Configuración de Servicios Mediante GPOs

La seguridad de los servicios suele ser un tema que no es fácil de administrar, ya que generalmente éstos se ejecutan con cuentas que tienen privilegios muy amplios y elevados

Por lo dicho, es necesario que el administrador tenga el máximo control posible sobre los mismos

Aunque para una próxima nota dejaré el tema de “Group Managed Service Accounts”, en esta veremos dos opciones que pueden ser útiles:

  • Determinar el tipo de inicio del servicio y quién puede arrancar, pausar y detener un servicio de Windows
  • Configurar el tipo de inicio para un servicio No-Windows

Por supuesto que lo haremos mediante Directivas de Grupo (“GPOs”)

La infraestructura que utilizaré es la misma que utilizo para todas las notas de este blog. En este caso utilizaré:

  • DC1.ad.guillermod.com.ar: Controlador de Dominio W2012R2
  • CL1.ad.guillermod.com.ar: Cliente de Dominio W8.1
  • CL2.ad.guillermod.com.ar: Cliente de Dominio W10

Para las demostraciones utilizaré en el primer caso el servicio “Print Spooler”, ya que muchas veces los controladores de impresoras tienen defectos y es necesario poder reiniciar el servicio, y por supuesto que un usuario normal no podrá hacerlo si no se lo autoriza

Para la demostración del segundo caso, un servicio No-Windows, estuve dudando sobre cual elegir hasta que finalmente instalé Chrome en CL2 y como este navegador pone dos servicios propios de Google para actualizar, decidí usarlo como ejemplo para deshabilitarlos aunque no pienso que sea aconsejable

Cabe también aclarar que aunque todo lo estoy haciendo sobre sistemas operativos de escritorio, el mismo procedimiento es totalmente válido para sistemas operativos de tipo servidor

He creado una Unidad Organizativa “PCs” donde he colocado las cuentas de CL1 y CL2 para facilitar la aplicación de GPOs

 

Servicios de Windows

Podemos fácilmente, configurar el tipo de arranque: “Automatic (Delayed Start)”, “Automatic”, “Manual” o “Disabled”, quién puede ejecutar comandos sobre el servicio, que por supesto lo haremos por GPO

He creado una GPO llamada “Delegar Servicios” vinculada a la Unidad Organizativa “PCs” que editaremos

Editaré “Computer Configuration / Policies  / Windows Settings / Security Settings / System Services” y editaré las propiedades del servicio que quiero modificar

Marco la opción para definir esta configuración, y configuro el arranque como Automático, que es el valor por omisión, aunque podríamos elegir cualquier otro arranque, y luego ingreso por el botón “Edit Security …” ya que ahí podré configurar el resto

He agregado al grupo “Domain Users” aunque podría ser cualquier otro, y ya por omisión asigna permisos sobre el arranque del servicio

Recibiremos una advertencia, pero estamos seguros de continuar :)

Luego, en CL1 donde ha iniciado sesión un usuario normal (“U1”), en un CMD ejecutado como administrador actualizo la aplicación de GPOs

Si el usuario normal “U1” ejecuta la consola de servicios podemos comprobar que puede detener e iniciar el servicio

Observen lo siguiente: no está disponible el botón “Pause”. Esto es así porque este servicio en particular no puede pausarse

También podemos verificar que el usuario puede hacer lo mismo desde línea de comandos con “NET STOP SPOOLER” y “NET START SPOOLER”

 

Servicios No-Windows

En este caso, debemos averiguar primero cuál es el nombre del servicio que queremos configurar. Lo podemos hacer fácilmente desde la consola de servicios

Este ejemplo lo haré sobre CL2 sólo para verificar que todo es válido con Windows 10

Vemos que son dos servicios los de actualización de Google, el primero llamado “gupdate” y el segundo “gupdatem”

Aunque podría hacer la configuración en la misma GPO anterior, crearé y enlazaré una nueva que he llamado “Deshabilitar Google Update”

En este caso no lo podemos hacer mediante “Policies”, sino que deberemos hacerlo mediante “Preferences”, así que abrimos “Computer Configuration / Preferences / Control Panel Settings / Services”, y con botón derecho seleccionamos “New / Service”

Configuro el tipo de arranque y el nombre del servicio. Aunque no muestro las demás opciones, revísenlas que pueden también ser útiles

Análogamente para el otro servicio

Quedará así

Desde un CMD ejecutado como administrador actualizo la aplicación de GPOs

Y como podemos observar en la consola de servicio, ahora ambos está deshabilitados

 

Llegamos hasta acá, creo que son dos opciones que serán útiles seguramente

 

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • danilo antonio alvarado valdivia  On 10/05/2016 at 08:25

    Gracias wen…

    Enviado desde mi Windows Phone ________________________________

  • Adolfo Ortiz  On 10/05/2016 at 15:32

    Si en uno de los clientes, tenemos la consola de para editar GPO’s también se pueden editar los servicios que estén corriendo en ese cliente sin necesidad de crear nuevos, no?
    Es decir, también se podría ir a: Computer Configuration / Policies / Windows Settings / Security Settings / System Services y ahi estarían los servicios.

  • Miguel Á. Ventura  On 12/05/2016 at 08:15

    Muy bien explicado, gracias!

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: