1 00:00:00,880 --> 00:00:09,300 Bueno, hoy vamos a ver lo que son las directivas de seguridad y cómo crear una GPO, cómo crear un objeto de GPO, etc. 2 00:00:09,480 --> 00:00:12,599 Vamos a ver unos poquitos conceptos. De primeras, directiva de grupo. 3 00:00:13,240 --> 00:00:19,500 Es una característica de Windows que permite administrar cambios de configuración tanto a equipos como a usuarios. 4 00:00:19,620 --> 00:00:25,940 Es decir, yo puedo decidir qué configuración va a tener un cliente desde mi controlador de dominio, 5 00:00:26,039 --> 00:00:28,539 porque estamos haciéndolo desde un punto central de administración. 6 00:00:28,539 --> 00:00:33,659 Una directiva de seguridad o directiva individual es cada uno de esos cambios 7 00:00:33,659 --> 00:00:39,640 Tenemos una lista de posibles opciones y las vamos a configurar desde la directiva de grupo 8 00:00:39,640 --> 00:00:44,060 Por ejemplo, aquí veis un ejemplo de que no se puede entrar en el registro 9 00:00:44,060 --> 00:00:48,060 O que se desabrite la administración local en los portátiles, etc. 10 00:00:48,920 --> 00:00:52,700 Bien, ¿qué es un objeto de directiva de grupo o una GPO? 11 00:00:52,700 --> 00:01:00,100 Un objeto de directiva de grupo es, digamos, una plantilla donde guardamos las distintas configuraciones de directivas. 12 00:01:00,600 --> 00:01:06,280 Nosotros en el dominio las vamos a hacer directamente en la consola de administración de directivas de grupo. 13 00:01:06,879 --> 00:01:13,200 Esta GPO puede estar definida en el equipo local, que sería las directivas locales, la GPO local, 14 00:01:13,879 --> 00:01:16,420 que sería cuando hay un equipo que no está conectado a ningún dominio, 15 00:01:16,819 --> 00:01:21,560 o ya desde el dominio podrían ser las distintas GPOs que creemos en el controlador de dominio. 16 00:01:21,560 --> 00:01:29,939 Bueno, ahora lo que vamos a ver es cómo entramos en esta consola 17 00:01:29,939 --> 00:01:35,640 Entonces venimos a herramientas y en administración de directivas de grupo nos aparece esta consola 18 00:01:35,640 --> 00:01:40,799 Si observáis tenemos sitio, dominio y unidades organizativas 19 00:01:40,799 --> 00:01:42,019 Bueno, el sitio está aquí, perdón 20 00:01:42,019 --> 00:01:52,060 ¿Qué sucede? Que nosotros podemos tener vinculadas GPOs a sitios, a dominios o a unidades organizativas 21 00:01:52,060 --> 00:01:57,280 Si veis por ejemplo aquí, conocéis bien las unidades organizativas, el símbolo 22 00:01:57,280 --> 00:02:00,620 Pero aparece este símbolo que es una hojita con las rayitas 23 00:02:00,620 --> 00:02:05,260 Eso es un objeto de directiva de grupo, es decir, una GPO 24 00:02:05,260 --> 00:02:07,640 Por defecto están creadas dos GPOs 25 00:02:07,640 --> 00:02:16,099 La Default Domain Controllers Polar, que son las políticas básicas para el control de dominio y las políticas básicas para el dominio, por defecto. 26 00:02:16,419 --> 00:02:24,259 Y si veis, esta está vinculada al dominio. ¿Veis? Muy bien. Y nosotros ya vincularemos. 27 00:02:25,080 --> 00:02:28,879 Lo mejor que podemos hacer es empezar a crear nuestra propia GPO. 28 00:02:29,199 --> 00:02:34,360 Si la creamos aquí, tenemos todos los objetos que hay creados y me hago botón derecho, nuevo. 29 00:02:34,360 --> 00:03:00,009 Vamos a llamarla Ejemplo 1. Muy bien. Le doy a aceptar y se ha creado el ejemplo. Yo aquí, esta parte de la derecha, por ahora vamos a ignorarla y aquí tengo editar. 30 00:03:00,009 --> 00:03:06,330 Bien, esto nos puede sonar un poco de cosas que hemos hecho en anteriores sesiones 31 00:03:06,330 --> 00:03:09,189 Porque nosotros hemos configurado directivas de seguridad 32 00:03:09,189 --> 00:03:13,289 No sé si os acordáis que cambiamos para que la contraseña no fuera compleja, etc. 33 00:03:14,009 --> 00:03:22,110 Muy bien, las GPOs están definidas por una configuración de equipo y por una configuración de usuario 34 00:03:22,110 --> 00:03:23,969 ¿Qué significa la configuración del equipo? 35 00:03:23,969 --> 00:03:31,069 Son las directivas de seguridad que vamos a hacer a los equipos independientemente de que usuario entre. 36 00:03:31,849 --> 00:03:39,629 Esta GPO que se aplique a quien se aplique se va a aplicar a los equipos y las configuraciones de usuario se van a aplicar a los usuarios. 37 00:03:40,129 --> 00:03:47,689 ¿Qué más tenemos? Dentro de directivas tenemos plantillas administrativas tanto en usuario como en equipo. 38 00:03:47,909 --> 00:03:51,409 Tenemos plantillas administrativas. ¿A qué se refieren las plantillas administrativas? 39 00:03:51,409 --> 00:03:55,830 pues son las configuraciones que tenemos concretamente del registro de Windows. 40 00:03:56,090 --> 00:03:59,909 Entonces, en el caso del equipo, plantillas administrativas, 41 00:04:00,110 --> 00:04:05,189 sus directivas de seguridad van a estar asociadas a distintas claves 42 00:04:05,189 --> 00:04:08,590 que hay dentro de la clave HKLocalMachine. 43 00:04:09,150 --> 00:04:15,349 Y las de usuario van a ser las claves que vayan asociadas a HKCurrentUser. 44 00:04:15,770 --> 00:04:18,230 Entonces, sabiendo eso, eso es lo que vamos a configurar. 45 00:04:18,230 --> 00:04:32,470 Bueno, pues ahora vamos a proceder a configurar una directiva para impedir, vamos a configurar dos, una para impedir que el usuario acceda al símbolo del sistema, es decir, que no pueda entrar en la línea de comandos y otra para que no pueda entrar en el registro. 46 00:04:33,170 --> 00:04:46,250 Entonces, para acceder a la directiva que se configura para impedir el acceso al símbolo del sistema, habéis visto que he entrado en usuario, plantillas administrativas, sistema y aquí tengo impedir. 47 00:04:46,250 --> 00:04:55,769 Y me aparece como no configurada. Doy botón derecho, editar y aquí la digo habilitada porque por defecto está no configurada, ¿vale? 48 00:04:56,189 --> 00:05:02,649 Si yo quiero desactivar también el procesamiento de script, le digo que sí y puedo ponerle un comentario. 49 00:05:02,850 --> 00:05:08,230 Pues puedo ponerle el comentario, ejemplo 1. Esto ya veremos para qué nos puede interesar, ¿vale? 50 00:05:09,490 --> 00:05:15,329 Le digo aceptar y aquí veo que está habilitada. Muy bien, perfecto. 51 00:05:16,250 --> 00:05:21,810 Este GPO, a quien lo vincule, no va a poder entrar en el símbolo del sistema. 52 00:05:21,970 --> 00:05:26,449 Ahora vamos a probar una cosa bastante interesante que se llaman filtros. 53 00:05:26,449 --> 00:05:31,730 ¿Por qué? Porque yo sabía dónde estaba esta clave, pero si no lo sé, ¿cómo lo puedo buscar? 54 00:05:32,149 --> 00:05:35,449 Vengo aquí, botón derecho, y aquí tenéis opciones de filtro. 55 00:05:36,110 --> 00:05:38,470 Pinchamos en opciones de filtro y fijaros qué chulo. 56 00:05:38,850 --> 00:05:44,170 Yo aquí tengo distintas configuraciones y puedo habilitar filtro por palabra clave. 57 00:05:44,170 --> 00:06:08,810 Entonces yo aquí puedo poner una palabra clave, por ejemplo que sea registro y yo pongo la palabra clave registro, me va a filtrar dentro de mis claves por título de la directiva, por el texto de ayuda que si habéis observado antes, lo vamos a ver más despacio, pero si habéis observado antes había un texto de ayuda en el que te explicaba la directiva o por comentario. 58 00:06:08,810 --> 00:06:10,829 habéis visto que he puesto un comentario en la dirección 59 00:06:10,829 --> 00:06:12,990 entonces, ahora mismo 60 00:06:12,990 --> 00:06:14,790 vamos a buscar registro 61 00:06:14,790 --> 00:06:16,350 la damos a aceptar 62 00:06:16,350 --> 00:06:19,029 y nos va a buscar dentro de la configuración 63 00:06:19,029 --> 00:06:20,949 del usuario, donde pueda aparecer 64 00:06:20,949 --> 00:06:22,730 registro, a mi me está diciendo 65 00:06:22,730 --> 00:06:24,709 que puede colgar de estas tres 66 00:06:24,709 --> 00:06:26,870 carpetas, si pinchamos en todos los 67 00:06:26,870 --> 00:06:28,930 valores, nos aparece todo lo 68 00:06:28,930 --> 00:06:30,850 que venga al registro en esta 69 00:06:30,850 --> 00:06:32,230 palabrita, vale 70 00:06:32,230 --> 00:06:34,990 muy bien, ahora 71 00:06:34,990 --> 00:06:37,009 lo que decimos es que es mucho 72 00:06:37,009 --> 00:06:44,430 y yo quiero un poco, filtrar un poquito más, entonces como yo lo que quiero es impedir, voy a poner impedir registro, ¿vale? 73 00:06:44,889 --> 00:06:51,550 Bien, aquí estoy utilizando dos palabras, si yo lo que quiero es que aparezca impedir y aparezca registro, 74 00:06:52,310 --> 00:06:58,850 puedo utilizar la opción todo, es decir, aquí me va a aparecer, va a buscar dentro del título de la directiva, 75 00:06:59,189 --> 00:07:06,050 va a buscar un texto en el que ponga impedir lo que sea registro o lo que sea impedir registro, ¿vale? 76 00:07:06,050 --> 00:07:28,589 Es decir, que tiene que contener esas dos palabras. Si yo selecciono cualquiera, lo que me va a decir es que aparezca impedir o que aparezca registro, que impida lo que sea y que registre lo que sea, ¿vale? Y exacta es que tiene que aparecer impedir registro. Entre impedir y registro no puede aparecer nada, tiene que aparecer exactamente ese texto en la directiva, ¿vale? 77 00:07:28,589 --> 00:07:50,660 Vamos a coger por ahora que diga todo, entonces digo aceptar y aquí me filtra, aquí está, perdonad que no sé por qué no he entrado, impedir acceso a la edición del registro porque tengo aquí impedir y aquí tengo registro, ¿vale? Muy bien. 78 00:07:50,660 --> 00:07:58,939 Si yo lo que pongo en la plantilla es cualquiera 79 00:07:58,939 --> 00:08:03,879 Me va a aparecer un montón de opciones 80 00:08:03,879 --> 00:08:07,120 Porque me va a aparecer donde ponga registro y donde ponga impedir 81 00:08:07,120 --> 00:08:08,920 ¿Veis? Impedir cambiar el tema 82 00:08:08,920 --> 00:08:10,000 ¿De acuerdo? 83 00:08:10,480 --> 00:08:17,019 Si yo el filtro en lugar de poner cualquiera pongo exacta 84 00:08:17,019 --> 00:08:20,860 Me va a buscar una configuración en la que ponga exactamente eso 85 00:08:20,860 --> 00:08:23,319 Un título en el que ponga exactamente eso 86 00:08:23,319 --> 00:08:24,540 Y no me aparece ninguno 87 00:08:24,540 --> 00:08:26,779 Bueno, vamos a la opción primera 88 00:08:26,779 --> 00:08:29,040 Que decíamos que era todo 89 00:08:29,040 --> 00:08:30,879 En el que aparecían las dos 90 00:08:30,879 --> 00:08:32,159 Y que aquí puedo filtrar 91 00:08:32,159 --> 00:08:34,440 Muy bien, ya os lo he comentado antes 92 00:08:34,440 --> 00:08:35,740 Esta sería la descripción 93 00:08:35,740 --> 00:08:37,539 Vamos a habilitar, a editar 94 00:08:37,539 --> 00:08:39,580 Y vemos, aquí tenéis la ayuda 95 00:08:39,580 --> 00:08:41,220 Que es la descripción de la contraseña 96 00:08:41,220 --> 00:08:43,539 Aquí habilitada, aquí le digo que sí 97 00:08:43,539 --> 00:08:45,519 Y aquí pongo ejemplo 1 98 00:08:45,519 --> 00:08:46,860 ¿Vale? 99 00:08:47,019 --> 00:08:55,879 Bien, acepto y ya tenemos configurados dos directivas de seguridad en un GPO. 100 00:08:56,039 --> 00:09:01,279 Muy bien, ¿qué sucede? Que este GPO no está vinculado a nada. 101 00:09:01,639 --> 00:09:05,259 Este GPO existe, pero no le digo a quién se lo aplico, ¿vale? 102 00:09:05,500 --> 00:09:09,740 Ahora lo que vamos a pasar es a ver a quién se lo podemos aplicar. 103 00:09:09,740 --> 00:09:15,559 Pero antes de eso, lo que vamos a hacer es igual que podemos poner un comentario en la directiva, 104 00:09:15,559 --> 00:09:23,799 podemos poner un comentario en el GPO y esto a lo mejor podemos decir primer ejemplo de GPO 105 00:09:23,799 --> 00:09:30,559 y esto nos sirve para las personas que estemos trabajando pues comentar por qué hemos hecho estas configuraciones 106 00:09:30,559 --> 00:09:31,899 y se ve directamente aquí. 107 00:09:32,840 --> 00:09:39,190 Bueno, el ámbito. 108 00:09:40,070 --> 00:09:47,769 Nosotros podemos vincular un GPO a un sitio, a un dominio o a una unidad organizativa concreta. 109 00:09:47,769 --> 00:10:12,730 ¿Vale? También, que es lo que vamos a hacer habitualmente, pero también tú puedes decidir que el ámbito lo asocias a un grupo. Para eso se llaman filtros de seguridad. ¿Vale? También podemos utilizar filtros instrumentales de administración, los filtros WMI, que lo que vamos a hacer es asociar los GPOs a determinadas condiciones del sistema. 110 00:10:12,730 --> 00:10:37,379 Bueno, pues ahora, ya que hemos visto esto, vamos a vincular nuestra GPO. Entonces, estamos en la configuración, la administración de directivas de grupo y esto lo quiero vincular. ¿A quién se lo quiero vincular? A alumnos. 111 00:10:37,379 --> 00:10:48,279 Nosotros tenemos en usuarios y equipos de Active Directory dos unidades organizativas, profesoras donde está la profesora Susana y alumnos donde está el usuario Pepe. 112 00:10:48,460 --> 00:11:00,539 Entonces nosotros vamos a querer vincularse a los alumnos, es decir, nosotros vamos a querer que esta GPO se aplique a los usuarios que están dentro de la unidad organizativa alumnos, pero no a los profesores. 113 00:11:00,539 --> 00:11:12,620 ¿Vale? Entonces lo que hago es que me pongo botón derecho, vincular y elijo GPO 1. Muy bien, entonces yo despliego y veis que tengo una flechita como de un acceso directo. 114 00:11:12,620 --> 00:11:25,080 Muy bien, pues ahora mismo lo que tenemos es esta unidad organizativa vinculada a la unidad, perdón, esta GPO vinculada a la unidad organizativa alumnos. 115 00:11:25,080 --> 00:11:35,620 Ahora lo que vamos a hacer es comprobar qué pasa en el cliente y cómo se puede aplicar, qué le pasa a Pepe y qué le pasa a Susana. 116 00:11:35,759 --> 00:11:43,200 Pero antes tenemos que hacer una cosa y es que nuestras directivas de seguridad se tienen que, digamos, desplegar en nuestro dominio. 117 00:11:43,639 --> 00:11:54,419 Entonces, por defecto, las directivas de seguridad se cambian cada hora y media, cada dos horas, se actualizan. 118 00:11:54,419 --> 00:11:58,799 Pero si nosotros queremos hacerlo directamente, tenemos que utilizar este comando, gpupdate. 119 00:11:59,440 --> 00:12:07,100 gpupdate, las opciones que tiene es que las hagamos, si nosotros solo hemos cambiado configuraciones de usuario, sería con la opción target computer, 120 00:12:07,320 --> 00:12:12,679 si hemos cambiado las configuraciones de usuario, barra target utilities, y si hemos cambiado las dos, barra force. 121 00:12:13,120 --> 00:12:19,419 Y luego, si lo que queremos es provocar un cierre de sesión, sería barra logoff, y un reinicio, barra boot. 122 00:12:19,419 --> 00:12:22,440 suele estar asociado a usuarios y a equipos. 123 00:12:22,740 --> 00:12:24,879 Entonces, vamos a ir a la línea de comandos, 124 00:12:24,919 --> 00:12:25,980 que la tengo aquí abierta, 125 00:12:26,259 --> 00:12:27,639 y escribo gpupdate, 126 00:12:27,700 --> 00:12:29,820 voy a escribirlo con mayúsculas para que lo veáis mejor, 127 00:12:31,200 --> 00:12:34,000 barra target, porque solo he cambiado usuarios, 128 00:12:34,399 --> 00:12:37,399 entonces, barra target, dos puntos, user, 129 00:12:37,399 --> 00:12:41,659 y barra log off, porque solo he cambiado usuarios. 130 00:12:42,659 --> 00:12:45,039 Se actualiza, y cuando acabe de actualizarse, 131 00:12:45,139 --> 00:12:46,559 vamos a comprobar en el cliente. 132 00:12:46,679 --> 00:12:47,559 Venga, ahora nos vemos. 133 00:12:49,919 --> 00:12:55,980 Bueno, vamos a comprobar las configuraciones de las directivas que hemos configurado. 134 00:12:56,200 --> 00:13:00,179 Vamos a entrar como Pepe, que os recuerdo que Pepe pertenecía a... 135 00:13:00,879 --> 00:13:03,620 estaba dentro de la unidad organizativa Asuntos 136 00:13:03,620 --> 00:13:07,179 y en esta unidad organizativa es donde habíamos vinculado nuestra directiva. 137 00:13:08,019 --> 00:13:12,200 Entonces, vamos a comprobar si Pepe puede entrar en la línea de comandos. 138 00:13:14,779 --> 00:13:18,179 Y nos aparece que está deshabilitado. 139 00:13:19,080 --> 00:13:23,700 Vamos a mirar si puedo hacer en el registro, que también le habíamos impedido entrar en el registro. 140 00:13:27,340 --> 00:13:29,019 Y nos dice que no puede. 141 00:13:29,419 --> 00:13:31,179 Bueno, vamos a ver qué pasaría con Susana. 142 00:13:31,860 --> 00:13:34,320 Vamos a cerrar sesión y abrir con Susana. 143 00:13:35,779 --> 00:13:41,460 Porque Susana pertenecía al... estaba dentro de la unidad organizativa profesores. 144 00:13:42,220 --> 00:13:45,519 Entonces, vamos a cambiar de usuario, vamos a poner Susana. 145 00:13:48,179 --> 00:13:58,409 y Susana tiene que poder entrar 146 00:13:58,409 --> 00:14:00,529 vamos a ver si funciona bien 147 00:14:00,529 --> 00:14:01,309 las cosas 148 00:14:01,309 --> 00:14:05,419 entonces 149 00:14:05,419 --> 00:14:14,250 entramos 150 00:14:14,250 --> 00:14:14,990 con CMD 151 00:14:24,110 --> 00:14:25,389 y puede entrar 152 00:14:25,389 --> 00:14:38,820 perfectamente y puede entrar. Os recuerdo que las configuraciones de usuario colgaban 153 00:14:38,820 --> 00:14:44,059 de esta clave del registro y las configuraciones de equipo colgaban de esta clave del registro. 154 00:14:44,460 --> 00:14:47,100 Pues nada, aquí hemos acabado. Un saludo, hasta luego.