Configuración de la infraestructura de dominios de Active Directory
En esta página
Descripción del módulo
En este módulo se facilita una introducción a los conceptos necesarios para aplicar Directiva de grupo a clientes Microsoft® Windows® XP Professional en dominios Microsoft Windows Server™ 2003 y Microsoft Windows 2000 Server. Directiva de grupo es la característica del servicio de directorio de Microsoft Active Directory® que permite a los administradores modificar los parámetros de usuario y equipo, y administrar la configuración. No obstante, es preciso realizar una serie de pasos previos en el dominio para poder aplicar Directiva de grupo a los clientes Microsoft Windows XP Professional de su entorno.
Esta directiva constituye una herramienta esencial para garantizar la seguridad de Windows XP. En este módulo se proporcionan detalles sobre cómo utilizar Directiva de grupo para aplicar y mantener una directiva de seguridad coherente en la red desde una ubicación central.
Esta guía presenta opciones tanto para entornos de empresa como de nivel de seguridad alto. La configuración recomendada en este módulo es idéntica para clientes de escritorio y de equipos portátiles.
Objetivos
Utilice este módulo para:
| • | Describir la forma en la que Active Directory aplica objetos de directiva de grupo. |
| • | Diseñar una estructura de unidades organizativas que admita la administración de la seguridad. |
| • | Diseñar objetos de directiva de grupo que admitan la administración de la seguridad. |
| • | Administrar plantillas de seguridad. |
| • | Administrar plantillas administrativas. |
| • | Utilizar Directiva de grupo para implementar una directiva de contraseñas eficaz. |
| • | Utilizar Directiva de grupo para implementar una directiva de bloqueo de cuentas eficaz. |
| • | Determinar qué usuarios pueden agregar estaciones de trabajo al dominio. |
| • | Asegurarse de que los usuarios se desconectan al finalizar el período de inicio de sesión permitido. |
| • | Utilizar las herramientas de administración para actualizar directivas y ver resultados de la aplicación Directiva de grupo. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Clientes Windows XP Professional en dominios Windows Server 2003. |
| • | Clientes Windows XP Professional en dominios Windows 2000. |
Uso del módulo
Este módulo proporciona una metodología y describe los pasos necesarios para garantizar la seguridad de los clientes Windows XP Professional en un dominio Active Directory Windows Server 2003 o Windows 2000 mediante Directiva de grupo.
Para sacar el máximo provecho de este módulo:
| • | Lea el módulo "Introducción a la Guía de seguridad de Windows XP" en esta guía. En él se definen los entornos de cliente de empresa y de nivel de seguridad alto a los que se hace referencia en el módulo actual. |
| • | Utilice la lista de comprobación. El documento "Lista de comprobación: Configuración de la infraestructura de dominios de Active Directory" de la sección "Lista de comprobación" de esta guía proporciona un elemento de ayuda que se puede imprimir y consultar como referencia rápida. Emplee la lista de comprobación basada en tareas para evaluar el alcance de los pasos necesarios y como ayuda en la realización de cada uno de ellos. |
Directiva de grupo
Directiva de grupo es la característica de Active Directory que permite modificar los parámetros de usuario y equipo, y administrar la configuración en dominios Windows Server 2003 y Windows 2000 Server. No obstante, es preciso realizar una serie de pasos previos en el dominio para poder aplicar Directiva de grupo a los clientes Windows XP Professional de su entorno.
La configuración de Directiva de grupo se almacena en objetos de directiva de grupo (GPO) en los controladores de dominio del entorno. Los GPO están vinculados a los contenedores, entre los que se incluyen unidades organizativas (UO), dominios y sitios de Active Directory. Debido a que Directiva de grupo está estrechamente integrada con Active Directory, es importante tener conocimientos básicos de la estructura de Active Directory y conocer las implicaciones de seguridad que supone configurar distintas opciones de diseño dentro de la misma antes de implementarla. Para obtener más información sobre el diseño de Active Directory, consulte el módulo "Configurar la infraestructura del dominio" en la Guía de seguridad de Windows Server 2003.
Tabla 1. Plantillas de seguridad de línea de base
| Descripción | Cliente de empresa | Nivel de seguridad alto |
Plantillas de seguridad de línea de base para clientes | Enterprise client-domain.inf | High Security -domain.inf |
Diseño de unidades organizativas compatibles con la administración de la seguridad
Una unidad organizativa es un contenedor dentro de un dominio Active Directory. Una UO puede contener usuarios, grupos, equipos y otras unidades organizativas, conocidas como UO secundarias. Un GPO se puede vincular a una unidad organizativa, que es el contenedor situado en el nivel más inferior de la jerarquía de Active Directory. También se puede delegar en la UO la autoridad administrativa. Las unidades organizativas constituyen un mecanismo sencillo de agrupar usuarios, equipos y otras entidades de seguridad principales, y permiten segmentar de forma muy eficaz los límites administrativos. Asigne usuarios y equipos a unidades organizativas distintas, puesto que ciertos parámetros de configuración sólo se aplican a los usuarios y otros sólo a los equipos.
Puede delegar el control sobre un grupo de unidades o una única unidad organizativa mediante Asistente para delegación de control, disponible como parte de la herramienta de complemento Usuarios y equipos de Microsoft Management Console (MMC) de Active Directory. Consulte la sección "Información adicional" de este módulo para ver vínculos a documentación sobre el proceso de delegación de autoridad.
de diferir significativamente de los requisitos organizativos de su entorno.
Figura 1
Estructura de unidades organizativas para equipos Windows XP
UO Departamento
Como los requisitos de seguridad con frecuencia cambian dentro de una organización, puede que tenga lógica crear una unidad organizativa Departamento en el entorno. La configuración de seguridad del departamento la puede aplicar un GPO a los equipos y usuarios en sus respectivas unidades organizativas de departamento.
UO Usuarios de XP seguros
Esta unidad organizativa contiene las cuentas de los usuarios que participan tanto en el entorno de cliente de empresa como de nivel de seguridad alto. La configuración que se aplica a esta unidad se describe en la sección sobre los parámetros del usuario del módulo "Plantillas administrativas para Windows XP".
UO Windows XP
Esta unidad organizativa contiene unidades organizativas secundarias para cada tipo de cliente Windows XP del entorno. En esta guía se ofrece información para los clientes de escritorio y de equipos portátiles. Por esta razón se han creado una unidad organizativa Escritorio y una unidad organizativa Equipo portátil.
| • | UO Escritorio: incluye los equipos de escritorio que permanecen conectados constantemente a la red corporativa. La configuración que se aplica a esta unidad se describe en mayor detalle en los módulos "Configuración de seguridad para clientes Windows XP" y "Plantillas administrativas para Windows XP". |
| • | UO Equipo portátil: incluye los equipos portátiles de los usuarios móviles que no siempre están conectados a la red corporativa. La configuración que se aplica a esta unidad se describe en mayor detalle en los módulos "Configuración de seguridad para clientes Windows XP" y "Plantillas administrativas para Windows XP". |
Diseño de objetos de directiva de grupo compatibles con la administración de la seguridad
Utilice GPO para asegurarse de que se aplican a todas las estaciones de trabajo o usuarios de una unidad organizativa la configuración, los derechos de usuario y el comportamiento específicos. Al utilizar Directiva de grupo en lugar de seguir los pasos manualmente, resulta muy sencillo actualizar las estaciones de trabajo o usuarios para aplicar los cambios que son siempre necesarios en el futuro. La alternativa a utilizar los GPO para aplicar la configuración es recurrir a un técnico para que los configure manualmente en cada cliente.
Figura 2
Orden de aplicación de los GPO
La figura anterior muestra el orden en el que se aplican los GPO a un equipo que es miembro de la unidad organizativa secundaria. Las directivas de grupo se aplican primero desde la directiva local de cada estación de trabajo Windows XP. Una vez se han aplicado las directivas locales, se aplican los GPO a nivel de sitio y después a nivel de dominio.
Cuando los clientes Windows XP están anidados en varias capas de unidades organizativas, los GPO se aplican en orden descendente, de mayor a menor nivel de unidad organizativa en la jerarquía. El último GPO se aplica desde la unidad organizativa que contiene el equipo cliente. Este orden de procesamiento de los GPO — directiva local, de sitio, de dominio, de UO primaria y de UO secundaria — es muy significativo, ya que los GPO que se apliquen posteriormente en el proceso sobrescribirán a los que se aplicaron previamente. Los GPO de los usuarios se aplican de la misma manera, con la única diferencia de que las cuentas de usuario no cuentan con una directiva de seguridad local.
Tenga en cuenta las siguientes consideraciones cuando diseñe una directiva de grupo:
| • | Un administrador debe establecer el orden en el que se vinculan los distintos GPO a una UO, o las directivas se aplicarán de forma predeterminada en el orden en el que se vincularon a la unidad. Si se especifica el mismo orden en varias directivas, la más alta en la lista de directivas del contenedor será la que tendrá precedencia. |
| • | Puede configurar un GPO con la opción No reemplazar. Al seleccionar esta opción, impide que otros GPO puedan anular la configuración de la directiva. |
| • | Puede configurar una unidad organizativa, un dominio o un sitio de Active Directory con la opción Bloquear la herencia de directivas. Esta opción bloquea la configuración de los GPO más altos en la jerarquía de Active Directory, a menos que se haya seleccionado la opción No reemplazar. |
| • | La configuración de Directiva de grupo se aplica a los usuarios y equipos en función de la ubicación en Active Directory del objeto de usuario o equipo. En algunos casos, los objetos de usuario pueden precisar que se les aplique una directiva teniendo en cuenta la ubicación del objeto de equipo y no la del objeto de usuario. La característica Modo de procesamiento de bucle invertido de la directiva de grupo de usuario permite al administrador aplicar la configuración de Directiva de grupo en función del equipo en el que ha iniciado sesión el usuario. Para obtener más información sobre la compatibilidad de bucle, consulte las notas del producto sobre "Directiva de grupo" que se muestran en la sección "Información adicional" de este módulo. |
La siguiente figura amplía la estructura de unidades organizativas preliminar y muestra cómo se pueden aplicar los GPO a los clientes Windows XP que pertenecen a las unidades organizativas Escritorio y Equipo portátil.
Figura 3
Estructura de unidades organizativas ampliada con GPO de seguridad para equipos de escritorio y portátiles Windows XP
En el ejemplo anterior, los equipos portátiles son miembros de la unidad organizativa Equipo portátil. La primera directiva aplicada a los equipos portátiles Windows XP es la de seguridad local. Puesto que sólo hay un sitio en este ejemplo, no se aplica ningún GPO a nivel de sitio, por lo que se deja el GPO Dominio como la siguiente directiva a aplicar. Por último se aplica el GPO Equipo portátil.
Nota: la directiva de escritorio no se aplica a todos los equipos portátiles puesto que no está vinculada a todas las unidades organizativas de la jerarquía que contiene la UO Equipo portátil. Asimismo, la unidad organizativa Usuarios de XP seguros no dispone de la plantilla de seguridad correspondiente (archivo .inf), ya que sólo incluye la configuración de Plantillas administrativas.
Como ejemplo del funcionamiento de la precedencia entre GPO, la configuración de la directiva de la unidad organizativa Windows XP en el caso de Permitir inicio de sesión a través de Servicios de Terminal Server se establece en el grupo Administradores. La configuración del GPO Equipo portátil en el caso de Permitir inicio de sesión a través de Servicios de Terminal Server se establece en los grupos Usuarios avanzados y Administradores. En este caso, un usuario cuya cuenta se encuentre en el grupo Usuarios avanzados puede iniciar sesión utilizando Servicios de Terminal Server. Esto se debe a que la unidad organizativa Equipo portátil es secundaria de la unidad organizativa Windows XP. Si se activa la opción de directiva No reemplazar en el GPO Windows XP, sólo aquellas cuentas que se incluyan en el grupo Administradores podrán iniciar sesión en el cliente con Servicios de Terminal Server.
Plantillas de seguridad
Las plantillas de Directiva de grupo son archivos basados en texto que se pueden modificar con el complemento Plantillas de seguridad de MMC o un editor de texto como Bloc de notas. Algunas secciones de los archivos de plantilla contienen listas de control de acceso (ACL) específicas, definidas por medio de un lenguaje de definición de descriptores de seguridad (SDDL). Para conocer detalles sobre la modificación de las plantillas de seguridad y SDDL, consulte la sección "Información adicional" de este módulo.
Administración de plantillas de seguridad
Es muy importante que las plantillas de seguridad utilizadas en el entorno de producción se almacenen en una ubicación segura dentro de la infraestructura. El acceso a estas plantillas sólo debería permitirse a los administradores responsables de implementar Directiva de grupo. Las plantillas se almacenan de forma predeterminada en la carpeta %SystemRoot%\security\templates de todos los equipos Windows XP y Windows Server 2003.
Esta carpeta no se replica entre varios controladores de dominio. Por tanto, será preciso seleccionar un controlador que almacene la copia maestra de las plantillas de seguridad para evitar que se produzcan problemas de control de la versión. Con ello se asegurará de que siempre se modifica la misma copia de las plantillas.
Importación de una plantilla de seguridad
Siga el siguiente procedimiento para importar una plantilla de seguridad.
| • | Para importar una plantilla a un GPO:
|
Plantillas administrativas
También se ofrecen parámetros de configuración de la seguridad adicionales en archivos basados en Unicode denominados plantillas administrativas. Se trata de archivos que contienen configuraciones del Registro que afectan a Windows XP y a sus componentes, además de a otras aplicaciones como Microsoft Office XP. Las plantillas administrativas pueden incluir configuración del equipo y del usuario. La configuración del equipo se almacena en el subárbol del Registro HKEY_LOCAL_MACHINE. La configuración del usuario se almacena en HKEY_CURRENT_USER.
Administración de plantillas administrativas
Es muy importante que las plantillas administrativas utilizadas en el entorno de producción se almacenen en una ubicación segura dentro de la infraestructura, al igual que ocurría con las plantillas de seguridad. El acceso a esta ubicación sólo debería permitirse a los administradores responsables de implementar Directiva de grupo. Las plantillas administrativas que se proporcionan con Windows XP y Windows Server 2003 se almacenan en el directorio %systemroot%\inf. El resto de plantillas de Office XP se incluyen en el Kit de recursos de Office XP. Estas plantillas no se deben modificar puesto que pueden variar al salir al mercado nuevos Service Packs.
Incorporación de una plantilla administrativa a una directiva
Además de las plantillas administrativas que se proporcionan con Windows XP, aplique las plantillas de Office XP a aquellos GPO en los que desee configurar los parámetros de Office XP. Siga el siguiente procedimiento para agregar una plantilla a un GPO.
| • | Para agregar una plantilla administrativa a un GPO:
|
Directiva de grupo del nivel de dominio
La directiva de grupo del nivel de dominio incluye parámetros que se aplican a todos los equipos del dominio. La seguridad del nivel de dominio se trata en mayor detalle en el módulo "Configurar la infraestructura del dominio" de la Guía de seguridad de Windows Server 2003 en: http://www.microsoft.com/spain/technet/seguridad/recursos/guias/guia_ws2003.asp.
Directiva de contraseñas
Las contraseñas complejas que se pueden modificar regularmente reducen los riesgos de que se produzcan ataques a las mismas. La configuración de la directiva de contraseñas controla la complejidad y la duración de las contraseñas. En esta sección se describe cada una de las configuraciones de directiva de contraseñas de los entornos de cliente de empresa y de nivel de seguridad alto.
Configure los siguientes valores en la directiva de grupo del dominio en la siguiente ubicación de Editor de objetos de directiva de grupo:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directivas de contraseñas
La siguiente tabla incluye las recomendaciones de la directiva de contraseñas para los dos tipos de entornos definidos en esta guía.
Forzar el historial de contraseñas
Tabla 2. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
24 contraseñas | 24 contraseñas | 24 contraseñas |
La configuración Forzar el historial de contraseñas determina el número de nuevas contraseñas únicas que se deben asociar con una cuenta de usuario antes de que se pueda reutilizar una contraseña anterior. El valor debe estar entre 0 y 24 contraseñas. El valor predeterminado de Windows XP es de 0 contraseñas, pero el de un dominio es de 24. Para mantener la efectividad del historial de contraseñas, utilice la configuración Vigencia mínima de la contraseña, y evite de esta forma que los usuarios puedan cambiar reiteradamente sus contraseñas y burlar la configuración Forzar el historial de contraseñas.
Establezca la configuración Forzar el historial de contraseñas como 24 contraseñas para los dos entornos de seguridad definidos en esta guía. El valor de configuración máximo mejora la seguridad de las contraseñas al garantizar que los usuarios no pueden reutilizar las contraseñas fácilmente, ni por accidente ni intencionadamente. También contribuye a que las contraseñas robadas por un atacante se invaliden antes de que se puedan emplear para burlar la seguridad de una cuenta de usuario. No existen problemas conocidos relacionados con la configuración de este parámetro en su valor máximo.
Vigencia máxima de la contraseña
Tabla 3. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
42 días | 42 días | 42 días |
Los valores de esta configuración van de 1 a 999 días. También puede definir el valor como 0 para especificar que las contraseñas nunca caduquen. Esta configuración define el período en el que un atacante que ha llegado a conocer una contraseña puede utilizarla para tener acceso a un equipo de la red antes de que la contraseña caduque. El valor predeterminado de esta configuración es de 42 días.
Establezca la configuración Vigencia máxima de la contraseña en un valor de 42 días para los dos entornos de seguridad definidos en esta guía. La mayoría de las contraseñas se pueden llegar a averiguar, por tanto, cuanto mayor sea la frecuencia con la que éstas se cambien, menores serán las posibilidades de que el atacante pueda utilizarlas. No obstante, cuanto menor sea el valor de la configuración, mayor será, con mucha probabilidad, el número de llamadas al servicio de asistencia que realice el usuario. Al establecer un valor de 42 en Vigencia máxima de la contraseña se aumenta la seguridad de la contraseña, ya que éstas se cambian cada cierto tiempo.
Vigencia mínima de la contraseña
Tabla 4. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
1 día | 2 días | 2 días |
La configuración Vigencia mínima de la contraseña determina el número de días que se debe utilizar una contraseña antes de que el usuario la cambie. Los valores van de 1 a 999 días, o bien, se puede permitir que la contraseña cambie inmediatamente estableciendo el valor en 0. El valor predeterminado es de 0 días.
El valor de la configuración Vigencia mínima de la contraseña debe ser inferior al especificado para Vigencia máxima de la contraseña, a menos que el valor de esta última opción se configure como 0, lo que hace que la contraseña nunca caduque. Si el valor de Vigencia máxima de la contraseña se configura como 0, el valor de Vigencia mínima de la contraseña se puede configurar en cualquier valor entre 0 y 999.
Si desea que Forzar el historial de contraseñas resulte eficaz, configure este valor de forma que sea superior a 0. Sin configurar un valor para Vigencia mínima de la contraseña, los usuarios podrían cambiar las contraseñas reiteradamente hasta llegar a una anterior de su elección. El valor predeterminado en este caso no sigue esta recomendación. Un administrador puede especificar una contraseña para un usuario y a continuación solicitar al usuario que cambie la que ha definido cuando se conecte. Si Forzar el historial de contraseñas se establece en 0, el usuario no tendría que seleccionar ninguna otra contraseña.
Establezca la configuración Vigencia mínima de la contraseña en un valor de 2 días para los dos entornos de seguridad definidos en esta guía. Este valor es el adecuado cuando la configuración se usa en combinación con un valor de período de tiempo corto similar al de Forzar el historial de contraseñas. Esta restricción impide que los usuarios intenten reciclar la misma contraseña una y otra vez, obligándoles a esperar 2 días completos para poder cambiar la contraseña. También les anima a recordar las nuevas contraseñas, al obligarles a utilizarlas durante al menos 2 días antes de poder restablecerlas, y evita que puedan burlar la restricción de Forzar el historial de contraseñas, al establecerse rápidamente 24 contraseñas nuevas.
Longitud mínima de la contraseña
Tabla 5. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
7 caracteres | 8 caracteres | 12 caracteres |
La configuración Longitud mínima de la contraseña requiere que las contraseñas incluyan un número específico de caracteres. Las contraseñas largas, de 8 o más caracteres, son generalmente más seguras que las cortas. Con esta configuración, los usuarios no pueden usar contraseñas en blanco, sino que además, deben crear contraseñas con un número determinado de caracteres. El valor predeterminado es de 0 caracteres.
encia por parte del usuario. Asimismo, cuando las contraseñas son demasiado largas tampoco contribuyen a favorecer la seguridad, ya que es más probable que los usuarios las registren por escrito para no olvidarlas.
También hay que señalar que cada carácter adicional de una contraseña aumenta su complejidad. Al solicitar contraseñas con al menos 8 caracteres, hasta el LMHash más débil resulta mucho más seguro, ya que las contraseñas más largas hacen que los atacantes tengan que vérselas con dos partes de cada contraseña en lugar de con una. Si una contraseña tiene 7 o menos caracteres, la segunda mitad del LMHash se resuelve en un valor específico que puede informar a un atacante de que la contraseña tiene menos de 8 caracteres.
Se ha debatido mucho la cuestión de que las contraseñas de 8 caracteres resultan menos seguras que las de 7 si se almacena el LMHash. Si una contraseña tiene 7 o menos caracteres, la segunda mitad del LMHash se resuelve en un valor específico que puede informar a un atacante de que la contraseña tiene menos de 8 caracteres. Solicitar contraseñas con al menos 8 caracteres refuerza la seguridad hasta del LMHash más débil, ya que las contraseñas más largas hacen que los atacantes tengan que descifrar dos partes de cada contraseña en lugar de una. Como se pueden atacar dos partes del LMHash en paralelo y la segunda mitad de éste sólo tiene 1 carácter de longitud, podrá sucumbir a un ataque de fuerza bruta en milisegundos, por lo que realmente no contribuye tanto a mejorar la seguridad en el entorno a menos que la contraseña sea un conjunto de caracteres ALT.
Las contraseñas más largas son siempre mejores, y si los LMHash no se almacenan, las de 8 caracteres resultan con diferencia mucho más seguras que las de 7. Por todas estas razones, se recomienda utilizar contraseñas largas en lugar de cortas.
En el entorno de cliente de empresa, asegúrese de que el valor de Longitud mínima de la contraseña se configura en el predeterminado 8 caracteres. Esta configuración de contraseña es lo suficientemente larga como para proporcionar la seguridad adecuada y al mismo tiempo lo bastante corta como para que los usuarios la recuerden con facilidad. En el entorno de nivel de seguridad alto, establezca el valor en 12 caracteres.
Las contraseñas deben cumplir los requerimientos de complejidad
Tabla 6. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
Habilitado | Habilitado | Habilitado |
La configuración Las contraseñas deben cumplir los requerimientos de complejidad comprueba todas las nuevas contraseñas para asegurarse de que se cumplen los requisitos básicos de las contraseñas seguras. De forma predeterminada, el valor de esta configuración en Windows XP se establece en Deshabilitado, pero aparece como Habilitado en el dominio Windows Server 2003.
También hay que señalar que cada carácter adicional de una contraseña aumenta su complejidad. Por ejemplo, una contraseña de 7 dígitos debería tener 267 ó 1 x 107 combinaciones posibles. Una contraseña alfabética de 7 caracteres que distinga mayúsculas y minúsculas tiene 527 combinaciones. Una contraseña alfanumérica de 7 caracteres que distinga mayúsculas y minúsculas sin puntuación tiene 627 combinaciones. Con 1.000.000 de intentos por segundo, sólo se tardarían 48 minutos en averiguarla. Una contraseña de 8 caracteres tiene 268 ó 2 x 1011 combinaciones posibles. A simple vista el número nos podría dejar boquiabiertos. Sin embargo, con 1.000.000 de intentos por segundo, con utilidades de ataque a las contraseñas sólo se tardarían 59 horas en intentar todas las contraseñas posibles. Recuerde que el tiempo será mucho mayor si se utilizan caracteres ALT y otros caracteres especiales del teclado como ! o @.
La utilización de una combinación de todas estas configuraciones hará realmente difícil, si no imposible, que se pueda realizar un ataque de fuerza bruta.
Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio
Tabla 7. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
Deshabilitado | Deshabilitado | Deshabilitado |
La configuración Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio determina si el sistema operativo almacena contraseñas con el cifrado reversible. Admite las aplicaciones que utilizan protocolos que requieren que se conozca la contraseña del usuario para la autenticación. El almacenamiento de contraseñas con el cifrado reversible es prácticamente la misma operación que almacenar versiones en texto no cifrado de las contraseñas. Por esta razón, esta directiva nunca se debe habilitar a menos que los requisitos de la aplicación tengan más peso que la necesidad de proteger la información de contraseña. El valor predeterminado de esta configuración es Deshabilitado.
Esta directiva se requiere cuando se utiliza el protocolo de autenticación por desafío mutuo (CHAP) a través del acceso remoto o el servicio de autenticación de Internet (IAS). También se requiere al utilizar la autenticación de texto implícita en los Servicios de Internet Information Server (IIS) de Microsoft.
Asegúrese de que el valor de Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio es Deshabilitado. Esta directiva se deshabilita en el GPO predeterminado de dominios de Windows Server 2003 y en la directiva de seguridad local para las estaciones de trabajo y servidores.
Debido a la gran vulnerabilidad que produce la activación de esta directiva, Microsoft recomienda utilizar el valor predeterminado Deshabilitado en los dos entornos definidos en esta guía.
Mecanismos para impedir que los usuarios cambien las contraseñas excepto cuando se les solicite
Además de las directivas sobre contraseñas expuestas anteriormente, el control centralizado sobre todos los usuarios es un requisito para algunas organizaciones. En esta sección se describen los mecanismos para impedir que los usuarios puedan cambiar sus contraseñas excepto cuando se les requiera específicamente que lo hagan.
El control centralizado de las contraseñas de los usuarios es la piedra angular de cualquier esquema de seguridad de un sistema Windows XP bien diseñado. Puede emplear Directiva de grupo para establecer la vigencia mínima y máxima de las contraseñas, como se analizó anteriormente. No obstante, tenga en cuenta que solicitar cambios frecuentes de contraseña puede favorecer el que los usuarios burlen la configuración del historial de contraseñas del entorno. Solicitar contraseñas demasiado largas también puede incrementar el número de llamadas al servicio de asistencia, puesto que contribuye a que los usuarios las olviden con más frecuencia.
Los usuarios pueden cambiar sus contraseñas en el período entre las configuraciones de vigencia mínima y máxima de la contraseña. Sin embargo, el diseño de la seguridad del entorno de nivel de seguridad alto requiere que los usuarios las cambien sólo cuando el sistema operativo así se lo solicite, después de que sus contraseñas hayan llegado a la vigencia máxima de 42 días. El administrador puede configurar Windows de forma que permita a los usuarios cambiar sus contraseñas sólo cuando el sistema operativo se lo indique. Para evitar que los usuarios puedan cambiar sus contraseñas (excepto cuando se les solicite), puede deshabilitar el botón Cambiar contraseña del cuadro de diálogo Seguridad de Windows que aparece al presionar Ctrl+Alt+Supr.
Esta configuración se puede implementar en todo el dominio con Directiva de grupo o en uno o varios usuarios específicos mediante la edición del registro. Para obtener instrucciones detalladas sobre esta configuración, consulte el artículo 324744 de Microsoft Knowledge Base, "CÓMO: Impedir que los usuarios cambien una contraseña excepto cuando se les pida en Windows Server 2003", en: http://support.microsoft.com/default.aspx?scid=324744. Si tiene un dominio Windows 2000, consulte el artículo 309799 de Microsoft Knowledge Base, "CÓMO: Impedir que los usuarios cambien una contraseña excepto cuando se les pida", en: http://support.microsoft.com/default.aspx?scid=309799.
Directiva de bloqueo de cuentas
Directiva de bloqueo de cuentas es una característica de seguridad de Active Directory que bloquea las cuentas de usuario después de un número determinado de intentos de inicio de sesión sin éxito dentro de un período especificado. El número de intentos permitidos y el período de tiempo se basan en los valores establecidos en la configuración del bloqueo de la directiva de seguridad. Un usuario no puede iniciar sesión en una cuenta bloqueada. Los controladores de dominio realizan un seguimiento de los intentos de inicio de sesión, y el software del servidor se puede configurar de forma que responda a este tipo de ataques potenciales deshabilitando la cuenta durante un período establecido previamente.
Al configurar Directiva de bloqueo de cuentas en un dominio Active Directory, un administrador puede establecer cualquier valor para las variables de intentos y período de tiempo. No obstante, si el valor de Restablecer la cuenta de bloqueos después de es superior al de Duración del bloqueo de cuenta, el controlador de dominio ajusta automáticamente el valor de Duración del bloqueo de cuenta al mismo valor de Restablecer la cuenta de bloqueos después de.
Asimismo, si el valor de Duración del bloqueo de cuenta es inferior al de Restablecer la cuenta de bloqueos después de, el controlador de dominio ajusta automáticamente el valor de Restablecer la cuenta de bloqueos después de al mismo valor de Duración del bloqueo de cuenta. Por tanto, si se define el valor de Duración del bloqueo de cuenta, el valor de Restablecer la cuenta de bloqueos después de debe ser inferior o igual al configurado para Duración del bloqueo de cuenta.
El controlador de dominio lo hace así para evitar valores conflictivos en la directiva de seguridad. Si el administrador configura Restablecer la cuenta de bloqueos después de en un valor superior al de Duración del bloqueo de cuenta, entonces la obligatoriedad del valor configurado para Duración del bloqueo de cuenta caducará en primer lugar y hará posible que el usuario pueda volver a conectarse a la red. Sin embargo, la configuración Restablecer la cuenta de bloqueos después de continuará con la cuenta atrás. Por esta razón, la configuración Umbral de bloqueos de la cuenta permanecerá en el máximo de 3 intentos no válidos y el usuario no podrá iniciar sesión.
Para evitar esta situación, el controlador de dominio restablece automáticamente el valor de Restablecer la cuenta de bloqueos después de para que sea igual al de Duración del bloqueo de cuenta.
Estas configuraciones de directivas de seguridad ayudan a evitar que los atacantes puedan averiguar las contraseñas de los usuarios y reducen las probabilidades de ataques con éxito en el entorno de red. Configure los valores de la siguiente tabla en la directiva de grupo del dominio en la siguiente ubicación de Editor de objetos de directiva de grupo:
Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas de cuenta\Directiva de bloqueo de cuentas
La tabla 8 incluye las recomendaciones de la directiva de bloqueo de cuentas para los dos entornos de seguridad definidos en esta guía.
Duración del bloqueo de cuenta
Tabla 8. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
No está definido | 30 minutos | 30 minutos |
La configuración Duración del bloqueo de cuenta determina el tiempo que debe pasar antes de que una cuenta se bloquee y de que un usuario pueda volver a intentar iniciar sesión. Funciona especificando el número de minutos que permanece no disponible una cuenta bloqueada. Si el valor de Duración del bloqueo de cuenta se configura en 0, las cuentas permanecen bloqueadas hasta que el administrador las desbloquea. El valor predeterminado de Windows XP para esta configuración es No está definido.
Para reducir el número de llamadas al servicio de asistencia y al mismo tiempo favorecer una infraestructura segura, configure el valor de Duración del bloqueo de cuenta en 30 minutos para los dos entornos definidos en esta guía.
Aunque configurarlo para que nunca desbloquee las cuentas automáticamente puede parecer una buena idea, esto podría incrementar el número de llamadas al servicio de asistencia que recibiría su organización por parte de usuarios que solicitarían el desbloqueo de las cuentas que se han bloqueado por error. Al establecer el valor en 30 minutos en cada uno de los niveles de bloqueo, se reducen las posibilidades de ataques de denegación del servicio (DoS). Este valor también da a los usuarios la oportunidad de volver a iniciar sesión a los 30 minutos tras bloquearse sus cuentas, un período de tiempo lo suficientemente corto como para que los usuarios no acudan al servicio de asistencia.
Umbral de bloqueos de la cuenta
Tabla 9. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
0 intentos de inicio de sesión incorrectos | 50 intentos de inicio de sesión incorrectos | 50 intentos de inicio de sesión incorrectos |
La configuración Umbral de bloqueos de la cuenta determina el número de intentos que puede realizar el usuario para iniciar sesión en una cuenta antes de que ésta se bloquee.
Los usuarios autorizados pueden bloquear sus propias cuentas al no recordar su contraseña, al escribirla incorrectamente o al cambiarla en un equipo mientras han iniciado sesión en otro. El equipo con la contraseña incorrecta intenta de forma continuada autenticar al usuario y, puesto que la contraseña que utiliza para ello es incorrecta, la cuenta del usuario al final se bloquea. Este problema no se produce en las organizaciones que utilizan controladores de dominio que ejecutan Windows Server 2003 o anterior. Para evitar el bloqueo de los usuarios autorizados, establezca el umbral de bloqueos de la cuenta en un número alto. El valor predeterminado de esta configuración es 0 intentos de inicio de sesión incorrectos.
Configure el valor de Umbral de bloqueos de la cuenta en 50 intentos de inicio de sesión incorrectos para los dos entornos definidos en esta guía.
Debido a que las vulnerabilidades pueden existir tanto cuando se establece el valor de esta configuración como cuando no, se han definido distintas contramedidas para cada una de las posibilidades. Su organización debería valorar las dos alternativas teniendo en cuenta las amenazas y riesgos identificados que se intentan evitar. Son dos las opciones a considerar en el caso de esta configuración.
| • | Establezca el valor de Umbral de bloqueos de la cuenta en 0 para asegurarse de que las cuentas no se bloquean. Este valor evitará los ataques DoS que intenten bloquear intencionadamente las cuentas de su organización. También reducirá las llamadas al servicio de asistencia, puesto que los usuarios no podrán bloquear por accidente sus propias cuentas. Como esta configuración no impide los ataques de fuerza bruta, configúrela exclusivamente en un valor superior a 0 si se cumplen explícitamente los dos criterios siguientes:
|
Si no se pueden cumplir los criterios anteriores, la segunda opción es:
| • | Configurar Umbral de bloqueos de la cuenta en un valor lo suficientemente alto como para permitir que los usuarios puedan escribir incorrectamente sus contraseñas varias veces sin que se bloqueen sus cuentas, pero al mismo tiempo que asegure que éstas se bloquean en caso de ataques de fuerza bruta. En este caso, utilizar un valor de entre 3 y 5 intentos de inicio de sesión no válidos garantiza la seguridad y permite un uso aceptable. Este valor evitará bloqueos accidentales y reducirá el número de llamadas al servicio de asistencia, pero no impedirá los ataques DoS, como se describió anteriormente. |
Restablecer la cuenta de bloqueos después de
Tabla 10. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
No está definido | 30 minutos | 30 minutos |
La configuración Restablecer la cuenta de bloqueos después de determina la cantidad de tiempo antes de que Umbral de bloqueos de la cuenta se restablezca a 0. El valor predeterminado de esta configuración es No está definido. Si se define Umbral de bloqueos de la cuenta, este tiempo de restablecimiento debe ser inferior o igual al valor de Duración del bloqueo de cuenta.
Configure Restablecer la cuenta de bloqueos después de en 30 minutos para los dos entornos definidos en esta guía.
Si deja esta configuración con su valor predeterminado o lo establece en un intervalo demasiado largo, el entorno podría resultar vulnerable a los ataques DoS. Un atacante podría realizar una serie de intentos de inicio de sesión malintencionados en todas las cuentas de usuario de la organización y bloquearlas, como se describió anteriormente. Si no se determina ninguna directiva para restablecer el bloqueo, los administrados deberían desbloquear manualmente todas las cuentas. Por el contrario, si no se establece un valor de tiempo razonable para esta configuración, los usuarios se bloquearán durante un período de tiempo establecido hasta que todas las cuentas se desbloqueen automáticamente. Por lo tanto, la configuración recomendada de 30 minutos define un período que probablemente los usuarios aceptarán sin recurrir al servicio de asistencia.
Asignación de derechos de usuario
Las asignaciones de derechos de usuario se describen en detalle en el módulo "Configuración de seguridad para clientes Windows XP". Sin embargo, se debe establecer el derecho de usuario Agregar estaciones de trabajo al dominio en todos los controladores de dominio, razón por la que esta cuestión se trata en este módulo. Puede encontrar información adicional sobre el servidor miembro y el controlador de dominio en el módulo "Crear una línea de base de servidores miembro" de la Guía de seguridad de Windows Server 2003.
Agregar estaciones de trabajo al dominio
Tabla 11. Configuración
| Predeterminada del controlador de dominio | Cliente de empresa | Nivel de seguridad alto |
Usuarios autenticados | Administradores | Administradores |
El derecho de usuario Agregar estaciones de trabajo al dominio permite al usuario agregar equipos a un dominio específico. Para que este derecho tenga efecto se debe asignar al usuario como parte de la directiva predeterminada de controladores de dominio del dominio específico. Un usuario que disfrute de este derecho puede agregar hasta 10 estaciones de trabajo. Los usuarios con el permiso Crear objetos de equipo para una unidad organizativa o el contenedor Equipos de Active Directory también pueden agregar un equipo a un dominio. Los usuarios con este permiso pueden agregar un número ilimitado de equipos al dominio independientemente de si se les ha asignado el derecho Agregar estaciones de trabajo al dominio o no.
De forma predeterminada, todos los usuarios del grupo Usuarios autenticados pueden agregar hasta 10 cuentas de equipo a un dominio Active Directory. Estas nuevas cuentas de equipo se crean en el contenedor Equipos.
En un dominio Active Directory, cada cuenta de equipo es una entidad de seguridad principal con capacidad para autenticar y obtener acceso a los recursos. Algunas organizaciones optan por limitar el número de equipos en el entorno de Active Directory para poder realizar un seguimiento de los mismos, generarlos y administrarlos de forma coherente.
Si se permite que los usuarios agreguen estaciones de trabajo al dominio, todo este esfuerzo puede verse dificultado. También abre vías para que puedan realizar actividades que resultan más difíciles de controlar, ya que pueden crear nuevos equipos de dominio no autorizados.
Por todas estas razones, el derecho de usuario Agregar estaciones de trabajo al dominio sólo se debe conceder al grupo Administradores en los dos entornos definidos en esta guía.
Configuración de seguridad
La directiva de cuentas se debe definir en la directiva predeterminada de dominio y la fuerzan los controladores de dominio del dominio específico. Un controlador de dominio siempre obtiene la directiva de cuenta del GPO Directiva predeterminada de dominio, aunque se aplique una directiva de cuenta distinta a la unidad organizativa que contiene el controlador.
Existen dos directivas en Opciones de seguridad que también se comportan como directivas de cuenta a nivel de dominio. Configure los siguientes valores en la directiva de grupo del dominio de la siguiente tabla en esta ubicación de Editor de objetos de directiva de grupo:
Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad
Servidor de red Microsoft: desconectar a los clientes cuando termine el tiempo de sesión
Tabla 12. Configuración
| Predeterminada de miembro de dominio | Cliente de empresa | Nivel de seguridad alto |
No está definido | Habilitado | Habilitado |
El parámetro Servidor de red de Microsoft: desconectar a los clientes cuando termine el tiempo de sesión determina si se desconecta a los usuarios conectados al equipo local fuera de las horas válidas de inicio de sesión de la cuenta del usuario. Esta configuración afecta al componente Bloques de mensajes de servidor (SMB). Cuando esta directiva está habilitada, hace que las sesiones del cliente con el servicio SMB se desconecten después de que ha transcurrido el tiempo de sesión válido del cliente. Cuando está deshabilitada, se permite que continúe la sesión de cliente establecida después de transcurrido el tiempo de sesión. Al habilitar esta configuración, asegúrese de que Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión también lo está.
Si su organización ha configurado el tiempo de sesión de los usuarios, resulta buena idea habilitar esta directiva. De lo contrario, los usuarios que se supone que no pueden tener acceso a los recursos de la red fuera del tiempo de sesión que les corresponde, en realidad podrán continuar utilizando los recursos en distintas sesiones durante las horas permitidas.
Si su organización no controla el tiempo de sesión, la utilización de esta configuración no tendrá ningún efecto. Si, por el contrario, sí que las controla, las sesiones de los usuarios se darán por terminadas en cuanto expire el tiempo de sesión correspondiente.
Acceso de red: permitir traducción SID/nombre anónima
Tabla 13. Configuración
| Predeterminada de miembro de dominio | Cliente de empresa | Nivel de seguridad alto |
No está definido | Deshabilitado | Deshabilitado |
El parámetro Acceso de red: permitir traducción SID/nombre anónima determina si un usuario anónimo puede solicitar el SID de otro.
Si se habilita esta configuración en un controlador de dominio, un usuario que conozca los atributos de SID de un administrador podría ponerse en contacto con un equipo que también tuviera esta directiva habilitada y utilizar dicho SID para obtener el nombre del administrador. Esa persona podría entonces utilizar el nombre de cuenta para iniciar un ataque de contraseña. La configuración predeterminada en los equipos miembros es Deshabilitado, lo que significa que no tendrá efecto alguno sobre ellos. Sin embargo, la configuración predeterminada de los controladores de dominio es Habilitado. Si se deshabilita esta configuración puede que los sistemas heredados no se puedan comunicar con los dominios basados en Windows Server 2003 como:
| • | Servidores de servicio de acceso remoto (RAS) basados en Microsoft Windows NT® 4.0. |
| • | Cuando una aplicación Web en IIS se configura para permitir Autenticación básica y al mismo tiempo tiene la opción Acceso anónimo deshabilitada, la cuenta de usuario Invitado integrada no puede tener acceso a la aplicación Web. Asimismo, si cambia el nombre de la cuenta de usuario Invitado integrada, este nuevo nombre no se puede utilizar para tener acceso a la aplicación Web. |
| • | Equipos basados en servidores de servicio de acceso remoto Windows 2000 ubicados en dominios Windows NT 3.x o Windows NT 4.0. |
Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión
Tabla 14. Configuración
| Predeterminada de miembro de dominio | Cliente de empresa | Nivel de seguridad alto |
Deshabilitado | Habilitado | Habilitado |
El parámetro Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión determina si se desconecta a los usuarios conectados a un equipo local después del tiempo de sesión válido de la cuenta del usuario. Este parámetro afecta al componente SMB.
Al habilitar esta directiva se desconectan las sesiones de los usuarios con el servidor SMB cuando expira el tiempo de sesión del cliente y el usuario ya no puede iniciar sesión en el sistema hasta el momento en el que lo tiene nuevamente programado. Si se deshabilita la directiva, se mantiene la sesión establecida del cliente después de que ha transcurrido el tiempo de sesión válido. Para que tenga efecto sobre las cuentas de dominio, esta configuración se debe definir en la directiva predeterminada de dominio.
Directiva Kerberos
Las directivas del protocolo de autenticación de la versión 5 de Kerberos se configuran en los controladores de dominio, no en los equipos miembros del dominio. Estas directivas determinan la configuración relacionada con Kerberos, como la obligatoriedad y la vigencia máxima de los vales de servicio. Las directivas Kerberos no existen en la directiva de equipo local. En la mayoría de los entornos, los valores predeterminados de estas directivas no se deberían modificar. Este consejo no proporciona ningún cambio a la directiva predeterminada Kerberos. Para obtener más información sobre esta configuración, consulte la guía que acompaña a ésta: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP en http://go.microsoft.com/fwlink/?LinkId=15159.
Directivas de grupo de nivel de unidad organizativa
La configuración de seguridad incluida en la directiva de grupo de nivel de unidad organizativa debe ser específica de la unidad. Incluye tanto configuración de equipo como de usuario. Para facilitar la administración y mejorar la seguridad, la sección que cubre las directivas de restricción de software (SRP) se separa del resto de configuraciones de seguridad en esta guía. En el módulo "Directiva de restricción de software para clientes Windows XP" se describe SRP de forma detallada.
Directiva de grupo de la configuración de seguridad
Deberá crear un GPO para cada categoría de equipo Windows XP del entorno. Los equipos portátiles y de escritorio se dividen en unidades organizativas independientes en esta guía para poder aplicar los GPO personalizados a cada una de las categorías de equipos.
Configuración de la directiva de restricción de software
Cree GPO dedicados para establecer la configuración de SRP en el entorno. Existen un par de razones de peso para mantener la configuración de SRP separada de la configuración de Directiva de grupo restante. En primer lugar, SRP es diferente en concepto del resto de la configuración de Directiva de grupo. En lugar de habilitar o deshabilitar las opciones, o de configurar valores, SRP requiere que los administradores identifiquen el conjunto de aplicaciones compatibles, las restricciones que se aplicarán y cómo se tratarán las excepciones. En segundo lugar, este método facilita la rápida recuperación en caso de que se produjera un error grave, mediante la implementación de directivas SRP en el entorno de producción: los administradores pueden deshabilitar temporalmente los GPO en los que se define la configuración de SRP sin que se vea afectada la configuración de seguridad restante.
Herramientas de directivas de grupos
Son varias las herramientas que se proporcionan con Windows XP y que facilitan el trabajo con los GPO. En la sección siguiente se ofrece una breve descripción de dichas herramientas. Para obtener más información sobre las mismas, consulte la Ayuda de Windows XP.
Obligatoriedad de la actualización de Directiva de grupo
Aunque Active Directory actualiza Directiva de grupo de forma periódica, puede forzar a que la versión de su equipo cliente se actualice utilizando para ello GpUpdate, una herramienta de línea de comandos que se facilita con Windows XP Professional. Esta herramienta se debe ejecutar de forma local en los equipos cliente.
Para actualizar un equipo cliente con GpUpdate, escriba el siguiente comando:
Gpupdate /force
Después de ejecutar GpUpdate, se devolverá la siguiente información de confirmación:
C:\Documents and Settings\administrator.MSSLAB>gpupdate /force Refreshing Policy... Refreshing Policy... Se ha completado la Actualización de directiva de usuario. La actualización de la directiva de equipo ha finalizado. Para comprobar los errores durante el procesamiento de directivas, revise el registro de eventos. C:\Documents and Settings\administrator.MSSLAB>
En el caso de las directivas de grupo basadas en usuarios, deberá cerrar sesión y volver a iniciarla en el equipo que utiliza para comprobar las directivas. Las directivas de equipo se deberían actualizar inmediatamente.
Para ver opciones adicionales para ejecutar GpUpdate escriba:
Gpupdate /?
Visualización del conjunto resultante de directivas
Existen dos herramientas que se proporcionan con Windows XP que permiten determinar qué directivas se han aplicado a los equipos del entorno, cuándo se aplicaron y en qué orden.
Complemento RSoP
Conjunto resultante de directivas (RSoP.msc) es una herramienta de complemento de MMC que muestra la configuración de agregado que se ha aplicado a un equipo. Esta herramienta se puede ejecutar de forma local o remota desde otro equipo. En cada configuración de directiva, la herramienta RSoP muestra la configuración del equipo y el GPO de origen.
GpResult
GpResult es una herramienta de la línea de comandos que ofrece estadísticas sobre cuándo se aplicó más recientemente Directiva de grupo a un equipo, qué GPO se aplicaron al mismo y en qué orden. Esta herramienta también proporciona información sobre cualquier GPO que se haya aplicado mediante el filtrado. GpResult se puede emplear de forma remota o local en los equipos cliente.
Resumen
Directiva de grupo es una característica basada en Active Directory diseñada para controlar los entornos de usuario y equipo en dominios Windows Server 2003 y Windows 2000. Antes de aplicarla a equipos de escritorio Windows XP es preciso realizar ciertos pasos previos en el dominio.
La configuración de Directiva de grupo almacenada en los objetos de directiva de grupo (GPO) de los controladores de dominio del entorno se vinculan a contenedores, entre los que se incluyen sitios Web, dominios y unidades organizativas que residen dentro de la estructura de Active Directory. Es importante conocer la estructura de Active Directory y las implicaciones de seguridad que supone configurar distintas opciones de diseño dentro de la misma antes de implementar Directiva de grupo.
Esta directiva constituye una herramienta esencial para garantizar la seguridad de Windows XP. Este módulo incluye detalles sobre cómo utilizar Directiva de grupo para aplicar y mantener una directiva de seguridad coherente en la red desde una ubicación central.
También proporciona información sobre los distintos niveles de Directiva de grupo y sobre las herramientas especiales disponibles para Windows XP y que se pueden emplear para actualizarla en su entorno.
Información adicional
Para obtener más información sobre el diseño y la administración de Active Directory, consulte las notas del producto "Design Considerations for Delegation of Administration in Active Directory", en el sitio Web de Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/addeladm.mspx.
Para obtener más información sobre el diseño de Active Directory, consulte las notas del producto, "Best Practice Active Directory Design for Managing Windows Networks", en el sitio Web de Microsoft: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/plan/bpaddsgn.mspx.
Para obtener más información sobre Directiva de grupo, consulte las notas del producto "Step-by-Step Guide to Understanding the Group Policy Feature Set", en el sitio Web de Microsoft en: http://www.microsoft.com/windows2000/techinfo/planning/management/groupsteps.asp.
Para obtener más información sobre la seguridad de Windows XP, consulte la documentación en línea del Kit de recursos de Windows XP Professional en el sitio Web de Microsoft: http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/Default.asp?url=/resources/documentation/Windows/XP/all/reskit/en-us/prork_overview.asp.
Para obtener nueva información sobre seguridad para Windows XP, consulte las notas del producto, "What's New in Security for Windows XP Professional and Windows XP Home Edition", en el sitio Web de Microsoft: http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/xpsec.mspx.
Para obtener más información sobre las plantillas administrativas, consulte las notas del producto, "Implementing Registry - Based Group Policy", en el sitio Web de Microsoft: http://www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.
Para obtener más información sobre la herramienta de actualización de Directiva de grupo (GpUpdate), consulte: http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/refrgp.mspx.
Para obtener más información sobre la herramienta Conjunto resultante de directivas (RSoP), consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/resources/documentation/windows/xp/all/proddocs/en-us/rspintro.mspx.
Para obtener más información sobre la herramienta Resultados de directiva de grupo (GpResult), consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/resources/documentation/windows/xp/all/proddocs/en-us/gpresult.mspx.
Para obtener más información sobre la delegación de autoridad en Active Directory, consulte la sección Windows 2000 Resource Kits de "Planning Distributed Security" en: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/deploy/dgbe_sec_haqs.asp.