Herramientas de configuración de seguridad de Windows 2000

Actualizado: 18 de Junio de 2004
En esta página
Descripción del móduloDescripción del módulo
ObjetivosObjetivos
Marco de aplicaciónMarco de aplicación
Uso del móduloUso del módulo
Directivas de seguridad de Windows 2000Directivas de seguridad de Windows 2000
Interfaces adicionales de configuración de seguridadInterfaces adicionales de configuración de seguridad

Descripción del módulo

Este módulo proporciona una descripción de las herramientas utilizadas para realizar cambios en la configuración de seguridad de la instalación básica estándar del sistema operativo Microsoft® Windows® 2000. En el módulo únicamente se describen las herramientas y no los valores de configuración que se deben establecer mediante dichas herramientas.

Principio de la páginaPrincipio de la página

Objetivos

Utilice este módulo para:

Identificar las herramientas de configuración de seguridad de Windows 2000

Principio de la páginaPrincipio de la página

Marco de aplicación

Este módulo se aplica a los siguientes productos y tecnologías:

Sistema operativo Microsoft Windows 2000

Herramientas de configuración de seguridad del sistema operativo Microsoft Windows 2000

Principio de la páginaPrincipio de la página

Uso del módulo

Este módulo identifica las herramientas de configuración de seguridad que están disponibles en Windows 2000. También se tratan la creación y el procesamiento de directivas de grupo. Utilice este módulo para familiarizarse con dichas herramientas.

Para sacar el máximo provecho de este módulo:

Lea el módulo "Configuraciones de seguridad de Windows 2000". En este módulo se proporciona documentación detallada sobre la configuración que se puede utilizar para mejorar la seguridad en el sistema operativo Windows 2000.

Utilice los artículos de instrucciones que acompañan a la guía:

"Configuración y aplicación de plantillas de seguridad con Windows 2000".

Principio de la páginaPrincipio de la página

Directivas de seguridad de Windows 2000

Esta sección describe las distintas herramientas de directivas de seguridad, así como su orden de prioridad a la hora de aplicar las directivas de seguridad. De forma predeterminada, las directivas de grupo son heredadas y acumulativas, y afectan a todos los equipos que haya en un contenedor de Microsoft Active Directory®. Las directivas de grupo se pueden administrar mediante objetos de directiva de grupo (GPO), que son estructuras de datos conectados en una jerarquía específica a objetos de Active Directory seleccionados, como pueden ser sitios, dominios o unidades organizativas (UO).

Después de crear dichos GPO, se aplican siguiendo un orden estándar: LSDOU, que significa (1) Local, (2) Sitio, (3) Dominio, (4) Unidad organizativa. Las directivas que se aplican después tienen una mayor prioridad que las que se aplican antes. Si un equipo forma parte de un dominio y se produce un conflicto entre la directiva local del equipo y la del dominio, prevalecerá la directiva del dominio. No obstante, si un equipo ya no forma parte de un dominio, se aplicará la directiva de grupo local.

Cuando un equipo se une a un dominio con Active Directory y que tenga implementado una directiva de grupo, se procesará un objeto de directivas de grupo local. Recuerde que la directiva de GPO local se procesará incluso aunque se haya especificado la opción Bloquear la herencia de directivas.

Se pueden definir directivas de cuentas (contraseña, bloqueo de cuentas y directivas Kerberos) para todo el dominio en las directivas locales del GPO predeterminado de dominio (directiva de auditoría, asignación de derechos de usuarios y opciones de seguridad), mientras que los controladores de dominio (DC) se definen en el GPO predeterminado de controladores de dominio. Para los DC, la configuración definida en el GPO predeterminado de DC tiene mayor prioridad que la configuración definida en el GPO predeterminado de dominio. Por lo tanto, si configura un privilegio de usuario (por ejemplo, Agregar estaciones de trabajo al dominio) en el GPO predeterminado de dominio, no tendrá ningún efecto en los DC de dicho dominio.

Existen opciones que permiten la aplicación obligatoria de la directiva de grupo en un GPO determinado, de manera que se impida que los GPO incluidos en contenedores de Active Directory de un nivel inferior puedan omitir dicha directiva. Por ejemplo, si define un GPO específico a nivel de dominio y especifica la obligatoriedad del GPO, las directivas que contiene dicho GPO se aplicarán a todas las unidades organizativas situadas por debajo de dicho dominio; es decir, ningún contenedor (UO) de nivel inferior podrá omitir el cumplimiento de dicha directiva de grupo de dominio.

Nota: el área de seguridad que cubre las directivas de cuenta recibe un tratamiento especial en cuanto a su efecto sobre los equipos del dominio. Todos los DC del dominio reciben sus directivas de cuenta de los GPO configurados en el nodo del dominio, independientemente de dónde esté el objeto de equipo para el DC. Esto asegura que las directivas de cuenta coherentes sean obligatorias para todas las cuentas del dominio. Todos los equipos del dominio que no sean DC siguen la jerarquía normal de GPO a la hora de obtener directivas para las cuentas locales en dichos equipos. De forma predeterminada, los servidores y estaciones de trabajo miembros obligan la aplicación de la configuración de directivas establecida en el GPO del dominio para sus cuentas locales pero, si existe algún otro GPO en un ámbito inferior que reemplace a la configuración predeterminada, entonces se aplicará dicha configuración.

Directiva de seguridad local

Las directivas de seguridad local se utilizan para establecer los requisitos de seguridad en el equipo local. Se aplican principalmente en equipos independientes o para establecer una configuración de seguridad específica en un miembro del dominio. En una red administrada con Active Directory la configuración de directivas de seguridad locales tienen la menor prioridad.

Para abrir la directiva de seguridad local

1.

Inicie sesión en el equipo con derechos de administrador.

2.

En un equipo con Windows 2000 Professional, la opción Herramientas administrativas no se muestra de forma predeterminada en el menú Inicio. Para ver la opción de menú Herramientas administrativas en Windows 2000 Professional, haga clic en Inicio, seleccione Configuración y haga clic en Barra de tareas y menú Inicio. En la ventana Propiedades de Barra de tareas y menú Inicio, haga clic en la ficha Opciones avanzadas. Seleccione Mostrar Herramientas administrativas en el cuadro de diálogo Configuración del menú Inicio. Haga clic en el botón Aceptar para finalizar la configuración.

3.

Haga clic en Inicio, vaya a Programas, seleccione Herramientas administrativas y, a continuación, haga clic en Directiva de seguridad local. Se abrirá la consola Configuración de seguridad local.

Configuración de seguridad local

Figura 1: Configuración de seguridad local

Directiva de seguridad de dominio

Una directiva de seguridad de dominio se utiliza para establecer y propagar los requisitos de seguridad para todos los equipos de un dominio. La directiva de seguridad de dominio tiene prioridad sobre la configuración de las directivas de seguridad locales de todos los equipos del dominio.

Para abrir una directiva de seguridad de dominio

1.

Abra el complemento Usuarios y equipos de Active Directory.

2.

Haga clic con el botón secundario del mouse en la unidad organizativa o dominio correspondiente cuya directiva desea ver y seleccione Propiedades. Por ejemplo, para ver la directiva de seguridad de dominio, haga clic con el botón secundario en el dominio. Para ver la directiva del controlador del dominio, haga clic con el botón secundario en la unidad organizativa Controladores de dominio.

3.

Haga clic en la ficha Directiva de grupo.

4.

Haga clic en el botón Modificar.

5.

Expanda la Configuración de Windows.

6.

La configuración de seguridad se lleva a cabo en el árbol Configuración de seguridad.

Objetos de directiva de grupo para unidades organizativas

Para administrar la directiva de seguridad en un dominio, debe utilizar unidades organizativas. El dominio ya cuenta con la unidad organizativa Controladores de dominio. No obstante, puede definir otras unidades organizativas si lo considera necesario. Por ejemplo, debería aplicar la configuración de línea de base a nivel del dominio y, a continuación, aplicar la configuración específica a nivel de UO. Por consiguiente, debería crear una unidad organizativa Estaciones de trabajo e incluir en ella a todas las estaciones de trabajo, una unidad organizativa Servidores del dominio y agregarle todos los servidores que pertenezcan al dominio, etc.

Un GPO de unidad organizativa puede reemplazar la configuración de directiva de seguridad implementada por las interfaces de directivas comentadas anteriormente. Por ejemplo, si una directiva establecida para el dominio es incompatible con la misma directiva configurada para la unidad organizativa Controladores de dominio, los controladores de dominio no heredarán la configuración de directivas del dominio. Esto se puede evitar seleccionando la opción No reemplazar al crear un GPO de unidad organizativa. Esta opción fuerza a todos los contenedores secundarios a heredar las directivas de sus contenedores primarios, incluso aunque dichas directivas entren en conflicto con las de los secundarios o se haya establecido la propiedad Bloquear la herencia de directivas para el contenedor secundario. Para encontrar la casilla de verificación No reemplazar, haga clic en el botón Opciones del cuadro de diálogo Propiedades del GPO.

Principio de la páginaPrincipio de la página

Interfaces adicionales de configuración de seguridad

Para simplificar el tema y la implementación, este documento se centra en la administración de la configuración de seguridad mediante las directivas de seguridad de Windows 2000. No obstante, en equipos independientes, dichas interfaces no están disponibles, e incluso en miembros de un dominio a veces puede ser deseable administrar la seguridad caso por caso en lugar de utilizar una directiva de grupo. Por ello, hay disponibles un gran número de herramientas independientes que se pueden utilizar para llevar a cabo dichas tareas. La que se utiliza con mayor frecuencia es el Editor de configuración de seguridad, que se facilita con todos los sistemas operativos Windows 2000.

Editor de configuración de seguridad

El Editor de configuración de seguridad (SCE) se compone de dos complementos de Microsoft Management Console (MMC) diseñados para permitir la configuración y el análisis de la seguridad de los sistemas operativos Windows 2000. El primer complemento es Plantillas de seguridad que ofrece a los administradores un modo gráfico de administrar los archivos .inf utilizados para aplicar la configuración de seguridad. El segundo complemento es Configuración y análisis de seguridad que permite a un administrador analizar la seguridad de un sistema en relación con una determinada plantilla y aplicar la configuración de una plantilla al sistema. Ambas interfaces se muestran en la figura 2. Para poder ver dichos complementos, se debe crear una consola nueva.

Para crear una consola nueva

1.

Haga clic en Inicio, seleccione Ejecutar... y ejecute MMC.

2.

Cuando se abra MMC, haga clic en Consola y, a continuación, seleccione Agregar o quitar complemento... A continuación, haga clic en Agregar... y haga doble clic en Configuración y análisis de seguridad y en Plantillas de seguridad.

3.

Haga clic en Cerrar y en Aceptar para regresar a la consola. Para poder utilizarla en el futuro, puede guardar esta consola de forma que esté disponible en la carpeta Herramientas administrativas en el menú Inicio.

Editor de configuración de seguridad

Figura 2: Editor de configuración de seguridad

Las herramientas del SCE permiten a los administradores configurar la seguridad en los sistemas operativos Windows 2000 y, a continuación, realizar análisis periódicos de los sistemas para asegurarse de que la configuración permanece intacta o para realizar los cambios necesarios a lo largo del tiempo. Ofrecen un acceso eficaz a todos los elementos que se muestran en el árbol Configuración de seguridad en una directiva de grupo.

Para obtener más información sobre el uso de las herramientas del SCE, consulte: http://www.microsoft.com/windows2000/techinfo/howitworks/security/sctoolset.asp.

Otras herramientas

Existen numerosas herramientas que se facilitan con Windows 2000 para la administración de la seguridad. Esta sección presenta brevemente algunas de ellas. Se espera que los administradores estén familiarizados con dichas herramientas y no necesiten mayor información sobre las mismas.

Explorador de Windows: permite la configuración tanto de las listas de control de acceso al sistema (SACL) como de las listas de control de acceso discrecional (DACL) en el sistema de archivos.

Regedt32.exe: permite la configuración tanto de las DACL como de las SACL en el registro.

Cacls.exe: herramienta de línea de comandos que permite la configuración y consulta de las DACL del sistema de archivos.

Net.exe: familia de herramientas de línea de comandos con la que se puede crear y configurar cuentas de usuario y pertenencias a grupos, así como establecer distintas configuraciones como, por ejemplo, si el sistema será visible en las listas de exploración de la red.

Netsh.exe: herramienta de línea de comandos para la configuración de parámetros de red.

Secedit.exe: herramienta de línea de comandos que proporciona la misma funcionalidad que las herramientas del SCE.

(Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)


Principio de la páginaPrincipio de la página