www.ProtegeTuOrdenador.

com

Medidas de seguridad

usando políticas de

Windows
(Configuración de seguridad avanzada)

Copyright (c) 2008 www.ProtegeTuOrdenador.com. Se otorga permiso

para copiar,distribuir y/o modificar este documento bajo los términos
de la Licencia de Documentación Libre de GNU, Versión 3 o Licencia
de Documentación Libre de GNU o cualquier otra versión posterior
publicada por la Free Software Foundation; sin Secciones Invariantes
ni Textos de Cubierta Delantera ni Textos de Cubierta Trasera. Una
copia de la licencia está incluida en la sección titulada
GNU Free Documentation License.

Página 1
www.ProtegeTuOrdenador.com

Índice de contenido
Objetivo................................................................................................................................................3
Consideraciones previas.......................................................................................................................3
Accediendo a las políticas de grupo.....................................................................................................3
Políticas de grupo: Configuración del equipo......................................................................................5
Limitando el acceso a la administración del sistema............................................................................9
Modificando los permisos de acceso y actualizando políticas...........................................................11
Comprobando si las políticas aplicadas son efectivas........................................................................13
Apéndice A: Listado de ficheros de una extensión determinada.......................................................13

Página 2
www.ProtegeTuOrdenador.com

Objetivo

El presente documento tiene como establecer medidas de protección en un ordenador con

sistema operativo Windows Xp SP2, usando políticas de grupo (GroupPolicy).

Nota muy importante: Las modificaciones que aquí se proponen pueden causar problemas de
funcionamiento con algunas aplicaciones e incluso con el propio sistema operativo. Recomendamos
encarecidamente poner en práctica estas medidas en algún sistema de pruebas antes de aplicarlas a
un sistema real.

Consideraciones previas
La idea es la siguiente: aplicar las políticas de grupo sobre los usuarios sin privilegios de
administración y disponer de un usuario con privilegios administrativos, sin ningún tipo de política,
para realizar cualquier tarea de administración del sistema.

Para esto deberemos:

1. Disponer de un usuario con privilegios de administración. Normalmente usamos el usuario

“Administrador”, aunque podemos crear otro usuario; lo importante es conocer su
contraseña.
2. Crear un usuario que pertenezca al grupo “Usuarios Avanzados”. Con este usuario será con
el que iniciaremos la sesión en el equipo, dejando al usuario con privilegios administrativos
para situaciones de necesidad. Así, si realizamos alguna modificación en el sistema siempre
dispondremos del usuario con privilegios administrativos para subsanar cualquier fallo.

Accediendo a las políticas de grupo

Iniciamos sesión con la cuenta de usuario con privilegios de administración.
Vamos a configurar las políticas de grupo. Para ello escribimos mmc en Menú de Inicio –
Ejecutar. Obtendremos una ventana como ésta:

A continuación, pinchamos en Archivo y escogemos Agregar o quitar complemento. En la

pestaña Independiente pulsamos el botón Agregar y elegimos Directiva de grupo de entre las
opciones disponibles:

Página 3
www.ProtegeTuOrdenador.com

En la siguiente ventana, pulsamos Finalizar.

Después de aceptar las ventanas que haya en pantalla, deberemos llegar a algo como esto:

Página 4
www.ProtegeTuOrdenador.com

Aquí tenemos que distinguir entre las políticas que se aplicarán al usuario logado al equipo y
las que se aplicarán al ordenador independientemente de quien acceda al mismo. Desde aquí no
vamos a explicar todas las opciones disponibles, pero os animamos a que investiguéis un poco por
vuestra cuenta y veréis que las opciones de configuración son elevadísimas.

Políticas de grupo: Configuración del equipo

Aquí vamos a configurar una de las herramientas más poderosas de las políticas de grupo:
las restricciones de software. Desde aquí podemos configurar qué software queremos que se ejecute
en nuestro ordenador. ¿Qué implicaciones tiene esto? Suponed que trabajamos sobre un entorno
“seguro” (por ejemplo, con un sistema operativo recién instalado en el ordenador). Podemos
permitir que se ejecute sólo el software que esté presente en el ordenador en ese momento, puesto
que sabemos que no representa ningún riesgo; todo lo demás queda prohibido explícitamente. Así,
cualquier ejecutable que contenga código malicioso no podrá ejecutarse en el ordenador puesto que
se lo hemos prohibido explícitamente. ¿Véis las posibilidades? Todo contenido que presenta un
riesgo potencial no va a poder ejecutarse en el ordenador...
Evidentemente, todo esto tiene un “pero”, y es que la administración del sistema se
incrementa notablemente, sobre todo si estamos instalando software continuamente. Para que os
hagáis una idea, debemos permitir que se ejecuten todos los ficheros del sistema operativo
(evidentemente) y las aplicaciones que tengamos instaladas o que queramos instalar. Esto puede ser
bastante tedioso, aunque es un trabajo que sólo hay que hacer una vez. Una vez hecho, nos
despreocupamos hasta que queramos instalar más software.

Empezamos entonces. Escogemos la opción Configuración del equipo – Configuración de

Windows – Configuración de seguridad – Directivas de restricción de software. Pulsamos con el
botón derecho y escogemos Crear nuevas directivas.

Obtendremos lo siguiente:

Página 5
www.ProtegeTuOrdenador.com

Vamos a explicar cada una de las opciones:

● Niveles de seguridad: Aquí podemos definir si queremos que se ejecute todo el software
(opción Irrestricto, que viene predeterminada) o si queremos que, por defecto, no se pueda
ejecutar nada excepto lo que nosotros indiquemos (opción No permitido). Debemos escoger
la opción No permitido.

● Reglas adicionales: Aquí debemos configurar las excepciones al nivel de seguridad que
hemos establecido (recordad, por defecto no se ejecuta nada!!!). Es decir, aquí va todo el
software que queremos que se ejecute. Completar esta lista os llevará tiempo...

¿Cómo averiguar todos los archivos sobre los que hemos de crear reglas adicionales?

Podemos añadir una regla adicional de dos formas:

Regla de nuevo hash: Es la opción más segura pero la más tediosa de administrar. El sistema
operativo crea un hash único del archivo que seleccionemos, basándose en ciertos parámetros como
el tamaño del archivo. Así, cualquier cambio en un archivo hará que su hash varíe, por lo que
tenemos un nivel de protección excepcional. Si el archivo estaba incluido en las reglas adicionales,
deberemos añadir su nuevo hash para que pueda continuar ejecutándose.
Nota: Es posible que algunos hash puedan variar del entorno de pruebas al entorno real.

Página 6
www.ProtegeTuOrdenador.com

Regla de nueva ruta: Es la opción más cómoda. Aquí establecemos una ruta hacia el fichero,
permitiendo su ejecución dentro de esa ruta. Por ejemplo, permitimos la ejecución de
C:\Windows\system32\alg.exe. Cualquier fichero que se llame alg.exe y que esté en la ruta
C:\Windows\system32 podrá ejecutarse sin problemas. Como vemos, esta opción es más sencilla
pero menos segura, ya que si alguien cambia este ejecutable por otro con contenido malicioso se
podría ejecutar sin problemas .

Página 7
www.ProtegeTuOrdenador.com

● Obligatoriedad: Aquí tenemos dos apartados; a qué tipo de software queremos aplicar las
directivas y a quién queremos aplicárselas. En la primera opción deberíamos escoger Todos
los archivos de software excepto bibliotecas (tales como DLLs). Con este nivel es
suficiente; la otra opción multiplica hasta el infinito la administración.
En cuanto a quién queremos aplicar las directivas, debemos escoger Todos los usuarios
excepto los administradores locales. Recordad, nos hemos asegurado de poder acceder a la
cuenta de administración, y a esa cuenta no se le aplicarán las directivas si elegimos esta
opción, con lo que no tendremos ningún tipo de restricción.

● Tipos de archivo designados: Aquí se definen los archivos que se consideran código
ejecutable (o los que pueden contenerlo) y, por lo tanto, sobre los que se aplicarán las
directivas de restricción de software. Por defecto vienen un montón de extensiones; podéis
dejar todas si queréis pero recordad que tendréis que añadir reglas adicionales para todos los
archivos de este tipo que queráis que se ejecuten. Mi recomendación es que deberían figurar,
al menos, estos tipos de archivo: EXE, BAT, CMD, COM, CPL, MSI, MSP, VBS.

Página 8
www.ProtegeTuOrdenador.com

Aquí hay multitud de opciones, opiniones y necesidades: ya que puede haber código
malicioso en archivos con otras extensiones, cada cual deberá ajustar esta lista a sus
necesidades.
● Editores de confianza: Esta opción configura quiénes pueden elegir editores de confianza
(los editores de confianza son programadores acreditados que cumplen una serie de
requisitos); deberéis marcar la opción Usuarios finales.

Bien, ya tenemos configuradas las políticas de restricción de software. A continuación, vamos a

configurar el acceso a la administración del sistema.

Limitando el acceso a la administración del sistema

Todas las acciones que hemos realizado no sirven de nada si no imponemos alguna restricción de
acceso a las herramientas de administración del sistema, tales como el registro, consola de
administración, etc.
Para ello vamos a Configuración de usuario – Plantillas Administrativas. Ahí debemos habilitar
las siguientes políticas:

Componentes de Windows – Microsoft Management Console:

● Restringir al usuario la entrada al modo de autor:Impide que los usuarios entren en el

modo de autor. Esta directiva impide a los usuarios abrir la consola de administración de
Microsoft (MMC) en modo de autor, abrir explícitamente archivos de consola en modo de
autor y abrir cualquier archivo de consola en modo de autor de forma predeterminada.
De esta forma, los usuarios no pueden crear archivos en la consola o agregar o eliminar
complementos. Al no poder abrir archivos de consola en modo de autor, tampoco podrán
utilizar las herramientas que los archivos contienen.

Página 9
www.ProtegeTuOrdenador.com

Sistema:

● Impedir el acceso a herramientas de edición del Registro:Deshabilita las herramientas de

edición del registro de Windows, Regedt.exe y Regedit.exe.
Si esta configuración se habilita y el usuario intenta ejecutar un editor del registro, aparecerá
un mensaje explicando que hay una configuración que impide dicha acción.

Sistema -- Opciones de Alt+Ctrl+Supr:

● Quitar Administrador de tareas:

Impide que los usuarios inicien el Administrador de tareas (Taskmgr.exe). Si esta
configuración está habilitada y los usuarios intentan iniciar el Administrador de tareas,
aparecerá un mensaje explicando que hay una directiva que impide dicha acción.

El Administrador de tareas permite a los usuarios iniciar y detener programas, controlar el

rendimiento de sus equipos, ver y controlar todos los programas que se ejecutan en sus
equipos, incluidos los servicios del sistema, buscar los nombres de programas ejecutables y
modificar la prioridad del proceso en el que se ejecutan los programas.

Estas son las opciones básicas que debemos configurar, aunque podréis comprobar que las opciones
son enormes. Podéis ajustad las políticas para configurar las propiedades de internet explorer,
windows update, windows messenger, windows installer, el menú de inicio, el panel de control,
etc., etc.

Página 10
www.ProtegeTuOrdenador.com

Modificando los permisos de acceso y actualizando políticas

Las restricciones de software no se aplicarán a los usuarios con privilegios administrativos, pero las
modificaciones que hayamos realizado sobre el acceso a la administración del sistema,
configuración de internet explorer, etc. se aplicarán a todos los usuarios. Por ejemplo, si hemos
deshabilitado el acceso al registro mediante políticas, cuando accedamos al sistema con la cuenta de
administración seguiremos teniendo prohibido el acceso al registro. Si queremos tener acceso
completo debemos borrar la carpeta C:\Windows\system32\GroupPolicy, teniendo la precaución
de copiarla previamente a otra ruta. Cuando accedamos de nuevo con la cuenta limitada,
debemos copiar la carpeta GroupPolicy a la ruta anterior y ejecutar el comando gpupdate /force
para que las políticas se apliquen correctamente.

Una vez que hayamos creado nuestras políticas, deberemos protegernos frente a ataques que
intenten elevar los privilegios de los usuarios. Para ello tendremos que modificar los permisos de
acceso (NTFS) a las carpetas C:\Windows\system32\GroupPolicy y C:\Windows\System32. La
forma más cómoda de establecer permisos es la siguiente:

1. Abrid un explorador de windows y seleccionar la opción Herramientas – Opciones de

carpeta.
2. En la pestaña Ver, moved el scroll vertical hasta la última línea. Desmarcad “Utilizar uso
compartido simple de archivos (recomendado)”. Botón Aceptar.

3. A continuación, seleccionad la carpeta C:\Windows\system32, pulsad el botón derecho y

elegid Propiedades. Seleccionad la pestaña Seguridad.
4. Añadid al grupo Usuarios y Usuarios Avanzados. En la parte inferior, denegad la escritura
para estos dos grupos. Debe quedaros algo así:

Página 11
www.ProtegeTuOrdenador.com

5. Seguid los mismos pasos sobre la carpeta C:\windows\system32\GroupPolicy. Ahí debéis

denegar todos los permisos al grupo Usuarios Avanzados.

Sí, sabemos que todo esto es un poco tedioso, por eso estamos trabajando en un programa que haga
el trabajo por vosotros. Esperamos tenerlo listo en próximas fechas.

Página 12
www.ProtegeTuOrdenador.com

Comprobando si las políticas aplicadas son efectivas

Suponemos que nos llega un correo con el adjunto “foto.jpg.exe”. Suponemos también que
tenemos marcada la opción Ocultar las extensiones para tipos de archivo conocidos en las opciones
de carpeta, por lo que nosotros vemos este archivo como “fotos.jpg”. Aparentemente, es una foto
que nos han enviado y no entraña ningún riesgo. La descargamos a nuestro ordenador y hacemos
doble click sobre ella. Obtenemos el siguiente mensaje:

Las políticas han impedido que se ejecute este programa, informándonos además que las
supuestas fotos son, en realidad, un ejecutable.

Posibles problemas que podemos encontrarnos:

1. Que no funcione nada!!!!
Solución: Es posible que no hayáis aplicado bien las reglas adicionales. Volved a este punto
y revisadlas.
2. Que algún programa específico que antes funcionaba ahora no funcione.
Solución: Mirad posibles restricciones de software que no hayáis contemplado. Para ello id a
Menú de Inicio – Configuración -- Panel de Control – Herramientas Administrativas – Visor de
sucesos – Aplicación. Si hay algún evento del tipo “Software Restriction Policies” pinchad sobre él
y veréis qué archivo no puede ejecutarse. Revisad las políticas adicionales para ver si está incluído.

Con todo esto tendríamos un nivel de protección bastante aceptable sin necesidad de ningún
programa externo, usando sólo las herramientas del sistema operativo.

Apéndice A: Listado de ficheros de una extensión determinada

Para extraer un listado de los archivos con una extensión determinada, podemos usar el siguiente
comando desde una ventana de MS-DOS:

cmd /c dir C:\ *.msp /b /o:n /s > C:\extensiones.txt

Por partes:
● cmd /c : Abre una ventana de Ms-DOS, que se cerrará en cuanto termine la ejecución del
comando (opción /c)

● dir C:\*.msp : Lista todos los ficheros con extensión .msp

/b : Usamos el formato simple, sin encabezados ni sumarios
/o:n : Lista los archivos por orden alfabético.
/s : Muestra los archivos del directorio especificado (en nuestro caso toda la
unidad c:\) y sus subdirectorios.

● > C:\extensiones.txt : Volcamos toda la información a un fichero de texto plano.

Página 13