Los archivos de plantilla administrativa (.adm) se utilizan para establecer
la configuración en el registro de Windows ,
que rige el comportamiento de gran cantidad de servicios,
aplicaciones y componentes de este sistema operativo.
Tabla 1. Archivos de plantilla administrativa
Nombre de archivo Sistema operativo Descripción
System.adm
Windows XP Professional
Contiene muchos parámetros para personalizar el entorno operativo del usuario.
Inetres.adm
Windows XP Professional
Contiene parámetros para Internet Explorer.
Conf.adm
Windows XP Professional
Contiene parámetros para configurar NetMeeting.
Wmplayer.adm
Windows XP Professional
Contiene parámetros para configurar Windows Media® Player.
Wuau.adm
Windows XP Professional
Contiene parámetros para configurar Windows Update.
Nota: debe configurar manualmente los parámetros de plantillas administrativas en el objeto de directiva de grupo (GPO) para aplicarlos a los equipos y usuarios del entorno.
Estos parámetros se dividen en dos grupos principales:
• Parámetros de Configuración del equipo almacenados en el subárbol del registro HKEY_Local_Machine.
• Parámetros de Configuración de usuario almacenados en el subárbol del registro HKEY_Current_User.
Al igual que en el módulo "Configuración de seguridad para clientes Windows XP", se proporcionan recomendaciones acerca de estos parámetros para los entornos de cliente de empresa y nivel de seguridad alto definidos en esta guía.
Los parámetros de Configuración del equipo tratados en la primera parte del módulo actual se aplican a ambos entornos. Los parámetros de Configuración de usuario, tratados más adelante en este módulo, se aplican también a los dos entornos.
Nota: los parámetros de usuario se aplican a una unidad organizativa (UO) con usuarios, a través de un GPO vinculado. Consulte el módulo "Configuración de la infraestructura de dominios de Active Directory" para obtener detalles adicionales sobre dicha unidad organizativa.
Algunos parámetros se encuentran disponibles en Configuración del equipo y Configuración de usuario en el Editor de objetos de directiva de grupo. Si se aplica un parámetro a un usuario que ha iniciado sesión en un equipo al que se ha aplicado la misma configuración de equipo anteriormente a través de Directiva de grupo, el parámetro de Configuración de equipo tiene prioridad por encima del parámetro de Configuración de usuario.
Existen plantillas administrativas adicionales para Office XP disponibles en el Kit de recursos de Microsoft Office XP. Si desea aplicar parámetros adicionales a través de Directiva de grupo en Windows XP Professional, podrá desarrollar plantillas personalizadas. Consulte las notas del producto incluidas en la sección "Información adicional" al final de este módulo para obtener detalles sobre la elaboración de plantillas administrativas propias.
Este módulo no trata todos los posibles parámetros disponibles en las plantillas administrativas facilitadas por Microsoft, ya que gran cantidad de los que se encuentran en las plantillas comentadas pertenece a la interfaz de usuario (IU) y no son específicos de la seguridad. Tenga en cuenta qué configuraciones de parámetros recomendadas en estas instrucciones se aplican al propio entorno para cumplir los objetivos de seguridad de su organización.
Parámetros de Configuración del equipo
Las siguientes secciones tratan los parámetros recomendados en Configuración del equipo del Editor de objetos de directiva de grupo. Para configurarlos, diríjase a la siguiente ubicación:
Configuración del equipo\Plantillas administrativas
Aplique estos parámetros a través de un GPO vinculado a una unidad organizativa que contenga las cuentas del equipo en el entorno. Incluya los parámetros del equipo portátil en el GPO vinculado a la unidad organizativa del mismo y los parámetros del equipo de escritorio en el GPO vinculado a la unidad organizativa de éste.
Componentes de Windows
No se proporcionan instrucciones sobre los siguientes componentes de Microsoft Windows: Compatibilidad de aplicación, Windows Installer y Windows Media Player.
NetMeeting
Microsoft NetMeeting permite que los usuarios mantengan reuniones virtuales en la red de la organización. Establezca la configuración del equipo recomendada a continuación sobre NetMeeting en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\NetMeeting
El parámetro Desactivar el uso compartido de escritorio remoto deshabilita la característica para compartir escritorios remotos en NetMeeting. Si lo habilita, los usuarios no podrán configurar NetMeeting ni utilizarlo en los equipos de forma remota para enviar información a través de la red. Si concede el control de un equipo que puede enviar información a través de la red en cualquier momento, la seguridad se pone en peligro.
Por este motivo, Desactivar el uso compartido de escritorio remoto se debe establecer en No configurado en el entorno de cliente de empresa. No obstante, se establece en Habilitado en el entorno de nivel de seguridad alto para impedir que los usuarios compartan escritorios de forma remota con NetMeeting.
Internet Explorer
Las directivas de grupo de Microsoft Internet Explorer le ayudan a cumplir los requisitos de seguridad de las estaciones de trabajo Windows XP, así como a evitar el intercambio de contenido no deseado a través del explorador. Utilice los siguientes criterios para proteger Internet Explorer en las estaciones de trabajo del entorno:
• Asegúrese de que las peticiones a Internet sólo se producen en respuesta directa a acciones del usuario.
• Asegúrese de que la información enviada a sitios Web específicos sólo llega a los mismos, a menos que se produzcan acciones concretas del usuario que permiten la transmisión de información a otros destinos.
• Asegúrese de que los canales de confianza a servidores/sitios están identificados con toda claridad junto con el propietario de los mismos en cada canal.
• Asegúrese de que cualquier secuencia de comandos o programa que funcione con Internet Explorer se ejecuta en un entorno restringido. Puede ser que los programas enviados a través de canales de confianza estén habilitados para funcionar fuera del entorno restringido.
Establezca la configuración del equipo recomendada a continuación para Internet Explorer en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Internet Explorer
Nota: no se pueden establecer los parámetros de Zonas de seguridad a través de Directiva de grupo. Para ello, se puede utilizar el Kit de administración de Internet Explorer (IEAK). Consulte la sección "Información adicional" de este módulo para obtener detalles sobre cómo obtener IEAK.
Este parámetro Deshabilitar la instalación automática de componentes de Internet Explorer impide que Internet Explorer instale automáticamente componentes. Si lo habilita, Internet Explorer no descargará un componente cuando los usuarios examinen un sitio Web que necesita que dicho componente funcione por completo.
Si establece el parámetro Deshabilitar la instalación automática de componentes de Internet Explorer en Deshabilitado o No configurado, el explorador solicitará a los usuarios que descarguen e instalen componentes siempre que visiten un sitio Web que los utiliza. Con la habilitación de este parámetro, se intenta ayudar a los administradores a controlar qué componentes pueden instalar los usuarios en los clientes del entorno.
Por este motivo, se recomienda que se establezca el parámetro Deshabilitar la instalación automática de componentes de Internet Explorer en Habilitado en los dos entornos definidos en esta guía.
Nota: antes de habilitar el parámetro, se recomienda que defina una estrategia alternativa para actualizar Internet Explorer a través de Software Update Service (SUS) o un servicio similar.
Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer evita que Internet Explorer compruebe más a menudo si hay una nueva actualización del explorador disponible. Si habilita esta directiva, impedirá que Internet Explorer detecte si hay una nueva actualización del explorador disponible y lo notifique a los usuarios. Si establece el parámetro Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer en Deshabilitado o No configurado, de forma predeterminada Internet Explorer buscará actualizaciones del explorador cada 30 días y, a continuación, informará a los usuarios cuando exista alguna. Con este parámetro, se quiere ayudar a los administradores a controlar las versiones de Internet Explorer, ya que no se informa a los usuarios de nuevas actualizaciones o versiones disponibles del explorador.
Por este motivo, recomendamos que se establezca el parámetro Deshabilitar comprobación periódica de actualizaciones de software de Internet Explorer en Habilitado en los dos entornos definidos en esta guía.
Nota: antes de habilitar esta directiva, se recomienda definir una estrategia alternativa para los administradores de la organización, de modo que acepten nuevas actualizaciones periódicas de Internet Explorer en los clientes del entorno.
Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa especifica que los programas que utilizan canales de distribución de software de Microsoft no notificarán a los usuarios si se instalan nuevos componentes. El canal de distribución de software supone una forma de actualizar software dinámicamente en los equipos de los usuarios utilizando tecnologías de distribución abierta de software (.osd).
Si habilita esta directiva, no se notificará a los usuarios si sus programas se actualizan mediante canales de distribución de software. Si establece Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa en Deshabilitado o No configurado, se notificará a los usuarios antes de que se actualicen los programas. Este parámetro permite además que los administradores utilicen canales de distribución de software para actualizar los programas en las estaciones de trabajo sin la intervención de los usuarios.
Por este motivo, se recomienda que establezca Deshabilitar las notificaciones del shell para actualizaciones de software al iniciar el programa en Habilitado en los dos entornos definidos en esta guía.
Configuración de proxy por equipo y no por usuario asegura que la configuración del proxy sea igual para todos los usuarios de un mismo equipo. Si lo habilita, los usuarios no podrán establecer una configuración de proxy específica y deberán emplear las zonas del equipo creadas para todos ellos. Una zona es un grupo de sitios Web con el mismo nivel de seguridad.
Si establece el parámetro Configuración de proxy por equipo y no por usuario en Deshabilitado o No configurado, los usuarios de un mismo equipo podrán establecer una configuración de proxy propia. Si lo habilita, la configuración de proxy no variará de un usuario a otro que utilice el mismo equipo, a la vez que se prohibirá el acceso a las directivas de seguridad en Internet circundantes configuradas en los servidores proxy.
Por estos motivos, se recomienda que establezca Configuración de proxy por equipo y no por usuario en Habilitado para los clientes de escritorio en los dos entornos definidos en esta guía y en Deshabilitado para los clientes de portátiles, puesto que es probable que los usuarios móviles deban cambiar la configuración del proxy mientras viajan.
Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios impide que los usuarios agreguen o quiten sitios de las zonas de seguridad. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita esta directiva, no funcionará la configuración de administración de sitios para zonas de seguridad.
• Para ver la configuración de administración de sitios para zonas de seguridad:
1.
En el cuadro de diálogo Opciones de Internet, haga clic en la ficha Seguridad.
2.
Haga clic en el botón Sitios.
Si establece el parámetro Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios en Deshabilitado o No configurado, los usuarios podrán agregar o quitar sitios Web de las zonas Sitios de confianza y Sitios restringidos, así como alterar la configuración de la zona Intranet local. Si lo habilita, se creará una directiva para evitar que los usuarios cambien la configuración de administración de sitios de las zonas de seguridad establecida por el administrador.
Por este motivo, se recomienda establecer Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios en Habilitado en los dos entornos definidos en esta guía.
Nota: si habilita el parámetro Deshabilitar la página Seguridad (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), desaparecerá la ficha Seguridad de la interfaz y este parámetro tendrá prioridad sobre Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios.
El parámetro Zonas de seguridad: no permitir que los usuarios cambien las directivas impide que los usuarios cambien la configuración de la zona de seguridad. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita este parámetro, se deshabilitarán el botón Nivel personalizado y el control deslizante de la ficha Seguridad en el cuadro de diálogo Opciones de Internet. Si establece el parámetro Zonas de seguridad: no permitir que los usuarios cambien las directivas en Deshabilitado o No configurado, los usuarios podrán cambiar la configuración de la zona de seguridad. Si lo habilita, se creará una directiva para evitar que los usuarios cambien la configuración de la zona de seguridad establecida por el administrador.
Por este motivo, se recomienda establecer Zonas de seguridad: no permitir que los usuarios cambien las directivas en Habilitado en los dos entornos definidos en esta guía.
Nota: si habilita el parámetro Deshabilitar la página Seguridad (ubicado en \Configuración de usuario\Plantillas administrativas\Componentes de Windows\Internet Explorer\Panel de control de Internet), desaparecerá la ficha Seguridad de Internet Explorer en el Panel de control y este parámetro tendrá prioridad sobre Zonas de seguridad: no permitir que los usuarios cambien las directivas.
El parámetro Zonas de seguridad: usar sólo la configuración del equipo aplica la información de zona de seguridad a todos los usuarios del mismo equipo. Una zona de seguridad es un grupo de sitios Web con el mismo nivel de seguridad. Si habilita este parámetro, los cambios que un usuario realice en una zona de seguridad se podrán aplicar a todos los usuarios del mismo equipo. Si establece Zonas de seguridad: usar sólo la configuración del equipo en Deshabilitado o No configurado, los usuarios del mismo equipo podrán establecer una configuración propia de la zona de seguridad. Si lo establece en Habilitado, la configuración de la zona de seguridad se aplicará uniformemente a todos los usuarios del mismo equipo.
Por estos motivos, se recomienda establecer Zonas de seguridad: usar sólo la configuración del equipo en Habilitado en los dos entornos especificados en esta guía.
Principio de la página
Programador de tareas
Establezca la configuración del equipo recomendada a continuación para el Programador de tareas en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Programador de tareas
El parámetro Prohibir la creación de nuevas tareas impide que los usuarios creen tareas con el Programador de tareas. Se pueden programar tareas para ejecutar programas en un momento determinado. Si establece este parámetro en Habilitado, se quitará la opción Agregar tarea programada que se emplea para iniciar el Asistente para tarea nueva. Asimismo, si lo habilita, el sistema no responderá cuando algún usuario intente mover, pegar o arrastrar programas o documentos en la carpeta Tareas programadas.
Por estos motivos, en estas instrucciones se recomienda establecer Prohibir la creación de nuevas tareas en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.
Nota: este parámetro no evita que los administradores utilicen el comando At.exe para crear nuevas tareas o impedir que éstas se envíen desde equipos remotos.
El parámetro Prohibir la eliminación de tareas evita que los usuarios eliminen tareas de la carpeta Tareas programadas. Si lo establece en Habilitado, se quitará el comando Eliminar del menú Edición de la carpeta Tareas Programadas y del menú que aparece cuando se hace clic con el botón secundario del mouse en una tarea. Además, el sistema no responderá si algún usuario intenta eliminar o arrastrar una tarea de la carpeta Tareas programadas.
Por estos motivos, en estas instrucciones se recomienda establecer Prohibir la eliminación de tareas en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.
Nota: este parámetro no evita que los administradores utilicen el comando At.exe para eliminar tareas.
Principio de la página
Servicios de Terminal Server\Redirección de datos cliente–servidor
Los Servicios de Terminal Server ofrecen opciones para redireccionar los recursos del cliente a servidores a los que otorguen acceso. El siguiente parámetro es específico de los Servicios de Terminal Server.
Establezca la configuración del equipo recomendada a continuación para Redirección de datos cliente–servidor en los Servicios de Terminal Server de la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Redirección de datos cliente–servidor
El parámetro No permitir redirección de unidad impide que los usuarios compartan las unidades locales de los clientes que utilizan para obtener acceso a servidores de terminal. Las unidades asignadas aparecen en el árbol de carpeta de sesión en el Explorador de Windows o en Mi PC con el formato:
\\TSClient\
La posibilidad de compartir unidades locales deja a éstas expuestas a intrusos que podrían intentar aprovecharse de los datos que contienen. Por este motivo, en estas instrucciones se recomienda establecer el parámetro No permitir redirección de unidad en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.
Principio de la página
Servicios de Terminal Server\Cifrado y seguridad
Establezca la configuración del equipo recomendada a continuación para cifrado y seguridad en los Servicios de Terminal Server de la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Servicios de Terminal Server\Cifrado y seguridad
El parámetro Pedir siempre al cliente la contraseña al conectarse exige que los usuarios escriban una contraseña para iniciar sesión en el equipo. Si lo establece en Habilitado, los usuarios no podrán iniciar automáticamente la sesión en un servidor de terminal ni obtener acceso a un equipo de escritorio de forma remota escribiendo la contraseña en el cliente Conexión a Escritorio remoto. El administrador del equipo local tampoco podrá configurar equipos para que las contraseñas se envíen automáticamente si este parámetro se habilita.
Por este motivo, en estas instrucciones se recomienda establecer Pedir siempre al cliente la contraseña al conectarse en Habilitado en el entorno de nivel de seguridad alto. Sin embargo, se recomienda que se establezca en No configurado en el entorno de cliente de empresa.
Nota: si no configura este parámetro, el administrador del equipo local podrá utilizar la herramienta de configuración de Servicios de Terminal Server para permitir o impedir que se envíen automáticamente las contraseñas.
Windows Update
Los administradores utilizan los parámetros de Windows Update para administrar la forma en que las revisiones se aplican en estaciones de trabajo Windows XP. Las actualizaciones se encuentran disponibles en el sitio Web de Microsoft Windows Update. Asimismo, se puede configurar un sitio Web en la intranet para distribuir las revisiones de forma parecida y con mayor control administrativo. La plantilla administrativa de Windows Update (WUAU.adm) supone una novedad en Windows XP SP1.
SUS es un componente de STPP (Strategic Technology Protection Program, programa estratégico de protección de tecnología), que aumenta la eficacia de las tecnologías de Microsoft Windows Update disponibles para todos los usuarios en el sitio Web de Windows Update. SUS administra y distribuye revisiones críticas de Windows que resuelven vulnerabilidades conocidas de la seguridad, así como otros problemas de estabilidad en los sistemas operativos Microsoft Windows.
Hasta hace poco, los administradores de sistemas debían comprobar con regularidad el sitio Web de Windows Update o Microsoft Security para obtener las nuevas revisiones. A continuación, tenían que descargarlas y probarlas manualmente en el propio entorno para después distribuirlas también manualmente o utilizar herramientas de distribución de software tradicionales para implementarlas.
SUS elimina estos pasos gracias a un sistema de notificación dinámico para las actualizaciones críticas de los clientes Windows que están disponibles a través del servidor de intranet. Para utilizar este servicio, no se necesita acceso a Internet desde los clientes. Esta tecnología ofrece además una solución sencilla y automática para distribuir actualizaciones a los servidores y estaciones de trabajo Windows propios.
Software Update Services también proporciona las siguientes características:
• Control del administrador sobre la sincronización de contenido en la intranet
Este servicio de sincronización es un componente en el servidor que recupera las actualizaciones críticas más recientes de Windows Update. A medida que se agregan actualizaciones en Windows Update, el servidor que ejecuta SUS las descargas y las almacena de acuerdo a una programación definida por el administrador.
• Un servidor de Windows Update alojado en la intranet
Este servidor de uso sencillo actúa como el servidor virtual de Windows Update para los equipos cliente. Contiene herramientas administrativas y servicio de sincronización para administrar las actualizaciones. Atiende solicitudes de actualizaciones aprobadas desde los equipos cliente conectados, a través del protocolo de transferencia de hipertexto (HTTP). Este servidor también puede alojar actualizaciones críticas descargadas del servicio de sincronización y posteriormente informar a los equipos cliente de las mismas.
• Control del administrador sobre las actualizaciones
El administrador puede probar y aprobar las actualizaciones desde el sitio público de Windows Update antes de distribuirlas en la intranet corporativa. La distribución tiene lugar según una programación creada por el administrador. Si varios servidores están ejecutando SUS, el administrador controla qué equipos obtienen acceso a determinados servidores que ejecuten este servicio. Los administradores habilitan este nivel de control con Directiva de grupo en un entorno de servicio de directorio de Microsoft Active Directory® o a través de claves de registro.
• Actualizaciones automáticas en equipos (estaciones de trabajo o servidores)
La característica Actualizaciones automáticas se puede configurar para que busque actualizaciones publicadas en Windows Update. SUS utiliza esta característica de Windows para notificar al administrador sobre actualizaciones aprobadas en una intranet.
Nota: si decide distribuir revisiones a través de otro canal, como Microsoft Systems Management Server (SMS), en estas instrucciones se recomienda que deshabilite el parámetro Configurar actualizaciones automáticas.
En la tabla 21 se resumen la configuración disponible de Windows Update. Los tres primeros parámetros son los mínimos obligatorios para que funcione. El cuarto es opcional, según los requisitos de cada organización.
Establezca la configuración del equipo recomendada a continuación para Windows Update en la plantilla administrativa en la siguiente ubicación, a través del Editor de objetos de directiva de grupo:
Configuración del equipo\Plantillas administrativas\Componentes de Windows\Windows Update
Los parámetros comentados en esta sección no solucionan por separado ninguna amenaza para la seguridad concreta. Guardan más relación con las preferencias del administrador. No obstante, la configuración de Windows Update resulta fundamental para mantener la seguridad del entorno, ya que asegura que los clientes reciben las revisiones desde Microsoft tan pronto como éstas están disponibles
No hay comentarios:
Publicar un comentario