Seguridad y conexión en Windows (página 2)

Partes: 1, , 3

1. Creación de la Segunda OU de nombre CLASE

2. 1. 

      Imagen 9

   2. Para aclarar usaremos 2 OU en un único Directorio Activo Iniciamos creando la (OU) de nombre CLASE y dentro de ella vamos a crear las OU a las que le haremos las Directivas de Grupo. (imagen 9)
   3. La primera de nombre Alumnos: en esta OU se crean todos los Usuarios que tendrán derecho a clase, Alumno1 y Alumno2

      

      Imagen 10

   4. La segunda de nombre Equipos: En esta OU Creamos los Equipos para tenerlos Ordenados y diferenciarlos para el caso CYBER, con los de COLEGIO, estos equipos tendrán en su seguridad diferentes grupos de acceso locales y de red. Para que los usuarios del fénix no tengan acceso a los recursos del colegio y viceversa aunque compartan el mismo servidor del Dominio; se cuentan con tres equipos definidos ws01, ws02, ws03, para ello en propiedades de esta OU crearemos la Directiva aula1 y creará la seguridad a los equipos ws01, ws02, ws03, para aplicar la seguridad solo deberá introducirlas a un grupo de usuarios creado en la OU de Usuarios de nombre ws_clase, este grupo será el único que leerá las directivas creadas en la OU aula1 (imagen 10), a esta directiva se le modificara la seguridad para que sea leída solo por el grupo global antes creado de nombre ws_clase (imagen 11).
   5. Por Ultimo, una Unidad solo por Orden de los Profesores, pero en esta no se efectuará ninguna seguridad ni restricciones, están sin Directivas, usan solo las directivas que el Dominio aplica por defecto a las PCS.

      

      Imagen 11

   6. Creación de grupos de globales: dentro de la OU Usuarios, creamos por orden los grupos de trabajo global que nos servirán para aplicar las Directivas por Usuarios y por equipo. creamos el grupo Globales de PCS, ws_clase dentro del cual ingresaremos todos los equipos de la aula1, creamos los usuarios alumnos Internet, alumnos intranet, dirección y profesores (imagen 9).
   7. Al crear la directiva de grupo de los Alumnos entramos a las propiedades de la OU Alumnos y señalamos Directivas de Grupo, después creamos las otras plantillas de Internet e Intranet. y las configuramos según los criterios o instrucciones previas, (imágenes 7 y 8 de los usuarios del cyber).
   8. Para evitar problemas con las directivas que se están creando en el directorio Activo, entramos a la plantilla que en el momento se esta creando y le quitamos los derechos de lectura a los usuarios para evitar que se propaguen antes de haber terminado y probado la modificamos (imagen 11), para ello nos vamos a la ficha seguridad.

      

      Imagen 12

   9. En ficha seguridad, le quitamos los derechos de lectura a los grupos de usuarios en la plantilla, (imagen 11), y si no queremos que otras plantillas se escriban en esta, en Opciones de Vínculo, chequeamos la opción "No reemplazar (imagen 12).
   10. Como estamos dando derechos a usuarios y no necesitamos que las computadoras lean las directivas de grupo para usuarios, chequeamos la opción Deshabilitar, "Deshabilitar los Parámetros de configuración de equipo" (Imagen 13) y si es lo contrario que estamos configurando chequeamos la Opción "deshabilitar los parámetros de configuración de Usuarios"; de esta forma filtramos que no se apliquen configuraciones o que entren en conflicto con algunas ya aplicadas. Después de haber creado las dos OU FENIX y CLASE, se inician las pruebas de aplicación de las directivas para ello se recomienda definir en configurar de seguridad, auditorias, las directivas aplicadas.

Imagen 13

2.- Windows xp Profesional con SP2

Windows xp es por hoy el ultimo Sistema Operativo que Microsoft a sacado al mercado para uso domestico y los trabajos empresariales y como todo sistema a tenido que ser modificado en parches y SP (hasta la fecha esta el SP2), y de este sistema es el que hablaremos en los siguientes párrafos, ya que esta plataforma de trabajo es la mas conocida e implementada en todo el mundo.

Después de las fallas en la Seguridad con los Sistemas de archivos FAT del Windows 95 y 98 se implemento el NT que proporciono el sistema de archivos NTFS e inicio la era de la seguridad de los datos locales y en red, con los famosos compartidos que veremos en la configuración de Windows 2000 de este manual.

Para evitar que los virus se copien y se mantengan residentes hay que desactivar la opción restaurar sistema (imagen 16), en el menú restaurar sistema, se chequea restaurar para desactivar esta opción que no es muy funcional, cabe señalar que para restaurar es mejor usar otros programas como altiris, o norton goback.

2. 1. 

      Imagen 14

   2. En Windows xp con SP2 la herramienta del FIREWALL viene activa, mas sin embargo los usuarios y Técnicos inexpertos lo desactivan para evitarse problemas, pero esto ocasiona que podamos poner en riesgo la seguridad de todos nuestros datos así como los de la empresa; para ello en el panel de control encontramos el acceso al firewall (icono con figura de muro),(Imagen 14), este tiene 3 opciones que son:

      Pero si deseamos que nos ayuden a resolver un problema desde la red o compartir recursos y usar el escritorio remoto, se recomienda definir en las excepciones estos programas para que no lo bloquee.

      También si sabemos el puerto que abre el programa al que se le dará derecho de entrar a la PC lo definidos en agregar puerto y le ponemos un nombre, si el puerto no se sabe se agrega el programa buscándolo en programas para el ejemplo winvnc.exe (imagen 15) para que nuestra IP sea mostrada para efectos de identificaron en la red, se recomienda Habilitar eco entrante en ICMP.

      

      Imagen 15

   3. Activo (recomendado), viene desde que se instala xp con sp2, esta es la fortaleza del muro de fuego de Windows, sin excepciones no puede entrar nadie ala computadora que se le configura este cierra todos los puertos abierto y no entra nadie desde la red.
   4. No permitir excepciones bloquea todos los puertos que se abrieron en excepciones y prevalece sobre la primera.
   5. Desactivado (no se recomienda) esta opción es la que por lo general tienen los xp con sp1 y los usuarios de los hogares, por esta razón son vulnerables ante los ataques de virus y usados para otros ataques.
3. Firewall de Windows
   1. 1. Iniciamos dándole clic derecho a mi PC, después seleccionaremos remoto en el menú de propiedades (imagen 16) seguidamente seleccionamos la opción permitir que los usuarios se conecten y se le da derecho a los usuarios que tendrán derechos a conectarse al equipo desde otra red incluso desde el Internet.

      

      Imagen 16

      

      Imagen 17

   2. Como ya tenemos listo el grupo admin_fenix este grupo lo ingresaremos en la opción "seleccionar usuarios remotos" (imagen 17), este dará los derechos a conectarse a la computadora, además de este, estará el grupo Usuarios de escritorio remoto, por defecto Windows lo define para que ahí se ingrese los usuarios con derechos a trabar remotamente.

      

      Imagen 18

      

      Imagen 19

   3. Como ya tenemos lista la configuración hoy usaremos la herramienta de conexión remota que proporciona el xp. Para ello nos iremos a inicio, programas, accesorios e iniciamos el programa conexión a escritorio remoto (Imagen 18) para ver el usuario fenix1 con su respectiva clave así como el dominio. Este usuario pertenece a grupo admin._fenix se dará de alta y podrá trabajar en este equipo pero no tiene derechos administrativos (imagen 19).
   4. En el ejemplo de escritorio remoto se conecta a otra computadora de nombre fenix4, con muro de fuego activo y esta en una ren LAN a 10 mbps o superior (con el usuario que previamente se creará) y se ingrese al grupo admin_fenix con el acceso a las directivas de seguridad dadas a dicho grupo en inicio de sesión local, permitiendo inicio de sesión a través de servicios de Terminal Server. Cuando el equipo acepta la conexión muestra el entorno grafico del equipo al que accedemos como que estuviese físicamente la computadora, el remoto se bloquea y no se ve lo que hace ahí el usuario remoto, si el usuario no tiene derecho presenta el "mensaje de restricción de directiva local" y no lo deja entrar implantando una buena seguridad

      

      Imagen 20

      Por ejemplo, al hacer doble clic a programa MSTSC, este abre una ventana similar a la de acceso remoto de Windows xp y se repiten los mismo pasos que se hace desde xp (imagen 20), Para mayor efectividad en equipos con Windows 9x que no usan Dominios NT, es recomendable que el usuario con el que da de alta sea igual al que esta en PC fenix4 y la clave debe de ser similar a esta pues los xp tiene un base de datos de usuario llamada SAM con la que se compara si existe el usuario y lo derechos que este tiene y el Windows 95 o 98 no lo tiene, de ahí que es mejor la seguridad del xp y Windows 2000.

   5. En el caso que se desee conectarse, a un equipo con un Sistema Operativo antiguo como Windows 95, 98 ME y Windows 2000, utilizamos la Herramienta "conexión remota", para estos y el equipo antes configurado verifica si existen derechos para que se conecte el usuario y si es verdadero permite la conexión.
   6. Para terminar una sesión de escritorio se puede hacer lo siguiente, cerrar la sesión y dejar la PC libre para que otro usuario la use o de una ves mandarla a apagar quedando encendido solo el monito pues las computadoras de hoy día no necesitan que uno presione el botón apagar del CPU.(imagen 21). O bien abrimos el menú inicio y seleccionamos cerrar sesión, el equipo cierra todo y habilita la computadora esperando que otro usuario la utilice. A si mismo podemos abrir el menú inicio y seleccionar seguridad de Windows, si no esta ahí se abre panel de control y ahí también encontraremos seguridad de Windows, esta nos abre la ventana de seguridad en la que usamos para el caso apagar equipo y seguimos los pasos tradicionales que hacemos para apagar y aceptar, en esta ventana se muestra el bloqueo y el cambio de clave que son importantes también de saber. Cabe aclarar que el botón desconectar no cierra sesión y el equipo permanece bloqueado, por esta razón no se recomienda a no ser que la intención sea esta que siga bloqueado.

   

   Imagen 21

4. Escritorio Remoto

   

   Imagen 22

5. PERFIL DE USUARIO LOCAL: A fin que todos los perfiles nuevos que se creen tengan los mismos derechos y de tener políticas están prevalezcan a las del dominio, se definen en usuario local las configuraciones de sistemas en producción, configuraciones de aplicativos, derechos de Usuario, políticas locales con logos de empresas, y la configuración de Impresores, todo esto sin derechos administrativos, los copiamos con un usuario con derechos administrativos y que tenga derecho de ver todos los archivos ocultos, luego se remplazan los archivos que tiene el usuario local "Default User" que esta en Documents and settings.
6. SEGURIDAD: la solución a las opciones de seguridad a carpetas de equipos que no estén en un dominio, son básicas y comunes, para que estas se activen es necesario ir a la opción de mi PC, menú Herramientas, ver, quitar el chequecito del uso compartido simple de archivos. Después aparecerá seguridad. (imagen 22).

3.- Windows 2000 Profesional

Herramientas Administrativas

3. 1. 

      Imagen 23

      Para efectos didácticos del manual trabajaremos con usuarios y grupos del Servidor de Dominio y en PCS. Locales del CIBER FENIX Instalado en el Municipio de San Emigdio Departamento de la Paz, El Salvador

      

      Imagen 24

   2. Con la Administración de equipo podemos crear usuarios locales, Grupos locales, administrar particiones del disco duro y compartir archivos también podemos ver los sucesos del sistema en aplicaciones, seguridad y sistemas ver imagen 23 y 24.

      

      Imagen 25

   3. Se crea un usuario local de nombre fenix1 y un grupo local admin_fenix con el administrador de equipos
   4. Se crea el usuario fenix1 al cual se le asignara derechos al sistema en producción y al escritorio remoto (imagen 25)
   5. Crear el grupo admin._fenix para dar derechos locales a los recursos y al escritorio remoto
   6. Compartir carpeta de sistema aplicando la seguridad a bases de datos para acceder a estos en modo creando un bat con el cd al mapeo hecho en p:,

      

      Imagen 26

   7. En este ejemplo abrimos la opción capetas compartidas del administrador de equipo la que tiene la mano compartiendo el recurso, ubicamos la carpeta sistemas para el caso esta en la partición d: crearemos el compartido como "sistema$" con dólar de último el compartido queda oculto (Imagen 26).
   8. Después de definir el nombre del compartido le daremos los permisos al compartido y en propiedades del compartido veremos el nombre "permisos de los recursos compartidos" ahí eliminamos el grupo "Todos" y agregamos al grupo admin._fenix, con derechos de cambio, así solo los usuario que pertenecen a este grupo podrán borrar y agregar datos.
   9. El la parte de la seguridad nos iremos a las opciones avanzada y dejaremos solos derechos a los administradores y los demás los eliminaremos solo agregaremos al grupo admin_fenix y le daremos derechos de paso a esta carpeta sistemas(imagen 27), hoy cambiaremos los derechos de la carta INSE y SEGROH el derecho será cambio a carpeta, subcarpetas y archivos, seguidamente creamos un mapeo desde el equipo que efectuaremos la conexión y la hacemos a la letra p: en ubicación /fenix3sistema$ y al intentar entrar no se podrá, pues solo de modo msdos se puede entrar haciendo lo siguiente en inicio, opción "ejecutar", digite cmd y en la ventana command, hacer un p: y después CDinse o segroh, estando dentro de esta carpeta crear una carpeta nuevo o archivo y borrarlo de nuevo todo es posible. De esta manera un programa echo en fox , sybase y otros, es posible usarlo localmente o en modo multiusuario en un servidor compartido para ello solo debemos compilar los ejecutables para que le apliquen un CD a la carpeta sistema así pasaran sin leer y podrán en las siguientes subcarpetas borrar y modificar sin poner en peligro las capetas en modo Windows o grafico porque estas no se leerán solo en modo texto del msdos se podrá pasar a ellas.
4. Administración de equipos:

Imagen 27

Partes: 1, 2, 3