Introducción.
Al igual que ocurre con las Directivas de seguridad de un Directorio activo, en Windows 7 podemos ajustar un buen número de directivas locales. Si accedemos a la ventana de Herramientas administrativas, podremos pinchar sobre el icono de Directiva de seguridad local. Enseguida, se abrirá una ventana donde, repartidas en diferentes apartados, encontraremos infinidad de opciones para ajustar la seguridad y comportamiento del equipo.
Así, por ejemplo, bajo Directivas de cuenta podremos crear una directiva acerca de la calidad de la contraseña u otra que bloquee la cuenta tras una serie de intentos fallidos de acceso. Bajo el apartado de Directivas locales localizamos el grueso de las opciones, hasta el punto de controlar el cambio de hora, uso de archivo de paginación o quién puede apagar la máquina.
Características:
Estas políticas de seguridad se ven en configuración de seguridad y se pueden utilizar para modificar directamente directivas de cuenta, directivas locales, Firewall de Windows, directivas de claves públicas y directivas de seguridad IP en el equipo local, entre otras.
Aplicaciones y ejemplos:
Algunas aplicaciones con una breve explicación se detallan a continuación:
1. DIRECTIVAS DE CUENTA
1.1 DIRECTIVA DE CONTRASEÑA
- Forzar El Historial De Contraseñas
Esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas.
Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas.
- La Contraseña Debe Cumplir Los Requisitos De Complejidad
Esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad.
Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:
- No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos
- Tener una longitud mínima de seis caracteres
- Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
- Caracteres no alfanuméricos (por ejemplo! $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
- Longitud mínima de la contraseña
Esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario.
- Vigencia máxima y mínima de la contraseña
Esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0.
1.2 DIRECTIVA DE BLOQUEO DE CUENTAS
- Duración del bloqueo de cuenta
Esta configuración de seguridad determina el número de minutos que una cuenta bloqueada permanece en este estado antes de desbloquearse automáticamente. El intervalo disponible oscila entre 0 y 99.999 minutos.
- Restablecer recuentos de bloqueo de cuenta tras
Esta configuración de seguridad determina el número de minutos que deben transcurrir tras un intento de inicio de sesión incorrecto para que el contador de intentos de inicio de sesión incorrectos se restablezca en 0. El intervalo disponible oscila entre 1 y 99.999 minutos.
- Umbral de bloqueo de cuenta
Esta configuración de seguridad determina el número de intentos de inicio de sesión incorrectos que hacen que una cuenta de usuario se bloquee. Una cuenta bloqueada no puede usarse hasta que un administrador la restablezca o hasta que expire su duración de bloqueo. Puede establecer un valor comprendido entre 0 y 999 intentos de inicio de sesión incorrectos. Si establece el valor en 0, la cuenta no se bloqueará nunca.
2. DIRECTIVAS LOCALES
2.1 DIRECTIVA DE AUDITORIA
- Auditar el acceso a objetos
Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) con su propia lista de control de acceso del sistema (SACL) especificada.
- Auditar el seguimiento de procesos
Esta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos.
- Auditar la administración de cuentas
Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas:
- Se crea, cambia o elimina un grupo o una cuenta de usuario.
- Se cambia el nombre de una cuenta de usuario, se deshabilita o se habilita.
- Se establece o se cambia una contraseña.
- Auditar eventos del sistema
Esta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad.
2.2 ASIGNACION DE DERECHOS DE USUARIO
- Apagar el sistema
Esta configuración de seguridad determina los usuarios que, habiendo iniciado sesión localmente en el equipo, pueden cerrar el sistema con el comando Apagar. El uso incorrecto de este derecho de usuario puede tener como resultado una denegación del servicio.
- Tener acceso a este equipo desde la red
Este derecho de usuario determina qué usuarios y grupos tienen permiso para conectarse al equipo a través de la red. Este derecho de usuario no afecta a Terminal Services.
- Tomar posesión de archivos y otros objetos
Esta configuración de seguridad determina qué usuarios pueden tomar posesión de cualquier objeto del sistema que se pueda proteger, incluidos los objetos de Active Directory, los archivos y carpetas, las impresoras, las claves del Registro, los procesos y los subprocesos.
- Cambiar la hora del sistema
Este derecho de usuario determina qué usuarios y grupos pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios a los que se asigna este derecho de usuario pueden influir en la apariencia de los registros de eventos. Si se cambia la hora del sistema, los eventos que se registren reflejarán esta nueva hora, no la hora real a la que se produjeron.
2.3 OPCIONES DE SEGURIDAD
- Dispositivos: permitir formatear y expulsar medios extraíbles
Esta configuración de seguridad determina a quién le está permitido formatear y expulsar medios NTFS extraíbles. Esta capacidad se puede conceder a:
- Administradores
- Administradores y usuarios avanzados
- Administradores y usuarios interactivos
- Inicio De Sesión Interactivo: Texto Del Mensaje Para Los Usuarios Que Intentan Iniciar Una Sesión
Esta configuración de seguridad especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión. A menudo, este texto se usa con fines legales, por ejemplo, para advertir a los usuarios de que sus acciones pueden auditarse y de que pueden incurrir en responsabilidades legales por el uso indebido de la información de la empresa.
- Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Esta configuración de seguridad determina si tanto los usuarios locales como los remotos pueden tener acceso al CD-ROM simultáneamente.
1.1 DIRECTIVA DE CONTRASEÑA
- Forzar El Historial De Contraseñas
Esta configuración de seguridad determina el número de nuevas contraseñas únicas que deben asociarse a una cuenta de usuario antes de poder reutilizar una contraseña antigua. El valor debe estar comprendido entre 0 y 24 contraseñas.
Esta directiva permite a los administradores mejorar la seguridad ya que garantiza que no se reutilicen continuamente contraseñas antiguas.
- La Contraseña Debe Cumplir Los Requisitos De Complejidad
Esta configuración de seguridad determina si las contraseñas deben cumplir los requisitos de complejidad.
Si se habilita esta directiva, las contraseñas deben cumplir los siguientes requisitos mínimos:
- No contener el nombre de cuenta del usuario o partes del nombre completo del usuario en más de dos caracteres consecutivos
- Tener una longitud mínima de seis caracteres
- Incluir caracteres de tres de las siguientes categorías:
Mayúsculas (de la A a la Z)
Minúsculas (de la a a la z)
Dígitos de base 10 (del 0 al 9)
- Caracteres no alfanuméricos (por ejemplo! $, #, %)
Estos requisitos de complejidad se exigen al cambiar o crear contraseñas.
- Longitud mínima de la contraseña
Esta configuración de seguridad determina el número mínimo de caracteres que debe contener la contraseña de una cuenta de usuario.
- Vigencia máxima y mínima de la contraseña
Esta configuración de seguridad determina el período de tiempo (en días) en que puede usarse una contraseña antes de que el sistema solicite al usuario que la cambie. Puede establecer las contraseñas para que expiren tras un número de días comprendido entre 1 y 999, o puede especificar que las contraseñas no expiren nunca estableciendo el número de días en 0.
1.2 DIRECTIVA DE BLOQUEO DE CUENTAS
- Duración del bloqueo de cuenta
Esta configuración de seguridad determina el número de minutos que una cuenta bloqueada permanece en este estado antes de desbloquearse automáticamente. El intervalo disponible oscila entre 0 y 99.999 minutos.
- Restablecer recuentos de bloqueo de cuenta tras
Esta configuración de seguridad determina el número de minutos que deben transcurrir tras un intento de inicio de sesión incorrecto para que el contador de intentos de inicio de sesión incorrectos se restablezca en 0. El intervalo disponible oscila entre 1 y 99.999 minutos.
- Umbral de bloqueo de cuenta
Esta configuración de seguridad determina el número de intentos de inicio de sesión incorrectos que hacen que una cuenta de usuario se bloquee. Una cuenta bloqueada no puede usarse hasta que un administrador la restablezca o hasta que expire su duración de bloqueo. Puede establecer un valor comprendido entre 0 y 999 intentos de inicio de sesión incorrectos. Si establece el valor en 0, la cuenta no se bloqueará nunca.
2. DIRECTIVAS LOCALES
2.1 DIRECTIVA DE AUDITORIA
- Auditar el acceso a objetos
Esta configuración de seguridad determina si debe auditarse el evento de un usuario que obtiene acceso a un objeto (por ejemplo, un archivo, carpeta, clave del Registro, impresora, etc.) con su propia lista de control de acceso del sistema (SACL) especificada.
- Auditar el seguimiento de procesos
Esta configuración de seguridad determina si debe auditarse la información de seguimiento detallada para eventos como activación de programas, salida de procesos, duplicación de identificadores y acceso a objetos indirectos.
- Auditar la administración de cuentas
Esta configuración de seguridad determina si debe auditarse cada evento de administración de cuentas en un equipo. Ejemplos de eventos de administración de cuentas:
- Se crea, cambia o elimina un grupo o una cuenta de usuario.
- Se cambia el nombre de una cuenta de usuario, se deshabilita o se habilita.
- Se establece o se cambia una contraseña.
- Auditar eventos del sistema
Esta configuración de seguridad determina si debe realizarse una auditoría cuando un usuario reinicia o apaga el equipo o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad.
2.2 ASIGNACION DE DERECHOS DE USUARIO
- Apagar el sistema
Esta configuración de seguridad determina los usuarios que, habiendo iniciado sesión localmente en el equipo, pueden cerrar el sistema con el comando Apagar. El uso incorrecto de este derecho de usuario puede tener como resultado una denegación del servicio.
- Tener acceso a este equipo desde la red
Este derecho de usuario determina qué usuarios y grupos tienen permiso para conectarse al equipo a través de la red. Este derecho de usuario no afecta a Terminal Services.
- Tomar posesión de archivos y otros objetos
Esta configuración de seguridad determina qué usuarios pueden tomar posesión de cualquier objeto del sistema que se pueda proteger, incluidos los objetos de Active Directory, los archivos y carpetas, las impresoras, las claves del Registro, los procesos y los subprocesos.
- Cambiar la hora del sistema
Este derecho de usuario determina qué usuarios y grupos pueden cambiar la fecha y hora del reloj interno del equipo. Los usuarios a los que se asigna este derecho de usuario pueden influir en la apariencia de los registros de eventos. Si se cambia la hora del sistema, los eventos que se registren reflejarán esta nueva hora, no la hora real a la que se produjeron.
2.3 OPCIONES DE SEGURIDAD
- Dispositivos: permitir formatear y expulsar medios extraíbles
Esta configuración de seguridad determina a quién le está permitido formatear y expulsar medios NTFS extraíbles. Esta capacidad se puede conceder a:
- Administradores
- Administradores y usuarios avanzados
- Administradores y usuarios interactivos
- Inicio De Sesión Interactivo: Texto Del Mensaje Para Los Usuarios Que Intentan Iniciar Una Sesión
Esta configuración de seguridad especifica un mensaje de texto que se muestra a los usuarios cuando inician sesión. A menudo, este texto se usa con fines legales, por ejemplo, para advertir a los usuarios de que sus acciones pueden auditarse y de que pueden incurrir en responsabilidades legales por el uso indebido de la información de la empresa.
- Dispositivos: restringir el acceso al CD-ROM sólo al usuario con sesión iniciada localmente. Esta configuración de seguridad determina si tanto los usuarios locales como los remotos pueden tener acceso al CD-ROM simultáneamente.
Ventajas:
La principal ventaja es que por medio de las directivas de seguridad local, así como las directivas de grupo, un administrador dispone herramientas que le permiten incrementar la seguridad ya que se puede restringir, controlar y monitorear lo que un usuario hace en una computadora después que ha iniciado sesión.
Hola me llamo victor , tengo un equipo con win7 al cual le configure la caducidad de la contraseña a 1 dia para probar que funcione, luego force la politica con gpupdate.exe /force pero al pasar el dia no me solicito el cambio de clave sabrás por ?
ResponderEliminarno puedo cambiar la contraseña como ir a directiva de cuentas
ResponderEliminarno puedo cambiar la contraseña
ResponderEliminar