Guía de funciones y opciones de acceso del Editor de directivas de grupo

El Editor de directivas de grupo es una herramienta extremadamente potente que es vital para las tareas administrativas, y con la ayuda de esta herramienta, los usuarios pueden configurar los ajustes necesarios. Por ejemplo, con este editor, es posible determinar qué cambios puede realizar un usuario normal en términos de configuraciones/aplicaciones, configurar los requisitos de contraseña y mucho más.

Desde el punto de vista de los riesgos de seguridad, estos ajustes (o en breve GPO) pueden ser utilizados por piratas informáticos para desactivar el antivirus. Además, los administradores necesitan estas configuraciones para trabajar con los usuarios bloqueados.

En la guía, nos centraremos principalmente en la versión 10 de Windows, pero esta información sobre el Editor de directivas de grupo también será aplicable a las versiones 7, 8, Server 2003 e incluso otras. Aquí, discutiremos las principales características y opciones de acceso. 

5 formas de acceder al Editor de directivas de grupo en Windows 10

Ahora, procedamos a los métodos reales de acceso al editor de políticas de grupo.

Método 1: Utilice el cuadro de diálogo Ejecutar

• Comienza con una búsqueda en la barra de herramientas y selecciona Run en caso de que lo veas o escríbelo allí.
• Después de que en el comando de ejecución debe insertar 'gpedit.msc' y luego pulse OK.

Método 2: Busque el Editor de directivas de grupo local

• Empiece abriendo buscar en la barra de herramientas.
• El siguiente paso es entrar en 'gpedit' y pulsar 'Editar directiva de grupo'.

Método 3: Acceso a través del símbolo del sistema

• En el símbolo del sistema, introduzca «gpedit.msc» y pulse « Enter».

Método 4: Ejecución a través de PowerShell

• Cuando en el PowerShell, usted debe utilizar el mismo 'gpedit' y después de que pulse 'Enter'.
• En caso, hay una necesidad, también puede hacer algunos cambios necesarios en los GPO locales a través de PowerShell.

Método 5: Navegación mediante el menú Inicio y el Panel de control

• Accede al panel de control a través del menú de inicio.
• Pulse el icono de Windows y seleccione el icono del widget.
• Escriba 'gpedit' o ' group policy' y seleccione 'Edit Group Policy'.

Características y capacidades del Editor de directivas de grupo

Las capacidades y características del Editor de directivas de grupo son enormes, usted puede hacer bastante con esta poderosa herramienta. Por ejemplo, puede desactivar algunos servicios o simplemente elegir un fondo de escritorio desde allí. También, la versión del protocolo de red se controla desde allí. Para mejorar la seguridad del sistema, los departamentos de TI pueden utilizar el Editor de directivas de grupo para configurarlo todo, he aquí un par de ejemplos de lo que se puede hacer:

• Deshabilitar dispositivos como unidades de DVD/USD.
• Restringir el acceso a gpedit para que los usuarios normales no afecten a la configuración.
• Establecer algunas limitaciones para el acceso/aplicaciones instaladas en las máquinas corporativas.
• Elegir fondos de pantalla corporativos específicos y desactivar la capacidad del usuario regular para modificarlos.
• Deshabilitar protocolos de red para que los usuarios tengan acceso a otros más seguros.

Como puede ver, las Políticas de Grupo son importantes para la configuración de seguridad, y aquí se mencionaron sólo un par de ejemplos de cómo todo puede ser organizado. Hay muchos más escenarios prácticos para el endurecimiento del entorno.

Componentes clave del Editor de directivas de grupo

Cuando entre en el Editor de directivas de grupo, verá una ventana dividida en 2 partes. La de la izquierda incluye todos los elementos posibles relacionados con la configuración del equipo y las configuraciones de usuario. Por ejemplo, hay plantillas de Admin, configuraciones de software, configuraciones de Windows y mucho más. Al hacer clic en la categoría específica, se abrirá un árbol detallado para que pueda pulsar en cualquiera y obtendrá algunos detalles en la parte derecha de la ventana.

Para cambiar ajustes específicos, sólo debe hacer doble clic en el elemento que desee y activar/desactivar. Además, en esta ventana, puede revisar la descripción de ayuda, comprobar en qué versiones de Windows se admite esta configuración, y mucho más. Hay cientos de opciones diferentes, que puede seleccionar para comprobar la directiva de grupo.

Desglose de los componentes del Editor de directivas de grupo locales

• Configuración de usuario. Estos grupos de configuraciones se refieren sólo a la máquina local, específicamente a los usuarios actuales y también a los futuros.
• Configuración del ordenador. Estos ajustes se refieren a la máquina local y no están influenciados por el usuario.

Se trata de dos categorías principales que, a su vez, se dividen en otras categorías como configuración de software, configuración de Windows y plantillas de administración.

Pasos para configurar directivas de seguridad mediante el Editor de directivas de grupo local

Antes de realizar cualquier cambio específico, deberá decidir qué GPO desea modificar. Después de eso, el proceso es bastante sencillo.

Aquí le guiaremos a través de la configuración de contraseña simple:

1. En el Editor de directivas de grupo, en la sección de configuración del equipo, seleccione Configuración de Windows y, a continuación, pulse Configuración de cuentas y directiva de contraseñas.
2. Seleccione «password must meet complexity...» (la contraseña debe cumplir con la complejidad...).
3. Después seleccione «enable» y aplique los cambios.

Administración de directivas de grupo mediante PowerShell

Para la gestión de las políticas de grupo, la mayoría de los administradores utilizan comandos PowerShell como los siguientes:

• Invoke-GPUpdate: este comando es crucial para la actualización de GPOs. La ventaja es que puede programar actualizaciones a una hora determinada en el equipo remoto. Además, puede escribir un script para realizar varias actualizaciones si es necesario.
• New-GPO: este comando es necesario para la creación de un GPO no asignado. Esto significa que puede especificar el propietario, el nombre, el dominio y otros parámetros necesarios.
• Get-GPResultantSetOfPolicy: este comando devuelve RsoP para una máquina o un usuario, o incluso ambos, de modo que se crea un archivo con los resultados necesarios. Con el uso de este archivo XML, se pueden determinar algunos problemas con los GPO. La política puede ser sobrescrita por otra GPO, de forma que se puede especificar el valor real asignado a la máquina/usuario.
• Get-GPOReport: para solucionar problemas, este comando puede ser muy útil porque muestra todos los GPO del dominio.

Inconvenientes y limitaciones del Editor de directivas de grupo

El Editor de Políticas de Grupo es una herramienta bastante simple, pero al mismo tiempo, puede ayudar con la diversidad de configuraciones de seguridad. Las actualizaciones de GPO ocurren a ciertos intervalos en las máquinas de la red. Por eso, es difícil determinar cuándo todas las máquinas de la red recibirán actualizaciones.

Uno de los inconvenientes obvios de las políticas de grupo locales es que los hackers pueden utilizar esta herramienta y activar todos los mecanismos de protección. Además, la herramienta no tiene ninguna auditoría incorporada, lo que significa que debe hacerlas de forma independiente y eso puede llevar algún tiempo.