Saltar a contenido

7. AWS: GPO de hardening básico

Objetivo

Aplicar políticas de seguridad básicas con GPO en un dominio AD sobre AWS: contraseñas/bloqueo, despliegue de software, redirección de carpetas, restricción del Panel de control, limitación de aplicaciones y personalización del escritorio.

Prerrequisitos

  • Laboratorio de AWS Academy (Windows Server DC + cliente Windows unido al dominio).
  • Acceso a GPMC (gpmc.msc) y permisos para crear/editar GPOs.
  • Recurso compartido para MSI e imágenes (p.ej., \\SRV\Software, \\SRV\Perfiles).

Pasos

1) Política de contraseñas y bloqueo de cuenta - Edita la GPO de dominio o crea una específica vinculada al dominio. - Equipo → Configuración de Windows → Configuración de seguridad → Políticas de cuenta → - Política de contraseñas: longitud mínima 12, historial 24, complejidad habilitada, máx. 60 días, mín. 1 día. - Política de bloqueo de cuenta: umbral 5, duración 30 min, restablecer 15 min.

2) Despliegue de software (MSI asignado a equipos) - Copia el MSI a \\SRV\Software\app.msi con lectura para Domain Computers. - Crea/vincula GPO a la OU de equipos → Equipo → Configuración de software → Instalación de software → Nuevo → Paquete → ruta UNC → Asignado. - Reinicia o gpupdate /force en clientes para instalar al inicio.

3) Redirección de carpetas (Documentos y Escritorio) - Prepara \\SRV\Perfiles con permisos NTFS/compartición adecuados. - Usuario → Configuración de Windows → Redirección de carpetas → Documentos/Escritorio → Básico → Crear una carpeta por usuario en \\SRV\Perfiles.

4) Restringir acceso al Panel de control - Usuario → Plantillas administrativas → Panel de control → “Prohibir el acceso al Panel de control y a Configuración del PC” = Habilitado. - Opcional: “Ocultar elementos específicos del Panel de control”.

5) Limitar ejecución de aplicaciones (AppLocker) - Equipo → Configuración de Windows → Configuración de seguridad → Directiva de control de aplicaciones → AppLocker. - Crea reglas predeterminadas (Ejecutables, Scripts, Instaladores, DLL). - Crea reglas por editor/ruta/hash para permitir/bloquear (p.ej., bloquear cmd.exe, powershell.exe si procede). - Inicia el servicio “Application Identity (AppIDSvc)” en los clientes.

6) Personalizar escritorio (fondo corporativo y accesos) - Usuario → Plantillas administrativas → Escritorio → Escritorio → “Fondo de escritorio” → Habilitado → Ruta UNC de la imagen. - Usuario → Preferencias → Configuración de Windows → Accesos directos → crear accesos necesarios.

Verificación

  • Forzar actualización: gpupdate /force (equipo/usuario según proceda).
  • Resultado efectivo: rsop.msc o gpresult /r / gpresult /h c:\temp\gpo.html.
  • Eventos: visor de eventos (AppLocker, instalación de software, seguridad).

Ver también