Académique Documents
Professionnel Documents
Culture Documents
com
Medidas de seguridad
usando políticas de
Windows
(Configuración de seguridad avanzada)
Página 1
www.ProtegeTuOrdenador.com
Índice de contenido
Objetivo................................................................................................................................................3
Consideraciones previas.......................................................................................................................3
Accediendo a las políticas de grupo.....................................................................................................3
Políticas de grupo: Configuración del equipo......................................................................................5
Limitando el acceso a la administración del sistema............................................................................9
Modificando los permisos de acceso y actualizando políticas...........................................................11
Comprobando si las políticas aplicadas son efectivas........................................................................13
Apéndice A: Listado de ficheros de una extensión determinada.......................................................13
Página 2
www.ProtegeTuOrdenador.com
Objetivo
Nota muy importante: Las modificaciones que aquí se proponen pueden causar problemas de
funcionamiento con algunas aplicaciones e incluso con el propio sistema operativo. Recomendamos
encarecidamente poner en práctica estas medidas en algún sistema de pruebas antes de aplicarlas a
un sistema real.
Consideraciones previas
La idea es la siguiente: aplicar las políticas de grupo sobre los usuarios sin privilegios de
administración y disponer de un usuario con privilegios administrativos, sin ningún tipo de política,
para realizar cualquier tarea de administración del sistema.
Página 3
www.ProtegeTuOrdenador.com
Después de aceptar las ventanas que haya en pantalla, deberemos llegar a algo como esto:
Página 4
www.ProtegeTuOrdenador.com
Aquí tenemos que distinguir entre las políticas que se aplicarán al usuario logado al equipo y
las que se aplicarán al ordenador independientemente de quien acceda al mismo. Desde aquí no
vamos a explicar todas las opciones disponibles, pero os animamos a que investiguéis un poco por
vuestra cuenta y veréis que las opciones de configuración son elevadísimas.
Aquí vamos a configurar una de las herramientas más poderosas de las políticas de grupo:
las restricciones de software. Desde aquí podemos configurar qué software queremos que se ejecute
en nuestro ordenador. ¿Qué implicaciones tiene esto? Suponed que trabajamos sobre un entorno
“seguro” (por ejemplo, con un sistema operativo recién instalado en el ordenador). Podemos
permitir que se ejecute sólo el software que esté presente en el ordenador en ese momento, puesto
que sabemos que no representa ningún riesgo; todo lo demás queda prohibido explícitamente. Así,
cualquier ejecutable que contenga código malicioso no podrá ejecutarse en el ordenador puesto que
se lo hemos prohibido explícitamente. ¿Véis las posibilidades? Todo contenido que presenta un
riesgo potencial no va a poder ejecutarse en el ordenador...
Evidentemente, todo esto tiene un “pero”, y es que la administración del sistema se
incrementa notablemente, sobre todo si estamos instalando software continuamente. Para que os
hagáis una idea, debemos permitir que se ejecuten todos los ficheros del sistema operativo
(evidentemente) y las aplicaciones que tengamos instaladas o que queramos instalar. Esto puede ser
bastante tedioso, aunque es un trabajo que sólo hay que hacer una vez. Una vez hecho, nos
despreocupamos hasta que queramos instalar más software.
Obtendremos lo siguiente:
Página 5
www.ProtegeTuOrdenador.com
● Reglas adicionales: Aquí debemos configurar las excepciones al nivel de seguridad que
hemos establecido (recordad, por defecto no se ejecuta nada!!!). Es decir, aquí va todo el
software que queremos que se ejecute. Completar esta lista os llevará tiempo...
¿Cómo averiguar todos los archivos sobre los que hemos de crear reglas adicionales?
Página 6
www.ProtegeTuOrdenador.com
Regla de nueva ruta: Es la opción más cómoda. Aquí establecemos una ruta hacia el fichero,
permitiendo su ejecución dentro de esa ruta. Por ejemplo, permitimos la ejecución de
C:\Windows\system32\alg.exe. Cualquier fichero que se llame alg.exe y que esté en la ruta
C:\Windows\system32 podrá ejecutarse sin problemas. Como vemos, esta opción es más sencilla
pero menos segura, ya que si alguien cambia este ejecutable por otro con contenido malicioso se
podría ejecutar sin problemas .
Página 7
www.ProtegeTuOrdenador.com
● Obligatoriedad: Aquí tenemos dos apartados; a qué tipo de software queremos aplicar las
directivas y a quién queremos aplicárselas. En la primera opción deberíamos escoger Todos
los archivos de software excepto bibliotecas (tales como DLLs). Con este nivel es
suficiente; la otra opción multiplica hasta el infinito la administración.
En cuanto a quién queremos aplicar las directivas, debemos escoger Todos los usuarios
excepto los administradores locales. Recordad, nos hemos asegurado de poder acceder a la
cuenta de administración, y a esa cuenta no se le aplicarán las directivas si elegimos esta
opción, con lo que no tendremos ningún tipo de restricción.
● Tipos de archivo designados: Aquí se definen los archivos que se consideran código
ejecutable (o los que pueden contenerlo) y, por lo tanto, sobre los que se aplicarán las
directivas de restricción de software. Por defecto vienen un montón de extensiones; podéis
dejar todas si queréis pero recordad que tendréis que añadir reglas adicionales para todos los
archivos de este tipo que queráis que se ejecuten. Mi recomendación es que deberían figurar,
al menos, estos tipos de archivo: EXE, BAT, CMD, COM, CPL, MSI, MSP, VBS.
Página 8
www.ProtegeTuOrdenador.com
Aquí hay multitud de opciones, opiniones y necesidades: ya que puede haber código
malicioso en archivos con otras extensiones, cada cual deberá ajustar esta lista a sus
necesidades.
● Editores de confianza: Esta opción configura quiénes pueden elegir editores de confianza
(los editores de confianza son programadores acreditados que cumplen una serie de
requisitos); deberéis marcar la opción Usuarios finales.
Todas las acciones que hemos realizado no sirven de nada si no imponemos alguna restricción de
acceso a las herramientas de administración del sistema, tales como el registro, consola de
administración, etc.
Para ello vamos a Configuración de usuario – Plantillas Administrativas. Ahí debemos habilitar
las siguientes políticas:
Página 9
www.ProtegeTuOrdenador.com
Sistema:
Estas son las opciones básicas que debemos configurar, aunque podréis comprobar que las opciones
son enormes. Podéis ajustad las políticas para configurar las propiedades de internet explorer,
windows update, windows messenger, windows installer, el menú de inicio, el panel de control,
etc., etc.
Página 10
www.ProtegeTuOrdenador.com
Las restricciones de software no se aplicarán a los usuarios con privilegios administrativos, pero las
modificaciones que hayamos realizado sobre el acceso a la administración del sistema,
configuración de internet explorer, etc. se aplicarán a todos los usuarios. Por ejemplo, si hemos
deshabilitado el acceso al registro mediante políticas, cuando accedamos al sistema con la cuenta de
administración seguiremos teniendo prohibido el acceso al registro. Si queremos tener acceso
completo debemos borrar la carpeta C:\Windows\system32\GroupPolicy, teniendo la precaución
de copiarla previamente a otra ruta. Cuando accedamos de nuevo con la cuenta limitada,
debemos copiar la carpeta GroupPolicy a la ruta anterior y ejecutar el comando gpupdate /force
para que las políticas se apliquen correctamente.
Una vez que hayamos creado nuestras políticas, deberemos protegernos frente a ataques que
intenten elevar los privilegios de los usuarios. Para ello tendremos que modificar los permisos de
acceso (NTFS) a las carpetas C:\Windows\system32\GroupPolicy y C:\Windows\System32. La
forma más cómoda de establecer permisos es la siguiente:
Página 11
www.ProtegeTuOrdenador.com
Sí, sabemos que todo esto es un poco tedioso, por eso estamos trabajando en un programa que haga
el trabajo por vosotros. Esperamos tenerlo listo en próximas fechas.
Página 12
www.ProtegeTuOrdenador.com
Suponemos que nos llega un correo con el adjunto “foto.jpg.exe”. Suponemos también que
tenemos marcada la opción Ocultar las extensiones para tipos de archivo conocidos en las opciones
de carpeta, por lo que nosotros vemos este archivo como “fotos.jpg”. Aparentemente, es una foto
que nos han enviado y no entraña ningún riesgo. La descargamos a nuestro ordenador y hacemos
doble click sobre ella. Obtenemos el siguiente mensaje:
Las políticas han impedido que se ejecute este programa, informándonos además que las
supuestas fotos son, en realidad, un ejecutable.
Con todo esto tendríamos un nivel de protección bastante aceptable sin necesidad de ningún
programa externo, usando sólo las herramientas del sistema operativo.
Para extraer un listado de los archivos con una extensión determinada, podemos usar el siguiente
comando desde una ventana de MS-DOS:
Por partes:
● cmd /c : Abre una ventana de Ms-DOS, que se cerrará en cuanto termine la ejecución del
comando (opción /c)
Página 13