Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosMejores prácticas
Mejores prácticas de Group Policy: Una guía completa para administradores

Mejores prácticas de Group Policy: Una guía completa para administradores

La Política de Grupo permite a las organizaciones controlar una amplia variedad de actividades en todo el entorno de TI. Por ejemplo, puedes usar la Política de Grupo para prevenir el uso de unidades USB, ejecutar un cierto script cuando el sistema se inicia o se apaga, desplegar software o forzar a que se abra una página de inicio específica para cada usuario de Active Directory en la red.

Esta guía proporciona tanto las mejores prácticas generales de Group Policy como recomendaciones para configuraciones específicas. También ofrece orientación para la resolución de problemas con sus objetos de Group Policy (GPOs).

Prácticas recomendadas generales de Group Policy

Establezca unidades organizativas (OUs) separadas para usuarios y computadoras

Tener una buena estructura de OU facilita la aplicación y solución de problemas de Group Policy. En particular, colocar usuarios y computadoras de Active Directory en OUs separadas facilita la aplicación de políticas de computadora a todas las computadoras y políticas de usuario a todos los usuarios.

Tenga en cuenta que las carpetas raíz Usuarios y Computadoras en Active Directory no son OUs. Si aparece un nuevo objeto de usuario o computadora en estas carpetas, muévalo inmediatamente a la OU apropiada.

Utilice unidades organizativas anidadas para un control granular

Para delegar permisos a usuarios o grupos específicos, coloque esos objetos en una OU anidada apropiada (sub OU) y vincule la GPO a ella. Por ejemplo, dentro de la OU de Usuarios, podría crear una sub OU para cada departamento y vincular GPOs a esas sub OUs.

Haga cumplir una política de nombrado clara

Ser capaz de determinar lo que hace una GPO simplemente mirando el nombre hará que la administración de Group Policy sea mucho más fácil. Por ejemplo, podrías usar los siguientes prefijos:

  • U para GPOs relacionados con usuarios, como U_SoftwareRestrictionPolicy
  • C para GPOs relacionados con cuentas de computadoras, como C_DesktopSettings

Agregue comentarios a sus GPOs

Agregue un comentario a cada GPO explicando su propósito y configuraciones. Esto hará que su Group Policy sea más transparente y fácil de mantener.

Comprender la precedencia de GPO

Varios GPOs pueden aplicarse al mismo objeto de Active Directory al mismo tiempo. Se aplican en un orden específico, y las nuevas configuraciones reemplazan aquellas establecidas por los GPOs aplicados previamente. Este orden es LSDOU, que significa:

  • Local: Las configuraciones de Group Policy aplicadas a nivel de la computadora local tienen la menor precedencia.
  • Sitio: Las configuraciones para sitios de Active Directory se aplican a continuación.
  • Dominio: A continuación se presentan las configuraciones de Group Policy que afectan a todas las OU en el dominio.
  • OU: Los últimos ajustes aplicados son las configuraciones de GPO a nivel de OU.

Cree GPOs más pequeños para casos de uso específicos

Alinee cada GPO con un propósito específico, para que sea más fácil gestionarlos y comprender la herencia. Aquí hay algunos ejemplos de GPOs con un enfoque específico:

  • Configuración del navegador
  • Configuraciones de seguridad
  • Configuración de instalación de software
  • Configuraciones de AppLocker
  • Configuración de red
  • Asignaciones de unidad

Sin embargo, tenga en cuenta que cargar muchos GPOs pequeños puede requerir más tiempo y procesamiento durante el inicio de sesión que tener unos pocos GPOs que cada uno tenga más configuraciones.

Establezca las GPOs en el nivel de la OU en lugar del nivel del dominio

Cualquier GPO establecido a nivel de dominio se aplicará a todos los objetos de Active Directory en el dominio, lo que podría llevar a que algunas configuraciones se apliquen a usuarios y computadoras inapropiados. La única GPO que debería establecerse a nivel de dominio es la Política de Dominio Predeterminada.

En su lugar, aplique las GPOs en el nivel de la OU. Una sub OU hereda las políticas aplicadas a su OU padre; no necesita vincular la política a cada sub OU. Si tiene usuarios o computadoras que no desea que hereden una configuración, colóquelos en su propia OU.

Evite bloquear la herencia de políticas y la aplicación de políticas

El bloqueo de la herencia de políticas y la aplicación de políticas hacen que la gestión y solución de problemas de GPO sea mucho más difícil. En su lugar, esfuércese por tener una estructura de OU bien diseñada que haga innecesarios estos ajustes.

En lugar de deshabilitar un GPO, elimine su enlace

Deshabilitar un GPO evitará que se aplique a cualquier OU en el dominio, lo que podría causar problemas. Por lo tanto, si un GPO está vinculado a una OU particular donde no desea que se aplique, elimine el vínculo en lugar de deshabilitar el GPO. Eliminar el vínculo no borrará el GPO.

Evite usar el permiso ‘deny’ en Group Policy

Los administradores pueden negar explícitamente a un usuario o grupo la capacidad de ser excluidos de una GPO específica. Aunque esta funcionalidad puede ser útil en ciertos escenarios, puede llevar fácilmente a consecuencias no deseadas porque no será claro que una GPO no se está aplicando a ciertos objetos. Para averiguar qué usuarios o grupos han sido bloqueados; los administradores necesitarían examinar cada GPO por separado.

Implemente la gestión de cambios y la auditoría de cambios para Group Policy

Los cambios en los GPOs pueden tener efectos profundos en la seguridad, productividad, cumplimiento y más. Por lo tanto, todos los cambios deben ser planificados y completamente documentados. Además, deberías rastrear todos los cambios en la Política de Grupo y recibir alertas sobre cambios críticos. Desafortunadamente, ambos objetivos son difíciles con herramientas nativas: los registros de seguridad no proporcionan un registro de exactamente qué configuraciones fueron cambiadas, y recibir alertas requiere scripting en PowerShell. Para un enfoque más completo y conveniente, invierte en una solución de terceros como Netwrix Auditor for Active Directory.

Para obtener más información sobre cómo rastrear los cambios en la Directiva de grupo, consulte la Group Policy Auditing Quick Reference Guide.

Acelere el procesamiento de GPO desactivando las configuraciones de computadora y usuario no utilizadas

Si tienes un GPO que tiene configuraciones de computadora pero no configuraciones de usuario, deberías deshabilitar la configuración de Usuario para ese GPO para acelerar el tiempo de procesamiento del GPO.

Además, tenga en cuenta los siguientes factores adicionales que pueden causar tiempos de inicio y de inicio de sesión lentos:

  • Scripts de inicio de sesión descargando archivos grandes
  • Scripts de inicio descargando archivos grandes
  • Mapeando unidades de red domésticas que están lejos
  • Implementando controladores de impresora grandes a través de las preferencias de Group Policy
  • Uso excesivo del filtrado de Directiva de grupo por membresía de grupo de Active Directory
  • Carpetas personales de usuario aplicadas mediante GPO
  • Uso de filtros de Windows Management Instrumentation (WMI) (ver la siguiente sección)

Evite usar muchos filtros WMI

WMI contiene un gran número de clases con las que puedes describir casi cualquier configuración de usuario y computadora. Sin embargo, usar muchos filtros WMI ralentizará los inicios de sesión de los usuarios y conducirá a una mala experiencia de usuario. Cuando sea posible, utiliza filtros de seguridad en su lugar porque requieren menos recursos.

Utilice el procesamiento de bucle invertido para casos de uso específicos

El procesamiento de bucle inverso limita la configuración del usuario al ordenador al que se aplica la GPO. Un uso común del procesamiento de bucle inverso es cuando se necesitan ciertas configuraciones aplicadas cuando los usuarios inician sesión solo en servidores terminales específicos. Necesita crear una GPO, habilitar el procesamiento de bucle inverso y aplicar la GPO a la OU que contiene los servidores.

Utilice Advanced Group Policy Management (AGPM)

AGPM proporciona edición de GPO con versionado y seguimiento de cambios. Es parte del Microsoft Desktop Optimization Pack (MDOP) para Software Assurance.

Haga una copia de seguridad de sus GPOs

Como parte de las mejores prácticas avanzadas de gpo, asegúrese siempre de que sus GPOs estén controlados por versión y sean restaurables.

Configure la copia de seguridad diaria o semanal de políticas utilizando scripts de Power Shell o una solución de terceros para que siempre pueda restaurarlas a un estado conocido y seguro.

Mejores prácticas de GPO para la gestión de configuraciones

Las siguientes mejores prácticas le ayudarán a configurar sus GPOs para garantizar una seguridad sólida y productividad.

No modifique la Directiva de Dominio Predeterminada ni la Directiva de Controlador de Dominio Predeterminada

La Política de Dominio Predeterminada afecta a todos los usuarios y computadoras en el dominio, por lo que solo debe usarse para la configuración de políticas de cuenta, bloqueo de cuenta, contraseña y Kerberos.

Utilice la Política de Controlador de Dominio Predeterminada solo para la Política de Asignación de Derechos de Usuario y la Política de Auditoría.

Sin embargo, es aún mejor utilizar GPOs separados incluso para las políticas mencionadas anteriormente.

Limitar el acceso al Panel de Control

Es importante limitar el acceso al Panel de Control en las máquinas Windows. Puede bloquear todo el acceso al Panel de Control, o permitir acceso limitado a usuarios específicos utilizando las siguientes políticas:

  • Ocultar elementos especificados del Panel de Control
  • Prohibir el acceso al Panel de Control y la configuración del PC
  • Mostrar solo los elementos especificados del Panel de Control

No permita medios extraíbles

Los medios extraíbles pueden ser peligrosos. Si alguien conecta una unidad infectada en su sistema, puede liberar malware en la red. Además, estas unidades son una vía para la exfiltración de datos.

Puede deshabilitar el uso de unidades extraíbles utilizando la política “Prevent installation of removable devices”. También puede deshabilitar el uso de DVDs, CDs e incluso unidades de disquete si lo desea, aunque presentan menos riesgo.

Deshabilitar las actualizaciones automáticas de controladores en su sistema

Las actualizaciones de controladores pueden causar problemas graves para los usuarios de Windows: Pueden provocar errores de Windows, caídas de rendimiento o incluso la temida pantalla azul de la muerte (BSOD). Los usuarios regulares no pueden desactivar las actualizaciones ya que es una característica automatizada.

Como administrador, puede desactivar las actualizaciones automáticas de controladores utilizando la Política de Grupo “Desactivar la búsqueda de controladores de dispositivo en Windows Update”. Necesitará los identificadores de hardware de los dispositivos, los cuales puede encontrar en el Administrador de dispositivos.

Restringir el acceso al símbolo del sistema

El símbolo del sistema es muy útil para los administradores de sistemas, pero permitir a los usuarios ejecutar comandos podría dañar su red. Por lo tanto, es mejor deshabilitarlo para los usuarios regulares. Puede hacerlo utilizando la política “Prevent access to the command prompt”.

Desactivar los reinicios forzados

Si un usuario no apaga su computadora cuando se va del trabajo y su máquina es reiniciada a la fuerza por Windows Update, pueden perder sus archivos no guardados. Puede usar Group Policy para deshabilitar estos reinicios forzados.

Evite que los usuarios instalen software

Evitar que los usuarios instalen software en sus máquinas ayuda a prevenir una serie de problemas. Puede prevenir la instalación de software cambiando la configuración de AppLocker y Restricciones de Software y deshabilitando extensiones como “.exe” para que no se ejecuten.

Deshabilitar la autenticación NTLM

El protocolo de autenticación NTLM tiene muchas vulnerabilidades, incluyendo criptografía débil, por lo que es muy vulnerable a ataques. Utilizando Group Policy, puedes deshabilitar la autenticación NTLM en tu red y usar solo el moderno protocolo Kerberos. Sin embargo, primero asegúrate de verificar que ninguna aplicación requiera autenticación NTLM.

Bloquear PowerShell localmente

Generalmente, los usuarios de negocios no necesitan PowerShell, y evitar que lo usen puede ayudar a prevenir la ejecución de scripts maliciosos. Mediante el uso de Directiva de grupo, puede bloquear el uso de PowerShell en computadoras unidas al dominio.

Los administradores que necesiten usar PowerShell pueden ser excluidos de la política. Alternativamente, puede requerir que solo ejecuten los scripts de PowerShell en una máquina designada para una mejor seguridad.

Deshabilite las cuentas de invitado en las computadoras del dominio

Las cuentas de invitado generalmente tienen acceso y funcionalidades limitadas en comparación con las cuentas de usuario regulares, pero aún representan importantes riesgos de seguridad. Deshabilitarlas mediante Directiva de grupo ayuda a prevenir que usuarios maliciosos obtengan acceso a su entorno.

Limite la membresía en el grupo de Administradores locales

Los miembros del grupo de Administradores Locales pueden instalar software, eliminar archivos del sistema, modificar la configuración de seguridad y mucho más. Este acceso elevado incrementa el riesgo de infecciones por malware, pérdida accidental de datos y exfiltración intencionada de datos, así como inestabilidad del sistema y problemas de rendimiento.

Mediante la Directiva de grupo, puede eliminar cuentas innecesarias del grupo de Administradores locales en todos los ordenadores.

Renombre la cuenta de Administrador local

La cuenta de Administrador Local es un objetivo principal para los atacantes porque proporciona acceso privilegiado en la máquina. Para reducir el riesgo, es una buena práctica renombrar la cuenta de Administrador Local. Además, utilice la cuenta solo cuando sea absolutamente necesario; para tareas rutinarias, use otras cuentas administrativas con privilegios limitados.

Restrinja el acceso anónimo a tuberías con nombre y recursos compartidos de red

De forma predeterminada, las tuberías con nombre y las comparticiones pueden ser accedidas de manera anónima, lo que puede permitir a actores maliciosos acceder a datos sensibles, como archivos confidenciales, información del sistema y configuraciones de seguridad de la red. Por lo tanto, es una buena práctica utilizar la Directiva de Grupo para imponer restricciones al acceso anónimo a tuberías con nombre y comparticiones a través de la red.

Aplicar las mejores prácticas actuales de contraseñas

Organismos de normalización como NIST ofrecen pautas para la configuración de políticas de contraseñas que reducen su riesgo ante ataques basados en contraseñas y la reutilización de credenciales. Puede utilizar Group Policy para aplicar estas recomendaciones en su entorno.

Tenga en cuenta que, aunque los requisitos estrictos para factores como la longitud de la contraseña, la complejidad y la edad de la contraseña teóricamente aumentan la seguridad, no siempre funciona de esa manera en la práctica. En cambio, tales políticas pueden llevar a los usuarios a adoptar soluciones inseguras como anotar las contraseñas para evitar las molestias de los bloqueos de cuenta.

Para obtener el máximo beneficio de políticas de contraseñas robustas, considere adoptar una herramienta como Netwrix Password Secure, que automáticamente creará, almacenará e ingresará las credenciales para los usuarios. De esta manera, puede mejorar la seguridad exigiendo que las contraseñas sean largas, incluyan caracteres especiales, se cambien con frecuencia y así sucesivamente.

Deshabilitar la enumeración de SID anónimos

Cuando la enumeración de SID anónimos está habilitada, los adversarios pueden recopilar información sobre cuentas de usuario y grupos que es valiosa para planificar y ejecutar ciberataques. Puede deshabilitar la enumeración de SID anónimos modificando esta configuración del registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Asegúrese de hacer una copia de seguridad del registro antes de realizar cualquier cambio y tenga cuidado al editar la configuración del registro. Los cambios solo deben ser realizados por personal autorizado y con conocimientos.

Evite que los usuarios desactiven Windows Defender

Debe asegurarse de que la protección antivirus y antimalware integrada permanezca activa en todos los sistemas Windows. Vaya a la siguiente ruta en el Editor de directivas de grupo:

Configuración del equipo > Plantillas administrativas > Componentes de Windows > Antivirus de Windows Defender

Configure la configuración de Directiva de grupo "Desactivar Windows Defender Antivirus" como Deshabilitado.

Cómo Netwrix Endpoint Policy Manager puede ayudar

Group Policy es una herramienta efectiva para la gestión detallada de configuraciones dentro de un entorno Windows. Sin embargo, desafíos como la proliferación de Group Policy Object (GPO), cambios organizacionales debido a fusiones, adquisiciones, desinversiones, niveles de personal fluctuantes y la formación de nuevas entidades han hecho que su gestión sea cada vez más compleja. Netwrix Endpoint Policy Manager aborda estos desafíos reduciendo la proliferación de GPO y simplificando el proceso de gestión al fusionar múltiples GPOs en menos entidades. Esta consolidación conduce a tiempos de inicio de sesión mejorados, seguridad reforzada, fiabilidad del sistema incrementada y reducción de errores de configuración. Netwrix Endpoint Policy Manager también permite a los administradores desplegar casi el 100% de las configuraciones de Group Policy a Microsoft Intune sin la complejidad añadida de OMA-URI.

Consejos para la resolución de problemas de Group Policy

Los siguientes consejos de solución de problemas le ayudarán a investigar problemas con Group Policy.

  • En Windows 10 y Windows Server 2016, utilice el comando gpresult para mostrar la información de Group Policy para un usuario y computadora remotos, incluyendo el tiempo que toma procesar el GPO.
  • Compruebe el Visor de Eventos para detectar cualquier error o advertencia relacionados con la Directiva de Grupo.
  • Utilice la herramienta Group Policy Results para ver qué políticas se están aplicando a un usuario o computadora específicos, y qué políticas no se están aplicando.
  • Utilice la herramienta de modelado de directivas de grupo para simular la aplicación de directivas de grupo para un usuario o computadora específicos e identificar cualquier problema.
  • Compruebe que el usuario o computadora afectado se encuentre en la OU correcta en Active Directory y que la Directiva de Grupo esté vinculada a la OU adecuada.
  • Compruebe si hay GPOs en conflicto que puedan estar anulando la configuración deseada utilizando la herramienta Resultant Set of Policy (RSoP).
  • Utilice la Consola de Administración de Directivas de Grupo para verificar si el usuario o la computadora tienen los permisos necesarios para aplicar las configuraciones del GPO.
  • Compruebe si hay problemas de conectividad de red que puedan estar impidiendo que el usuario o la computadora reciban las configuraciones de Group Policy.
  • Revise si la configuración de las políticas de grupo está configurada correctamente.
  • Para problemas con la configuración de Group Policy Preferences, utilice la extensión de solución de problemas de Group Policy Preferences.
  • Si todo lo demás falla, considere restablecer la configuración de Directiva de Grupo para el usuario o computadora afectado ejecutando el comando "gpupdate /force" o utilizando la opción "Restablecer configuración de Directiva de Grupo" en la Consola de Administración de Directiva de Grupo.

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management