4.4. Segurtasuna GPO erabiliz

Zer dira GPOak?

Talde-politiken objektuak (GPO - Group Policy Objects) Windows sistemetako ezaugarri indartsuak dira, administratzaileei domeinuko konputagailu eta erabiltzaileen konfigurazioak kudeatu eta betearaztea ahalbidetzen diena Active Directoryn.

Oinarrizko kontzeptuak:

• Talde-politikaren objektua (GPO): Sistemek eta erabiltzaileek nola jokatu behar duten definitzen duten konfigurazioak gordetzen dituen edukiontzia.
• Aplikazio-eskumena: GPOak guneetara, domeinuetara edo Antolaketa-unitateetara (OU) aplika daitezke.
• Oinordekotza: Politikek hierarkikoki jasotzen dira (gurasotik umerako) bestela adierazten ez bada.
• Prozesatzeko ordena: Lokala → Gunea → Domeinua → Antolaketa-unitatea (LSDOU).

Zertarako erabiltzen dira GPOak?

1. Segurtasuna

   • Segurtasun-konfigurazio koherenteak aplikatzea
   • Baliabideetarako sarbidea kontrolatzea
   • Pasahitzen politiken kudeaketa
   • Baimenak, aplikazioak eta erabiltzailearen esperientzia kudeatzea

2. Sistemaren administrazioa

   • Softwarea automatikoki zabaltzea
   • Erabiltzaileen karpetak birbideratzea
   • Sistemaren hobespenak konfiguratzea
   • Windows eguneraketak kudeatzea

3. Erabiltzailearen kontrola

   • Kontrol-panelera sarbidea mugatzea
   • Aplikazioen exekuzioa mugatzea
   • Mahaigaina pertsonalizatzea
   • Gailu eramangarriak kontrolatzea

4. Auditoria eta betetzea

   • Gertaera-erregistroak gaitu
   • Segurtasun-estandarrak betearaztea
   • Konfigurazioak dokumentatzea

Gako-osagaiak:

• GPC (Group Policy Container): Active Directoryn gordeta.
• GPT (Group Policy Template): SYSVOLen gordeta.
• Bezeroaren Aldeko Hedapenak (CSEs): Bezeroetan konfigurazioa prozesatzen duten moduluak.

Modulu honen helburuak

• Helburuak
  • Erabiltzaile eta konputagailuentzako oinarrizko segurtasun-politikak ezartzea
  • Pasahitz eta kontu blokeoaren politika konfiguratzea
  • Softwarea GPO bidez zabaltzea
  • Erabiltzaileen karpetak birbideratzea
  • Kontrol-panelera sarbidea mugatzea
  • Aplikazioen exekuzioa mugatzea
  • Erabiltzailearen mahaigaina pertsonalizatzea

1. Pasahitzen eta kontuen blokeoaren politika

Gomendatutako konfigurazioa

# Pasahitzen konfigurazioa
$gpo = New-GPO -Name "GPO-Segurtasuna-Pasahitzak"
Set-GPPrefRegistryValue -Name $gpo.DisplayName -Context Computer -Key "HKLM\SOFTWARE\Policies\Microsoft\Services\AdmPwd" -ValueName "AdmPwdEnabled" -Type DWord -Value 1
Set-GPRegistryValue -Name $gpo.DisplayName -Key "HKLM\SOFTWARE\Policies\Microsoft\Windows\System" -ValueName "DisableDomainCreds" -Type DWord -Value 1

# Kontu blokeoaren konfigurazioa
$kontuPolitikak = @{
    'BlokeoGaitzekoSaiakerak' = 5
    'BerrezarriBlokeoKontagailua' = 15
    'BlokeoIraupena' = 30
    'GutxienekoPasahitzLuzera' = 12
    'PasahitzenHistoriarenTamaina' = 24
    'GehienezkoPasahitzAdina' = 60
    'GutxienekoPasahitzAdina' = 1
    'PasahitzKonplexutasuna' = 1
}

# Kontu-politikak aplikatu
$kontuPolitikak.GetEnumerator() | ForEach-Object {
    Set-ADDefaultDomainPasswordPolicy -Identity $domeinua -ComplexityEnabled:$true -Identity $domeinua -LockoutThreshold $_.Value -LockoutDuration "00:30:00" -LockoutObservationWindow "00:15:00" -MinPasswordLength 12 -MinPasswordAge "1.00:00:00" -MaxPasswordAge "60.00:00:00" -HistoryCount 24
}

Konfigurazioa GUI bidez

1. GPMC ireki
   • RSAT duen konputagailuan: Exekutatu gpmc.msc.
2. Editatu dagokion GPOa
   • Pasahitz eta kontu blokeoaren domein-politiketarako, editatu Lehenetsitako Domeinu Politika edo domeinuari lotutako GPO bat.
3. Konfigurazio bidea
   • Konputagailua → Windows-eko konfigurazioa → Segurtasunaren konfigurazioa → Kontu-politikak →
   • Pasahitz-politika
   • Kontu blokeoaren politika
4. Ezarri beharreko balio tipikoak
   • Pasahitzaren gutxieneko luzera: 12
   • Pasahitzak konplexutasun-eskakizunak bete behar ditu: Gaituta
   • Pasahitzen historia: 24
   • Pasahitzaren gehienezko adina: 60 egun
   • Pasahitzaren gutxieneko adina: 1 egun
   • Kontu blokeoaren atalasea: 5 saiakera
   • Blokeoaren iraupena: 30 minutu
   • Berrezarri blokeoaren kontagailua: 15 minutu
5. Aplikazioa eta egiaztapena
   • Bezeroetan eguneraketa behartu: gpupdate /force
   • Emaitza eraginkorra ikusi: rsop.msc edo gpresult /r

2. Softwarea zabaltzea (GUI)

Esleitu MSI bat konputagailuei

1. Partekatutako baliabidearen prestaketa
2. Sortu karpeta bat fitxategi-zerbitzari batean, partekatu irakurketa baimenarekin Domain Computers talderako.
3. Kopiatu .msi instalatzailea eta egiaztatu bere UNC bidea, adibidez: \\ZERBITZARIA\Software\aplikazioa.msi.
4. Sortu/editatu GPO bat
5. Ireki gpmc.msc → Konputagailuen OUa → Sortu GPO eta lotu.
6. Bidea GPOn
7. Konputagailua → Softwarearen konfigurazioa → Softwarearen instalazioa → Berria → Paketea.
8. Hautatu paketea
9. Sartu MSI-ren UNC bidea → Hautatu "Esleitu" → Ados.
10. Aplikazioa
11. Berrabiarazi konputagailuak edo exekutatu gpupdate /force. Instalazioa abioan aplikatuko da.

Argitaratu erabiltzaileentzat (aukerazkoa)

• Erabiltzailea → Softwarearen konfigurazioa → Softwarearen instalazioa → Berria → Paketea → "Argitaratu". Erabiltzaileak "Programak gehitzea eta kentzea" atalean ikusiko du.

3. Erabiltzaileen karpetak birbideratzea (GUI)

Birbideratu Dokumentuak eta Mahaigaina

1. Prestaketa
2. Partekatutako baliabidea baimen egokiekin (NTFS eta partekatzea) eta azpikarpetak erabiltzaile bakoitzeko, adibidez, \\ZERBITZARIA\Profilak\%USERNAME%.
3. Bidea GPOn
4. Erabiltzailea → Windows-eko konfigurazioa → Karpeten birbideratzea.
5. "Dokumentuak" konfigurazioa
6. Konfigurazioa: "Oinarrizkoa" → Birbideratu karpeta guztiak kokaleku berera.
7. Kokalekua: Sortu karpeta bat erabiltzaile bakoitzarentzat erroko bidean → \\ZERBITZARIA\Profilak.
8. Aukerak: Gaitu "Eman erabiltzaileari eskubide esklusiboak" laguntza-politikaren arabera.
9. "Mahaigaina" konfigurazioa
10. Dokumentuentzako antzeko metodoa, erroko bide berera seinalatuz.
11. Migrazioa/segurtasuna
12. Gaitu "Mugitu tokiko profilaren edukia" lehendik dauden datuak migratzen ari bazara.

4. Mugatu kontrol-panelera sarbidea (GUI)

Ezkutatu edo debekatu Kontrol-panela

1. Bidea GPOn (erabiltzailea)
2. Erabiltzailea → Administrazio-txantiloiak → Kontrol-panela.
3. Gako-politikak
4. "Debekatu kontrol-panelera eta PC ezarpenetara sarbidea": Gaituta.
5. "Ezkutatu kontrol-paneleko elementu zehatzak": Gaituta → Zerrendatu ezkutatu beharreko applet-ak.
6. Alternatiba: "Erakutsi soilik zehaztutako elementuak" eta definitutako baimendutako zerrenda.

5. Mugatu aplikazioen exekuzioa (GUI)

Aukera A: Ez exekutatu zehaztutako Windows aplikaziorik

1. Bidea GPOn (erabiltzailea)
2. Erabiltzailea → Administrazio-txantiloiak → Sistema → "Ez exekutatu zehaztutako Windows aplikaziorik".
3. Konfigurazioa
4. Gaituta → Blokeatu beharreko exekutagarrien zerrenda (adibidez, cmd.exe, powershell.exe, regedit.exe).

Aukera B: AppLocker (zehatzagoa)

1. Bidea GPOn (konputagailua)
2. Konputagailua → Windows-eko konfigurazioa → Segurtasunaren konfigurazioa → Aplikazioen kontrolerako politikak → AppLocker.
3. Urratsak
4. Sortu lehenetsitako arauak Exekutagarri, Script, Instalatzaile eta DLLentzat.
5. Sortu arauak editore, bide edo hash bidez baimendu/debekatzeko.
6. Abiarazi "Aplikazio-Identitatea (AppIDSvc)" zerbitzua konputagailuetan.

6. Pertsonalizatu mahaigaina (GUI)

Ezarri korporazioko atzeko planoa

1. Prestaketa
2. Kopiatu irudia erabiltzaileek eskuragarri duten partekatutako baliabide batean, UNC bide egonkorrarekin.
3. Bidea GPOn (erabiltzailea)
4. Erabiltzailea → Administrazio-txantiloiak → Mahaigaina → Mahaigaina → "Mahaigaineko tapizeria".
5. Konfigurazioa
6. Gaituta → Tapizeriaren bidea (UNC) → Estiloa (Bete, Doitu, Erdian).

Hobespen gehigarriak (ikonoak, lasterbideak)

1. Bidea GPOn (erabiltzailea)
2. Erabiltzailea → Hobespenak → Windows-eko konfigurazioa → Lasterbideak.
3. Ekintzak
4. Sortu lasterbideak Mahaigainean aplikazio edo sareko baliabideetarako.

7. Gomendatutako praktikak

GPO zorroztzea

1. GPOren babesa

   • Konfiguratu GPOren baimenak baimenik gabeko aldaketak saihesteko
   • Gaitu "Behartu" aukera politika kritikoentzat
   • Dokumentatu segurtasun-GPOetan egindako aldaketa guztiak

2. Monitorizazioa

   • Berrikusi segurtasun-gertaeren erregistroak aldiro
   • Egin segimendua GPO kritikoen aldaketei
   • Inplementatu alertak segurtasun-politiketan egindako aldaketentzat

3. Mantenua

   • Eguneratu segurtasun-oinarriak aldiro
   • Berrikusi eta egokitu politikak inguruaren beharretara
   • Egin proba periodikoak segurtasun-politikekin

AWS praktika erlazionatua

GPO bidezko segurtasun oinarrizko politikak AWSn praktikan jartzeko gida hau erabili: 7. GPO zorroztapen oinarrizkoa (Firewall, Defender, RDP, auditoria)

Esteka erabilgarriak

• Microsoft Security Compliance Toolkit
• Windows 10 Segurtasun-oinarria
• Gomendatutako segurtasun-politikak