La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Estrategias de seguridad aplicada

Presentaciones similares


Presentación del tema: "Estrategias de seguridad aplicada"— Transcripción de la presentación:

1

2 Estrategias de seguridad aplicada
Nombre Puesto Compañía

3 Requisitos previos para la sesión
Comprender los desafíos de seguridad a los que se enfrenta la compañía Saber cómo proteger los equipos mediante la Directiva de grupo Conocer los conceptos básicos del acceso remoto Saber cómo aplicar revisiones de seguridad Nivel 300

4 Orden del día Introducción
Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Notas para el alumno: En esta sesión, desarrollará los conocimientos que ya posee sobre la seguridad en servidores, clientes y redes, y aprenderá estrategias prácticas para implementar las recomendaciones de seguridad en todo el entorno. La protección del entorno de los equipos requiere una estrategia de defensa en profundidad, que consiste en aplicar la seguridad en niveles y proteger todos los equipos del entorno. En esta sesión sólo se explicarán tres de las estrategias que deben implementarse para crear un entorno de equipos más seguro. Aprenderá estrategias reales para la administración de revisiones y la seguridad de acceso remoto y aprenderá a solucionar problemas de las configuraciones de seguridad existentes. Este tema del orden del día es una introducción a las estrategias de seguridad aplicada. Incluye: Defensa en profundidad. Problemas comunes de seguridad.

5 Defensa en profundidad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Notas para el alumno: Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. La estrategia de seguridad de defensa en profundidad utiliza varios niveles de protección. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Una estrategia de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito. Para reducir al máximo la posibilidad de que un ataque contra los equipos cliente de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciación: programas de aprendizaje de seguridad para los usuarios Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus Nivel de datos: listas de control de acceso (ACL) y cifrado Información adicional: Si desea obtener más información sobre el concepto de defensa en profundidad para el diseño de un modelo de seguridad de tecnología de la información (IT), consulte el sitio Web “Authoritative Security Guidance for the Enterprise” en: (este sitio está en inglés). Directivas, procedimientos y concienciación Seguridad física Datos ACL, cifrado Aplicación Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Host Red interna Segmentos de red, IPSec, NIDS Perímetro Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios

6 Desafíos comunes de seguridad
Administración de revisiones: en profundidad Seguridad de acceso remoto Solución de problemas de directivas de seguridad Notas para el alumno: La mayoría de las organizaciones de tecnología de la información saben que la mayor parte de los ataques contra los equipos se aprovechan de las configuraciones poco seguras y de los problemas de seguridad conocidos del software. Para los sistemas empresariales, ese nivel de seguridad no es suficiente. Para mantener protegidos los equipos en un entorno grande se necesitan distintos métodos. Windows Update, por ejemplo, es un método sencillo para mantener actualizado un único equipo, pero sólo es apropiado para equipos domésticos o compañías muy pequeñas. Servicios de actualización de software (SUS, Software Update Services) y Actualizaciones automáticas de Windows son más adecuados para entornos grandes. En esta sesión, aprenderá las estrategias y herramientas que complementan estas utilidades. Muchas organizaciones configuran servidores de acceso remoto y utilizan un servidor de seguridad para proporcionar acceso remoto. Pero éste sólo es el primer paso. En esta sesión, aprenderá las estrategias para proporcionar acceso seguro a los clientes de acceso remoto que no se administran de forma centralizada. La característica de plantillas de seguridad y directiva de grupo de Microsoft® Windows® permite configurar opciones de seguridad importantes de forma centralizada. Una vez implementadas estas soluciones, tal vez obtenga resultados imprevistos. Por ejemplo, es posible que las aplicaciones dejen de funcionar o que se interrumpa el acceso a la red. En esta sesión, aprenderá a solucionar problemas de directivas de seguridad para obtener los resultados que necesita.

7 Orden del día Introducción
Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Notas para el alumno: En este tema del orden del día, aprenderá acerca de las estrategias reales de administración de revisiones. Este tema incluye: Importancia de la administración de revisiones proactiva Proceso de administración de revisiones Supervisión del estado de las revisiones Cuándo aplicar revisiones Herramientas de Microsoft para la administración de revisiones Ventajas de Microsoft Baseline Security Analyzer (MBSA) Funcionamiento de MBSA Automatización de la detección con MBSA Ejemplos de línea de comandos de MBSA Demostración 1: Uso de MBSA Automatización de la distribución y supervisión de revisiones con SUS Escenarios de implementación de SUS Administración de un entorno SUS complejo Recomendaciones de implementación de Servicios de actualización de software Uso de software de administración para distribuir y aplicar revisiones Funcionamiento de SMS Demostración 2: Utilizar SMS Soluciones de terceros Aplicación de revisiones de Microsoft Office Demostración 3: Herramienta Inventario de Office Recomendaciones para la administración correcta de revisiones

8 Importancia de la administración de revisiones proactiva
Nombre del ataque Fecha en que se hizo público Gravedad según MSRC Boletín de MSRC Fecha del boletín de MSRC Días disponibles antes del ataque Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49 SQL Slammer 24-ene-03 MS02-039 24-jul-02 184 Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294 Nimda 18-sep-01 MS01-078 17-oct-00 336 Code Red 16-jul-01 MS01-033 18-jun-01 28 Notas para el alumno: El tiempo transcurrido entre que se notifica un ataque y se dispone de una revisión puede variar. Dado que este periodo de tiempo no se puede predecir, los administradores deben tomar medidas proactivas en la administración de revisiones. En la mayoría de las ocasiones, la administración de revisiones proactiva puede proteger los puntos vulnerables antes de que se produzca un ataque contra ellos. Nota: algunos boletines se publicaron antes de que se implementaran las clasificaciones de gravedad de Microsoft Security Response Center.

9 Proceso de administración de revisiones
1. Evaluar el entorno en el que aplicarán las revisiones Tareas periódicas A. Crear y mantener la línea de base de los sistemas B. Evaluar la arquitectura de administración de revisiones C. Revisar la configuración y la infraestructura Tareas continuadas A. Determinar los activos B. Crear un inventario de clientes 2. Identificar las revisiones nuevas Tareas A. Identificar las revisiones nuevas B. Determinar la importancia de la revisión C. Comprobar la autenticidad y la integridad de la revisión Notas para el alumno: El primer paso en el proceso de administración de revisiones consiste en evaluar el entorno y crear una línea de base del entorno de IT que se actualice periódicamente. El segundo paso consiste en identificar las revisiones que deben implementarse y los activos a los que se aplican. Esto ocurre cuando se dispone de una nueva revisión o cuando se detecta que los sistemas del entorno no tienen las revisiones adecuadas. El tercer paso consiste en evaluar la revisión. Debe comprobarse que funciona eficazmente en el entorno, planear el proceso de publicación de revisiones, obtener los permisos para implementar la revisión y comunicar, cuando sea necesario, la fecha y las repercusiones de la implementación de la revisión. El último paso consiste en distribuir e instalar la revisión en los sistemas de destino, revisar el progreso de la implementación, solucionar todos los problemas relacionados con la implementación y comprobar la instalación en los sistemas de destino. Como se indicó anteriormente, éste es un proceso continuado que se inicia a intervalos periódicos, cuando se publica una nueva revisión o cuando nueva información indica que faltan revisiones necesarias. 1. Activos 2. Identificar 3. Evaluar y planear la implementación de revisiones Tareas A. Obtener el consentimiento para implementar la revisión B. Realizar la evaluación de riesgos C. Planear el proceso de publicación de la revisión D. Completar las pruebas de aceptación de la revisión 4. Implementar 3. Evaluar y planear 4. Implementar la revisión Tareas A. Distribuir e instalar la revisión B. Informar del progreso C. Tratar las excepciones D. Revisar la implementación

10 Supervisión del estado de las revisiones
Suscribirse a servicios de notificación Servicio de notificación de Microsoft Security Listas de distribución de correo de terceros Visitar sitios Web Páginas específicas de productos Sitios de otros fabricantes Implementar una programación de revisiones e implementaciones Programación de publicación de revisiones de Microsoft: segundo martes de cada mes Excepción: los clientes corren un riesgo inmediato Configurar herramientas automatizadas que comprueben diariamente si existen nuevas actualizaciones Notas para el alumno El paso más importante para mantenerse informado es suscribirse a servicios de notificación, como: Servicio de notificación de Microsoft Security, que informa de los nuevos puntos vulnerables y de las revisiones. Lista de distribución de correo de terceros, como BugTraq y NTBugTraq. Visite también con regularidad los sitios Web que contienen boletines y alertas relacionados con la seguridad, como el sitio Web de Microsoft TechNet Security. También encontrará información en páginas Web de productos específicos, como el sitio Web de Office Update. Desarrolle un programa de revisiones e implementaciones periódicas. Microsoft publica nuevos boletines de seguridad el segundo martes de cada mes. Microsoft ha adoptado recientemente este calendario de publicaciones mensuales en respuesta a las peticiones de los clientes. Otra ventaja del ciclo mensual es que ofrece más tiempo entre la publicación de revisiones de seguridad para evaluar, probar e instalar las revisiones en los equipos del entorno cuando corresponda. La implementación de revisiones se puede planear por adelantado. Nota: una excepción a este calendario se produce cuando Microsoft determina que existe un riesgo inmediato de que los clientes sean amenazados por virus, gusanos, ataques u otras actividades dañinas. En estas situaciones, Microsoft publicará revisiones de seguridad lo antes posible. Cuando utilice herramientas automatizadas, como SUS, configúrelas para que comprueben diariamente si existen nuevas actualizaciones. Información adicional: Para suscribirse al servicio de notificación de Microsoft Security, visite (este sitio está en inglés). Consulte Security Bulletin Search en (este sitio está en inglés). Para obtener información sobre las recomendaciones para aplicar Service Packs, hotfix y revisiones de seguridad, visite (este sitio está en inglés). Para obtener más información sobre la administración de revisiones, consulte “Microsoft Prescriptive Guidance” en (este sitio está en inglés).

11 Cuándo aplicar revisiones
Aplíquelas lo antes posible Aplíquelas sólo después de probarlas Implemente medidas atenuantes Aplíquelas de acuerdo con la clasificación de gravedad Clasifica-ción de la gravedad Definición Calendarios recomendados para la aplicación de revisiones Crítico Su aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario En 24 horas Importante Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento En un mes Moderada Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses Baja Su aprovechamiento es extremadamente difícil o sus efectos son mínimos Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de un 1 año Notas para el alumno: No existe una única respuesta correcta a la pregunta de cuándo aplicar las revisiones. Una directriz que se puede seguir es aplicarlas lo antes posible, pero sólo después de haberlas probado concienzudamente. En la mayoría de las organizaciones, esto significa que tendrán que encontrar un equilibrio entre la urgencia de aplicar un hotfix y los requisitos que garanticen la continuidad del negocio mediante la comprobación rigurosa de las revisiones. Muchos boletines de seguridad contienen información sobre medidas atenuantes. Por ejemplo, es posible que se puedan contrarrestar algunas amenazas bloqueando determinados puertos del servidor de seguridad. Revise todas estas medidas atenuantes y determine si se pueden utilizar para proteger la red hasta que se apliquen las revisiones. El momento de aplicar una revisión dependerá de la gravedad. Cuanto mayor sea la gravedad, más urgente será la revisión. Los calendarios de la tabla anterior son muy estrictos. Aunque deben intentar cumplirse, tal vez no sea posible si la red es grande. No obstante, una clasificación de gravedad de Crítico indica que la implementación de las recomendaciones del boletín de seguridad es sumamente urgente.

12 Herramientas de Microsoft para la administración de revisiones
Herramientas de análisis Microsoft Baseline Security Analyzer (MBSA) Herramienta Inventario de Office Servicios de actualización en línea Windows Update Office Update Repositorios de contenido Catálogo de Windows Update Catálogo de descargas de Office Centro de descarga de Microsoft Herramientas de administración Característica Actualizaciones automáticas (AU) de Windows Servicios de actualización de software (SUS) Systems Management Server (SMS) Directrices preceptivas Administración de revisiones mediante SUS Guía de Microsoft para la administración de revisiones de seguridad Administración de revisiones mediante SMS Notas para el alumno: En esta tabla se clasifican varias herramientas y otros componentes que puede utilizar para la administración de revisiones: Las herramientas de análisis permiten detectar las revisiones de seguridad que faltan. MBSA y la herramienta Inventario de Office se pueden utilizar para examinar un único equipo o un intervalo de equipos de la red. Los servicios de actualización en línea permiten la detección e instalación automatizadas de las revisiones que faltan. Windows Update y Office Update son herramientas adecuadas para actualizar un único equipo. Los repositorios de contenido permiten descargar manual o selectivamente las actualizaciones pertinentes. Todos los repositorios de contenido permiten que los administradores descarguen revisiones que pueden implementar después en su organización. Esta implementación se puede realizar manualmente en los equipos seleccionados o mediante métodos de actualización automatizados. Las herramientas de terceros también pueden descargar revisiones de estas ubicaciones. Las herramientas de administración permiten la administración de revisiones en la organización. Estas herramientas se utilizan para descargar e instalar revisiones automáticamente. Las directrices preceptivas proporcionan recomendaciones sobre los procesos y la puesta en práctica de la administración de revisiones. Se puede descargar información detallada, archivos de comandos de ejemplo y recomendaciones. Información adicional: Para obtener más información sobre la administración de revisiones, visite el sitio Web de Microsoft Patch Management, Security Updates y Downloads (Administración de revisiones, actualizaciones de seguridad y descargas) en (este sitio está en inglés).

13 Ventajas de Microsoft Baseline Security Analyzer (MBSA)
Automatiza la identificación de las revisiones de seguridad que faltan y de los problemas de la configuración de seguridad Permite a los administradores examinar, a la vez, muchos sistemas de forma centralizada Trabaja con una amplia variedad de software de Microsoft (no sólo con Windows y Office) Notas para el alumno: MBSA permite a los administradores evaluar los sistemas comparándolos con una línea de base de seguridad común a fin de identificar las revisiones de seguridad que faltan y algunos problemas de la configuración de seguridad. Los administradores pueden utilizar MBSA para examinar un gran número de sistemas simultáneamente y crear un informe basado en Web para realizar un análisis más exhaustivo. MBSA también funciona en una amplia variedad de software y sistemas de Microsoft. Revisiones y actualizaciones de seguridad: Microsoft Windows NT® 4.0, Windows 2000, Windows Server™ 2003, Windows XP Servicios de Internet Information Server (IIS) 4.0, IIS 5.0, IIS 6.0 Microsoft SQL Server 7.0, SQL 2000 (incluye Microsoft Data Engine) Internet Explorer (IE) 5.01 y versiones posteriores Microsoft Exchange Server 5.5, Exchange 2000 Reproductor de Windows Media® 6.4 y versiones posteriores Configuraciones del sistema: Windows NT 4.0, Windows 2000, Windows Server 2003, Windows XP IIS 4.0, IIS 5.0, IIS 6.0 SQL 7.0, SQL 2000 Internet Explorer 5.01 y versiones posteriores Office 2000, Office XP

14 Funcionamiento de MBSA
El archivo MSSecure.xml contiene Nombres de los boletines de seguridad Actualizaciones específicas de productos Información de versiones y suma de comprobación Claves del Registro que han cambiado Números de artículos de Knowledge Base (Base de conocimiento) MBSA se ejecuta en el sistema Admin, con destinos específicos Descarga el archivo CAB con MSSecure.xml y comprueba la firma digital Centro de descarga de Microsoft Notas para el alumno: En esta diapositiva se muestra cómo funciona MBSA. La diapositiva describe las capacidades de detección de revisiones de seguridad, pero no trata los problemas de detección de la configuración de seguridad. Ejecute la herramienta MBSA y especifique los equipos de destino que hay que examinar. MBSA descarga el archivo CAB, que contiene MSSecure.xml, y comprueba su firma digital. MBSA intentará ponerse en contacto con el Centro de descarga de Microsoft para obtener este archivo; o bien, el archivo se puede copiar en los equipos locales. El archivo MSSecure.xml contiene: Nombres de los boletines de seguridad. Actualizaciones específicas de productos. Información de versiones y suma de comprobación. Claves del Registro que han cambiado. Números de artículos de Microsoft Knowledge Base (Base de conocimiento). MBSA examina los sistemas de destino para detectar los sistemas operativos, sus componentes y las aplicaciones. MBSA analiza el archivo MSSecure.xml para comprobar si hay actualizaciones disponibles. MBSA comprueba el sistema para ver si faltan las actualizaciones necesarias. MBSA genera un informe con una marca de tiempo en el que se enumeran las actualizaciones que faltan en el sistema. MSSecure.xml Examina los sistemas de destino para detectar los sistemas operativos, sus componentes y las aplicaciones Analiza MSSecure para comprobar si hay actualizaciones disponibles Comprueba si falta alguna actualización necesaria Equipo MBSA Genera un informe con marcas de tiempo de las actualizaciones que faltan

15 Automatización de la detección con MBSA
Detección de MBSA (interfaz gráfica de usuario) Funciona bien en redes pequeñas y medianas Detección de MBSA (mbsacli.exe) Realiza detecciones automatizadas mediante parámetros de la línea de comandos Por ejemplo: mbsacli /d miDominio /f informe.txt Detección de MBSA en modo HFNetChk (mbsacli.exe /hf) Sólo comprueba las revisiones que faltan Por ejemplo: mbssacli -hf -o tab –f informe.txt MBSA y Windows Update pueden mostrar resultados diferentes Notas para el alumno: Aunque la versión de MBSA basada en la interfaz gráfica de usuario es útil para las redes pequeñas y medianas, no satisface los requisitos de muchos administradores. Si necesita informes que puedan importarse a bases de datos u hojas de cálculo en donde puedan ordenarse los resultados y analizarse los requisitos, considere la posibilidad de utilizar la versión de línea de comandos de la herramienta de detección MBSA. Esta versión le permite crear un informe de equipos vulnerables delimitado por tabuladores, que puede importar a los programas que utilice para analizar puntos débiles. La ejecución de MBSA en modo HfNetChk (Comprobación de correcciones en la red) crea un informe detallado sobre los hotfix que faltan en cada equipo. Los resultados de la ejecución de MBSA en este modo también pueden guardarse en un formato delimitado por tabuladores. MBSA y Windows Update (WU) podrían mostrar resultados diferentes, ya que analizan los sistemas de forma distinta. Por ejemplo, Windows Update sólo comprueba actualizaciones críticas del sistema operativo Windows, mientras que MBSA (a través de HFNetChk) informa de las actualizaciones de seguridad que faltan para el sistema operativo Windows y para otros productos de Microsoft, como SQL Server. También puede ocurrir que se publiquen nuevas versiones de las actualizaciones de seguridad. MBSA garantizará siempre que la última versión de la actualización está instalada en el sistema. Si dispone de la versión original de la actualización MS o MS02-009, MBSA indicará que la actualización no está instalada porque existe una versión más reciente. Sin embargo, es posible que Windows Update no indique que existe una nueva versión, ya que probablemente buscará elementos diferentes en el sistema para determinar si existe esta actualización. Información adicional: Para obtener más información sobre cómo automatizar la detección con MBSA, visite y (estos sitios están en inglés).

16 Ejemplos de línea de comandos de MBSA
Para analizar todos los equipos de una oficina remota: Mbsacli /r “ ” /sus “http://” /n “SQL” /f “\\server\share\SUSScan.txt” Para analizar un grupo de servidores para comprobar si se ha aplicado algún hotfix: Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt Notas para el alumno: A continuación se incluyen dos opciones de línea de comandos de la herramienta de detección MBSA: Mbsacli /r “ ” /sus “http://” /n “SQL” /f “\\server\share\SUSScan.txt”: este comando analiza todos los equipos que se encuentren en el intervalo de direcciones IP a mediante la lista de actualizaciones aprobadas del servidor SUS denominado SUSserver. No realiza la detección de SQL. Almacena los resultados de la detección en un archivo en la carpeta compartida del servidor. El archivo de texto de resultados sólo contiene una evaluación de una línea para cada equipo analizado. Los informes detallados se almacenan en la carpeta \SecurityScans en el perfil del usuario que ha ejecutado el proceso de detección. Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt: este comando realiza un análisis de hotfix en todos los equipos enumerados en el archivo ListaDeServidores.txt. Este archivo contiene los nombres NetBIOS de cada servidor que se va a analizar, con un nombre de servidor en cada línea. El resultado de la detección se presenta en un formato delimitado por tabuladores. Se proporciona información detallada para cada equipo (-v) y los datos se guardan en el archivo HFScan.txt. Información adicional: Para obtener más información sobre cómo utilizar MBSA en modo HFNetChk, consulte “Microsoft Network Security Hotfix Checker (Hfnetchk.exe)” (Programa de comprobación de hotfix de seguridad de red de Microsoft) en (este sitio está en inglés).

17 Demostración 1 Uso de MBSA Uso de MBSA con modificadores de la línea de comandos Revisión de los archivos de registro de MBSA Uso de los resultados de MBSA para crear entradas para archivos de comandos En esta demostración los alumnos aprenderán a: Utilizar MBSA con modificadores de la línea de comandos. Revisar archivos de registro de MBSA. Utilizar los resultados de MBSA a fin de crear entradas para archivos de comandos.

18 Automatización de la distribución y supervisión de revisiones con SUS
Realiza instalaciones de extracción de Service Packs, paquetes de continuidad de seguridad y actualizaciones críticas Otorga control sobre las actualizaciones de software a los administradores Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticas Permite realizar pruebas y ensayos Sólo funciona con Windows 2000 y versiones posteriores Notas para el alumno: SUS es un producto de administración de revisiones situado detrás del servidor de seguridad que se puede utilizar para descargar automáticamente nuevas revisiones y actualizaciones. También permite ejecutar los pasos de evaluación y diseño del proceso antes de aprobar las revisiones y actualizaciones para su implementación en el entorno. SUS se basa en un mecanismo de extracción. El servidor SUS mantiene la lista de las actualizaciones aprobadas y el cliente SUS, que es la característica Actualizaciones automáticas en Windows, comprueba periódicamente el servidor SUS en busca de nuevas actualizaciones aprobadas. A continuación, las descarga e instala en los distintos sistemas. Junto con el componente de cliente y las funciones de directiva de grupo de Windows, SUS se puede utilizar para permitir que los administradores controlen la aplicación de revisiones en el entorno. Para ello impide que los usuarios tengan acceso directo a Windows Update e instalen actualizaciones no aprobadas en sus sistemas. SUS dispone también de opciones básicas de registro, optimización de ancho de banda y control administrativo. Al igual que Windows Update, SUS proporciona funciones relacionadas con la distribución de revisiones y actualizaciones, la identificación de las revisiones que faltan y la implementación o instalación de revisiones. Junto con Actualizaciones automáticas, puede otorgar a los administradores control total sobre la instalación de revisiones en los equipos cliente. SUS 1.0 con el Service Pack 1 permite probar y ensayar las actualizaciones antes de instalarlas. SUS presenta dos limitaciones con respecto a Windows Update. No es compatible con Windows NT 4 y Windows 98, y no proporciona actualizaciones que no sean críticas ni controladores. SUS sólo es compatible con los clientes Windows 2000, Windows XP y Windows Server 2003. Está previsto que SUS 2.0 se publique a finales del segundo trimestre de Esta versión incluirá otros productos de Microsoft, mejorará considerablemente la optimización del ancho de banda a través del uso del Servicio de transferencia inteligente en segundo plano (BITS, Background Intelligent Transfer Service) y permitirá a las tecnologías de compresión de diferencias de código binario reducir drásticamente el tamaño de las descargas de actualizaciones. Con SUS 2.0, podrá disponer de información de conjunto y de resúmenes del estado de la implementación de actualizaciones y sucesos gracias a la utilización de informes estándar. También dispondrá de la capacidad de crear informes personalizados con consultas SQL.

19 Escenarios de implementación de Servicios de actualización de software (SUS)
Utilice SUS para administrar la distribución de revisiones descargadas de Windows Update Utilice SUS para administrar y distribuir revisiones Utilice SUS para administrar y distribuir revisiones en un entorno empresarial Notas para el alumno: SUS se puede utilizar en varios escenarios distintos: Escenario uno: SUS se puede utilizar para detectar las actualizaciones disponibles en el sitio Windows Update. El administrador de SUS puede después aprobar las actualizaciones en el servidor SUS. Los clientes SUS obtienen la lista de actualizaciones aprobadas del servidor SUS y, a continuación, se conectan al sitio Windows Update para descargar las revisiones. Escenario dos: SUS se puede utilizar para detectar las actualizaciones disponibles en el sitio Windows Update y descargar las revisiones del sitio. El administrador de SUS puede después aprobar las actualizaciones en el servidor SUS. Los clientes SUS obtienen la lista de actualizaciones aprobadas del servidor SUS y, a continuación, descargan las revisiones del servidor SUS. Escenario tres: Los entornos empresariales disponen casi siempre de varias oficinas situadas en ubicaciones distintas. En este escenario, se pueden utilizar varios servidores SUS para distribuir las revisiones de forma que apenas resulten afectados los vínculos WAN entre las distintas ubicaciones. Un servidor SUS puede detectar y descargar las revisiones del sitio Windows Update. Otros servidores SUS (ubicados en cada oficina) pueden descargar las revisiones del servidor SUS primario. Los equipos cliente de cada oficina se conectan al servidor SUS para obtener la lista de actualizaciones aprobadas y descargar las revisiones.

20 Servicio Windows Update Servicio Windows Update
Servicios de actualización de software Escenario 1 de implementación de SUS El servidor SUS descarga las actualizaciones y los metadatos Servicio Windows Update Servicio Windows Update Notas para el alumno: En esta diapositiva se muestra cómo funciona Servicios de actualización de software (SUS, Software Update Service) en una oficina pequeña de ejemplo. El servidor SUS descarga los metadatos de las nuevas actualizaciones del sitio Windows Update. Nota: SUS mantiene registros de aprobación y estadísticas de descargas, sincronizaciones e instalaciones. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias. SUS mantiene registros de descargas y de aprobación en el servidor de estadísticas (IIS). 3. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado. 4. Si las actualizaciones no se han instalado todavía, Actualizaciones automáticas descarga automáticamente las que faltan o notifica al usuario que faltan actualizaciones (según la configuración) y le pide permiso para descargarlas. En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de Windows Update, descarga las actualizaciones correspondientes desde allí. Actualizaciones automáticas comprueba las firmas digitales de las actualizaciones descargadas para asegurarse de su autenticidad e integridad. Dependiendo de la configuración de Actualizaciones automáticas, se instalan automáticamente las actualizaciones o se notifica al usuario que están disponibles y, a continuación, se permite al usuario revisar y seleccionar las que desea que se instalen y cuándo desea instalarlas. En el paso final, Actualizaciones automáticas registra en el historial el éxito o el fracaso de la instalación de las actualizaciones en los equipos de destino. El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS Actualizaciones automáticas descarga las actualizaciones aprobadas de Windows Update Servidor SUS

21 Servicios de actualización de software Escenario 1 de implementación de SUS
Utilice este escenario de implementación En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internet En un entorno con varias oficinas y un servidor SUS, en el que cada oficina dispone de una conexión directa a Internet No utilice este escenario de implementación Si necesita conservar ancho de banda de Internet En un entorno con varias ubicaciones y una sola conexión a Internet Notas para el alumno: La configuración de los clientes para que descarguen revisiones de seguridad del servidor Windows Update puede ser la mejor opción de implementación en las situaciones siguientes: En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internet. En esta situación, la configuración de los clientes para descargar las revisiones directamente de Windows Update no interfiere con el uso de Internet. Al mismo tiempo, el administrador tiene control sobre las revisiones que se instalan, ya que éstas no se instalan hasta que se aprueban en el servidor SUS. Si se hace un uso intenso del servidor SUS para otros servicios, esta opción puede mejorar el rendimiento de las descargas. En un entorno de red que incluya varias oficinas situadas en distintas ubicaciones conectadas mediante una red de área extensa (WAN) con un servidor SUS en una única oficina y en el que cada oficina tenga una conexión directa a Internet. En este escenario, cada cliente SUS comprobará el servidor SUS para determinar si existen revisiones aprobadas. A continuación, el cliente utilizará la conexión directa a Internet para descargar las actualizaciones. Esta opción permite administrar centralmente las actualizaciones en el servidor SUS, pero no se utiliza el ancho de banda WAN entre oficinas para transferir las revisiones. Esta opción de implementación no se recomienda en las siguientes situaciones: Si se necesita conservar ancho de banda de Internet. La configuración de cada cliente para que descargue todas las revisiones de Windows Update requerirá un uso considerable de ancho de banda de Internet. En la mayoría de los casos, la opción más conveniente es configurar una única descarga de la revisión en el servidor SUS. En un entorno con varias ubicaciones y una sola conexión a Internet. Muchas compañías con varias ubicaciones utilizan una red de área extensa dedicada para conectar todas las oficinas y disponer de un único punto de conexión a Internet. Si se configura cada cliente para que descargue la actualización de Windows Update, se hará un uso considerable del ancho de banda de la red de área extensa y de la conexión a Internet.

22 Servicio Windows Update
Servicios de actualización de software Escenario 2 de implementación de SUS Servicio Windows Update El servidor SUS descarga las actualizaciones y los metadatos Notas para el alumno: Este escenario de implementación es un ejemplo de cómo se puede utilizar SUS para detectar las actualizaciones disponibles en el sitio Windows Update y descargar las revisiones del sitio. El servidor SUS descarga los metadatos de las nuevas actualizaciones, así como las propias actualizaciones, del sitio Windows Update. SUS mantiene registros de aprobación y estadísticas de descargas, sincronizaciones e instalaciones. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias. SUS mantiene registros de descargas y de aprobación en el servidor de estadísticas (IIS). 3. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado. 4. Si las actualizaciones no se han instalado todavía, Actualizaciones automáticas descarga automáticamente las que faltan o notifica al usuario que faltan actualizaciones (según la configuración) y le pide permiso para descargarlas. En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de un servidor SUS, descarga las aprobadas del servidor SUS especificado. Dependiendo de la configuración de Actualizaciones automáticas, se instalan automáticamente las actualizaciones o se notifica al usuario que están disponibles y, a continuación, se permite al usuario revisar y seleccionar las que desea que se instalen y cuándo desea instalarlas. En el paso final, Actualizaciones automáticas registra en el historial el éxito o el fracaso de la instalación de las actualizaciones en los equipos de destino. El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS Actualizaciones automáticas descarga las actualizaciones aprobadas del servidor SUS Servidor SUS

23 Servicios de actualización de software Escenario 2 de implementación de SUS
Utilice esta opción de implementación: Para administrar revisiones en una única oficina con uno o varios servidores SUS En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda suficiente entre las distintas oficinas No utilice esta opción de implementación: En un entorno con varias ubicaciones y ancho de banda limitado entre las distintas oficinas Notas para el alumno: La configuración de los clientes para que descarguen las revisiones de seguridad del servidor SUS puede ser la mejor opción de implementación en las situaciones siguientes: En una única oficina con uno o varios servidores SUS. En este escenario, al configurar los clientes para que descarguen las revisiones del servidor SUS se ahorra ancho de banda de Internet. Al mismo tiempo, el administrador tiene control sobre las revisiones que se instalan, ya que éstas no se instalan hasta que se aprueban. Ésta es la configuración recomendada para la mayoría de los entornos con una sola oficina. En un entorno de red que incluya varias oficinas situadas en ubicaciones distintas conectadas mediante una red de área extensa con uno o varios servidores SUS ubicados en una oficina y en el que haya suficiente ancho de banda de red. En este escenario, cada cliente SUS comprobará el servidor SUS para determinar si existen revisiones aprobadas y, a continuación, utilizará la conexión WAN para descargar las actualizaciones. Este escenario permite la administración centralizada de las actualizaciones en el servidor SUS. En las compañías que tienen una única conexión a Internet para todas las oficinas, ésta es la forma más sencilla de implementar SUS. Este escenario no se recomienda en un entorno con varias ubicaciones y ancho de banda limitado entre las distintas oficinas. Si se configura cada cliente para que descargue la actualización de un único servidor SUS instalado en una oficina remota, se hará un uso intenso del ancho de banda de la red WAN. En este escenario, la opción más conveniente es implementar varios servidores SUS.

24 Servicio Windows Update Servicio Windows Update
Servicios de actualización de software Escenario 3 de implementación de SUS El servidor SUS descarga las actualizaciones Servicio Windows Update Servicio Windows Update El administrador revisa, evalúa y aprueba las actualizaciones Servidor de seguridad Notas para el alumno: El tercer escenario muestra un sistema empresarial en que se utilizan varios servidores SUS para distribuir las revisiones sin que apenas resulten afectados los vínculos WAN entre las distintas oficinas. El servidor SUS primario descarga los metadatos de las nuevas actualizaciones, así como las propias actualizaciones, del sitio Windows Update. SUS mantiene registros de aprobación y estadísticas de descargas, sincronizaciones e instalaciones. Los administradores revisan las nuevas actualizaciones y aprueban las correspondientes una vez finalizadas las pruebas necesarias. SUS mantiene registros de descargas y de aprobación en el servidor de estadísticas (IIS). Se distribuye a todos los servidores SUS secundarios información de las actualizaciones aprobadas, por ejemplo, para determinar si la actualización se va a instalar. Actualizaciones automáticas establece contacto en el equipo cliente con el servidor SUS para determinar si hay alguna actualización que se haya aprobado recientemente. Si es así, obtiene la información de los metadatos correspondiente a la actualización y comprueba si ya se ha instalado. Si las actualizaciones no se han instalado todavía, Actualizaciones automáticas descarga automáticamente las que faltan o notifica al usuario que faltan actualizaciones (según la configuración) y le pide permiso para descargarlas. En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de un servidor SUS, descarga las aprobadas del servidor SUS especificado. 6. En los sistemas de destino donde Actualizaciones automáticas esté configurado para extraer las actualizaciones de Windows Update, descarga las actualizaciones correspondientes desde allí. Actualizaciones automáticas comprueba las firmas digitales de las actualizaciones descargadas para asegurarse de su autenticidad e integridad. Dependiendo de la configuración de Actualizaciones automáticas, se instalan automáticamente las actualizaciones o se notifica al usuario que están disponibles y, a continuación, se permite al usuario revisar y seleccionar las que desea que se instalen y cuándo desea instalarlas. En el paso final, Actualizaciones automáticas registra en el historial el éxito o el fracaso de la instalación de las actualizaciones en los equipos de destino. Se sincronizan las aprobaciones y actualizaciones con los servidores SUS secundarios Actualizaciones automáticas obtiene la lista de actualizaciones aprobadas del servidor SUS Servidor SUS secundario Actualizaciones automáticas descarga las actualizaciones aprobadas del servidor SUS Servidor SUS primario Servidor SUS secundario Actualizaciones automáticas descarga las actualizaciones aprobadas de Windows Update

25 Servicios de actualización de software Escenario 3 de implementación de SUS
Utilice este escenario de implementación: En un entorno con varias ubicaciones y ancho de banda limitado entre las ubicaciones En un entorno con muchos clientes y una sola oficina Utilice equilibrio de carga de red En un entorno con varias oficinas y una mezcla de conexiones WAN e Internet No utilice este escenario de implementación En un entorno con pocos clientes y una sola oficina Notas para el alumno: Este escenario de implementación proporciona flexibilidad y escalabilidad a los entornos empresariales conectados en red: En compañías con varias oficinas y ancho de banda limitado entre ellas, la implementación de un servidor SUS secundario en una oficina remota reduce considerablemente el uso de la red entre las distintas oficinas. El servidor SUS secundario descargará sólo una vez las actualizaciones disponibles y aprobadas y, después, los clientes SUS comprobarán el servidor SUS secundario para obtener y descargar las actualizaciones. En compañías con muchos clientes y una sola oficina, la implementación de varios servidores SUS secundarios proporciona redundancia y equilibrio de carga. Debe implementar un único servidor SUS primario, pero debe distribuir las actualizaciones entre varios servidores secundarios. Para proporcionar equilibrio de carga adicional, implemente los servidores SUS secundarios en un clúster de equilibrio de carga de red o utilice una solución de equilibrio de carga por hardware. En compañías con varias oficinas y una mezcla de conexiones WAN e Internet, este escenario se puede utilizar prácticamente en cualquier entorno gracias a su flexibilidad. Implemente un servidor SUS primario centralizado y, después, implemente servidores SUS secundarios en la oficina remota. Todas las actualizaciones se aprueban en el servidor SUS principal y, una vez aprobadas, se sincronizan con los servidores SUS secundarios. En las oficinas que no tengan una conexión directa a Internet, el servidor SUS secundario descargará también las revisiones del servidor SUS primario. En oficinas con una conexión directa a Internet, los clientes se pueden configurar para que descarguen la lista de actualizaciones aprobadas del servidor SUS secundario y, después, descarguen las actualizaciones reales de Windows Update. Este escenario agrega un nivel de complejidad innecesario en el caso de una única oficina con un pequeño número de clientes.

26 Administración de un entorno SUS complejo
Administre la descarga y aprobación de actualizaciones de forma centralizada Dominio GPO Servidor integrante Servidores integrantes Prueba SUS GPO OR1 GPO OC GPO OR2 Estaciones de trabajo de OC Estaciones de trabajo de OR1 Estaciones de trabajo de OR2 Notas para el alumno: La administración de una infraestructura SUS de gran tamaño que incluya varios servidores SUS requiere un diseño minucioso. Administre la descarga y aprobación de actualizaciones de forma centralizada. Para garantizar una configuración de administración de revisiones de seguridad coherente en toda la organización, utilice un servidor SUS para descargar todas las revisiones de seguridad. Si desea aplicar las mismas revisiones en todos los clientes al mismo tiempo, debe aprobar también todas las revisiones en el servidor. También puede aprobar actualizaciones en cada uno de los servidores SUS secundarios para administrar con mayor exactitud la implementación de las revisiones. Utilice la estructura de unidades organizativas y los objetos de directiva de grupo (GPO) a fin de configurar las opciones de los equipos cliente. Para agregar las opciones de configuración del cliente de Actualizaciones automáticas a la directiva de grupo, descargue la plantilla ADM de Actualizaciones automáticas (wuau.adm) y agréguela mediante el Editor de directiva de grupo. Configure las opciones del cliente de forma que indiquen qué utilizarán los equipos cliente para descargar las actualizaciones, configure la programación de actualizaciones y establezca el comportamiento de reinicio. Utilice la estructura de unidades organizativas para distribuir los objetos de directiva de grupo. En el ejemplo que se muestra en el gráfico, se asigna un objeto de directiva de grupo a la unidad organizativa Servidores integrantes, que administrará las actualizaciones SUS de los servidores integrantes. El objeto de directiva de grupo Oficina central (asignado a la unidad organizativa Estaciones de trabajo OC) puede utilizar el mismo servidor SUS que el objeto de directiva de grupo Servidores integrantes, pero con una programación diferente. Cada oficina remota puede disponer de su propio servidor SUS, por lo que se utiliza un objeto de directiva de grupo distinto para configurar las estaciones de trabajo de cada oficina. La unidad organizativa Prueba de SUS se utiliza para realizar la prueba inicial de la implementación de revisiones. Use la estructura de unidades organizativas y los GPO para administrar la distribución de actualizaciones de SUS Use el archivo de plantilla WUAU.ADM para configurar las opciones de cliente de Actualizaciones automáticas Asigne los GPO a las unidades organizativas

27 Servicios de actualización de software Recomendaciones de implementación (1)
Analice cada revisión de seguridad Descargue e instale la revisión Pruebe cada revisión de seguridad antes de implementarla Prepare un laboratorio de pruebas Utilice un servidor SUS de prueba Considere la posibilidad de utilizar equipos virtuales en el laboratorio de prueba Utilice un procedimiento de pruebas de aceptación estándar Notas para el alumno: Debe comprobarse la relevancia de cada actualización de software que se publica. Incluso cuando una notificación contenga información sobre varias actualizaciones de software, determine la relevancia de cada actualización de software para su organización. Con objeto de saber si la revisión es pertinente para la organización, consulte los boletines de seguridad y los artículos de Knowledge Base (Base de conocimiento) que se publican con la revisión. Como parte del proceso de evaluación, tendrá que determinar la prioridad de la revisión. Decida si es una revisión crítica que debe instalarse inmediatamente, si puede retrasarse su implementación hasta que se publique una actualización en el calendario previsto o si realmente necesita la revisión. Cuando determine que necesita instalar la descarga de la revisión, instálela en un único servidor o en una estación de trabajo. Esta prueba inicial sirve para comprobar los archivos de la revisión y permite un primer acercamiento a la actualización. Durante la instalación, determine si la revisión requiere que se reinicie el sistema operativo y si existe una opción de desinstalación. El siguiente paso crucial consiste en probar concienzudamente la revisión de seguridad. La prueba inicial debe realizarse en un laboratorio de pruebas experimental. Este laboratorio de pruebas debe constar de: Equipos representativos de la organización. Esta lista representativa debe incluir una muestra de las distintas estaciones de trabajo y servidores del entorno. Incluya diferentes configuraciones de hardware y de software. Un servidor SUS de prueba. Este servidor SUS puede ser un servidor secundario que dependa del primario a fin de poder descargar las actualizaciones del servidor SUS primario. Sin embargo, asegúrese de aprobar únicamente las actualizaciones en el servidor SUS de prueba y compruebe que todos los equipos del laboratorio de pruebas utilizan el servidor SUS de prueba para las actualizaciones. Considere la posibilidad de utilizar Virtual PC 2004 en el laboratorio de pruebas. Aunque un equipo virtual no puede representar totalmente los equipos que se ejecutan en una red, esta tecnología permite deshacer rápidamente todos los cambios efectuados en los equipos. Como parte del proceso de prueba, establezca o utilice un procedimiento de pruebas de aceptación estándar. En muchas compañías, esta prueba de aceptación es realizada por un grupo de control de calidad y se utiliza para probar la revisión y los procedimientos de implementación.

28 Servicios de actualización de software Recomendaciones de implementación (2)
Realice una implementación piloto Configure un servidor SUS secundario para aprobar actualizaciones Configure un GPO de forma que sólo las estaciones de trabajo especificadas descarguen la revisión del servidor SUS piloto Si la implementación piloto fracasa, anule la aprobación del servidor SUS y desinstale manualmente la revisión Realice la implementación Notas para el alumno: Para realizar una implementación piloto mediante SUS: 1. Apruebe la actualización únicamente en el servidor SUS piloto. No la apruebe en ningún otro servidor SUS. 2. Cree un nuevo objeto de directiva de grupo (conocido como GPO SUS piloto) y configure las opciones de directiva de forma que los equipos que apliquen este GPO utilicen el servidor SUS piloto para las actualizaciones. 3. Aplique el filtrado de seguridad de modo que sólo los clientes SUS piloto tengan permisos de “lectura y aplicación de configuración de directivas” sobre este objeto de directiva de grupo. 4. Una vez implementada correctamente la actualización en el entorno de producción, los administradores deben borrar el objeto de directiva de grupo SUS piloto. Los clientes que utilicen este GPO piloto deben revertirse al servidor SUS de producción para las nuevas actualizaciones después de que actualicen la directiva de grupo. Si el GPO piloto resulta insatisfactorio, será necesario anular la aprobación en el servidor SUS piloto y desinstalarlo de los clientes que lo tengan instalado. Los administradores deberán realizar manualmente esta operación mediante Agregar o quitar programas del Panel de control siempre que sea posible. Para las actualizaciones que no se puedan desinstalar manualmente, emplee la utilidad Restaurar sistema de Windows XP, las herramientas de copia de seguridad y restauración de Windows 2000 y Windows Server 2003 u otras tecnologías de recuperación existentes para que el cliente recupere la última configuración válida conocida antes de actualizar la instalación. Realice la implementación. Si la implementación piloto se realiza correctamente, efectúe la implementación en los demás clientes. El proceso de implementación debe incluir: Notificación de la programación de implementación a la organización. Ensayo de actualizaciones en servidores SUS. En un entorno complejo de gran tamaño, quizás necesite aprobar las actualizaciones en el nivel SUS secundario. Anuncio de la actualización de software a los equipos cliente. Supervisión y notificación del progreso de la implementación. Tratamiento de implementaciones incorrectas. Revisión y evaluación final del proyecto de implementación.

29 Uso de software de administración para distribuir y aplicar revisiones
Systems Management Server (SMS) 2003 Permite que los administradores controlen la administración de las revisiones Automatiza el proceso de administración de revisiones Actualiza un amplia variedad de productos de Microsoft Actualiza software de terceros Proporciona flexibilidad mediante el uso de archivos de comandos Soluciones de terceros Se integra con soluciones de terceros mediante archivos de comandos Notas para el alumno: En un entorno de red administrado de gran tamaño, se puede reducir el tiempo y el esfuerzo necesarios para distribuir y aplicar revisiones mediante software de administración de sistemas. Puede utilizar Microsoft System Management Server (SMS) o software de administración de sistemas de terceros. SMS proporciona las siguientes funciones, que son esenciales para una implementación correcta: Funciones de inventario que determinan el número de equipos en los que se ha realizado la implementación, su ubicación, su función y las aplicaciones de software y revisiones que tienen instaladas. Funciones de programación que permiten a una organización programar la implementación de revisiones y hotfix fuera del horario de trabajo o a una hora en que las operaciones de la compañía se vean menos afectadas. Creación de informes de estado que permiten a los administradores supervisar el progreso de la instalación. Funciones de destinatarios basadas en el inventario del sistema, en la ubicación de un equipo en el servicio de directorio Active Directory® o en grupos de equipos creados manualmente. Replicación de nivel empresarial para mover archivos fácil y eficazmente por la red. Compatibilidad con Microsoft Windows Server 2003. Compatibilidad con sistemas operativos distintos de Microsoft Windows 2000, Windows Server 2003 y Windows XP. Las actualizaciones de las revisiones se pueden integrar en soluciones de administración de sistemas de terceros, como Tivoli de IBM, Unicenter de Computer Associates, BMC Patrol y HP OpenView. Puede crear archivos de comandos para la detección y aplicación de las revisiones y utilizar esos archivos con software de administración de sistemas de terceros. Información adicional: Para obtener más información sobre el software de administración de sistemas, visite (este sitio está en inglés).

30 Centro de descarga de Microsoft
Funcionamiento de SMS Configuración: descargar las herramientas Inventario de actualizaciones de seguridad e Inventario de Office; ejecutar el programa de instalación de herramientas de inventario Centro de descarga de Microsoft Los componentes de detección se replican en los clientes SMS Servidor de seguridad Se examinan los clientes; los resultados de la detección se combinan en los datos del inventario de hardware de SMS Como administrador de SMS, debe descargar las herramientas Inventario de actualizaciones de seguridad e Inventario de Office del sitio Web Centro de descarga. (Esta operación sólo hay que realizarla una vez.) A continuación (y de nuevo, sólo una vez) ejecute el programa de instalación de la herramienta de inventario en el servidor del sitio SMS, que crea los paquetes, las colecciones y los anuncios necesarios para distribuir las herramientas de detección de actualización de software en los clientes. Simultáneamente, el programa de instalación crea el programa para el componente de sincronización en el host de sincronización. Los paquetes de los componentes de detección de actualizaciones de software se replican en los puntos de distribución de su sitio SMS. Desde allí, los paquetes se distribuyen a los equipos cliente de destino. El componente de detección analiza las actualizaciones de software instaladas y las que se pueden aplicar en el equipo cliente. La información se convierte en datos para el inventario de hardware de SMS y se propaga en la jerarquía junto con el resto de datos del inventario. El tiempo que la información tarda en llegar al servidor del sitio depende de la configuración del componente de detección, de la configuración de la programación del agente de inventario de hardware y de la carga del servidor del sitio. Debe ejecutar el Asistente para distribuir actualizaciones de software con el fin de ver, evaluar y autorizar las actualizaciones de software aplicables a partir de los datos del inventario de actualizaciones de software. El asistente descarga los archivos de origen para la actualización de software especificada desde el sitio Web del Centro de descarga de Microsoft. A continuación, almacena el archivo de origen en la carpeta compartida de origen del paquete. Los paquetes, programas y anuncios necesarios se crean ahora o se actualizan para distribuir las actualizaciones de software a los clientes SMS. El Asistente para distribuir actualizaciones de software anexa un programa de SMS que contiene comandos para ejecutar el Agente de instalación de actualizaciones de software en cada paquete que crea o actualiza. Por último, los paquetes de actualización de software se replican en los puntos de distribución de su sitio y los programas se anuncian a sus clientes. El Agente de instalación de actualizaciones de software se ejecuta en sus clientes e implementa las actualizaciones de software. Ejecuta el componente de detección para asegurarse de que sólo instala las actualizaciones de software que se requieren realmente. El componente de sincronización busca en el sitio Web del Centro de descarga de Microsoft las actualizaciones para el componente de detección y el software actualiza el catálogo. Ésta es una actividad periódica: se realiza semanalmente de forma predeterminada. El componente de sincronización descarga estas nuevas actualizaciones y actualiza los paquetes, programas y anuncios asociados con el componente de detección. El paquete del componente de detección actualizado y el anuncio se distribuyen en los equipos cliente SMS de destino. Punto de distribución de SMS El administrador utiliza el Asistente para distribuir actualizaciones de software a fin de autorizar las actualizaciones Clientes SMS Se descargan los archivos actualizados; se crean o actualizan los paquetes, programas y anuncios; se replican los paquetes y se anuncian los programas en los clientes SMS Servidor del sitio SMS El Agente de instalación de actualizaciones de software implementa las actualizaciones en los clientes Clientes SMS Periódicamente: Se sincronizan las comprobaciones de los componentes para las nuevas actualizaciones, se examinan los clientes y se implementan las actualizaciones necesarias Clientes SMS

31 Demostración 2 Utilizar SMS Implementación de revisiones mediante el Asistente para distribuir actualizaciones de software En esta demostración los alumnos aprenderán a: Implementar revisiones mediante el Asistente para distribuir actualizaciones de software (DSUW).

32 Soluciones de terceros
Nombre de la compañía Nombre del producto URL de la compañía Altiris, Inc. Administración de revisiones de Altiris BigFix, Inc. BigFix Patch Manager Configuresoft, Inc. Security Update Manager Ecora, Inc. Ecora Patch Manager GFI Software, Ltd. GFI LANguard Network Security Scanner Gravity Storm Software, LLC Service Pack Manager 2000 LANDesk Software, Ltd. LANDesk Patch Manager Novadigm, Inc. Radia Patch Manager PatchLink Corp. PatchLink Update Shavlik Technologies HFNetChk Pro St. Bernard Software UpdateExpert Notas para el alumno: La prioridad máxima de Microsoft es la seguridad y la disponibilidad del entorno de tecnología de la información. Por tanto, si considera que ninguno de los productos de Microsoft satisface sus necesidades, le animamos encarecidamente a que evalúe una solución de administración de revisiones de otro fabricante. Algunas de las soluciones descritas aquí proporcionan funciones avanzadas que pueden resultar útiles para su organización, como la especialización de actualizaciones, la integración con bases de datos de evaluación de puntos vulnerables de otros fabricantes y la creación de informes detallados. En esta dispositiva se indican algunas de las compañías que proporcionan productos de administración de revisiones, los nombres de sus productos y sus direcciones URL. No pretende ser una lista exhaustiva de fabricantes que proporcionan productos relevantes. Sólo proporciona una muestra de productos disponibles. Las funciones de administración de revisiones también se proporcionan en los productos de administración de sistemas empresariales de IBM, Computer Associates, HP, etc. Microsoft no respalda, recomienda ni ofrece soporte técnico a ninguno de estos productos, pero anima a los clientes a que evalúen opciones que no son de Microsoft para determinar si satisfacen mejor sus necesidades.

33 Aplicación de revisiones de Microsoft Office
Herramienta Inventario de Office Office Update Las revisiones de Office requieren los archivos originales Office 2003 almacena en caché los archivos de instalación Aplicación de revisiones en los puntos de instalación Notas para el alumno: La herramienta Inventario de Office tiene en común con MBSA que es una herramienta independiente que identifica las actualizaciones que faltan. Sin embargo, sus funciones de detección se restringen a buscar actualizaciones de Office no instaladas. Consta de dos componentes. Uno detecta las actualizaciones que faltan en el sistema y genera un archivo de registro con esa información. El otro combina esta información con la información de metadatos de las actualizaciones que faltan. A continuación, proporciona un informe con los datos de las actualizaciones inexistentes, que los administradores o SMS pueden utilizar para descargar e instalar las actualizaciones adecuadas. Office Update es similar a Windows Update, pero se limita a analizar e instalar actualizaciones de Microsoft Office, entre las que se incluyen actualizaciones de Word, Outlook®, PowerPoint®, Microsoft Access, FrontPage®, Publisher, InfoPath™, OneNote™, Visio® y Microsoft Project. Office Update se complementa con el catálogo de descargas de Office, que proporciona la capacidad de descargar manualmente distintas actualizaciones para los diversos componentes de Office. Las revisiones de Microsoft Office modifican los archivos de Microsoft Office existentes en lugar de sustituirlos. Por este motivo, el mecanismo de revisiones de Office requiere los medios originales de instalación de Office. Al aplicar actualizaciones de Office, compruebe siempre que dispone de los archivos originales de Office. Para ello, lo más sencillo es instalar Office desde una ubicación de red. Las actualizaciones de Office buscan primero los archivos necesarios en la ubicación de instalación original. Opcionalmente, es posible especificar una ubicación de red diferente cuando se solicite. Asegúrese de que la versión de los archivos de la instalación original están siempre disponibles. Office 2003 almacena en la caché del disco duro local algunos de los archivos de instalación necesarios. A menos que especifique durante la instalación que desea eliminar estos archivos para ahorrar espacio, podrá aplicar las actualizaciones sin necesidad disponer de los medios originales de instalación. Al igual que en Windows, las revisiones se puede aplicar en los puntos de instalación de Office. Los archivos Léame que se incluyen con los Service Packs de Microsoft Office incluyen instrucciones sobre cómo emplear los modificadores de la línea de comandos para cambiar los puntos de instalación de forma que todas las nuevas instalaciones en los clientes utilicen los archivos actualizados.

34 Demostración 3 Herramienta Inventario de Office Analizar Office Convertir archivos de Office Update
En esta demostración, los alumnos verán cómo: Analizar Microsoft Office. Convertir archivos de Microsoft Office Update.

35 Recomendaciones para la administración correcta de revisiones
Utilice un proceso de control de cambios Lea toda la documentación relacionada Aplique las actualizaciones sólo cuando sea necesario Pruebe exhaustivamente las actualizaciones Garantice la coherencia entre los controladores de dominio Haga una copia de seguridad del sistema y programe los períodos de inactividad en producción Disponga siempre de un plan para deshacer los cambios Mantenga informado al servicio de asistencia y a los grupos de usuarios clave Trabaje primero con los servidores que no sean críticos Notas para el alumno: Sigas estas recomendaciones para realizar una administración correcta de las revisiones: Utilice un procedimiento de control de cambios adecuado con un propietario identificado, una ruta de acceso para la información especificada por los usuarios, una pista de auditoría de los cambios realizados, un período claro de aviso y revisión, procedimientos de prueba y un plan para deshacer los cambios que todo el mundo comprenda. Antes de aplicar un Service Pack, un hotfix o una revisión de seguridad, lea toda la documentación relevante y analícelo con sus compañeros. La revisión por parte de los compañeros es esencial, ya que reduce el riesgo de que una única persona pase por alto puntos críticos y relevantes al evaluar la actualización. Aplique únicamente las actualizaciones necesarias para el entorno. Un error muy común sobre las actualizaciones de Microsoft es considerarlas obligatorias, urgentes o ambas cosas. Independientemente del tipo de actualización (Service Pack, hotfix o revisión de seguridad), evalúelas individualmente y considérelas actualizaciones opcionales importantes. Los Service Packs y los hotfix deben probarse en un entorno experimental representativo antes de implementarlos en producción. De esta forma, podrá medir la repercusión de los cambios. Los niveles de Service Packs, hotfix y revisiones de seguridad deben ser coherentes en todos los controladores de dominio. Los niveles de actualización incoherentes en controladores de dominio pueden producir problemas de sincronización y replicación. Resulta extremadamente difícil detectar errores producidos por controladores de dominio no sincronizados, por lo que es esencial mantener la coherencia. Si es viable, los servidores integrantes deben actualizarse con los mismos Service Packs y hotfix que los controladores de dominio. Las interrupciones de servicio de los servidores deben programarse y debe disponerse de un conjunto completo de cintas de copia de seguridad y discos de reparación de emergencia en caso de que sea necesario realizar una restauración. Asegúrese de que dispone de una copia de seguridad del sistema que funciona. El único medio posible de restablecer el servidor a la instalación operativa anterior es a partir de una copia de seguridad. Un plan para deshacer cambios permitirá restablecer el sistema y la compañía al estado en que se encontraban antes de que se produjeran errores en la implementación. Es importante que estos procedimientos queden claros y que se incluyan en las pruebas de la administración de contingencias. Después, en el peor de los casos de una implementación incorrecta, pueden activarse las opciones de contingencia. Es posible que las compañías tengan que poner en práctica el plan para deshacer los cambios si la actualización no dispone de un proceso de desinstalación o si el proceso de instalación fracasa. Este plan puede ser tan simple como la restauración desde una cinta o puede implicar muchos procedimientos manuales laboriosos. Advierta al servicio de asistencia y a los grupos de usuarios clave de los cambios pendientes para que estén preparados en caso de que surjan problemas o se interrumpa el servicio. Si todas las pruebas del entorno experimental se realizan correctamente, inicie primero la implementación en servidores que no sean críticos si es posible. Una vez instalado el Service Pack en producción de 10 a 14 días, aplíquelo a los servidores primarios. Información adicional: Para obtener más información sobre las recomendaciones, incluidos los métodos que se aplican específicamente a Service Packs y hotfix, consulte “Best Practices for Applying Service Packs, Hotfixes and Security Patches” (Recomendaciones para la aplicación de Services Packs, hotfix y revisiones de seguridad) en (este sitio está en inglés).

36 Orden del día Introducción
Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Notas para el alumno: En este tema del orden del día, aprenderá estrategias reales de acceso remoto. Este tema incluye: Redes privadas virtuales (VPN) y servidores de seguridad. Servidor VPN detrás de un servidor de seguridad. Uso de ISA Server como servidor VPN y servidor de seguridad. Desafíos del uso de IPSec y NAT. Modelo de soluciones. Funcionamiento de NAT-T. Problemas de interoperabilidad. Estado de NAT-T para Windows. Exigir seguridad en los clientes de acceso remoto. Qué es el control de cuarentena de acceso a la red Requisitos de la cuarentena. El proceso de cuarentena. Limitaciones del control de cuarentena de acceso a la red. Consejos y trucos sobre el control de cuarentena de acceso a la red. Demostración 4: Configuración de la cuarentena de acceso a la red.

37 Redes privadas virtuales (VPN) y servidores de seguridad
Combinación de un servidor de seguridad con un servidor VPN Notas para el alumno: La combinación de servidores de seguridad y acceso remoto puede representar un desafío para los administradores de la red. Existen dos opciones para combinar un servidor de seguridad con un servidor VPN: 1. El servidor de acceso remoto se encuentra detrás del servidor de seguridad. La ventaja de esta solución es que el servidor VPN está protegido por el servidor de seguridad. El inconveniente es que deberá abrir los puertos del servidor de seguridad que permiten que el tráfico VPN llegue hasta el servidor VPN. 2. El servidor de seguridad y el servidor de acceso remoto son el mismo equipo. Ésta es la forma en que ISA Server 2000 proporciona acceso VPN a los clientes. En este caso, la red privada virtual termina en el servidor de seguridad. Las ventajas de combinar un servidor de seguridad con un servidor VPN son las siguientes: Administración inicial más sencilla. Al combinar RRAS e ISA Server se simplifica la configuración inicial de RRAS. Sin embargo, para cualquier tarea de administración posterior a la configuración será necesario utilizar la interfaz de RRAS. Un único punto de inspección. Contar con un único punto en el que se inspeccione todo el tráfico entrante y saliente aumenta la seguridad, ya que se reduce la probabilidad de cometer errores o pasar por alto intentos de intrusión. Tenga en cuenta que ISA Server 2000 no realiza ninguna inspección de nivel 7 en las conexiones VPN. Además, el uso de un único dispositivo suele resultar más rentable. Los inconvenientes de combinar un servidor de seguridad con un servidor VPN son los siguientes: La combinación de ambas funciones en un único dispositivo elimina un nivel de la defensa en profundidad. Es posible que un intruso consiga frustrar un único mecanismo de seguridad y obtenga acceso a la red. Sin embargo, este riesgo se puede mitigar al incluir el enrutador de borde en la estrategia de seguridad. Servidor RAS detrás del servidor de seguridad Clientes VPN Servidor RAS Servidor RAS y servidor de seguridad en el mismo equipo Clientes VPN Servidor RAS

38 Servidor VPN detrás de un servidor de seguridad
Desafío: permitir que el servidor de seguridad deje pasar el tráfico al servidor VPN Desafío: inspección del estado de las conexiones Notas para el alumno: En esta tabla se indican los puertos y protocolos que el tráfico VPN puede utilizar a través del servidor de seguridad. Si coloca el servidor VPN detrás de un servidor de seguridad, es posible que tenga que abrir estos puertos. Los protocolos mostrados son necesarios para PPTP y L2TP sobre IPSec. Si la solución VPN utiliza puertos diferentes, tendrá que abrir esos puertos en el servidor de seguridad. Puede resultar difícil comprobar que el servidor de seguridad realiza una inspección del estado de las conexiones. Por ejemplo, un servidor de seguridad debe permitir que los paquetes que utilizan el protocolo GRE lleguen a un servidor VPN únicamente cuando el cliente se haya puesto en contacto con el servidor a través del puerto TCP 1723 y la conexión inicial se haya establecido correctamente. Para ello, el servidor de seguridad debe ser capaz de inspeccionar la conexión en el nivel de aplicación. Si simplemente se abren los puertos del servidor de seguridad para el protocolo IP 47, podría permitirse el tráfico entrante que utiliza este protocolo aunque no se haya establecido antes una conexión a través del puerto TCP 1723. Tráfico Puertos y protocolos Establecimiento de sesión PPTP Puerto TCP 1723 Sesión PPTP Protocolo IP 47 (GRE) IPSec IKE Puerto UDP 500 IPSec ESP Protocolo IP 50 (IPSec ESP)

39 Uso de ISA Server como servidor VPN y servidor de seguridad
Característica de ISA Server Descripción Solución integrada Proporciona un servidor de seguridad y un servidor proxy en el nivel de aplicación Utiliza RRAS para proporcionar servicios VPN Proporciona opciones seguras de autenticación Permite elegir entre los protocolos PPTP y L2TP/IPSec Filtrado de paquetes Protege el servidor VPN Asistentes Simplifican la configuración con el fin de evitar errores Notas para el alumno: Microsoft Internet Security and Acceleration (ISA) Server 2000 es una solución integrada que satisface los requisitos de la red privada virtual y el servidor de seguridad. ISA Server es un servidor de seguridad empresarial extensible y un servidor de caché Web que se integra con el sistema operativo Microsoft Windows 2000 para ofrecer seguridad basada en directivas y para acelerar y administrar las interconexiones de redes. El servidor de seguridad filtra los paquetes, los circuitos y las aplicaciones, inspecciona el estado de las conexiones para examinar los datos que atraviesan el servidor de seguridad y controla la directiva de acceso y el enrutamiento de tráfico. La caché aumenta el rendimiento de la red y mejora la experiencia del usuario final al almacenar el contenido Web solicitado con frecuencia. El servidor de seguridad y la caché pueden implementarse de forma independiente en servidores dedicados o integrarse en el mismo equipo. ISA Server utiliza RRAS para proporcionar servicios VPN y, al mismo tiempo, ofrecer protección al servidor mediante el servidor de seguridad. El filtrado de paquetes de ISA Server protege el servidor VPN. Todo el tráfico entrante de red que no sea tráfico VPN se rechaza e ISA Server realiza un registro del tráfico. ISA Server se puede configurar de forma que utilice RRAS para las conexiones VPN entre el cliente y la red, para las conexiones VPN entre redes o para ambos tipos de conexiones. El asistente de VPN local se ejecuta en ISA Server en la red local. El equipo VPN local de ISA Server se conecta con su proveedor de servicios Internet (ISP). El asistente de VPN remoto se ejecuta en ISA Server en la red remota. El equipo VPN remoto de ISA Server se conecta a su ISP. Cuando un equipo de la red local se comunica con otro de la red remota, los datos se encapsulan y se envían a través del túnel VPN. El asistente VPN para clientes configura una red privada virtual entre los clientes y el servidor. Para administrar los túneles y encapsular los datos privados se utiliza un protocolo de túnel (PPTP o L2TP). Los datos canalizados también deben estar cifrados para la conexión VPN. Los asistentes de ISA Server simplifican la configuración con el fin de evitar errores que produzcan riesgos de seguridad. Esto es especialmente importante cuando se configura un servidor VPN en una oficina remota donde no se disponga de mucha experiencia en la configuración de servidores VPN. Los asistentes de ISA Server permiten que un administrador configure en una ubicación central todas las opciones y se las proporcione a otro administrador de una ubicación remota en un único archivo cifrado. Con los asistentes de ISA Server se pueden eliminar muchos errores comunes de configuración que pueden poner en peligro la seguridad. Los asistentes para configurar RRAS incluyen: Acceso remoto de clientes. Acceso entre ubicaciones, en la oficina principal. Acceso entre ubicaciones, en la sucursal. Información adicional: Para obtener más información sobre ISA Server, visite (este sitio está en inglés).

40 Desafíos del uso de IPSec y NAT
El encabezado del paquete se modifica y se invalidan los paquetes IKE utiliza fragmentos de IP Dispositivos NAT que asumen el modo de túnel Notas para el alumno: Muchas organizaciones preferirían utilizar L2TP/IPSec (L2TP a través de IPSec) en lugar de PPTP, pero no pueden debido a que estos dispositivos realizan la traducción de direcciones de red (NAT) entre el servidor VPN y el cliente VPN. Hay tres problemas relacionados con el uso de IPSec sobre NAT: NAT cambia el encabezado del paquete y modifica la dirección IP y la información de puerto. En esta dispositiva se muestra cómo el cliente encapsula un paquete IP dentro de un paquete IPSec. El nuevo paquete contiene un hash cifrado del encabezado del paquete original. En este ejemplo, un dispositivo NAT conecta el equipo cliente a Internet y cambia el encabezado del paquete. Un segundo dispositivo NAT que conecta el servidor a Internet vuelve a cambiar el encabezado del paquete. Cuando el servidor VPN recibe el paquete, el hash del encabezado ya no coincide con el hash cifrado en la carga. Como no coinciden, IPSec descarta el paquete al final de la recepción. El protocolo Intercambio de claves de Internet (IKE, Internet Key Exchange), que es un componente de IPSec, utiliza fragmentos de paquetes. Dado que muchos servidores de seguridad descartan fragmentos de IP, las comunicaciones IPSec podrían no ser factibles en estos servidores de seguridad. Muchos dispositivos NAT diseñados para el modo de túnel de IPSec procesan incorrectamente los paquetes IPSec en el modo de transporte. Esto significa que sólo se puede tener una única sesión IPSec a través de la mayoría de estos dispositivos. En estos casos, todos los paquetes IPSec entrantes se enrutan a un único equipo situado detrás del dispositivo NAT. Encab. NAT1 Encab. NAT2 NAT Encab. IP orig. Encab. TCP Datos Encab. AH Insertar Contiene un hash cifrado del encabezado del paquete original

41 Modelo de soluciones El borrador de IETF sobre Recorridos NAT (NAT-T) recomienda que los dispositivos situados en ambos extremos: Detecten la presencia de NAT Utilicen un puerto que no sea IPSec, de forma que los dispositivos NAT no interfieran con el tráfico de red Encapsulen IPSec en UDP Asimismo, la solución de Microsoft impide la fragmentación de los paquetes IP Notas para el alumno: Cuando surjan problemas comunes de Internet que puedan solucionarse mediante la normalización de los productos, el Grupo de trabajo de ingeniería de Internet (IETF) preparará un estándar que los proveedores de productos puedan seguir. Dado que los problemas sobre el uso de IPSec sobre NAT son muy conocidos, existe actualmente un borrador del Grupo de trabajo de ingeniería de Internet para Recorridos NAT (NAT-T, NAT Traversal), que está a la espera de que se le asigne un número como Solicitud de comentario (RFC, Request for Comment). Cuando este borrador se convierta en un estándar, debería aumentar la interoperabilidad entre dispositivos de distintos fabricantes. El proceso general sugerido para el estándar trasversal NAT-T es que los dispositivos situados en ambos extremos: Detecten que se están comunicando a través de uno o varios dispositivos que utilizan NAT. Utilicen un puerto que no sea IPSec para comunicarse. De esta forma, los dispositivos NAT no interferirán con el tráfico de red. Encapsulen el tráfico IPSec en paquetes de Protocolo de datagramas de usuario (UDP, User Datagram Protocol) que utilicen el puerto que no es IPSec. Además de estos estándares, la solución de Microsoft impide la fragmentación de los paquetes IP. Con la solución de Microsoft, los paquetes pueden pasar por los servidores de seguridad que bloquean los paquetes fragmentados. Esto es importante, ya que el proceso de encapsulación crea paquetes de gran tamaño que podrían ser demasiado grandes para algunas redes y, por tanto, podrían ser fragmentados durante el recorrido. El hecho de evitar la fragmentación no se basa en ningún estándar, pero no causa problemas de interoperabilidad porque sólo se utiliza entre un cliente VPN basado en Windows y un servidor VPN basado también en Windows.

42 Funcionamiento de NAT-T
Encab. IP orig. Encab. TCP Datos Encab. ESP Insertar Resto… UDP orig. 4500, dest. 4500 Enviado por A Recib. por B UDP orig. XXX, dest. 4500 Encab. NAT1 Encab. NAT2 Notas para el alumno: NAT-T funciona del modo siguiente: El cliente VPN intenta establecer una conexión con el servidor IPSec. Durante la configuración del modo principal de IPSec, la conexión no se realiza, pero el servidor y el cliente detectan que hay un encabezado IP modificado por un dispositivo NAT. El servidor y el cliente interpretan este hecho como una indicación de que hay uno o varios dispositivos NAT conectados entre ellos. El cliente restablece la conexión, pero esta vez utiliza el puerto UDP 4500. El cliente encapsula los paquetes IPSec en los paquetes NAT-T. En ese momento, un paquete IP se encapsula en un paquete IPSec, que a su vez se encapsula en un paquete NAT-T. Los paquetes NAT-T son paquetes UDP estándar, por lo que pueden pasar a través de todos los dispositivos NAT. Cuando los paquetes llegan al servidor, los dispositivos NAT han cambiado sus encabezados. El servidor descarta el encabezado y recupera el paquete IPSec. Como el encabezado del paquete IPSec no ha cambiado, el paquete se considera válido. IPSec descifra el paquete y extrae el paquete IP original.

43 Problemas de interoperabilidad
Tanto el cliente VPN como el servidor VPN deben admitir NAT-T Problemas con dispositivos de terceros Mejor interoperabilidad con el paso del tiempo No es necesario realizar ningún cambio en los dispositivos NAT Compatibilidad con servidores de seguridad Permite el tráfico UDP 4500 Permite el tráfico UDP 500 Notas para el alumno: Para garantizar que NAT-T funciona correctamente, tanto los clientes como los servidores VPN deben ser compatibles con NAT-T. Mientras que muchos de los sistemas operativos de Microsoft son compatibles actualmente con NAT-T, aún hay muchas marcas de dispositivos VPN que no lo son. Si utiliza un servidor o cliente VPN de terceros, póngase en contacto con el fabricante para obtener más información. Se prevé una mejora de la interoperabilidad a medida que más fabricantes adopten el nuevo estándar. No es necesario realizar ningún cambio en los propios dispositivos NAT. NAT-T utiliza las comunicaciones entre servidores y clientes. No afecta en modo alguno a los dispositivos situados entre ellos. Es posible que tenga que configurar el servidor de seguridad para que admita el tráfico NAT-T. NAT-T utiliza el puerto UDP 4500 para los puertos de origen y destino. Para poder utilizar NAT-T, tendrá que permitir este tráfico. Asimismo, deberá abrir el puerto UDP 500 para permitir el intercambio de claves de Internet (IKE). La configuración de IKE se realiza siempre fuera de NAT-T.

44 Estado de NAT-T para Windows
Implementado según el estándar propuesto por IETF Interoperabilidad probada con puertas de enlace para IPSec y L2TP de terceros Diseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para todos los usos de IPSec en Windows Server 2003 Notas para el alumno: En esta diapositiva se muestra el estado actual de NAT-T para los distintos sistemas operativos Windows: La implementación de Windows es totalmente compatible con el estándar propuesto por IETF y se ha probado su interoperabilidad con servidores VPN de otros fabricantes que admiten NAT-T para L2TP o IPSec. En Windows XP y sistemas operativos anteriores, NAT-T proporciona compatibilidad con L2TP/IPSec. En Windows Server 2003, se admiten todos los usos de IPSec. Al planear el uso de NAT-T con Windows, tenga en cuenta lo siguiente: Las versiones de Windows anteriores a Windows Server 2003 requieren una actualización del sistema operativo. El método que emplee para agregar esta compatibilidad depende de la versión de Windows que utilice. El modo de transporte FTP activo a través de IPSec no funciona. FTP activo funciona a través de L2TP/IPSec. En algunas ocasiones, NAT-T en Windows XP no puede negociar la unidad de transferencia máxima de ruta de acceso (PMTU, Path Maximum Transfer Unit) cuando se utiliza el modo de transporte general de IPSec. Esto puede producir la fragmentación de paquetes entre el cliente y el servidor, lo que puede causar problemas con algunos servidores de seguridad intermedios. Información adicional: Para obtener más información sobre los estándares propuestos por IETF para Recorridos NAT, visite (este sitio está en inglés). Para obtener más información sobre la descarga Web de NAT-T para Windows 98, Windows Millennium Edition y Windows NT 4, visite (este sitio está en inglés). Para obtener más información sobre NAT-T, visite y (estos sitios están en inglés). Versión de SO Compatibilidad con IPSec y L2TP Compatibilidad con el modo de transporte general de IPSec Windows Server 2003 Sí4 Windows XP Sí1 No recomendado5 Windows 2000 Sí2 No Windows NT 4 Sí3 Windows 98 y Windows Millennium Edition Nota 1: Windows Update o hotfix Nota 2: Con hotfix Nota 3: Con descarga de Web Nota 4: FTP activo no funciona Nota 5: Algunas reducciones de PTMU no funcionan

45 Exigir seguridad en los clientes de acceso remoto
Problema: Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativos Los equipos no protegidos de la red corporativa ponen en peligro toda la red Soluciones: Impedir el acceso remoto Confiar en que los usuarios protegen los clientes remotos Crear una red distinta para los clientes VPN Exigir la configuración de seguridad al conectar Desconectar los clientes que no son seguros: Control de cuarentena de acceso a la red Notas para el alumno: En la sección anterior se examinó cómo habilitar el acceso remoto para las redes de forma que se cifre el tráfico de red a medida que pasa por Internet. Una vez que los clientes VPN han establecido esta conexión, tienen acceso total a la red de la organización. Puede utilizar filtros de paquetes y otras reglas para restringir los equipos de la red a los que tienen acceso estos clientes. Tenga en cuenta que restringir este acceso puede mermar la productividad. Cuando los equipos cliente que no cumplen las normas de seguridad de la organización se conecten a la red corporativa, se verá amenazada la seguridad. Estos equipos cliente pueden estar infectados por virus o ser vulnerables a ataques provenientes de Internet, lo que representa un riesgo para la red. A continuación, se incluyen varias soluciones a este problema junto con sus inconvenientes: Impedir el acceso remoto. Esta solución podría mermar la productividad de los empleados y no suele ser viable. Confiar en que los usuarios protegen los clientes remotos. Ésta no es una solución recomendable, ya que la mayoría de los usuarios no tienen los conocimientos necesarios. Crear una red independiente para los clientes VPN y colocar un servidor de seguridad entre esta red y el resto de la red corporativa. A continuación, puede utilizar el servidor de seguridad para permitir únicamente el tráfico seleccionado entre estas redes. Sin embargo, esta solución podría mermar la productividad y no elimina todos los peligros. Exigir la aplicación de toda la configuración de seguridad cuando los clientes se conecten a la red. Para ello, se puede utilizar un archivo de comandos que se ejecute cada vez que un cliente se conecte a la red. La creación de los archivos de comandos y procedimientos necesarios puede ser una tarea muy laboriosa y puede implicar la configuración de equipos que no pertenecen a la organización, como los equipos domésticos de los empleados. Comprobar la configuración de seguridad de los equipos cliente VPN y desconectar los equipos cliente que no están protegidos. En muchos casos, ésta es la mejor solución cuando se combina con un método que los usuarios puedan emplear para actualizar sus equipos de acuerdo con los requisitos de la organización. Éste es el método utilizado por Control de cuarentena de acceso a la red, que es una nueva característica de Windows Server 2003. Información adicional: Para obtener más información sobre cómo exigir la seguridad de los clientes de acceso remoto, visite: (estos sitios están en inglés)

46 Qué es el control de cuarentena de acceso a la red
El cliente de acceso remoto se autentica Cliente RAS en cuarentena Se agota el tiempo de espera de la cuarentena El cliente RAS no pasa la comprobación de directivas El cliente RAS satisface las directivas de cuarentena Notas para el alumno: El Control de cuarentena de acceso remoto es una característica de Microsoft Windows Server 2003 que retrasa el acceso remoto normal a una red privada hasta que una secuencia de comandos proporcionada por el administrador haya examinado y validado la configuración del equipo de acceso remoto. El proceso funciona de la siguiente manera: El cliente de acceso remoto se autentica y se pone en cuarentena. Si se agota el tiempo de espera de la cuarentena o el cliente RAS no pasa la comprobación de directivas, se desconecta. Si el cliente RAS satisface las directivas de cuarentena, se le otorga acceso completo a la red. Cliente RAS desconectado El cliente RAS obtiene acceso total a la red

47 Requisitos de la cuarentena
Controlador de dominio Active Directory Recursos de cuarentena Notas para el alumno: El Control de cuarentena de acceso a la red es una característica de Windows Server 2003 que evalúa la configuración de seguridad de un cliente VPN al conectar. Mientras se evalúa el equipo cliente, éste sólo tiene acceso a un número limitado de recursos, como un servidor DNS para la resolución de nombres o un servidor Web con información sobre los requisitos de seguridad corporativos. Una vez que el cliente ha pasado todas las comprobaciones de seguridad necesarias, se le permite el acceso a la red corporativa. Esta configuración consta de los siguientes componentes: Clientes de acceso remoto Equipos con un sistema operativo Windows que creen una conexión de acceso telefónico a redes o de red privada virtual al servidor de acceso remoto. El cliente de acceso remoto debe utilizar un perfil de Connection Manager (CM). Servidor de acceso remoto Un equipo que ejecute un integrante de la familia Windows Server 2003 y el servicio Enrutamiento y acceso remoto configurado para utilizar un servidor de Servicio de autenticación Internet (IAS, Internet Authentication Service) para la autenticación. Servidor IAS Un equipo que ejecute un integrante de la familia Windows Server 2003 e IAS. El servidor IAS controla cuándo el cliente entra y sale de la cuarentena. Base de datos de cuentas En las redes basadas en Windows 2000 o Windows Server 2003, el servicio de directorio Active Directory se utiliza como base de datos de cuentas en la que se almacenan las cuentas de usuario y sus propiedades de acceso telefónico. Directiva de acceso remoto En el servidor de acceso remoto que ejecuta Enrutamiento y acceso remoto o el servidor IAS, se configura una directiva de acceso remoto que proporcione restricciones de autorización y conexión para las conexiones de acceso remoto. Asimismo, se requieren componentes que permitan la comunicación desde el cliente al servidor, independientemente de si se han pasado las comprobaciones de seguridad. Las herramientas RQC.exe y RQS.exe del Kit de recursos de Windows Server 2003 realizan esta función, pero las compañías pueden crear sus propios componentes para realizarla. Cliente RAS con CM Internet Intranet local Servidor IAS Windows Server 2003 Servidor RRAS Windows Server 2003 Directiva de acceso remoto Se requieren también las herramientas RQC.exe y RQS.exe del Kit de recursos de Windows Server 2003

48 El proceso de cuarentena
Notas para el alumno: El siguiente proceso describe cómo funciona el Control de cuarentena de acceso a la red cuando se utiliza un servidor RADIUS y los programas RQC.exe y RQS.exe: El usuario del cliente de acceso remoto compatible con el control de cuarentena utiliza el perfil de Connection Manager de cuarentena instalado para conectar con el servidor de acceso remoto compatible con el control de cuarentena. El cliente de acceso remoto pasa sus credenciales de autenticación al servidor de acceso remoto. El servicio Enrutamiento y acceso remoto envía un mensaje de solicitud de acceso RADIUS al servidor IAS. El servidor IAS valida las credenciales de autenticación del cliente de acceso remoto y, si las credenciales son válidas, comprueba sus directivas de acceso remoto. El intento de conexión cumple los requisitos de la directiva de cuarentena. Por ahora, no existen diferencias con una conexión VPN tradicional que utilice un servidor RADIUS. La conexión se acepta con las restricciones de cuarentena. El servidor IAS envía un mensaje de aceptación de acceso RADIUS que contiene los atributos MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout, entre otros. En este ejemplo se asume que ambos atributos están configurados en la directiva de acceso remoto correspondiente. Estos atributos especifican las direcciones IP de los equipos a los que los clientes en cuarenta tienen acceso y la duración del período de cuarentena. El cliente y el servidor de acceso remoto realizan la conexión de acceso remoto, que incluye la obtención de una dirección IP y otras opciones de configuración. El servicio Enrutamiento y acceso remoto configura las opciones MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout en la conexión. En este momento, el cliente de acceso remoto sólo es capaz de enviar correctamente el tráfico que coincide con los filtros de la cuarentena y dispone del número de segundos especificado en MS-Quarantine-Session-Timeout para notificar al servidor de acceso remoto que el archivo de comandos se ha ejecutado correctamente. Mientras el cliente permanece en modo de cuarentena, el perfil de Connection Manager ejecuta el archivo de comandos de cuarentena como acción posterior a la conexión. Este archivo de comandos comprueba que la configuración del equipo cliente de acceso remoto satisface los requisitos de la directiva de red. Si se pasan todas las pruebas de conformidad con la directiva de red, el archivo de comandos ejecuta RQC.exe con sus parámetros de la línea de comandos, uno de los cuales es una cadena de texto de la versión del archivo de comandos de cuarentena incluido en el perfil de Connection Manager. RQC.exe envía una notificación al servidor de acceso remoto, en la que indica que el archivo de comandos se ha ejecutado correctamente. El componente que está a la escucha (RQS.exe) recibe la notificación. Si el archivo de comandos se ha ejecutado correctamente y su versión coincide con la que se ha configurado en el Registro del servidor de acceso remoto, el componente que está a la escucha llama a la API MprAdminConnectionRemoveQuarantine(), que indica al servicio Enrutamiento y acceso remoto que quite la configuración de MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout de la conexión y configure las restricciones normales de conexión. En ese momento, el cliente de acceso remoto tiene acceso normal a la intranet. Cliente RAS Internet Servidor RRAS Servidor IAS Conectar Autenticar Autorizar la cuarentena y otros filtros Acceso de cuarentena Resultado de la comprobación de directivas Quitar la cuarentena Acceso completo

49 Limitaciones del control de cuarentena de acceso a la red
Depende de que la configuración pueda comprobarse mediante archivos de comandos Depende de los archivos de comandos del cliente Un usuario malintencionado podría eludir la cuarentena Los usuarios deben disponer de un método para cumplir con los requisitos Métodos para aplicar las actualizaciones Punto de instalación externa para el software antivirus Limitado a las conexiones de acceso telefónico y VPN Notas para el alumno: El Control de cuarentena de acceso a la red puede ser un método eficaz para prohibir el acceso de equipos cliente no protegidos a la red corporativa, pero esta técnica presenta también algunas limitaciones: La eficacia de este método depende de que la configuración pueda comprobarse mediante un archivo de comandos. Por ejemplo, es posible comprobar si los clientes ejecutan versiones compatibles de un sistema operativo u otro software. También es posible comprobar revisiones específicas, versiones de definición de virus y otras opciones. Sin embargo, no se puede realizar un análisis de seguridad exhaustivo del equipo cliente. El control de cuarentena depende del archivo de comandos del cliente. Esto significa que un usuario malintencionado podría utilizar un cliente para eludir las restricciones de la cuarentena. El Control de cuarentena de acceso a la red no está diseñado para prohibir el acceso de usuarios malintencionados a la red, sino para garantizar que los equipos de los usuarios autorizados están configurados de forma segura. Los usuarios deben disponer de un método para cumplir con los requisitos de seguridad de la organización. Los usuarios deben disponer de un método para aplicar actualizaciones y orientación sobre qué actualizaciones y opciones de configuración se necesitan. Esta información puede mantenerse en un servidor Web que forme parte de los recursos de cuarentena. También es posible proporcionar un punto de instalación externo para el software, como software antivirus. Para garantizar que sólo los usuarios autorizados tienen acceso a este servidor, puede utilizarse una carpeta Web con control de acceso en función del usuario. Para el software que requiere licencia, es posible que tenga que implementar el seguimiento de licencias para la instalación de software desde servidores a los que se tenga acceso externamente. La cuarentena de acceso a la red sólo puede utilizarse para las conexiones de acceso telefónico y red privada virtual. No puede utilizarse para otras conexiones de red, como las conexiones inalámbricas. La cuarentena de acceso a la red permite exigir la directiva de seguridad, pero no es un mecanismo de autenticación. El proceso de cuarentena se inicia una vez realizada la autenticación.

50 Consejos y trucos sobre el control de cuarentena de acceso a la red
Empiece con el Kit de recursos de Windows Server 2003 Utilice Connection Manager Cree perfiles alternativos para entornos distintos Diseñe un plan para los recursos de cuarentena Reduzca el retraso de las aplicaciones Notas para el alumno: El Kit de recursos de Windows Server 2003 contiene los programas RQC y RQS que pueden ayudarle a implementar la cuarentena de acceso a la red. Contiene también archivos de comandos de ejemplo. Aunque Connection Manager no se necesita para una conexión VPN, se trata del método más sencillo para implementar archivos de comandos que se ejecutan después de que el usuario establezca una conexión. Connection Manager simplifica además la conexiones remotas de los usuarios. Los perfiles de Connection Manager se crean con el Kit de administración de Connection Manager(CMAK), que se incluye con Windows Server 2003. Si la red admite diversos clientes VPN, es posible que no todos los equipos cliente cumplan con los requisitos de control de acceso a la red. En ese caso, determine si va a crear perfiles RRAS o IAS distintos para los usuarios que no tengan que cumplir con la configuración de cuarentena. Diseñe un plan para los recursos de cuarentena. Estos recursos deben permitir la resolución de nombres y deben proporcionar todo lo necesario para proteger los equipos cliente. Como los equipos cliente no tienen acceso total a la red al conectarse, es posible que las aplicaciones cliente no se ejecuten correctamente al conectarse a la red. Puede evitar este problema de dos formas: Utilice únicamente la configuración de tiempo de espera, de forma que los equipos cliente tengan acceso a todos los recursos de la red durante el período de cuarentena sin que se produzcan retrasos en las aplicaciones. Los equipos cliente se desconectarán igualmente si no satisfacen los requisitos de conexión durante el tiempo de espera. Utilice la notificación inmediata, que permite que el cliente notifique inmediatamente al servidor RRAS para que quite las restricciones de cuarentena. Esto permite eliminar inmediatamente las restricciones de cuarentena. Es posible incluir en el archivo de comandos del cliente pasos que desconecten el equipo cliente cuando no se satisfagan las restricciones.

51 Demostración 4 Configuración de la cuarentena de acceso a la red Instalación, configuración y comprobación de la cuarentena de acceso a la red En esta demostración los alumnos aprenderán a: Instalar y configurar los componentes del control de cuarentena.

52 Orden del día Introducción
Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Notas para el alumno: En esta sección se explica cómo solucionar los problemas que puedan surgir en distintas situaciones relacionadas con la seguridad. Los temas que se tratan son: Resolución de conflictos entre plantillas de seguridad. Solución de errores de aplicación. Solución de problemas de servicios y procesos. Solución de problemas de conexiones de red. Recomendaciones para la solución de problemas.

53 Resolución de conflictos entre plantillas de seguridad
Uso de las herramientas Resultant Set of Policies (RSoP) Herramientas de administración de Active Directory Resultados de directiva de grupo desde GPMC GPResult Notas para el alumno: En un entorno administrado, se pueden aplicar muchas opciones de seguridad mediante Directiva de grupo. Algunas veces, esto produce un conflicto entre las plantillas de seguridad. Puede utilizar la herramienta RSoP (Resultant Set of Policies o Conjunto resultante de directivas) para solucionar los problemas de aplicación de Directiva de grupo. RSoP ofrece a los administradores la capacidad de planear, supervisar y solucionar los problemas de Directiva de grupo. Con RSoP los administradores pueden planear el modo en que los cambios de Directiva de grupo afectan al usuario o equipo de destino. Asimismo, pueden comprobar de forma remota las directivas actualmente vigentes en un equipo determinado. Durante la solución de problemas, RSoP proporciona información detallada sobre toda la configuración de seguridad que se aplica al equipo o usuario y especifica el objeto de directiva de grupo que aplica la configuración. A RSoP se puede tener acceso de varias formas: En un equipo con Windows XP o Windows Server 2003, puede crear una Microsoft Management Console y agregar el complemento RSoP. En Usuarios y equipos de Active Directory en un equipo con Windows Server 2003 o Windows XP (con el paquete de herramientas administrativas instalado), puede ejecutar RSoP desde el elemento de menú Todas las tareas al hacer clic con el botón secundario del mouse (ratón) en un objeto de usuario, equipo, unidad organizativa o dominio. En Sitios y servicios de Active Directory en un equipo con Windows Server 2003 o Windows XP (con el paquete de herramientas administrativas instalado), puede ejecutar RSoP desde el elemento de menú Todas las tareas al hacer clic con el botón secundario del mouse en un objeto de sitio. En la herramienta Group Policy Management Console (Consola de administración de directiva de grupo). Uso de GPResult GPResult es una versión de línea de comandos de RSOP basada en clientes. Cuando se ejecuta GPResult en una estación de trabajo, todos los objetos de directiva de grupo que se aplican al usuario y a la estación de trabajo se muestran en una ventana de comandos.

54 Solución de errores de aplicación
La aplicación de revisiones o plantillas de seguridad puede impedir el funcionamiento de las aplicaciones Herramientas para solucionar errores de las aplicaciones Network Monitor File Monitor Registry Monitor Dependency Walker Cipher Notas para el alumno: Ocasionalmente, puede ocurrir que la aplicación de una revisión o plantilla de seguridad impida el funcionamiento correcto de una aplicación. Utilice las siguientes herramientas para solucionar problemas de aplicaciones ”averiadas”: Netmon (Network Monitor o Monitor de red) le ayudará a determinar los problemas de red con aplicaciones que utilizan directamente la red o emplean recursos de red (como recursos compartidos de archivos, servicios Web, RPC, LDAP o Kerberos). La mejor forma de utilizar esta herramienta consiste en trabajar con dos sistemas, uno que funcione y otro que no funcione, registrar el tráfico de red mientras se ejecuta la aplicación y comparar los registros de captura de NetMon línea por línea para ver si hay mensajes de error en los datos detallados del paquete o detectar si faltan paquetes o hay paquetes que han entrado en un bucle. FileMon (File Monitor de Sysinternals.com) le ayudará a determinar a qué archivos no tiene acceso la aplicación. Normalmente, la mejor forma de utilizar esta herramienta consiste en comparar los registros de un sistema que funcione y otro que no funcione para ver a qué archivo no se tiene acceso. RegMon (Registry Monitor de Sysinternals.com) le ayudará a determinar las claves y la configuración del Registro a las que ya no tiene acceso la aplicación. De nuevo, la comparación en paralelo de los registros de un sistema que funcione y otro que no funcione suele ser un método muy eficaz. Depends.exe (herramienta Dependency Walker de las herramientas de depuración, el Kit de recursos de Windows o las herramientas de soporte técnico) puede confrontar las dependencias DLL y proporcionar un informe cuando una aplicación no sea capaz de encontrar una DLL necesaria (por ejemplo, debido a una discrepancia de versiones o a un problema con los permisos). Esta herramienta puede resultar útil cuando una aplicación antigua requiera una determinada versión de una DLL que ha sido sustituida. Cipher.exe se puede utilizar para detectar y modificar la configuración de cifrado. Esta herramienta resulta útil cuando una aplicación (por ejemplo, un servicio o una aplicación que depende de un servicio instalado en el mismo sistema) no tenga acceso a un archivo necesario y se haya habilitado EFS en una o varias carpetas del sistema. A veces, los archivos se pueden cifrar accidentalmente de tal forma que se impida el acceso a la aplicación o servicio. Esto suele ocurrir cuando se cifra una carpeta utilizada para archivos temporales y después, durante la instalación de una aplicación, se copian los archivos de una ubicación temporal a la ubicación de destino.

55 Solución de problemas de servicios y procesos
Quizás tenga que solucionar problemas con los servicios: Cuando los servicios y los procesos no puedan iniciarse Para confirmar que todos los servicios y procesos son legítimos Herramientas para solucionar problemas con los procesos: Tlist.exe o Process Explorer Dependency Walker Examinar las propiedades de los archivos DLL Notas para el alumno: Hay dos situaciones en las que es posible que tenga que solucionar problemas con los servicios y los procesos. Puede ocurrir que un servicio no sea capaz de iniciarse debido a una revisión de seguridad. O bien, es posible que necesite comprobar que todos los procesos que se ejecutan en un servidor o estación de trabajo son legítimos y que ninguno de los procesos contiene código peligroso. Utilice las siguientes herramientas para solucionar problemas con los servicios y procesos: Tlist.exe (de las herramientas de depuración o del Kit de recursos de Windows) o Process Explorer (de Sysinternals.com). Cualquiera de estas aplicaciones puede informar de la ruta de acceso desde la que se ejecutan los procesos y de los parámetros de la línea de comandos que se han podido utilizar para ejecutar el proceso. Estas herramientas permiten además buscar el archivo EXE utilizado por el servicio o proceso. Para solucionar problemas con archivos DLL, realice en primer lugar un seguimiento de todos los archivos DLL en %systemroot%\system32 y averigüe qué aplicación los ha instalado. Utilice Process Explorer para detectar aplicaciones en modo de usuario en las que aparecen determinados archivos DLL cargados. Utilice Depends.exe (herramientas de soporte técnico de Windows XP, Kit de recursos de Windows 2000) para averiguar qué archivos DLL ha podido cargar el ejecutable. En aquellos archivos DLL que no haya sido capaz de identificar, cargue sus propiedades de una en una y examine la información de la ficha Versión, incluidos “compañía”, “nombre interno” y “nombre del producto”, para saber quién ha publicado el archivo DLL (aunque esta información algunas veces no es muy fidedigna).

56 Solución de problemas de conexiones de red
Compruebe que sólo los puertos necesarios están abiertos en los equipos Herramientas para determinar el uso de los puertos: Netstat –o (en Windows XP o Windows Server 2003) Administrador de tareas Comprobar el uso de los puertos de las aplicaciones y servicios Notas para el alumno: Una de las tareas a las que puede tener que enfrentarse cuando vaya a proteger estaciones de trabajo y servidores es determinar qué puertos de red utilizan los equipos. Quizás necesite solucionar problemas de conectividad de red cuando un puerto esté bloqueado en un servidor de seguridad o tal vez tenga que validar si un determinado puerto es necesario. Existen muchas herramientas para identificar los procesos que se encuentran a la escucha en determinados puertos TCP o UDP: En Windows XP y Windows Server 2003, puede ejecutar simplemente netstat.exe con el parámetro -o para determinar el PID (Identificador de proceso) que ha ocasionado que el puerto adopte el estado En escucha. A continuación, ejecute el Administrador de tareas para averiguar qué proceso utiliza ese PID. En Windows 2000 y versiones anteriores (o en lugar de netstat.exe), puede utilizar una herramienta de terceros como fport.exe (de foundstone.com) u openports.exe (de diamondcs.com.au). Estas herramientas también suelen omitir algunos pasos para simplificar su uso. A continuación, para determinar si son las aplicaciones que ha ejecutado, no los servicios que ya se encuentran en ejecución en el equipo, las que abren los puertos, cierre todas las aplicaciones de usuario (incluidos los iconos de bandejas del sistema y las aplicaciones de la barra de tareas) y vuelva a ejecutar la herramienta de asignación de puertos que prefiera. Los procesos que ya no están en el modo En escucha son los únicos responsables de los puertos que ya no aparecen en el informe de detección. Para determinar cuáles de los servicios que se ejecutan en el sistema se pueden cerrar para deshabilitar los puertos restantes, cierre los servicios uno por uno. A continuación, compare los resultados de la herramienta de detección antes y después de detener el servicio en cuestión. Tenga en cuenta que, puesto que el administrador no puede detener algunos servicios, los puertos que queden después de cerrar TODOS los servicios posibles deben considerarse obligatorios. Además, es posible que algunos servicios compartan un puerto. En tal caso, para que el equipo deje de estar a la escucha en algunos puertos, puede ser necesario cerrar ambos servicios. Una vez identificada la correspondencia exacta entre los servicios y los puertos necesarios, puede determinar si el servicio es necesario en el equipo. Si no es necesario, deshabilítelo para impedir que se vuelva a iniciar. Si el servicio es necesario, tome nota del puerto necesario para el servicio.

57 Recomendaciones para la solución de problemas
Utilice una estrategia formal de administración de cambios y configuración para todos los cambios de seguridad Pruebe todos los cambios de configuración de seguridad Utilice herramientas RSOP en modo de diseño Documente la configuración normal Tenga preparada una estrategia para deshacer los cambios Solucione los problemas de forma segura Notas para el alumno: Siempre que vaya a solucionar problemas de configuración de seguridad, tenga en cuenta las siguientes recomendaciones: Utilice una estrategia formal de administración de cambios y configuración. Así podrá encontrar el origen de los problemas más fácilmente y simplificará la estrategia de reversión. Siempre que realice cambios en una configuración de seguridad, pruebe los cambios antes e inmediatamente después de su implementación. Asegúrese de que el cambio en la configuración se ha aplicado correctamente y de que no ha introducido ningún otro punto vulnerable de seguridad. Utilice RSOP en modo de diseño: las herramientas RSOP se pueden ejecutar en este modo para determinar cuál será el efecto de aplicar una plantilla de seguridad. Para solucionar problemas crípticos, tendrá que saber cuál es la configuración normal antes de aplicar una plantilla o revisión de seguridad. Asegúrese siempre de disponer de una estrategia para deshacer los cambios. Solucione siempre los problemas de forma segura. Esto significa que no debe poner en peligro la seguridad de la organización en las operaciones empleadas para solucionar los problemas. Por ejemplo, si un cambio en la configuración de seguridad no es correcto, no reduzca el nivel de seguridad de otras opciones cuando intente solucionar el problema. Si lo hace, podría poner en peligro el equipo cuyos problemas trata de resolver.

58 Resumen de la sesión Estrategias reales de administración de revisiones Estrategias reales de acceso remoto Solución de problemas de configuraciones de seguridad Notas para el alumno:

59 Pasos siguientes Mantenerse informado sobre la seguridad
Suscribirse a boletines de seguridad: Obtener las directrices de seguridad de Microsoft más recientes: Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar un CTEC local que ofrezca cursos prácticos: En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información sobre seguridad más reciente. Obtener aprendizaje de seguridad adicional.

60 Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN® (desarrolladores) (este sitio está en inglés)

61 Preguntas y respuestas

62


Descargar ppt "Estrategias de seguridad aplicada"

Presentaciones similares


Anuncios Google