View
5
Download
1
Category
Preview:
Citation preview
Windows Server 2003. Gestión de GPOs
Fernando Punzón Ortiz
fpunzon@informatica64.com
Código: HOL-WIN02
Agenda
• Introducción
• Infraestructura de GPO
• GPMC
• Plantillas de Seguridad
• Migración de GPO
Introducción
• Las GPO gestionan configuraciones especificas para máquinas y usuarios
• Incluyen entre otras las siguientes opciones:– Seguridad– Instalacion de Software– Redireccion de carpetas– Mantenimiento de Internet Explorer
• Las GPO se vinculan a contenedores:– Sitios– Dominios– Unidades organizativas
Requisitos
• Para el uso de GPO:– Directorio Activo– Clientes con Windows 2000 o posteriores
• Para el uso de la GPMC– Un dominio Windows 2000 o Windows 2003– Aunque la herramienta debe instalarse en
Windows 2003 o Windows XP con SP1
Novedades en Windows 2003
• Restauracion del sistema
• Terminal server.
• Personal firewall.
• Panel de control
• Windows Media® Player.
• Configuracion Wireless
• Restricciones de software
GPMC
Agenda
• Infraestructura de GPO
Caracteristicas generales
• Las GPOs no pueden vincularse directamente a usuarios, equipos o grupos.
• Una GPO puede vincularse a más de un sitio, dominio o unidad organizativa.
• Un sitio, dominio o unidad organizativa puede tener varias GPOs vinculadas
Orden general de aplicación
Local Security Policy
Site Policy
Domain Policy
Parent OU Policy
Child OU Policy
Ejemplo de aplicacionGroup Policy and the Active Directory
Site
OU’s
Resources
Group Policy Objects
A1
A2
A3
A5A4
Streetmarket.com
Domain
Accounts
DesktopsHeadquarters Marketing Servers
A6
Server OU GPOs applied = A3, A1, A2, A4, A6Marketing OU GPOs applied = A3, A1, A2, A5
Gestion de la herencia de las GPO
• Precedencia cuando existen varias GPO vinculadas a un contenedor
• Bloqueo de la herencia, a nivel del contenedor que no recibe la herencia desde el contenedor padre– P.e.bloquear una GPO que se aplica para todo el dominio en
una determinada OU.
• No sobreescritura, asegura la precedencia de la GPO del contenedor de mas alto nivel
• Deshabilitacion de la GPO– Completa– A nivel de equipo, o de usuario
Filtrado del ambito de la GPO
• Filtrado de Seguridad
• Filtros WMI
Filtrado de Seguridad
• Permite la aplicación de la GPO únicamente a determinados grupos usuarios o maquinas
• Revocación de los permisos de Lectura y Apply Group Policy (AGP)
• Por defecto todas las GPO conceden permisos de Lectura y Apply Group Policy (AGP) al grupo de usuarios autentificados que incluye usuarios y maquinas
Filtros WMI
• Los filtros WMI permiten determinar dinámicamente el ámbito de las GPO en función de caracteristicas de la máquina de destino
• El filtro evalúa la máquina de destino, si el resultado del filtrado es falso la GPO no se aplica.
• Si la máquina de destino es Windows 2000 el filtro se ignora y siempre se aplica la GPO
• Los filtros consisten en consultas en lenguaje WQL
• Cada GPO solo puede tener un unico filtro WMI
Posibles usos de filtros WMI
• Servicios – Equipos en los que el DHCP está arrancado.
• Hardware – Equipos con un procesador Pentium IV
• Software– Equipos Visual Studio® .NET instalado.
• Ping – Equipos que pueden hacer ping a un servidor determinado en menos de 100 milisegundos
Ejemplos de filtros WMI
• Root\CimV2; Select * from Win32_ComputerSystem where manufacturer = “Toshiba” and Model = “Tecra 800” OR Model = “Tecra 810”
• Root\cimv2 ; Select * from Win32_Directory where filename =’my documents’ AND encrypted = false
• Root\cimv2;Select * from Win32_Product where name = “MSIPackage1” OR name = “MSIPackage2” OR name = “MSIPackage32”
• Root\CimV2; Select * from Win32_LogicalDisk where FreeSpace > 629145600
Agenda
• GPMC
Group Policy Management Console
Group Policy Management Console
Group Policy Management Console
Group Policy Management Console
Group Policy Management Console
Group Policy Management Console
Group Policy Management Console
Agenda
• Plantillas de Seguridad
Plantillas de Seguridad
• Proporcionan los mecanismos para incrementar la seguridad sobre los equipos.
• Son ficheros que proporcionan la capacidad para simplificar la implantación de seguridad en equipos.
• Incrementan o modifican las directivas que se están aplicando.
Plantillas de Seguridad
Aplicación de Plantillas
• Las plantillas pueden aplicarse por importación en políticas locales o mediante el uso en GPO.
• Mediante la herramienta de configuración de seguridad.
• Mediante línea de comando con la ejecución del comando Secedit.
Componentes de las Plantillas
• Las plantillas de seguridad controlan los siguientes aspectos de una máquina:
– Cuentas de usuario.– Auditorías.– Derechos de usuarios.– Opciones de seguridad.– Visor de sucesos.– Grupos restringidos.– Servicios.– Claves de registro.– Sistema de ficheros.
Componentes de las Plantillas
Área de seguridad Descripción
Directivas de cuentas
Directivas de contraseñas, de bloqueo de cuentas y Kerberos
Directivas localesDirectiva de auditoría, asignación de derechos de usuario y opciones
de seguridad
Registro de sucesos
Configuración de los registros de aplicación, sistema y sucesos de seguridad
Grupos restringidos
Pertenencia a grupos sensibles a la seguridad
Servicios del sistema
Inicio y permisos para servicios del sistema
Registro Permisos para claves del Registro
Sistema de archivos
Permisos para carpetas y archivos
Plantillas Predefinidas.
• Plantilla por defecto (Setup security).– Utilizada habitualmente para restaurar a una
situacion original en combinacion con plantillas incrementales, contiene una gran cantidad opciones configuradas
• Plantilla de controladores de dominio (DC security).– Plantilla por defecto aplicada como parte del
Dcpromo.
Plantillas Predefinidas II
• Compatible (Compatws).– Incremental relaja las permisos en el sistema de archivos y en el
registro para permitir a usuarios sin privilegios ejecutar determinadas aplicaciones
• Seguridad (Securedc Securews).– Incrementales. Aumentan la seguridad en cliente o servidor
• Altamente seguro (Hisecdc Hisecws).– Incrementales. Alta seguridad en cliente y en servidor
• Seguridad permisos raíz de las unidades (Rootsec).– Incremental aplica permisos por defecto a la raiz del sistema.
Herramientas de Gestión de Plantillas
• La administración de las plantillas puede ser realizada desde:
– La consola Plantillas de seguridad.
– Consola configuración y análisis de la seguridad.
• Ambas herramientas son añadidas como complementos de MMC.
Consola de Plantillas de Seguridad
• Gestiona aquellas plantillas predefinidas por Microsoft. Se encuentran en la siguiente ruta: %systemroot%\security\templates.
• Permite generar nuevas plantillas y realizar administración sobre ellas.
Configuración y Análisis de la Seguridad
• Es una herramienta con doble objetivo:
– Proporcionar los mecanismos para comparar la seguridad de una máquina con una base de datos de análisis.
– Configurar una máquina con la información de una base de datos creada a través de plantillas.
Herramientas de Plantillas Administrativas
Herramientas de Plantillas Administrativas
Herramientas de Plantillas Administrativas
Agenda
• Migración de GPO
Posibilidades de Migración empleando la GPMC
• COPIA Permite transferir configuracion desde una GPO existente a una nueva GPO– Transferencia deGPO dentro de un mismo dominio o
bosque– Dominios en distintos bosques en los que se confia.
• BACKUP Permite exportar la configuracion almacenada en el Backup a otra GPO.
• IMPORTACION Restauracion desde un Backup – Transferencias dentro de un mismo dominio– Transferencias incluso entre dominios sin relaciones
de confianza
Administrando Políticas de GrupoRespaldando GPOs
Administrando Políticas de GrupoRespaldando GPOs
Administrando Políticas de GrupoCopiando y Migrando
Boletín quincenal TechNews
Contactos
• Informática 64– http://www.informatica64.com– i64@informatica64.com– +34 91 665 99 98
• Profesor– fpunzon@informatica64.com
Recommended