La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Seguridad avanzada de clientes y servidores Nombre del presentador PuestoCompañía.

Presentaciones similares


Presentación del tema: "Seguridad avanzada de clientes y servidores Nombre del presentador PuestoCompañía."— Transcripción de la presentación:

1

2 Seguridad avanzada de clientes y servidores Nombre del presentador PuestoCompañía

3 Requisitos previos para la sesión Experiencia práctica con los sistemas operativos de cliente y de servidor Microsoft® Windows® y con Active Directory® Experiencia práctica con los sistemas operativos de cliente y de servidor Microsoft® Windows® y con Active Directory® Conocimientos sobre los procedimientos básicos de seguridad de clientes y servidores, incluido cómo reforzar los equipos con Directiva de grupo Conocimientos sobre los procedimientos básicos de seguridad de clientes y servidores, incluido cómo reforzar los equipos con Directiva de grupo Nivel 300

4 Orden del día Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

5 Prácticas básicas de seguridad para Active Directory Establezca límites seguros de Active Directory Fortalezca la configuración de las directivas de dominio Utilice una jerarquía de unidades organizativas (OU) basada en funciones Establezca prácticas administrativas seguras Refuerce DNS

6 Prácticas básicas de seguridad del servidor Aplique los Service Packs más recientes y todas las revisiones de seguridad disponibles. Utilice directivas de grupo para reforzar los servidores -Deshabilite los servicios que no sean necesarios -Implemente directivas de contraseñas estrictas -Deshabilite la autenticación de LAN Manager y NTLMv1 Restrinja el acceso físico y de red a los servidores

7 Prácticas básicas de seguridad del cliente Aplique los Service Packs más recientes y todas las revisiones de seguridad disponibles Utilice directivas de grupo para reforzar los clientes -Deshabilite los servicios que no sean necesarios -Aplique la plantilla de seguridad adecuada -Configure las opciones de seguridad de Microsoft Internet Explorer Utilice software antivirus Instruya a los usuarios

8 Microsoft Java: alerta de finalización del soporte técnico Microsoft Java Virtual Machine (MSJVM) se incluía con Windows y muchos otros productos de Microsoft Microsoft Java Virtual Machine (MSJVM) se incluía con Windows y muchos otros productos de Microsoft Ya no se incluye en Windows XP SP1a ni en Windows Server 2003 Ya no se incluye en Windows XP SP1a ni en Windows Server 2003 A partir del final de septiembre de 2004, ya no se proporcionará soporte técnico ni se corregirá cualquier error que pudiera detectarse posteriormente. A partir del final de septiembre de 2004, ya no se proporcionará soporte técnico ni se corregirá cualquier error que pudiera detectarse posteriormente. Después de esta fecha no se corregirán errores ni se crearán nuevas revisiones de seguridad. No se harán excepciones. Después de esta fecha no se corregirán errores ni se crearán nuevas revisiones de seguridad. No se harán excepciones. Los departamentos de IT pueden depender de MSJVM con aplicaciones desarrolladas internamente o aplicaciones con licencia comercial Los departamentos de IT pueden depender de MSJVM con aplicaciones desarrolladas internamente o aplicaciones con licencia comercial Los desarrolladores deberían Los desarrolladores deberían Evaluar las aplicaciones con dependencias Evaluar las aplicaciones con dependencias Entender la exposición relativa a seguridad de MSJVM Entender la exposición relativa a seguridad de MSJVM Actualizar o eliminar aplicaciones que sean dependientes Actualizar o eliminar aplicaciones que sean dependientes Eliminar MSJVM de máquinas y aplicaciones de clientes Eliminar MSJVM de máquinas y aplicaciones de clientes Para obtener más información y herramientas de ayuda, visite Para obtener más información y herramientas de ayuda, visite (en inglés) (en inglés)

9 Orden del día Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

10 Servicios que es conveniente deshabilitar Servicios Portafolios Servicio de informe de errores SSL de HTTP Servicio COM de grabación de CD de IMAPI Servicio de Index Server Conexión de seguridad a internet (ICF)/Conexión compartida a Internet (ICS) Messenger Servicio POP3 de Microsoft Escritorio remoto compartido de NetMeeting Administrador de conexión automática de acceso remoto Administrador de conexión de acceso remoto Servicio de publicación World Wide Web

11 Servicios que no se deben deshabilitar Servicios Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Conexiones de red Proveedor de compatibilidad con seguridad LM de Windows NT Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows Horario de Windows Estación de trabajo

12 Determinar las dependencias de los servicios Determine las dependencias de un servicio antes de deshabilitarlo Determine las dependencias de un servicio antes de deshabilitarlo Utilice el complemento Servicios de Administración de equipos para ver las dependencias de los servicios Utilice el complemento Servicios de Administración de equipos para ver las dependencias de los servicios

13 Configuración de servicios en servidores que realizan varias funciones Las plantillas de seguridad contienen opciones que controlan el comportamiento de los servicios Las plantillas de seguridad contienen opciones que controlan el comportamiento de los servicios Use Directiva de grupo para aplicar una plantilla de seguridad específica de funciones modificadas a servidores que realizan varias funciones Use Directiva de grupo para aplicar una plantilla de seguridad específica de funciones modificadas a servidores que realizan varias funciones

14 Protección de servidores mediante filtros IPSec En general, bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesite para cumplir su función En general, bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesite para cumplir su función Pruebe la directiva de seguridad IP antes de implementarla Pruebe la directiva de seguridad IP antes de implementarla Utilice el complemento Administración de directivas de seguridad IP, Directiva de grupo o secuencias de comandos para configurar filtros IPSec Utilice el complemento Administración de directivas de seguridad IP, Directiva de grupo o secuencias de comandos para configurar filtros IPSec Utilice filtros IPSec específicos para servidores según la función de éstos Utilice filtros IPSec específicos para servidores según la función de éstos

15 Filtros IPSec para controladores de dominio ServicioProtocoloPuerto de origen Puerto de destino Dirección de origen Dirección de destino AcciónReflejado Servidor CIFS/SMB TCPCualquiera445CualquieraMePermitirSí UDPCualquiera445CualquieraMePermitirSí Servidor RPC TCPCualquiera135CualquieraMePermitirSí UDPCualquiera135CualquieraMePermitirSí Servidor NetBIOS TCPCualquiera137CualquieraMePermitirSí UDPCualquiera137CualquieraMePermitirSí UDPCualquiera138CualquieraMePermitirSí TCPCualquiera139CualquieraMePermitirSí Supervisión de cliente Cualquiera MeServidor MOMPermitirSí Servidor de Servicios de Terminal Server TCPCualquiera3389CualquieraMePermitirSí Servidor de catálogo global TCPCualquiera3268CualquieraMePermitirSí TCPCualquiera3269CualquieraMePermitirSí

16 Filtros IPSec para controladores de dominio (continuación) ServicioProtocoloPuerto de origen Puerto de destino Dirección de origen Dirección de destino AcciónReflejado Servidor DNSTCPCualquiera53CualquieraMePermitirSí UDPCualquiera53CualquieraMePermitirSí Servidor KerberosTCPCualquiera88CualquieraMePermitirSí UDPCualquiera88CualquieraMePermitirSí Servidor LDAPTCPCualquiera389CualquieraMePermitirSí UDPCualquiera389CualquieraMePermitirSí TCPCualquiera636CualquieraMePermitirSí UDPCualquiera636CualquieraMePermitirSí Servidor NTPTCPCualquiera123Me PermitirSí UDP123Me Intervalo RPC predefinido TCPCualquiera CualquieraMePermitirSí Comunicaciones DC Cualquiera MeControlador de dominio 1 PermitirSí Comunicaciones DC Cualquiera MeControlador de dominio 2 PermitirSí ICMP Cualquiera MeCualquieraPermitirSí Todo el tráfico entrante Cualquiera MeBloquearSí

17 Entradas del Registro para la protección de los controladores de dominio Al aplicar filtros IPSec en un controlador de dominio: Al aplicar filtros IPSec en un controlador de dominio: Use unpequeño intervalode puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes Use un pequeño intervalo de puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes Incluya puertos superiores al Incluya puertos superiores al Limite el intervalo de puertos RPC dinámicos mediante la configuración de opciones del Registro en todos los controladores de dominio Limite el intervalo de puertos RPC dinámicos mediante la configuración de opciones del Registro en todos los controladores de dominio

18 Cómo crear una directiva de seguridad IP 1. Abra GPMC 2. Modifique el GPO al que desea asignar la directiva de seguridad IP 3. Cree una o varias listas de filtros IPSec 4. Cree una o varias acciones de filtrado 5. Cree una directiva de seguridad IP 6. En la directiva de seguridad IP, cree una regla de seguridad IP para cada lista de filtros que haya creado 7. Asigne la directiva de seguridad IP

19 Demostración 1 Creación de una directiva de seguridad IP Uso de GPMC para crear y asignar una directiva de seguridad IP

20 Auditorías de seguridad Los administradores deben establecer una directiva de auditoría Los administradores deben establecer una directiva de auditoría Al establecer una directiva de auditoría: Al establecer una directiva de auditoría: Analice el modelo de amenazas Analice el modelo de amenazas Tenga en cuenta las capacidades del sistema y de los usuarios Tenga en cuenta las capacidades del sistema y de los usuarios Pruebe y afine la directiva Pruebe y afine la directiva Considere la supervisión centralizada de los registros Considere la supervisión centralizada de los registros

21 Microsoft Audit Collection Services (MACS) WMI Clientes supervisados Servidores supervisados SQLRecolector Sucesos sujetos a alteracionesSucesos controlados por auditores Registros de sucesos Aplicaciones de detección de intrusos en tiempo real Análisis detallado Sistema de administración

22 Configuración recomendada de directivas de auditoría para servidores integrantes Directiva de auditoría Configuración recomendada para un entorno de clientes corporativos Auditar sucesos de inicio de sesión de cuenta Éxito Auditar la administración de cuentasÉxito Auditar el acceso del servicio de directorioSólo si lo requiere el modelo de amenazas Auditar sucesos de inicio de sesiónÉxito Auditar el acceso a objetosSólo si lo requiere el modelo de amenazas Auditar el cambio de directivasÉxito Auditar el uso de privilegiosSin auditoría Auditar el seguimiento de procesosSólo si lo requiere el modelo de amenazas Auditar sucesos del sistemaÉxito

23 Demostración 2 Auditorías Uso de EventCombMT para ver registros de sucesos

24 Orden del día Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

25 Herramienta Bloqueo de seguridad de IIS La herramienta Bloqueo de seguridad de IIS desactiva las características que no son necesarias para reducir el área expuesta a ataques de IIS 4.0, IIS 5.0 e IIS 5.1 Para proporcionar defensa en profundidad, la herramienta Bloqueo de seguridad de IIS se integra con URLScan, que contiene plantillas personalizadas para cada función de servidor compatible

26 Resultados de la herramienta Bloqueo de seguridad de IIS (X significa habilitado)

27 URLScan URLScan ayuda a impedir que lleguen solicitudes potencialmente dañinas al servidor URLScan ayuda a impedir que lleguen solicitudes potencialmente dañinas al servidor URLScan restringe los tipos de solicitudes HTTP que IIS procesará: URLScan restringe los tipos de solicitudes HTTP que IIS procesará: Solicitudes de direcciones URL largas Solicitudes de direcciones URL largas Solicitudes con juegos de caracteres alternativos Solicitudes con juegos de caracteres alternativos Solicitudes que contienen métodos no permitidos Solicitudes que contienen métodos no permitidos Solicitudes que coinciden con algún patrón Solicitudes que coinciden con algún patrón

28 Refuerce el sistema operativo y aplique todas las revisiones de seguridad pertinentes Quite los componentes que no sean necesarios Ejecute la herramienta Bloqueo de seguridad de IIS Configure URLScan Coloque el contenido en una partición NTFS independiente Proteja los archivos mediante los permisos mínimos Exija el cifrado para el tráfico Web confidencial Si es posible, no habilite los permisos de ejecución y de escritura en el mismo sitio Web Ejecute las aplicaciones con protección de aplicaciones media o alta Use filtros IPSec para permitir únicamente el tráfico necesario (HTTP y HTTPS) al servidor Web Los 10 pasos más importantes para proteger IIS 5.x

29 Mejoras de seguridad en IIS 6.0 IIS 6.0 está bloqueado inicialmente con los límites de contenido y tiempos de espera más restrictivos de forma predeterminada CaracterísticaDescripción Servidor bloqueado IIS 6.0 no se instala de forma predeterminada. Una instalación limpia proporciona únicamente compatibilidad con archivos estáticos. Lista de extensiones de servicios Web La instalación predeterminada no compila, ejecuta ni proporciona servicio a archivos con contenido dinámico. Cuenta predeterminada con pocos privilegios Los procesos de IIS se ejecutan con privilegios bastante más bajos si se inicia una sesión con la cuenta SERVICIO DE RED. Autorización Autenticación de direcciones URL con el Administrador de autorización. Autenticación restringida y delegada. Comprobación de direcciones URL Configure límites de longitud de direcciones URL y tiempos de espera. Comprobación de si existe el archivo antes de intentar ejecutarlo. Directorios virtuales no ejecutables. Aislamiento de procesos Cajón de arena (sandboxing) mejorado de la aplicación. El código de terceros se ejecuta únicamente en el reciclaje de recursos y procesos de trabajo.

30 Grupos de aplicaciones de IIS 6.0 Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí

31 Demostración 3 Protección de IIS 6.0 Configuración de grupos de aplicaciones

32 Resumen de seguridad de IIS Nueva arquitectura de IIS 6.0 para una mayor seguridad y confiabilidad Nueva arquitectura de IIS 6.0 para una mayor seguridad y confiabilidad Utilice las herramientas, consejos y actualizaciones de seguridad más recientes para el servidor Web Utilice las herramientas, consejos y actualizaciones de seguridad más recientes para el servidor Web Manténgase informado y mantenga los sistemas actualizados Manténgase informado y mantenga los sistemas actualizados

33 Orden del día Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

34 Directivas de restricción de software La ejecución de código malintencionado supone un riesgo grave para la seguridad La ejecución de código malintencionado supone un riesgo grave para la seguridad Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: Se aplican a archivos ejecutables, contenido activo y secuencias de comandos Se aplican a archivos ejecutables, contenido activo y secuencias de comandos Se pueden distribuir con Directiva de grupo Se pueden distribuir con Directiva de grupo

35 Aplicación de directivas de restricción de software Determine la configuración predeterminada para la directiva de restricción de software: Restringida o Permitida Determine las excepciones a la configuración predeterminada: Reglas hash Reglas de certificado Reglas de ruta de acceso Reglas de zona de Internet Determine si se aplican varias reglas: Aplique la prioridad de reglas

36 Implementación de directivas de restricción de software RecomendacionesRegla recomendada Restrinja la ejecución de una versión determinada de un programaRegla hash Restrinja la ejecución de un programa que siempre se instala en el mismo directorio Regla de ruta de acceso con variables de entorno Restrinja la ejecución de un programa que se puede instalar en cualquier ubicación en un equipo cliente Regla de ruta de acceso al Registro Identifique un conjunto de archivos de comandos en un servidor centralRegla de ruta de acceso Restrinja la ejecución de todos los archivos.vbs (excepto los ubicados en un directorio de archivos de comandos de inicio de sesión) Regla de ruta con caracteres comodín Identifique un conjunto de archivos de comandos que se puedan ejecutar en cualquier lugar Regla de certificado Permita la instalación de aplicaciones desde un servidor de Internet de confianza Regla de zona Opciones de configuración adicionales: Comprobación de archivos DLL, aplicación de reglas a administradores y configuración de tipos de archivo

37 Diseño de directivas de restricción de software Dominio OU Departamento OU Usuarios protegidos de Windows XP OU Windows XP OU Equipos de escritorio OU Equipos portátiles SRP de dominio SRP de usuarios protegidos de Windows XP SRP de equipos portátiles SRP de equipos de escritorio Objeto de directiva de grupo (GPO) o directiva de seguridad local Objeto de directiva de grupo (GPO) o directiva de seguridad local Directiva de usuario o de equipo Directiva de usuario o de equipo Nivel de seguridad predeterminado Nivel de seguridad predeterminado Configuración de las reglas necesarias Configuración de las reglas necesarias Opciones de directiva Opciones de directiva Vinculación de la directiva a un sitio, dominio o unidad organizativa Vinculación de la directiva a un sitio, dominio o unidad organizativa

38 Demostración 4 Uso de directivas de restricción de software Configuración de directivas de restricción de software

39 Uso de plantillas de seguridad Área de seguridadDescripción Directivas de cuentasDirectivas de contraseñas, de bloqueo de cuentas y Kerberos Directivas locales Directiva de auditoría, asignación de derechos de usuario y opciones de seguridad Registro de sucesos Configuración de los registros de aplicación, sistema y sucesos de seguridad Grupos restringidosPertenencia a grupos sensibles a la seguridad Servicios del sistemaInicio y permisos para servicios del sistema RegistroPermisos para claves del Registro Sistema de archivosPermisos para carpetas y archivos Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas para la protección de equipos que se ejecutan en la plataforma Windows

40 Uso de directivas de cuentas en el nivel de dominio Las directivas se aplican a los controladores de dominio y a todas las cuentas del dominio OpciónVulnerabilidadMedida preventivaPosibles efectos Ejemplo de directiva de cuentas: Forzar el historial de contraseñas Los usuarios utilizan de nuevo la misma contraseña Utilice el valor máximo Los usuarios pueden tener anotadas contraseñas antiguas Ejemplo de directiva de cuentas: Las contraseñas deben cumplir los requisitos de complejidad Las contraseñas que no son complejas se pueden adivinar fácilmente Habilite esta opción Indique a los usuarios que utilicen frases Los usuarios pueden no recordar contraseñas complejas Ejemplo de directiva de cuentas: Vigencia mínima de la contraseña Los usuarios pueden cambiar de contraseña varias veces para poder utilizar de nuevo una contraseña Establezca 2 días para la opción Vigencia mínima de la contraseña Si un administrador cambia la contraseña de un usuario, es posible que el usuario no pueda cambiarla durante 2 días Ejemplo de directiva Kerberos: Forzar restricciones de inicio de sesión de usuario Los usuarios pueden obtener vales de sesión para servicios no autorizados Reduzca la caducidad de los vales y exija una sincronización más estricta de los relojes Mayor tráfico de red; incapacidad para conectarse a los servidores Dominio Directivas de cuentas Directivas Kerberos Directivas de bloqueo de cuentas

41 Implementación de plantillas de seguridad Opción Configuración en la plantilla de seguridad Requisito de la compañía Configuración modificada en la plantilla Tener acceso a este equipo desde la red Administradores, Usuarios Sólo unos pocos usuarios necesitan tener acceso a los recursos compartidos en el equipo Limite el acceso a grupos de seguridad específicos Haga copia de seguridad de archivos y directorios Administradores Los usuarios de equipos portátiles deben poder realizar copias de seguridad de archivos sin ser administradores Conceda a los usuarios de equipos portátiles el derecho de realizar copias de seguridad de archivos Inicio de sesión interactivo: requerir tarjeta inteligente No configurada Únicamente los usuarios con tarjetas inteligentes pueden iniciar una sesión en estaciones de trabajo administrativas Habilite la opción Implemente plantillas de seguridad con directivas de grupo Implemente plantillas de seguridad con directivas de grupo Examine las plantillas de seguridad de la Guía de seguridad de Windows XP Examine las plantillas de seguridad de la Guía de seguridad de Windows XP Importe las plantillas predeterminadas a un GPO y modifíquelas si es necesario Importe las plantillas predeterminadas a un GPO y modifíquelas si es necesario

42 Protección de clientes antiguos Los clientes Windows 2000 pueden utilizar plantillas de seguridad implementadas mediante Directiva de grupo Los clientes Windows 2000 pueden utilizar plantillas de seguridad implementadas mediante Directiva de grupo Configure otros clientes con archivos de comandos o directivas: Configure otros clientes con archivos de comandos o directivas: Secuencias de comandos de inicio de sesión Secuencias de comandos de inicio de sesión Directivas del sistema Directivas del sistema Secuencias de comandos Secuencias de comandos

43 Situaciones de implementación Equipo clienteUbicación y usoConfiguración de seguridad Windows XP Professional (Equipo independiente) Lugar público para explorar la intranet La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer Implemente una plantilla de alta seguridad Las directivas se configuran mediante la directiva de seguridad local Windows XP Professional (Integrante de un dominio) Lugar público para servidores Web de correo electrónico y de terminal La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer y Conexión a escritorio remoto Implemente una plantilla de alta seguridad Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas Windows XP y 2000 Professional (Integrante de un dominio) En una oficina segura para realizar actividades empresariales La directiva restringe sólo aplicaciones específicas Implemente una plantilla de seguridad para clientes corporativos y modifíquela según sea necesario Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas Windows XP Professional (Integrante de un dominio) En una oficina segura y para el uso por parte de administradores de dominios La directiva impide la ejecución de todas las aplicaciones (pero no se aplica a los administradores) Implemente una plantilla de alta seguridad y modifíquela según sea necesario Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas

44 Directrices de seguridad para usuarios Elegir contraseñas complejas* Proteger las contraseñas Bloquear los equipos desatendidos* No iniciar una sesión con una cuenta con privilegios* Ejecutar sólo programas de confianza* No abrir datos adjuntos sospechosos* No ser víctima de estratagemas sociales Revisar las directivas de seguridad de la organización No intentar suplantar la configuración de seguridad* Informar sobre incidentes sospechosos * Estas directrices de seguridad se pueden implementar totalmente o en parte mediante directivas centralizadas

45 Orden del día Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

46 Tipos de clientes Clientes de acceso telefónico Internet LAN VPN OWA Clientes inalámbricos Clientes VPN Clientes de correo remotos

47 Desafíos de las directivas de grupo para clientes remotos Los clientes pueden no ser integrantes del dominio: Los clientes pueden no ser integrantes del dominio: La directiva de grupo se aplica únicamente a los integrantes del dominio La directiva de grupo se aplica únicamente a los integrantes del dominio Considere el uso de una red privada virtual con acceso limitado Considere el uso de una red privada virtual con acceso limitado Considere el uso de Control de cuarentena de acceso a la red Considere el uso de Control de cuarentena de acceso a la red La configuración de directivas de grupo sólo se puede actualizar cuando los clientes se conectan La configuración de directivas de grupo sólo se puede actualizar cuando los clientes se conectan Tenga en cuenta que se puede producir un retardo si la configuración de directivas de grupo se aplica a través de vínculos lentos Tenga en cuenta que se puede producir un retardo si la configuración de directivas de grupo se aplica a través de vínculos lentos

48 Protección del acceso al correo electrónico para clientes remotos Acceso nativo a Outlook Acceso nativo a Outlook RPC sobre HTTP RPC sobre HTTP Microsoft Office Outlook Web Access (OWA): Microsoft Office Outlook Web Access (OWA): Métodos de autenticación Métodos de autenticación Cifrado Cifrado POP, IMAP y SMTP POP, IMAP y SMTP Outlook Mobile Access Outlook Mobile Access

49 Compatibilidad con seguridad de clientes inalámbricos Windows XP: Windows XP: Ofrece compatibilidad nativa con 802.1x Ofrece compatibilidad nativa con 802.1x Windows 2000: Windows 2000: 802.1x está deshabilitado de forma predeterminada 802.1x está deshabilitado de forma predeterminada La configuración requiere una utilidad de terceros La configuración requiere una utilidad de terceros No se configuran perfiles específicos de los usuarios No se configuran perfiles específicos de los usuarios No se puede utilizar Directiva de grupo para la configuración No se puede utilizar Directiva de grupo para la configuración

50 Prácticas de seguridad para clientes móviles Exija a los usuarios remotos de Servicios de Terminal Server que utilicen una conexión VPN cifrada Utilice la autenticación mediante varios factores cuando sea factible Exija una revisión periódica de los registros de auditoría Exija la autenticación 802.1x para redes inalámbricas

51 Resumen de la sesión Introducción a la seguridad avanzada de clientes y servidores Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Métodos para proporcionar seguridad a clientes móviles

52 Pasos siguientes 1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad: Suscribirse a boletines de seguridad:http://www.microsoft.com/latam/technet/seguridad/boletines.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/latam/technet/seguridad/ 2. Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar seminarios de aprendizaje en línea y presenciales:http://www.microsoft.com/latam/technet/evento/default.asp Buscar un CTEC local que ofrezca cursos prácticos: Buscar un CTEC local que ofrezca cursos prácticos:

53 Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) default.asp default.asp Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) (este sitio está en inglés)

54 Preguntas y respuestas

55


Descargar ppt "Seguridad avanzada de clientes y servidores Nombre del presentador PuestoCompañía."

Presentaciones similares


Anuncios Google