Una de las características de los Sistemas Operativos basados en un núcleo NT es que tienen la capacidad de soportar permisos sobre archivos, carpetas y usuarios siempre que la partición en la que se hayan instalados se encuentre en formato NTFS. Windows XP, al igual que Windows 2000 y Windows 2003, incorpora unas plantillas de seguridad predeterminadas que sirven para ser implantadas y que pueden ser útiles como punto de partida en determinadas situaciones organizativas. En este artículo describiremos como implantarlas y la función de cada una.

El proceso de restauración de plantillas es algo que podemos llevar a cabo mediante la línea de comandos y mediante la interfaz gráfica. El primer método que voy a describir es mediante la interfaz gráfica, aunque también veremos cómo llevar a cabo el proceso mediante la línea de comandos.

Microsoft Management Console (MMC): es la herramienta que vamos a utilizar para restaurar estos permisos mediante la interfaz gráfica. Para ejecutarla basta con teclear desde Inicio| Ejecutar la palabra mmc.

Una completa descripción de cómo llevar acabo el proceso en sistemas Windows 2000 se encuentra en este artículo de la KB:

Cómo restaurar los permisos NTFS predeterminados para Windows 2000

El proceso en Windows XP es muy parecido a Windows 2000:

1. Debemos arrancar MMC. Se nos va abrir una ventana la cual va a contener una carpeta llamada  raiz de consola.

2. En esta nueva ventana debemos ir a  archivo/agregar o quitar complemento, click en el botón agregar y en la lista elegir Configuración de Análisis y Seguridad. Una vez efectuado este procedimiento se nos agregará una nueva entrada al menú "raiz de consola" que teníamos inicialmente.

3. Hacemos click con el botón derecho del ratón sobre el nuevo elemento agregado y  elegimos  "abrir base de datos" (en inglés "open database"). Creamos un nuevo archivo al que le pondremos de nombre "Aclrestore".

4. Hacemos click en "abrir", se nos abrirá una nueva ventana  llamada "Importar Plantilla" que contiene varios archivos *.inf, y que  contienen información o plantillas predefinidas por el sistema. Podemos obtener más información sobre ella consultando en la ayuda del sistema revisando el tema "Plantillas de seguridad predefinidas”  ya que cada una tiene un propósito diferente.  En resumidas cuentas, la función de cada una es la siguiente:

a. Setup Security.inf.- Seguridad Predeterminada del sistema cuando se instaló el equipo y que puede variar de un equipo a otro dependiendo de cómo haya sido la instalación.

b. Compatws.inf.- Esta plantilla es utilizada comúnmente para disminuir la severidad de los permisos aplicados a los grupos de usuarios, permitiendo que los mismos puedan ejecutar o hacer ciertas acciones que están destinadas tan sólo al grupo de  usuarios avanzados. Esta plantilla es útil si tenemos aplicaciones que no permiten ser ejecutadas bajo una cuenta de usuario limitada y no deseamos promocionar los mismos al grupo de administradores.

c. Securedc.inf, Securews.inf.- Plantillas que incrementan o mejoran la seguridad del sistema. La plantilla Securedc es utilizada comúnmente en controladores de dominio, y la plantilla Securews incrementa o mejora la seguridad bajo cuentas locales.

d. Hisecdc.inf; hisecws.inf.-  Proporcionan restricciones de seguridad adicionales; conviene aplicar estás plantillas con cuidado puesto que podrían afectar al funcionamiento de nuestra red.

e. Rootsec.- Esta plantilla únicamente actúa sobre el sistema raíz , es decir, donde esté instalado Windows.

5. El siguiente paso es elegir la plantilla de seguridad adecuada. Para restaurar los permisos aplicados al momento en el que se instaló Windows deberemos elegir, por ejemplo, la de "setup security.inf" que contiene la información de seguridad predeterminada cuando se instaló el equipo y hacemos click en "importar" y haciendo click con el botón derecho del ratón sobre el nuevo elemento agregado, elegimos "configurar el equipo ahora", lo cual nos restaurará los permisos.

El procedimiento por línea de comandos es hasta más sencillo de llevar a cabo ya que basta con teclear este comando desde el símbolo de sistema:

secedit /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb
/verbose

Hemos visto cómo aplicar las plantillas de seguridad predeterminadas, pero podemos modificar las plantillas de seguridad predefinidas y personalizarlas por nuestras propias preferencias. Partiendo de ellas, el procedimiento es similar al que hemos descrito para aplicar las plantillas; pasemos a detallarlo:

1. Igual que antes, debemos arrancar MMC. Se nos va abrir una ventana, la cual va a contener una carpeta llamada  "raiz de consola".

2. En esta nueva ventana debemos ir a  archivo/agregar o quitar complemento, click en el botón agregar, y en la lista elegir "security template", se agregará una nueva entrada al menú "raiz de consola" que teníamos inicialmente.

Y eso es todo, a partir de ahí si abrimos “Plantillas de Seguridad” observaremos que se nos abre  las plantillas de seguridad predefinidas contenidas en el directorio %windir%\security\templates,  observaremos los aspectos que puede modificar cada plantilla predefinida y podremos modificar cada una de las mismas. También encontraremos una breve descripción de lo que hace cada una y que podremos leer si hacemos click con el botón derecho sobre la plantilla en cuestión y elegimos la opción “Descripción”. También podemos guardar las modificaciones que hayamos sobre las plantillas, con otro nombre de plantilla diferente, simplemente haciendo clic con el boton derecho del ratón y eligiendo la opción guardar como.

A partir de este momento podremos modificar aspectos de seguridad relativos a nuestro sistema cómodamente y aplicarlas al mismo.

Nota: Las Presentes instrucciones son validas en el caso de que tengamos windows xp Prof. ya que en WinXP Home los complementos mencionados no aparecen listados en MMC, y tampoco parece estar presente el comando secedit aunque es posible hacer uso del correspondiente comando de la versión de WinXP prof, que podremos descargar desde aquí

El archivo viene comprimido por lo que deberemos proceder a descomprimirlo con el comando Expand, una vez descargado en nuestro escritorio.  Para ello, nos vamos a inicio/ejecutar, y escribimos,

expand %userprofile%\escritorio\secedit.ex_ %systemroot%\system32\secedit.exe

Esto nos dejará una copia del citado comando, lista para trabajar en nuestro sistema  y con el cual podremos restaurar nuestras plantillas de seguridad vía línea de comandos. Además hay que tener en cuenta que en WinXP Home sólo se encuentran disponibles las plantillas  setup security.inf, hisecdc.inf y hisecws.inf, de todas las que se han comentado en el presente artículo.