domingo, 17 de noviembre de 2024

- GPOs

¿QUE ES UNA GPO?

Política de Grupo (Group Policy Object) es una herramienta dentro de los entornos Windows Server utilizada para gestionar configuraciones y políticas de seguridad en los equipos y usuarios de un dominio.

Lo que haremos será crear distintas GPOs que nos serán de gran utilidad para reforzar la seguridad de nuestro entorno Active Directory estas políticas nos permitirán implementar medidas de protección o simplemente nos ayudaran a simplificar la tarea de asignar normas a los equipos o usuarios de una manera centralizada.


GPO - BLOQUEO DE CUENTA


Para crear nuestra primera GPO lo primero que haremos será dirigirnos a la herramienta "Administración de directivas de grupo" donde podremos visualizar nuestro dominio. Dentro de este encontraremos la política predeterminada llamada "Default Domain Policy" la cual contiene configuraciones básicas aplicadas a todos los usuarios y equipos del dominio. 




Para crear nuestra primera GPO daremos clic derecho en nuestro dominio y seleccionaremos  crear una GPO y vincularlo aquí:
 



Lo siguiente que haremos será asignar un nombre a esta GPO.


Una vez creada nuestra GPO, el siguiente paso será editarla para asignarle las reglas y configuraciones que queremos implementar.




Las configuraciones que realizaremos serán de seguridad y en directivas de bloqueo de cuenta realizaremos los siguientes cambios:




Para que nuestra GPO se aplique debemos cambiarle la prioridad en "Objetos de directiva de grupo vinculados".




Una vez aplicada la GPO a la hora de fallar tres veces la contraseña nos aparece el siguiente mensaje: 




GPO - QUITAR BOTONES


Para quitar los botones de apagado y reinicio del sistema lo que haremos sera crear una GPO y habilitar la siguiente opción que se encentra en Configuración de usuario -> Plantillas Administrativas -> Menu inicio y barra de tareas :





A la hora de ingresar al equipo cliente solo tendremos la opción de cerrar sesión pero no la de apagar o reiniciar el equipo:





GPO - OPCIONES Y PANEL DE CONTROL

Esta GPO lo que nos permite es que el usuario no pueda acceder a las opciones del equipo o al panel del control prohibiendo al usuario cerrar procesos o afectar el funcionamiento de nuestro equipo.

Para agregar esta opción debemos dirigirnos a Configuración de usuario -> Directivas -> Plantillas administrativas definiciones de directiva -> Panel de control.




Aquí lo que haremos sera habilitar la siguiente opción: 




Y cuando el usuario intente ingresar a opciones o panel de control le saltara la siguiente opción: 



GPO - BIENVENIDA AL SISTEMA


EN la siguiente GPO configuraremos dos opciones distintas una que nos permita ingresar un titulo de bienvenida al sistema a hora de encenderlo o desbloquearlo y otra que nos muestre un mensaje bajo el titulo previamente configurado.

Para la configuración del titulo ingresaremos a  Configuración del equipo > Directivas > Configuración de windows > Configuración de seguridad > Directivas locales > Opciones de seguridad > Incio de sesión interactivo titulo.







Y para el mensaje ingresamos a Inicio de sesión interactivo: texto del mensaje.




Una vez configurado esto cuando el usuario encienda el equipo  saldrá el siguiente mensaje por pantalla: 



GPO - FONDO DE ESCRITORIO

La siguiente GPO se realizara para dos grupos dentro del dominio, para esto debemos crear dos carpetas una carpeta por cada grupo al que compartiremos el fondo de pantalla, ademas de dar los permisos correspondientes a estos grupos:




Para realizar la configuración de estas GPOs debemos ingresar a Configuración de usuario > Directivas > Plantillas Administrativas > Active Desktop > Active Desktop> Tapiz de escritorio.




Lo que haremos sera habilitar esta configuración e introducir el directorio de nuestra carpeta compartida:






Una vez configurado todo esto los usuarios de cada grupo podrán tener un nuevo fondo de escritorio:




Algunas GPOs pueden tardar un tiempo en aplicarse para evitar esto podemos forzar la aplicación de las GPOs para esto podremos utilizar el siguiente comando  tanto en el servidor o en el cliente.



GPO - MEMORIA USB


El uso de una Política de Grupo  para bloquear dispositivos USB es  una medida efectiva para reforzar la seguridad en los equipos, en esta actividad se muestra la creación de de esta GPO:




Para realizar esta configuración debemos acceder al aparatado de: Configuración de equipo > Directiva >  Plantillas Administrativas > Sistema > Acceso de almacenamiento extraible. activaremos "Discos extraibles, denegar tanto la escritura como la lectura de estos".



Una vez activado estas opciones A la hora de conectar un USB en nuestro equipo nos saldrá el siguiente mensaje: 








at

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)