Asegurando un equipos de escritorio para entornos públicos

A continuación pondré una serie de artículos que nos permitirán mejorar la seguridad de equipos basados principalmente en windows xp, ya que la seguridad en equipos basados en versiones “server” está basada mas bien en políticas de seguridad de red.

En esta sesión hablaremos principalmente de equipos montados para cibercafés o espacios públicos, donde queremos quitar privilegios a los usuarios públicos para que no hagan estropicios o usen las máquinas de forma malintencionada.

Desde la herramienta “gpedit.msc” y con el editor del registro “regedit.exe” podemos modificar el comportamiento de la máquina para que los usuarios no puedan realizar tareas que pongan en peligro la integridad de la máquina.

Entre estas funciones están el acceso al panel del control, sacar menús contextuales con el botón derecho, acceder ciertos programas, eliminar las “hot keys” tipo “ctrl + F4″ para cerrar un programa o “ctrl+ shift+ Esc” para sacar el administrador de tareasa, etc.

Podemos echar un vistazo  a todas estas opciones que podemos ir restringiendo, abriendo el editor de directivas de grupo “gpedit.msc” -> configuración de usuario -> plantillas administrativas.

Una recomendación: Probad estas cosas en maquina virtual habiendo sacado antes una snapshot, o con una imagen ghost preparada para restaurar la máquina si es “real”, porque es muy fácil dejar la máquina inoperativa incluso para el administrador  tocando las directivas de grupo o el registro del sistema.

Extraido de: http://www.configurarequipos.com/doc632.html

Políticas locales de grupo

Una forma importante de asegurar el equipo es a través de las políticas de grupo, pero

se usan principalmente implementadas a través del directorio activo. Si no disponemos de este podríamos configurar políticas de grupo locales, instalando el editor poledit de un sistema windows anterior, como windows 2000…

http://support.microsoft.com/kb/910203/es

Descargar el poledit (en aleman)…

http://www.gruppenrichtlinien.de/adm/Win2000_poledit.zip
http://www.gruppenrichtlinien.de/adm/windowsxp_poledit.zip
http://www.gruppenrichtlinien.de/adm/WindowsXPSP2_poledit.zip
http://www.gruppenrichtlinien.de/adm/Win2003_poledit.zip

Las políticas de grupo

http://www.microsoft.com/latam/technet/productos/windows/windowsserver2003/gpmcinad.mspx

Explicación a la asignación de los derechos de usuario

http://www.microsoft.com/spain/technet/recursos/articulos/secmod51.mspx

Escribir archivos ADM personalizados para el Editor de directivas del sistema

http://support.microsoft.com/kb/225087

Como restringir el uso a todos los usuarios excepto a los adminsitradores

Extraido de:

http://www.trucoswindows.net/conteni5id-21-SEGURIDAD-Aplicar-directivas-locales-a-todos-los-usuarios-excepto-los-administradores.html

En este artículo se describe cómo aplicar directivas locales a todos los usuarios, excepto a los administradores, en un equipo basado en Windows 2000 con una configuración de grupo de trabajo.
Cuando utiliza un equipo basado en Windows 2000 Professional o en Windows 2000 Server con una configuración de grupo de trabajo (no de dominio), quizás tenga que implementar directivas locales en dicho equipo que pueda aplicar a todos los usuarios del mismo, pero no a los administradores.

Esta excepción permite al administrador tener un control y un acceso al equipo ilimitados, así como restringir qué usuarios pueden iniciar sesión en dicho equipo.

Para que este procedimiento funcione, el equipo basado en Windows 2000 Professional o el servidor miembro basado en Windows 2000 debe tener una configuración de grupo de trabajo. En este caso, las directivas de dominio no pueden sobrescribir las directivas locales ya que las directivas de dominio no existen. Se recomienda hacer copia de seguridad de todos los archivos modificados.

Aplicar directivas locales a todos los usuarios excepto a los administradores

Para implementar directivas locales para todos los usuarios, excepto los administradores:

1.Inicie sesión en el equipo como administrador.

2.Abra la directiva de seguridad local: Haga clic en Inicio->Ejecutar y escriba: gpedit.msc o bien haga clic en Inicio, Ejecutar, escriba: mmc y cargue la directiva de seguridad local.

Si la eliminación del comando run es una de las directivas que desea, se recomienda modificar la directiva mediante Microsoft Management Console (MMC) y guardar después el resultado como un icono.

Entonces, el comando run no es necesario para volver a abrir la directiva. Cuando la directiva esté abierta, expanda Configuración de usuario, Administrativo, Plantillas.

3.Habilite las directivas que desee (por ejemplo, Ocultar el icono Mis sitios de red del escritorio u Ocultar el icono de Internet Explorer en el Escritorio).

Nota: asegúrese de seleccionar las directivas correctas; de lo contrario, puede restringir la posibilidad de que el administrador inicie sesión en el equipo (y realice los pasos necesarios para configurar el equipo). Se recomienda anotar los cambios realizados (también puede utilizar esta información para el paso 10).

4.Cierre el complemento de Directiva de grupo Gpedit.msc o bien, si utiliza MMC, guarde la consola como un icono para que se pueda tener acceso a ella posteriormente y cierre sesión desde el equipo.

5.Inicie sesión en el equipo como administrador. En este inicio de sesión puede observar los cambios de directiva realizados anteriormente ya que, de manera predeterminada, las directivas locales se aplican a todos los usuarios, lo que incluye a los administradores.

6.Cierre sesión en el equipo y, después, inicie sesión en el equipo como todos los demás usuarios de este equipo a los que desea que se apliquen estas directivas. Las directivas se implementan para todos estos usuarios y para el administrador.

Nota: no se pueden implementar las directivas para las cuentas de usuario que no hayan iniciado sesión en el equipo en este paso.

7.Inicie sesión en el equipo como administrador.

8.Haga clic en Inicio, Configuración, Panel de control y, a continuación, haga doble clic en Opciones de carpeta. Haga clic en la ficha Ver, haga clic en la opción Mostrar todos los archivos y carpetas ocultos y, después, haga clic en Aceptar de forma que pueda ver la carpeta oculta de Directiva de grupo.

O bien, puede tener acceso a estos valores si abre el Explorador de Windows, hace clic en Herramientas y, después, hace clic en Opciones de carpeta.

9.Copie el archivo Registry.pol de la carpeta %Systemroot%\System32\GroupPolicy\User\Registry.pol a una ubicación de copia de seguridad (por ejemplo, otro disco duro, disquete o carpeta).

10.Abra de nuevo la directiva local mediante el complemento de Directiva de grupo Gpedit.msc o en el icono de la consola MMC y, después, habilite las funciones que se habían deshabilitado en la directiva original creada para dicho equipo.

11.Cierre el editor de directivas y vuelva a copiar a la carpeta%Systemroot%\System32\GroupPolicy\User el archivo de copia de seguridad Registry.pol que copió en el paso 9. Copie el archivo Registry.pol de seguridad sobre el nuevo archivo Registry.pol existente recién creado al deshabilitar las mismas funciones. Cuando el sistema operativo le pregunte si desea reemplazar el archivo existente, haga clic en Sí.

12.Cierre sesión en el equipo e inicie sesión en el equipo como administrador. Observará que los cambios realizados originalmente no se han implementado para usted, ya que ha iniciado sesión en el equipo como administrador.

13.Cierre sesión en el equipo e inicie sesión en el equipo como otro usuario (u otros usuarios). Observará que los cambios realizados originalmente se han implementado para usted, ya que ha iniciado sesión en el equipo como un usuario (no como administrador).

14.Inicie sesión en el equipo como administrador para comprobar que la directiva local no le afecta como administrador local de dicho equipo.volver al principio

Restaurar las directivas locales originales

Para invertir el proceso descrito anteriormente:

1.Inicie sesión en el equipo como administrador.

2.Haga clic en Inicio, Configuración, Panel de control y, a continuación, haga doble clic en Opciones de carpeta. Haga clic en la ficha Ver, haga clic en la opción Mostrar todos los archivos y carpetas ocultos y, después, haga clic en Aceptar de forma que pueda ver la carpeta oculta de Directiva de grupo. O bien, puede abrir el Explorador de Windows, hacer clic en Herramientas y, después, hacer clic en Opciones de carpeta.

3.Mueva, cambia el nombre o elimine el archivo Registry.pol de la carpeta %Systemroot%\System32\GroupPolicy\User. El sistema Protección de archivos de Windows creará otro archivo Registry.pol predeterminado después de cerrar sesión o de reiniciar el equipo.

4. Abra la directiva local: Haga clic en Inicio-> Ejecutar y escriba: gpedit.msc o bien haga clic en Inicio, Ejecutar, escriba: mmc y cargue la directiva de seguridad local.

Después, configure como not configured todos los elementos que sean disable o enable para invertir todos los cambios de directiva implementados en el Registro de Windows 2000 según lo especificado por el archivo Registry.pol.

5.Cierre sesión en el equipo como administrador e inicie sesión en el equipo como administrador.

6. Cierre sesión en el equipo e inicie sesión como todos los usuarios del equipo local, de forma que se puedan invertir también los cambios en sus cuentas.

Nota: el articulo es válido tanto para W2000 como para XP y esta sacado de la base de Microsoft Corporation.

Navegación en modo kiosk

el modo kiosk que admiten algunos navegadores, nos permite que el usuario solo pueda utilizar la navegación básica incluso por las páginas que nosotros les permitamos, evitando que puedan acceder archivos de la máquina. Esto puede ser útil, para terminales que muestren catálogos o puntos de información.

iexplorer en modo kiosk

http://support.microsoft.com/kb/154780

firefox en modo kiosk

http://www.zonafirefox.net/2007/07/r-kiosk-convierte-a-firefox-en-el-navegador-ideal-para-cabinas-y-cybercafes.html

Recuperación de una máquina pública a un estado anterior

Existen soluciones de software y hardware para que cada vez que se arranca el ordenador o que se loguea una cuenta, todas las modificaciones efectuadas por los usuarios desaparecen y la máquina o el entorno de usuario se queda limpito.

En opciones de hardware están las tarjetas guardian, que recuperan instantaneas del sistema. Muy usadas en departamentos multimedia públicos de las bibliotecas.

http://www.jmj.es/guardian/index.htm

http://www.jmj.es/guardian/manual.pdf

y como soluciones por software podemos encontrar

deepfreeze

Si googleamos un poco encontraremos algunos tutoriales para saltarse sus restricciones sin la clave de acceso.

http://es.wikipedia.org/wiki/Deep_Freeze_%28software%29

http://www.scribd.com/doc/7263213/Manual-de-Deep-Freeze

go back

Esta utilidad es similar a deep freeze pero de simantek

http://es.wikipedia.org/wiki/Go_back

Windows SteadyState 2.5

Herramienta de microsoft para congelar equipos:

http://www.microsoft.com/downloads/details.aspx?FamilyId=D077A52D-93E9-4B02-BD95-9D770CCDB431&displaylang=es

Otros enlaces

deshabilitar ejecutar como:

http://support.microsoft.com/kb/830568/es

Varias opciones para limitar el uso del sistema:

http://www.webtaller.com/maletin/articulos/deshabilitar-opciones-sistema-windows-xp.php

Asegurando windows XP

http://www.pc-actual.com/consejos/paso/2006/12/22/protege-tu-windows-xp