Un grupo es una recopilación de cuentas de usuario y de equipo, contactos y otros grupos que se pueden administrar como una unidad individual. Los usuarios y los equipos que pertenecen a un grupo determinado se designan miembros del grupo.
La utilización de grupos permite simplificar las tareas de administración, ya que se asigna un conjunto común de permisos y derechos a varias cuentas, en vez de tener que asignarlos a cada cuenta de manera individual.
Los grupos pueden estar basados en AD o ser locales en un equipo concreto.
Antes de modificar cualquier configuración de seguridad, es importante conocer las configuraciones de seguridad predeterminadas que tienen los usuarios.
Existen 3 niveles de seguridad para los usuarios según pertenezcan al grupo Usuarios, Usuarios Avanzados o administradoresAdministradores
Idealmente, el acceso administrativo sólo debe ser utilizado para:
- Instalar el sistema operativo y los componentes (tales como los drivers, programas, etc.).
- Instalar Service Packs y actualizaciones.
- Configurar los parámetros críticos del sistema operativo (como la política de contraseñas, control de acceso, la política de auditoría, la configuración de modo de núcleo conductor, y así sucesivamente).
- Tomar posesión de archivos que se han vuelto inaccesibles.
- Administrar los registros de seguridad y auditoria.
- Crear copias de seguridad y restaurar el sistema.
Este grupo Usuarios principalmente proporciona compatibilidad para ejecutar aplicaciones no certificadas. Los permisos predeterminados que se asignan a este grupo permiten a sus miembros modificar la configuración local. Si aplicaciones no certificados deben ser soportadas, entonces es necesario que usuarios finales sean parte de este grupo.
Básicamente los miembros del grupo Usuarios avanzados tienen más permisos de los miembros del grupo de usuarios y menos de los miembros del grupo Administradores pueden realizar cualquier tarea del sistema operativo, excepto las tareas reservadas para el grupo Administradores.
Los usuarios avanzados pueden:
Básicamente los miembros del grupo Usuarios avanzados tienen más permisos de los miembros del grupo de usuarios y menos de los miembros del grupo Administradores pueden realizar cualquier tarea del sistema operativo, excepto las tareas reservadas para el grupo Administradores.
Los usuarios avanzados pueden:
- Ejecutar aplicaciones antiguas, además de las certificadas
- Instalar programas que no modifiquen archivos del sistema operativo o instalar servicios del sistema.
- Personalizar los recursos de todo el sistema, incluyendo impresoras, fecha, hora, opciones de energía y otros recursos de panel de control.
- Crear y gestionar cuentas de usuarios locales y grupos
- Detener e iniciar servicios del sistema que no se inicia de forma predeterminada.
No tienen permiso para agregarse ellos mismos al grupo Administradores. Los usuarios avanzados no tienen acceso a los datos de otros usuarios en un volumen NTFS, a menos que los usuario les conceda permiso.
Usuarios
El grupo de usuarios es el más seguro, porque los permisos predeterminados asignados a este grupo no permiten a los miembros modificar las configuraciones del sistema operativo o los datos de otros usuarios.
El grupo de usuarios proporciona el entorno más seguro en el que ejecutar programas. En un volumen con formato NTFS, la configuración de seguridad predeterminada en un sistema recién instalado están diseñados para impedir que los miembros de este grupo de comprometer la integridad del sistema operativo y los programas instalados. Los usuarios no pueden modificar la configuración del registro ,ni de los archivos del sistema operativo .
Pueden crear grupos locales, pero sólo puede administrar los grupos locales que hayan creado.
Tienen control total sobre todos los de sus propios archivos de datos (% userprofile%) y su propia porción del registro(HKEY_CURRENT_USER).
Sin embargo, a nivel de usuario los permisos a menudo no permiten al usuario ejecutar con éxito las aplicaciones antiguas.
Los usuarios no podrán ejecutar la mayoría de los programas escritos para versiones de Windows anteriores a Windows 2000,debido a que no soportan el sistema de archivos y la seguridad del Registro (Windows 95 y Windows 98) . Si tiene problemas para ejecutar aplicaciones antiguas en un sistema recién instalado ,realice una de las siguientes acciones:
Sin embargo, a nivel de usuario los permisos a menudo no permiten al usuario ejecutar con éxito las aplicaciones antiguas.
Los usuarios no podrán ejecutar la mayoría de los programas escritos para versiones de Windows anteriores a Windows 2000,debido a que no soportan el sistema de archivos y la seguridad del Registro (Windows 95 y Windows 98) . Si tiene problemas para ejecutar aplicaciones antiguas en un sistema recién instalado ,realice una de las siguientes acciones:
1.Instalar la ultima version de la aplicaciones que presenta problemas.
2.Mover el usuarios del grupo usuarios al grupo usuarios avanzados.
3.Disminución de los permisos de seguridad para el grupo de usuarios. Esto se puede lograr mediante el uso de las plantillas de seguridad compatibles.
2.Mover el usuarios del grupo usuarios al grupo usuarios avanzados.
3.Disminución de los permisos de seguridad para el grupo de usuarios. Esto se puede lograr mediante el uso de las plantillas de seguridad compatibles.
Operadores de copia de seguridad
Los miembros del grupo Operadores de copia de seguridad puede realizar copias de seguridad y restaurar archivos en el equipo,independientemente de los permisos que protejan dichos archivos. También pueden iniciar sesión en el ordenador y apagarlo,pero no pueden cambiar la configuración de seguridad.
Cuidado
Identidades especiales
Además de los grupos de los contenedores Usuarios e Integrados, los servidores que ejecutan Windows Server 2003 incluyen varias identidades especiales. Por comodidad, estas identidades se suelen denominar grupos. Estos grupos especiales no tienen ninguna pertenencia específica que se pueda cambiar, pero pueden representar a diferentes usuarios en momentos distintos, en función de las circunstancias. Los grupos especiales son:
- Inicio de sesión anónimo
Representa a los usuarios y servicios que tienen acceso a un equipo y a sus recursos a través de la red, pero que no utilizan ningún nombre de cuenta, contraseña ni nombre de dominio. En los equipos que ejecutan Windows NT y versiones anteriores, el grupo Inicio de sesión anónimo es un miembro predeterminado del grupo Todos. En los equipos que ejecutan un miembro de la familia Windows Server 2003, el grupo Inicio de sesión anónimo no es un miembro predeterminado del grupo Todos. - Todos
Representa a todos los usuarios actuales de la red, incluidos invitados y usuarios de otros dominios. Cada vez que un usuario inicia una sesión en la red, se agrega automáticamente al grupo Todos. - Red
Representa a los usuarios que tienen acceso en ese momento a un recurso determinado a través de la red (a diferencia de los usuarios que tienen acceso a ese mismo recurso tras haber iniciado localmente una sesión en el equipo en el que está ubicado el recurso). Cada vez que un usuario tiene acceso a un recurso determinado a través de la red, se agrega automáticamente al grupo Red. - Interactivo
Representa a todos los usuarios que tienen iniciada una sesión en ese momento en un equipo determinado y que tienen acceso a un recurso ubicado en ese equipo (a diferencia de los usuarios que tienen acceso al recurso a través de la red). Cada vez que un usuario tiene acceso a un recurso determinado del equipo en el que ha iniciado una sesión, se agrega automáticamente al grupo Interactivo.
Aunque se pueden asignar derechos y permisos sobre recursos a las identidades especiales, no es posible cambiar ni ver las pertenencias. Los ámbitos de grupo no se aplican a las identidades especiales. Los usuarios se asignan automáticamente a estas identidades especiales, cuando inician una sesión o tienen acceso a un recurso determinado.
Implementar seguridad basada en funciones
Todos los derechos y permisos se otorgan sobre una base discrecional, lo que significa que cualquier cuenta con Control Total, puede dar o denegar permisos en un objeto a otros principales de seguridad. Para crear una red segura, debemos crear una estructura para otorgar derechos y permisos que sea escalable, flexible, gestionable y por encima de todo, segura. Con una estructura basada en funciones en la concesión de derechos y permisos podremos controlar el acceso a la información. Así, nunca se concederán o negarán permisos o derechos a cuentas especificas directamente, sino que en su lugar lo haremos en grupos basados en su trabajo o función.
En esta implementación, cada tipo de grupo se usa para un propósito especifico y crear una discreta separación de la cuenta y la asignación de permisos basados en la función o trabajo del usuario. Crear grupos de dominio local o grupos locales y asignarles permisos sobre recursos. Crear grupos globales basados en una función o trabajo, emplazarlos en los grupos de dominio local o grupos locales creados y luego colocar a los usuarios en el grupo global apropiado.
Hasta pronto!!
No hay comentarios:
Publicar un comentario