Las plantillas de seguridad son archivos .inf que contiene ajustes de seguridad, estas pueden incluir políticas locales, ajustes de auditorías de archivos, permisos de archivos, configuraciones IPSec, permisos de registro y otros ajustes relacionados con la seguridad. Para aplicar plantillas de seguridad se puede utilizar la herramienta secedit.exe desde la línea de comandos que copia con eficacia los ajustes en la plantilla en la configuración de activa de la computadora. Las plantillas de seguridad se desarrollan a veces como las Política de Grupo, en la cual se puede aplicar plantillas múltiples a una estación de trabajo. Como con la Política de Grupo, la última plantilla aplicada a una estación de trabajo es la que prevalece. Las plantillas de seguridad y las Política de Grupo pueden parecer a dos modos diferentes de llevar a cabo las mismas tareas pero las plantillas de seguridad configuran una amplia variedad de ajustes de seguridad que no están disponibles directamente en un GPO, como ACL al sistema de archivo y dirigen ajustes directos de registro. Un GPO puede contener, sin embargo, una plantilla de seguridad, haciendo posible usar la Política de Grupo como una herramienta de configuración de seguridad. Algunas tecnologías importantes de seguridad que pueden ser configuradas y puestas en ejecución con Políticas de Grupo incluyen: IP Security, Sistema de Archivos Encriptados (Encrypting File System), políticas de restricción de software, derechos de usuarios, auditorias, políticas de contraseñas, cualquier cambio de registro si se aplican a un ajuste de Política de Grupo existente o no, requerimiento de membrecía a los grupos locales. Las plantillas de seguridad también pueden contener la información de configuraciones como: permisos de archivo, ajustes de escritorio de usuario algunos de los cuales son configurados con ajustes de Política de Grupo, acceso de usuario a varios componentes de Windows como Panel de Control o Símbolo del Sistema (Danseglio, 2005).
3.3.1 Utilización de plantillas
Cuando se han aplicado muchas configuraciones es difícil recordar cuales se han aplicado y si fue a determinadas estaciones de trabajo, dominios, grupos por solo mencionar algunos. Para ayudar a resolver esto Windows Server 2003 provee ciertas plantillas que contiene ajustes comunes y configuraciones para varios propósitos, controladores de dominio,
estaciones de trabajo, etc. Muchas veces esas plantillas no resuelven situaciones especificas, por eso existe la posibilidad de hacer plantillas nuevas (Stanek, 2003).
3.3.1.1 Plantillas del sistema operativo.
Las plantillas que trae incorporadas Windows Server 2003 están localizadas en
%SystemRoot%\Security\Templates las cuales pueden ser utilizadas para configuraciones de seguridad especificas según el ambiente, por ejemplo la plantilla Highly Secure está diseñada para ser aplicada a servidores configurándolos para aceptar conexiones sólo codificadas de clientes y de otros servidores.
A continuación se hará referencia a las plantillas que ofrece Windows Server 2003 por defecto.
Una plantilla que es creada durante la instalación en cada Windows Server 2003 y contiene los ajustes de seguridad por defecto de ese servidor es Setup Security (setup security.inf). Esta plantilla puede variar de estación a estación y puede ser utilizada para restaurar los permisos por defecto en la estación de trabajo si es necesario pero no debe ser usada en controladores de dominio, pues en la DC security.inf (Domain Controller Security)vienen las configuraciones de un controlador de dominio por defecto. Si es necesario disminuir la seguridad buscando compatibilidad con aplicaciones se puede usar la plantilla Compatible Workstation Security (compatws.inf). Las plantillas Secure Workstation y Secure Domain Controller Security (securews.inf y securedc.inf ) limitan el uso de la autenticación usando primeras versiones de NTLM e impiden a usuarios anónimos enumerar nombres de cuenta y carpetas compartidas; también configuran el paquete SMB (Server Message Block) para archivos compartidos el cual viene deshabilitado por defecto en los servidores; securews.inf
está diseñada para estaciones de trabajo y securedc.inf para controladores de dominio. Las plantillas High Security Workstation y Domain Controller Security (hisecws.inf y
hisecdc.inf) mejoran securews.inf y securedc.inf requiriendo la firma de paquete de SMB, la fuerte encriptación y firmas de comunicaciones inter-dominio. Los permisos de directorio para la raíz del directorio de la unidad de disco del sistema están contenidos en la plantilla Root Directory Security (rootsec.inf). Si no se ajusta a las necesidades puede ser copiada para ser utilizada como plantilla habilitando ACLs a directorios. Las configuraciones de seguridad prácticamente más fuertes para el Explorador de Internet en
Windows Server 2003 son almacenados en iesacls.inf (Internet Explorer Security ACLs). Todas las plantillas de seguridad explicadas anteriormente pueden ser aprovechadas donde sea necesario en la red de UCLV. (Tulloc, 2004)
3.3.1.2 Creación de una nueva plantilla de seguridad
Si las plantillas que vienen por defecto el sistema operativo no se ajusta a los requerimientos de ciertos ambientes se puede crear una nueva plantilla de seguridad. Para crear una nueva plantilla se abre una consola utilizando el comando mmc.
Una vez abierta la consola se accede al menú File para ejecutar la opción Add/Remove Snap-in para entonces agregar un Standalone Snap-in que en este caso será Security Templates. Una vez dentro de la nueva consola creada se despliega Security Templates para acceder al menú contextual y seleccionar New Template como se muestra en la figura. Quedando solamente nombrar la plantilla y se puede también incluir una breve descripción de la misma.
Figura 3.3 Creación de una nueva plantilla.