HERENCIA DE POLITICAS Para facilitar la implantacin y administracin de configuracin de seguridad en la red de la organizacin, Windows Server 2003 incluye el complemento

de Plantillas de seguridad. Este complemento permite a los administradores definir plantillas estndar y aplicarlas uniformemente a mltiple equipos o usuarios. Una plantilla de seguridad es una representacin fsica de una configuracin de seguridad, un archivo en el que un grupo de valores de seguridad pueden almacenarse. Windows Server 2003 incluye un conjunto de plantillas estndar, cada una apropiada para la funcin de un equipo. El rango de plantillas va desde una configuracin de baja seguridad para clientes de dominio hasta alta seguridad para controladores de dominio. Podemos usar estas plantillas como estn o modificarlas, o usarlas como base de plantillas para crearlas nosotros. La herramienta de anlisis y configuracin de seguridad es el compaero del complemento de Plantillas de Seguridad. Se usa para aplicar las restricciones definidas en una plantilla a los sistemas reales. Tambin para analizar la seguridad de un sistema y compararlo con la configuracin de equipos que han sido desplegados para asegurarnos que cumple con los estndares de la compaa. Uno se crea su propia MMC con las herramientas que necesitaremos para editar, analizar y aplicar plantillas de seguridad: 1. Inicio, Ejecutar, escribimos MMC y pulsamos el botn Aceptar.

2. En el Men Archivo, clic en Agregar o quitar complemento.

3. En el siguiente cuadro de dilogo, pulsamos en Agregar.

4. En el cuadro de Agregar un complemento independiente, seleccionamos Plantillas de seguridad y le damos a Agregar.

5. Sin salir del cuadro, seleccionamos Configuracin y Anlisis de seguridad y le damos a Agregar.

6. Cerramos el cuadro de dilogo y pulsamos Aceptar en la siguiente. Nos queda la consola con ambas herramientas y que podemos guardar para usarla cuando se desee.

7. Nos deslizamos por los complementos hasta Configuracin y Anlisis de Seguridad, lo seleccionamos y pulsamos Add. Cerramos y Aceptar.

8. Clic derecho en el complemento que ahora se muestra en la Consola, seleccionamos Abrir Base de Datos.

9. Escribimos un nombre distintivo y pulsamos en Abrir.

10. Escogeremos una de las plantillas de seguridad predefinidas o una que hayamos creado nosotros.

11. Elegimos la adecuada a la configuracin de seguridad que queremos analizar y pulsamos en Abrir.

12. Clic derecho sobre el complemento otra vea, ahora seleccionamos Analizar equipo ahora, indicamos la ruta para guardar el log con la info y se comenzar la comparacin de la configuracin actual con la de la plantilla elegida.

13. Cuando finaliza la comparacin.

14. Vemos en las opciones de seguridad la informacin.

15. Un dato que no cumpla se mostrar con una Aspa roja.

ELEGIR UNA PLANTILLA PREDEFINIDA Con Windows vienen varias plantillas de seguridad predefinidas, lo que podra hacer que no necesitramos crear una nueva ya que podemos personalizar cualquiera de las predefinidas y guardarlas con otro nombre. Estas plantillas predefinidas nos proporcionan puntos de entrada para aplicar directivas de seguridad en distintos modelos, tengan uno, cien o miles de equipos. Las plantillas predefinidas son:

setup security.inf La plantilla Setup security.inf se crea durante la instalacin y es especfica de cada equipo. Vara de un equipo a otro, dependiendo de si se trata de una instalacin limpia o de una actualizacin. Setup security.inf representa la configuracin de seguridad predeterminada que se aplica durante la instalacin del sistema operativo, incluyendo los permisos de archivo para la raz de la unidad del sistema. Puede utilizarse en servidores y en equipos cliente; no puede aplicarse a controladores de dominio. Puede aplicar partes de esta plantilla para la recuperacin tras desastres.

No aplique Setup security.inf utilizando Directiva de grupo. Si lo hace, puede disminuir el rendimiento.

compatws.inf Esta plantilla cambia los permisos predeterminados de archivos y del Registro que se conceden a los miembros del grupo Usuarios de manera que sean coherentes con los requisitos de la mayora de los programas que no pertenecen al

programa de logotipo de Windows para software (Windows Logo Program for Software). La plantilla Compatible tambin quita todos los miembros del grupo Usuarios avanzados. DC security.inf Esta plantilla se crea cuando se promueve un servidor a controlador de dominio. Refleja la configuracin de seguridad predeterminada de los archivos, el Registro y los servicios del sistema. Si vuelve a aplicar esta plantilla, esta configuracin se establecer en los valores predeterminados. Sin embargo, la plantilla puede sobrescribir los permisos de los nuevos archivos, claves del Registro y servicios del sistema creados por otros programas. securedc.inf, securews.inf Las plantillas Secure definen configuraciones de seguridad mejorada que es menos probable que afecten a la compatibilidad de programas. Por ejemplo, las plantillas Secure definen configuraciones ms seguras de contraseas, bloqueo y auditora. Adems, las plantillas limitan el uso de LAN Manager y los protocolos de autenticacin NTLM configurando los clientes para enviar nicamente respuestas de NTLMv2 y configurando los servidores para que rechacen las respuestas de LAN Manager.

Hay dos plantillas Secure predefinidas en Windows Server 2003: Securews.inf para las estaciones de trabajo y Securedc.inf para los controladores de dominio. Para obtener informacin adicional acerca de cmo utilizar estas plantillas y otras plantillas de seguridad, busque "plantillas de seguridad predefinidas" en el Centro de ayuda y soporte tcnico.

hisecdc.inf, hisecws.inf Las plantillas Highly Secure especifican restricciones adicionales no definidas por las plantillas Secure, como niveles de cifrado y la firma necesarios para la autenticacin y el intercambio de datos a travs de canales seguros, y entre los clientes y servidores de Bloque de mensajes del servidor (SMB). rootsec.inf Esta plantilla especifica los permisos raz. De forma predeterminada, Rootsec.inf define estos permisos para la raz de la unidad del sistema. Puede utilizar esta plantilla para volver a aplicar los permisos del directorio raz si se cambian inadvertidamente o puede modificar la plantilla para aplicar los mismos permisos raz a otros volmenes. Como se especifica, la plantilla no sobrescribe los permisos explcitos definidos en los objetos secundarios; slo propaga los permisos heredados por los objetos secundarios. iesacls.inf Internet Explorer Security ACLs Notssid.inf Esta plantilla eliminalos SIDs innecesarios de TS del sistema de archivos y del Registro cuando se ejecuta TS en modo aplicacin.

La mayora de estas plantillas son incrementales, es decir modifican alguna predefinida. Cualquier plantilla que no sea setup security.inf no configuran valores de seguridad predeterminados antes de cambiar la configuracin de seguridad del equipo. Tampoco podemos usarlas en el caso de utilizar el sistema de archivos FAT. Las plantillas las podemos ver en la consola MMC que hemos creado ms arriba. CREAR UNA PLANTILLA PERSONALIZADA El camino ms complicado es crear una plantilla personalizada desde cero:

1. Desde plantillas de seguridad, clic derecho en la carpeta donde queramos dejar la plantilla nueva y pinchar en Nueva plantilla.

2. En el cuadro de dilogo ponemos un nombre y descripcin para la plantilla, y le damos a Aceptar.

3. En el panel izquierdo, abrimos la nueva plantilla (doble-clic en su nombre) Seleccionamos una rea de seguridad, por ejemplo el REgistro y luego la configuramos desde el panel derecho.

No es el camino ms recomendable, ms que nada por la laboriosidad necesaria para completarla. Lo mejor es crear una plantilla desde una predefinida, se guarda con un nombre nuevo y se edita para la parte que queramos. Puesto que estamos viendo la seguridad del Registro veamos como configurar su seguridad en una plantilla. 1. Desde plantillas de seguridad, clic derecho en una plantilla predefinida y le damos a guardar como, le damos el nombre y Aceptamos.

2. Abrimos con doble clic la plantilla guardada, seleccionamos el Registro en el panel izquierdo y vamos al panel derecho.

3. Vemos una lista de las llaves, donde podemos aadir una nueva o editarla de la lista: 1. Doble clic en la que se quiera y seleccionamos una de las dos opciones. 1. Configurar esta clave 1. Propagar los permisos heredables a todas las subclaves 2. Reemplazar los permisos existentes en todas las subclaves con permisos heredables. 2. No permitir que se reemplacen permisos en esta clave.

ANLISIS DE LA CONFIGURACIN DEL EQUIPO Con la plantilla personalizada en mano, podemos usarla para analizar la configuracin de seguridad. Con Configuracin y Anlisis de seguridad, que nos permite comparar el estado actual con los valores configurados en la plantilla, aqu podemos realizar cambios inmediatos en la configuracin del equipo. Tambin lo podemos usar para el seguimiento de los niveles de seguridad. Primero: Clic derecho en Configuracin y Anlisis de seguridad, (la tenemos aadida a la consola) y pulsamos abrir Base de Datos.

Segundo: Desde el cuadro de dilogo que aparece respecto a la BD, podemos hacer una de dos: Crear un nuevo anlisis de BD, escribiendo un nombre nuevo para esa BD nueva y darle a Abrir, entonces importamos la plantilla y Abrir.

Abrir un anlisis ya existente y darle a Abrir.

Tercero: Clic derecho en Configuracin y anlisis de seguridad, seleccionar Analizar ahora y aceptar la ruta del archivo de registro (o cambiarla).

En cuanto le damos a aceptar se realiza la accin:

Configuracin y anlisis de seguridad compara la seguridad actual del equipo contra la BD elegida. Si queremos importar diversas plantillas a la BD, click derecho sobre Configuracin y anlisis de seguridad y darle a importar plantilla, la herramienta las unir en una. Si acaso detecta conflictos, la ltima plantilla aadida tiene precedencia (LIFO). Despus del anlisis del equipo, se muestra en pantalla los resultados, con indicadores que sealan diversas coincidencias o inconsistencias con la configuracin definida en la plantilla:

Aspa sobre fondo rojo.

La configuracin existe tanto en la BD como en el equipo, pero no coinciden.

Marca verde sobre crculo blanco.(imagen anterior). La configuracin existe en ambas y concuerda. Interrogacin sobre crculo blanco.

La configuracin no est en la BD y no se analiz. (puede intervenir tambin la falta de permisos del usuario que lanza el anlisis).

Exclamacin sobre crculo rojo.

La configuracin est en la BD pero no en el equipo. Una llave del Registro puede estar en la BD y no estar en el equipo.

Sin indicador. El valor no est en la BD o en el equipo.

Qu hacer con las discrepancias? Podemos actualizar la BD editndola, aunque esto no cambiar en la plantilla ni en el equipo. Para ello debemos modificar la plantilla o actualizar la configuracin en el equipo. Aplicar una plantilla de seguridad 1. clic derecho en Configuracin y anlisis de seguridad y, a continuacin, en Abrir base de datos. 2. En el cuadro Nombre de archivo, escribir el nombre de la base de datos y en Abrir. 3. clic en la plantilla de seguridad que deseamos aplicar y, seguidamente, en Abrir para importar a la base de datos las entradas contenidas en la plantilla. 4. clic derecho en Configuracin y anlisis de seguridad y, despus, en Configurar el equipo ahora. clic clic clic clic

En el procedimiento descrito para aadir el complemento de Configuracin y anlisis de seguridad, nos sirve para aadir tambin las plantillas de seguridad, en el paso 3 buscamos el complemento y lo agregamos de igual modo que lo hemos hecho con Configuracin y anlisis de seguridad. As en la misma consola podemos tener ambos complementos. Crear y definir una plantilla de seguridad nueva 1. En la consola, extendemos Plantillas de seguridad. 2. clic derecho en %raz_del_sistema%\Security\Templates y despus, clic en Nueva plantilla. 3. En el cuadro Nombre, escribimos uno para la plantilla nueva, clic en Aceptar. La plantilla de seguridad aparece en la lista de plantillas de seguridad. Ver que an no se define la configuracin de seguridad para esta plantilla. Cuando extendemos la plantilla se extienden adems cada componente de la misma y seguidamente, doble clic en cada valor que muestre el estado No Definido en la columna Configuracin del equipo.

4. Para directivas de Directivas de cuenta, Directivas locales o registro de sucesos: a. Extendemos el componente que contiene la configuracin de seguridad que queremos configurar. b. A la derecha, doble clic en la configuracin de seguridad a configurar. c. clic para seleccionar la casilla de verificacin Definir esta configuracin de directiva en la plantilla, especificamos la opcin o configuracin que creeemos que es la apropiada en la configuracin de seguridad y despus, clic en Aceptar. 5. Para definir una directiva Grupos restringidos: . clic derecho en Grupos restringidos y seguidamente, clic en Agregar grupo. a. clic en Examinar. b. En el cuadro de dilogo Seleccionar grupos, escribimos el nombre del grupo al que queremos restringir el acceso, clic en Aceptar y despus, clic en Aceptar. c. En el cuadro de dilogo Propiedades Nombre de Grupo bajo miembros de este grupo, clic en Agregar miembros para agregar los miembros que queramos al grupo. Para agregar este grupo como miembro de otro grupo, en Este grupo es miembro de, clic en Agregar grupos. d. clic en Aceptar. 6. Para definir directiva de Servicios del sistema: . Extendemos Servicios del sistema. a. A la derecha, doble clic en el servicio a configurar. b. Especificamos las opciones que queremos y seguidamente, clic en Aceptar. 7. Para definir seguridad para claves de Registro: . clic derecho en Registro y despus, clic en Agregar clave. a. En el cuadro de dilogo Seleccionar clave de registro, clic en la clave de Registro a la que queremos definir seguridad y despus, clic en Aceptar. b. En el cuadro de dilogo Seguridad de base de datos para Clave Seleccionada especificamos los permisos para la clave de Registro y despus, clic en Aceptar. c. En el cuadro de dilogo Agregar objeto, especificamos cmo queremos los permisos para esta clave heredada, clic en Aceptar y despus, clic en Aceptar. 8. Para definir seguridad para archivos o carpetas:

. clic derecho Sistema de archivos y despus, clic en Agregar archivo. a. En el cuadro de dilogo Agregar archivo o carpeta, clic en una carpeta o en un archivo al que queremos agregar seguridad y despus, clic en Aceptar. b. En el cuadro de dilogo Seguridad de base de datos para Nombre archivo o Nombre carpeta especificamos los permisos que queremos, clic en Aceptar y despus, clic en Aceptar. Copiar configuracin de seguridad de una plantilla predefinida en otra plantilla 1. Extendemos una plantilla predefinida que contenga las configuraciones que queremos copiar, clic derecho en el componente a copiar y despus, clic en Copiar. 2. Extendemos la plantilla personalizada, clic derecho en el componente apropiado y luego, clic en Pegar. Cree una plantilla nueva de seguridad basada en una plantilla predefinida 1. clic derecho en la plantilla a copiar y seguidamente, clic en Guardar como. 2. En Guardar como, escribimos un nombre y despus, clic en Guardar. La plantilla de seguridad nueva aparece en la lista de plantilla de seguridad. Configurar la plantilla con las configuraciones deseadas.