Descargar

Seguridad y conexión en Windows (página 3)


Partes: 1, 2, 3

Partes: 1, , 3

 

  1. Para los ejemplos que estamos creando trabajaremos con 3 directivas que son:

      1. Solo deberá estar el grupo admin._fenix, administradores y usuarios_fenix el grupo admin._fenix solo tiene dos usuarios y no quiere decir que son administradores, si deseamos dividir los derechos, quitar el grupo todos y usuarios.

        Imagen 28

      2. Inicio de sesión Local
      3. Permitir el inicio de sesión a través de servicios de Terminal Server. (imagen 29)
    1. para evitar que otro usuario entre remotamente se recomienda que los administradores no tengan derechos a entrar vía escritorio remoto así exigiremos al que se quiera conectar a pedir que se salgan de sesión para usarla, en el iten 4.1) solo quitaremos el grupo todos y agregar el grupo admin_fenix, si tenemos usuarios de dominio ahí podemos definir un grupo global y agregarlo acá con nuestros usuario y quitar el grupo local usuario de este grupo, pero si no hay un dominio que proporciona grupos de usuario globales solo el todos se retira.
  2. Directivas de seguridad local

Imagen 29

  1. Tener acceso a este equipo desde la red.

En este lugar se restringe a todos los de fuera que pueden entrar a nuestra PC, por esta razón retire el grupo todos, el de usuarios y administradores. Usted como administrador es de confianza por lo tanto llegara localmente al equipo y así resuelve el problema con la venia de su cliente. Agregar los grupos locales que se creen para seguridad en el caso nuestro admin_fenix, si tiene dominio los grupos globales de este que usted a definido. Con esta configuración se evita que otro usuario ajeno entre a ver sus datos si por error alguien le compartió su disco y con los casos del administrador como el administrador esta negado pero local entra y el fenix1 esta en el grupo administradores pero no entra a la PC de fuero pero como esta en admin._fenix ahí tomo su derecho y es administrador, por lógica. El editor de las políticas de Windows lo encontramos en todos los equipos Windows 2000/xp. Para iniciarlo nos iremos al menú inicio y ejecutar en abrir se digitara GPEDIT.MSC, en seguida se abre la consola del editor y en ella encontramos una similitud del poledit;

Imagen 30

Respecto al objeto al que configuran son dos: Configuración del equipo y Configuración del Usuario

    1. Configuración de software
    2. Configuración de Windows
    3. Plantillas administrativas
  1. Configuración del equipo: en esta se define todas las configuraciones relacionadas con la configuración de la computadora ver imagen 30, se aplica a la computadora independiente que usuario y se divide en:

Imagen 31

Crearemos un ejemplo de habilitación del inicio clásico para todos los usuarios de Windows xp, para ello abrimos el GPEDIT.MSC y buscamos la configuración de equipo, Plantilla administrativa, sistemas, inicio de sesión (imagen 30) y luego se habilitada directiva de inicio clásico (imagen 31)

La casilla "Definir esta configuración de directiva" tiene el efecto:

Marcada

La política quedará definida con el valor seleccionado en las opciones de debajo.

Sin Marcar

La política hereda su definición o no y si está habilitada o no en caso de haber sido definida en un contenedor superior (en nuestro ejemplo desde el propio equipo o el sitio, ya que estamos a nivel de dominio).

A su vez, cuando la casilla está marcada podemos elegir entre las opciones:

No configurada

No se defina Ninguna Política y si en el Dominio se define una Política esta se asignara a la local.

Habilitada

Hace que la política quede habilitada. Esto significa que se realizará la configuración de inicio clásico. Si del dominio se crea otra Política Prevalece la Local

Deshabilitada

Cuando se deshabilita la política, se impide que se realice la configuración. Si del dominio se define una política esta no se aplicara a la PC local que la deshabito

  1. Configuración del Usuario, en esta parte se define todos los derechos que se aplicaran a un perfil de usuario y si se entra con otro usuario estas no se aplicaran al nuevo que se dio de alta salvo la configuración del perfil local que mas adelante lo veremos
    1. Configuración de software
    2. Configuración de Windows
    3. Plantillas administrativas
  1. Al igual que la de Windows se divide en:

Para ejemplo configuraremos un usuario prueba al cual le definiremos un fondo de escritorio copiado en C:windows de nombre fenix.bmp y cuando el usuario inicie sesión el tendrá siempre este fondo y al estar en Windows no podrá borrarlo ni modificarlo la ruta seria c:windowsfenix.bmp Habilitar (imagen 32). Mas ejemplos en la configuración de Dominio y en xp, se explica en este sistema Operativo Windows 2000 porque en este surgió la consola del editor de Políticas. Ejemplo de Consola ir a menú inicio, ejecutar y en abrir digite MMC después leer la ayuda de este programa, acá se puede crear consolas separadas de programa en especial.

Imagen 32

4.– Windows 98

Win311, Windows 95 y 98, son los primeros sistemas operativos que Microsoft creo en modo grafico o de Ventanas, por esta razón hoy en día son los más vulnerable a ataques en su sistema de archivos que es FAT O FAT32. Para protegerlo de algunos daños usamos el Editor de políticas que se menciona a continuación.

  1. INSTALACIÓN DEL EDITOR DE POLÍTICAS.

La configuración de accesos de usuarios a la computadora o la red pasa por instalar restricciones de tal manera que determinados usuarios no puedan hacer cosas que puedan ser "peligrosas" para la integridad de la red o del ordenador que este usando.

Para habilitar estas restricciones es necesaria la instalación de un software que permita poner estas restricciones. Si hablamos de Windows 95/98, aparte de los programas comerciales que puedan haber para este propósito, existe un programa llamado "Poledit" (Editor de planes de sistema) esta nos permitirá crear archivos de extensión POL donde se definirán las restricciones para un usuario en particular o para un grupo de usuarios definido en el dominio del Windows NT Server. También puede definirse restricciones para una máquina en particular más no para un grupo de ellas.

Este Editor viene en el CD original de Windows. Cabe mencionar que no es recomendable Instalar el cliente "Poledit" en las maquinas a las que les aplica la política sea este local.

  1. Al empezar a editar un nuevo archivo de políticas siempre aparecerán dos íconos:

    Default User y Default Computer. Aquellos usuarios que no estén definidos dentro del archivo de políticas cogerán las características del Default User, análogamente, aquellas computadoras que no estén definidas dentro del archivo de políticas cogerán las Características del Default Computer.

    Para activar el programa y poner restricciones es necesario pulsar en un acceso directo o bien "Ejecutar -> Poledit.exe". Se abrirá la siguiente pantalla de programa: imagen 33 y 34

    Imagen 33

    Imagen 34

    Si nos pide una plantilla seleccionamos admin.adm Si el archivo poledit.exe es extraído de un CD de Windows 95, si es de un CD de win98 usar la plantilla Windows.adm, después le damos clic a abrir y listo se abre el editor de políticas hoy Pulsamos en el menú "Archivo -> Abrir registro", si abrimos registro estamos entrando en forma grafica al registro del usuario o user.dat del usuario que a entrado a Windows caso contrario si le dio escape a Windows, esta usando el usuario por default de Windows del cual toma el perfil cada usuario nuevo que se valida en el equipo local, ósea que esta cambiando la rama del KEY USERS DEFAULT . También se debe crear la plantilla con la que trabajaremos y que modificara el registro para ello se hacen los pasos siguientes archivo, crear nueva, después la guardaremos con el nombre de win98.pol; en ambos casos se muestran dos iconos en la ventana del programa: "Usuario local" y "PC local". Si se omite la plantilla el editor no tendrá una plantilla predefinida para ver el registro o la plantilla win98.pol, si esto ocurre busque en el menú Opciones la opción plantillas de directivas y seleccionemos admin.adm. (windows.adm)

  2. EJECUTAR EL EDITOR DE POLÍTICAS

    Para aplicar una directiva en una plantilla, nada más debemos marcar dicha directiva teniendo en cuenta lo siguiente:

    Estado de la Opción

    Significa que la Opción está:

    1- Caja de Selección Marcada

    Seleccionada – Windows implementa esta opción de una política, cambiando el estado de la computadora del usuario para que sea conforme a la misma, cuando el usuario se valida en la red. Si la opción ya estaba seleccionada desde la última vez que el usuario se validó, Windows no realiza ningún cambio.

    2- Caja de Selección Sombreada

    Sombreada – La configuración no cambia respecto a la última vez que el usuario acceso a la red, y Windows no hará modificaciones relacionadas a la configuración del sistema.

    3- Caja de Selección En Blanco

    En Blanco – Windows no implementa esta opción. Si la opción fue implementada anteriormente (ya sea por una la configuración de una política o por las configuraciones del usuario), dejándola en blanco, remueve la restricción especificada anteriormente del registro.

      
  3. DEFINICIÓN DE LAS RESTRICCIONES DE LAS PLANTILLAS

    Para iniciar la plantilla win98.pol la abrimos si fue creada en el paso anterior o si no la creamos siguiendo estos pasos en el poledit.exe ir a Archivo, Nuevo directiva se abren los dos ramas del registro (KEY_USERS) "Usuario Predeterminado" y "PC local" (KEY_LOCAL_MACHINE) solo que desde poledit es grafico. Después le damos guardar y le pondremos como nombre win98.pol; como ya se tiene la plantilla con la que trabajaremos hoy abrimos esta plantilla y le daremos doble clic al icono de usuario predeterminado (imagen 35) todas las casillas estarán sombreadas, usted tiene que definir una a una cada restricción y si alguna no aparece explicada en el capitulo siguiente déjela tal como esta sombreada.

    Imagen 35

    Crearemos un usuario de nombre fenix1 Este usuario sé esta dando de alta en sistemas Operativos windows9x y tiene clave de acceso al servidor con usuario invitado de nombre fenix1 y una clave de acceso al dominio fénix.paz.sv este servidor es un dominio Windows 2003. De esta manera explicaremos las ventajas y desventajas de haber seleccionado una política, por los problemas que estas generan en el transcurso del trabajo cotidiano.

    Como anteriormente lo mencionamos al final de cada una de las opciones se definirá la opción que debemos de tomar para nuestra plantilla win98.pol de políticas para un grupo de computadoras de 2 o mayor de 100 PCS para este ejemplo se crearon 3 PCS Virtuales en los equipos xp del CYBER FENIX. En un dominio de trabajo con un servidor Windows 2003. En el caso de no tener una imagen solo se pondrá la opción a configurar para la plantilla.

    También se puede crear esta plantilla para computadoras que no se validad a un servidor NT y se siguen los mismos pasos solo se omite en PC local lo de acceso a un servidor NT, la plantilla win98.pol se debe copiar en la carpeta c:windows, o en un equipo Windows 9x con una carpeta compartida a todos con acceso de solo lectura y este equipo debe permanecer encendido para que las directivas se apliquen. Seguidamente

    Pulsamos sobre la "Plantilla de win98.pol" se abrirá el registro de Windows para el usuario y encontramos las ramas siguientes:

    1. Panel de control
    2. Restricción del acceso a propiedades de pantalla.
  4. USUARIO LOCAL DEL REGISTRO DE USUARIO

Esta es una de las más útiles opciones de restricción de poledit ya que permite anular las acciones que los usuarios suelen hacer sobre la pantalla del ordenador, configurando el escritorio, poniendo imágenes de fondo, protectores, etc. (imagen 36).

Para activarlas seguir los siguientes pasos:

  1. Expandir la rama Panel de control -> monitor -> restringir el panel de control del monitor.
  2. Activar las restricciones que deseemos. Se puede eliminar completamente el acceso a la configuración de pantalla o sólo a partes de la misma. Se pueden tener las siguientes:
  1. Ocultar la página de fondo.
  2. Ocultar la página de protector de pantalla.
  3. Ocultar la página de aspecto.
  4. Ocultar la página de especificaciones del monitor.
  5. Desactivar el panel de control del monitor.

Imagen 36

  • Para la plantilla WIN98.pol, vamos a seleccionar las 5 opciones
  1. Restricción del acceso a Propiedades de red.

Antes hablamos de restringir el acceso a la red, de acceder o no a los distintos ordenadores de nuestro grupo de trabajo u otros grupos. Con esta opción restringiremos el acceso a propiedades de la red, con lo cual el usuario no podrá desconfigurar las opciones de red ni la identificación del ordenador en la red, ningún parámetro crítico de ésta.

Para activar estas opciones: seleccionar Panel de control -> red y seleccionar las restricciones que deseemos de las varias posibles:

  1. Desactivar el panel de control de la red.
  2. Ocultar página de identificación.
  3. Ocultar página de control de acceso.

En este caso hay usuarios que saben como cambiar direcciones IP, activar el Puerto de enlace, el nombre de PC. O los técnicos de otras Unidades cambian configuración establecidas y controladas, así se les limita el acceso y esto permite que sean más confiables los datos que se tienen (imagen 37)

Imagen 37

  • Plantilla win98.pol, seleccionamos todas las opciones
  1. Restricción del acceso a propiedades de contraseñas.

Como todos sabemos podemos poner contraseñas de acceso al ordenador o a la red definiendo usuarios con sus características de acceso, que es lo que tratamos de hacer con esta tutoría. Si no deseamos que un usuario poco experto o malintencionado nos cambie estas contraseñas y por tanto el acceso al ordenador, podemos restringir el acceso a las contraseñas, para ello expandir la rama Panel de control -> contraseñas y marcar la casilla Restringir el panel de control de contraseñas. Nos aparecen las siguientes opciones que podemos marcar según deseemos:

  1. Desactivar el panel de control de contraseñas.
  2. Ocultar página de cambio de contraseñas.
  3. Ocultar página de administración remota.
  4. Ocultar página de perfiles de usuario.
  • Como en la opción c se puede definir un grupo que administre el equipo pero un usuario se los puede remover o desactivar esta opción, por lo que se Recomienda seleccionar solo los literales c y d para la plantilla win98.pol
  1. Restricciones de acceso a propiedades de impresoras.

Es muy decepcionante comprobar que después de instalar una impresora en el ordenador y configurarla para un mejor rendimiento, alguien por desconocimiento o mala fe la desactiva o desconfigura. No diga nada si esta impresora está en red y afecta a muchos ordenadores con el consiguiente trastorno.

Para activar esta restricción expandir la rama Panel de control -> impresoras marcar la opción Restringir la configuración de impresora y activar aquellas protecciones que deseemos:

  1. Ocultar página general y de detalles.
  2. Desactivar eliminar impresora.
  3. Desactivar edición de impresora.

Si ponemos todas las restricciones cuando el usuario envía un documento y lo quiere borrar este no podrá hacerlo, (imagen 38).

Imagen 38

  • Seleccionar en la plantilla win98.pol solo el literal C
  1. Restricciones de acceso a Propiedades del sistema.

Otro factor crítico de un ordenador es la página de configuración de propiedades del sistema, donde un usuario poco experimentado o malintencionado puede configurar (o mejor dicho, desconfigurar) los drivers de todos los dispositivos del ordenador y cualquier parte crítica que afecte al funcionamiento del mismo. Si no deseamos que esto ocurra, Poledit nos ofrece la herramienta necesaria para ello.

Expandir la rama Panel de control -> Sistema y marcar la casilla Restringir el panel de control del sistema. De nuevo tenemos varias opciones, a saber:

  1. Ocultar página del Administrador de dispositivos.
  2. Ocultar página de Perfiles de hardware.
  3. Ocultar botón "Sistema de archivos".
  • Seleccionar en la plantilla win98.pol solo los literales C
    1. Papel tapiz
  1. Escritorio
  • Selección el papel tapiz de nombre lago.bmp en la plantilla win98.pol
  1. Combinación de Colores
  • No seleccionar Dejar sombreado o en blanco
    1. Compartir
  1. RED

Desactivar controles de Compartir archivos:

  • Seleccionar para la plantilla win98.pol, si este opción esta Seleccionada los usuarios a los que se le apliquen estas políticas no podrán efectuar compartir en los equipos evitando de esta manera que otros usuarios tengan derecho de escritura en mi disco duro o le puedan borrar datos por medio de la red también el robo de información de otros.

Así se evita que usuarios inexpertos compartan las carpetas con todos los derechos y hoy en día que tantos Virus usan esta idea de estar esperando a que se accede dicho carpeta para reproducirse por la red. No se recomienda dejar libre al Usuarios común

  1. Desactivar controles de Compartir Impresores:
  • Dejar sombreado para la plantilla win98.pol, si la selecciona los usuarios no podrán compartir los impresores y el compartido se retira por eso no se recomienda. Para evitar que estén abiertos mas puertos solo activar a los equipos que comparten recursos los demás no deben tener esta opción activada en el entorno de red, entre menos protocolos usamos mas segura estará nuestra red.
  1. SHELL
  2. Carpetas personalizadas

    Seleccionar la ruta de acceso a los programas en el disco duro de esta manera c:windowsmenu inicioprogramas. Así todos tendrán los programas de la PC en la estén trabajando en ese momento se evita que su usuario lo siga. Y copie archivos de su escritorio en todas las PC a las que entre.

  3. Carpetas de programas Personalizados

    Seleccionar y definir la ruta de acceso al escritorio compartido en el servidor de control de dominio de nombre fenix /fenix3escritorio$. De esta manera todos los usuarios usaran el mismo escritorio y mas rápido y centralizado.

  4. Iconos de escritorio personalizado

    1. Ocultar el icono "Toda la red":
  5. Sistemas

1.- Seleccionar Shell -> restricciones

2.- Marcar "No se encuentra red completa en entorno de red"

A veces es necesario ocultar la red de ordenadores a un usuario determinado, de forma que este no puede acceder a ningún ordenador de la red, aunque los demás ordenadores si pueden acceder al primero, si en los demás no se ha activado esta restricción.

  • Para la plantilla fénix.pol seleccionar la opción

4.4.9 Ocultar los iconos de los ordenadores de su grupo de trabajo.

1.- Seleccionar Shell -> restricciones

2.- Marcar "Sin contenidos de grupo de trabajo en entorno de red"

Con esto el usuario no será capaz de ver a los otros ordenadores de su grupo de trabajo, pero si podrá ver los de otros grupos conectados a la red. Tendremos el mismo problema para imprimir o ver equipos del mismo grupo con carpetas compartidas a no ser que se sepa el nombre del equipo que tiene el impresor y los archivos compartidos.

Siempre estas no son infalibles en casos se puede ver desde el explorador pero se requiere de mas habilidad de parte del Usuario.

    1. Desactivar las herramientas de edición del registro.
  1. Restricciones:

Un usuario experimentado puede saltarse todas las restricciones que hayamos puesto con Poledit, creando archivos *.reg y activándolos con una doble pulsación del ratón. No obstante podemos evitar esto de la siguiente manera (imagen 39):

Expandir la rama Sistema -> restricciones, seleccionar la casilla "Desactivar herramientas de edición del registro de configuraciones" y aceptar. También es necesario no añadir Poledit.exe a la lista de aplicaciones ejecutables vista en el apartado

La única forma, una vez hecho esto de acceder al registro y al Poledit (si tampoco se ha incluido en la lista) es utilizar un disco de arranque que contenga el editor de registro y el poledit. Aunque la forma más efectiva es utilizar una copia del registro que se haya hecho antes de desactivar el editor de registro. (Esto puede conseguirse ejecutando scanreg que se encuentra en el directorio Windows y recuperando alguna de las seis últimas copias del registro que Windows 98 guarda automáticamente, confiando que al menos una de ellas fuera anterior al establecimiento de estas restricciones.)

No recomendable, para lugares que trabajan insertando llaves de registro (*.reg) para el mejor funcionamiento de los SISTEMAS.

  • Para la plantilla win98.pol dejar en blanco
  1. Restringir los programas de aplicaciones ejecutables.

Esta opción, junto a la restricción de propiedades de pantalla, puede ser de los más útiles, pues con ello controlamos los programas que un usuario determinado puede ejecutar en el ordenador.

Con esta opción conseguiremos que sólo los programas que nosotros, como administrador del sistema, queremos que sean ejecutados, lo que nos permite controlar lo que hacen el resto de usuarios en el ordenador. Para ello expandir la rama Sistema -> restricciones y seleccionar la casilla "Ejecutar solamente aplicaciones compatibles con Windows", luego pulsando en el botón Presentación añaden a mano la lista de programas ejecutables que queremos que estén disponibles para ese usuario, por ejemplo se pueden añadir: Iexplorer.exe, Winword.exe, Excell.exe, Access.exe, etc. (cuidado, en la lista hay que escribir el nombre del fichero ejecutable sin error ) también agregar los nombres de acceso directo *.lnk o *.pif, de cada ejecutable si le han creado acceso directo.

Recomendado, con esta opción solo los programas que usted quiere se ejecutaran o instalaran en el equipo evitando así problemas legales de Software (imagen 40 y 41).

Imagen 40

Imagen 41

  • Para la plantilla win98.pol Seleccionar
  • Si usted tiene todo el apoyo de su jefe hágalo y esto le restringirá asta los juegos y archivos de antivirus, sistemas solo debe de tener paciencia en estar buscando cada ejecutable que funciona en su empresa pero esta es la mejor opción de todas. Si no tiene demasiado apoyo déjela SOMBREADA y después en una segunda etapa usted la pude configurar.
  • Para la plantilla win98.pol dejar en blanco

Por último al terminar de establecer todas las restricciones que deseemos a un usuario determinado hay que pulsar en Aceptar y luego en el menú Archivo -> Guardar para que los cambios se almacenen en el registro, finalmente cerrar sesión para ese usuario y al volver a entrar con ese nombre de usuario y contraseña todas las restricciones definidas estarán habilitadas. No recomendable igual al anterior

  1. Es la política de computadora que define la configuración para una computadora por defecto (Default Computer) o para una computadora nombrada específicamente. La configuración de Computadora por Defecto se aplica cuando un usuario acceda a la computadora o a la red desde una computadora que no tiene asignada una política individual.

      1. Seleccionar control de acceso a los usuarios

        Nombre de Autentificador

        Definir el nombre del dominio al que se validara, en el caso de la plantilla win98.pol será fenix

        Tipo de autentificador

        Seleccionar Dominio de Windows NT

      2. Control de acceso

        Titulo de Inicio

        Titulo: dejar el que trae por omisión

        Texto: bienvenido al CYBER FENIX, de San Emigdio

      3. Inicio

        Inicio de sección en Windows

        el nombre del dominio fenix

        Grupo de trabajo:

        Poner a la plantilla el grupo fenix

        Grupo de Trabajo Adicional: dejar en blanco no seleccionar

      4. Cliente para redes Windows:

        Desactivar anuncio SAP: si no tiene NOVELL selecciónelo pero si tiene novel déjelo el Blanco

      5. Compartir Archivos e Impresoras

        Dejar como esta por defecto o sea sombreado y el que esta marcado déjelo si no lo esta debe de estar así: seleccionado Ocultar Contraseñas los demás Sombreado

      6. contraseñas

        Desactivar compartir archivos:

        Dejar las en blanco

        Desactivar compartir Impresores:

        Dejar en blanco

        Las dos se deben dejar en blanco porque si las selecciona todas las computadoras no podrán compartir archivo e Impresores de esta manera nadie podrá usar Impresores en Cola ni vera archivos Compartidos, esta Opción es similar a la del Usuario Local con la diferencia que en el Usuario local si quita el compartir al Usuario que entra no a todos.

      7. compartir
      8. Actualizar
    1. RED
  2. PC LOCAL DEL REGISTRO

En esta casilla es la mas importante para la actualización (ver imagen 34) de las directivas porque en ella se define la forma de actualizar las Políticas si las ara de forma automática o manual por eso es la segunda en importancia, así que ponga mucha atención a estas líneas que de ello depende el funcionamiento de este plantilla y todo lo antes escrito.

Modo actualizaron:

Esta puede ser automática, en este caso el equipo busca en el NETLOGON del servidor de dominio fénix.paz.sv y copia todas la restricciones que contiene el Archivo CONFIG.POL si es Windows, para Windows NT es confignt.pol estas restricciones se agregan al registro de Windows de esta manera la PC local tendrá todo lo que se le acaba de decir y el Users que entro en este momento usara la configuración de Usuario Local y si este Usuario tiene un usuario en la plantilla definido solo para su Perfil este no tendrá problema con las políticas del usuario Local.

Si la actualización es manual: se debe de especificar la Ruta de acceso en el registro de Windows y en el Archivo de Plantilla o sea al win98.pol, pero siempre este lo podremos en el NETLOGON del servidor de Dominio, estación remota, servidor de archivos, la ruta definida es la que manda, para el ejemplo será. /CETECSE01NETLOGON win98.POL (imagen 42 y 32). Archivo, abrir registro y modificar esta ruta y dejarla manual de esta forma la política quedara en un anidamiento y siempre las aplicara.

Imagen 42

  • Para la plantilla WIN98.POL seleccionar manual y definir la ruta de su controlador, modificar también la PC local en la opción del registro no de de esta plantilla para que regrese a la plantilla que la llama definiendo en ella esta misma ruta. /CETECSE01NETLOGON win98.POL esta política se debe de implementar por partes primero use el archivo WIN98.POL para no afectar los demás equipos mientras efectúa sus pruebas después le cambia el nombra a config.pol si es Windows 9x si tiene NT WS 3x, 4x puede usar confignt.pol
  1. SISTEMAS
  2. ACTIVAR PERFILES DE USUARIO
  • Seleccionarla para que siempre estén los perfile, de esta manera no necesita el capitulo 8 definición del entorno en equipos Windows 98
  1. Esta es la ruta en donde están los archivos *.cab de Windows se debe dejar sombreada

  2. RUTA DE ACCESO A LA RED PARA INSTALAR WINDOWS
  3. RUTA DE ACCESO A LA RED PARA EL PASEO DE WINDOWS
  • Debe estar sombreada
  1. EJECUTAR
  • Debe de estar sombreada
  1. EJECUTAR UNA VEZ
  • Esta opción se debe dejar siempre sombreada nunca se le ocurra dejarla en blanco
  1. EJECUTAR SERVICIOS
  • Esta opción se debe dejar siempre sombreada nunca se le ocurra dejarla en blanco
  1. PLANTILLA WIN98.POL O CONFIG.POL

Después de la explicación del uso del Editor de Políticas, y la creación del archivo de políticas tomando como base los puntos al final de cada numeral o imagen de los capitos 5, 6 de este manual y en los casos que no se crearon imágenes por espacio o el tamaño de estas solo se habla de la opción a definir en esta plantilla win98.pol:

Anexos adicionales para un buen control con políticas

Verificar o modificar que los equipos de prueba tengan definida en Archivo, Registro y en el icono PC local la ubicación física exacta a donde usted copio el archivo win98.pol y si es un servidor primario después de las pruebas usted deberá poner en automático la línea actualizar y borrar la ubicación física que le definió para las pruebas y el archivo win98.pol renombrarlo a config.pol para que todo funcione a la perfección. Leer imagen de actualización remota de PC local 6.1.10

Después de terminar la plantilla win98.pol copiarla en la carpeta netlogon del dominio fénix, que en éste caso es el servidor CETECSE01.

Cuando se cargue la Política de Sistema, en una PC de la empresa afectará a aquellos

Usuarios que estén definidos en el archivo WIN98.pol y aquellos que no estén definidos (Usuarios extraños) asumirán las restricciones del usuario por defecto (Default User).Todas las computadoras asumirán las restricciones de Default Computer.

En las políticas de Usuario están desactivadas:

  • Las propiedades de red, pero se les creo un icono en el escritorio compartido con el winipcfg para que sepan como se llama el equipo así como ver la dirección IP.
  • No pueden compartir archivos, pero tienen una carpeta compartida en el servidor, en la que se puede pasar archivos hasta por 20 MB y después ellos borran los datos por que esta publica este acceso esta en el escritorio de nombre de carpeta compartida.
  • Se crearon carpetas compartidas, a las que se les creo accesos directos para evitar hacer mapeos. Estas están en el escritorio y solo tienen acceso los grupos definidos en el servidor NT, ver imagen de inicio del manual.
  • Se copio un logo fenix.BMP, que se envía a la PC que no lo tiene y después se carga con él la política. Esto se hace con el Scripts del Usuario en NT.
  • Cuando hay un Icono nuevo solo se agrega al escritorio y este les aparece a los equipos de win9x cuando reinician.
  1. DEFINICIÓN DE LOS ENTORNOS DE WINDOWS
  2. CONFIGURAR LOS EQUIPOS DE LA EMPRESA PARA INICIAR POLÍTICAS

    Debemos seguir entonces los siguientes pasos:

    1. Preparar la máquina con una configuración estándar, es decir, con el software

    Correspondiente, sin papel tapiz, resolución 800*600, color 16 bits, apariencia estándar de Windows 9X, sin salvador de pantalla, conexión a la red.

    Impresora Láser Jet 4P, configuración regional Español-Perú, teclado Español(México) -Latinoamericano. El último punto es muy importante pues los perfiles de usuario han sido diseñados usando éste tipo de teclado. Un teclado distinto ocasionará que, la segunda vez que ingresemos al recuadro de logon, el teclado quede inhabilitado pues surge un conflicto entre el teclado definido localmente en la computadora con el teclado personalizado del usuario. Ésta es una falla o bug del Windows 95 (versiones a y b) que debemos tener en cuenta.. Para win95 c y win98 así como ME no aplica la recomendación

    2.Habilitar el inicio de sesión en el dominio de Windows NT (Panel de control icono Red-Cliente para redes Microsoft-Propiedades) y los perfiles de usuario personalizados (Panel de control – Icono contraseñas -Perfiles de usuario – Los usuarios pueden personalizar sus preferencias y configuración de escritorio). Debemos crear el entorno de cada usuario o profile, es decir, los íconos, grupos de programas, y papel tapiz, que aparecerá al ingresar con un usuario determinado. El profile tiene la forma de un directorio con el nombre del usuario que a su vez tiene varios subdirectorios donde cada uno representa a un grupo de programas o documentos.

    El contenido final de cada subdirectorio son atajos o shortcuts a dichos programas o documentos. El profile define el perfil del usuario. Los iconos de accesos directos serán descargados desde el directorio Escritorio del servidor primario a las máquinas de la Empresa. El directorio Escritorio está compartido como Escritorio$ con acceso de solo lectura. Después de crear y compartir el directorio Escritorio debemos crear los iconos de acceso directos estándares de la Empresa, en esta carpeta compartida (Escritorio$) del servidor primario con derechos a los usuarios de este dominio. Así al ingresar un usuario y una contraseña predeterminados según el uso que el empleado desee darle a la computadora. Por ejemplo, si el empleado desea usar los servicios Internet debe ingresar con el usuario asignando seguido de la contraseña propia. Luego el servidor valida al usuario y su contraseña en el dominio FENIX y empieza la carga del entorno predeterminado junto con las restricciones de seguridad y los iconos de accesos directos.

    Para una máquina que ha sido configurada con el System Policies observar que es diferente abrir el registro de la computadora durante la sesión n de un usuario que abrir el registro después de hacer Esc a la ventana de inicio de sesión. Si abrimos el registro durante la sesión de un usuario, al que se le han aplicado las políticas de seguridad, observaremos un Local User y un Local Computer afectados por el System Police y correspondiente al del usuario con el que se ha ingresado. Modificaciones hechas en él Local User y/o en Local Computer durante una sesión de usuario tendrán efecto sólo hasta que terminemos la sesión pues una vez reiniciada seguiremos con la configuración inicial debido a que las configuraciones del System Police tienen prioridad y han sido Aplicadas a la máquina, no a un usuario.

    El entorno que obtenemos al hacer Esc a la ventana de inicio de sesión es el que nos permitirá hacer modificaciones en el Registro del sistema para poder desinstalar el System Police, sin embargo, en la sección anterior la máquina se configuró para que al hacer Esc no se obtuviera ningún tipo de acceso a la máquina. Tenemos entonces que Ingresar al Modo Seguro del Windows 9X y desde aquí desactivar el System Police.

    Debemos seguir los siguientes pasos:

    1. Ingresar al Modo Seguro a Prueba de Fallas del Windows9x, para ello reiniciar la PC y enseguida presionar F8.

    2. Ejecutar el Poledit y desmarcar todas las opciones indicadas en los pasos de la sección anterior. Guardar.

    3. Adicionalmente también desactivar las opciones indicadas en el paso 1, sección anterior, correspondiente al inicio de sesión en el dominio del Windows NT y la activación de perfiles personalizados.

    4. Entrando en modo msdos y usando scanreg para recuperar una copia del registro de unos días o meses anteriores esta práctica no aplica a Windows 95

    5. Para usuarios avanzados borrar la llave de registro policies y desactivando la opción actualizar[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies] después solo se renombra el directorio profiles de Windows y todos los que entren no tendrán directivas de políticas.

  3. DESINSTALAR LAS POLÍTICAS:

    1. Las siguientes restricciones no son opciones de Poledit, pero complementan a éste y ayudan a configurar una protección eficaz de nuestra red de ordenadores.

      Para que las políticas sean un éxito en tu empresa también debes de saber que sin usar el POLEDIT se puede modificar las opciones de configuración que un archivo de políticas crea al momento de acceder a una red o a una PC local.

      Para saber en que lugar se guardan las políticas del usuario DEFOULT de una PC esta este ejemplo y aunque usted inicie a pruebas de fallas esta configuración siempre se carga en el registro de Windows. Vemos el registro:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies]

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]

      "1"="calc.bat"

      "2"="iexplore.exe"

      "3"="actmovie.exe"

      "4"="copias.bat"

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork]

      "NoNetSetup"=dword:00000001

      "NoNetSetupIDPage"=dword:00000001

      "NoNetSetupSecurityPage"=dword:00000001

      "NoFileSharingControl"=dword:00000001

      "NoEntireNetwork"=dword:00000001

      "NoWorkgroupContents"=dword:00000001

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

      "NoAdminPage"=dword:00000001

      "NoProfilePage"=dword:00000001

      "NoDevMgrPage"=dword:00000001

      "NoConfigPage"=dword:00000001

      "NoFileSysPage"=dword:00000001

      "NoVirtMemPage"=dword:00000001

      En esta ubicación nos restringe todo solo nos permite usar los programas que en esta se mencionan.

      Y si el caso es el usuario jose esta restricción estaría en la rama:

      [HKEY_USERS.fenixSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]

      Con las mismas restricciones anteriores además de restringirme el acceso al entorno de red..

      Si no desea que el equipo se valide en un DOMINIO NT

      [HKEY_LOCAL_MACHINENetworkLogon]

      "username"="amejia"

      "PrimaryProvider"="Microsoft Network"

      "PolicyHandler"="GROUPPOL.DLL,ProcessPolicies"

      "logonvalidated"=hex:01,00,00,00

      "UserProfiles"=dword:00000001

      "LMLogon"=hex:00,00,00,00

    2. Políticas con llaves de registro.

      para Windows 98 y más

      usar la llave siguiente:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

      "BloquearUsuarios"="RUNDLL32.EXE SHELL32.DLL,SHExitWindowsEx 0"

      Esto hace que la PC no permita entrar otro usuario que no sea los definidos en los perfiles de Windows a la fecha de ingresado la modificación.

      Para win95 es otra forma no tan probada pero aquí esta:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

      "BloquearUsuarios"="RUNDLL.EXE user.exe,ExitWindows"

    3. Seguridad sin usar el editor de Políticas

      Es posible hacer que el explorador de Windows quede apuntando a un determinado directorio o unidad sin posibilidad de desplazarnos a través de los demás directorios o unidades, lo que puede permitirnos bloquear el acceso a determinadas partes del ordenador a cualquier usuario, evitando que estos borren o pongan programas y archivos en directorios no deseados por nosotros.

      Para ello ir a Inicio -> Programas -> Explorador de Windows y pulsando con el botón derecho del ratón abrir sus propiedades. En el cuadro de diálogo que aparece escribir en el campo destino: c:windowsexplorer.exe /e, /root, c:Mis documentos.

      Con esto hacemos que la ventana del explorador sólo apunte al directorio mis documentos sin posibilidad de desplazarnos por los demás.

      También podemos hacer que apunte a una determinada unidad, por ejemplo A: sin posibilidad de acceder al disco duro, escribiendo: c:windowsexplorer.exe /e, /root, A:

      Imagen 43

    4. Explorador de Windows apuntando a un directorio fijo sin posibilidad de ir a otro (imagen 43)
    5. Ocultar unidades en MiPc.
  4. TRABAJANDO SIN EL EDITOR DE POLÍTICAS, USANDO EL EDITOR DE REGISTRO.

En la sección 2.1 vimos la posibilidad de ocultar todas las unidades a un usuario determinado, pero que pasaría si sólo deseamos ocultar determinadas unidades. Para ello es necesario editar el registro para ese usuario.

Las unidades están controladas por una palabra de bits:

Letra de unidad

G F E D C B A

Palabra de bits

1 1 1 1 1 1 1

Si el bit está a 1 la unidad no se ve. Por ejemplo para ocultar las unidades:

Unidad a ocultar

Valor binario

Valor Hexadecimal

A

00001

01

C

00100

04

D

01000

08

E

10000

10

C y D

01100

0C

Veamos un ejemplo práctico, supongamos que deseamos ocultar el disco duro (C:) Y el CDROM (D:), el valor hexadecimal a colocar en el registro es "OC".

  1. Imagen 44

  2. Ejecutar Regedit. .
  3. Expandir la rama: HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
  4. Añadir un "Nuevo Valor DWORD"
  5. Darle el nombre "NoDrives"
  6. Darle el valor 0C
  7. Salvar la configuración y reiniciar.

Al reiniciar no aparecerán estas unidades en MiPc o el Explorador (cuidado, sí el explorador es el estándar de Windows siempre aparece la unidad C:, Salvo que lo modifiquemos como hemos hecho anteriormente, apuntando a otra unidad o carpeta sin posibilidad de ir a otro sitio).

  1. Negar el uso de fondos de pantalla desde el Internet Explorer

1)- Se debe copiar un archivo que a usted le guste para un fondo Común en los escritorios en mi empresa definimos el logo y lo renombramos como fenix.bmp y también lo copiamos como Internet Explorer Wallpaper.bmp que esta dentro de c:windows y lo pones de lectura y oculto

2)- Le cambiamos a los dos bmp las propiedades de solo lectura y oculto y esto sélo definimos al archivo de políticas para que lea el archivo fenix.bmp y todos tendrán el mismo logo en sus PCS. Si tiene un servidor puede enviar el archivo a todos las computadoras por medio de un archivo bat y definirlo en el perfil de todos los usuarios.

7.- CONCLUSIONES

  • Escritorio Remoto: Para este acceso cuando hay usuario conectado y el usuario remoto con el que nos conectamos no tiene derechos administrativos no podrá cerrar la sesión del que entro antes y la conexión no se efectúa. Pero además es un problema si el usuario es administrador porque no se sabe si el que esta trabajando tiene un trabajo sin guardar y uno lo saca de sesión se pierde lo que estaba haciendo el otro. Por seguridad no se recomienda que los administradores entren remotamente para eso se retira el grupo de administradores de las directivas tener acceso a este equipo desde la red y permitir inicio de sesión a trabes de servicios de Terminal Server, de de esta manera se cuela a ciertos grupos la administración. Ejemplo a los usuarios del grupo admin_fenix.
  • Windows xp: para equipos completamente Nuevos es posible hacer el perfil de usuario, para equipos usados es recomendable un usuario que no tenga correo instalado o crear uno en la PC definirle toda la configuración y después copiarlo en el Default User, después borrar o hacer backup de estos perfiles para que todo el perfil de usuarios nuevos funcione bien. Este opción funciona para Windows 2000 pero el equipo debe ser Windows 2000 para xp debe ser xp de esta forma se pude copiar un perfil viejo de xp a otra PC con xp y no se pierde nada de información hasta los correos de copian.
  • En Active Directory: se recomienda en la directiva de usuario crear todas las restricciones posibles y como estas por lo general se Habilitan en la plantillas que no deseamos que se apliquen hay que deshabilitar de esta forma esta opción prevalece sobre la de habilitar. También si deseamos que una directiva se aplique a otras ou solo se crean grupos que leerán las directivas comunes por ejemplo de Internet y programas. Estableciendo en nuestras OU vinculo de objeto de directivas de grupo, de la forma siguiente: propiedades, agregar, agregar un vínculo, ver todas y seleccionar ahí la que deseemos aplicar.
  • Después de haber creado una configuración optima de un equipo con xp nuevo o usado es bueno crear una imagen idéntica para ello se recomienda usar Norton Ghost versión 2002, crearla en una partición fat32 de su mismo duro y en algún problema de Software solo recuperar esta imagen.
  • En Windows 95 y superiores es también útil usar los comandos net , para establecer conexiones a compartidos o correr archivos de proceso por lotes BAT.
  • Las políticas creadas para los sistemas Windows 95, 98, ME y NT. Fueron funcionales en su momento, hoy estas nos servirán de ayuda pero siempre estos sistemas serán vulnerable a ataques, dado la mejor tecnología que usan hoy los creadores de Virus y la obsolececia de estos sistemas. El mejor es xp y proximamente será el viejo pues estará el Windows Vista que es el nuevo en salir.

 

Datos del Autor.

En estas configuraciones de Windows Server 2003, 2000 y las sistemas Operativos de escritorio se describe el trabajo realizado por el Técnico y Profesor Alirio Mejía Amaya, en los 13 años de trabajo en una dependencia de Gobierno del Salvador de estos años 5 con políticas de Windows 98, 4 años con Windows Server 2000 y profesional, 3 años con xp y 2 con xp con sp2, 2 con Windows 2003 en Active Directory. Además de Cursos de administración de Windows Server NT4 Y 2003 diplomados en Microsoft 2000, 97, Programación en foxpro y visual. Actualmente miembro de Comunidad de Microsoft (GIT "Grupo de Infraestructura Tecnológica") toda esta experiencia están escritas y editadas en este libro y todo lo que acá esta escrito es funcional y verdadero, cual quien duda al respecto visitar el CYBER en el que esta funcionado esta configuración. Efectuamos asesorías sobre lo escrito los días de semana a partir de las 16:00 horas y los fines de semana todo el día. Para usuarios de otros países les vendemos videos avi en CD de las demostraciones de uso y administración de servidores,

Interesados llamar a los teléfonos 22587317 o 23-79-25-35 o escribir al correo

Amejia_sv@hotmail

para mientras está el

Partes: 1, 2, 3

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente