- Creación de
la Segunda OU de nombre CLASE Imagen 9
- Para aclarar usaremos 2 OU en un único
Directorio Activo Iniciamos creando la (OU) de nombre
CLASE y dentro de ella vamos a crear las OU a las
que le haremos las Directivas de Grupo.
(imagen
9) - La primera de nombre Alumnos: en esta OU se crean
todos los Usuarios que tendrán derecho a clase,
Alumno1 y Alumno2Imagen 10
- La segunda de nombre Equipos: En esta OU Creamos
los Equipos para tenerlos Ordenados y diferenciarlos para
el caso CYBER, con los de COLEGIO, estos equipos
tendrán en su seguridad diferentes grupos
de acceso locales y de red. Para
que los usuarios del fénix no tengan acceso a los
recursos
del colegio y viceversa aunque compartan el mismo servidor
del Dominio; se
cuentan con tres equipos definidos ws01, ws02, ws03, para
ello en propiedades de esta OU crearemos la Directiva aula1
y creará la seguridad a los equipos ws01, ws02,
ws03, para aplicar la seguridad solo deberá
introducirlas a un grupo de usuarios creado en la OU de
Usuarios de nombre ws_clase, este grupo será el
único que leerá las directivas creadas en la
OU aula1 (imagen 10), a esta directiva se le modificara la
seguridad para que sea leída solo por el grupo
global antes creado de nombre ws_clase (imagen
11). - Por Ultimo, una Unidad solo por Orden de los
Profesores, pero en esta no se efectuará ninguna
seguridad ni restricciones, están sin Directivas,
usan solo las directivas que el Dominio aplica por
defecto a las PCS.Imagen 11
- Creación de grupos de globales: dentro de
la OU Usuarios, creamos por orden los grupos de trabajo
global que nos servirán para aplicar las Directivas
por Usuarios y por equipo. creamos el grupo Globales de
PCS, ws_clase dentro del cual ingresaremos todos los
equipos de la aula1, creamos los usuarios alumnos
Internet, alumnos intranet, dirección y profesores (imagen
9). - Al crear la directiva de grupo de los Alumnos
entramos a las propiedades de la OU Alumnos y
señalamos Directivas de Grupo, después
creamos las otras plantillas de Internet e Intranet. y las
configuramos según los criterios o instrucciones
previas, (imágenes 7 y 8 de los usuarios del
cyber). - Para evitar problemas con las directivas que se
están creando en el directorio Activo, entramos a
la plantilla que en el momento se esta creando y le
quitamos los derechos
de lectura a los usuarios para evitar que se
propaguen antes de haber terminado y probado la
modificamos (imagen 11), para ello nos vamos a la ficha
seguridad.Imagen 12
- En ficha seguridad, le quitamos los derechos de
lectura a los grupos de usuarios en la plantilla, (imagen
11), y si no queremos que otras plantillas se escriban en
esta, en Opciones de Vínculo, chequeamos la
opción "No reemplazar (imagen
12). - Como estamos dando derechos a usuarios y no
necesitamos que las computadoras lean las directivas de grupo
para usuarios, chequeamos la opción Deshabilitar,
"Deshabilitar los Parámetros de configuración
de equipo" (Imagen 13) y si es lo contrario que estamos
configurando chequeamos la Opción "deshabilitar los
parámetros de configuración de Usuarios"; de
esta forma filtramos que no se apliquen configuraciones o
que entren en conflicto con algunas ya aplicadas.
Después de haber creado las dos OU FENIX y CLASE, se
inician las pruebas
de aplicación de las directivas para ello se
recomienda definir en configurar de seguridad, auditorias, las directivas
aplicadas.
Imagen 13
2.- Windows xp
Profesional con SP2
Windows xp es por hoy el ultimo Sistema Operativo
que Microsoft a
sacado al mercado para uso
domestico y los trabajos empresariales y como todo sistema a tenido
que ser modificado en parches y SP (hasta la fecha esta el SP2),
y de este sistema es el que hablaremos en los siguientes
párrafos, ya que esta plataforma de trabajo es la mas
conocida e implementada en todo el mundo.
Después de las fallas en la Seguridad con los
Sistemas de
archivos FAT
del Windows 95 y
98 se implemento el NT que proporciono el sistema de archivos
NTFS e inicio la era de la seguridad de los datos locales y
en red, con los famosos compartidos que veremos en la
configuración de Windows 2000 de
este manual.
Para evitar que los virus se copien y
se mantengan residentes hay que desactivar la opción
restaurar sistema (imagen 16), en el menú restaurar
sistema, se chequea restaurar para desactivar esta opción
que no es muy funcional, cabe señalar que para restaurar
es mejor usar otros programas como
altiris, o norton goback.
Imagen 14
- En Windows xp con SP2 la herramienta del FIREWALL viene activa, mas sin embargo los
usuarios y Técnicos inexpertos lo desactivan para
evitarse problemas, pero esto ocasiona que podamos poner
en riesgo
la seguridad de todos nuestros datos así como los
de la
empresa; para ello en el panel de
control encontramos el acceso al firewall (icono con
figura de muro),(Imagen 14), este tiene 3 opciones que
son:Pero si deseamos que nos ayuden a resolver un
problema desde la red o compartir recursos y usar el
escritorio remoto, se recomienda definir en las
excepciones estos programas para que no lo
bloquee.También si sabemos el puerto que abre el
programa al que se le dará derecho
de entrar a la PC lo definidos en agregar puerto y le
ponemos un nombre, si el puerto no se sabe se agrega el
programa buscándolo en programas para el ejemplo
winvnc.exe (imagen 15) para que nuestra IP sea
mostrada para efectos de identificaron en la red, se
recomienda Habilitar eco entrante en ICMP.Imagen 15
- Activo (recomendado), viene
desde que se instala xp con sp2, esta es la fortaleza del
muro de fuego de Windows, sin excepciones no puede entrar
nadie ala computadora que se le configura este cierra
todos los puertos abierto y no entra nadie desde la
red. - No permitir excepciones
bloquea todos los puertos que se abrieron en
excepciones y prevalece sobre la primera. - Desactivado (no se recomienda) esta
opción es la que por lo general tienen los xp con
sp1 y los usuarios de los hogares, por esta razón
son vulnerables ante los ataques de virus y usados para
otros ataques.
- Firewall de Windows
- Iniciamos dándole clic derecho a mi
PC, después seleccionaremos remoto en el
menú de propiedades (imagen 16) seguidamente
seleccionamos la opción permitir que los
usuarios se conecten y se le da derecho a los usuarios
que tendrán derechos a conectarse al equipo
desde otra red incluso desde el Internet.
Imagen 16
Imagen 17
- Iniciamos dándole clic derecho a mi
- Como ya tenemos listo el grupo admin_fenix este
grupo lo ingresaremos en la opción "seleccionar
usuarios remotos" (imagen 17), este dará los
derechos a conectarse a la
computadora, además de este, estará el
grupo Usuarios de escritorio remoto, por defecto Windows
lo define para que ahí se ingrese los usuarios con
derechos a trabar remotamente.Imagen 18
Imagen 19
- Como ya tenemos lista la configuración hoy
usaremos la herramienta de conexión remota que
proporciona el xp. Para ello nos iremos a inicio,
programas, accesorios e iniciamos el programa
conexión a escritorio remoto (Imagen 18) para ver el
usuario fenix1 con su respectiva clave así como el
dominio. Este usuario pertenece a grupo admin._fenix se
dará de alta y podrá trabajar en este equipo
pero no tiene derechos administrativos (imagen
19). - En el ejemplo de escritorio remoto se conecta a
otra computadora de nombre fenix4, con muro de fuego
activo y esta en una ren LAN a
10 mbps o superior (con el usuario que previamente se
creará) y se ingrese al grupo admin_fenix con el
acceso a las directivas de seguridad dadas a dicho
grupo en inicio de sesión local, permitiendo
inicio de sesión a través de servicios de Terminal Server. Cuando el
equipo acepta la conexión muestra el entorno grafico del equipo al
que accedemos como que estuviese físicamente la
computadora, el remoto se bloquea y no se ve lo que hace
ahí el usuario remoto, si el usuario no tiene
derecho presenta el "mensaje de restricción de
directiva local" y no lo deja entrar implantando una
buena seguridadImagen 20
Por ejemplo, al hacer doble clic a programa
MSTSC, este abre una ventana similar a la de acceso
remoto de Windows xp y se repiten los mismo pasos que se
hace desde xp (imagen 20), Para mayor efectividad en
equipos con Windows 9x que no usan Dominios NT, es
recomendable que el usuario con el que da de alta sea
igual al que esta en PC fenix4 y la clave debe de ser
similar a esta pues los xp tiene un base de
datos de usuario llamada SAM con la que se compara si
existe el usuario y lo derechos que este tiene y el
Windows 95 o 98 no lo tiene, de ahí que es mejor
la seguridad del xp y Windows 2000. - En el caso que se desee conectarse, a un equipo
con un Sistema Operativo antiguo como Windows 95, 98 ME y
Windows 2000, utilizamos la Herramienta "conexión
remota", para estos y el equipo antes configurado verifica
si existen derechos para que se conecte el usuario y si es
verdadero permite la conexión. - Para terminar una sesión de escritorio se
puede hacer lo siguiente, cerrar la sesión y dejar
la PC libre para que otro usuario la use o de una ves
mandarla a apagar quedando encendido solo el monito pues
las computadoras de hoy día no necesitan que uno
presione el botón apagar del CPU.(imagen 21). O bien abrimos el
menú inicio y seleccionamos cerrar sesión, el
equipo cierra todo y habilita la computadora esperando que
otro usuario la utilice. A si mismo podemos abrir el
menú inicio y seleccionar seguridad de Windows, si
no esta ahí se abre panel de control
y ahí también encontraremos seguridad de
Windows, esta nos abre la ventana de seguridad en la que
usamos para el caso apagar equipo y seguimos los pasos
tradicionales que hacemos para apagar y aceptar, en esta
ventana se muestra el bloqueo y el cambio
de clave que son importantes también de saber. Cabe
aclarar que el botón desconectar no cierra
sesión y el equipo permanece bloqueado, por esta
razón no se recomienda a no ser que la
intención sea esta que siga bloqueado.
Imagen 21
- Escritorio Remoto
Imagen 22
- PERFIL DE USUARIO LOCAL: A fin que todos los perfiles
nuevos que se creen tengan los mismos derechos y de tener
políticas están prevalezcan a las
del dominio, se definen en usuario local las configuraciones de
sistemas en producción, configuraciones de
aplicativos, derechos de Usuario, políticas locales con
logos de empresas, y la
configuración de Impresores, todo esto sin derechos
administrativos, los copiamos con un usuario con derechos
administrativos y que tenga derecho de ver todos los archivos
ocultos, luego se remplazan los archivos que tiene el usuario
local "Default User" que esta en Documents and
settings. - SEGURIDAD: la solución a las opciones de
seguridad a carpetas de equipos que no estén en un
dominio, son básicas y comunes, para que estas se
activen es necesario ir a la opción de mi PC,
menú Herramientas, ver, quitar el chequecito del uso
compartido simple de archivos. Después aparecerá
seguridad. (imagen 22).
Herramientas Administrativas
Imagen 23
Para efectos didácticos del manual
trabajaremos con usuarios y grupos del Servidor de
Dominio y en PCS. Locales del CIBER FENIX Instalado en el
Municipio de San Emigdio Departamento de la Paz, El
SalvadorImagen 24
- Con la
Administración de equipo podemos crear
usuarios locales, Grupos locales, administrar particiones
del disco
duro y compartir archivos también podemos ver
los sucesos del sistema en aplicaciones, seguridad y
sistemas ver imagen 23 y 24.Imagen 25
- Se crea un usuario local de nombre fenix1 y un
grupo local admin_fenix con el administrador de equipos - Se crea el usuario fenix1 al cual se le asignara
derechos al sistema en producción y al escritorio
remoto (imagen 25) - Crear el grupo admin._fenix para dar derechos
locales a los recursos y al escritorio remoto - Compartir carpeta de sistema aplicando la seguridad
a bases de
datos para acceder a estos en modo creando un bat con
el cd al
mapeo hecho en p:,Imagen 26
- En este ejemplo abrimos la opción capetas
compartidas del administrador de equipo la que tiene la
mano compartiendo el recurso, ubicamos la carpeta sistemas
para el caso esta en la partición d: crearemos el
compartido como "sistema$" con dólar de
último el compartido queda oculto (Imagen
26). - Después de definir el nombre del
compartido le daremos los permisos al compartido y en
propiedades del compartido veremos el nombre "permisos de
los recursos compartidos" ahí eliminamos el grupo
"Todos" y agregamos al grupo admin._fenix, con derechos de
cambio, así solo los usuario que pertenecen a este
grupo podrán borrar y agregar datos. - El la parte de la seguridad nos iremos a las
opciones avanzada y dejaremos solos derechos a los
administradores y los demás los eliminaremos solo
agregaremos al grupo admin_fenix y le daremos derechos de
paso a esta carpeta sistemas(imagen 27), hoy cambiaremos
los derechos de la carta
INSE y SEGROH el derecho será cambio a carpeta,
subcarpetas y archivos, seguidamente creamos un mapeo desde
el equipo que efectuaremos la conexión y la hacemos
a la letra p: en ubicación \fenix3sistema$
y al intentar entrar no se podrá, pues solo de
modo msdos se puede entrar haciendo lo siguiente en inicio,
opción "ejecutar", digite cmd y en la ventana
command, hacer un p: y después CDinse o segroh,
estando dentro de esta carpeta crear una carpeta nuevo o
archivo y
borrarlo de nuevo todo es posible. De esta manera un
programa echo en fox , sybase y otros, es posible usarlo
localmente o en modo multiusuario en un servidor compartido
para ello solo debemos compilar los ejecutables para que le
apliquen un CD a la carpeta sistema así pasaran sin
leer y podrán en las siguientes subcarpetas borrar y
modificar sin poner en peligro las capetas en modo Windows
o grafico porque estas no se leerán solo en modo
texto
del msdos se podrá pasar a ellas.
- Administración de
equipos:
Imagen 27
Página anterior | Volver al principio del trabajo | Página siguiente |