Continuamos explicando las medidas de seguridad en una red Windows, de obligado cumplimiento para todas las empresas que trabajen con la administración pública española.
En los artículos anteriores (1, 2, 3, 4, 5 y 6) explicamos cómo utilizar el programa de auditoría del CCN CLARA, cómo crear una política de grupo y cómo resolver los problemas del proceso de gestión de derechos de acceso, de los mecanismos de autenticación, del acceso local, de la configuración de seguridad y la configuración de los registros de actividad de Windows.
En el artículo anterior dejamos la auditoría al 69%, ya va faltando menos. El noveno bloque que nos muestra el programa de auditoría es el MP.EQ.2 - Bloqueo de puesto de trabajo, que cumplimos al 16,67%.
Abrimos la política de dominio que creamos en el segundo artículo, con la aplicación "Administración de directivas de grupo", dentro de nuestro dominio seleccionamos la política ENS (o el nombre que le pusiérais), pulsamos con el botón derecho y Editar, lo que abrirá el Editor de administración de directivas de grupo.
Una vez allí nos vamos a Configuración del equipo / Directivas / Configuración de Windows / Configuración de Seguridad / Directivas locales / Opciones de seguridad (si la instalación está en inglés es Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Security Options y cambiamos las siguientes políticas:
- Inicio de sesión interactivo: no mostrar el último nombre de usuario: Habilitada.
- Inicio de sesión interactivo: mostrar información de usuario cuando se bloquee la sesión: No mostrar la información del usuario.
Con estas opciones se me va a cabrear el personal, antes solo tenían que meter la contraseña porque el usuario se les quedaba grabado, a partir de ahora tendrán que meter usuario y contraseña. Mañana me espera una mañana entretenida buscando los usuarios de la gente, apuesto a que más de la mitad no saben cuál es.
Vamos a la raíz del editor de administración de directivas de grupo y navegamos por Configuración de usuario / Directivas / Plantillas administrativas / Panel de control / Personalización (en inglés User Configuration / Policies / Administrative Templates / Control Panel / Personalization) y modificamos:
- Habilitar protector de pantalla: Habilitada
- Proteger el protector de pantalla mediante contraseña: Habilitada
- Tiempo de espera del protector de pantalla: 600
Y con esto terminamos el bloque. Ejecutamos el gpupdate, volvemos a ejecutar CLARA y tenemos que en el noveno bloque (Bloqueo de puesto de trabajo) hemos pasado de cumpllir el 17% al 100%. En el cumplimiento global pasamos del 69% al 74%.
En el próximo artículo intentaremos cumplir todo lo que podamos del bloque MP.COM.3 - Protección de la autenticidad y de la integridad, que ahora cumplimos al 50%