Continuamos mejorando la seguridad en una red Windows. En los artículos anteriores (1, 2, 3, 4 y 5) explicamos cómo utilizar el programa de auditoría del CCN CLARA, cómo crear una política de grupo y cómo resolver los problemas del proceso de gestión de derechos de acceso, de los mecanismos de autenticación, del acceso local y de la configuración de seguridad.
Ahora mismo pasamos la auditoría al 65,86%, aunque hemos dejado algunas cosas sin cumplir a propósito. Los siguientes bloques de la auditoría, OP.EXP.5 y OP.EXP.6, tienen que ver con el cortafuegos y el antivirus instalados en el servidor, que están bien instalados y actualizados, aunque el programa de auditoría no los detecta, por lo que ignoraremos estos bloques.
El séptimo bloque que aparece en la auditoría es el OP.EXP.8 - Registro de actividad de los usuarios, del que cumplimos el 90%, solo queda activar la última política.
Como siempre, empezamos abriendo la política que creamos en el segundo artículo, en la aplicación "Administración de directivas de grupo", dentro de nuestro dominio seleccionamos la política ENS (o el nombre que le pusiérais), pulsamos con el botón derecho y Editar, lo que abrirá el Editor de administración de directivas de grupo.
Una vez allí nos vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Directivas locales / Opciones de seguridad / Auditoría: auditar el acceso de objetos globales del sistema (si la instalación está en inglés es Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / Audit: Audit the access of global system objects), doble click, marcar Definir esta configuración de directiva, y seleccionar Habilitada.
El octavo bloque es el OP.EXP.10 - Protección de los registros de actividad y lo cumplimos al 60%
En el Editor de administración de directivas de grupo nos vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Registro de eventos (si la instalación está en inglés es Computer Configuration / Policies / Windows Settings / Security Settings / Event log), y definimos las siguientes directivas:
- Tamaño máximo del registro de la aplicación: 32768
- Tamaño máximo del registro de seguridad: 163840
- Tamaño máximo del registro del sistema: 32768
Por último vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Directivas locales / Opciones de seguridad / Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de seguridad (si la instalación está en inglés es Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options / Audit: Shut down system immediately if unable to log security audits), doble click, marcar Definir esta configuración de directiva, y seleccionar Habilitada. Puede dar problemas si no tenemos habilitadas las opciones de sobreescribir eventos por días, pero en este mismo bloque de auditoría ya hemos visto que estaban así por defecto.
Y esto es todo por ahora, ejecutamos el gpupdate, volvemos a ejecutar CLARA y tenemos que en el séptimo bloque (Registro de actividad de los usuarios) hemos pasado de cumpllir el 90% al 100%, en el octavo bloque (Protección de los registros de actividad) pasamos del 60% al 100% y en el cumplimiento global pasamos del 66% al 69%.
El próximo día nos pondremos con "Bloqueo de puesto de trabajo", que contiene varias directivas sencillas sobre el inicio de sesión de los usuarios, y que cumplimos al 17%.