Configuración de las directivas de seguridad

En este tema de referencia se describen los escenarios comunes, la arquitectura y los procesos para la configuración de seguridad.

La Configuración de las directivas de seguridad son reglas que los administradores pueden configurar en un equipo o en varios dispositivos con el fin de proteger los recursos de un dispositivo o red. La extensión de configuración de seguridad del complemento Editor de directivas de grupo local te permite definir configuraciones de seguridad como parte de un objeto de directiva de grupo (GPO). Los GPO están vinculados a contenedores de Active Directory como sitios, dominios o unidades organizativas; además, te permiten administrar configuraciones de seguridad para varios dispositivos desde cualquier dispositivo unido al dominio. Las directivas de configuración de seguridad se usan como parte de la implementación global de seguridad para ayudar a proteger los controladores de dominio seguro, los servidores, los clientes y otros recursos de la organización.

La configuración de seguridad puede controlar:

• Autenticación de usuario para una red o dispositivo.

• Los recursos a los que los usuarios pueden tener acceso.

• La opción de registrar las acciones de un usuario o grupo en el registro de eventos.

• La pertenencia a un grupo.

Para administrar las configuraciones de seguridad para varios dispositivos, puedes usar una de las siguientes opciones:

• Editar la configuración de seguridad específica de un GPO.

• Usa el complemento de plantillas de seguridad para crear una plantilla de seguridad que contenga las directivas de seguridad que quieres aplicar y, a continuación, importa la plantilla de seguridad en un objeto de directiva de grupo. Una plantilla de seguridad es un archivo que representa una configuración de seguridad que se puede importar a un GPO, aplicar a un dispositivo local o usar para analizar la seguridad.

Para obtener más información sobre cómo administrar las configuraciones de seguridad, consulta Administrar la Configuración de las directivas de seguridad.

La extensión de configuración de seguridad del Editor de directivas de grupo local incluye los siguientes tipos de directivas de seguridad:

• Directivas de cuenta. Estas directivas se definen en dispositivos y afectan a la forma en que las cuentas de usuario pueden interactuar con el equipo o dominio. Directivas de cuenta incluyen los siguientes tipos de directivas:

  • Directiva de contraseñas. Estas directivas determinan la configuración de contraseñas, como la duración y la aplicación. Las directivas de contraseña se usan para las cuentas de dominio.

  • Directiva de bloqueo de la cuenta. Estas directivas determinan las condiciones y el tiempo que se bloqueará una cuenta del sistema. Las directivas de bloqueo de cuenta se usan para las cuentas de usuario local o de dominio.

  • Directiva Kerberos. Estas directivas se usan para las cuentas de usuario de dominio y determinan la configuración relacionada con Kerberos, como la duración y aplicación de un vale.

• Directivas locales. Estas directivas se aplican a un equipo e incluyen los siguientes tipos de configuración de directiva:

  • Directiva de auditoría. Especifica la configuración de seguridad que controla el registro de eventos de seguridad en el Registro de seguridad del equipo y especifica qué tipos de eventos de seguridad se registran (éxito, error o ambos).

    Nota  

    En el caso de los dispositivos que ejecutan Windows 7 y versiones posteriores, te recomendamos que uses la configuración de Configuración de directiva de auditoría avanzada en lugar de la configuración de Directiva de auditoría de Directivas locales.

     

  • Asignación de derechos de usuario. Especifica los usuarios o grupos que tienen derechos de inicio de sesión o privilegios en un dispositivo.

  • Opciones de seguridad. Especifica la configuración de seguridad para el equipo, como los nombres de Administrador y de Cuenta de invitado; el acceso a unidades de disco y unidades de CD-ROM; la instalación de controladores; el inicio de sesión y así sucesivamente.

• Firewall de Windows con seguridad avanzada. Especifica la configuración para proteger el dispositivo de la red mediante el uso de un firewall con estado que permita determinar qué tráfico de red puede pasar entre el dispositivo y la red.

• Directivas del Administrador de listas de redes. Especifica la configuración que puedes usar para configurar diferentes aspectos de cómo se enumeran y se muestran las redes en un dispositivo o en varios.

• Directivas de clave pública. Especifica la configuración para controlar el sistema de cifrado de archivos, la protección de datos y el cifrado de unidad BitLocker además de ciertas rutas de certificados y la configuración de servicios.

• Directivas de restricción de software. Especifica la configuración para identificar el software y controlar su capacidad para ejecutarse en el dispositivo local, la unidad organizativa, el dominio o el sitio.

• Directivas de control de aplicaciones. Especifica la configuración para controlar qué usuarios o grupos pueden ejecutar determinadas aplicaciones de la organización basándose en identidades únicas de archivos.

• Directivas de seguridad IP en el equipo local. Especifica la configuración para garantizar las comunicaciones privadas, seguras, a través de redes IP mediante el uso de servicios criptográficos de seguridad. IPsec establece la confianza y seguridad de una dirección IP de origen a una dirección IP de destino.

• Configuración de directiva de auditoría avanzada. Especifica la configuración que controla el registro de eventos de seguridad en el registro de seguridad del dispositivo. La configuración de Configuración de directiva de auditoría avanzada proporciona un mayor control sobre qué actividades se supervisan a diferencia de la configuración de Directiva de auditoría en Directivas locales.

Administración de la configuración de seguridad basada en directivas

La extensión de configuración de seguridad para la directiva de grupo proporciona una infraestructura de administración basada en directivas integrada para ayudarte a administrar y aplicar las directivas de seguridad.

Puedes definir y aplicar directivas de configuración de seguridad a los usuarios, los grupos y los servidores y clientes de red a través de la directiva de grupo y los Servicios de dominio de Active Directory (AD DS). Se puede crear un grupo de servidores con la misma funcionalidad (por ejemplo, un servidor web de Microsoft [IIS]), y luego se pueden usar los objetos de directiva de grupo para aplicar la configuración de seguridad común al grupo. Si se agregan más servidores a este grupo más adelante, mucha de la configuración de seguridad común se aplicará automáticamente, reduciendo el trabajo de implementación y de administración.

Escenarios comunes para el uso de directivas de configuración de seguridad

Las directivas de configuración de seguridad se usan para administrar los siguientes aspectos de seguridad: la directiva de cuenta, la directiva local, la asignación de derechos de usuario, los valores de registro, las listas de control de acceso (ACL) de archivo y registro, los modos de inicio de servicio y más.

Como parte de tu estrategia de seguridad, puedes crear GPO con directivas de configuración de seguridad configuradas específicamente para los diversos roles de la organización, como controladores de dominio, servidores de archivos, servidores miembro, clientes, etcétera.

Puedes crear una estructura de unidad organizativa (UO) que agrupe los dispositivos según sus roles. Las unidades organizativas es el mejor método para separar los requisitos específicos de seguridad para los distintos roles en la red. Este enfoque también permite aplicar plantillas de seguridad personalizadas a cada clase de equipo o servidor. Después de crear las plantillas de seguridad, puedes crear un nuevo GPO para cada una de las unidades organizativas y, a continuación, importar la plantilla de seguridad (archivo .inf) al nuevo GPO.

La importación de una plantilla de seguridad a un GPO garantiza que cualquiera de las cuentas a las que se aplica automáticamente el GPO recibe la configuración de seguridad de la plantilla cuando se actualiza la configuración de directiva de grupo. En un servidor o estación de trabajo, la configuración de seguridad se actualiza a intervalos regulares (con un desplazamiento aleatorio de 30 minutos como máximo) y, en un controlador de dominio, este proceso se realiza cada pocos minutos si se producen cambios en cualquiera de las configuraciones de GPO que se aplican. La configuración se actualiza también cada 16 horas, con independencia de si se han producido cambios o no.

Nota  

Esta configuración de actualización varía según la versión del sistema operativo y se puede configurar.

Mediante el uso de las configuraciones de seguridad basadas en la directiva de grupo en combinación con la delegación de administración, puedes asegurarte de que se aplica una configuración de seguridad, derechos y comportamiento específicos a todos los servidores y equipos de una unidad organizativa. Este enfoque simplifica la actualización de varios servidores con cualquier cambio adicional necesario en el futuro.

Dependencias de otras tecnologías de sistema operativo

En el caso de los dispositivos que son miembros de un dominio de Windows Server 2008 o posterior, las directivas de la configuración de seguridad dependen de las siguientes tecnologías:

• Servicios de dominio de Active Directory (AD DS)

  El servicio de directorio basado en Windows, AD DS, almacena información sobre los objetos de una red y hace que esta información esté disponible para los administradores y los usuarios. Mediante el uso de AD DS, puedes ver y administrar los objetos de red en la red desde una única ubicación, y a los usuarios pueden acceder a los recursos de red permitidos usando un inicio de sesión único.

• Directiva de grupo

  La infraestructura de AD DS que permite la administración de la configuración basada en directorios de la configuración del usuario y del equipo en dispositivos que ejecutan Windows Server. Con la directiva de grupo, puedes definir configuraciones de grupos de usuarios y equipos, incluida la configuración de directiva, las directivas basadas en el Registro, la instalación de software, los scripts, la redirección de carpetas, los Servicios de instalación remota, el mantenimiento de Internet Explorer y la seguridad.

• Sistema de nombres de dominio (DNS)

  Un sistema de nombres jerárquico usado para buscar nombres de dominio en Internet y en las redes TCP/IP privadas. DNS proporciona un servicio para asignar nombres de dominio DNS a direcciones IP y direcciones IP a nombres de dominio. Esto permite a los usuarios, los equipos y las aplicaciones consultar el DNS para especificar sistemas remotos mediante nombres de dominio completos en lugar de direcciones IP.

• Winlogon

  Una parte del sistema operativo Windows que proporciona compatibilidad de inicio de sesión interactivo. El diseño de Winlogon se ha diseñado alrededor de un modelo de inicio de sesión interactivo que consta de tres componentes: el ejecutable Winlogon, un proveedor de credenciales y cualquier número de proveedores de red.

• Configuración

  La configuración de seguridad interactúa con el proceso de configuración del sistema operativo durante una instalación limpia o una actualización de versiones anteriores de Windows Server.

• Administrador de cuentas de seguridad (SAM)

  Un servicio de Windows usado durante el proceso de inicio de sesión. SAM mantiene la información de cuenta de usuario, incluidos los grupos a los que un usuario pertenece.

• Autoridad de seguridad local (LSA)

  Un subsistema protegido que autentica e inicia la sesión de los usuarios en el sistema local. LSA también mantiene información sobre todos los aspectos de seguridad local en un sistema, que se conoce como directiva de seguridad local del sistema.

• Instrumental de administración de Windows (WMI)

  Una característica del sistema operativo Microsoft Windows, WMI es la implementación de Web-Based Enterprise Management (WBEM), que es una iniciativa del sector para desarrollar una tecnología estándar para tener acceso a información de administración en un entorno empresarial. WMI proporciona acceso a información sobre los objetos en un entorno administrado. A través de WMI y la interfaz de programación de aplicaciones (API) de WMI, las aplicaciones pueden consultar y realizar cambios en la información estática del repositorio del Modelo de información común (CIM) y la información dinámica mantenida por los distintos tipos de proveedores.

• Conjunto resultante de directivas (RSoP)

  Una infraestructura mejorada de la directiva de grupo que usa WMI para que sea más fácil planear y depurar la configuración de directiva. RSoP proporciona métodos públicos que exponen lo que haría una extensión de la directiva de grupo en una situación hipotética y lo que ha hecho la extensión en una situación real. Esto permite a los administradores determinar fácilmente la combinación de configuración de directiva que se aplica, o se aplicará, a un usuario o dispositivo.

• Administrador de control de servicios (SCM)

  Usado para la configuración de la seguridad y los modos de inicio de servicios.

• Registro

  Usado para la configuración de seguridad y valores del Registro.

• Sistema de archivos

  Usado para la configuración de seguridad.

• Conversiones de sistema de archivos

  La seguridad se establece cuando un administrador convierte un sistema de archivos de FAT a NTFS.

• Microsoft Management Console (MMC)

  La interfaz de usuario para la herramienta configuración de seguridad es una extensión del complemento de MMC Editor de directivas de grupo local.

Directivas de configuración de seguridad y directiva de grupo

La extensión de configuración de seguridad del Editor de directivas de grupo local forma parte del conjunto de herramientas del Administrador de configuración de seguridad. Los siguientes componentes se asocian con la configuración de seguridad: un motor de configuración; un motor de análisis; una capa de interfaz de plantilla y base de datos; la lógica de integración de configuración y la herramienta de línea de comandos secedit.exe. El motor de configuración de seguridad es responsable de controlar solicitudes de seguridad relacionados con el editor de configuración de seguridad para el sistema en el que se ejecuta. El motor de análisis analiza la seguridad del sistema para una determinada configuración y guarda el resultado. La capa de interfaz de base de datos y plantilla controla la lectura y escritura de las solicitudes desde la plantilla o base de datos y hacia ellas (para el almacenamiento interno). La extensión de configuración de seguridad del Editor de directivas de grupo local controla la directiva de grupo desde un dispositivo basado en el dominio o local. La lógica de la configuración de seguridad se integra con la instalación y administra la seguridad del sistema para una instalación limpia o una actualización a un sistema operativo Windows más reciente. La información de seguridad se almacena en plantillas (archivos .inf) o en la base de datos Secedit.sdb.

El siguiente diagrama muestra la configuración de seguridad y las características relacionadas.

Directivas de configuración de seguridad y características relacionadas

• Scesrv.dll

  Proporciona la funcionalidad principal de motor de seguridad.

• Scecli.dll

  Ofrece las interfaces del lado del cliente para el motor de configuración de seguridad y proporciona datos al conjunto resultante de directivas (RSoP).

• Wsecedit.dll

  Extensión de configuración de seguridad del Editor de directiva de grupo local. scecli.dll se carga en wsecedit.dll para admitir la interfaz de usuario de configuración de seguridad.

• Gpedit.dll

  El complemento MMC Editor de directivas de grupo local.

Arquitectura de la extensión de configuración de seguridad

La extensión de configuración de seguridad del Editor de directivas de grupo local es parte de las herramientas del Administrador de configuración de seguridad, como se muestra en el siguiente diagrama.

Arquitectura de la configuración de seguridad

Las herramientas de configuración y análisis de la configuración de seguridad incluyen un motor de configuración de seguridad, que proporciona la configuración y el análisis basados en la directiva de grupo y el equipo local (miembro que no es del dominio) de directivas de configuración de seguridad. El motor de configuración de seguridad también admite la creación de archivos de directiva de seguridad. Las características principales del motor de configuración de seguridad son scecli.dll y scesrv.dll.

En la siguiente lista se describen estas características principales del motor de configuración de seguridad y otras características relacionadas con la configuración de seguridad.

• scesrv.dll

  Este .dll se hospeda en services.exe y se ejecuta en el contexto del sistema local. scesrv.dll proporciona la funcionalidad principal del Administrador de configuración de seguridad, como la importación, la configuración, el análisis y la propagación de directivas.

  Scesrv.dll realiza la configuración y análisis de varios parámetros del sistema relacionados con la seguridad mediante una llamada a las API del sistema correspondientes, incluidas LSA, SAM y el Registro.

  Scesrv.dll expone las API como importar, exportar, configurar y analizar. Comprueba que la solicitud se realiza a través de LRPC (Windows XP) y se produce un error de la llamada si no es así.

  La comunicación entre las partes de la extensión de configuración de seguridad se realiza usando los siguientes métodos:

  • Llamadas al Modelo de objetos componentes (COM)

  • Llamada al procedimiento remoto local (LRPC)

  • Protocolo ligero de acceso a directorios (LDAP)

  • Interfaces ADSI

  • Bloque de mensajes del servidor (SMB)

  • API de Win32

  • Llamadas al Instrumental de administración de Windows (WMI)

  En los controladores de dominio, scesrv.dll recibe notificaciones de los cambios realizados en SAM y LSA que deben sincronizarse entre controladores de dominio. Scesrv.dll incorpora esos cambios en el GPO de la directiva predeterminada de controladores de dominio mediante el uso de las API de modificación de plantilla del scecli.dll en proceso.

  Scesrv.dll también realiza operaciones de configuración y análisis.

• Scecli.dll

  Esta es la interfaz del lado cliente o contenedor para scesrv.dll. scecli.dll se carga en Wsecedit.dll para admitir los complementos MMC. El proceso de configuración lo usa para configurar la seguridad predeterminada del sistema y la seguridad de los archivos, las claves del Registro y los servicios instalados por los archivos .inf de la API de instalación.

  La versión de línea de comandos de las interfaces de usuario de configuración y análisis de la seguridad, secedit.exe, usa scecli.dll.

  Scecli.dll implementa la extensión del lado cliente de la directiva de grupo.

  Scesrv.dll usa scecli.dll para descargar los archivos de la directiva de grupo aplicables desde SYSVOL con el fin de aplicar la configuración de seguridad de la directiva de grupo en el dispositivo local.

  Scecli.dll registra la aplicación de la directiva de seguridad en WMI (RSoP).

  El filtro de directiva Scesrv.dll usa scecli.dll para actualizar el GPO de la directiva predeterminada de controladores de dominio cuando se realizan cambios en SAM y LSA.

• Wsecedit.dll

  La extensión de configuración de seguridad del complemento Editor de objetos de directiva de grupo. Esta herramienta se usa para configurar la configuración de seguridad en un objeto de directiva de grupo para un sitio, dominio o unidad organizativa. También puedes usar la configuración de seguridad para importar plantillas de seguridad a un GPO.

• Secedit.sdb

  Se trata de una base de datos del sistema permanente usada para la propagación de directivas, incluida una tabla de configuración persistente para la reversión.

• Bases de datos de usuario

  Una base de datos de usuario es cualquier base de datos distinta de la del sistema creada por los administradores para la configuración o análisis de seguridad.

• Plantillas .Inf

  Son los archivos de texto que contienen la configuración de seguridad declarativa. Se cargan en una base de datos antes de la configuración o el análisis. Las directivas de seguridad de la directiva de grupo se almacenan en archivos .inf en la carpeta SYSVOL de los controladores de dominio, donde se descargan (mediante la copia de archivos) y se combinan en la base de datos del sistema durante la propagación de directivas.

Procesos e interacciones de directivas de configuración de seguridad

Para un dispositivo unido a un dominio, donde se administra la directiva de grupo, la configuración de seguridad se procesa junto con la directiva de grupo. No todos los valores son configurables.

Procesamiento de la directiva de grupo

Cuando se inicia un equipo y un usuario inicia sesión, se aplican las directivas de equipo y de usuario, según la siguiente secuencia:

1. Se inicia la red. Se inicia el servicio del sistema de llamada a procedimiento remoto (RPCSS) y el proveedor de convención de nomenclatura universal múltiple (MUP).

2. Se obtiene una lista ordenada de objetos de directiva de grupo para el dispositivo. La lista puede depender de estos factores:

   • Si el dispositivo forma parte de un dominio y, por lo tanto, está sujeto a la directiva de grupo a través de Active Directory.

   • La ubicación del dispositivo en Active Directory.

   • Si ha cambiado la lista de objetos de directiva de grupo. Si no ha cambiado la lista de objetos de directiva de grupo, no se realiza ningún procesamiento.

3. Se aplica la directiva de equipo. Esta es la configuración en la Configuración del equipo de la lista recopilada. Este es un proceso sincrónico de manera predeterminada y se produce en el siguiente orden: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria y así sucesivamente. No aparece ninguna interfaz de usuario mientras se procesan las directivas de equipo.

4. Se ejecutan los scripts de inicio. De forma predeterminada se oculta y es sincrónico; debe completarse cada script o agotar el tiempo de espera antes de que se inicie el siguiente. El tiempo de espera predeterminado es 600 segundos. Puedes usar varias configuraciones de directiva para modificar este comportamiento.

5. El usuario presiona CTRL+ALT+SUPR para iniciar sesión.

6. Después de que se valide al usuario, se carga el perfil de usuario; se rige por la configuración de directiva en vigor.

7. Se obtiene una lista ordenada de objetos de directiva de grupo para el usuario. La lista puede depender de estos factores:

   • Si el usuario forma parte de un dominio y, por lo tanto, está sujeto a la directiva de grupo a través de Active Directory.

   • Si está habilitado el procesamiento de la directiva de bucle invertido y, si es así, el estado (combinar o reemplazar) de la configuración de directiva de bucle invertido.

   • La ubicación del usuario en Active Directory.

   • Si ha cambiado la lista de objetos de directiva de grupo. Si no ha cambiado la lista de objetos de directiva de grupo, no se realiza ningún procesamiento.

8. Se aplica la directiva de usuario. Esta es la configuración en la Configuración de usuario de la lista recopilada. Es sincrónico de manera predeterminada y se produce en el siguiente orden: local, sitio, dominio, unidad organizativa, unidad organizativa secundaria y así sucesivamente. No aparece ninguna interfaz de usuario mientras se procesan las directivas de usuario.

9. Se ejecutan los scripts de inicio de sesión. Los scripts de inicio de sesión basados en la directiva de grupo están ocultos y son asincrónicos de manera predeterminada. El script de objeto de usuario se ejecuta en último lugar.

10. Aparece la interfaz de usuario del sistema operativo especificada por la directiva de grupo.

Almacenamiento de objetos de directiva de grupo

Un objeto de directiva de grupo (GPO) es un objeto virtual que se identifica por un identificador único global (GUID) y se almacena en el nivel de dominio. La información de configuración de directiva de un GPO se almacena en las dos ubicaciones siguientes:

• Contenedores de directiva de grupo en Active Directory.

  El contenedor de directiva de grupo es un contenedor de Active Directory que contiene las propiedades de GPO, como la información de versión, el estado de GPO, además de una lista de otras configuraciones de componentes.

• Las plantillas de directiva de grupo en la carpeta del volumen del sistema (SYSVOL) de un dominio.

  La plantilla de directiva de grupo es una carpeta del sistema de archivos que incluye los datos de la directiva especificados por archivos .admx, la configuración de seguridad, los archivos de script y la información sobre las aplicaciones que están disponibles para la instalación. La plantilla de directiva de grupo se encuentra en la carpeta SYSVOL en la subcarpeta domain\Policies.

La estructura de GROUP_POLICY_OBJECT proporciona información sobre un GPO de una lista de GPO, incluido el número de versión del GPO, un puntero a una cadena que indica la parte de Active Directory del GPO y un puntero a una cadena que especifica la ruta a la parte del sistema de archivos del GPO.

Orden de procesamiento de directiva de grupo

La configuración de directiva de grupo se procesa en el siguiente orden:

1. Objeto de directiva de grupo local.

   Todos los dispositivos que se ejecutan con un sistema operativo Windows, tienen a partir de Windows XP exactamente un objeto de directiva de grupo que se almacena localmente.

2. Sitio.

   A continuación, se procesan los objetos de directiva de grupo que se han vinculado al sitio. El procesamiento es sincrónico y se realiza en el orden que especificas.

3. Dominio.

   El procesamiento de varios objetos de directiva de grupo vinculados al dominio es sincrónico y se realiza en el orden que especificas.

4. Unidades organizativas.

   Los objetos de directiva de grupo que están vinculados a la unidad organizativa que se encuentra más arriba en la jerarquía de Active Directory se procesan primero y, a continuación, los objetos de directiva de grupo que están vinculados a su unidad organizativa secundaria y así sucesivamente. Por último, se procesan los objetos de directiva de grupo que están vinculados a la unidad organizativa que contiene el usuario o el dispositivo.

En el nivel de cada unidad organizativa de la jerarquía de Active Directory, pueden vincularse uno, muchos o ningún objeto de directiva de grupo. Si varios objetos de directiva de grupo están vinculados a una unidad organizativa, su procesamiento es sincrónico y se realiza en el orden que especificas.

Este orden significa que el objeto de directiva de grupo local se procesa primero y los objetos de directiva de grupo que están vinculados a la unidad organizativa de la que el usuario o el equipo es miembro directo se procesan en último lugar, lo que sobrescribe los anteriores objetos de directiva de grupo.

Este es el orden de procesamiento predeterminado y los administradores pueden especificar excepciones a este orden. Un objeto de directiva de grupo que está vinculado a un sitio, dominio o unidad organizativa (no un grupo de objeto de directiva local) puede establecerse en Exigido con respecto a ese sitio, dominio o unidad organizativa, para que nada de su configuración de directiva pueda reemplazarse. En cualquier sitio, dominio o unidad organizativa, se puede marcar la herencia de directivas de grupo selectivamente como Bloquear herencia. Sin embargo, los vínculos de objeto de directiva de grupo que están configurados como Exigido se aplican siempre y no pueden bloquearse.

Procesamiento de directivas de configuración de seguridad

En el contexto de procesamiento de directivas de grupo, la directiva de configuración de seguridad se procesa en el siguiente orden.

1. Durante el procesamiento de la directiva de grupo, el motor de la directiva de grupo determina qué directivas de configuración de seguridad se aplican.

2. Si existen directivas de configuración de seguridad en un GPO, la directiva de grupo se invoca la extensión del lado cliente de la configuración de seguridad.

3. La extensión de configuración de seguridad descarga la directiva de la ubicación apropiada como un controlador de dominio específico.

4. La extensión de configuración de seguridad combina todas las directivas de configuración de seguridad según las reglas de prioridad. El procesamiento se realiza de acuerdo con el orden de procesamiento de directivas de grupo local, del sitio, dominio y unidad organizativa (UO), como se describe anteriormente en la sección "Orden de procesamiento de directivas de grupo". Si hay varios GPO en vigor para un dispositivo determinado y no hay directivas en conflicto, las directivas son acumulativas y se combinan.

   En este ejemplo se usa la estructura de Active Directory que se muestra en la figura siguiente. Un equipo determinado es miembro de la OU2, a la que está vinculado el GPO GroupMembershipPolGPO. Este equipo también está sujeto al GPO UserRightsPolGPO, que está vinculado a la UO1, más arriba en la jerarquía. En este caso, no existen directivas conflictivas por lo que el dispositivo recibe todas las directivas contenidas en ambos GPO, UserRightsPolGPO y GroupMembershipPolGPO.

   Varios GPO y combinación de directivas de seguridad

   

5. Las directivas de seguridad resultantes se almacenan en secedit.sdb, la base de datos de configuración de seguridad. El motor de seguridad obtiene los archivos de plantilla de seguridad y los importa a secedit.sdb.

6. Las directivas de la configuración de seguridad se aplican a los dispositivos.

La figura siguiente muestra el procesamiento de directivas de la configuración de seguridad.

Procesamiento de directivas de configuración de seguridad

Combinación de directivas de seguridad en controladores de dominio

Solo se combinan las directivas de contraseñas, Kerberos y algunas opciones de seguridad de los GPO que están vinculados en el nivel de raíz del dominio. Esto sirve para mantener esa configuración sincronizada entre todos los controladores de dominio del dominio. Se combinan las siguientes opciones de seguridad:

• Seguridad de red: forzar el cierre de sesión cuando expire la hora de inicio de sesión

• Cuentas: estado de la cuenta de administrador

• Cuentas: estado de la cuenta de invitado

• Cuentas: cambiar nombre de cuenta de administrador

• Cuentas: cambiar nombre de cuenta de invitado

Existe otro mecanismo que permite cambios en la directiva de seguridad realizados por los administradores mediante cuentas net que se combinan en el GPO de directiva de dominio predeterminada. Los cambios de derechos de usuario que se realizan mediante el uso de las API de la autoridad de seguridad local (LSA) se filtran en el GPO de la directiva de controladores de dominio predeterminada.

Consideraciones especiales para controladores de dominio

Si una aplicación se instala en un controlador de dominio principal (PDC) con el rol de maestro de operaciones (también conocido como operaciones de maestro único flexible o FSMO) y la aplicación realiza cambios en los derechos de usuario o la directiva de contraseñas, se deben comunicar estos cambios para garantizar la sincronización entre los controladores de dominio. Scesrv.dll recibe una notificación de los cambios realizados en el Administrador de cuentas de seguridad (SAM) y LSA que deben sincronizarse entre controladores de dominio y luego incorpora los cambios en el GPO de la directiva de controladores de dominio predeterminada usando las API de modificación de plantilla de scecli.dll.

Cuándo se aplica la configuración de seguridad

Después de modificar las directivas de configuración de seguridad, se actualiza la configuración en los equipos de la unidad organizativa vinculada a tu objeto de directiva de grupo en los casos siguientes:

• Cuando se reinicia un dispositivo.

• Cada 90 minutos en un servidor o estación de trabajo y cada 5 minutos en un controlador de dominio. Este intervalo de actualización es configurable.

• De manera predeterminada, la Configuración de las directivas de seguridad proporcionada por la directiva de grupo se aplica también cada 16 horas (960 minutos) incluso si un GPO no ha cambiado.

Persistencia de la directiva de configuración de seguridad

La configuración de seguridad puede persistir aunque ya no se defina una configuración en la directiva que originalmente la aplicó.

La configuración de seguridad puede persistir en los siguientes casos:

• La configuración no se ha definido previamente para el dispositivo.

• La configuración es para un objeto de seguridad del Registro.

• La configuración es para un objeto de seguridad del sistema de archivos.

Todas las configuraciones que se aplican a través de la directiva local o de un objeto de directiva de grupo se almacenan en una base de datos local en el equipo. Siempre que se modifica una configuración de seguridad, el equipo guarda el valor de configuración de seguridad en la base de datos local, que conserva un historial de todas las opciones de configuración que se han aplicado al equipo. Si una directiva define en primer lugar una configuración de seguridad y después deja de definir esta configuración, la configuración toma el valor anterior de la base de datos. Si no existe un valor anterior en la base de datos, la configuración no revierte a nada y permanece definida tal cual. Este comportamiento se denomina a veces "tattoo".

La configuración de seguridad del Registro y archivos mantendrá los valores aplicados a través de la directiva de grupo hasta que se establezca esa configuración en otros valores.

Permisos requeridos para aplicar la directiva

Se requieren permisos de aplicar directiva de grupo y de lectura para que la configuración de un objeto de directiva de grupo se aplique a usuarios o grupos y equipos.

Filtrado de directiva de seguridad

De manera predeterminada, todos los GPO tienen permitido leer y aplicar directiva de grupo para el grupo Usuarios autenticados. El grupo Usuarios autenticados incluye a los usuarios y los equipos. Las directivas de configuración de seguridad están basadas en el equipo. Para especificar a qué equipos cliente se aplicará o no un objeto de directiva de grupo, puedes denegarles el permiso de aplicar directiva de grupo o de lectura en ese objeto de directiva de grupo. Cambiar estos permisos permite limitar el ámbito del GPO a un conjunto específico de equipos dentro de un sitio, dominio o unidad organizativa.

Nota  

No uses el filtrado de directivas de seguridad en un controlador de dominio ya que impediría la aplicación de la directiva de seguridad en él.

Migración de GPO que contienen configuración de seguridad

En algunas situaciones, te recomendamos que migres GPO desde un entorno de dominio a otro. Los dos escenarios más comunes son la migración de prueba a producción y la migración de producción a producción. El proceso de copia de GPO tiene implicaciones para algunos tipos de configuración de seguridad.

Los datos de un único GPO se almacenan en varias ubicaciones y en varios formatos; algunos datos se encuentran en Active Directory y otros se almacenan en el recurso compartido SYSVOL en los controladores de dominio. Determinados datos de directivas pueden ser válidos en un dominio, pero no serlo en el dominio en el que se copia el GPO. Por ejemplo, los identificadores de seguridad (SID) que se almacenan en la configuración de directiva de seguridad son con frecuencia específicos del dominio. Por lo tanto, copiar los GPO no es tan sencillo como copiar una carpeta de un dispositivo a otro.

Las siguientes directivas de seguridad pueden contener entidades de seguridad y pueden requerir un trabajo adicional para moverlas correctamente de un dominio a otro.

• Asignación de derechos de usuario

• Grupos restringidos

• Servicios

• Sistema de archivos

• Registro

• La DACL del GPO, si optas por conservarla durante una operación de copia

Para garantizar que los datos se copian correctamente, puedes usar la consola de administración de directivas de grupo (GPMC). Al migrar un GPO de un dominio a otro, GPMC garantiza que todos los datos importantes se copian correctamente. GPMC también ofrece tablas de migración, que pueden usarse para actualizar los datos específicos de dominio a nuevos valores como parte del proceso de migración. GPMC oculta gran parte de la complejidad de las operaciones de migración del GPO y proporciona un mecanismo simple y confiable para realizar operaciones como copiar y hacer copia de seguridad de los GPO.

En esta sección