4.4. Seguridad con GPO¶

¿Qué son las GPOs?¶

Las Directivas de Grupo (GPOs - Group Policy Objects) son una característica potente de los sistemas Windows que permite a los administradores gestionar y hacer cumplir configuraciones en equipos y usuarios de un dominio de Active Directory.

Conceptos básicos:¶

Objeto de Directiva de Grupo (GPO): Contenedor que almacena configuraciones que definen cómo deben comportarse los sistemas y usuarios.
Ámbito de aplicación: Las GPOs pueden aplicarse a sitios, dominios o Unidades Organizativas (OUs).
Herencia: Las políticas se heredan jerárquicamente (de padre a hijo) a menos que se especifique lo contrario.
Orden de procesamiento: Local → Sitio → Dominio → Unidad Organizativa (LSDOU).

¿Para qué se usan las GPOs?¶

Seguridad
- Aplicar configuraciones de seguridad consistentes
- Controlar el acceso a recursos
- Gestionar políticas de contraseñas
- Controlar permisos, aplicaciones y la experiencia de usuario
Administración del sistema
- Desplegar software automáticamente
- Redirigir carpetas de usuario
- Configurar preferencias del sistema
- Gestionar actualizaciones de Windows
Control de usuario
- Restringir acceso al Panel de Control
- Limitar ejecución de aplicaciones
- Personalizar el escritorio
- Controlar dispositivos extraíbles
Auditoría y cumplimiento
- Habilitar registro de eventos
- Hacer cumplir estándares de seguridad
- Documentar configuraciones

Componentes clave:¶

GPC (Group Policy Container): Almacenado en Active Directory.
GPT (Group Policy Template): Almacenado en SYSVOL.
Extensiones de Cliente (CSEs): Módulos que procesan la configuración en los clientes.

Objetivos de este módulo¶

Objetivos
- Implementar políticas de seguridad básicas para usuarios y equipos
- Configurar políticas de contraseñas y bloqueo de cuenta
- Desplegar software mediante GPO
- Redirigir carpetas de usuario
- Restringir acceso al Panel de Control
- Limitar la ejecución de aplicaciones
- Personalizar el escritorio del usuario

1. Políticas de contraseñas y bloqueo de cuenta¶

Configuración recomendada¶

# Configuración de contraseñas
$gpo = New-GPO -Name "GPO-Seguridad-Contraseñas"
Set-GPPrefRegistryValue -Name $gpo.DisplayName -Context Computer -Key "HKLM\SOFTWARE\Policies\Microsoft\Services\AdmPwd" -ValueName "AdmPwdEnabled" -Type DWord -Value 1
Set-GPRegistryValue -Name $gpo.DisplayName -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" -ValueName "DisableDomainCreds" -Type DWord -Value 1

# Configuración de bloqueo de cuentas
$accountPolicies = @{
    'LockoutBadCount' = 5
    'ResetLockoutCount' = 15
    'LockoutDuration' = 30
    'MinimumPasswordLength' = 12
    'PasswordHistorySize' = 24
    'MaximumPasswordAge' = 60
    'MinimumPasswordAge' = 1
    'PasswordComplexity' = 1
}

# Aplicar políticas de cuenta
$accountPolicies.GetEnumerator() | ForEach-Object {
    Set-ADDefaultDomainPasswordPolicy -Identity $domain -ComplexityEnabled:$true -Identity $domain -LockoutThreshold $_.Value -LockoutDuration "00:30:00" -LockoutObservationWindow "00:15:00" -MinPasswordLength 12 -MinPasswordAge "1.00:00:00" -MaxPasswordAge "60.00:00:00" -HistoryCount 24
}

Configuración desde GUI¶

Abrir la GPMC
- En un equipo con RSAT: Ejecuta gpmc.msc.
Editar la GPO adecuada
- Para políticas de contraseña y bloqueo de cuenta de dominio, edita la Default Domain Policy o una GPO vinculada al dominio.
Ruta de configuración
- Equipo → Configuración de Windows → Configuración de seguridad → Directivas de cuenta →
- Directiva de contraseñas
- Directiva de bloqueo de cuenta
Valores típicos a establecer
- Longitud mínima de contraseña: 12
- La contraseña debe cumplir con los requisitos de complejidad: Habilitado
- Historial de contraseñas: 24
- Vigencia máxima de la contraseña: 60 días
- Vigencia mínima de la contraseña: 1 día
- Umbral de bloqueo de cuenta: 5 intentos
- Duración del bloqueo: 30 minutos
- Restablecer el contador de bloqueo: 15 minutos
Aplicación y comprobación
- Forzar una actualización en clientes: gpupdate /force
- Ver resultado efectivo: rsop.msc o gpresult /r

2. Desplegar software (GUI)¶

Asignar un MSI a equipos¶

Preparación del recurso compartido
Crea una carpeta en un servidor de archivos, comparte en lectura para el grupo Domain Computers.
Copia el instalador .msi y verifica su ruta UNC, por ejemplo: \\SERVIDOR\Software\app.msi.
Crear/editar GPO
Abre gpmc.msc → OU de equipos → Crear GPO y vincularla.
Ruta en GPO
Equipo → Configuración de software → Instalación de software → Nuevo → Paquete.
Seleccionar el paquete
Introduce la ruta UNC del MSI → Selecciona "Asignado" → Aceptar.
Aplicación
Reinicia los equipos o ejecuta gpupdate /force. La instalación se aplica en el arranque.

Publicar a usuarios (opcional)¶

Usuario → Configuración de software → Instalación de software → Nuevo → Paquete → "Publicado". El usuario lo verá en "Agregar o quitar programas".

3. Redirigir carpetas de usuario (GUI)¶

Redirigir Documentos y Escritorio¶

Preparación
Recurso compartido con permisos adecuados (NTFS y compartir) y subcarpetas por usuario, p. ej., \\SERVIDOR\Perfiles\%USERNAME%.
Ruta en GPO
Usuario → Configuración de Windows → Redirección de carpetas.
Configuración de "Documentos"
Configuración: "Básico" → Redirigir la carpeta de todos a la misma ubicación.
Ubicación: Crear una carpeta por usuario en la ruta raíz → \\SERVIDOR\Perfiles.
Opciones: Habilitar "Conceder al usuario derechos exclusivos" según política de soporte.
Configuración de "Escritorio"
Mismo enfoque que Documentos, apuntando a la misma ruta raíz.
Migración/seguridad
Activa "Mover el contenido del perfil local" si migras datos existentes.

4. Restringir acceso al Panel de Control (GUI)¶

Ocultar o prohibir Panel de Control¶

Ruta en GPO (usuario)
Usuario → Plantillas administrativas → Panel de control.
Directivas clave
"Prohibir el acceso al Panel de control y a la configuración de PC": Habilitado.
"Ocultar elementos especificados del Panel de control": Habilitado → Enumera applets a ocultar.
Alternativa: "Mostrar solo elementos especificados" y define la lista permitida.

5. Limitar ejecución de aplicaciones (GUI)¶

Opción A: No ejecutar aplicaciones de Windows especificadas¶

Ruta en GPO (usuario)
Usuario → Plantillas administrativas → Sistema → "No ejecutar aplicaciones de Windows especificadas".
Configuración
Habilitado → Lista de nombres ejecutables a bloquear (p. ej., cmd.exe, powershell.exe, regedit.exe).

Opción B: AppLocker (más granular)¶

Ruta en GPO (equipo)
Equipo → Configuración de Windows → Configuración de seguridad → Directivas de control de aplicaciones → AppLocker.
Pasos
Crear reglas predeterminadas para Ejecutables, Scripts, Instaladores y DLL.
Crear reglas por editor, ruta o hash para permitir/bloquear.
Iniciar el servicio "Aplicación Identidad (AppIDSvc)" en los equipos.

6. Personalizar escritorio (GUI)¶

Establecer fondo de pantalla corporativo¶

Preparación
Copia la imagen en un recurso compartido accesible por usuarios, con ruta UNC estable.
Ruta en GPO (usuario)
Usuario → Plantillas administrativas → Escritorio → Escritorio → "Papel tapiz del escritorio".
Configuración
Habilitado → Ruta del papel tapiz (UNC) → Estilo (Rellenar/Ajustar/Centrar).

Preferencias adicionales (iconos, accesos directos)¶

Ruta en GPO (usuario)
Usuario → Preferencias → Configuración de Windows → Accesos directos.
Acciones
Crear accesos directos en el Escritorio a aplicaciones o recursos de red.

7. Prácticas recomendadas¶

Hardening de GPO¶

Protección de GPO
- Configurar permisos de GPO para evitar modificaciones no autorizadas
- Habilitar la opción "Enforced" para políticas críticas
- Documentar todos los cambios en las GPOs de seguridad
Monitoreo
- Revisar regularmente los registros de eventos de seguridad
- Monitorear cambios en las GPOs críticas
- Implementar alertas para cambios en políticas de seguridad
Mantenimiento
- Actualizar regularmente las líneas base de seguridad
- Revisar y ajustar las políticas según las necesidades del entorno
- Realizar pruebas periódicas de las políticas de seguridad

Enlaces útiles¶

Práctica AWS relacionada

Aplica políticas básicas de seguridad (Firewall, Defender, RDP, auditoría) vía GPO en AWS con la guía: 7. GPO de hardening (Firewall, Defender, RDP, auditoría)