TEMA 02:

Directivas de Contraseas en Windows Server 2008

Ing. Hobby Saavedra Rosas

Windows Server 2008

DIRECTIVAS DE CONTRASEAS EN WINDOWS SERVER 2008 Por defecto, Microsoft Windows Server 2008 nos pide a los usuarios del grupo Administradores cumplir con utilizar contraseas seguras. Los usuarios domsticos a menudo slo quieren crear sus propias contraseas o dejarlo en blanco sin cumplir ninguna de las polticas. Este tutorial se explica cmo deshabilitar estos requisitos de complejidad. 1. Haga clic en Ejecutar en el men Inicio, escriba gpedit.msc y luego haga clic en Aceptar.

2. En el Editor de directivas de grupo local expanda Configuracin del equipo -> Configuracin de
Windows -> Configuracin de seguridad ->Directivas de cuenta y haga clic en Directiva de contraseas.

Ing. Hobby Saavedra Rosas

Windows Server 2008

2.1. Almacenar contraseas con cifrado reversible 2.1.1. Clic derecho sobre y hacer clic en propiedades

En este caso las contraseas deben ser guardadas de manera segura y no descifrable por lo tanto esta opcin siempre debe estar deshabilitada, caso contrario, podr generar grandes problemas con la informacin almacenada a la cual acceden los usuarios. 2.2. Elegir historial de contrasea 2.2.1. Clic derecho y luego clic en propiedades

Permite recordar las contraseas de los usuarios.

En este caso el sistema recuerda 3 contraseas, por lo tanto las que vienen deben ser diferentes a las tres anteriores, lo va agrupando en grupos de tres.

Ing. Hobby Saavedra Rosas

Windows Server 2008

2.3. La contrasea debe cumplir los requisitos de complejidad

Tenemos las siguientes condiciones: se deben de establecer contrasear seguras que cumplan con las condiciones siguientes. Debemos habilitarla para tener mayor seguridad en el registro de contraseas por parte de los usuarios. No contener el nombre del usuario o parte del mismo con ms de caracteres consecutivos.

Ing. Hobby Saavedra Rosas

Windows Server 2008

2.4. Longitud mnima de la contrasea 2.4.1. Clic derecho y luego clic en propiedades

En este caso vamos a establecer un mnimo de 8 caracteres, para que la seguridad sea mayor. Ejemplos de contraseas que cumplen con este requisito.

2.5. Vigencia mxima de contraseas

En este caso obligamos que el usuario cambie su contrasea despus de 42 das.

Ing. Hobby Saavedra Rosas

Windows Server 2008

2.6. Vigencia mnima de la contrasea

Esto nos asegura que el usuario, pueda cambiar su contrasea despus de un determinado periodo de tiempo, como se indica en la directiva exigir historial de contraseas, por lo tanto el usuario no puede usar la misma contrasea repetidas veces o intentar cambiar a cada instante. 2.7. Finalmente debemos tener la siguiente configuracin.

3. Desactivamos el inicio de sesin interactivo : no requerir el molestoso CTRL +ALT+SUPR 3.1. Clic en directivas locales, seguidamente en opciones de seguridad.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Una vez ubicada la directiva Inicio de sesin interactivo, hacemos clic derecho, seguidamente clic en propiedades y seleccionamos la opcin Habilitada.

Ahora reiniciamos el servidor y debemos observar que accedemos directamente al inicio de sesin de Windows Server 2008.

Ing. Hobby Saavedra Rosas

Windows Server 2008

EJERCICIO GUIADO DE DIRECTIVAS DE GRUPO (GPO) EN WINDOWS SERVER 2008

1. Creamos los siguientes usuarios y grupos en Windows Server 2008 Grupo: Analistas (Hobby y Paola) Grupo: Soporte (Pablo y Laura) NOTA: Cada usuario creado deber cambiar su password al siguiente inicio de sesin En primer lugar vamos a crear nuestros usuarios Hobby y Paola que van a pertenecer al grupo Analistas Pablo y Laura que pertenecen al grupo Soporte esto lo hacemos con el siguiente procedimiento: Pasos: Inicio Herramientas Administrativas - Administracin de equipos

2. Clic derecho en usuario: usuario nuevo

Ing. Hobby Saavedra Rosas

Windows Server 2008

Vamos a poner solamente el ejemplo con la creacin del usuario Hobby ya que para los otros usuarios, es el mismo procedimiento; ingresamos la contrasea (@passw0rd) o (p@ssw0rd) dejamos la primera casilla seleccionada y le damos clic en crear. Usuario: Hobby: Paola Pablo: Laura: Contrasea: @passw0rd p@assw0rd p@assw0rd alumno.2013

Aqu ya vemos los 4 usuarios creados: Hobby, Paola, Pablo y Laura.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Ahora creamos los grupos que son Analistas y Soporte ahora nos ubicamos en grupos clic derecho Grupo nuevo

Asignamos el nombre al grupo que estamos creando en este caso Analistas y le damos clic en crear

Podemos observar los 2 grupos creados

Ing. Hobby Saavedra Rosas

Windows Server 2008

Ahora vamos a agregar los usuarios a los grupos en este caso tomaremos como ejemplo el ingreso del usuario Hobby al grupo Analistas. Damos clic derecho en el grupo Analistas, despus damos agregar y le ponemos el nombre en este caso Hobby, despus comprobar nombres y aceptar; es importante tener en cuenta que por defecto, cuando vamos a agregar un usuario, nos aparece un usuario genrico, el cual dice usuarios o en otros casos usuarios autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en el inicio de sesin de usuarios

2 2

Y nos quedara as :

Ing. Hobby Saavedra Rosas

Windows Server 2008

Continuamos con el usuario Paola: hacindolo miembro del grupo Analistas.

Ahora Agregamos los usuarios al grupo Soporte: Pablo y Laura Damos clic derecho en el grupo Soporte, despus damos agregar y le ponemos el nombre en este caso Pablo, despus comprobar nombres y aceptar; es importante tener en cuenta que por defecto, cuando vamos a agregar un usuario, nos aparece un usuario genrico, el cual dice usuarios o en otros casos usuarios autenticados el cual lo debemos dejar para que los usuarios que creamos nos aparezcan en el inicio de sesin de usuarios.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Y observamos que el grupo Soporte tiene sus usuarios asociados.

3. Implemente las siguientes polticas o directivas locales Directivas de configuracin de equipo: Ahora para configurar las polticas de o directivas de grupo (GPO) ingresamos por el men ejecutar con el comando gpedit.msc este que significa editar polticas de grupo y msc (significa Microsoft Services)

Ing. Hobby Saavedra Rosas

Windows Server 2008

La vigencia mxima de la contrasea para todos los usuarios de la mquina ser de 15 das esto lo hacemos por la siguiente ruta: Directiva de equipo local configuracin de equipo configuracin de Windows configuracin de seguridad directivas de cuenta directiva de contraseas y all en la opcin vigencia mxima de la contrasea le ponemos la duracin en este caso 15 das y le damos aceptar

Ing. Hobby Saavedra Rosas

Windows Server 2008

Los usuarios del grupo Analistas y el Administrador, pueden apagar la mquina una vez hayan iniciado sesin, pero los usuarios del grupo Soporte no podrn apagar el equipo (Desde el sistema operativo) Ingresamos por: Directiva del equipo local - configuracin del equipo - configuracin de Windows - configuracin de seguridad - directivas locales - Asignacin de permisos Agregamos el grupo Analistas a apagado del sistema

Ya podemos observar el grupo Analistas y el Administrador los cuales podrn apagar el sistema.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Los usuarios del grupo Soporte podrn cambiar la hora de la mquina local Directiva del equipo local - configuracin del equipo - configuracin de Windows - configuracin de seguridad - directivas locales - Asignacin de permisos Agregamos el Soporte a cambiar la hora local

Todos los usuarios tendrn las siguientes restricciones al usar el navegador Internet Explorer: No podrn eliminar el historial de navegacin, No se permitir el cambio de proxy ya que todos los usuarios usarn el mismo proxy. Configuracin del historial deshabilitada, no permitir el cambio de las directivas de seguridad del navegador.

Esto Lo hacemos en la siguiente ruta: Directiva equipo local - Configuracin Equipo - Plantillas Administrativas Componentes de Windows - Internet Explorer.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Directiva equipo local - Configuracin Equipo - Plantillas Administrativas Componentes de Windows - Internet Explorer zonas de seguridad

Ing. Hobby Saavedra Rosas

Windows Server 2008

No permitir el apagado remoto de la mquina Vamos a la siguiente ruta: Directiva del equipo local - Configuracin del equipo - plantillas administrativas - componentes de Windows - Opciones de apagado

Ing. Hobby Saavedra Rosas

Windows Server 2008

Desactivar la ventana emergente de reproduccin automtica Esto lo hacemos por la siguiente ruta: Directiva equipo local - configuracin del equipo

Plantillas administrativas - componentes de Windows - directivas de reproduccin automtica.

Aplicar cuotas de 50MB para todos los usuarios locales y remotos (Esta es un cuota muy baja y es usada solo para fines acadmicos) La ruta es: Directiva del equipo local - configuracin del equipo - plantillas administrativas Sistema - Cuotas de disco.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Directivas de configuracin de usuario: La pgina principal que se cargar para cada usuario cuando abra su navegador ser: http://www.sudominio.com (Pgina institucional de su empresa) Directiva del equipo local - configuracin de usuario configuracin de Windows Mantenimiento de internet Explorer Direcciones URL y aqu ingresamos la direccin de nuestra intranet o la direccin que de la pgina de la empresa.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Restringir desde el navegador el acceso a los siguientes sitios: www.facebook.com y www.youtube.com por URL, para todos los usuarios. El administrador ser el nico con la contrasea de supervisor para el Asesor de Contenidos. Zonas de seguridad y clasificacin de contenido - configuracin de privacidad y seguridad - Asesor de contenido damos clic en la pestaa de abajo Importar la configuracin actual de restriccin de contenido

Nos aparece esta ventana y creamos aqu la contrasea del asesor de contenidos que en este caso solo ser deber saberla el administrador.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Aqu restringimos el acceso a facebook y a youtube

Ingresamos la contrasea

Verificamos que se ha creado correctamente.

Ing. Hobby Saavedra Rosas

Windows Server 2008

Ocultar el men opciones de carpeta del men de herramientas. Esto con el fin de que los usuarios no puedan ver archivos ocultos o cambiar algunas configuraciones de las carpetas. Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes de Windows explorador de Windows.

Habilitamos la opcin de carpeta

Ing. Hobby Saavedra Rosas

Windows Server 2008

Limitar el tamao de la papelera de reciclaje a 100 MB Directiva equipo local - configuracin de usuario - plantillas administrativas - componentes de Windows - explorador de Windows

Habilitamos y de damos el valor en este caso 100 MB

Ing. Hobby Saavedra Rosas

Windows Server 2008

No permitir que se ejecute Skype Directiva equipo local - configuracin de usuario configuracin de Windows mantenimiento de internet Explorer plantillas administrativas - componentes de Windows sistema all le damos doble click y nos aparece una ventana para agregar el software que queremos restringir en este caso Skype agregamos y aceptamos

Ing. Hobby Saavedra Rosas

Windows Server 2008

Ahora vamos a hacer algunas pruebas con uno de los usuarios creados en este caso con el usuario Hobby.

Ingresamos la contrasea del usuario Hobby: @passw0rd

Ing. Hobby Saavedra Rosas

Windows Server 2008

Inmediatamente nos pide cambio de contrasea tal como le pusimos cuando creamos los usuarios. En este caso asignamos la contrasea p@ssw0rd al usuario Hobby.

Cambiamos la contrasea:

Ing. Hobby Saavedra Rosas

Windows Server 2008

Aqu por ejemplo vamos a ingresar con el usuario Hobby a facebook y nos pide la contrasea del asesor de contenidos: la contrasea era p@assw0rd

Despus de haber ingresado la contrasea podemos observar que ya tenemos acceso a la pgina web solicitada.

Ing. Hobby Saavedra Rosas

Windows Server 2008