | Admite la replicación de archivos heredado en un dominio. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Schema Admins (exists only in forest root domain) | Users container Universal security group | Administradores de esquema son los únicos usuarios que pueden hacer modificaciones en el esquema de Active Directory, y sólo si el esquema está habilitada para escritura. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Server Operators | Built-in container Domain-local security group | Los miembros de este grupo pueden administrar los servidores de dominio. Derechos de los usuarios directos: Permitir inicio de sesión local Realice una copia de seguridad de archivos y directorios Cambiar la hora del sistema Cambiar la zona horaria Forzar el apagado desde un sistema remoto Restaurar archivos y directorios Apague el sistema Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Terminal Server License Servers | Built-in container Domain-local security group | Los miembros de este grupo pueden actualizar las cuentas de usuario en Active Directory con información sobre la emisión de licencias, con el fin de rastrear y reportar TS CAL por usuario de uso Por defecto derechos de usuario directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Users | Built-in container Domain-local security group | Los usuarios tienen permisos que les permiten leer muchos objetos y atributos en Active Directory, si bien no pueden cambiar Derechos de los usuarios directos: Aumenta un proceso conjunto de trabajo Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido |
Windows Authorization Access Group | Built-in container Domain-local security group | Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal calculada sobre los objetos de los usuarios Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
WinRMRemoteWMIUsers_ (Windows Server 2012) | Users container Domain-local security group | Los miembros de este grupo pueden acceder a los recursos de WMI a través de protocolos de gestión (como WS-Management a través del servicio Windows Remote Management). Esto se aplica sólo a los espacios de nombres WMI que conceden acceso al usuario. Derechos de los usuarios directos: Ninguno Heredado derechos de usuario: El acceso a este equipo desde Agregar Omitir comprobación de recorrido Aumenta un proceso conjunto de trabajo |
Una de las características de la pertenencia a estos grupos protegidos por defecto por el sistema operativo es que pueden ser modificadas, ya que al poseer el permiso de poder modificar el propietario del objeto, pueden aplicarse los permisos que quieran. Existe un proceso continuo por parte de Active Directory encargado de garantizar la correcta aplicación de los permisos de los grupos protegidos, revocando cualquier cambio auto-configurado por algún miembro de estos grupos.
Este proceso, llamado SDProp almacena los permisos "tipo" descritos a continuación para las cuentas protegidas del sistemas, dentro de Active Directory como un objeto, denominado ADMINSDHolder.
SDProp lo que hace es comparar los permisos de las cuentas pertenecientes a los grupos restringidos, con la definición de estos permisos ubicada en AdminSdHolder, cada 60 minutos. Lo realiza contra el servicio de emulación PDC (PDC Emulator) En caso de que algún usuario perteneciente a uno de estos grupos haya cambiado algún permiso de su configuración de usuario, el proceso SDProp volverá a dejar al usuario con los permisos definidos en ADMINSDHolder.
SDProp también es encargado de replicar la información de los SID entre controladores de dominio.
Imaginamos un caso hipotético. Tenemos una UO (usuarios de Madrid)en la cual hemos delegado, como administradores del dominio, en un usuario. Imaginamos que por cualquier motivo, se mueve el usuario administrador del dominio a esa UO (porque se mueve de Murcia a Madrid) El usuario creado para administrar la UO podría cambiar la clave del usuario Administrador del dominio, por herencia? SDProp mitiga estos casos.
Para cambiar el parámetro de tiempo de búsqueda de "sintonía" entre los permisos debemos entrar en HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters. y modificar la clave, en segundos, the AdminSDProtectFrequency.
Cambiar este valor a un intervalo menor de búsqueda va a garantizar mayor coherencia a los permisos de nuestras cuentas dentro de grupos privilegiados, pero irá en detrimento del rendimiento de la red por las constantes búsquedas y cambios.
Para forzar la comprobación de los permisos de ADMINSDHolder -- Usuarios podemos entrar en el editor ldap LDP.exe. Conectamos con el servidor que tiene instalado el ROLE FSMO de PDC Emulator. Una vez conectados pulsamos en conexión, y enlazar.
Podemos proporcionar un usuario con permisos sobre el dominio, administrador de dominio o indicarle que tome las credenciales del usuario logueado, más cómodo.
Pulsamos sobre modificar y escribimos lo siguiente.
En ambientes 2008 anteriores a r2 podemos ejecutarlo de la misma manera, configurando este parámetro.
PERMISOS SOBRE EL LA CUENTA ADMINISTRADOR.
Es curioso, pero lo primero que vamos a hacer es deshabilitarla, y trabajar con otro usuario "parecido". No obstante, para evitar futuros usos indebidos vamos a configurar una seria de parámetros.
Cambiar el nombre de esta cuenta proporciona un nivel de seguridad extra. Puede ser interesante crear un usuario administrador, después de haber cambiado el nombre de la cuenta real administrador ( hablamos de que LDAP trabaja son SID únicos, no importa el nombre o Nick) sin ningún permiso, y una auditoria con notificación por correo para saber si alguien ha intentado acceder a algún recurso con esa cuenta. Claro ejemplo de que estamos siendo atacados. Otros objetos de directiva de grupo que deberíamos cambiar sobre Administrador son:
Configuración del equipo \ Directivas \Configuración de Windows \ Configuración de seguridad \ Configuración local \ Asignación de derechos de usuario:
Denegar el acceso a este equipo desdela red
Denegar inicio de sesión como un trabajo por lotes
Denegar inicio de sesión como servicio
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Denegar el acceso a este equipo desde
Denegar
Denegar inicio de sesión como servicio
Denegar inicio de sesión a través de Servicios de Escritorio remoto
Atención a la hora de establecer estos objetos, ya que se aplicarán al contenedor o UO sobre el que apliquemos la directiva, pero debemos especificar si administrador es LOCAL, o es midominio\administrador. Importante esta distinción.
De momento os dejo repasar todo lo aprendido en este artículo y seguiremos en próximas entregas con la seguridad, esta vez en entornos Windows no solo servidores.
Como siempre, gracias por leerme.
