Anteriormente, aprendimos cómo configurar la Política de grupo de Windows XP para hacer que el sistema sea más seguro. Entonces, ¿cómo se usa la Política de grupo en Vista? Voy a discutir este tema para usted hoy.
La política de grupo más incomprendida es su nombre: la política de grupo no es la forma de aplicar la estrategia al grupo. En contraste, la Política de grupo impone cuentas de usuario individuales o individuales y cuentas de computadora al vincular la Política de grupo con los contenedores de Active Directory (generalmente unidades organizativas, pero también incluye dominios y sitios). El objeto de directiva de grupo aquí es una colección de configuraciones de directiva.
Aunque la restricción de los dispositivos extraíbles a través de la Política de grupo no es una solución de seguridad de red muy buena, los usuarios que han instalado un dispositivo de almacenamiento (como un dispositivo alimentado por USB) pueden continuar usándolo. Sin embargo, todavía podemos realizar algunos ajustes sutiles que le permiten limitar dispositivos de almacenamiento extraíbles específicos por su ID.
Es difícil decir qué amenaza de seguridad tiene el mayor impacto en los datos de su red. Por varias razones, tiendo a pensar que los dispositivos de almacenamiento extraíbles, especialmente los dispositivos de disco USB, deberían estar en la parte superior de la lista. Causa 1: los dispositivos de almacenamiento USB son muy fáciles de ignorar. La segunda razón: existe un simple hecho de que puede almacenar grandes cantidades de datos (como hasta 4GB de datos) en una unidad USB, lo que significa que los usuarios pueden traer las mismas aplicaciones grandes a la empresa. Medio También significa que los usuarios pueden tomar hasta 4 GB de datos de la empresa. Cualquier dato al que puedan acceder los usuarios se puede copiar fácilmente a estas unidades. Además, el dispositivo USB en sí es pequeño en tamaño, lo que facilita a los usuarios llevarlo dentro y fuera de la empresa.
El autor ha hablado con algunos administradores de red sobre los riesgos de seguridad de los dispositivos de almacenamiento USB. Sin embargo, la práctica más común para estos administradores de red es deshabilitar el puerto USB en la estación de trabajo. Existen algunas máquinas más nuevas que le permiten desactivar el puerto USB a través de BiOS, pero la mayoría de las máquinas más antiguas no ofrecen esta capacidad. En este caso, hay otro esquema que se usa más comúnmente, que es bloquear el puerto USB con cinta para evitar que se use.
Aunque estos métodos pueden desempeñar un papel, todos tienen algunas deficiencias. Para el operador, estos métodos son "laboriosos", lo que significa que es demasiado difícil de implementar. Otro problema es que deshabilitar el puerto USB no resuelve completamente el problema de los usuarios que acceden a medios extraíbles. Los usuarios pueden usar fácilmente los discos duros FireWire y las unidades de DVD extraíbles como alternativa.
El mayor inconveniente de todos estos métodos es que la desactivación permanente del puerto USB evita que el usuario use el dispositivo USB y hace que estos puertos sean inaccesibles para los usuarios admitidos. Además, hay razones legítimas ocasionales por las que un puerto USB debería estar disponible. Por ejemplo, algunos trabajos requieren que el usuario tenga un escáner USB conectado a su PC.
Afortunadamente, un objetivo importante de Windows Vista de Microsoft (y su famoso Windows Server 2008 (Longhorn)) es dar a los administradores un mejor control sobre cómo las estaciones de trabajo usan el hardware. Ahora podemos controlar el acceso al dispositivo manuscrito extraíble mediante la Política de grupo.
Actualmente, la restricción de la configuración de la directiva de grupo para el acceso a dispositivos de almacenamiento USB solo está disponible en Windows Vista. Actualmente, esto significa que solo puede configurar la directiva de grupo en el nivel de equipo local. Después de lanzar Windows Server 2008, puede establecer estas políticas de grupo en el dominio, en el sitio o en el nivel de OU (siempre que tenga un controlador de dominio para Windows Server 2008, por supuesto).
Para acceder a la configuración de directiva de grupo requerida, debe abrir el Editor de objetos de directiva de grupo. Por lo tanto, haga clic en "Inicio" /"Todos los programas" /"Accesorios" (el sistema operativo en inglés es Inicio /Todos los programas /Accesorios, uso el sistema en inglés). A continuación, ingrese el comando MMC. Esto hará que Windows abra una Microsoft Management Console vacía. Una vez que se abra la consola, seleccione Agregar o quitar complemento en el menú Archivo. Seleccione la opción Objeto de directiva de grupo de la lista de complementos y haga clic en el botón Agregar. De forma predeterminada, este complemento se conectará a la política de la computadora local, por lo que simplemente haga clic en Aceptar (ok) y luego haga clic en Finalizar.
La política de la computadora local se cargará en la consola. Ahora navegue a Configuración de la computadora Plantillas administrativas Sistema de instalación del dispositivo Restricciones de instalación del dispositivo. Al hacerlo, el panel de detalles muestra varias restricciones relacionadas con la instalación de dispositivos de hardware, como se muestra en la siguiente figura:
Hay muchas configuraciones relacionadas con la restricción de la instalación de dispositivos. Estas configuraciones no están necesariamente asociadas específicamente con el dispositivo móvil, pero generalmente están asociadas con el dispositivo de hardware. La idea básica aquí es que si limita al usuario a instalar el dispositivo, bloqueará cualquier dispositivo que no habilite específicamente.
En cuanto a los problemas de los dispositivos extraíbles, puede prestar especial atención a las dos configuraciones de la directiva: La primera configuración es "Permitir a los administradores anular las restricciones de instalación del dispositivo" si implementa alguna Configuración de límite de dispositivo, entonces necesita habilitar esta configuración. De lo contrario, incluso el administrador no puede instalar ningún hardware nuevo en la estación de trabajo.
La segunda configuración importante es "Evitar la instalación de dispositivos extraíbles". Si habilitas esta configuración, los usuarios no podrán instalar dispositivos extraíbles. Si un usuario ya utiliza un dispositivo extraíble en el sistema, habrá un controlador para este dispositivo extraíble, por lo que el usuario continuará usándolo. Sin embargo, el usuario nunca podrá actualizar los controladores del dispositivo.
De hecho, todavía hay muchas medidas de seguridad que podemos establecer a través de Windows Vista, que está esperando que explore y descubra más.