Manual del grupo de trabajo de seguridad

Apéndice B. Creación o actualización de secuencias de comandos para aplicar configuraciones de seguridad

Publicado: junio 30, 2006

El Acelerador de Solución para BDD incluye secuencias de archivo de comandos para aplicar plantillas de seguridad a equipos independientes que no forman parte de un entorno de dominio. Puede modificar estas secuencias de comandos o crear las suyas propias para que lleven a cabo funciones parecidas. De forma predeterminada, estas secuencias de comandos residen en C:\Archivos de programa\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database y tienen la extensión de archivo .cmd.

Estas secuencias de comandos tienen la estructura siguiente:

• Comentarios de la descripción de secuencia de comandos. Estos comentarios, que empiezan con el comando REM, describen el nombre, el propósito y la versión de la secuencia de comandos.

• Reset policy to default structure (Restablecer la directiva a la estructura predeterminada). Este comando llama a Secedit.exe y aplica la plantilla de seguridad Secsetup.inf, que restaura el equipo a su configuración predeterminada.

• Define account settings (Definir configuración de cuenta). Este comando llama a Secedit.exe y aplica una plantilla de seguridad de cuenta.

• Define security settings (Definir configuración de seguridad). Este comando llama a Secedit.exe y aplica una plantilla de seguridad de equipo.

• Remove a shared folder (Quitar una carpeta compartida). Este comando llama a Reg.exe para quitar una clave del Registro y quitar una carpeta compartida que ha creado el Acelerador de Solución para BDD.

• For a local policy update (En busca de una actualización de directiva local). Este comando llama a Gpupdate.exe para actualizar la directiva de seguridad del equipo local con la configuración definida más recientemente.

Si crea una secuencia de comandos personalizada desde cero, debe usar una estructura similar para mejorar la compatibilidad. Si decide modificar una secuencia de comandos existente, simplemente necesitará cambiar los nombres de plantillas de seguridad en los comandos segundo y tercero de Secedit.exe. Para editar una secuencia de comandos, realice el procedimiento siguiente:

1. Use el Explorador de Windows para navegar hasta la carpeta de la base de datos del Acelerador de Solución para BDD, que reside de forma predeterminada en C:\Archivos de programa\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database.

2. Identifique las secuencias de comandos que desea modificar. Repita los pasos siguientes para cada secuencia de comandos:

   1. Haga clic con el botón secundario en la secuencia de comandos y, a continuación, haga clic en Editar para abrir la secuencia de comandos en el Bloc de notas.

   2. Tras la descripción, agregue comentarios que indiquen su nombre, la fecha y los cambios que está realizando. Antes de cada línea de comentarios, coloque el comando REM.

      Use varias líneas, si es necesario. Por ejemplo:

      REM  1/7/05 by Jim Hance
      REM Changed template file names to Contoso template names
      

   3. Antes de una línea que debe modificar, agregue el comando REM.

      REM impide que se ejecute la línea.

   4. Copie la línea agregada al comando REM (sin el comando REM) y péguela inmediatamente después del comando. A continuación, realice los cambios necesarios.

      Si únicamente debe cambiar el nombre de la plantilla de seguridad usada para definir la configuración del equipo cliente, use la característica Buscar del Bloc de notas para buscar “.inf” con el fin de identificar referencias a plantillas de seguridad. Normalmente, sólo tendrá que cambiar dos nombres de plantilla de seguridad. Una secuencia de comandos modificada puede presentar el aspecto siguiente (las líneas resaltadas indican cambios):

      Nota  Algunas partes del siguiente fragmento de código se han distribuido en varias líneas para mejorar la legibilidad. Se deben especificar en una sola línea.

      REM (c) Microsoft Corporation 1997-2003
      
      REM Script for Securing Stand-alone Windows Vista
      REM
      REM Name:        SA Enterprise  Windows Vista Client - 
      Desktop.cmd
      REM Version:     1.0
      REM This .cmd file provides the proper Secedit.exe syntax 
      for importing the security 
      REM policy for the Secure Stand-alone Windows Vista Desktop Client.
      REM Please read the entire guide before using this .cmd file.
      
      REM 3/17/06 by Jim Hance
      REM Changed template file names to Contoso template names
      
      REM Resets the Policy to Default Values
      secedit.exe /configure /cfg %windir%\repair\secsetup.inf 
      /db secsetup.sdb /verbose
      
      
      REM Sets the Account Settings
      REM secedit.exe /configure /db "Vista Default Security.sdb" 
      /cfg "SA Enterprise Account.inf" /overwrite /quiet
      secedit.exe /configure /db "Vista Default Security.sdb" 
      /cfg "Contoso Account.inf" /overwrite /quiet
      
      
      REM Sets the Security Settings
      REM secedit.exe /configure /db "Vista Default Security.sdb" 
      /cfg "Enterprise Client - Desktop.inf"
      secedit.exe /configure /db "Vista Default Security.sdb" 
      /cfg "Contoso Client - Desktop.inf"
      
      
      REM Deletes the Shared Folder
      reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion
      \Explorer\MyComputer\NameSpace\DelegateFolders\
      {59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f
      
      REM Updates the Local Policy
      gpupdate.exe /force
      

   5. Guarde la secuencia de comandos con las modificaciones.

Ahora, al implementar equipos cliente nuevos, las secuencias de comandos recientemente modificadas implementarán las plantillas de seguridad indicadas.