4. Adecuación de un servidor de dominio al Esquema Nacional de Seguridad (Acceso local)

En los artículos anteriores (1, 2 y 3) explicamos cómo instalar y ejecutar el programa de auditoría del CCN CLARA, cómo crear una política de grupo y cómo resolver los problemas del proceso de gestión de derechos de acceso y de los mecanismos de autenticación.

Ahora procederemos a analizar y resolver los defectos del bloque Acceso local, del que solo cumplimos el 16%. Este bloque es cortito, a ver si no nos da muchos problemas.

Como siempre, abrimos la política que creamos en el segundo artículo, en la aplicación "Administración de directivas de grupo", dentro de nuestro dominio encontraremos la política ENS (o el nombre que le pusiérais), pulsamos con el botón derecho y Editar, lo que abrirá el Editor de administración de directivas de grupo.

Nos vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Directivas de cuenta / Directiva de bloqueo de cuenta (si la instalación está en inglés es Computer Configuration / Policies / Windows Settings / Security Settings / Account Policies / Account Lockout Policy), y modificamos los siguientes parámetros:

• Umbral de bloqueo de cuenta: 8
• Restablecer el bloqueo de cuenta después de: 30
• Duración del bloqueo de cuenta: 0 (debe ser el administrador el que la desbloquee, y venga a darnos curro a los de siempre).

En Configuración del equipo / Directivas / Plantillas administrativas / Componentes de Windows / Opciones de inicio de sesión de Windows (si la instalación está en inglés es Computer Configuration / Policies / Administrative Templates / Windows Components / Windows Logon Options), cambiamos:

• Mostrar información acerca de inicios de sesión anteriores durante inicio de sesión de usuario: Habilitada
• Informar cuando el servidor de inicio de sesión no está disponible durante el inicio de sesión del usuario: Habilitada

Las desactivo porque al habilitarlas no se pueden desbloquear los ordenadores, da este error:

Las directivas de seguridad de este equipo están establecidas para mostrar información sobre el último inicio de sesión interactivo. Windows no pudo recuperar esta información. Para obtener ayuda, póngase en contacto con el administrador de red.

Creo que podría tener que ver con el nivel funcional del dominio, más adelante lo miraremos.

Ejecutamos el gpupdate, volvemos a ejecutar la auditoría y nos sale que en el tercer bloque (Acceso local) hemos pasado de cumpllir el 17% al 67%, nos ha faltado lo de mostrar los inicios de sesión anteriores, que no funcionan en mi red. En el cumplimiento global ya vamos por el 62%.

El próximo día nos meteremos con el cuarto bloque, "Configuración de seguridad", que cumplimos al 63% y es más largo que un día sin pan.