La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Cómo Implementar la seguridad de entornos cliente Windows 2000 y Windows XP Raúl Rubio Consultor de Seguridad Microsoft Services.

Presentaciones similares


Presentación del tema: "Cómo Implementar la seguridad de entornos cliente Windows 2000 y Windows XP Raúl Rubio Consultor de Seguridad Microsoft Services."— Transcripción de la presentación:

1 Cómo Implementar la seguridad de entornos cliente Windows 2000 y Windows XP Raúl Rubio Consultor de Seguridad Microsoft Services

2 Requisitos previos para la sesión Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Conocimientos de Active Directory y Directivas de grupo Conocimientos de Active Directory y Directivas de grupo Nivel 200

3 Agenda Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal Apendice: Windows XP Service Pack 2 Apendice: Windows XP Service Pack 2

4 La importancia de la seguridad Proteger la información Proteger la información Proteger los canales de comunicación Proteger los canales de comunicación Reducir el tiempo de inactividad Reducir el tiempo de inactividad Proteger los accesos Proteger los accesos Proteger las actividades de los empleados Proteger las actividades de los empleados Encuesta sobre seguridad y delitos informáticos de CSI/FBI (año 2003)

5 Estructura de organización de la seguridad El uso de una solución en niveles ( Modelo Defense in Depth ): El uso de una solución en niveles ( Modelo Defense in Depth ): Aumenta la posibilidad de que se detecten los intrusos Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Seguridad física Perimetral Red interna Host Aplicación Datos Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios

6 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

7 Componentes de la seguridad de los equipos cliente Modelo Defense in Depth aplicado a la seguridad de los clientes Actualizaciones de software Aplique actualizaciones de software para mantener actualizados los sistemas Recomendaciones sobre contraseñas Utilice contraseñas seguras en los distintos sistemas para restringir el acceso Protección de los datos Realice copias de seguridad de los datos, cífrelos y restrinja el acceso a los mismos Seguridad de las aplicaciones Implemente, configure y restrinja la instalación de aplicaciones Administración de los clientes Utilice Active Directory, plantillas y directivas para aplicar medidas de seguridad Equipos portátiles Implemente directivas y tecnologías para proteger el acceso remoto e inalámbrico Antivirus Instale y mantenga software antivirus como ayuda para la protección contra código malintencionado Cortafuegos Configure dispositivos de hardware, de software o ambos como ayuda para la protección del perímetro

8 Administración de las actualizaciones de software Implemente una solución de administración de actualizaciones para proteger los puntos vulnerables Implemente una solución de administración de actualizaciones para proteger los puntos vulnerables Asista a la sesión sobre Gestión de Parches o examine las Guías Prescriptivas disponibles en: Asista a la sesión sobre Gestión de Parches o examine las Guías Prescriptivas disponibles en:http://www.microsoft.com/spain/technet/seguridad/ Tipo de usuario Escenario El usuario elige Usuario independiente Todos los escenarios Windows Update Pequeña empresa Sin servidores que ejecuten Windows Windows Update Tiene entre uno y tres servidores con Windows y un administrador de ITSUS Empresa grande o mediana Desea una solución de administración de actualizaciones con un nivel de control básico que actualice Windows 2000 y las versiones posteriores de Windows SUS Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar (y distribuir) todo el software SMS

9 Recomendaciones sobre contraseñas Adoctrine a los usuarios sobre el uso de buenas contraseñas Utilice frases (con espacios en blanco, números y caracteres especiales) en lugar de palabras sueltas Utilice contraseñas distintas para recursos diferentes y proteja la lista de contraseñas Configure los protectores de pantalla con contraseña y bloquee las estaciones de trabajo cuando no se utilicen Aplique la autenticación mediante varios factores cuando se necesite una mayor seguridad

10 Protección de los datos Uso de EFS para restringir el acceso a los datos Uso de EFS para restringir el acceso a los datos Firma de los mensajes de correo electrónico y el software para asegurar la autenticidad Firma de los mensajes de correo electrónico y el software para asegurar la autenticidad Uso de Information Rights Management para proteger la información digital contra el uso no autorizado Uso de Information Rights Management para proteger la información digital contra el uso no autorizado

11 Equipos portátiles El uso de dispositivos móviles introduce otras consideraciones sobre la seguridad El uso de dispositivos móviles introduce otras consideraciones sobre la seguridad Los dispositivos móviles extienden el perímetro cuando están conectados a bienes corporativos Los dispositivos móviles extienden el perímetro cuando están conectados a bienes corporativos Se necesitan niveles adicionales de defensa: Se necesitan niveles adicionales de defensa: Contraseñas para el BIOS Contraseñas para el BIOS Control de cuarentena de acceso a la red Control de cuarentena de acceso a la red Protocolos de autenticación inalámbrica Protocolos de autenticación inalámbrica Protección de los datos Protección de los datos

12 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

13 Componentes de Active Directory Bosque Bosque Un límite de seguridad en Active Directory Un límite de seguridad en Active Directory Dominio Dominio Un conjunto de objetos de equipo, usuario y grupo definido por el administrador Un conjunto de objetos de equipo, usuario y grupo definido por el administrador Unidad organizativa Unidad organizativa Objeto contenedor de Active Directory utilizado en los dominios Objeto contenedor de Active Directory utilizado en los dominios Directivas de grupo Directivas de grupo La infraestructura que permite implementar y administrar la seguridad de la red La infraestructura que permite implementar y administrar la seguridad de la red

14 Definición de una jerarquía de OU Directivas de grupo simplifica la aplicación de la configuración de seguridad de los clientes Directivas de grupo simplifica la aplicación de la configuración de seguridad de los clientes Modelo de jerarquía distribuida Modelo de jerarquía distribuida Windows XP Security Guide Windows XP Security Guide Distribución de los usuarios y equipos en unidades organizativas (OU) distintas Distribución de los usuarios y equipos en unidades organizativas (OU) distintas Aplicación de la configuración de directivas adecuada a cada OU Aplicación de la configuración de directivas adecuada a cada OU Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles

15 Demostración 1 Modificación de Active Directory para la seguridad de los clientes Presentación de la directiva predeterminada de dominio Creación de una jerarquía de OU Creación de una directiva de OU Traslado del equipo cliente

16 Cómo crear una jerarquía de OU 1. Cree las OU de cada departamento 2. En cada departamento, cree las OU para los usuarios y las distintas versiones del sistema operativo En la OU de cada sistema operativo, cree una OU para cada tipo de equipo (por ejemplo, los equipos portátiles) Mueva cada objeto de equipo cliente a la OU adecuada

17 Recomendaciones para implementar la seguridad con Active Directory Cree una estructura de OU para la seguridad de los clientes Cree una jerarquía de OU para dividir los objetos de usuario y de equipo según la función Aplique Directivas de Grupo con la configuración de seguridad adecuada para la función de cada equipo

18 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

19 Uso de plantillas de seguridad Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad Las plantillas que contiene la Windows XP Security Guide son: Las plantillas que contiene la Windows XP Security Guide son: Dos plantillas de dominio que contienen opciones para todos los equipos del dominio Dos plantillas de dominio que contienen opciones para todos los equipos del dominio Dos plantillas que contienen opciones para los equipos de sobremesa Dos plantillas que contienen opciones para los equipos de sobremesa Dos plantillas que contienen opciones para los equipos portátiles Dos plantillas que contienen opciones para los equipos portátiles Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO

20 Uso de plantillas administrativas Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios y a equipos Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios y a equipos Las plantillas administrativas del SP1 de Windows XP contienen más de 850 opciones Las plantillas administrativas del SP1 de Windows XP contienen más de 850 opciones La Windows XP Security Guide contiene 10 plantillas administrativas adicionales La Windows XP Security Guide contiene 10 plantillas administrativas adicionales Los proveedores de aplicaciones de terceros pueden proporcionar plantillas adicionales Los proveedores de aplicaciones de terceros pueden proporcionar plantillas adicionales Es posible importar plantillas adicionales al modificar un GPO Es posible importar plantillas adicionales al modificar un GPO

21 Qué son las opciones de seguridad Opciones de seguridadExplicación Directiva de cuentasEstablece la directiva de contraseñas y de bloqueo de cuentas para el dominio Directiva de bloqueo de cuentas Impide el acceso después de un número determinado de intentos fallidos de inicio de sesión Directiva de auditoríaEspecifica qué sucesos de seguridad se grabarán Registro de sucesos Especifica la configuración del período de retención y el tamaño máximo del registro Sistema de archivos Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Directivas IPSec Filtran el tráfico entrante y saliente del servidor para bloquear el tráfico no deseado Configuración del Registro Permite especificar los permisos de acceso y la configuración de auditoría para las claves del Registro Grupos restringidos Permiten especificar qué cuentas son miembros del grupo y de qué grupos es miembro el grupo Opciones de seguridad Especifican una amplia variedad de opciones de seguridad para usuarios y equipos Restricciones de software Impiden que se ejecute software malintencionado en los equipos cliente Servicios del sistemaPermite especificar el modo de inicio y los permisos de acceso para los servicios Asignación de derechos de usuario Permite especificar qué usuarios y grupos pueden realizar determinadas acciones en los equipos

22 Las ocho opciones más importantes sobre la seguridad de los clientes Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen: Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen: Permitir formatear y expulsar medios extraíbles Permitir formatear y expulsar medios extraíbles No permitir enumeraciones anónimas de cuentas SAM No permitir enumeraciones anónimas de cuentas SAM Habilitar la auditoría Habilitar la auditoría Deja que los permisos de Todos se apliquen a los usuarios anónimos Deja que los permisos de Todos se apliquen a los usuarios anónimos Nivel de autenticación de LAN Manager Nivel de autenticación de LAN Manager Directiva de contraseñas Directiva de contraseñas No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Opciones de firma SMB para los equipos cliente Opciones de firma SMB para los equipos cliente

23 Demostración 2 Uso de Directivas de grupo Ver las opciones de seguridad de Windows XP Ver las plantillas administrativas Ver las plantillas de seguridad disponibles Aplicación de plantillas de seguridad Implementación de las plantillas de seguridad

24 Cómo aplicar plantillas de seguridad y plantillas administrativas Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles Cliente corporativo Domain.inf Directiva de dominio Directiva de usuarios protegidos de Windows XP Cliente corporativo Desktop.inf Cliente corporativo Laptop.inf Directiva de equipos portátiles Directiva de equipos de escritorio

25 Recomendaciones para la protección de clientes con Directivas de grupo Utilice como base las plantillas para clientes corporativos que se incluyen y modifíquelas según sus necesidades Implemente directivas estrictas de cuentas y de auditoría Pruebe concienzudamente las plantillas antes de implementarlas Utilice plantillas administrativas adicionales

26 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

27 Plantillas administrativas de Internet Explorer Aplican requisitos de seguridad para las estaciones de trabajo con Windows XP Aplican requisitos de seguridad para las estaciones de trabajo con Windows XP Impiden el intercambio de contenido no deseado Impiden el intercambio de contenido no deseado Utilice las opciones incluidas en las plantillas para clientes corporativos Utilice las opciones incluidas en las plantillas para clientes corporativos Utilice Mantenimiento de Internet Explorer (IEM) en las Directivas de grupo para configurar zonas de seguridad para los sitios de confianza Utilice Mantenimiento de Internet Explorer (IEM) en las Directivas de grupo para configurar zonas de seguridad para los sitios de confianza

28 Zonas de Internet Explorer Zona de seguridadDescripción Mi PC Oculta en la interfaz de Internet Explorer Destinada a contenido que se encuentra en el equipo local Intranet local Sitios internos. Incluye rutas UNC, sitios que omiten el servidor proxy y todos los sitios internos que no pertenecen a otra zona, excepto: Windows Server 2003 con Configuración de seguridad mejorada No incluye automáticamente los sitios internos Enumera explícitamente http(s)://localhost y hcp://system Sitios de confianza Vacía de forma predeterminada, excepto en WS03 WS03 con ESC incluye Online Crash Analysis y Windows Update Configurable mediante la interfaz local o mediante directivas Internet Todo lo que no está incluido en otras zonas Windows Server 2003 incluye todos los sitios de intranet de forma predeterminada Sitios restringidos Vacía de forma predeterminada Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Asignación de derechos de usuario Impide controles ActiveX, secuencias de comandos y descargas Configurable mediante la interfaz local o mediante directivas

29 Microsoft Outlook Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook Mejoras en la seguridad de Outlook 2003 Mejoras en la seguridad de Outlook 2003 Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos Ejecuta contenido ejecutable en la zona Sitios restringidos Ejecuta contenido ejecutable en la zona Sitios restringidos No carga automáticamente contenido HTML No carga automáticamente contenido HTML

30 Plantillas administrativas de Microsoft Office Las plantillas para Office XP se proporcionan con la Windows XP Security Guide Las plantillas para Office XP se proporcionan con la Windows XP Security Guide Las plantillas para Office 97 y versiones posteriores están disponibles cuando se descarga la versión correspondiente del Kit de recursos de Office. Las plantillas para Office 97 y versiones posteriores están disponibles cuando se descarga la versión correspondiente del Kit de recursos de Office.

31 Recomendaciones para la protección de aplicaciones Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo Implemente una directiva para actualizar las aplicaciones

32 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

33 Configuración de directivas de grupo locales Si los clientes no son miembros de un dominio de Active Directory, utilice Directivas de grupo local para configurar los equipos cliente independientes Si los clientes no son miembros de un dominio de Active Directory, utilice Directivas de grupo local para configurar los equipos cliente independientes Los puestos independientes Windows XP utilizan una versión modificada de las plantillas de seguridad Los puestos independientes Windows XP utilizan una versión modificada de las plantillas de seguridad Cada cliente Windows XP Professional utiliza una GPO local y el Editor de GPOs Cada cliente Windows XP Professional utiliza una GPO local y el Editor de GPOs o secuencias de comandos para aplicar la configuración

34 Plantillas de seguridad predefinidas Si los clientes se conectan a un dominio de Windows NT 4.0, utilice: Si los clientes se conectan a un dominio de Windows NT 4.0, utilice: Si los clientes no se conectan a un dominio de Windows NT 4.0, utilice plantillas de seguridad independientes Si los clientes no se conectan a un dominio de Windows NT 4.0, utilice plantillas de seguridad independientes Cliente corporativo heredado Cliente de alta seguridad heredado Seguridad básica para equipos de escritorio Legacy Enterprise Client - desktop.inf Legacy High Security - desktop.inf Seguridad básica para equipos portátiles Legacy Enterprise Client - laptop.inf Legacy High Security - laptop.inf

35 Demostración 3 Protección de clientes independientes Modificación de una plantilla de seguridad Implementación de una plantilla de seguridad Ver secuencias de comandos de ejemplo Ver la configuración de seguridad

36 Cómo utilizar la directiva de seguridad local para la protección de clientes independientes 1. Cargue la MMC de Directivas de grupo local (Gpedit.msc) 2. Vaya a Configuración de equipo/Configuración de Windows, haga clic con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva. 3. Vaya hasta la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Legacy High Security – Desktop) 4. Configure opciones de seguridad adicionales según las Guías prescriptivas

37 Recomendaciones para aplicar la configuración de directivas de grupo locales Utilice como base las plantillas independientes de la Windows XP Security Guide Automatice la distribución de las plantillas independientes con la herramienta secedit Desarrolle procedimientos para implementar directivas Implemente mecanismos para actualizar los clientes

38 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

39 Qué es una directiva de restricción de software Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente El nivel de seguridad predeterminado tiene dos opciones: El nivel de seguridad predeterminado tiene dos opciones: Sin Restringir: se pueden ejecutar todas las aplicaciones, excepto aquellas denegadas de forma específica Sin Restringir: se pueden ejecutar todas las aplicaciones, excepto aquellas denegadas de forma específica Restringido: sólo se pueden ejecutar las aplicaciones permitidas de forma específica Restringido: sólo se pueden ejecutar las aplicaciones permitidas de forma específica

40 Cómo funcionan las restricciones de software Defina la directiva para el dominio con el Editor de objetos de directiva de grupo Descargue la directiva mediante Directivas de grupo en el equipo El sistema operativo aplica la directiva cuando se ejecuta una aplicación 1 2 3

41 Cuatro reglas para la identificación del software Regla de ruta Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación Fundamental cuando las SRP son estrictas Fundamental cuando las SRP son estrictas Regla de hash Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Regla de certificado Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Regla de zona de Internet Controla cómo se puede tener acceso a las zonas de Internet Controla cómo se puede tener acceso a las zonas de Internet Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web

42 Demostración 4 Aplicación de una directiva de restricción de software Creación de una directiva de restricción de software Reinicio de la máquina virtual Configuración de la suplantación de administradores Prueba de la directiva de restricción de software

43 Cómo aplicar restricciones de software 1. Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software 2. Vaya hasta el nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad 3. Haga clic con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga clic en Crear nuevas directivas 4. Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización

44 Cree un plan para deshacer cambios Utilice un objeto de directiva de grupo separado para implementar restricciones de software Utilice estas directivas junto con NTFS para proporcionar una defensa a fondo Nunca vincule un GPO a otro dominio Pruebe concienzudamente la configuración de nuevas directivas Recomendaciones para aplicar directivas de restricción de software

45 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

46 El problema de los virus Los costes por virus superan ya los millones de dólares Los costes por virus superan ya los millones de dólares Costes indirectos Costes indirectos Personal de informática o consultores Personal de informática o consultores Costes indirectos en informática Costes indirectos en informática Pérdida de productividad, datos o bienestar Pérdida de productividad, datos o bienestar

47 Implementación de programas antivirus Tamaño de la organización Solución de implementación de programas antivirus Usuarios individuales y organizaciones muy pequeñas Instale productos antivirus independientes en los clientes Windows XP individuales. Organizaciones pequeñas y medianas Implementación centralizada. Utilice Directivas de grupo para implementar programas antivirus. Organizaciones grandes Implementación centralizada. Realice la instalación con Active Directory y Directivas de grupo. Instale y administre los programas antivirus con la consola de administración del proveedor.

48 Equipos de sobremesa Equipos de sobremesa Los servidores locales almacenan las actualizaciones de los programas antivirus para su distribución Los servidores locales almacenan las actualizaciones de los programas antivirus para su distribución La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes No confíe la descarga de las actualizaciones a los usuarios No confíe la descarga de las actualizaciones a los usuarios Equipos portátiles Equipos portátiles Descargue las actualizaciones a través de Internet cuando estén fuera de la oficina Descargue las actualizaciones a través de Internet cuando estén fuera de la oficina Actualizaciones de programas antivirus

49 Recomendaciones para la protección contra virus Aplique las actualizaciones del proveedor periódicamente Utilice una estrategia de implementación centralizada Utilice software específico para clientes en los equipos cliente

50 Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

51 Para clientes de la red LAN, un Cortafuegos Personal protege a los equipos de la red contra ataques automatizados Para clientes de la red LAN, un Cortafuegos Personal protege a los equipos de la red contra ataques automatizados Los equipos de sobremesa con conexiones mediante módem a Internet necesitan ICF o un Cortafuegos de terceros Los equipos de sobremesa con conexiones mediante módem a Internet necesitan ICF o un Cortafuegos de terceros Los equipos portátiles con conexión a Internet desde casa, un hotel o una zona WiFi necesitan un Cortafuegos personal Los equipos portátiles con conexión a Internet desde casa, un hotel o una zona WiFi necesitan un Cortafuegos personal o individual La necesidad de utilizar Cortafuegos Personales

52 Internet Connection Firewall Protección básica contra las amenazas de Internet Protección básica contra las amenazas de Internet No se permite el tráfico entrante No se permite el tráfico entrante Limitaciones Limitaciones Sin filtrado del tráfico saliente Sin filtrado del tráfico saliente Problemas de soporte técnico y software Problemas de soporte técnico y software Opciones de configuración limitadas Opciones de configuración limitadas ICF se ha mejorado en el SP2 de Windows XP

53 Cortafuegos Personales de terceros Motivos para utilizar Cortafuegos Personales de terceros: Motivos para utilizar Cortafuegos Personales de terceros: Mayor posibilidad de controlar el tráfico entrante y saliente Mayor posibilidad de controlar el tráfico entrante y saliente Características adicionales, como la detección de intrusos Características adicionales, como la detección de intrusos Problemas con Cortafuegos Personales de terceros: Problemas con Cortafuegos Personales de terceros: Escalabilidad Escalabilidad Complejidad Complejidad

54 Demostración 5 Habilitación del Cortafuegos Personal Habilitación del Cortafuegos Personal de conexión a Internet Prueba del acceso saliente Prueba del acceso entrante

55 Cómo habilitar ICF 1. Abra el Panel de control y seleccione Conexiones de red Haga clic con el botón secundario del mouse en la conexión que desea proteger y, a continuación, haga clic en Propiedades Haga clic en la ficha Avanzadas y active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto)

56 Recomendaciones para Cortafuegos Solicite a los usuarios que habiliten ICF en todas las conexiones cuando no utilicen la LAN de la organización Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen ICF para conexiones VPN No implemente ICF en los equipos cliente que estén conectados físicamente a la red corporativa

57 Resumen de la sesión Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Cortafuegos personal Cortafuegos personal

58 Pasos siguientes 1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad: Suscribirse a boletines de seguridad: notificacion.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/spain/technet/seguridad/practicas.asp 2. Obtener información de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar seminarios de aprendizaje en línea y presenciales:http://www.microsoft.com/spain/technet/evento/default.asp Buscar un CTEC local que ofrezca cursos prácticos: Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/mspress/spain/default.htm

59 Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) seguridad/ seguridad/ Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores) (en inglés) (en inglés)

60 Apendice: Windows XP Service Pack 2

61 Technical Preview Program Windows XP Service Pack 2 Release Candidate 1 (RC1) del Service Pack 2 de Windows XP Release Candidate 1 (RC1) del Service Pack 2 de Windows XP Hay mejora de producto además de actualizaciones de seguridad Hay mejora de producto además de actualizaciones de seguridad Ya descargable Ya descargable Sólo en inglés Sólo en inglés Sólo entornos de pruebas, NO producción Sólo entornos de pruebas, NO producción No hay soporte de PSS No hay soporte de PSS En breve más info en castellano en En breve más info en castellano en Info en inglés:

62 Windows XP Service Pack 2 Área Configuraciones de seguridad más robustas Herramientas de seguridad para la gestión y el control Mejorar la experiencia del usuario Objetivo Conseguir PCs e información personal inmune a ataques gracias a configuraciones de seguridad más robustas. Proteger los PCs con herramientas de más fácil manejo y con un mejor control sobre las configuraciones de seguridad. Actualizar los PCs con los últimos avances en soporte software y hardware. Puntos de Mejora Mejora del Windows Firewall : Activado por defecto y extendido para proteger el PC mientras se inicia y se apaga. Mejora del Windows Firewall : Activado por defecto y extendido para proteger el PC mientras se inicia y se apaga. Nuevo Servicio de Ejecución de Ficheros Adjuntos (Attachment Execution Service): Determina si los ficheros son seguros para abrirse/ejecutarse cuando están adjuntos a mensajes del Outlook Express o Windows Messenger, o abiertos vía Internet Explorer. Nuevo Servicio de Ejecución de Ficheros Adjuntos (Attachment Execution Service): Determina si los ficheros son seguros para abrirse/ejecutarse cuando están adjuntos a mensajes del Outlook Express o Windows Messenger, o abiertos vía Internet Explorer. Mejoras de seguridad en el Internet Explorer: Cambios a nivel de código en el IE ayudarán a proteger contra ciertos tipos de exploits – p.e. restricciones de seguridad aplicadas al HTML hospedado en el disco duro y procesado por el IE Mejoras de seguridad en el Internet Explorer: Cambios a nivel de código en el IE ayudarán a proteger contra ciertos tipos de exploits – p.e. restricciones de seguridad aplicadas al HTML hospedado en el disco duro y procesado por el IE Mejoras en la Actualización Automática (Automatic Update): En el primer inicio después de la instalación, es fuertemente recomendable habilitar las actualizaciones automáticas. Optimizadas para escenarios sin banda ancha para descargar las actualizaciones de una forma más eficiente. Mejoras en la Actualización Automática (Automatic Update): En el primer inicio después de la instalación, es fuertemente recomendable habilitar las actualizaciones automáticas. Optimizadas para escenarios sin banda ancha para descargar las actualizaciones de una forma más eficiente. Centro de Seguridad de Windows: El Panel de Control añade un applet de configuraciones de seguridad que reúne en un sólo sitio todos los informes de los niveles de seguridad en curso en el PC. Centro de Seguridad de Windows: El Panel de Control añade un applet de configuraciones de seguridad que reúne en un sólo sitio todos los informes de los niveles de seguridad en curso en el PC. Bloqueador de Pop-Up en el Internet Explorer: Servicio que bloquea los pop-up y pop-under de Windows. Bloqueador de Pop-Up en el Internet Explorer: Servicio que bloquea los pop-up y pop-under de Windows. Centralización de la Gestión del Windows Firewall: : Más opciones de configuración para los administradores – políticas de grupo, línea de comandos, soporte para multicast, y unattended setup. Centralización de la Gestión del Windows Firewall: : Más opciones de configuración para los administradores – políticas de grupo, línea de comandos, soporte para multicast, y unattended setup. Soporte para múltiples perfiles en el Windows Firewall: Permite múltiples perfiles dentro del firewall – p.e. Uno cuando la máquina está conectado a la red corporativa y otro cuando no lo está. Soporte para múltiples perfiles en el Windows Firewall: Permite múltiples perfiles dentro del firewall – p.e. Uno cuando la máquina está conectado a la red corporativa y otro cuando no lo está. Lista de excepciones del Windows Firewall: El Administrador puede añadir aplicaciones a la lista de excepciones del WF permitiendo puertos necesarios para aplicaciones. Lista de excepciones del Windows Firewall: El Administrador puede añadir aplicaciones a la lista de excepciones del WF permitiendo puertos necesarios para aplicaciones. Nuevo cliente de Wireless LAN: Actualización a la carpeta de Conexiones de Red y al sistema de seguimiento por iconos para conectarse y desconectarse de forma más sencilla de los wireless hotspots Nuevo cliente de Wireless LAN: Actualización a la carpeta de Conexiones de Red y al sistema de seguimiento por iconos para conectarse y desconectarse de forma más sencilla de los wireless hotspots Actualización de Bluetooth: Mayor facilidad para conectar los últimos dispositivos compatibles con Bluetooth como teclados, teléfonos móviles o PDAs. Actualización de Bluetooth: Mayor facilidad para conectar los últimos dispositivos compatibles con Bluetooth como teclados, teléfonos móviles o PDAs. Windows Media 9 Series: Mayor seguridad y consistencia a la hora de disfrutar de la música y el vídeo con la instalación del último Windows Media Player Windows Media 9 Series: Mayor seguridad y consistencia a la hora de disfrutar de la música y el vídeo con la instalación del último Windows Media Player Movie Maker 2.1: proporciona mejoras de estabilidad sobre V 1.0, además de mejoras clave como el soporte para USB2 Movie Maker 2.1: proporciona mejoras de estabilidad sobre V 1.0, además de mejoras clave como el soporte para USB2 SmartKey Wireless Setup: Simplifica la implantación de redes wireless seguras. USB Flash Drive o cualquier otro medio portable para transferir configuraciones y claves de seguridad entre PCs y dispositivos. Mayor facilidad para añadir dispositivos conectados a la red, como impresoras, sin UI. SmartKey Wireless Setup: Simplifica la implantación de redes wireless seguras. USB Flash Drive o cualquier otro medio portable para transferir configuraciones y claves de seguridad entre PCs y dispositivos. Mayor facilidad para añadir dispositivos conectados a la red, como impresoras, sin UI.

63


Descargar ppt "Cómo Implementar la seguridad de entornos cliente Windows 2000 y Windows XP Raúl Rubio Consultor de Seguridad Microsoft Services."

Presentaciones similares


Anuncios Google