Configuración y Gestión de Seguridad en Sistemas Windows: Directivas y Auditorías

Fundamentos de la Configuración de Seguridad en Windows

La seguridad en los sistemas operativos Windows se gestiona a través de diversos componentes clave:

• Privilegios: Son derechos definidos en el sistema por defecto, que permiten a un usuario o proceso realizar acciones específicas (ej. apagar el equipo).
• Permisos: Son autorizaciones definidas por el administrador para acceder a recursos específicos (ej. acceder a una carpeta).
• Directivas: Definen el comportamiento del sistema en temas de seguridad, estableciendo reglas y configuraciones.
• Archivos de Comandos: Secuencias de comandos que se ejecutan durante el inicio o apagado del sistema.

Componentes de Configuración de Seguridad

Dentro de la configuración de seguridad, se distinguen varias categorías de directivas:

• Directivas de Cuenta: Regulan aspectos como la complejidad de las contraseñas, el bloqueo de cuentas y la autenticación de usuarios (ej. Kerberos).
• Directivas Locales: Incluyen:
  • Auditoría: Registro de sucesos de inicio y apagado.
  • Derechos de Usuario: Permisos para realizar acciones específicas (ej. apagar el sistema).
  • Opciones de Seguridad: Control de acceso a unidades y otros recursos.
• Registro de Sucesos: Almacena eventos del sistema para su revisión.
• Grupos Restringidos: Permiten controlar la pertenencia a grupos de seguridad.
• Servicios del Sistema: Configuración de la seguridad para los servicios en ejecución.
• Registro (del sistema): Incluye las Listas de Control de Acceso Discrecional (DACL) y las Listas de Control de Acceso al Sistema (SACL).

Para aplicar o actualizar las directivas de grupo, se utiliza el comando gpupdate.

Plantillas de Seguridad en Windows

Las plantillas de seguridad son archivos que almacenan grupos de opciones para configurar diversos aspectos de la seguridad del sistema. Estas plantillas pueden aplicarse a directivas de equipo y se encuentran comúnmente en la ruta \WINDOWS\security\templates.

Composición de las Plantillas de Seguridad

Las plantillas de seguridad están compuestas por configuraciones para:

• Directivas de cuenta
• Directivas locales
• Registro de sucesos
• Grupos restringidos
• Servicios del sistema
• Registro (del sistema)
• Sistema de archivos

Complementos para la Gestión de Plantillas

• Complemento de Plantillas de Seguridad: Permite definir y modificar plantillas de seguridad, tanto nuevas como predefinidas. Para su uso, debe agregarse a la Consola de Administración de Microsoft (MMC).
• Complemento de Configuración y Seguridad: Facilita la configuración y el análisis de la seguridad a nivel local.
• Complemento de Directiva de Grupo: En Windows XP, y en Windows Server 2003, se conoce como el Editor de Objetos de Directiva de Grupo.

Tipos de Directivas de Seguridad

Las directivas de seguridad se aplican de diferentes maneras según el entorno:

• Directivas de Dominio: En Windows Server 2003, se aplican a todos los controladores de dominio y miembros del dominio.
• Directivas del Controlador de Dominio: En Windows Server 2003, se aplican exclusivamente a los controladores de dominio.
• Directivas de Seguridad Local: En Windows Server 2003 y Windows XP, se aplican a equipos que no son controladores de dominio.

Ejemplos de aplicación: Las directivas pueden utilizarse para restringir programas por hash, configurar la página de inicio, el menú de inicio o los favoritos. También se aplican sobre Unidades Organizativas (OU) en entornos de dominio. Para gestionar estas directivas, es necesario instalar la Consola de Directivas de Microsoft.

Auditorías de Seguridad

Las auditorías de seguridad permiten supervisar los sucesos relacionados con la seguridad en un sistema.

Tipos de Sucesos Auditables

Entre los sucesos que pueden ser auditados se incluyen:

• Acceso a objetos
• Administración de usuarios y grupos
• Inicio y fin de sesión de usuarios

Propósito de Auditar Sucesos de Seguridad

La auditoría de sucesos de seguridad es crucial para:

• Controlar la modificación de objetos.
• Identificar problemas de seguridad potenciales.
• Realizar pruebas de infracción de seguridad y generar informes.

Pasos para Configurar la Auditoría

Para configurar una auditoría de seguridad, se deben seguir los siguientes pasos:

1. Definir las categorías de sucesos a auditar.
2. Establecer el tamaño del registro de seguridad.
3. Especificar los objetos cuyo acceso se desea controlar.

Directiva de Auditoría

La directiva de auditoría especifica los sucesos de seguridad que deben ser registrados. Estos pueden incluir:

• Acceso a objetos
• Servicio de directorio
• Cambio de directivas
• Seguimiento de procesos
• Uso de privilegios
• Administración de cuentas
• Sucesos de inicio de sesión y del sistema

Auditar Acceso a Objetos

La auditoría de acceso a objetos se basa en el Descriptor de Seguridad, que es la información de seguridad asociada a un objeto. Este descriptor está compuesto por:

• Lista de Control de Acceso Discrecional (DACL): Define los usuarios o grupos que tienen acceso al objeto y los permisos específicos que poseen.
• Lista de Control de Acceso al Sistema (SACL): Contiene información sobre los sucesos del sistema que se auditan, como intentos de acceso (éxito o fallo) por parte de cuentas específicas.

Establecimiento de la Directiva de Auditoría

La directiva de auditoría se puede establecer a diferentes niveles:

• Directiva de Seguridad de Dominio: Aplica a todos los equipos dentro del dominio.
• Directiva del Controlador de Dominio: Aplica específicamente a los controladores de dominio.
• Directiva de Seguridad Local: Aplica a los equipos que no son controladores de dominio.