Monografias.com > Sin categoría
Descargar Imprimir Comentar Ver trabajos relacionados

Seguridad y conexión en Windows (página 3)



Partes: 1, 2, 3

Partes: 1, , 3

 

  1. Para los ejemplos que estamos
    creando trabajaremos con 3 directivas que son:

      1. Solo deberá estar el grupo admin._fenix,
        administradores y usuarios_fenix el grupo
        admin._fenix solo tiene dos usuarios y no quiere
        decir que son administradores, si deseamos dividir
        los derechos, quitar el grupo todos y
        usuarios.

        Imagen 28

      2. Inicio de sesión
        Local
      3. Permitir el inicio de sesión a
        través de servicios de Terminal Server. (imagen 29)
    1. para evitar que otro usuario entre remotamente se
      recomienda que los administradores no tengan derechos a
      entrar vía escritorio remoto así exigiremos
      al que se quiera conectar a pedir que se salgan de
      sesión para usarla, en el iten 4.1) solo quitaremos
      el grupo todos y agregar el grupo admin_fenix, si tenemos
      usuarios de dominio
      ahí podemos definir un grupo global y agregarlo
      acá con nuestros usuario y quitar el grupo local
      usuario de este grupo, pero si no hay un dominio que
      proporciona grupos
      de usuario globales solo el todos se retira.
  2. Directivas de
    seguridad
    local

Imagen 29

  1. Tener acceso a este equipo desde la red.

En este lugar se restringe a todos los de fuera que
pueden entrar a nuestra PC, por esta razón retire el
grupo todos, el de usuarios y administradores. Usted como
administrador es de confianza por lo tanto
llegara localmente al equipo y así resuelve el problema
con la venia de su cliente.
Agregar los grupos locales que se creen para seguridad en el
caso nuestro admin_fenix, si tiene dominio los grupos globales
de este que usted a definido. Con esta configuración se
evita que otro usuario ajeno entre a ver sus datos si por
error alguien le compartió su disco y con los casos del
administrador como el administrador esta negado pero local
entra y el fenix1 esta en el grupo administradores pero no
entra a la PC de fuero pero como esta en admin._fenix
ahí tomo su derecho y es administrador, por lógica. El editor de las políticas de Windows lo
encontramos en todos los equipos Windows
2000/xp. Para iniciarlo nos iremos al menú inicio y
ejecutar en abrir se digitara GPEDIT.MSC, en seguida se abre la
consola del editor y en ella encontramos una similitud del
poledit;

Imagen 30

Respecto al objeto al que configuran son dos:
Configuración del equipo y Configuración del
Usuario

    1. Configuración de software
    2. Configuración de Windows
    3. Plantillas administrativas
  1. Configuración del equipo: en esta se
    define todas las configuraciones relacionadas con la
    configuración de la
    computadora ver imagen 30, se aplica a la computadora independiente que usuario y se
    divide en:

Imagen 31

Crearemos un ejemplo de habilitación del inicio
clásico para todos los usuarios de Windows xp,
para ello abrimos el GPEDIT.MSC y buscamos la
configuración de equipo, Plantilla administrativa,
sistemas,
inicio de sesión (imagen 30) y luego se habilitada
directiva de inicio clásico (imagen 31)

La casilla "Definir esta configuración de
directiva" tiene el efecto:

Marcada

La política quedará definida
con el valor
seleccionado en las opciones de debajo.

Sin Marcar

La política hereda su definición o
no y si está habilitada o no en caso de haber sido
definida en un contenedor superior (en nuestro ejemplo
desde el propio equipo o el sitio, ya que estamos a nivel
de dominio).

A su vez, cuando la casilla está marcada podemos
elegir entre las opciones:

No configurada

No se defina Ninguna Política y si en el
Dominio se define una Política esta se asignara a
la local.

Habilitada

Hace que la política quede habilitada.
Esto significa que se realizará la
configuración de inicio clásico. Si del
dominio se crea otra Política Prevalece la
Local

Deshabilitada

Cuando se deshabilita la política, se
impide que se realice la configuración. Si del
dominio se define una política esta no se aplicara
a la PC local que la deshabito

  1. Configuración del
    Usuario
    , en esta parte se define todos los
    derechos que se aplicaran a un perfil de usuario y si se
    entra con otro usuario estas no se aplicaran al nuevo que se
    dio de alta salvo la configuración del perfil
    local
    que mas adelante lo veremos
    1. Configuración de
      software
    2. Configuración de
      Windows
    3. Plantillas administrativas
  1. Al igual que la de Windows se divide
    en:

Para ejemplo configuraremos un usuario prueba al cual le
definiremos un fondo de escritorio copiado en C:windows de
nombre fenix.bmp y cuando el usuario inicie sesión el
tendrá siempre este fondo y al estar en Windows no
podrá borrarlo ni modificarlo la ruta seria
c:windowsfenix.bmp Habilitar (imagen 32). Mas ejemplos en la
configuración de Dominio y en xp, se explica en este
sistema Operativo
Windows 2000 porque en este surgió la consola del editor
de Políticas. Ejemplo de Consola ir a menú inicio,
ejecutar y en abrir digite MMC después leer la ayuda de
este programa,
acá se puede crear consolas separadas de programa en
especial.

Imagen 32

4.–
Windows
98

Win311, Windows 95 y 98, son los primeros
sistemas
operativos que Microsoft creo
en modo grafico o de Ventanas, por esta razón hoy en
día son los más vulnerable a ataques en su sistema de
archivos que
es FAT O FAT32. Para protegerlo de algunos daños usamos el
Editor de políticas que se menciona a
continuación.

  1. INSTALACIÓN DEL EDITOR DE
    POLÍTICAS.

La configuración de accesos de
usuarios a la computadora o la red pasa por instalar
restricciones de tal manera que determinados usuarios no puedan
hacer cosas que puedan ser "peligrosas" para la integridad de la
red o del ordenador que este usando.

Para habilitar estas restricciones es
necesaria la instalación de un software que permita poner
estas restricciones. Si hablamos de Windows 95/98, aparte de los
programas
comerciales que puedan haber para este propósito, existe
un programa llamado "Poledit" (Editor de planes de
sistema) esta nos permitirá
crear archivos de extensión POL donde se definirán
las restricciones para un usuario en particular o para un grupo
de usuarios definido en el dominio del Windows NT
Server. También puede definirse restricciones para una
máquina en particular más no para un grupo de
ellas.

Este Editor viene en el CD original de
Windows. Cabe mencionar que no es recomendable Instalar el
cliente "Poledit" en las maquinas a las que les
aplica la política sea este local.

  1. Al empezar a editar un nuevo archivo de
    políticas siempre aparecerán dos
    íconos:

    Default User y Default Computer. Aquellos usuarios
    que no estén definidos dentro del archivo de
    políticas cogerán las características
    del Default User, análogamente, aquellas computadoras que no estén definidas
    dentro del archivo de políticas cogerán las
    Características del Default Computer.

    Para activar el programa y poner restricciones es
    necesario pulsar en un acceso directo o bien "Ejecutar
    -> Poledit.exe". Se abrirá la siguiente pantalla
    de programa: imagen 33 y 34

    Imagen 33

    Imagen 34

    Si nos pide una plantilla seleccionamos
    admin.adm Si el archivo poledit.exe es
    extraído de un CD de Windows 95, si es de un CD de
    win98 usar la plantilla Windows.adm,
    después le damos clic a abrir y listo se abre el
    editor de políticas hoy Pulsamos en el menú
    "Archivo -> Abrir registro",
    si abrimos registro estamos entrando en forma grafica al
    registro del usuario o user.dat del usuario que a entrado a
    Windows caso contrario si le dio escape a Windows, esta
    usando el usuario por default de Windows del cual toma el
    perfil cada usuario nuevo que se valida en el equipo local,
    ósea que esta cambiando la rama del KEY USERS
    DEFAULT . También se debe crear la plantilla con la
    que trabajaremos y que modificara el registro para ello se
    hacen los pasos siguientes archivo, crear nueva,
    después la guardaremos con el nombre de win98.pol;
    en ambos casos se muestran dos iconos en la ventana del
    programa: "Usuario local" y "PC local". Si se omite la
    plantilla el editor no tendrá una plantilla
    predefinida para ver el registro o la plantilla win98.pol,
    si esto ocurre busque en el menú Opciones la
    opción plantillas de directivas y seleccionemos
    admin.adm. (windows.adm)

  2. EJECUTAR EL EDITOR DE
    POLÍTICAS

    Para aplicar una directiva en una plantilla, nada
    más debemos marcar dicha directiva teniendo en
    cuenta lo siguiente:

    Estado de la
    Opción

    Significa que la Opción
    está:

    1- Caja de Selección Marcada

    Seleccionada – Windows implementa
    esta opción de una política,
    cambiando el
    estado de la computadora del usuario para que
    sea conforme a la misma, cuando el usuario se
    valida en la red. Si la opción ya estaba
    seleccionada desde la última vez que el
    usuario se validó, Windows no realiza
    ningún cambio.

    2- Caja de Selección
    Sombreada

    Sombreada – La configuración
    no cambia respecto a la última vez que el
    usuario acceso a la red, y Windows no hará
    modificaciones relacionadas a la
    configuración del sistema.

    3- Caja de Selección En
    Blanco

    En Blanco – Windows no implementa
    esta opción. Si la opción fue
    implementada anteriormente (ya sea por una la
    configuración de una política o por
    las configuraciones del usuario), dejándola
    en blanco, remueve la restricción
    especificada anteriormente del registro.

      
  3. DEFINICIÓN DE LAS RESTRICCIONES DE LAS
    PLANTILLAS

    Para iniciar la plantilla win98.pol la abrimos si
    fue creada en el paso anterior o si no la creamos siguiendo
    estos pasos en el poledit.exe ir a Archivo, Nuevo
    directiva
    se abren los dos ramas del registro
    (KEY_USERS) "Usuario Predeterminado" y "PC local"
    (KEY_LOCAL_MACHINE) solo que desde poledit es grafico.
    Después le damos guardar y le pondremos como nombre
    win98.pol; como ya se tiene la plantilla con la que
    trabajaremos hoy abrimos esta plantilla y le daremos doble
    clic al icono de usuario predeterminado (imagen 35)
    todas las casillas estarán sombreadas, usted tiene
    que definir una a una cada restricción y si alguna
    no aparece explicada en el capitulo siguiente déjela
    tal como esta sombreada.

    Imagen 35

    Crearemos un usuario de nombre
    fenix1 Este usuario sé esta dando de
    alta en sistemas
    Operativos windows9x y tiene clave de acceso al
    servidor
    con usuario invitado de nombre fenix1 y una clave de acceso
    al dominio fénix.paz.sv este servidor es un
    dominio Windows 2003. De esta manera explicaremos las
    ventajas y desventajas de haber seleccionado una
    política, por los problemas que estas generan en el transcurso
    del trabajo
    cotidiano.

    Como anteriormente lo mencionamos al final de cada
    una de las opciones se definirá la
    opción que debemos de tomar para nuestra
    plantilla win98.pol de
    políticas para un grupo de computadoras de 2
    o mayor de 100 PCS para este ejemplo se crearon 3 PCS
    Virtuales en los equipos xp del CYBER FENIX. En un dominio
    de trabajo con un servidor Windows 2003. En el caso de no
    tener una imagen solo se pondrá la
    opción a configurar para la
    plantilla.

    También se puede crear esta plantilla para
    computadoras que no se validad a un servidor NT y se siguen
    los mismos pasos solo se omite en PC local lo de acceso a
    un servidor NT, la plantilla win98.pol se debe copiar en la
    carpeta c:windows, o en un equipo Windows 9x con una
    carpeta compartida a todos con acceso de solo lectura
    y este equipo debe permanecer encendido para que las
    directivas se apliquen. Seguidamente

    Pulsamos sobre la "Plantilla de win98.pol" se
    abrirá el registro de Windows para el usuario y
    encontramos las ramas siguientes:

    1. Panel de control
    2. Restricción del acceso a
      propiedades de pantalla.
  4. USUARIO LOCAL DEL REGISTRO DE
    USUARIO

Esta es una de las más útiles
opciones de restricción de poledit ya que permite anular
las acciones que
los usuarios suelen hacer sobre la pantalla del ordenador,
configurando el escritorio, poniendo imágenes
de fondo, protectores, etc. (imagen 36).

Para activarlas seguir los siguientes pasos:

  1. Expandir la rama Panel de
    control -> monitor
    -> restringir el panel de control del monitor.
  2. Activar las restricciones que deseemos. Se puede
    eliminar completamente el acceso a la configuración de
    pantalla o sólo a partes de la misma. Se pueden tener
    las siguientes:
  1. Ocultar la página de fondo.
  2. Ocultar la página de protector de
    pantalla.
  3. Ocultar la página de aspecto.
  4. Ocultar la página de especificaciones del
    monitor.
  5. Desactivar el panel de control del
    monitor.

Imagen 36

  • Para la plantilla WIN98.pol, vamos a
    seleccionar las 5 opciones
  1. Restricción del acceso a Propiedades
    de red.

Antes hablamos de restringir el acceso a la
red, de acceder o no a los distintos ordenadores de nuestro grupo
de trabajo u otros grupos. Con esta opción restringiremos
el acceso a propiedades de la red, con lo cual el usuario no
podrá desconfigurar las opciones de red ni la
identificación del ordenador en la red, ningún
parámetro crítico de ésta.

Para activar estas opciones: seleccionar Panel de
control -> red y seleccionar las restricciones que deseemos de
las varias posibles:

  1. Desactivar el panel de control de la red.
  2. Ocultar página de
    identificación.
  3. Ocultar página de control de
    acceso.

En este caso hay usuarios que saben como cambiar
direcciones IP, activar
el Puerto de enlace, el nombre de PC. O los técnicos de
otras Unidades cambian configuración establecidas y
controladas, así se les limita el acceso y esto permite
que sean más confiables los datos que se tienen (imagen
37)

Imagen 37

  • Plantilla win98.pol, seleccionamos todas las
    opciones
  1. Restricción del acceso a propiedades
    de contraseñas.

Como todos sabemos podemos poner
contraseñas de acceso al ordenador o a la red definiendo
usuarios con sus características de acceso, que es lo que
tratamos de hacer con esta tutoría. Si no deseamos que un
usuario poco experto o malintencionado nos cambie estas
contraseñas y por tanto el acceso al ordenador, podemos
restringir el acceso a las contraseñas, para ello expandir
la rama Panel de control -> contraseñas y marcar la
casilla Restringir el panel de control de contraseñas. Nos
aparecen las siguientes opciones que podemos marcar según
deseemos:

  1. Desactivar el panel de control de
    contraseñas.
  2. Ocultar página de cambio de
    contraseñas.
  3. Ocultar página de administración remota.
  4. Ocultar página de perfiles de
    usuario.
  • Como en la opción c se puede definir un
    grupo que administre el equipo pero un usuario se los puede
    remover o desactivar esta opción, por lo que se
    Recomienda seleccionar solo
    los literales c y
    d
    para la plantilla win98.pol
  1. Restricciones de acceso a propiedades de
    impresoras.

Es muy decepcionante comprobar que
después de instalar una impresora en
el ordenador y configurarla para un mejor rendimiento, alguien
por desconocimiento o mala fe la desactiva o desconfigura. No
diga nada si esta impresora está en red y afecta a muchos
ordenadores con el consiguiente trastorno.

Para activar esta restricción expandir la rama
Panel de control -> impresoras marcar la opción
Restringir la configuración de impresora y activar
aquellas protecciones que deseemos:

  1. Ocultar página general y de
    detalles.
  2. Desactivar eliminar impresora.
  3. Desactivar edición de impresora.

Si ponemos todas las restricciones cuando el usuario
envía un documento y lo quiere borrar este no
podrá hacerlo, (imagen 38).

Imagen 38

  • Seleccionar en la plantilla win98.pol solo el
    literal C
  1. Restricciones de acceso a Propiedades del
    sistema.

Otro factor crítico de un ordenador
es la página de configuración de propiedades del
sistema, donde un usuario poco experimentado o malintencionado
puede configurar (o mejor dicho, desconfigurar) los drivers de
todos los dispositivos del ordenador y cualquier parte crítica
que afecte al funcionamiento del mismo. Si no deseamos que esto
ocurra, Poledit nos ofrece la herramienta necesaria para
ello.

Expandir la rama Panel de control -> Sistema y
marcar la casilla Restringir el panel de control del
sistema.
De nuevo tenemos varias opciones, a
saber:

  1. Ocultar página del Administrador de
    dispositivos.
  2. Ocultar página de Perfiles de hardware.
  3. Ocultar botón "Sistema de
    archivos".
  • Seleccionar en la plantilla win98.pol solo
    los literales C
    1. Papel tapiz
  1. Escritorio
  • Selección el papel tapiz de nombre
    lago.bmp en la plantilla win98.pol
  1. Combinación de Colores
  • No seleccionar Dejar sombreado o en
    blanco
    1. Compartir
  1. RED

Desactivar controles de Compartir
archivos:

  • Seleccionar para la plantilla
    win98.pol
    , si este opción esta Seleccionada
    los usuarios a los que se le apliquen estas políticas
    no podrán efectuar compartir en los equipos evitando
    de esta manera que otros usuarios tengan derecho de escritura
    en mi disco duro
    o le puedan borrar datos por medio de la red también
    el robo de información de otros.

Así se evita que usuarios inexpertos compartan
las carpetas con todos los derechos y hoy en día que
tantos Virus usan esta
idea de estar esperando a que se accede dicho carpeta para
reproducirse por la red. No se recomienda dejar libre al Usuarios
común

  1. Desactivar controles de Compartir
    Impresores:
  • Dejar sombreado para la plantilla
    win98.pol
    , si la selecciona los usuarios no
    podrán compartir los impresores y el compartido se
    retira por eso no se recomienda. Para evitar que
    estén abiertos mas puertos solo activar a los equipos
    que comparten recursos
    los demás no deben tener esta opción
    activada en el entorno de red, entre menos
    protocolos
    usamos mas segura estará nuestra red.
  1. SHELL
  2. Carpetas personalizadas

    Seleccionar la ruta de acceso a los programas en
    el disco duro de esta manera c:windowsmenu
    inicioprogramas. Así todos tendrán los
    programas de la PC en la estén trabajando en ese
    momento se evita que su usuario lo siga. Y copie archivos
    de su escritorio en todas las PC a las que
    entre.

  3. Carpetas de programas Personalizados

    Seleccionar y definir la ruta de acceso al
    escritorio compartido en el servidor de control de dominio
    de nombre fenix \fenix3escritorio$.
    De esta manera todos los usuarios usaran el mismo
    escritorio y mas rápido y centralizado.

  4. Iconos de escritorio
    personalizado

    1. Ocultar el icono "Toda la
      red":
  5. Sistemas

1.- Seleccionar Shell -> restricciones

2.- Marcar "No se encuentra red completa en entorno de
red"

A veces es necesario ocultar la red de ordenadores a un
usuario determinado, de forma que este no puede acceder a
ningún ordenador de la red, aunque los demás
ordenadores si pueden acceder al primero, si en los demás
no se ha activado esta restricción.

  • Para la plantilla fénix.pol
    seleccionar la opción

4.4.9 Ocultar los iconos de los ordenadores de su
grupo de trabajo.

1.- Seleccionar Shell -> restricciones

2.- Marcar "Sin contenidos de grupo de trabajo en
entorno de red"

Con esto el usuario no será capaz de ver a los
otros ordenadores de su grupo de trabajo, pero si podrá
ver los de otros grupos conectados a la red. Tendremos el mismo
problema para imprimir o ver equipos del mismo grupo con carpetas
compartidas a no ser que se sepa el nombre del equipo que tiene
el impresor y los archivos compartidos.

Siempre estas no son infalibles en casos se puede ver
desde el explorador pero se requiere de mas habilidad de parte
del Usuario.

    1. Desactivar las herramientas de edición del
      registro.
  1. Restricciones:

Un usuario experimentado puede saltarse
todas las restricciones que hayamos puesto con Poledit, creando
archivos *.reg y activándolos con una doble
pulsación del ratón. No obstante podemos evitar
esto de la siguiente manera (imagen 39):

Expandir la rama Sistema -> restricciones,
seleccionar la casilla "Desactivar herramientas de
edición del registro de configuraciones"
y aceptar.
También es necesario no añadir Poledit.exe a
la lista de aplicaciones ejecutables vista en el
apartado

La única forma, una vez hecho esto de acceder al
registro y al Poledit (si tampoco se ha incluido en la lista) es
utilizar un disco de arranque que contenga el editor de registro
y el poledit. Aunque la forma más efectiva es utilizar una
copia del registro que se haya hecho antes de desactivar el
editor de registro. (Esto puede conseguirse ejecutando
scanreg que se encuentra en el directorio Windows y
recuperando alguna de las seis últimas copias del registro
que Windows 98 guarda automáticamente, confiando que al
menos una de ellas fuera anterior al establecimiento de estas
restricciones.)

No recomendable, para lugares que trabajan
insertando llaves de registro (*.reg) para el mejor
funcionamiento de los SISTEMAS.

  • Para la plantilla win98.pol dejar en
    blanco
  1. Restringir los programas de aplicaciones
    ejecutables.

Esta opción, junto a la
restricción de propiedades de pantalla, puede ser de los
más útiles, pues con ello controlamos los programas
que un usuario determinado puede ejecutar en el
ordenador.

Con esta opción conseguiremos que sólo los
programas que nosotros, como administrador del sistema, queremos
que sean ejecutados, lo que nos permite controlar lo que hacen el
resto de usuarios en el ordenador. Para ello expandir la rama
Sistema -> restricciones y seleccionar la casilla
"Ejecutar solamente aplicaciones compatibles con Windows",
luego pulsando en el botón Presentación
añaden a mano la lista de programas ejecutables que
queremos que estén disponibles para ese usuario, por
ejemplo se pueden añadir: Iexplorer.exe, Winword.exe,
Excell.exe, Access.exe,
etc.
(cuidado, en la lista hay que escribir el nombre del
fichero ejecutable sin error ) también agregar los nombres
de acceso directo *.lnk o *.pif, de cada ejecutable si le han
creado acceso directo.

Recomendado, con esta opción solo los programas
que usted quiere se ejecutaran o instalaran en el equipo evitando
así problemas legales de Software (imagen 40 y
41).

Imagen 40

Imagen 41

  • Para la plantilla win98.pol
    Seleccionar
  • Si usted tiene todo el apoyo de su jefe
    hágalo y esto le restringirá asta los juegos y
    archivos de antivirus,
    sistemas solo debe de tener paciencia en estar buscando cada
    ejecutable que funciona en su empresa pero
    esta es la mejor opción de todas. Si no tiene
    demasiado apoyo déjela SOMBREADA y
    después en una segunda etapa usted la pude
    configurar.
  • Para la plantilla win98.pol dejar en
    blanco

Por último al terminar de establecer
todas las restricciones que deseemos a un usuario determinado hay
que pulsar en Aceptar y luego en el menú Archivo
-> Guardar
para que los cambios se almacenen en el
registro, finalmente cerrar sesión para ese usuario y al
volver a entrar con ese nombre de usuario y contraseña
todas las restricciones definidas estarán habilitadas.
No recomendable igual al anterior

  1. Es la política de computadora que define la
    configuración para una computadora por defecto
    (Default Computer) o para una computadora nombrada
    específicamente. La configuración de
    Computadora por Defecto se aplica cuando un usuario acceda
    a la computadora o a la red desde una computadora que no
    tiene asignada una política individual.

      1. Seleccionar control de acceso a los
        usuarios

        Nombre de
        Autentificador

        Definir el nombre
        del dominio al que se validara, en el caso de la
        plantilla win98.pol será
        fenix

        Tipo
        de autentificador

        Seleccionar Dominio de Windows
        NT

      2. Control de acceso

        Titulo de
        Inicio

        Titulo: dejar el que trae por
        omisión

        Texto: bienvenido al CYBER FENIX, de
        San Emigdio

      3. Inicio

        Inicio de sección en
        Windows

        el nombre del dominio
        fenix

        Grupo de trabajo:

        Poner a la plantilla el grupo
        fenix

        Grupo de Trabajo
        Adicional: dejar en blanco no
        seleccionar

      4. Cliente para redes Windows:

        Desactivar anuncio
        SAP: si no tiene NOVELL selecciónelo pero si
        tiene novel déjelo el
        Blanco

      5. Compartir Archivos e
        Impresoras

        Dejar como esta por
        defecto o sea sombreado y el que esta marcado
        déjelo si no lo esta debe de estar
        así: seleccionado Ocultar
        Contraseñas los demás
        Sombreado

      6. contraseñas

        Desactivar compartir archivos:

        Dejar las en
        blanco

        Desactivar compartir
        Impresores:

        Dejar en
        blanco

        Las dos se deben
        dejar en blanco porque si las selecciona todas las
        computadoras no podrán compartir archivo e
        Impresores de esta manera nadie podrá usar
        Impresores en Cola ni vera archivos Compartidos,
        esta Opción es similar a la del Usuario
        Local con la diferencia que en el Usuario local si
        quita el compartir al Usuario que entra no a
        todos.

      7. compartir
      8. Actualizar
    1. RED
  2. PC LOCAL DEL REGISTRO

En esta casilla es
la mas importante para la actualización (ver imagen 34) de
las directivas porque en ella se define la forma de actualizar
las Políticas si las ara de forma automática o
manual por eso
es la segunda en importancia, así que ponga mucha atención a estas líneas que de ello
depende el funcionamiento de este plantilla y todo lo antes
escrito.

Modo
actualizaron:

Esta puede
ser automática
, en este caso el equipo busca en el
NETLOGON del servidor de dominio fénix.paz.sv y copia
todas la restricciones que contiene el Archivo CONFIG.POL si es
Windows, para Windows NT es confignt.pol estas restricciones se
agregan al registro de Windows de esta manera la PC local
tendrá todo lo que se le acaba de decir y el Users que
entro en este momento usara la configuración de Usuario
Local y si este Usuario tiene un usuario en la plantilla definido
solo para su Perfil este no tendrá problema con las
políticas del usuario Local.

Si la actualización es manual: se
debe de especificar la Ruta de acceso en el registro de Windows y
en el Archivo de Plantilla o sea al win98.pol, pero siempre este
lo podremos en el NETLOGON del servidor de Dominio,
estación remota, servidor de archivos, la ruta definida es
la que manda, para el ejemplo será. \CETECSE01NETLOGON
win98.POL
(imagen 42 y 32). Archivo, abrir
registro y modificar esta ruta y dejarla manual de esta forma la
política quedara en un anidamiento y siempre las
aplicara.

Imagen 42

  • Para la plantilla
    WIN98.POL seleccionar
    manual y definir la ruta de su controlador, modificar
    también la PC local en la opción del registro
    no de de esta plantilla para que regrese a la plantilla que
    la llama definiendo en ella esta misma ruta.
    \CETECSE01NETLOGON win98.POL
    esta política se
    debe de implementar por partes primero use el archivo
    WIN98.POL para no afectar los demás
    equipos mientras efectúa sus pruebas
    después le cambia el nombra a config.pol si es Windows
    9x si tiene NT WS 3x, 4x puede usar confignt.pol
  1. SISTEMAS
  2. ACTIVAR PERFILES DE USUARIO
  • Seleccionarla para que siempre
    estén los perfile, de esta manera no necesita el
    capitulo 8 definición del entorno en equipos Windows
    98
  1. Esta es la ruta en donde están los archivos
    *.cab de Windows se debe dejar sombreada

  2. RUTA DE ACCESO A LA RED PARA INSTALAR
    WINDOWS
  3. RUTA DE ACCESO A LA RED PARA EL PASEO DE
    WINDOWS
  • Debe estar sombreada
  1. EJECUTAR
  • Debe de estar sombreada
  1. EJECUTAR UNA VEZ
  • Esta opción se debe dejar siempre sombreada
    nunca se le ocurra dejarla en blanco
  1. EJECUTAR SERVICIOS
  • Esta opción se debe dejar siempre sombreada
    nunca se le ocurra dejarla en blanco
  1. PLANTILLA WIN98.POL O
    CONFIG.POL

Después de la explicación
del uso del Editor de Políticas, y la creación del
archivo de políticas tomando como base los puntos al final
de cada numeral o imagen de los capitos 5, 6 de este manual y en
los casos que no se crearon imágenes por espacio o el
tamaño de estas solo se habla de la opción a
definir en esta plantilla win98.pol:

Anexos
adicionales para un buen control con
políticas

Verificar o modificar que los equipos de
prueba tengan definida en Archivo, Registro y en el
icono PC local la ubicación física exacta a donde
usted copio el archivo win98.pol y si es un
servidor primario después de las pruebas usted
deberá poner en automático la línea
actualizar y borrar la ubicación física que le
definió para las pruebas y el archivo
win98.pol renombrarlo a
config.pol para que todo funcione a la perfección. Leer
imagen de actualización remota de PC local
6.1.10

Después de terminar la plantilla
win98.pol copiarla en la carpeta netlogon del
dominio fénix, que en éste caso es el servidor
CETECSE01.

Cuando se cargue
la Política de Sistema, en una PC de la empresa
afectará a aquellos

Usuarios que estén definidos en
el archivo WIN98.pol y aquellos
que no estén definidos (Usuarios extraños)
asumirán las restricciones del usuario por defecto
(Default User).Todas las computadoras asumirán las
restricciones de Default Computer.

En las
políticas de Usuario están
desactivadas:

  • Las propiedades
    de red, pero se les creo un icono en el escritorio compartido
    con el winipcfg para que sepan como se llama el equipo
    así como ver la dirección IP.
  • No pueden
    compartir archivos, pero tienen una carpeta compartida en el
    servidor, en la que se puede pasar archivos hasta por 20 MB y
    después ellos borran los datos por que esta publica este
    acceso esta en el escritorio de nombre de carpeta
    compartida.
  • Se crearon
    carpetas compartidas, a las que se les creo accesos directos
    para evitar hacer mapeos. Estas están en el
    escritorio y solo tienen acceso los grupos definidos en el
    servidor NT, ver imagen de inicio del
    manual.
  • Se copio un logo fenix.BMP, que se
    envía a la PC que no lo tiene y después se carga
    con él la política. Esto se hace con el Scripts
    del Usuario en NT.
  • Cuando hay un
    Icono nuevo solo se agrega al escritorio y este les aparece a
    los equipos de win9x cuando reinician.
  1. DEFINICIÓN DE
    LOS ENTORNOS DE WINDOWS
  2. CONFIGURAR
    LOS EQUIPOS DE LA EMPRESA PARA INICIAR
    POLÍTICAS

    Debemos seguir entonces los
    siguientes pasos:

    1. Preparar la
    máquina con una configuración
    estándar, es decir, con el
    software

    Correspondiente, sin papel
    tapiz, resolución 800*600, color 16
    bits, apariencia estándar de Windows 9X, sin
    salvador de pantalla, conexión a la
    red.

    Impresora Láser Jet 4P, configuración
    regional Español-Perú, teclado
    Español(México) -Latinoamericano. El
    último punto es muy importante pues los perfiles de
    usuario han sido diseñados usando éste tipo
    de teclado. Un teclado distinto ocasionará que, la
    segunda vez que ingresemos al recuadro de logon, el teclado
    quede inhabilitado pues surge un conflicto entre el teclado definido
    localmente en la computadora con el teclado personalizado
    del usuario. Ésta es una falla o bug del Windows 95
    (versiones a y b) que debemos tener en cuenta.. Para
    win95 c y win98 así como ME no aplica
    la

    recomendación

    2.Habilitar el inicio de sesión en el
    dominio de Windows NT (Panel de control icono Red-Cliente
    para redes Microsoft-Propiedades) y los perfiles de usuario
    personalizados (Panel de control – Icono contraseñas
    -Perfiles de usuario – Los usuarios pueden personalizar sus
    preferencias y configuración de escritorio). Debemos
    crear el entorno de cada usuario o profile, es decir, los
    íconos, grupos de programas, y papel tapiz, que
    aparecerá al ingresar con un usuario determinado. El
    profile tiene la forma de un directorio con el nombre del
    usuario que a su vez tiene varios subdirectorios donde cada
    uno representa a un grupo de programas o documentos.

    El contenido final de cada subdirectorio son
    atajos o shortcuts a dichos programas o documentos. El
    profile define el perfil del usuario. Los iconos de accesos
    directos serán descargados desde el directorio
    Escritorio del servidor primario a las máquinas de la Empresa. El directorio
    Escritorio está compartido como
    Escritorio$ con acceso de solo lectura.
    Después de crear y compartir el directorio
    Escritorio debemos crear los iconos de acceso directos
    estándares de la Empresa, en esta carpeta compartida
    (Escritorio$) del servidor primario con derechos a los
    usuarios de este dominio. Así al ingresar un usuario
    y una contraseña predeterminados según el uso
    que el empleado desee darle a la computadora. Por ejemplo,
    si el empleado desea usar los servicios Internet
    debe ingresar con el usuario asignando seguido de la
    contraseña propia. Luego el servidor valida al
    usuario y su contraseña en el dominio FENIX y
    empieza la carga del entorno predeterminado junto con las
    restricciones de seguridad y los iconos de accesos
    directos.

    Para una
    máquina que ha sido configurada con el System
    Policies observar que es diferente abrir el registro de la
    computadora durante la sesión n de un usuario que
    abrir el registro después de hacer Esc a la ventana
    de inicio de sesión. Si abrimos el registro durante
    la sesión de un usuario, al que se le han aplicado
    las políticas de seguridad, observaremos un Local
    User y un Local Computer afectados por el System Police y
    correspondiente al del usuario con el que se ha ingresado.
    Modificaciones hechas en él Local User y/o en Local
    Computer durante una sesión de usuario
    tendrán efecto sólo hasta que terminemos la
    sesión pues una vez reiniciada seguiremos con la
    configuración inicial debido a que las
    configuraciones del System Police tienen prioridad y han
    sido Aplicadas a la máquina, no a un
    usuario
    .

    El entorno
    que obtenemos al hacer Esc a la ventana de inicio de
    sesión es el que nos permitirá hacer
    modificaciones en el Registro del sistema para poder
    desinstalar el System Police, sin embargo, en la
    sección anterior la máquina se
    configuró para que al hacer Esc no se obtuviera
    ningún tipo de acceso a la máquina. Tenemos
    entonces que Ingresar al Modo Seguro del
    Windows 9X y desde aquí desactivar el System
    Police.

    Debemos
    seguir los siguientes pasos:

    1. Ingresar
    al Modo Seguro a Prueba de Fallas del Windows9x,
    para ello reiniciar la PC y enseguida presionar
    F8.

    2. Ejecutar
    el Poledit y desmarcar todas las opciones indicadas en los
    pasos de la sección anterior.
    Guardar.

    3. Adicionalmente también
    desactivar las opciones indicadas en el paso 1,
    sección anterior, correspondiente al inicio de
    sesión en el dominio del Windows NT y la
    activación de perfiles personalizados.

    4. Entrando en modo msdos y usando scanreg para
    recuperar una copia del registro de unos días o
    meses anteriores esta práctica no aplica a Windows
    95

    5. Para usuarios avanzados borrar la llave de
    registro policies y desactivando la opción
    actualizar[HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies]
    después solo se renombra el directorio profiles de
    Windows y todos los que entren no tendrán directivas
    de políticas.

  3. DESINSTALAR LAS
    POLÍTICAS
    :

    1. Las siguientes restricciones no son opciones
      de Poledit, pero complementan a éste y ayudan a
      configurar una protección eficaz de nuestra red
      de ordenadores.

      Para que las políticas sean un éxito en tu empresa
      también debes de saber que sin usar el POLEDIT
      se puede modificar las opciones de configuración
      que un archivo de políticas crea al momento de
      acceder a una red
      o a una PC local.

      Para saber en que lugar se guardan las
      políticas del usuario DEFOULT de una PC esta
      este ejemplo y aunque usted inicie a pruebas de fallas
      esta configuración siempre se carga en el
      registro de Windows. Vemos el registro:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPolicies]

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]

      "1"="calc.bat"

      "2"="iexplore.exe"

      "3"="actmovie.exe"

      "4"="copias.bat"

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesNetwork]

      "NoNetSetup"=dword:00000001

      "NoNetSetupIDPage"=dword:00000001

      "NoNetSetupSecurityPage"=dword:00000001

      "NoFileSharingControl"=dword:00000001

      "NoEntireNetwork"=dword:00000001

      "NoWorkgroupContents"=dword:00000001

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]

      "NoAdminPage"=dword:00000001

      "NoProfilePage"=dword:00000001

      "NoDevMgrPage"=dword:00000001

      "NoConfigPage"=dword:00000001

      "NoFileSysPage"=dword:00000001

      "NoVirtMemPage"=dword:00000001

      En esta ubicación nos restringe todo
      solo nos permite usar los programas que en esta se
      mencionan.

      Y si el caso es el usuario jose esta
      restricción estaría en la
      rama:

      [HKEY_USERS.fenixSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRestrictRun]

      Con las mismas restricciones anteriores
      además de restringirme el acceso al entorno de
      red..

      Si no desea que el equipo se valide en un
      DOMINIO NT

      [HKEY_LOCAL_MACHINENetworkLogon]

      "username"="amejia"

      "PrimaryProvider"="Microsoft
      Network"

      "PolicyHandler"="GROUPPOL.DLL,ProcessPolicies"

      "logonvalidated"=hex:01,00,00,00

      "UserProfiles"=dword:00000001

      "LMLogon"=hex:00,00,00,00

    2. Políticas con llaves de
      registro.

      para Windows 98 y más

      usar la llave siguiente:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

      "BloquearUsuarios"="RUNDLL32.EXE
      SHELL32.DLL,SHExitWindowsEx 0"

      Esto hace que la PC no permita entrar otro
      usuario que no sea los definidos en los perfiles de
      Windows a la fecha de ingresado la
      modificación.

      Para win95 es otra forma no tan probada
      pero aquí esta:

      [HKEY_USERS.DEFAULTSoftwareMicrosoftWindowsCurrentVersionRun]

      "BloquearUsuarios"="RUNDLL.EXE
      user.exe,ExitWindows"

    3. Seguridad sin usar el editor de
      Políticas

      Es posible hacer que el explorador de Windows
      quede apuntando a un determinado directorio o unidad
      sin posibilidad de desplazarnos a través de los
      demás directorios o unidades, lo que puede
      permitirnos bloquear el acceso a determinadas partes
      del ordenador a cualquier usuario, evitando que estos
      borren o pongan programas y archivos en directorios no
      deseados por nosotros.

      Para ello ir a Inicio ->
      Programas -> Explorador de Windows
      y pulsando
      con el botón derecho del ratón abrir sus
      propiedades. En el cuadro de diálogo que aparece escribir en
      el campo destino: c:windowsexplorer.exe
      /e, /root, c:Mis documentos.

      Con esto hacemos que la ventana del explorador
      sólo apunte al directorio mis documentos
      sin posibilidad de desplazarnos por los
      demás.

      También podemos hacer que apunte a una
      determinada unidad, por ejemplo A: sin posibilidad de
      acceder al disco duro, escribiendo:
      c:windowsexplorer.exe /e, /root,
      A:

      Imagen 43

    4. Explorador de Windows apuntando a un
      directorio fijo sin posibilidad de ir a otro (imagen
      43)
    5. Ocultar unidades en
      MiPc.
  4. TRABAJANDO SIN EL EDITOR DE POLÍTICAS,
    USANDO EL EDITOR DE REGISTRO.

En la sección 2.1 vimos la
posibilidad de ocultar todas las unidades a un usuario
determinado, pero que pasaría si sólo deseamos
ocultar determinadas unidades. Para ello es necesario editar el
registro para ese usuario.

Las unidades están controladas por una palabra de
bits:

Letra de unidad

G F E D C B A

Palabra de bits

1 1 1 1 1 1 1

Si el bit está a 1 la unidad no se ve. Por
ejemplo para ocultar las unidades:

Unidad a ocultar

Valor binario

Valor Hexadecimal

A

00001

01

C

00100

04

D

01000

08

E

10000

10

C y D

01100

0C

Veamos un ejemplo práctico,
supongamos que deseamos ocultar el disco duro (C:) Y el CDROM
(D:), el valor hexadecimal a colocar en el registro es
"OC".

  1. Imagen 44

  2. Ejecutar Regedit. .
  3. Expandir la rama:
    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer
  4. Añadir un "Nuevo Valor DWORD"
  5. Darle el nombre "NoDrives"
  6. Darle el valor 0C
  7. Salvar la configuración y
    reiniciar.

Al reiniciar no aparecerán estas unidades en MiPc
o el Explorador (cuidado, sí el explorador es el
estándar de Windows siempre aparece la unidad C:, Salvo
que lo modifiquemos como hemos hecho anteriormente, apuntando a
otra unidad o carpeta sin posibilidad de ir a otro
sitio).

  1. Negar el uso de fondos de pantalla desde el
    Internet Explorer

1)- Se debe copiar un archivo que a usted le guste
para un fondo Común en los escritorios en mi empresa
definimos el logo y lo renombramos como fenix.bmp y
también lo copiamos como Internet
Explorer Wallpaper.bmp que esta dentro de c:windows y lo
pones de lectura y oculto

2)- Le cambiamos a los dos bmp las propiedades de solo
lectura y oculto y esto sélo definimos al archivo de
políticas para que lea el archivo fenix.bmp y todos
tendrán el mismo logo en sus PCS. Si tiene un servidor
puede enviar el archivo a todos las computadoras por medio de
un archivo bat y definirlo en el perfil de todos los
usuarios.

7.- CONCLUSIONES

  • Escritorio Remoto: Para este acceso cuando hay
    usuario conectado y el usuario remoto con el que nos conectamos
    no tiene derechos administrativos no podrá cerrar la
    sesión del que entro antes y la conexión no se
    efectúa. Pero además es un problema si el usuario
    es administrador porque no se sabe si el que esta trabajando
    tiene un trabajo sin guardar y uno lo saca de sesión se
    pierde lo que estaba haciendo el otro. Por seguridad no se
    recomienda que los administradores entren remotamente para eso
    se retira el grupo de administradores de las directivas tener
    acceso a este equipo desde la red y permitir inicio de
    sesión a trabes de servicios de Terminal Server, de de
    esta manera se cuela a ciertos grupos la
    administración. Ejemplo a los usuarios del grupo
    admin_fenix.
  • Windows xp: para equipos completamente Nuevos es
    posible hacer el perfil de usuario, para equipos usados es
    recomendable un usuario que no tenga correo instalado o crear
    uno en la PC definirle toda la configuración y
    después copiarlo en el Default User, después
    borrar o hacer backup de estos perfiles para que todo el perfil
    de usuarios nuevos funcione bien. Este opción funciona
    para Windows 2000 pero el equipo debe ser Windows 2000 para xp
    debe ser xp de esta forma se pude copiar un perfil viejo de xp
    a otra PC con xp y no se pierde nada de información
    hasta los correos de copian.
  • En Active Directory: se recomienda en la directiva de
    usuario crear todas las restricciones posibles y como estas por
    lo general se Habilitan en la plantillas que no deseamos que se
    apliquen hay que deshabilitar de esta forma esta opción
    prevalece sobre la de habilitar. También si deseamos que
    una directiva se aplique a otras ou solo se crean grupos que
    leerán las directivas comunes por ejemplo de Internet y
    programas. Estableciendo en nuestras OU vinculo de objeto de
    directivas de grupo, de la forma siguiente: propiedades,
    agregar, agregar un vínculo, ver todas y seleccionar
    ahí la que deseemos aplicar.
  • Después de haber creado una
    configuración optima de un equipo con xp nuevo o usado
    es bueno crear una imagen idéntica para ello se
    recomienda usar Norton Ghost versión 2002,
    crearla en una partición fat32 de su mismo duro y en
    algún problema de Software solo recuperar esta
    imagen.
  • En Windows 95 y superiores es también
    útil usar los comandos net ,
    para establecer conexiones a compartidos o correr archivos de
    proceso por
    lotes BAT.
  • Las políticas creadas para los sistemas
    Windows 95, 98, ME y NT. Fueron funcionales en su momento, hoy
    estas nos servirán de ayuda pero siempre estos sistemas
    serán vulnerable a ataques, dado la mejor tecnología que usan hoy los creadores de
    Virus y la obsolececia de estos sistemas. El mejor es xp y
    proximamente será el viejo pues estará el Windows
    Vista que es el nuevo en salir.

 

Datos del Autor.

En estas configuraciones de Windows Server 2003, 2000 y
las sistemas Operativos de escritorio se describe el trabajo
realizado por el Técnico y Profesor
Alirio Mejía Amaya, en los 13 años de
trabajo en una dependencia de Gobierno del
Salvador de estos años 5 con políticas de Windows
98, 4 años con Windows Server 2000 y profesional, 3
años con xp y 2 con xp con sp2, 2 con Windows 2003 en
Active Directory. Además de Cursos de administración de Windows Server NT4 Y 2003
diplomados en Microsoft 2000, 97, Programación en foxpro y visual.
Actualmente miembro de Comunidad de
Microsoft (GIT "Grupo de Infraestructura Tecnológica")
toda esta experiencia están escritas y editadas en este
libro y todo
lo que acá esta escrito es funcional y verdadero, cual
quien duda al respecto visitar el CYBER en el que esta funcionado
esta configuración. Efectuamos asesorías sobre lo
escrito los días de semana a partir de las 16:00 horas y
los fines de semana todo el día. Para usuarios de otros
países les vendemos videos avi en CD de las demostraciones
de uso y administración de servidores,

Interesados llamar a los teléfonos 22587317 o
23-79-25-35 o escribir al correo

Amejia_sv@hotmail

para mientras está el

Partes: 1, 2, 3

Partes: 1, 2, 3
 Página anterior Volver al principio del trabajoPágina siguiente 

Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.

Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.

Categorias
Newsletter