Configuración y gestión de cuentas de usuario y grupos locales.
Una cuenta de usuario permite:
- Autenticar la identidad de la persona que inicia la sesión.
- Asignar permisos y privilegios dentro del sistema.
- Controla el acceso a los recursos.
- Auditar las acciones del usuario.
Para la gestión de los usuarios se utilizan los grupos, los cuales hacen posible que los permisos asignados al grupo sean heredados por todos los usuarios que pertenecen en él.
En Windows, un usuario puede pertenecer a varios grupos y tener los permisos de todos ellos simultáneamente, es decir, disponer de todos los permisos que tienen sus grupos y así como de los propios de su cuenta de usuario.
Los usuarios y los grupos pueden ser de dos tipos:
Usuarios y grupos locales
Son los creados en un equipos. Accedes e inicias sesión donde se creó la cuentaUsuarios y grupos de dominio
Permiten al usuario iniciar la sesión en el dominio y obtener acceso a los recursos de la red. Los usuarios se validan una sola vez y acceden a todos los recursos de la red sobre los que dispongan permisos. Existen dos tipos:Distribución
Seguridad:
Locales
Globales
Universales
Usuarios y grupos locales predeterminados.
Los usuarios locales:
Administrador
Control total sobre el servidor, crea y gestiona los usuarios como grupo.Invitado
Los usuarios que no disponen de cuenta en el equipo y no se necesita contraseña lo que supone un riesgo, ya que cualquier usuario podría entrar.
Los grupos locales:
Administradores
Control total sobre el servidor.Operadores de copia de seguridad
Permite a sus miembros realizar copias de seguridad y restaurarlas.Operadores criptográficos
Permite realizar operaciones criptográficas sobre el sistemInvitados:
perfil temporal cuando crean la sesión y se eliminan al cerrar sesión.- Operadores de configuración de red: se puede configurar la conexión de la red.
Usuarios del monitor del sistema
Permite ver el rendimiento del servidor.Usuarios del registro de rendimiento
Administra los contadores de rendimiento, los registros y las alertas del servidor.Buenas costumbres en la gestión de usuarios y grupos locales.
- No trabajar con cuentas administrativas.
- Nº de usuarios con privilegios de admin sea el menor posible.
- Deshabilitar la cuenta Invitado.
- Deshabilitar la cuenta Administrador.
- Asignar siempre los permisos a grupos.
- Educar a los usuarios que no difundan su contraseña.
Configuración del entorno personal de los usuarios.
General:
información básica.Miembro de:
lista de grupos en los que pertenece un usuario.Perfil:
Puta de acceso al perfil:
carpeta donde se almacena el perfil del usuario.Script de inicio de sesión:
instrucciones que se ejecutan al principio de la sesión.Carpeta particular:
carpeta del usuario.
Entorno:
configuración de entorno del usuario.Sesión:
tiempo máximo que se mantiene activa una sesión desconectada del escritorio remoto.Control remoto:
permite habilitar la configuración del control remoto de servicios de terminal.Perfil de Servicios de Escritorio remoto:
contiene la configuración del perfil que usara un usuario al acceder al servidor remotamente.Marcador
Escritorio virtual personal:
configuración del escritorio del escritorio virtual del usuario.Escritorio virtual personal.
Principales ventajas: Alta disponibilidad. Coste más reducido. Implementación instantánea. Menores requisitos de hardware. Consumo de recursos según las necesidades del escritorio. Se pueden ejecutar varios escritorios simultáneamente en una máquina.Terminal Server: Son los servicios de terminal remoto de las servidores Windows.
Gestión de permisos.Existen dos tipos fundamentales de permisos:
Permisos explícitos: se establecen de forma intencionada por parte de algún usuario con derecho a administrar los permisos del objeto.
Permisos heredados:
Son tomados del objeto padre.Permisos efectivos:
son los permisos resultantes para un usuario. Normalmente, un usuario pertenece a vatios grupos y se le aplica la suma de todos las permisos Permitirde estos grupos. Pero si en algún caso tiene un permiso Denegar sobre un objeto, este prevalece sobre todos los demás y el usuario no dispondrá de ese permiso.Listas de control de acceso.
Las ACL permiten definir los permisos de los archivos y directorios. Están compuestas de una lista de permisos del archivo llamada ACE. Cada una de las ACE contiene un par (Usuario/grupo, permiso) que indica un tipo de acceso determinado para un usuario o grupo.
Permisos sobre archivos.Permisos básicos: Lectura: visualizar el contenido. Escritura: sobreescribir el archivo. Lectura y ejecución: leer y ejecutar los archivos. Modificar: modificar y borrar un archivo. Control total: cualquier operación. Los permisos especiales indican si el usuario posee permisos más al detalle.
Permisos sobre carpetas.
Mostrar el contenido de la carpeta: muestra archivos y subdirectorios.
Lectura: muestra los archivos y subdirectorios que componen una carpeta con sus atributos, propietario y permisos.
Escritura: crea nuevos archivos y subcarpetas.
Lectura y ejecución: entra dentro de la carpeta y de sus subdirectorios + lectura
Modificar: borra la carpeta + Escribir, Leer y mostrar contenido.
Control total
Permite hacer cualquier operación.Permisos especiales.
Atravesar carpeta/ejecutar archivos:
poder entrar en ella para llegar a sus subdirectorios.Mostrar carpeta/leer datos:
mostrar archivos.Leer atributos:
lee atributos de las carpetas y los archivos.Leer atributos extendidos:
ver los atributos extendidos de las carpetas y archivos.Escribir atributos:
modifica los atributos del objeto.Escribir atributos extendidos:
modifica los atributos especiales del objeto.Crear archivos/escribir datos:
en el caso de las carpetas, crear archivos dentro de la carpeta. Archivos, modifican el contenido.Eliminar subcarpetas y archivos:
solo se aplica en las carpetas y elimina archivos y subcarpetas.Eliminar:
borrar el archivo o carpeta.Permisos de lectura:
permite conocer quien tiene el permiso.Cambiar permisos:
permite modificar los permisos.Tomar posesión:
cambiar el propietario.Gestión de directivas de grupo local.
Los usuarios disponen de dos tipos de elementos de seguridad: los permisos y las capacidades. Las capacidades son derechos de usuario para realizar ciertas operaciones del sistema.
Existen dos grades tipos de directivas:
Directivas de grupo local:
gestionadas en el mismo servidor.Directivas de grupo de dominio:
Son controladas de manera centralizada.Directivas de grupo local.
Directivas de cuenta
Permitan configurar todos los aspectos refuentes a la política de contraseñas específicas para los usuarios.
Directivas de contraseña:
- Almacenar contraseñas con cifrado reversible.
- Exigir historial de contraseña: las contraseñas utilizadas anteriormente por el usuario no se puede repetir.
- Complejidad: debe de cumplir unos requisitos.
- Longitud mínima de la contraseña: nº mínimo de caracteres.
- Vigencia máxima de la contraseña: nº de días máximo que esa vigente la contraseña.
- Vigencia mínima de la contraseña: nº mínimo de días que deben pasar para poder cambiar la contraseña.
Directivas de bloqueo de cuenta:
condiciones por las que se deshabilita una cuenta cuando se produce un cierto número de intentos fallidos de conectarse.Directivas locales.
Directivas de auditoría:
permiten auditar una gran variedad de sucesos, para así controlar las acciones de los usuarios y cumplir con los requisitos legales en materia de auditoría.Asignación de derechos de usuario:
son las tareas que un usuario puede realizar en un equipo.Opciones de seguridad:
habilitan o deshabilitan capacidades y características.Otras directivas.
Firewall de Windows con seguridad:
configurar el corta juegos del equipo.Directivas de clave pública:
directivas aplicadas al cifrado.Directivas de restricción de software
Directivas de control de aplicaciones:
corta fuegos de aplicaciones.Directivas de seguridad IP de equipo local:
da seguridad al protocolo IP.Configuración de directivas de auditoría avanzada