Manual del grupo de trabajo de seguridad
Apéndice B. Creación o actualización de secuencias de comandos para aplicar configuraciones de seguridad
Publicado: junio 30, 2006
El Acelerador de Solución para BDD incluye secuencias de archivo de comandos para aplicar plantillas de seguridad a equipos independientes que no forman parte de un entorno de dominio. Puede modificar estas secuencias de comandos o crear las suyas propias para que lleven a cabo funciones parecidas. De forma predeterminada, estas secuencias de comandos residen en C:\Archivos de programa\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database y tienen la extensión de archivo .cmd.
Estas secuencias de comandos tienen la estructura siguiente:
Comentarios de la descripción de secuencia de comandos. Estos comentarios, que empiezan con el comando REM, describen el nombre, el propósito y la versión de la secuencia de comandos.
Reset policy to default structure (Restablecer la directiva a la estructura predeterminada). Este comando llama a Secedit.exe y aplica la plantilla de seguridad Secsetup.inf, que restaura el equipo a su configuración predeterminada.
Define account settings (Definir configuración de cuenta). Este comando llama a Secedit.exe y aplica una plantilla de seguridad de cuenta.
Define security settings (Definir configuración de seguridad). Este comando llama a Secedit.exe y aplica una plantilla de seguridad de equipo.
Remove a shared folder (Quitar una carpeta compartida). Este comando llama a Reg.exe para quitar una clave del Registro y quitar una carpeta compartida que ha creado el Acelerador de Solución para BDD.
For a local policy update (En busca de una actualización de directiva local). Este comando llama a Gpupdate.exe para actualizar la directiva de seguridad del equipo local con la configuración definida más recientemente.
Si crea una secuencia de comandos personalizada desde cero, debe usar una estructura similar para mejorar la compatibilidad. Si decide modificar una secuencia de comandos existente, simplemente necesitará cambiar los nombres de plantillas de seguridad en los comandos segundo y tercero de Secedit.exe. Para editar una secuencia de comandos, realice el procedimiento siguiente:
Use el Explorador de Windows para navegar hasta la carpeta de la base de datos del Acelerador de Solución para BDD, que reside de forma predeterminada en C:\Archivos de programa\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database.
Identifique las secuencias de comandos que desea modificar. Repita los pasos siguientes para cada secuencia de comandos:
Haga clic con el botón secundario en la secuencia de comandos y, a continuación, haga clic en Editar para abrir la secuencia de comandos en el Bloc de notas.
Tras la descripción, agregue comentarios que indiquen su nombre, la fecha y los cambios que está realizando. Antes de cada línea de comentarios, coloque el comando REM.
Use varias líneas, si es necesario. Por ejemplo:
REM 1/7/05 by Jim Hance REM Changed template file names to Contoso template names
Antes de una línea que debe modificar, agregue el comando REM.
REM impide que se ejecute la línea.
Copie la línea agregada al comando REM (sin el comando REM) y péguela inmediatamente después del comando. A continuación, realice los cambios necesarios.
Si únicamente debe cambiar el nombre de la plantilla de seguridad usada para definir la configuración del equipo cliente, use la característica Buscar del Bloc de notas para buscar “.inf” con el fin de identificar referencias a plantillas de seguridad. Normalmente, sólo tendrá que cambiar dos nombres de plantilla de seguridad. Una secuencia de comandos modificada puede presentar el aspecto siguiente (las líneas resaltadas indican cambios):
Nota Algunas partes del siguiente fragmento de código se han distribuido en varias líneas para mejorar la legibilidad. Se deben especificar en una sola línea.
REM (c) Microsoft Corporation 1997-2003 REM Script for Securing Stand-alone Windows Vista REM REM Name: SA Enterprise Windows Vista Client - Desktop.cmd REM Version: 1.0 REM This .cmd file provides the proper Secedit.exe syntax for importing the security REM policy for the Secure Stand-alone Windows Vista Desktop Client. REM Please read the entire guide before using this .cmd file. REM 3/17/06 by Jim Hance REM Changed template file names to Contoso template names REM Resets the Policy to Default Values secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose REM Sets the Account Settings REM secedit.exe /configure /db "Vista Default Security.sdb" /cfg "SA Enterprise Account.inf" /overwrite /quiet secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Contoso Account.inf" /overwrite /quiet REM Sets the Security Settings REM secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Enterprise Client - Desktop.inf" secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Contoso Client - Desktop.inf" REM Deletes the Shared Folder reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\MyComputer\NameSpace\DelegateFolders\ {59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f REM Updates the Local Policy gpupdate.exe /force
Guarde la secuencia de comandos con las modificaciones.
Ahora, al implementar equipos cliente nuevos, las secuencias de comandos recientemente modificadas implementarán las plantillas de seguridad indicadas.