El Editor de directivas de grupo es una herramienta de administración de Windows que permite a los usuarios configurar muchas opciones importantes en sus equipos o redes. Los administradores pueden configurar los requisitos de contraseña, los programas de inicio y definir qué aplicaciones o configuraciones pueden cambiar otros usuarios por su cuenta. Este blog se ocupará principalmente de la versión de Windows 10 del Editor de directivas de grupo (gpedit), pero puede encontrarlo en Windows 7, 8 y Windows Server 2003 y posteriores.,

5 formas de acceder al Editor de directivas de grupo local

hay muchas formas diferentes de acceder al Editor de directivas de grupo Local. Puedes encontrar uno con el que te sientas más cómodo.

abra el Editor de directivas de grupo Local en Ejecutar

• abra la búsqueda en la barra de herramientas y escriba Ejecutar, o seleccione Ejecutar en el Menú Inicio.
• escriba ‘ gpedit.,msc ‘ en el comando Ejecutar y haga clic en Aceptar.

abra el Editor de directivas de grupo Local en la búsqueda

• abra la búsqueda en la barra de herramientas
• escriba ‘gpedit’ y haga clic en ‘Editar directiva de grupo.’

abra el Editor de directivas de grupo Local en el símbolo del sistema

• Desde el símbolo del sistema, escriba ‘gpedit.msc ‘y pulse’ Enter.’

abra el Editor de directivas de grupo Local en PowerShell

• En PowerShell, escriba ‘gpedit’ y luego ‘Enter.’

Si lo prefiere, también puede usar PowerShell para realizar cambios en los GPO locales sin la interfaz de usuario.,

abra el Editor de directivas de grupo Local en el Panel de Control Del Menú Inicio

• abra el Panel de Control en el Menú Inicio.
• haga clic en el icono de Windows en la barra de herramientas y, a continuación, haga clic en el icono del widget para configuración.
• comience a escribir ‘directiva de grupo’ o ‘gpedit’ y haga clic en la opción para ‘Editar directiva de grupo.

componentes del Editor de directivas de grupo local

ahora que tiene gpedit en funcionamiento, hay algunos detalles importantes que debe conocer antes de comenzar a realizar cambios., Las directivas de grupo son jerárquicas, lo que significa que una directiva de grupo de nivel superior, como una directiva de grupo de nivel de dominio, puede anular las directivas locales.

Las directivas de grupo se procesan en el mismo orden para cada inicio de sesión: primero las directivas locales, luego el nivel de sitio, luego el dominio y luego la unidad organizativa (OU). Las políticas de OU anularán todas las demás, y así sucesivamente en la cadena.

Hay dos categorías principales de directivas de Grupo – Equipo y usuario – que se encuentran en el panel izquierdo de la ventana gpedit.

configuración del equipo: estas directivas se aplican al equipo local y no cambian por usuario.,

configuración de usuario: estas directivas se aplican a los usuarios del equipo local y se aplicarán a los usuarios nuevos en el futuro en este equipo local.

esas dos categorías principales se desglosan en subcategorías:

configuración de Software: la configuración de Software contiene Directivas de grupo específicas de software: esta configuración está vacía de forma predeterminada.

configuración de la ventana: la configuración de Windows contiene la configuración de seguridad local. También puede establecer scripts de inicio de sesión o administrativos para ejecutar cambios en esta categoría.,

Plantillas administrativas: las plantillas administrativas pueden controlar cómo se comporta el equipo local de muchas maneras. Estas políticas pueden cambiar el aspecto del Panel de Control, qué impresoras son accesibles, qué opciones están disponibles en el Menú Inicio y mucho más.

¿Qué Se Puede Hacer Con el Editor de directivas de Grupo

Una mejor pregunta sería ¿qué no puedes hacer con gpedit! Puede hacer cualquier cosa, desde configurar un fondo de escritorio hasta deshabilitar los servicios y eliminar el Explorador del menú de inicio predeterminado., Las directivas de grupo controlan qué versión de los protocolos de red están disponibles y aplican reglas de contraseña. Un equipo de seguridad de TI corporativa se beneficia enormemente al configurar y mantener una política de grupo estricta. Estos son algunos ejemplos de buenas políticas de grupo de seguridad de ti:

• desactivar dispositivos extraíbles como unidades USB.
• deshabilite TLS 1.0 para imponer el uso de protocolos más seguros.
• limitar la configuración que un usuario puede cambiar usando el Panel de Control. Deje que cambien la resolución de la pantalla, pero no la configuración de VPN.,
• especifique un buen fondo de pantalla sancionado por la compañía y desactive la capacidad del usuario para cambiarlo.
• Evite que los usuarios accedan a gpedit para cambiar cualquiera de las configuraciones anteriores.

estos son solo algunos ejemplos de cómo un equipo de seguridad de TI podría usar las directivas de grupo. Si el equipo de ti establece esas directivas en la unidad organizativa o a nivel de dominio, los usuarios no podrán cambiarlas sin la aprobación del administrador.,

cómo configurar una configuración de directiva de seguridad mediante la consola local del Editor de directivas de grupo

Una vez que tenga una idea de qué GPO desea establecer, usar gpedit para realizar los cambios es bastante simple.

veamos una configuración rápida de contraseña que podemos cambiar:

1. En gpedit, haga clic en Configuración de Windows, luego Configuración de Cuenta y, a continuación, Directiva de contraseña. 2. Seleccione la opción para » la contraseña debe cumplir con los requisitos de complejidad.» 3., Si tiene derechos administrativos para cambiar esta configuración, puede hacer clic en el botón junto a «habilitar» y luego hacer clic en Aplicar. (eréctil. Varonis tiene una política de seguridad de TI muy sólida, porque, por supuesto)

cómo usar PowerShell para administrar directivas de grupo

muchos administradores de sistemas se están moviendo a PowerShell en lugar de la interfaz de usuario para administrar directivas de grupo. Estos son algunos de los cmdlets de PowerShell grouppolicy que le ayudarán a comenzar.

• New-GPO: este cmdlet crea un nuevo GPO sin asignar. Puede pasar un nombre, propietario, dominio y más parámetros al nuevo GPO.,
• Get-gporeport: este cmdlet devuelve todos los GPO o los GPO especificados que existen en un dominio en un archivo XML o HTML. Muy útil para la resolución de problemas y documentación.
• Get-GPResultantSetOfPolicy: este cmdlet devuelve todo el conjunto de Directivas resultantes (RSoP) de un usuario o equipo, o ambos, y crea un archivo XML con los resultados. Este es un gran cmdlet para investigar problemas con GPO., Podría pensar que una política está establecida en un valor determinado, pero esa política podría ser sobrescrita por otro GPO, y la única manera de averiguarlo es conocer los valores reales aplicados a un usuario o equipo.
• Invoke-GPUpdate: este cmdlet le permite actualizar los GPO en un equipo, es lo mismo que ejecutar gpupdate.exe. Puede programar la actualización en un momento determinado en un equipo remoto con el cmdlet, lo que también significa que puede escribir un script para enviar muchas actualizaciones si es necesario.,

hay muchos más cmdlets en el objeto PowerShell ‘grouppolicy’, pero estos cuatro son especialmente útiles para rastrear y resolver problemas de herencia con los GPO.

PowerShell es una de las herramientas favoritas de un hacker, y uno de sus trucos favoritos es habilitar la cuenta de administrador local que ha deshabilitado cuidadosamente para obtener el control de un sistema para más trabajo de infiltración o escalada de privilegios.,

Es importante supervisar Active Directory para detectar cualquier cambio realizado en la directiva de grupo; a menudo, estos cambios son las primeras señales en los ataques de APT, donde los hackers tienen la intención de estar en su red por un tiempo y quieren permanecer ocultos. Varonis supervisa y correlaciona la actividad actual con el comportamiento normalizado y los modelos avanzados de amenazas a la seguridad de los datos para detectar ataques APT, infecciones de malware, ataques de fuerza bruta, incluidos los intentos de cambiar los GPO.

¡echa un vistazo a este curso de PowerShell de Adam Bertram para obtener más consejos y trucos de PowerShell! Vale la pena 3 créditos CPE!