2. Adecuación de un servidor de dominio al Esquema Nacional de Seguridad (Proceso de gestión de derechos de acceso)

En el artículo anterior explicamos cómo instalar y ejecutar el programa de auditoría del CCN CLARA. Ahora empezaremos a analizar y resolver los defectos que nos ha encontrado. Estamos aplicando esto en un servidor de dominio recién instalado, por lo que estos defectos los encontraremos en la mayoría de las instalaciones.

Lo vamos a hacer con Windows Server 2012, aunque en otras versiones debería funcionar igual.

Lo primero que haremos será crear una política donde iremos metiendo todas las modificaciones necesarias. Esta política se aplicará a todos los ordenadores y servidores conectados al dominio.

Abrimos la aplicación "Administración de directivas de grupo", está dentro de Herramientas Administrativas. Desplegamos el árbol de la izquierda, Bosque / Dominios, pulsamos con el botón derecho del ratón en nuestro dominio y ejecutamos “Crear un GPO en este dominio y vincularlo aquí…”. Le damos un nombre, por ejemplo ENS y aceptar.

Botón derecho en la nueva directiva y Editar, lo que nos abrirá la ventana Editor de administración de directivas de grupo.

En un mundo ideal, lo mejor sería ir aplicando las modificaciones una a una, esperando unos días después de cada una para asegurarnos de que no causa problemas. Como todos tenemos jefes que prefieren que se hagan las cosas rápido a que se hagan bien, las iremos aplicando por bloques. Si en algún momento tuviéramos algún problema que no pudiéramos identificar, tendríamos que deshacer el último bloque y volver a aplicar las políticas de ese bloque de una en una hasta encontrar la que da el problema.

El primer bloque que nos muestra la auditoría es Proceso de gestión de derechos de acceso, que cumplimos al 54,55%. Vamos a corregir los errores.

El primer error está en "Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador". El valor actual es “Pedir consentimiento para binarios que no son de Windows”, y hay que cambiarlo por: “Pedir credenciales en el escritorio seguro”

Dentro del Editor de administración de directivas de grupo nos vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Directivas locales / Opciones de seguridad (en inglés Computer Configuration/Policies/Windows Settings/Security Settings/Local Policies/Security Options). Allí hay que hacer doble click en "Control de cuentas de usuario: comportamiento de la petición de elevación para los administradores en Modo de aprobación de administrador", Definir esta configuración de directiva, seleccionar “Pedir credenciales en el escritorio seguro” y Aceptar.

_{(encontré la ruta en https://msdn.microsoft.com/es-es/library/jj852205)}

Esta opción determina el comportamiento de la petición de elevación para las cuentas que tienen credenciales administrativas.

El segundo error que nos ha dado la auditoría es:

Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar.

Dentro del editor de directivas, en la misma ruta que antes editamos "Control de cuentas de usuario: comportamiento de la petición de elevación para los usuarios estándar", Definir esta configuración de directiva, seleccionar “Pedir credenciales en el escritorio seguro” y Aceptar.

El tercer error es "Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador"

De nuevo sin salirnos del editor de directivas, editamos "Control de cuentas de usuario: Modo de aprobación de administrador para la cuenta predefinida Administrador", y la habilitamos.

Para corregir el cuarto problema, en la misma ruta del editor de directivas editamos "Controlador de dominio: permitir a los operadores de servidor programar tareas" y lo desactivamos.

El último problema del bloque es similar, en "Controlador de dominio: no permitir los cambios de contraseña de cuenta de equipo" también lo desactivamos.

Las políticas se aplicarán al reiniciar los ordenadores conectados al dominio. Podemos forzar la aplicación de la política en una máquina ejecutando el comando gpupdate en línea de comandos. Volvemos a ejecutar la auditoría y nos sale que el primer bloque, "Proceso de gestión de derechos de acceso", está correcto, y el cumplimiento global ha subido del 46 al 49%.

En el siguiente artículo continuaremos con el siguiente bloque, mecanismos de autenticación, que solo cumplimos al 32%.