Para los ejemplos que estamos
creando trabajaremos con 3 directivas que son:Solo deberá estar el grupo admin._fenix,
administradores y usuarios_fenix el grupo
admin._fenix solo tiene dos usuarios y no quiere
decir que son administradores, si deseamos dividir
los derechos, quitar el grupo todos y
usuarios.Imagen 28
- Inicio de sesión
Local - Permitir el inicio de sesión a
través de servicios de Terminal Server. (imagen 29)
- para evitar que otro usuario entre remotamente se
recomienda que los administradores no tengan derechos a
entrar vía escritorio remoto así exigiremos
al que se quiera conectar a pedir que se salgan de
sesión para usarla, en el iten 4.1) solo quitaremos
el grupo todos y agregar el grupo admin_fenix, si tenemos
usuarios de dominio
ahí podemos definir un grupo global y agregarlo
acá con nuestros usuario y quitar el grupo local
usuario de este grupo, pero si no hay un dominio que
proporciona grupos
de usuario globales solo el todos se retira.
- Directivas de
seguridad
local
Imagen 29
- Tener acceso a este equipo desde la red.
En este lugar se restringe a todos los de fuera que
pueden entrar a nuestra PC, por esta razón retire el
grupo todos, el de usuarios y administradores. Usted como
administrador es de confianza por lo tanto
llegara localmente al equipo y así resuelve el problema
con la venia de su cliente.
Agregar los grupos locales que se creen para seguridad en el
caso nuestro admin_fenix, si tiene dominio los grupos globales
de este que usted a definido. Con esta configuración se
evita que otro usuario ajeno entre a ver sus datos si por
error alguien le compartió su disco y con los casos del
administrador como el administrador esta negado pero local
entra y el fenix1 esta en el grupo administradores pero no
entra a la PC de fuero pero como esta en admin._fenix
ahí tomo su derecho y es administrador, por lógica. El editor de las políticas de Windows lo
encontramos en todos los equipos Windows
2000/xp. Para iniciarlo nos iremos al menú inicio y
ejecutar en abrir se digitara GPEDIT.MSC, en seguida se abre la
consola del editor y en ella encontramos una similitud del
poledit;
Imagen 30
Respecto al objeto al que configuran son dos:
Configuración del equipo y Configuración del
Usuario
- Configuración de software
- Configuración de Windows
- Plantillas administrativas
- Configuración del equipo: en esta se
define todas las configuraciones relacionadas con la
configuración de la
computadora ver imagen 30, se aplica a la computadora independiente que usuario y se
divide en:
Imagen 31
Crearemos un ejemplo de habilitación del inicio
clásico para todos los usuarios de Windows xp,
para ello abrimos el GPEDIT.MSC y buscamos la
configuración de equipo, Plantilla administrativa,
sistemas,
inicio de sesión (imagen 30) y luego se habilitada
directiva de inicio clásico (imagen 31)
La casilla "Definir esta configuración de
directiva" tiene el efecto:
Marcada | La política quedará definida |
Sin Marcar | La política hereda su definición o |
A su vez, cuando la casilla está marcada podemos
elegir entre las opciones:
No configurada | No se defina Ninguna Política y si en el |
Habilitada | Hace que la política quede habilitada. |
Deshabilitada | Cuando se deshabilita la política, se |
- Configuración del
Usuario, en esta parte se define todos los
derechos que se aplicaran a un perfil de usuario y si se
entra con otro usuario estas no se aplicaran al nuevo que se
dio de alta salvo la configuración del perfil
local que mas adelante lo veremos
- Configuración de
software - Configuración de
Windows - Plantillas administrativas
- Configuración de
- Al igual que la de Windows se divide
en:
Para ejemplo configuraremos un usuario prueba al cual le
definiremos un fondo de escritorio copiado en C:windows de
nombre fenix.bmp y cuando el usuario inicie sesión el
tendrá siempre este fondo y al estar en Windows no
podrá borrarlo ni modificarlo la ruta seria
c:windowsfenix.bmp Habilitar (imagen 32). Mas ejemplos en la
configuración de Dominio y en xp, se explica en este
sistema Operativo
Windows 2000 porque en este surgió la consola del editor
de Políticas. Ejemplo de Consola ir a menú inicio,
ejecutar y en abrir digite MMC después leer la ayuda de
este programa,
acá se puede crear consolas separadas de programa en
especial.
Imagen 32
Win311, Windows 95 y 98, son los primeros
sistemas
operativos que Microsoft creo
en modo grafico o de Ventanas, por esta razón hoy en
día son los más vulnerable a ataques en su sistema de
archivos que
es FAT O FAT32. Para protegerlo de algunos daños usamos el
Editor de políticas que se menciona a
continuación.
- INSTALACIÓN DEL EDITOR DE
POLÍTICAS.
La configuración de accesos de
usuarios a la computadora o la red pasa por instalar
restricciones de tal manera que determinados usuarios no puedan
hacer cosas que puedan ser "peligrosas" para la integridad de la
red o del ordenador que este usando.
Para habilitar estas restricciones es
necesaria la instalación de un software que permita poner
estas restricciones. Si hablamos de Windows 95/98, aparte de los
programas
comerciales que puedan haber para este propósito, existe
un programa llamado "Poledit" (Editor de planes de
sistema) esta nos permitirá
crear archivos de extensión POL donde se definirán
las restricciones para un usuario en particular o para un grupo
de usuarios definido en el dominio del Windows NT
Server. También puede definirse restricciones para una
máquina en particular más no para un grupo de
ellas.
Este Editor viene en el CD original de
Windows. Cabe mencionar que no es recomendable Instalar el
cliente "Poledit" en las maquinas a las que les
aplica la política sea este local.
Al empezar a editar un nuevo archivo de
políticas siempre aparecerán dos
íconos:Default User y Default Computer. Aquellos usuarios
que no estén definidos dentro del archivo de
políticas cogerán las características
del Default User, análogamente, aquellas computadoras que no estén definidas
dentro del archivo de políticas cogerán las
Características del Default Computer.Para activar el programa y poner restricciones es
necesario pulsar en un acceso directo o bien "Ejecutar
-> Poledit.exe". Se abrirá la siguiente pantalla
de programa: imagen 33 y 34Imagen 33
Imagen 34
Si nos pide una plantilla seleccionamos
admin.adm Si el archivo poledit.exe es
extraído de un CD de Windows 95, si es de un CD de
win98 usar la plantilla Windows.adm,
después le damos clic a abrir y listo se abre el
editor de políticas hoy Pulsamos en el menú
"Archivo -> Abrir registro",
si abrimos registro estamos entrando en forma grafica al
registro del usuario o user.dat del usuario que a entrado a
Windows caso contrario si le dio escape a Windows, esta
usando el usuario por default de Windows del cual toma el
perfil cada usuario nuevo que se valida en el equipo local,
ósea que esta cambiando la rama del KEY USERS
DEFAULT . También se debe crear la plantilla con la
que trabajaremos y que modificara el registro para ello se
hacen los pasos siguientes archivo, crear nueva,
después la guardaremos con el nombre de win98.pol;
en ambos casos se muestran dos iconos en la ventana del
programa: "Usuario local" y "PC local". Si se omite la
plantilla el editor no tendrá una plantilla
predefinida para ver el registro o la plantilla win98.pol,
si esto ocurre busque en el menú Opciones la
opción plantillas de directivas y seleccionemos
admin.adm. (windows.adm)- EJECUTAR EL EDITOR DE
POLÍTICASPara aplicar una directiva en una plantilla, nada
más debemos marcar dicha directiva teniendo en
cuenta lo siguiente:Estado de la
OpciónSignifica que la Opción
está:1- Caja de Selección Marcada
Seleccionada – Windows implementa
esta opción de una política,
cambiando el
estado de la computadora del usuario para que
sea conforme a la misma, cuando el usuario se
valida en la red. Si la opción ya estaba
seleccionada desde la última vez que el
usuario se validó, Windows no realiza
ningún cambio.2- Caja de Selección
SombreadaSombreada – La configuración
no cambia respecto a la última vez que el
usuario acceso a la red, y Windows no hará
modificaciones relacionadas a la
configuración del sistema.3- Caja de Selección En
BlancoEn Blanco – Windows no implementa
esta opción. Si la opción fue
implementada anteriormente (ya sea por una la
configuración de una política o por
las configuraciones del usuario), dejándola
en blanco, remueve la restricción
especificada anteriormente del registro. - DEFINICIÓN DE LAS RESTRICCIONES DE LAS
PLANTILLASPara iniciar la plantilla win98.pol la abrimos si
fue creada en el paso anterior o si no la creamos siguiendo
estos pasos en el poledit.exe ir a Archivo, Nuevo
directiva se abren los dos ramas del registro
(KEY_USERS) "Usuario Predeterminado" y "PC local"
(KEY_LOCAL_MACHINE) solo que desde poledit es grafico.
Después le damos guardar y le pondremos como nombre
win98.pol; como ya se tiene la plantilla con la que
trabajaremos hoy abrimos esta plantilla y le daremos doble
clic al icono de usuario predeterminado (imagen 35)
todas las casillas estarán sombreadas, usted tiene
que definir una a una cada restricción y si alguna
no aparece explicada en el capitulo siguiente déjela
tal como esta sombreada.Imagen 35
Crearemos un usuario de nombre
fenix1 Este usuario sé esta dando de
alta en sistemas
Operativos windows9x y tiene clave de acceso al
servidor
con usuario invitado de nombre fenix1 y una clave de acceso
al dominio fénix.paz.sv este servidor es un
dominio Windows 2003. De esta manera explicaremos las
ventajas y desventajas de haber seleccionado una
política, por los problemas que estas generan en el transcurso
del trabajo
cotidiano.Como anteriormente lo mencionamos al final de cada
una de las opciones se definirá la
opción que debemos de tomar para nuestra
plantilla win98.pol de
políticas para un grupo de computadoras de 2
o mayor de 100 PCS para este ejemplo se crearon 3 PCS
Virtuales en los equipos xp del CYBER FENIX. En un dominio
de trabajo con un servidor Windows 2003. En el caso de no
tener una imagen solo se pondrá la
opción a configurar para la
plantilla.También se puede crear esta plantilla para
computadoras que no se validad a un servidor NT y se siguen
los mismos pasos solo se omite en PC local lo de acceso a
un servidor NT, la plantilla win98.pol se debe copiar en la
carpeta c:windows, o en un equipo Windows 9x con una
carpeta compartida a todos con acceso de solo lectura
y este equipo debe permanecer encendido para que las
directivas se apliquen. SeguidamentePulsamos sobre la "Plantilla de win98.pol" se
abrirá el registro de Windows para el usuario y
encontramos las ramas siguientes:- Panel de control
- Restricción del acceso a
propiedades de pantalla.
- USUARIO LOCAL DEL REGISTRO DE
USUARIO
Esta es una de las más útiles
opciones de restricción de poledit ya que permite anular
las acciones que
los usuarios suelen hacer sobre la pantalla del ordenador,
configurando el escritorio, poniendo imágenes
de fondo, protectores, etc. (imagen 36).
Para activarlas seguir los siguientes pasos:
- Expandir la rama Panel de
control -> monitor
-> restringir el panel de control del monitor. - Activar las restricciones que deseemos. Se puede
eliminar completamente el acceso a la configuración de
pantalla o sólo a partes de la misma. Se pueden tener
las siguientes:
- Ocultar la página de fondo.
- Ocultar la página de protector de
pantalla. - Ocultar la página de aspecto.
- Ocultar la página de especificaciones del
monitor. - Desactivar el panel de control del
monitor.
Imagen 36
- Para la plantilla WIN98.pol, vamos a
seleccionar las 5 opciones
- Restricción del acceso a Propiedades
de red.
Antes hablamos de restringir el acceso a la
red, de acceder o no a los distintos ordenadores de nuestro grupo
de trabajo u otros grupos. Con esta opción restringiremos
el acceso a propiedades de la red, con lo cual el usuario no
podrá desconfigurar las opciones de red ni la
identificación del ordenador en la red, ningún
parámetro crítico de ésta.
Para activar estas opciones: seleccionar Panel de
control -> red y seleccionar las restricciones que deseemos de
las varias posibles:
- Desactivar el panel de control de la red.
- Ocultar página de
identificación. - Ocultar página de control de
acceso.
En este caso hay usuarios que saben como cambiar
direcciones IP, activar
el Puerto de enlace, el nombre de PC. O los técnicos de
otras Unidades cambian configuración establecidas y
controladas, así se les limita el acceso y esto permite
que sean más confiables los datos que se tienen (imagen
37)
Imagen 37
- Plantilla win98.pol, seleccionamos todas las
opciones
- Restricción del acceso a propiedades
de contraseñas.
Como todos sabemos podemos poner
contraseñas de acceso al ordenador o a la red definiendo
usuarios con sus características de acceso, que es lo que
tratamos de hacer con esta tutoría. Si no deseamos que un
usuario poco experto o malintencionado nos cambie estas
contraseñas y por tanto el acceso al ordenador, podemos
restringir el acceso a las contraseñas, para ello expandir
la rama Panel de control -> contraseñas y marcar la
casilla Restringir el panel de control de contraseñas. Nos
aparecen las siguientes opciones que podemos marcar según
deseemos:
- Desactivar el panel de control de
contraseñas. - Ocultar página de cambio de
contraseñas. - Ocultar página de administración remota.
- Ocultar página de perfiles de
usuario.
- Como en la opción c se puede definir un
grupo que administre el equipo pero un usuario se los puede
remover o desactivar esta opción, por lo que se
Recomienda seleccionar solo los literales c y
d para la plantilla win98.pol
- Restricciones de acceso a propiedades de
impresoras.
Es muy decepcionante comprobar que
después de instalar una impresora en
el ordenador y configurarla para un mejor rendimiento, alguien
por desconocimiento o mala fe la desactiva o desconfigura. No
diga nada si esta impresora está en red y afecta a muchos
ordenadores con el consiguiente trastorno.
Para activar esta restricción expandir la rama
Panel de control -> impresoras marcar la opción
Restringir la configuración de impresora y activar
aquellas protecciones que deseemos:
- Ocultar página general y de
detalles. - Desactivar eliminar impresora.
- Desactivar edición de impresora.
Si ponemos todas las restricciones cuando el usuario
envía un documento y lo quiere borrar este no
podrá hacerlo, (imagen 38).
Imagen 38
- Seleccionar en la plantilla win98.pol solo el
literal C
- Restricciones de acceso a Propiedades del
sistema.
Otro factor crítico de un ordenador
es la página de configuración de propiedades del
sistema, donde un usuario poco experimentado o malintencionado
puede configurar (o mejor dicho, desconfigurar) los drivers de
todos los dispositivos del ordenador y cualquier parte crítica
que afecte al funcionamiento del mismo. Si no deseamos que esto
ocurra, Poledit nos ofrece la herramienta necesaria para
ello.
Expandir la rama Panel de control -> Sistema y
marcar la casilla Restringir el panel de control del
sistema. De nuevo tenemos varias opciones, a
saber:
- Ocultar página del Administrador de
dispositivos. - Ocultar página de Perfiles de hardware.
- Ocultar botón "Sistema de
archivos".
- Seleccionar en la plantilla win98.pol solo
los literales C
- Papel tapiz
- Escritorio
- Selección el papel tapiz de nombre
lago.bmp en la plantilla win98.pol
- Combinación de Colores
- No seleccionar Dejar sombreado o en
blanco
- Compartir
- RED
Desactivar controles de Compartir
archivos:
- Seleccionar para la plantilla
win98.pol, si este opción esta Seleccionada
los usuarios a los que se le apliquen estas políticas
no podrán efectuar compartir en los equipos evitando
de esta manera que otros usuarios tengan derecho de escritura
en mi disco duro
o le puedan borrar datos por medio de la red también
el robo de información de otros.
Así se evita que usuarios inexpertos compartan
las carpetas con todos los derechos y hoy en día que
tantos Virus usan esta
idea de estar esperando a que se accede dicho carpeta para
reproducirse por la red. No se recomienda dejar libre al Usuarios
común
- Desactivar controles de Compartir
Impresores:
- Dejar sombreado para la plantilla
win98.pol, si la selecciona los usuarios no
podrán compartir los impresores y el compartido se
retira por eso no se recomienda. Para evitar que
estén abiertos mas puertos solo activar a los equipos
que comparten recursos
los demás no deben tener esta opción
activada en el entorno de red, entre menos protocolos
usamos mas segura estará nuestra red.
- SHELL
- Carpetas personalizadas
Seleccionar la ruta de acceso a los programas en
el disco duro de esta manera c:windowsmenu
inicioprogramas. Así todos tendrán los
programas de la PC en la estén trabajando en ese
momento se evita que su usuario lo siga. Y copie archivos
de su escritorio en todas las PC a las que
entre. - Carpetas de programas Personalizados
Seleccionar y definir la ruta de acceso al
escritorio compartido en el servidor de control de dominio
de nombre fenix \fenix3escritorio$.
De esta manera todos los usuarios usaran el mismo
escritorio y mas rápido y centralizado. - Iconos de escritorio
personalizado- Ocultar el icono "Toda la
red":
- Ocultar el icono "Toda la
- Sistemas
1.- Seleccionar Shell -> restricciones
2.- Marcar "No se encuentra red completa en entorno de
red"
A veces es necesario ocultar la red de ordenadores a un
usuario determinado, de forma que este no puede acceder a
ningún ordenador de la red, aunque los demás
ordenadores si pueden acceder al primero, si en los demás
no se ha activado esta restricción.
- Para la plantilla fénix.pol
seleccionar la opción
4.4.9 Ocultar los iconos de los ordenadores de su
grupo de trabajo.
1.- Seleccionar Shell -> restricciones
2.- Marcar "Sin contenidos de grupo de trabajo en
entorno de red"
Con esto el usuario no será capaz de ver a los
otros ordenadores de su grupo de trabajo, pero si podrá
ver los de otros grupos conectados a la red. Tendremos el mismo
problema para imprimir o ver equipos del mismo grupo con carpetas
compartidas a no ser que se sepa el nombre del equipo que tiene
el impresor y los archivos compartidos.
Siempre estas no son infalibles en casos se puede ver
desde el explorador pero se requiere de mas habilidad de parte
del Usuario.
- Desactivar las herramientas de edición del
registro.
- Desactivar las herramientas de edición del
- Restricciones:
Un usuario experimentado puede saltarse
todas las restricciones que hayamos puesto con Poledit, creando
archivos *.reg y activándolos con una doble
pulsación del ratón. No obstante podemos evitar
esto de la siguiente manera (imagen 39):
Expandir la rama Sistema -> restricciones,
seleccionar la casilla "Desactivar herramientas de
edición del registro de configuraciones" y aceptar.
También es necesario no añadir Poledit.exe a
la lista de aplicaciones ejecutables vista en el
apartado
La única forma, una vez hecho esto de acceder al
registro y al Poledit (si tampoco se ha incluido en la lista) es
utilizar un disco de arranque que contenga el editor de registro
y el poledit. Aunque la forma más efectiva es utilizar una
copia del registro que se haya hecho antes de desactivar el
editor de registro. (Esto puede conseguirse ejecutando
scanreg que se encuentra en el directorio Windows y
recuperando alguna de las seis últimas copias del registro
que Windows 98 guarda automáticamente, confiando que al
menos una de ellas fuera anterior al establecimiento de estas
restricciones.)
No recomendable, para lugares que trabajan
insertando llaves de registro (*.reg) para el mejor
funcionamiento de los SISTEMAS.
- Para la plantilla win98.pol dejar en
blanco
- Restringir los programas de aplicaciones
ejecutables.
Esta opción, junto a la
restricción de propiedades de pantalla, puede ser de los
más útiles, pues con ello controlamos los programas
que un usuario determinado puede ejecutar en el
ordenador.
Con esta opción conseguiremos que sólo los
programas que nosotros, como administrador del sistema, queremos
que sean ejecutados, lo que nos permite controlar lo que hacen el
resto de usuarios en el ordenador. Para ello expandir la rama
Sistema -> restricciones y seleccionar la casilla
"Ejecutar solamente aplicaciones compatibles con Windows",
luego pulsando en el botón Presentación
añaden a mano la lista de programas ejecutables que
queremos que estén disponibles para ese usuario, por
ejemplo se pueden añadir: Iexplorer.exe, Winword.exe,
Excell.exe, Access.exe,
etc. (cuidado, en la lista hay que escribir el nombre del
fichero ejecutable sin error ) también agregar los nombres
de acceso directo *.lnk o *.pif, de cada ejecutable si le han
creado acceso directo.
Recomendado, con esta opción solo los programas
que usted quiere se ejecutaran o instalaran en el equipo evitando
así problemas legales de Software (imagen 40 y
41).
Imagen 40
Imagen 41
- Para la plantilla win98.pol
Seleccionar - Si usted tiene todo el apoyo de su jefe
hágalo y esto le restringirá asta los juegos y
archivos de antivirus,
sistemas solo debe de tener paciencia en estar buscando cada
ejecutable que funciona en su empresa pero
esta es la mejor opción de todas. Si no tiene
demasiado apoyo déjela SOMBREADA y
después en una segunda etapa usted la pude
configurar. - Para la plantilla win98.pol dejar en
blanco
Por último al terminar de establecer
todas las restricciones que deseemos a un usuario determinado hay
que pulsar en Aceptar y luego en el menú Archivo
-> Guardar para que los cambios se almacenen en el
registro, finalmente cerrar sesión para ese usuario y al
volver a entrar con ese nombre de usuario y contraseña
todas las restricciones definidas estarán habilitadas.
No recomendable igual al anterior
Es la política de computadora que define la
configuración para una computadora por defecto
(Default Computer) o para una computadora nombrada
específicamente. La configuración de
Computadora por Defecto se aplica cuando un usuario acceda
a la computadora o a la red desde una computadora que no
tiene asignada una política individual.Seleccionar control de acceso a los
usuariosNombre de
AutentificadorDefinir el nombre
del dominio al que se validara, en el caso de la
plantilla win98.pol será
fenixTipo
de autentificadorSeleccionar Dominio de Windows
NT- Control de acceso
Titulo de
InicioTitulo: dejar el que trae por
omisiónTexto: bienvenido al CYBER FENIX, de
San Emigdio - Inicio
Inicio de sección en
Windowsel nombre del dominio
fenixGrupo de trabajo:
Poner a la plantilla el grupo
fenixGrupo de Trabajo
Adicional: dejar en blanco no
seleccionar - Cliente para redes Windows:
Desactivar anuncio
SAP: si no tiene NOVELL selecciónelo pero si
tiene novel déjelo el
Blanco - Compartir Archivos e
ImpresorasDejar como esta por
defecto o sea sombreado y el que esta marcado
déjelo si no lo esta debe de estar
así: seleccionado Ocultar
Contraseñas los demás
Sombreado - contraseñas
Desactivar compartir archivos:
Dejar las en
blancoDesactivar compartir
Impresores:Dejar en
blancoLas dos se deben
dejar en blanco porque si las selecciona todas las
computadoras no podrán compartir archivo e
Impresores de esta manera nadie podrá usar
Impresores en Cola ni vera archivos Compartidos,
esta Opción es similar a la del Usuario
Local con la diferencia que en el Usuario local si
quita el compartir al Usuario que entra no a
todos. - compartir
- Actualizar
- RED
- PC LOCAL DEL REGISTRO
En esta casilla es
la mas importante para la actualización (ver imagen 34) de
las directivas porque en ella se define la forma de actualizar
las Políticas si las ara de forma automática o
manual por eso
es la segunda en importancia, así que ponga mucha atención a estas líneas que de ello
depende el funcionamiento de este plantilla y todo lo antes
escrito.
Modo
actualizaron:
Esta puede
ser automática, en este caso el equipo busca en el
NETLOGON del servidor de dominio fénix.paz.sv y copia
todas la restricciones que contiene el Archivo CONFIG.POL si es
Windows, para Windows NT es confignt.pol estas restricciones se
agregan al registro de Windows de esta manera la PC local
tendrá todo lo que se le acaba de decir y el Users que
entro en este momento usara la configuración de Usuario
Local y si este Usuario tiene un usuario en la plantilla definido
solo para su Perfil este no tendrá problema con las
políticas del usuario Local.
Si la actualización es manual: se
debe de especificar la Ruta de acceso en el registro de Windows y
en el Archivo de Plantilla o sea al win98.pol, pero siempre este
lo podremos en el NETLOGON del servidor de Dominio,
estación remota, servidor de archivos, la ruta definida es
la que manda, para el ejemplo será. \CETECSE01NETLOGON
win98.POL (imagen 42 y 32). Archivo, abrir
registro y modificar esta ruta y dejarla manual de esta forma la
política quedara en un anidamiento y siempre las
aplicara.
Imagen 42
- Para la plantilla
WIN98.POL seleccionar
manual y definir la ruta de su controlador, modificar
también la PC local en la opción del registro
no de de esta plantilla para que regrese a la plantilla que
la llama definiendo en ella esta misma ruta.
\CETECSE01NETLOGON win98.POL esta política se
debe de implementar por partes primero use el archivo
WIN98.POL para no afectar los demás
equipos mientras efectúa sus pruebas
después le cambia el nombra a config.pol si es Windows
9x si tiene NT WS 3x, 4x puede usar confignt.pol
- SISTEMAS
- ACTIVAR PERFILES DE USUARIO
- Seleccionarla para que siempre
estén los perfile, de esta manera no necesita el
capitulo 8 definición del entorno en equipos Windows
98
Esta es la ruta en donde están los archivos
*.cab de Windows se debe dejar sombreada- RUTA DE ACCESO A LA RED PARA INSTALAR
WINDOWS - RUTA DE ACCESO A LA RED PARA EL PASEO DE
WINDOWS
- Debe estar sombreada
- EJECUTAR
- Debe de estar sombreada
- EJECUTAR UNA VEZ
- Esta opción se debe dejar siempre sombreada
nunca se le ocurra dejarla en blanco
- EJECUTAR SERVICIOS
- Esta opción se debe dejar siempre sombreada
nunca se le ocurra dejarla en blanco
- PLANTILLA WIN98.POL O
CONFIG.POL
Después de la explicación
del uso del Editor de Políticas, y la creación del
archivo de políticas tomando como base los puntos al final
de cada numeral o imagen de los capitos 5, 6 de este manual y en
los casos que no se crearon imágenes por espacio o el
tamaño de estas solo se habla de la opción a
definir en esta plantilla win98.pol:
Anexos
adicionales para un buen control con
políticas
Verificar o modificar que los equipos de
prueba tengan definida en Archivo, Registro y en el
icono PC local la ubicación física exacta a donde
usted copio el archivo win98.pol y si es un
servidor primario después de las pruebas usted
deberá poner en automático la línea
actualizar y borrar la ubicación física que le
definió para las pruebas y el archivo
win98.pol renombrarlo a
config.pol para que todo funcione a la perfección. Leer
imagen de actualización remota de PC local
6.1.10
Después de terminar la plantilla
win98.pol copiarla en la carpeta netlogon del
dominio fénix, que en éste caso es el servidor
CETECSE01.
Cuando se cargue
la Política de Sistema, en una PC de la empresa
afectará a aquellos
Usuarios que estén definidos en
el archivo WIN98.pol y aquellos
que no estén definidos (Usuarios extraños)
asumirán las restricciones del usuario por defecto
(Default User).Todas las computadoras asumirán las
restricciones de Default Computer.
En las
políticas de Usuario están
desactivadas:
- Las propiedades
de red, pero se les creo un icono en el escritorio compartido
con el winipcfg para que sepan como se llama el equipo
así como ver la dirección IP. - No pueden
compartir archivos, pero tienen una carpeta compartida en el
servidor, en la que se puede pasar archivos hasta por 20 MB y
después ellos borran los datos por que esta publica este
acceso esta en el escritorio de nombre de carpeta
compartida. - Se crearon
carpetas compartidas, a las que se les creo accesos directos
para evitar hacer mapeos. Estas están en el
escritorio y solo tienen acceso los grupos definidos en el
servidor NT, ver imagen de inicio del
manual. - Se copio un logo fenix.BMP, que se
envía a la PC que no lo tiene y después se carga
con él la política. Esto se hace con el Scripts
del Usuario en NT. - Cuando hay un
Icono nuevo solo se agrega al escritorio y este les aparece a
los equipos de win9x cuando reinician.
- DEFINICIÓN DE
LOS ENTORNOS DE WINDOWS CONFIGURAR
LOS EQUIPOS DE LA EMPRESA PARA INICIAR
POLÍTICASDebemos seguir entonces los
siguientes pasos:1. Preparar la
máquina con una configuración
estándar, es decir, con el
softwareCorrespondiente, sin papel
tapiz, resolución 800*600, color 16
bits, apariencia estándar de Windows 9X, sin
salvador de pantalla, conexión a la
red.Impresora Láser Jet 4P, configuración
regional Español-Perú, teclado
Español(México) -Latinoamericano. El
último punto es muy importante pues los perfiles de
usuario han sido diseñados usando éste tipo
de teclado. Un teclado distinto ocasionará que, la
segunda vez que ingresemos al recuadro de logon, el teclado
quede inhabilitado pues surge un conflicto entre el teclado definido
localmente en la computadora con el teclado personalizado
del usuario. Ésta es una falla o bug del Windows 95
(versiones a y b) que debemos tener en cuenta.. Para
win95 c y win98 así como ME no aplica
la
recomendación2.Habilitar el inicio de sesión en el
dominio de Windows NT (Panel de control icono Red-Cliente
para redes Microsoft-Propiedades) y los perfiles de usuario
personalizados (Panel de control – Icono contraseñas
-Perfiles de usuario – Los usuarios pueden personalizar sus
preferencias y configuración de escritorio). Debemos
crear el entorno de cada usuario o profile, es decir, los
íconos, grupos de programas, y papel tapiz, que
aparecerá al ingresar con un usuario determinado. El
profile tiene la forma de un directorio con el nombre del
usuario que a su vez tiene varios subdirectorios donde cada
uno representa a un grupo de programas o documentos.El contenido final de cada subdirectorio son
atajos o shortcuts a dichos programas o documentos. El
profile define el perfil del usuario. Los iconos de accesos
directos serán descargados desde el directorio
Escritorio del servidor primario a las máquinas de la Empresa. El directorio
Escritorio está compartido como
Escritorio$ con acceso de solo lectura.
Después de crear y compartir el directorio
Escritorio debemos crear los iconos de acceso directos
estándares de la Empresa, en esta carpeta compartida
(Escritorio$) del servidor primario con derechos a los
usuarios de este dominio. Así al ingresar un usuario
y una contraseña predeterminados según el uso
que el empleado desee darle a la computadora. Por ejemplo,
si el empleado desea usar los servicios Internet
debe ingresar con el usuario asignando seguido de la
contraseña propia. Luego el servidor valida al
usuario y su contraseña en el dominio FENIX y
empieza la carga del entorno predeterminado junto con las
restricciones de seguridad y los iconos de accesos
directos.Para una
máquina que ha sido configurada con el System
Policies observar que es diferente abrir el registro de la
computadora durante la sesión n de un usuario que
abrir el registro después de hacer Esc a la ventana
de inicio de sesión. Si abrimos el registro durante
la sesión de un usuario, al que se le han aplicado
las políticas de seguridad, observaremos un Local
User y un Local Computer afectados por el System Police y
correspondiente al del usuario con el que se ha ingresado.
Modificaciones hechas en él Local User y/o en Local
Computer durante una sesión de usuario
tendrán efecto sólo hasta que terminemos la
sesión pues una vez reiniciada seguiremos con la
configuración inicial debido a que las
configuraciones del System Police tienen prioridad y han
sido Aplicadas a la máquina, no a un
usuario.El entorno
que obtenemos al hacer Esc a la ventana de inicio de
sesión es el que nos permitirá hacer
modificaciones en el Registro del sistema para poder
desinstalar el System Police, sin embargo, en la
sección anterior la máquina se
configuró para que al hacer Esc no se obtuviera
ningún tipo de acceso a la máquina. Tenemos
entonces que Ingresar al Modo Seguro del
Windows 9X y desde aquí desactivar el System
Police.Debemos
seguir los siguientes pasos:1. Ingresar
al Modo Seguro a Prueba de Fallas del Windows9x,
para ello reiniciar la PC y enseguida presionar
F8.2. Ejecutar
el Poledit y desmarcar todas las opciones indicadas en los
pasos de la sección anterior.
Guardar.3. Adicionalmente también
desactivar las opciones indicadas en el paso 1,
sección anterior, correspondiente al inicio de
sesión en el dominio del Windows NT y la
activación de perfiles personalizados.4. Entrando en modo msdos y usando scanreg para
recuperar una copia del registro de unos días o
meses anteriores esta práctica no aplica a Windows
955. Para usuarios avanzados borrar la llave de
registro policies y desactivando la opción
actualizar[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies]
después solo se renombra el directorio profiles de
Windows y todos los que entren no tendrán directivas
de políticas.- DESINSTALAR LAS
POLÍTICAS:Las siguientes restricciones no son opciones
de Poledit, pero complementan a éste y ayudan a
configurar una protección eficaz de nuestra red
de ordenadores.Para que las políticas sean un éxito en tu empresa
también debes de saber que sin usar el POLEDIT
se puede modificar las opciones de configuración
que un archivo de políticas crea al momento de
acceder a una red
o a una PC local.Para saber en que lugar se guardan las
políticas del usuario DEFOULT de una PC esta
este ejemplo y aunque usted inicie a pruebas de fallas
esta configuración siempre se carga en el
registro de Windows. Vemos el registro:[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies]
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
"1"="calc.bat"
"2"="iexplore.exe"
"3"="actmovie.exe"
"4"="copias.bat"
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork]
"NoNetSetup"=dword:00000001
"NoNetSetupIDPage"=dword:00000001
"NoNetSetupSecurityPage"=dword:00000001
"NoFileSharingControl"=dword:00000001
"NoEntireNetwork"=dword:00000001
"NoWorkgroupContents"=dword:00000001
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"NoAdminPage"=dword:00000001
"NoProfilePage"=dword:00000001
"NoDevMgrPage"=dword:00000001
"NoConfigPage"=dword:00000001
"NoFileSysPage"=dword:00000001
"NoVirtMemPage"=dword:00000001
En esta ubicación nos restringe todo
solo nos permite usar los programas que en esta se
mencionan.Y si el caso es el usuario jose esta
restricción estaría en la
rama:[HKEY_USERS.fenixSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]
Con las mismas restricciones anteriores
además de restringirme el acceso al entorno de
red..Si no desea que el equipo se valide en un
DOMINIO NT[HKEY_LOCAL_MACHINENetworkLogon]
"username"="amejia"
"PrimaryProvider"="Microsoft
Network""PolicyHandler"="GROUPPOL.DLL,ProcessPolicies"
"logonvalidated"=hex:01,00,00,00
"UserProfiles"=dword:00000001
"LMLogon"=hex:00,00,00,00
- Políticas con llaves de
registro.para Windows 98 y más
usar la llave siguiente:
[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"BloquearUsuarios"="RUNDLL32.EXE
SHELL32.DLL,SHExitWindowsEx 0"Esto hace que la PC no permita entrar otro
usuario que no sea los definidos en los perfiles de
Windows a la fecha de ingresado la
modificación.Para win95 es otra forma no tan probada
pero aquí esta:[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]
"BloquearUsuarios"="RUNDLL.EXE
user.exe,ExitWindows" - Seguridad sin usar el editor de
PolíticasEs posible hacer que el explorador de Windows
quede apuntando a un determinado directorio o unidad
sin posibilidad de desplazarnos a través de los
demás directorios o unidades, lo que puede
permitirnos bloquear el acceso a determinadas partes
del ordenador a cualquier usuario, evitando que estos
borren o pongan programas y archivos en directorios no
deseados por nosotros.Para ello ir a Inicio ->
Programas -> Explorador de Windows y pulsando
con el botón derecho del ratón abrir sus
propiedades. En el cuadro de diálogo que aparece escribir en
el campo destino: c:windowsexplorer.exe
/e, /root, c:Mis documentos.Con esto hacemos que la ventana del explorador
sólo apunte al directorio mis documentos
sin posibilidad de desplazarnos por los
demás.También podemos hacer que apunte a una
determinada unidad, por ejemplo A: sin posibilidad de
acceder al disco duro, escribiendo:
c:windowsexplorer.exe /e, /root,
A:Imagen 43
- Explorador de Windows apuntando a un
directorio fijo sin posibilidad de ir a otro (imagen
43) - Ocultar unidades en
MiPc.
- TRABAJANDO SIN EL EDITOR DE POLÍTICAS,
USANDO EL EDITOR DE REGISTRO.
En la sección 2.1 vimos la
posibilidad de ocultar todas las unidades a un usuario
determinado, pero que pasaría si sólo deseamos
ocultar determinadas unidades. Para ello es necesario editar el
registro para ese usuario.
Las unidades están controladas por una palabra de
bits:
Letra de unidad | G F E D C B A |
Palabra de bits | 1 1 1 1 1 1 1 |
Si el bit está a 1 la unidad no se ve. Por
ejemplo para ocultar las unidades:
Unidad a ocultar | Valor binario | Valor Hexadecimal |
A | 00001 | 01 |
C | 00100 | 04 |
D | 01000 | 08 |
E | 10000 | 10 |
C y D | 01100 | 0C |
Veamos un ejemplo práctico,
supongamos que deseamos ocultar el disco duro (C:) Y el CDROM
(D:), el valor hexadecimal a colocar en el registro es
"OC".
Imagen 44
- Ejecutar Regedit. .
- Expandir la rama:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer - Añadir un "Nuevo Valor DWORD"
- Darle el nombre "NoDrives"
- Darle el valor 0C
- Salvar la configuración y
reiniciar.
Al reiniciar no aparecerán estas unidades en MiPc
o el Explorador (cuidado, sí el explorador es el
estándar de Windows siempre aparece la unidad C:, Salvo
que lo modifiquemos como hemos hecho anteriormente, apuntando a
otra unidad o carpeta sin posibilidad de ir a otro
sitio).
- Negar el uso de fondos de pantalla desde el
Internet Explorer
1)- Se debe copiar un archivo que a usted le guste
para un fondo Común en los escritorios en mi empresa
definimos el logo y lo renombramos como fenix.bmp y
también lo copiamos como Internet
Explorer Wallpaper.bmp que esta dentro de c:windows y lo
pones de lectura y oculto
2)- Le cambiamos a los dos bmp las propiedades de solo
lectura y oculto y esto sélo definimos al archivo de
políticas para que lea el archivo fenix.bmp y todos
tendrán el mismo logo en sus PCS. Si tiene un servidor
puede enviar el archivo a todos las computadoras por medio de
un archivo bat y definirlo en el perfil de todos los
usuarios.
- Escritorio Remoto: Para este acceso cuando hay
usuario conectado y el usuario remoto con el que nos conectamos
no tiene derechos administrativos no podrá cerrar la
sesión del que entro antes y la conexión no se
efectúa. Pero además es un problema si el usuario
es administrador porque no se sabe si el que esta trabajando
tiene un trabajo sin guardar y uno lo saca de sesión se
pierde lo que estaba haciendo el otro. Por seguridad no se
recomienda que los administradores entren remotamente para eso
se retira el grupo de administradores de las directivas tener
acceso a este equipo desde la red y permitir inicio de
sesión a trabes de servicios de Terminal Server, de de
esta manera se cuela a ciertos grupos la
administración. Ejemplo a los usuarios del grupo
admin_fenix. - Windows xp: para equipos completamente Nuevos es
posible hacer el perfil de usuario, para equipos usados es
recomendable un usuario que no tenga correo instalado o crear
uno en la PC definirle toda la configuración y
después copiarlo en el Default User, después
borrar o hacer backup de estos perfiles para que todo el perfil
de usuarios nuevos funcione bien. Este opción funciona
para Windows 2000 pero el equipo debe ser Windows 2000 para xp
debe ser xp de esta forma se pude copiar un perfil viejo de xp
a otra PC con xp y no se pierde nada de información
hasta los correos de copian. - En Active Directory: se recomienda en la directiva de
usuario crear todas las restricciones posibles y como estas por
lo general se Habilitan en la plantillas que no deseamos que se
apliquen hay que deshabilitar de esta forma esta opción
prevalece sobre la de habilitar. También si deseamos que
una directiva se aplique a otras ou solo se crean grupos que
leerán las directivas comunes por ejemplo de Internet y
programas. Estableciendo en nuestras OU vinculo de objeto de
directivas de grupo, de la forma siguiente: propiedades,
agregar, agregar un vínculo, ver todas y seleccionar
ahí la que deseemos aplicar. - Después de haber creado una
configuración optima de un equipo con xp nuevo o usado
es bueno crear una imagen idéntica para ello se
recomienda usar Norton Ghost versión 2002,
crearla en una partición fat32 de su mismo duro y en
algún problema de Software solo recuperar esta
imagen. - En Windows 95 y superiores es también
útil usar los comandos net ,
para establecer conexiones a compartidos o correr archivos de
proceso por
lotes BAT. - Las políticas creadas para los sistemas
Windows 95, 98, ME y NT. Fueron funcionales en su momento, hoy
estas nos servirán de ayuda pero siempre estos sistemas
serán vulnerable a ataques, dado la mejor tecnología que usan hoy los creadores de
Virus y la obsolececia de estos sistemas. El mejor es xp y
proximamente será el viejo pues estará el Windows
Vista que es el nuevo en salir.
Datos del Autor.
En estas configuraciones de Windows Server 2003, 2000 y
las sistemas Operativos de escritorio se describe el trabajo
realizado por el Técnico y Profesor
Alirio Mejía Amaya, en los 13 años de
trabajo en una dependencia de Gobierno del
Salvador de estos años 5 con políticas de Windows
98, 4 años con Windows Server 2000 y profesional, 3
años con xp y 2 con xp con sp2, 2 con Windows 2003 en
Active Directory. Además de Cursos de administración de Windows Server NT4 Y 2003
diplomados en Microsoft 2000, 97, Programación en foxpro y visual.
Actualmente miembro de Comunidad de
Microsoft (GIT "Grupo de Infraestructura Tecnológica")
toda esta experiencia están escritas y editadas en este
libro y todo
lo que acá esta escrito es funcional y verdadero, cual
quien duda al respecto visitar el CYBER en el que esta funcionado
esta configuración. Efectuamos asesorías sobre lo
escrito los días de semana a partir de las 16:00 horas y
los fines de semana todo el día. Para usuarios de otros
países les vendemos videos avi en CD de las demostraciones
de uso y administración de servidores,
Interesados llamar a los teléfonos 22587317 o
23-79-25-35 o escribir al correo
Amejia_sv@hotmail
para mientras está el
Página anterior | Volver al principio del trabajo | Página siguiente |