Directivas de seguridad informática

Enviado por Programa Chuletas y clasificado en Informática y Telecomunicaciones

Escrito el en español con un tamaño de 8,73 KB

 

DEGRADAR UN CONTROLADOR DE DOMINIO


Consiste en quitarle la función de controlador de dominio.
Para hacerlo podemos utilizar el comando dcpromo.  Dicho comando si se ejecuta en un equipo cliente nos permite crear controlador de dominio, pero si se ejecuta en un controlador de dominio, permite degradarlo a equipo cliente.

Si es el único controlador de dominio que hay, lo que hacemos es que el dominio se elimine completamente. Si es el único controlador de dominio raíz de un bosque, hay que destruir antes el resto de dominios del bosque.

La degradación de un controlador de dominio elimina la base de datos de Active Directory del equipo, devuelve las cuentas de seguridad del sistema a un estado local y borra todas las referencias a ella del servidor DNS.

ACTIVE DIRECTORY (DIRECTORIO ACTIVO)


Es el término que utiliza Microsoft para referirse al servicio de directorio en una red de equipos. Su estructura jerárquica permite mantener una serie de objetos relacionados con  componentes de una red, como usuarios, grupos de usuarios, permisos, etc.

AD Se basa en el uso de dominios, cada dominio contiene una cantidad de máquinas clientes, y al menos un servidor que domina a los equipos clientes, denominado Controlador de Dominio.

Podemos juntar varios dominios formando estructuras de dominios, donde cada dominio cuenta con su propio controlador de dominio. La agrupación se realiza de forma anidada, la cual se conoce como árbol.

Es posible crear una estructura que cuente con más de un árbol, y se llama bosque.

Para facilitar la administración, un dominio se puede dividir en partes más pequeñas conocidas como Unidades Organizativas.

REQUISITOS PREVIOS A LA PROMOCIÓN DE UN CONTROLADOR DE DOMINIO


  • Se inicia sesíón con un usuario con privilegios de administrador.
  • Debemos tener configurados los dispositivos de red y comprobar que hay conexión.
  • Debemos tener espacio suficiente donde vayamos a instalar la base de datos del Active Directory.
  • Debemos de utilizar un  nombre corto siempre que podamos.
  • Debemos de tener una IP estática.

MAESTRO DE OPERACIONES


Es el controlador de dominio que realiza una serie de operaciones especiales. Las funciones de maestro de operaciones  son :organizar las operaciones para realizar la replicación del maestro único, el cual designa un controlador de dominio como el único controlador.

 AD identifica cinco funciones de maestro de operaciones con una ubicación predeterminada para cada una. Hay dos funciones que son de todo el bosque:

  • Maestro de esquema: controla todas las actualizaciones y los cambios que tienen lugar en el esquema.
  • Maestro de nombres de dominio: controla la adición o eliminación de los dominios del bosque.

y tres funciones de todo el dominio:

  • Maestro de Id. Relativo (RID): asigna secuencias de Id. Relativos a cada controlador de dominio del dominio.
  • Maestro emulador de PDC: es el primer  controlador de dominio que se crea en un nuevo dominio y se ocupa de procesar los cambios de contraseña de los clientes, también se encarga de sincronizar la hora en todos los controladores de dominio.
  • Maestro de infraestructuras: actualiza las referencias de los objetos de su dominio en los objetos de los otros dominios.

CATALOGO GLOBAL


Permite a los usuarios y a las aplicaciones encontrar objetos en un árbol de dominio de AD, proporcionando uno o más atributos al objeto. Contiene una copia de cada  objeto de Active Directory pero con un pequeño número de atributos. Tiene como objetivo proporcionar la autentificación a los inicios de sesíón.

DIRECTIVAS DE SEGURIDAD


Define el comportamiento del sistema en temas de seguridad. Tres tipos:

  • Seguridad local: se debe utilizar si se quiere modificar la configuración de seguridad.
  • Seguridad de dominio: se debe utilizar si el equipo es un controlador de dominio y se quiere modificar la configuración de seguridad para los miembros del dominio.
  • Seguridad del controlador de dominio: se debe utilizar si el servidor es un controlador de dominio y se desea modificar la configuración de seguridad para todos los controladores de dominio.

LOS PERMISOS NTFS ESTÁNDAR Y ESPECIALES

Los permisos NTFS sólo pueden establecerlos y cambiarlos el propietario o aquel usuario que haya recibido permiso del propietario.

Una vez establecidos los permisos, afectarán a los archivos y subdirectorios que dependa de él, esto se denomina herencia, si no se quiere que se hereden los permisos, se tiene que indicar cuando se establezcan.

Los permisos especiales son los que controlan cada una de las acciones que se pueden realizar sobre las carpetas o archivos.

Los permisos estándar son combinaciones de los permisos NTFS especiales que están por defecto en el sistema:

  • Control total(máximo nivel y se puede realizar todas las acciones)
  • Modificar(tiene todos los permisos, menos eliminar, cambiar y tomar posesión)
  • Lectura y ejecución(se puede ver los archivos, datos de los archivos, atributos y permisos, también la ejecución de programas)
  • Mostrar el contenido de la carpeta( lo mismo que lectura y ejecución pero sólo para las carpetas)
  • Lectura(ver los nombres de los archivos  y directorios, los datos de los archivos, atributos y permisos)
  • Escritura(crear archivos y subdirectorios, añadir datos a los archivos, modificar atributos y leer permisos)

LOS PERMISOS DE LOS RECURSOS COMPARTIDOS


Cuando se establecen permisos de un directorio compartido, sólo sirven cuando se tiene acceso al directorio mediante la red. Los permisos se aplican a todos los archivos del directorio compartido, y se puede definir el número máximo de usuarios que pueden acceder al directorio a través de la red. Se puede controlar el acceso a los recursos compartidos de tres formas:

  • Utilizando los permisos de recurso compartidos que son sencillos de utilizar.
  • Utilizando los permisos NTFS que proporcionan un control más detallado del recurso compartido.
  • Utilizando una combinación de los dos métodos anteriores.

LOS RECURSOS COMPARTIDOS ESPECIALES


Son los que ha creado el sistema operativo para las tareas administrativas, y que no deben ser eliminados ni modificados.

  • NETLOGON: utiliza el servicio de inicio de sesíón de los controladores de dominio para procesar el script de inicio de sesíón.
  • PRINT$: se utiliza para la administración remota de impresoras.
  • SYSVOL. Utiliza el servicio de inicio de sesíón de los controladores de dominio.
  • ADMIN$: lo utiliza el sistema durante la administración remota del equipo. Siempre es la raíz del sistema.
  • IPC$: se utiliza durante la administración remota de un equipo y para ver sus recursos compartidos.
  • FAX$: utilizado por los clientes durante el proceso de enviar un fax.
  • LETRA_DE_UNIDAD$:permite conectar con el directorio raíz de un dispositivo de almacenamiento.

LOS PERMISOS DE LAS CARPETAS COMPARTIDAS


Se aplican a todos los archivos y subdirectorios del directorio compartido, y se puede establecer el número máximo de usuarios que pueden acceder al directorio desde la red. Para establecer los permisos tiene que ser miembro del grupo de administradores. Los permisos que se pueden establecer son:

  • Sin acceso(no se tiene ningún permiso)
  • Leer(permite ver los nombres de los archivos y subdirectorios, ver datos y ejecutar programas).
  • Cambiar(lo mismo que leer, y también se puede crear archivos , modificar datos en archivos, borrar)
  • Control total(todo lo anterior, y también modificar los permisos)

DERECHOS DEL USUARIO


Es un atributo de un usuario que le permite realizar una acción que afecta al sistema en su conjunto. Tipos:

  • Derechos de conexión: establecen las diferentes formas que un usuario puede conectarse al sistema:
    1. Denegar el acceso desde la red al equipo(poder conectarse al ordenador desde otro equipo).
    2. Permitir el inicio de sesíón local(iniciar sesíón desde el ordenador).
  • Privilegios: acciones predefinidas que el usuario puede hacer una vez conectado:
  1. Agregar estaciones de trabajo al dominio
  2. Hacer copias de seguridad
  3. Restaurar archivos y directorios
  4. Cambiar la hora al sistema. 5. Apagar el sistema

Entradas relacionadas: