Seguridad avanzada de clientes y servidores

Seguridad avanzada de clientes y servidores
Nombre del presentador Puesto Compañía

Requisitos previos para la sesión
Experiencia práctica con los sistemas operativos de cliente y de servidor Microsoft® Windows® y con Active Directory® Conocimientos sobre los procedimientos básicos de seguridad de clientes y servidores, incluido cómo reforzar los equipos con Directiva de grupo Nivel 300

Orden del día Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: La seguridad de clientes y servidores es fundamental para todas las organizaciones, ya que una infracción de seguridad puede producir pérdidas de datos y daños en la infraestructura de red, así como perjudicar su reputación y sus ingresos. Aunque no es posible proteger totalmente una organización, debe lucharse por proteger los clientes y servidores de la red. El primer tema de esta sesión es una introducción a la seguridad avanzada de clientes y servidores. Algunos de los conceptos específicos que se tratarán son: Prácticas básicas de seguridad para Active Directory Este tema presenta información sobre prácticas fundamentales para proteger Active Directory. La protección de Active Directory constituye una parte esencial de la seguridad de la red. Prácticas básicas de seguridad del servidor Este tema contiene información sobre prácticas fundamentales para proteger los servidores. Prácticas básicas de seguridad del cliente Este tema contiene información sobre prácticas fundamentales para proteger los clientes. Microsoft Java: alerta de finalización del soporte técnico

Prácticas básicas de seguridad para Active Directory
Establezca límites seguros de Active Directory Notas para el alumno: Antes de ofrecer una introducción a los métodos y técnicas de seguridad avanzados para clientes y servidores, repasaremos brevemente las prácticas básicas de seguridad. En una organización que utilice una red de Microsoft Windows, la seguridad eficaz de los clientes y servidores comienza por una reflexión cuidadosa sobre el diseño de Active Directory y la implementación de prácticas básicas de seguridad para Active Directory. Aunque no se trata necesariamente de prácticas avanzadas, son fundamentales para la protección de los clientes y servidores de la red. Algunas prácticas básicas de seguridad para Active Directory son: Establezca límites seguros de Active Directory. En las redes de Windows 2000 y sistemas operativos posteriores, los dominios son los límites de la administración y de ciertas directivas de seguridad. Cada dominio de Active Directory está autorizado para la identidad y las credenciales de los usuarios, grupos y equipos que residen en ese dominio. No obstante, los administradores de servicios pueden atravesar los límites del dominio; por tanto, el verdadero límite de seguridad es el bosque. Si no confía en todos los administradores de dominios de la organización, debería dividir Active Directory en varios bosques. A continuación, establezca relaciones de confianza entre los dominios o bosques para permitir funciones que se apliquen a toda la organización. Fortalezca la configuración de las directivas de dominio. Refuerce la configuración, como la correspondiente a las directivas de contraseñas y de bloqueo de cuentas, en el objeto de directiva de grupo (GPO) de la directiva de dominio predeterminada o cree un GPO nuevo con una configuración de seguridad más restrictiva en el nivel de dominio. Revise la configuración de auditoría en los objetos importantes de Active Directory. Utilice una jerarquía de unidades organizativas (OU) basada en funciones. Una jerarquía de unidades organizativas basada en las funciones de servidor de la organización simplifica la administración de la seguridad, ya que la administración de una unidad organizativa puede delegarse en un grupo administrativo específico. Una jerarquía de unidades organizativas basada en las funciones de servidor aplica la configuración de directivas de seguridad apropiadas a los servidores y otros objetos en cada unidad organizativa. Establezca prácticas administrativas seguras. Configure las cuentas administrativas de modo que el ámbito de influencia de cada una se vea limitado a los contenedores específicos de Active Directory. Los administradores de servicios deben reforzar sus cuentas y estaciones de trabajo, así como evitar la delegación de operaciones que afectan a la seguridad. Los administradores de datos deben delegar cuidadosamente la administración de los datos y establecer cuotas de propiedad sobre los objetos. Refuerce el Sistema de nombres de dominio (DNS). DNS forma parte de la arquitectura que se utiliza para el acceso a Active Directory. Por tanto, configure DNS de la forma más segura posible para evitar que usuarios no autorizados puedan aprovecharlo. Fortalezca la configuración de las directivas de dominio Utilice una jerarquía de unidades organizativas (OU) basada en funciones Establezca prácticas administrativas seguras Refuerce DNS

Prácticas básicas de seguridad del servidor
Aplique los Service Packs más recientes y todas las revisiones de seguridad disponibles. Notas para el alumno: Las prácticas básicas de seguridad para servidores son líneas de base a las que se pueden agregar otras avanzadas. La incorporación de prácticas avanzadas de seguridad para servidores a las prácticas básicas existentes constituye un ejemplo de la estrategia de seguridad de defensa en profundidad de Microsoft, que reconoce que la seguridad es más efectiva cuando los equipos y los datos están protegidos por más de un nivel de seguridad. Algunas prácticas básicas de seguridad del servidor son: Aplicar los Service Packs más recientes y todas las revisiones de seguridad disponibles. Los Service Packs aumentan la seguridad y estabilidad del sistema operativo. La mayor parte de los ataques contra los servidores se aprovechan de los puntos vulnerables que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo. Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables. Utilizar directivas de grupo para reforzar los servidores. Puede utilizar directivas de grupo para: Deshabilitar los servicios innecesarios. Cualquier servicio o aplicación es un posible punto de ataque. Por lo tanto, deshabilite o quite todos los servicios y los archivos ejecutables innecesarios con el fin de reducir la parte de un sistema expuesta a un ataque. Implementar directivas de contraseñas estrictas. Puede reforzar la configuración de directivas de contraseñas y de bloqueo de cuentas para un controlador de dominio, un servidor integrante o un servidor independiente si aplica la configuración de una plantilla de seguridad apropiada. Deshabilitar la autenticación de LAN Manager y NT LAN Manager (NTLMv1) y el almacenamiento de claves de hash de LAN Manager. Al deshabilitar estas funciones quizás se impida el acceso de clientes antiguos. Establezca la configuración de manera que no deshabilite funciones necesarias. Windows 2000 y los sistemas operativos posteriores ofrecen compatibilidad nativa con NTLMv2. Microsoft Windows NT 4.0 admite NTLMv2 con el Service Pack 4 o posteriores instalados. Es necesario instalar el software cliente de Active Directory en equipos con Windows 9x para que puedan utilizar NTLMv2. Restringir el acceso físico y de red a los servidores. Almacene los servidores en una sala con cerradura. Utilice cerrojos con tarjeta o con clave en las entradas. Impida que los controladores de dominio se inicien en un sistema operativo alternativo. Asigne sólo los permisos y los derechos de usuario necesarios para los usuarios de la organización. Utilice directivas de grupo para reforzar los servidores - Deshabilite los servicios que no sean necesarios - Implemente directivas de contraseñas estrictas - Deshabilite la autenticación de LAN Manager y NTLMv1 Restrinja el acceso físico y de red a los servidores

Prácticas básicas de seguridad del cliente
Aplique los Service Packs más recientes y todas las revisiones de seguridad disponibles Notas para el alumno: Puede considerar estas prácticas básicas de seguridad para clientes como una línea de base a la que puede agregar otras avanzadas. Algunas prácticas básicas de seguridad del cliente son: Aplicar los Service Packs más recientes y todas las revisiones de seguridad disponibles. Los Service Packs aumentan la seguridad y estabilidad del sistema operativo. La mayor parte de los ataques contra los clientes se aprovechan de los puntos vulnerables que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo. Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables. Utilizar directivas de grupo para reforzar los clientes. Deshabilitar los servicios innecesarios. Cualquier servicio o aplicación es un posible punto de ataque. Por lo tanto, deshabilite o quite todos los servicios y los archivos ejecutables innecesarios con el fin de reducir la parte de un sistema expuesta a un ataque. Aplicar la plantilla de seguridad adecuada. Los sistemas operativos Windows XP y Windows 2000 Professional incluyen diversas plantillas de seguridad. Asimismo, la Guía de seguridad de Microsoft Windows XP contiene plantillas de seguridad actualizadas que incorporan opciones de seguridad recomendadas actualmente para clientes. Configurar las opciones de seguridad de Internet Explorer. Directiva de grupo contiene muchas opciones de seguridad para Internet Explorer que ayudan a proteger el equipo cliente y la red a la que está conectado contra contenido Web malintencionado. Utilizar software antivirus. Se calcula que los costos anuales atribuidos a brotes de virus superan los millones de dólares. Al implementar programas antivirus en equipos cliente de la red, tenga en cuenta las siguientes recomendaciones: Aplicar las actualizaciones del proveedor con regularidad. Utilice una estrategia de implementación centralizada cuando sea posible. Utilizar software específico para clientes. Instruir a los usuarios. Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad. Considere una prioridad instruir a los usuarios para que sigan las directrices de seguridad de la organización. Utilice directivas de grupo para reforzar los clientes - Deshabilite los servicios que no sean necesarios - Aplique la plantilla de seguridad adecuada - Configure las opciones de seguridad de Microsoft Internet Explorer Utilice software antivirus Instruya a los usuarios

Microsoft Java: alerta de finalización del soporte técnico
Microsoft Java Virtual Machine (MSJVM) se incluía con Windows y muchos otros productos de Microsoft Ya no se incluye en Windows XP SP1a ni en Windows Server 2003 A partir del final de septiembre de 2004, ya no se proporcionará soporte técnico ni se corregirá cualquier error que pudiera detectarse posteriormente. Después de esta fecha no se corregirán errores ni se crearán nuevas revisiones de seguridad. No se harán excepciones. Los departamentos de IT pueden depender de MSJVM con aplicaciones desarrolladas internamente o aplicaciones con licencia comercial Los desarrolladores deberían Evaluar las aplicaciones con dependencias Entender la exposición relativa a seguridad de MSJVM Actualizar o eliminar aplicaciones que sean dependientes Eliminar MSJVM de máquinas y aplicaciones de clientes Para obtener más información y herramientas de ayuda, visite (en inglés) Notas del alumno: Microsoft ha anunciado que dejará de dar soporte para la Máquina Virtual Java de Microsoft (MSJVM). Cualquier aplicación que utilice esa tecnología deberá actualizarse para usar una tecnología alternativa. MSJVM ya no se incluye en Windows XP SP1a ni en Windows Server 2003. Después del final de septiembre de 2004 no se dará soporte ni se corregirán errores ni se crearán nuevas revisiones de seguridad. Las empresas deben empezar a pensar como quitar todas las aplicaciones que dependen en MSJVM. Los desarrolladores deberían actualizar sus aplicaciones para utilizar otros entornos en tiempo de ejecución Java o tecnologías diferentes, y ofrecer a sus clientes las actualizaciones de estas aplicaciones. Para obtener más información, visite: (en inglés)

Orden del día Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: En este tema se describen diversos métodos y técnicas que pueden utilizarse para implementar seguridad avanzada en el servidor. Algunos de los conceptos específicos que se tratarán son: Servicios que es conveniente deshabilitar Servicios que no se deben deshabilitar Determinar las dependencias de los servicios Configuración de servicios en servidores que realizan varias funciones Protección de servidores mediante filtros IPSec (Seguridad de protocolo Internet) Filtros IPSec para controladores de dominio Entradas del Registro para la protección de los controladores de dominio Cómo crear una directiva de seguridad IP Demostración 1: Creación de una directiva de seguridad IP Auditorías de seguridad Microsoft Audit Collection Services (MACS) Configuración recomendada de directivas de auditoría para servidores integrantes Demostración 2: Auditorías

Servicios que es conveniente deshabilitar
Portafolios Servicio de informe de errores SSL de HTTP Servicio COM de grabación de CD de IMAPI Servicio de Index Server Conexión de seguridad a internet (ICF)/Conexión compartida a Internet (ICS) Messenger Servicio POP3 de Microsoft Escritorio remoto compartido de NetMeeting Administrador de conexión automática de acceso remoto Administrador de conexión de acceso remoto Servicio de publicación World Wide Web Notas para el alumno: Una de las prácticas básicas de seguridad del servidor consiste en deshabilitar los servicios que no sean necesarios. Considere los siguientes consejos preceptivos avanzados sobre servicios específicos que deben o no deshabilitarse en servidores de red. Hay algunos servicios que deben deshabilitarse a menos que se necesiten para la función que efectúa el equipo. Muchos de estos servicios están deshabilitados de forma predeterminada en Windows Server Algunos de los servicios que es conveniente deshabilitar son: Portafolios Servicio de informe de errores SSL de HTTP Servicio COM de grabación de CD de IMAPI Servicio de Index Server Conexión de seguridad a internet (ICF)/Conexión compartida a Internet (ICS) Messenger Servicio POP3 de Microsoft Escritorio remoto compartido de NetMeeting Administrador de conexión automática de acceso remoto Administrador de conexión de acceso remoto Servicio de publicación World Wide Web Puede utilizar Directiva de grupo para deshabilitar servicios en servidores. Antes de deshabilitar un servicio, determine sus dependencias. Nota: Firewall de Windows debe estar habilitado siempre en equipos que se conecten directamente a Internet. No obstante, al habilitarlo en una red corporativa puede impedir la administración remota y otras funciones. Por este motivo, no se recomienda normalmente utilizar Firewall de Windows en redes que estén protegidas de Internet mediante un servidor de seguridad corporativo.

Servicios que no se deben deshabilitar
Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Conexiones de red Proveedor de compatibilidad con seguridad LM de Windows NT Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows Horario de Windows Estación de trabajo Notas para el alumno: Algunos servicios son necesarios para el funcionamiento correcto de Windows. No debe deshabilitar estos servicios a menos que se den circunstancias muy poco habituales en las que no se necesiten las funciones que proporcionan estos servicios. Por ejemplo, si configura un servidor como host bastión, tal como se indica en la Guía de seguridad de Windows Server 2003, es posible que necesite deshabilitar algunos de los siguientes servicios. No obstante, por regla general, tenga en cuenta los siguientes consejos preceptivos avanzados sobre los servicios específicos que no deben deshabilitarse en servidores de red: Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Conexiones de red Proveedor de compatibilidad con seguridad LM de Windows NT Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows Horario de Windows Estación de trabajo

Determinar las dependencias de los servicios
Determine las dependencias de un servicio antes de deshabilitarlo Utilice el complemento Servicios de Administración de equipos para ver las dependencias de los servicios Notas para el alumno: Determine las dependencias de un servicio antes de deshabilitarlo. Utilice el complemento Servicios para ver las dependencias de los servicios. Cómo determinar las dependencias de un servicio: Inicie la herramienta Administración de equipos. Expanda el nodo Servicios y Aplicaciones y, a continuación, haga clic en Servicios. En el panel de detalles, haga doble clic en el servicio cuyas dependencias desea ver. En el cuadro de diálogo Propiedades del servicio, haga clic en la ficha Dependencias. En la ficha Dependencias, vea los servicios de los que depende el servicio seleccionado, así como los servicios que dependen de él.

Configuración de servicios en servidores que realizan varias funciones
Las plantillas de seguridad contienen opciones que controlan el comportamiento de los servicios Use Directiva de grupo para aplicar una plantilla de seguridad específica de funciones modificadas a servidores que realizan varias funciones Notas para el alumno: Una de las formas más eficaces de configurar servicios en servidores consiste en utilizar Directiva de grupo para aplicar la configuración de una plantilla de seguridad adecuada a esos servidores. Cada plantilla de seguridad contiene no sólo opciones de seguridad, sino también opciones que especifican los servicios que se habilitan o deshabilitan, y el comportamiento de inicio de cada servicio habilitado. El uso de una plantilla de seguridad específica de funciones simplifica la administración de seguridad del servidor, ya que contiene un conjunto preconfigurado de opciones de servicios recomendadas para servidores que realizan una función específica. Para la configuración de servicios en servidores que realizan varias funciones es necesario conocer muy bien los servicios que necesita cada función del servidor, así como el comportamiento de inicio recomendado de cada uno de estos servicios de manera que estén habilitados todos los servicios necesarios en el servidor. Los comportamientos de inicio posibles para los servicios son Automático, Manual, Deshabilitado y No definido. Consulte la Guía de seguridad de Windows Server 2003 para ver listas de los servicios específicos que necesita cada función de un servidor y el comportamiento de inicio recomendado para cada servicio necesario. Para utilizar Directiva de grupo a fin de configurar servicios en servidores que realizan varias funciones: Utilice Directiva de grupo para aplicar la plantilla de seguridad Línea de base de servidor integrante a todos los servidores integrantes del dominio. Esta plantilla de seguridad, junto con otras plantillas de seguridad específicas de funciones, se incluye con la Guía de seguridad de Windows Server 2003. En la unidad organizativa (OU) que contiene los servidores integrantes del dominio, cree una unidad organizativa secundaria para los servidores que realicen una combinación especifica de funciones. Coloque el servidor que realiza esta combinación de funciones en esa unidad organizativa. Seleccione la plantilla de seguridad específica de funciones que más se aproxime a la función principal del servidor y modifíquela a fin de habilitar los servicios necesarios para las funciones adicionales que realice el servidor y especificar el comportamiento de inicio de esos servicios. Utilice Directiva de grupo para aplicar la plantilla modificada a la unidad organizativa que contiene el servidor o servidores que realizan varias funciones.

Protección de servidores mediante filtros IPSec
En general, bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesite para cumplir su función Pruebe la directiva de seguridad IP antes de implementarla Utilice el complemento Administración de directivas de seguridad IP, Directiva de grupo o secuencias de comandos para configurar filtros IPSec Utilice filtros IPSec específicos para servidores según la función de éstos Notas para el alumno: Los filtros IPSec son una herramienta con la que los administradores de seguridad de redes pueden permitir o bloquear tráfico TCP/IP selectivo entrante o saliente de un servidor. Los filtros IPSec pueden proporcionar una manera eficaz de mejorar el nivel de seguridad de los servidores. Windows 2000, Windows XP y Windows Server 2003 admiten filtros IPSec. Bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesita para cumplir su función. Pruebe la directiva de seguridad IP antes de implementarla. La configuración de filtros IPSec constituye una tarea administrativa avanzada. Una configuración incorrecta puede impedir la comunicación de los servidores con otros equipos de la red. Antes de implementar una directiva de seguridad IP en la red de producción, pruebe la directiva minuciosamente en un entorno de prueba. Utilice el complemento Administración de directivas de seguridad IP, Directiva de grupo o secuencias de comandos para configurar filtros IPSec. La configuración de filtros IPSec se especifica en directivas de seguridad IP. Sólo puede aplicarse una directiva de seguridad IP a un servidor en un momento dado. Una directiva de seguridad IP es un conjunto de reglas de seguridad IP. Una regla de seguridad IP contiene lo siguiente: Lista de filtros.. Esta lista incluye los puertos, protocolos y direcciones Las listas de filtros activan una decisión cuando el tráfico coincide con algún elemento de la lista. Una lista puede contener varios filtros. Acción de filtrado. La acción es la respuesta necesaria cuando el tráfico coincide con una lista de filtros. Algunas acciones específicas son bloquear o permitir un tráfico determinado. Utilice filtros IPSec específicos para servidores según la función de éstos. Consulte la Guía de seguridad de Windows Server 2003 para saber las recomendaciones basadas en funciones de los filtros IPSec. Como guía sobre el análisis de un servidor para determinar con exactitud los filtros IPSec que deben aplicarse, consulte el capítulo 11 de Threats and Countermeasures Guide.

Filtros IPSec para controladores de dominio
Servicio Protocolo Puerto de origen Puerto de destino Dirección de origen Dirección de destino Acción Reflejado Servidor CIFS/SMB TCP Cualquiera 445 Me Permitir Sí UDP Servidor RPC 135 Servidor NetBIOS 137 138 139 Supervisión de cliente Servidor MOM Servidor de Servicios de Terminal Server 3389 Servidor de catálogo global 3268 3269 Notas para el alumno: Se recomiendan distintos filtros IPSec para los servidores según sus funciones. En este tema, se examinarán los filtros IPSec recomendados para los controladores de dominio. Hay varios filtros IPSec específicos que deben crearse en los controladores de dominio en un entorno de alta seguridad, como se define en la Guía de seguridad de Windows Server 2003. Esta tabla se muestra en el capítulo 4 de la Guía de seguridad de Windows Server La guía también contiene tablas con los filtros IPSec específicos recomendados para otros tipos de funciones de servidor. Nota: los controladores de dominio son muy dinámicos, por lo que debe evaluarse detenidamente la implementación de filtros IPSec en ellos y, después, probar concienzudamente los filtros en un entorno de prueba. Debido a la gran interacción que se produce entre los controladores de dominio, es necesario agregar filtros IPSec para permitir todo el tráfico entre los controladores de dominio que replican información entre sí. En entornos complejos con muchos controladores de dominio, es necesario crear docenas de filtros adicionales a fin de proteger de forma eficaz los controladores de dominio. Esto podría dificultar en gran medida la implementación y administración de directivas IPSec. No obstante, los entornos con pocos controladores de dominio pueden aprovechar eficazmente las ventajas de la implementación de filtros IPSec.

Filtros IPSec para controladores de dominio (continuación)
Servicio Protocolo Puerto de origen Puerto de destino Dirección de origen Dirección de destino Acción Reflejado Servidor DNS TCP Cualquiera 53 Me Permitir Sí UDP Servidor Kerberos 88 Servidor LDAP 389 636 Servidor NTP 123 Intervalo RPC predefinido Comunicaciones DC Controlador de dominio 1 Controlador de dominio 2 ICMP Todo el tráfico entrante Bloquear Notas para el alumno: Todos estos filtros deben reflejarse al implementarlos para garantizar que también se permitirá a cualquier tráfico de red que entre en el servidor su regreso al servidor de origen. Los puertos de los filtros IPSec indicados en esta tabla representan los puertos de base que deben estar abiertos para que el servidor pueda realizar sus funciones específicas. Estos puertos son suficientes si el servidor tiene una dirección IP estática. Puede ser necesario que estén abiertos otros puertos para proporcionar funcionalidad adicional. Con otros puertos adicionales abiertos es más fácil administrar los controladores de dominio; no obstante, pueden reducir en gran medida la seguridad de estos servidores. Las reglas IPSec se procesan en el orden en el que aparecen en la directiva de seguridad IP. El procesamiento de reglas se detiene cuando el tráfico coincide con el tipo de tráfico especificado en un filtro de la lista a fin de aplicar la acción de filtrado correspondiente. La última regla de filtro debería bloquear todo tipo de tráfico entrante al servidor, excepto el tráfico que alguna regla anterior permite específicamente.

Entradas del Registro para la protección de los controladores de dominio
Al aplicar filtros IPSec en un controlador de dominio: Use un pequeño intervalo de puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes Incluya puertos superiores al 50000 Limite el intervalo de puertos RPC dinámicos mediante la configuración de opciones del Registro en todos los controladores de dominio Notas para el alumno: RPC es el protocolo que un programa utiliza para solicitar servicios de un segundo programa en un sistema remoto. RPC seleccionará de forma dinámica un puerto del intervalo 1024 a Para no permitir el tráfico de todos estos puertos, configure todos los controladores de dominio de modo que utilicen un intervalo mucho más pequeño de puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes. Utilice un filtro IPSec para permitir únicamente la comunicación en el pequeño intervalo de puertos, incluidos puertos superiores al Para la mayoría de los entornos, con 50 puertos RPC es suficiente. Si necesita más para admitir los equipos cliente del entorno, habilite un intervalo mayor de puertos. Limite el intervalo de puertos RPC dinámicos mediante la configuración de las siguientes opciones del Registro en todos los controladores de dominio: Debe crearse la clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet si no existe. La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\Ports debe crearse y configurarse como REG_MULTI_SZ con un valor que represente el intervalo de puertos que deben estar abiertos. Por ejemplo, el valor abrirá 50 puertos para el uso de tráfico RPC. La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\PortsInternetAvailable debe crearse y configurarse como REG_SZ con el valor Y. La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\UseInternetPorts debe crearse y configurarse como REG_SZ con el valor Y. Una vez realizados los cambios anteriores en el Registro, el servidor debe reiniciarse. Nota: estos cambios podrían afectar al rendimiento y se deben probar antes de su implementación en producción. El número exacto de puertos que se abrirán depende del entorno, así como de la función de servidor. Deben supervisarse los tiempos de inicio de sesión de los clientes. Puede ser necesario abrir más puertos si se deteriora el rendimiento en los inicios de sesión.

Cómo crear una directiva de seguridad IP
Abra GPMC Modifique el GPO al que desea asignar la directiva de seguridad IP Cree una o varias listas de filtros IPSec Cree una o varias acciones de filtrado Cree una directiva de seguridad IP En la directiva de seguridad IP, cree una regla de seguridad IP para cada lista de filtros que haya creado Asigne la directiva de seguridad IP Notas para el alumno: Para crear una directiva de seguridad IP, realice estos pasos: Abra Group Policy Management Console (Consola de administración de directiva de grupo). Modifique el objeto de directiva de grupo (GPO) al que desea asignar la directiva de seguridad IP. Cree una o varias listas de filtros IPSec. Cree una o varias acciones de filtrado. Cree una directiva de seguridad IP. En la directiva de seguridad IP, cree una regla de seguridad IP para cada lista de filtros que haya creado. Asigne la directiva de seguridad IP. También puede crear una directiva de seguridad IP y aplicarla al equipo local mediante el complemento Administración de directivas de seguridad IP. Utilice Directiva de grupo para asignar la directiva a varios equipos en una unidad organizativa (OU). Nota: cuando se crea una directiva de seguridad IP, ésta se encuentra disponible en todo el dominio, no sólo en el GPO donde se creó. Esto significa que puede crear una directiva de seguridad IP una sola vez y asignarla a varios GPO del dominio.

Demostración 1 Creación de una directiva de seguridad IP Uso de GPMC para crear y asignar una directiva de seguridad IP Notas para el alumno: En esta demostración se tratará: Cómo utilizar GPMC para crear una directiva de seguridad IP Cómo asignar la directiva de seguridad IP a un objeto de directiva de grupo (GPO)

Auditorías de seguridad
Los administradores deben establecer una directiva de auditoría Al establecer una directiva de auditoría: Analice el modelo de amenazas Tenga en cuenta las capacidades del sistema y de los usuarios Pruebe y afine la directiva Considere la supervisión centralizada de los registros Notas para el alumno: Las auditorías de seguridad constituyen un componente importante del plan de seguridad global para toda la compañía. En el momento en que se produce una acción configurada para auditoría, la acción se graba en el registro de seguridad del sistema, donde se almacena para su posterior consulta. Los administradores deben establecer una directiva de auditoría. Una directiva de auditoría define los sucesos de seguridad que se registran. Una parte importante del proceso para establecer una directiva de auditoría es determinar los sucesos que se van a auditar. La directiva de auditoría deberá estar basada en: El modelo de amenazas de la organización. Identifique y asigne prioridades a las amenazas a las que se enfrenta la organización. Las capacidades del sistema y de los usuarios. Las auditorías pueden alertar sobre problemas de seguridad. A menos que el registro de seguridad se revise periódicamente o se supervise de forma activa, nunca se descubrirán las infracciones de seguridad registradas. Pruebe y afine la directiva de auditoría hasta que se adapte a las necesidades de la organización. Considere el uso de alguna de las siguientes herramientas para la supervisión centralizada de los registros: Microsoft Operations Manager (MOM) proporciona funciones completas de administración de sucesos, supervisión, alerta, generación de informes y análisis de tendencias, además de la consolidación de sucesos, funcionalidad de agente inteligente y respuestas automáticas a sucesos. EventCombMT permite analizar simultáneamente los registros de sucesos de varios equipos. El principal inconveniente de utilizar EventCombMT es que copia el registro de sucesos completo a través de la red para realizar el análisis. EventCombMT se incluye en las herramientas del Kit de recursos de Microsoft Windows Server 2003. La herramienta Log Parser permite extraer información de archivos de prácticamente cualquier formato mediante consultas de tipo SQL. Log Parser se incluye en las herramientas del Kit de recursos de IIS 6.0. El servicio SNMP (Simple Network Management Protocol, Protocolo simple de administración de redes) es un servicio de Windows 2000, Windows XP y Windows Server 2003 que permite enviar información de sucesos de seguridad desde un equipo a una consola de administración SNMP remota mediante capturas SNMP. MACS es una herramienta que puede supervisar y auditar sistemas de manera centralizada.

Microsoft Audit Collection Services (MACS)
Sistema de administración Notas para el alumno: MACS copia los sucesos en tiempo real en un servidor recolector centralizado que es controlado por auditores. La información de los sucesos se transmite en formato cifrado y se almacena en una base de datos SQL. MACS puede proporcionar alertas de detección de intrusos en tiempo real y pueden utilizarlo sistemas de administración, como MOM, para funciones de administración y de alerta. Los datos almacenados en la base de datos SQL pueden emplearse para la generación de informes y el análisis detallado. Microsoft utiliza actualmente MACS a nivel interno, pero estará disponible como descarga gratuita desde Internet prácticamente al mismo tiempo que el Service Pack 1 de Windows Server 2003. Clientes supervisados Registros de sucesos Aplicaciones de detección de intrusos en tiempo real WMI Registros de sucesos Servidores supervisados Recolector SQL Análisis detallado Sucesos sujetos a alteraciones Sucesos controlados por auditores

Configuración recomendada de directivas de auditoría para servidores integrantes
Directiva de auditoría Configuración recomendada para un entorno de clientes corporativos Auditar sucesos de inicio de sesión de cuenta Éxito Auditar la administración de cuentas Auditar el acceso del servicio de directorio Sólo si lo requiere el modelo de amenazas Auditar sucesos de inicio de sesión Auditar el acceso a objetos Auditar el cambio de directivas Auditar el uso de privilegios Sin auditoría Auditar el seguimiento de procesos Auditar sucesos del sistema Notas para el alumno: La Guía de seguridad de Windows Server 2003 recomienda distintas configuraciones específicas de directivas de auditoría para los servidores según la función de éstos y el tipo de entorno en el que se utilizan. Active únicamente la auditoría de errores si es necesario para el modelo de amenazas y si la organización dispone de recursos para analizar auditorías de errores. Algunas funciones de servidor para las que se recomiendan configuraciones específicas de directivas de auditoría son: Línea de base de servidor integrante Controlador de dominio Servidor de infraestructuras Servidor de archivos Servidor de impresión Servidor IIS Servidor IAS (Internet Authentication Service, Servicio de autenticación Internet) Servidor de Servicios de Certificate Server Host bastión Algunos tipos de entornos para los que se recomiendan configuraciones específicas de directivas de auditoría son: Cliente antiguo. Este entorno contiene los siguientes tipos de equipos cliente: Windows 98, Windows NT 4.0 Workstation, Windows 2000 Professional y Windows XP Professional. Cliente corporativo. Este entorno contiene los siguientes tipos de equipos cliente: Windows 2000 Professional y Windows XP Professional. Alta seguridad. Al igual que el entorno de clientes corporativos, este entorno contiene equipos cliente con Windows 2000 Professional y Windows XP Professional. Sin embargo, este entorno utiliza directivas de seguridad para clientes y servidores más estrictas que las que se utilizan en el entorno de clientes corporativos. Las configuraciones de directivas de auditoría que se indican en la tabla son las configuraciones mínimas recomendadas para todos los servidores integrantes en un entorno de clientes corporativos.

Demostración 2 Auditorías Uso de EventCombMT para ver registros de sucesos
Notas para el alumno: En esta demostración se tratará: Cómo utilizar EventCombMT para ver los resultados de auditorías en los registros de sucesos de varios servidores.

Orden del día Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: En este tema se ofrecen recomendaciones y métodos para proteger los servidores IIS de la red. Algunos de los conceptos específicos que se tratarán son: Herramienta Bloqueo de seguridad de IIS URLScan Los 10 pasos más importantes para proteger IIS 5.x Mejoras de seguridad en IIS 6.0 Grupos de aplicaciones de IIS 6.0 Demostración 3: protección de IIS 6.0 Resumen de seguridad de IIS

Herramienta Bloqueo de seguridad de IIS
La herramienta Bloqueo de seguridad de IIS desactiva las características que no son necesarias para reducir el área expuesta a ataques de IIS 4.0, IIS 5.0 e IIS 5.1 Para proporcionar defensa en profundidad, la herramienta Bloqueo de seguridad de IIS se integra con URLScan, que contiene plantillas personalizadas para cada función de servidor compatible Notas para el alumno: La herramienta Bloqueo de seguridad de IIS, junto con otras medidas de seguridad, puede aumentar la seguridad de los servidores Web. La herramienta Bloqueo de seguridad de IIS desactiva las funciones innecesarias de IIS 4.0, IIS 5.0 e IIS 5.1 en Windows NT 4.0, Windows 2000 y Windows XP. La herramienta Bloqueo de seguridad de IIS incluye varias plantillas, cada una de las cuales corresponde a una función de servidor distinta, como Microsoft Exchange 5.5 y 2000, Commerce Server, BizTalk®, Small Business Server 4.5 y 2000, SharePoint™ Portal Server, Extensiones de servidor de FrontPage® y SharePoint Team Server. Si dispone de un servidor con una función de servidor Web especializada, puede personalizar una plantilla existente. Además de quitar componentes de IIS, la herramienta Bloqueo de seguridad de IIS configura diversas opciones de seguridad de IIS. Nota: IIS 6.0 se incluye con Windows Server IIS no se instala de forma predeterminada en instalaciones predeterminadas nuevas de Windows Server 2003 Standard Edition y Enterprise Edition. Cuando un administrador habilita IIS, se instala con el mismo conjunto mínimo de componentes y las opciones de seguridad que la herramienta Bloqueo de seguridad de IIS proporciona para versiones anteriores de IIS. Por este motivo, no hay una versión específica de la herramienta para IIS 6.0. URLScan 2.5 no se incluye con IIS 6.0, ya que IIS 6.0 tiene características integradas que proporcionan una funcionalidad de seguridad igual o superior a la que ofrecen la mayoría de las características de URLScan 2.5. La herramienta Bloqueo de seguridad de IIS se integra con la herramienta URLScan, que bloquea el procesamiento de direcciones URL no válidas por parte de IIS. URLScan selecciona todas las solicitudes entrantes a un servidor Web y las filtra en función de un conjunto de reglas. Puede personalizar las reglas que URLScan utiliza según la función del servidor. URLScan 2.0 se instala con la herramienta Bloqueo de seguridad de IIS.

Resultados de la herramienta Bloqueo de seguridad de IIS (X significa habilitado)
Notas para el alumno: En la tabla anterior se muestran los servicios que están habilitados y los que están deshabilitados después de ejecutar la herramienta Bloqueo de seguridad de IIS para cada una de las siguientes funciones: Small Business Server 2000 Exchange Server 5.5 (Outlook® Web Access) Exchange Server 2000 (OWA, PF Management, IM, SMTP, NNTP) SharePoint Portal Server Extensiones de servidor de FrontPage (SharePoint Team Services) BizTalk Server 2000 Commerce Server 2000 Servidor proxy Servidor Web estático Servidor Web dinámico (habilitado para ASP) Otras (servidor que no coincide con ninguna de las funciones enumeradas) Servidor que no requiere IIS Información adicional: (este sitio está en inglés)

URLScan URLScan ayuda a impedir que lleguen solicitudes potencialmente dañinas al servidor URLScan restringe los tipos de solicitudes HTTP que IIS procesará: Solicitudes de direcciones URL largas Solicitudes con juegos de caracteres alternativos Solicitudes que contienen métodos no permitidos Solicitudes que coinciden con algún patrón Notas para el alumno: URLScan restringe las solicitudes Web que IIS procesará. En muchos ataques contra servidores Web se utilizan solicitudes Web no válidas. Por ejemplo, en los ataques de saturación de búfer contra un servidor o aplicación Web se utilizan solicitudes extremadamente largas para sobrescribir datos en la memoria del servidor. Si un servidor Web no interpreta correctamente solicitudes codificadas con un juego de caracteres alternativo, es posible que las solicitudes omitan las restricciones del servidor. Puede utilizarse una solicitud para engañar al servidor Web de forma que permita el acceso a áreas de su estructura de archivos a las que no debería proporcionarlo. Algunos métodos HTTP no adecuados podrían permitir a atacantes realizar acciones no permitidas. Por ejemplo, un servidor Web que proporciona acceso a contenido estático sólo necesita procesar las solicitudes GET, pero debería rechazar las solicitudes PUT. URLScan bloquea muchos de estos tipos de solicitudes. URLScan es totalmente configurable y permite que un administrador determine las solicitudes que se deben permitir y las que se deben bloquear. IIS 6.0 contiene la mayor parte de las funciones de URLScan y, por tanto, no se necesita URLScan para IIS 6.0 en la mayoría de los casos. Puede ejecutar URLScan en IIS 6.0 para permitir el bloqueo personalizado de solicitudes. El documento disponible en la siguiente dirección URL contiene información sobre cómo utilizar URLScan con IIS 6.0. Información adicional: (este sitio está en inglés) Para ver una difusión Web sobre URLScan, consulte:

Los 10 pasos más importantes para proteger IIS 5.x
Refuerce el sistema operativo y aplique todas las revisiones de seguridad pertinentes 1 Quite los componentes que no sean necesarios 2 Ejecute la herramienta Bloqueo de seguridad de IIS 3 Notas para el alumno: Deben protegerse los servidores IIS de los equipos cliente que pueden conectarse a ellos. También deben protegerse las aplicaciones y sitios Web que se ejecutan en cada uno de estos servidores IIS de las aplicaciones y sitios Web que se ejecutan en los demás servidores IIS de una intranet corporativa. Las siguientes acciones proporcionan mayor seguridad a IIS: Refuerce el sistema operativo y aplique todas las revisiones de seguridad pertinentes. Examine el sistema en busca de actualizaciones de seguridad con Microsoft Baseline Security Analyzer (MBSA). Quite los componentes que no sean necesarios. Ejecute la herramienta Bloqueo de seguridad de IIS (IIS 5.0). Configure URLScan (IIS 5.0). Coloque el contenido en una partición NTFS independiente. Proteja los archivos mediante los permisos mínimos. Exija el cifrado SSL para el tráfico Web confidencial. Si es posible, no habilite los permisos de ejecución y de escritura en el mismo sitio Web. Ejecute las aplicaciones con protección de aplicaciones media o alta. Utilice filtros IPSec para permitir únicamente el tráfico necesario (HTTP y HTTPS) al servidor Web. Utilice filtros para permitir sólo el tráfico necesario entrante y saliente del servidor Web y refleje la siguiente configuración: Permita todo el tráfico entrante a los puertos 80 y 443 en el servidor Web. Permita todo el tráfico entre el servidor Web y todos los controladores de dominio del mismo sitio que el servidor Web para habilitar la autenticación y la autorización. Permita todo el tráfico entre el servidor Web y el servidor MOM si el cliente One-Point se ejecuta en el servidor Web. Si administra el servidor Web mediante servicios de terminal, permita todo el tráfico entrante al puerto TCP 3389. Bloquee todo el tráfico que las reglas anteriores no permitan específicamente. Información adicional: Para obtener información sobre la seguridad de aplicaciones Web, consulte: (este sitio está en inglés) 4 Configure URLScan Coloque el contenido en una partición NTFS independiente 5 Proteja los archivos mediante los permisos mínimos 6 Exija el cifrado para el tráfico Web confidencial 7 Si es posible, no habilite los permisos de ejecución y de escritura en el mismo sitio Web 8 Ejecute las aplicaciones con protección de aplicaciones media o alta 9 Use filtros IPSec para permitir únicamente el tráfico necesario (HTTP y HTTPS) al servidor Web 10

Mejoras de seguridad en IIS 6.0
IIS 6.0 está “bloqueado” inicialmente con los límites de contenido y tiempos de espera más restrictivos de forma predeterminada Característica Descripción Servidor bloqueado IIS 6.0 no se instala de forma predeterminada. Una instalación limpia proporciona únicamente compatibilidad con archivos estáticos. Lista de extensiones de servicios Web La instalación predeterminada no compila, ejecuta ni proporciona servicio a archivos con contenido dinámico. Cuenta predeterminada con pocos privilegios Los procesos de IIS se ejecutan con privilegios bastante más bajos si se inicia una sesión con la cuenta SERVICIO DE RED. Autorización Autenticación de direcciones URL con el Administrador de autorización. Autenticación restringida y delegada. Comprobación de direcciones URL Configure límites de longitud de direcciones URL y tiempos de espera. Comprobación de si existe el archivo antes de intentar ejecutarlo. Directorios virtuales no ejecutables. Aislamiento de procesos Cajón de arena (sandboxing) mejorado de la aplicación. El código de terceros se ejecuta únicamente en el reciclaje de recursos y procesos de trabajo. Notas para el alumno: IIS 6.0 ofrece mejoras significativas en seguridad para los servidores Web. IIS 6.0 está bloqueado de forma predeterminada y limita el área expuesta a ataques mediante una configuración de seguridad estricta. Además, se ha mejorado la autenticación y la autorización. IIS 6.0 también ofrece capacidades de administración mejoradas, administración mejorada con la metabase XML y nuevas herramientas de línea de comandos. Algunas de las características específicas son: Servidor bloqueado Lista de extensiones de servicios Web Cuenta predeterminada con pocos privilegios Autorización Comprobación de direcciones URL Aislamiento de procesos Información adicional: Novedades de Servicios de Internet Information Server 6.0 (este sitio está en inglés)

Grupos de aplicaciones de IIS 6.0
Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí Notas para el alumno: Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo. Al crear grupos de aplicaciones y asignarles aplicaciones y sitios Web se puede mejorar la disponibilidad y la confiabilidad de las aplicaciones y sitios Web. Por ejemplo, podría crear un grupo de aplicaciones para las aplicaciones Microsoft ASP.NET, otro grupo para las aplicaciones Perl y otro para probar aplicaciones. Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones . Como las aplicaciones están separadas entre sí en grupos de aplicaciones, una aplicación no se ve afectada por los problemas de aplicaciones de otros grupos. Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí . Normalmente, un grupo de aplicaciones tiene asignado únicamente un proceso de trabajo, de manera que un grupo de aplicaciones se puede considerar como un “proceso de trabajo con nombre”. Tenga en cuenta las siguientes directrices al configurar grupos de aplicaciones: Para aislar las aplicaciones Web pertenecientes a un sitio Web de las aplicaciones Web pertenecientes a otros sitios Web que se ejecutan en el mismo equipo, cree un grupo de aplicaciones individual para cada sitio Web. Para mejorar la seguridad, configure una única cuenta de usuario para cada grupo de aplicaciones. Utilice una cuenta con derechos de usuario limitados, como Servicio de red en el grupo IIS_WPG. Si hay una versión de prueba de una aplicación en el mismo servidor que la versión de producción de la aplicación, separe las dos versiones en grupos de aplicaciones distintos. De esta manera aísla la versión de prueba de la aplicación. En cuanto al diseño, si desea configurar una aplicación para que se ejecute con su propio conjunto único de propiedades, cree un grupo de aplicaciones único para dicha aplicación. Información adicional: (este sitio está en inglés)

Demostración 3 Protección de IIS 6
Demostración 3 Protección de IIS Configuración de grupos de aplicaciones Notas para el alumno: En esta demostración se tratará: Cómo configurar grupos de aplicaciones.

Resumen de seguridad de IIS
Nueva arquitectura de IIS 6.0 para una mayor seguridad y confiabilidad Utilice las herramientas, consejos y actualizaciones de seguridad más recientes para el servidor Web Manténgase informado y mantenga los sistemas actualizados Notas para el alumno: IIS 6.0 se instala con el tratamiento de solicitudes de páginas Web estáticas habilitado y con todas las demás características de tratamiento de solicitudes desactivadas. De esta forma se garantiza que los administradores de Windows no se enfrentan a amenazas de seguridad innecesarias. Desde el momento en que se instala IIS, el perfil de seguridad bloqueado de IIS 6.0 reduce el área expuesta a ataques que los intrusos podrían utilizar. Las características de instalación y habilitación de servicios de IIS 6.0 simplifican las tareas administrativas asociadas a la administración de servicios de IIS en cuanto a seguridad. Compruebe que utiliza la versión más reciente de la herramienta Bloqueo de seguridad de IIS y de URLScan en los servidores. La versión más reciente de la herramienta Bloqueo de seguridad de IIS es la 2.1 e incluye la versión 2.0 de URLScan. La versión 2.5 de URLScan está disponible como descarga independiente. Asegúrese de que mantiene actualizados todos los servidores con los Service Packs, revisiones y correcciones más recientes. Para obtener más información: (estos sitios están en inglés)

Orden del día Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: En este tema se describen las recomendaciones y técnicas avanzadas para proteger los equipos cliente de la red. Algunos de los conceptos específicos que se tratarán son: Directivas de restricción de software Aplicación de directivas de restricción de software Implementación de directivas de restricción de software Diseño de directivas de restricción de software Demostración 4: Uso de directivas de restricción de software Uso de plantillas de seguridad Uso de directivas de cuentas en el nivel de dominio Implementación de plantillas de seguridad Protección de clientes antiguos Situaciones de implementación Directrices de seguridad para usuarios

Directivas de restricción de software
Notas para el alumno: Con el aumento del uso de redes e Internet en las actividades diarias de los equipos de las compañías, las posibilidades de encontrarse con código malintencionado son mayores que nunca. La colaboración se ha vuelto más sofisticada debido al uso del correo electrónico, la mensajería instantánea y las aplicaciones de igual a igual. A medida que aumentan estas oportunidades de colaboración, también lo hace el riesgo de que virus, gusanos y otros tipos de código malintencionado invadan los sistemas. El correo electrónico y la mensajería instantánea pueden transportar código hostil no solicitado. El código hostil puede adoptar numerosas formas: ejecutables (.exe) nativos de Windows, macros en documentos de procesamiento de texto (.doc) o secuencias de comandos (.vbs). La ejecución de código malintencionado supone un riesgo grave para la seguridad. Los creadores de virus y gusanos emplean a menudo estratagemas sociales a fin de engañar a los usuarios para que los activen. Debido al gran número y variedad de formas que puede adoptar el código, puede resultar difícil para los usuarios saber qué pueden ejecutar de forma segura y qué no. Cuando se activa el código malintencionado, puede dañar el contenido de un disco duro, inundar una red con un ataque de denegación de servicio (DoS, Denial Of Service), enviar información confidencial a Internet o comprometer la seguridad de un equipo. Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado. Las directivas de restricción de software determinan los programas que los usuarios pueden ejecutar en un equipo. Al impedir que los usuarios ejecuten programas no autorizados se puede garantizar que los usuarios no creen puntos vulnerables. Es posible aplicar directivas de restricción de software mediante directivas locales en equipos independientes, pero son más eficaces cuando se incorporan a una infraestructura de directivas de grupo basadas en dominios. Se aplican a archivos ejecutables, contenido activo y secuencias de comandos. Se pueden distribuir con Directiva de grupo. Nota: aunque las directivas de restricción de software constituyen una herramienta importante para mejorar la seguridad de los equipos, no sustituyen a otras medidas de seguridad, como programas antivirus, servidores de seguridad y listas de control de acceso restrictivas. Información adicional: Threats and Countermeasures Guide: (este sitio está en inglés) Using Software Restriction Policies to Protect Against Unauthorized Software: (este sitio está en inglés) La ejecución de código malintencionado supone un riesgo grave para la seguridad Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado: Se aplican a archivos ejecutables, contenido activo y secuencias de comandos Se pueden distribuir con Directiva de grupo

Aplicación de directivas de restricción de software
Determine la configuración predeterminada para la directiva de restricción de software: Restringida o Permitida Determine las excepciones a la configuración predeterminada: Reglas hash Reglas de certificado Reglas de ruta de acceso Reglas de zona de Internet Determine si se aplican varias reglas: Aplique la prioridad de reglas Notas para el alumno: Determine la configuración predeterminada para la directiva de restricción de software . Cuando configure una directiva de restricción de software en un objeto de directiva de grupo (GPO), establezca el comportamiento predeterminado para todas las aplicaciones que se ejecuten en equipos a los que afecte el GPO. De forma predeterminada, una directiva de restricción de software recién creada permite la ejecución de todas las aplicaciones. Las reglas de una directiva de restricción de software definen las excepciones a estas reglas predeterminadas. Por ejemplo, si la directiva de restricción de software bloquea todas las aplicaciones, puede utilizar las reglas para habilitar aplicaciones específicas. Determine las excepciones a la configuración predeterminada. Hay disponibles cuatro tipos de reglas de restricción de software que se aplican en este orden: 1. Hash. Esta regla está basada en un identificador de cifrado que identifica de forma única un archivo de aplicación específico independientemente de su nombre o ubicación. Al crear una regla hash, se crea un hash del archivo ejecutable de la aplicación. Cuando un usuario intenta ejecutar la aplicación, el equipo del usuario comprueba el hash y aplica la directiva. 2. Certificado. Esta regla está basada en el certificado de una compañía de software que tiene asignado la aplicación. Por ejemplo, si ha desarrollado una aplicación personalizada, podría asignarle un certificado y configurar después la regla de restricción de software para confiar en el certificado adecuado. 3. Ruta de acceso. Esta regla está basada en la ubicación del archivo ejecutable. Si selecciona una carpeta, la regla afectará a todas las aplicaciones incluidas en la carpeta. También puede crear un tipo especial de regla de ruta de acceso que esté basado en ubicaciones del Registro. Prácticamente todas las aplicaciones tienen una ubicación predeterminada en el Registro, donde se almacena información específica de la aplicación. Puede crear una regla que bloquee o habilite una aplicación según estas claves del Registro. 4. Zona de Internet. Esta regla controla el comportamiento de las aplicaciones en función de la zona de Internet de donde se descarga el software. Por ejemplo, si configura una regla que permita la ejecución de todas las aplicaciones descargadas de la zona Sitios de confianza o una regla que impida la ejecución de todas las aplicaciones descargadas de la zona Sitios restringidos. Determine si se aplican varias reglas. La primera regla que coincida con los criterios de la aplicación será la que se aplique. Por ejemplo, si una regla hash habilita una aplicación, ésta se ejecutará aunque se encuentre en una carpeta restringida por una regla de ruta de acceso. Si una aplicación está restringida por una regla de certificado, no se ejecutará aunque esté permitida por una regla de ruta de acceso o de zona de Internet. Si las reglas de ruta de acceso entran en conflicto, tendrá prioridad la más específica. Por ejemplo, en el caso de un archivo de comandos VBS incluido en la carpeta C:\Apps, una regla de ruta de acceso como C:\Apps\*.VBS tendrá prioridad sobre *.VSB o C:\Apps. Una regla de ruta de acceso como C:\Apps\Scripts tendrá prioridad sobre C:\Apps.

Implementación de directivas de restricción de software
Recomendaciones Regla recomendada Restrinja la ejecución de una versión determinada de un programa Regla hash Restrinja la ejecución de un programa que siempre se instala en el mismo directorio Regla de ruta de acceso con variables de entorno Restrinja la ejecución de un programa que se puede instalar en cualquier ubicación en un equipo cliente Regla de ruta de acceso al Registro Identifique un conjunto de archivos de comandos en un servidor central Regla de ruta de acceso Restrinja la ejecución de todos los archivos .vbs (excepto los ubicados en un directorio de archivos de comandos de inicio de sesión) Regla de ruta con caracteres comodín Identifique un conjunto de archivos de comandos que se puedan ejecutar en cualquier lugar Regla de certificado Permita la instalación de aplicaciones desde un servidor de Internet de confianza Regla de zona Notas para el alumno: Las directivas de restricción de software proporcionan herramientas eficaces para limitar las aplicaciones que pueden ejecutar los usuarios. No obstante, la implementación de estas directivas puede resultar un proceso complejo. Aplique las siguientes recomendaciones al implementar directivas de restricción de software: Para permitir o impedir la ejecución de una versión determinada de un programa, configure una regla hash; para ello, busque el archivo ejecutable y cree un hash. Para impedir la ejecución de un programa que siempre se instala en la misma ubicación, cree una regla de ruta de acceso con variables de entorno. Por ejemplo, para restringir Internet Explorer, cree una regla de ruta de acceso que impida la ejecución de %ProgramFiles%\Internet Explorer\iexplore.exe. Para identificar programas cuya ruta de instalación no conozca, cree una regla de ruta de acceso al Registro. Por ejemplo, cree una regla que permita la ejecución de una aplicación que almacene su configuración en la clave %HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\InoculateIT\6.0\Path\HOME%. Para habilitar un conjunto de archivos de comandos en un servidor central, cree una regla de ruta de acceso. Por ejemplo, si todos los archivos de comandos necesarios están ubicados en una carpeta compartida denominada \\NOMBRE_SERVIDOR\Share, cree una regla de ruta de acceso que permita la ejecución de todos los archivos de comandos desde esta ruta de acceso. Para impedir la ejecución de todos los archivos .vbs, excepto aquellos que se encuentren en un directorio de archivos de comandos de inicio de sesión, cree dos reglas de ruta de acceso con caracteres comodín. Por ejemplo, cree una regla que impida la ejecución de *.VBS y, a continuación, una regla que establezca \\NOMBRE_SERVIDOR\Share\*.VBS en Irrestricto. Se aplicará la regla más específica para los archivos de comandos del directorio adecuado. Para identificar un conjunto de archivos de comandos que pueden ejecutarse en cualquier lugar, cree una regla de certificado. A continuación, firme digitalmente todos los archivos de comandos con un certificado de confianza. Para permitir la ejecución de todas las aplicaciones provenientes de sitios de la zona Internet Sitios de confianza, configure una regla de zona que permita la ejecución de las aplicaciones de Sitios de confianza. A continuación, agregue el sitio a la lista de sitios de confianza en todos los equipos cliente. Opciones de configuración adicionales : Comprobación de archivos DLL. De forma predeterminada, las reglas de directivas de restricción de software no se aplican a los archivos DLL. Para mejorar la seguridad, puede habilitar la comprobación de archivos DLL. Aplicación de reglas a administradores. Es posible que los administradores necesiten ejecutar cualquier aplicación. Puede utilizar la configuración de objetos de directiva de grupo (GPO) para impedir la aplicación de directivas de restricción de software a los administradores. Configuración de tipos de archivo . Las reglas de directivas de restricción de software se aplican únicamente a un conjunto predeterminado de tipos de archivo. Si necesita restringir otros tipos de archivo, agregue la extensión de archivo a la lista predeterminada. Opciones de configuración adicionales: Comprobación de archivos DLL, aplicación de reglas a administradores y configuración de tipos de archivo

Diseño de directivas de restricción de software
Objeto de directiva de grupo (GPO) o directiva de seguridad local Directiva de usuario o de equipo Nivel de seguridad predeterminado Configuración de las reglas necesarias Opciones de directiva Vinculación de la directiva a un sitio, dominio o unidad organizativa Dominio OU Departamento OU Usuarios protegidos de Windows XP OU Windows XP OU Equipos de escritorio OU Equipos portátiles SRP de dominio SRP de usuarios protegidos de Windows XP SRP de equipos portátiles SRP de equipos de escritorio Notas para el alumno: Al diseñar las directivas de restricción de software, determine lo siguiente: Objeto de directiva de grupo (GPO) o directiva de seguridad local . ¿Debe aplicarse la directiva a muchos equipos o usuarios, o únicamente al equipo local? Utilice un GPO si la directiva se aplica a muchos equipos o usuarios de un dominio o a otro contenedor de Active Directory. O bien, utilice la directiva de seguridad local si se aplica únicamente al equipo local. Directiva de usuario o de equipo . ¿Debe aplicarse la directiva a usuarios o a equipos? Elija una directiva de usuario si desea que la directiva se aplique a un grupo específico de usuarios, por ejemplo, al grupo de dominio Departamento de Marketing. O bien, elija una directiva de equipo si desea que la directiva se aplique a un conjunto de equipos y sus usuarios. Nivel de seguridad predeterminado . ¿Sabe las aplicaciones específicas que los usuarios necesitan o pueden instalar cualquier aplicación que elijan? Establezca el nivel de seguridad predeterminado en No permitido si sabe todas las aplicaciones que utilizarán los usuarios. A continuación, deberá crear reglas de restricción de software para cada aplicación que los usuarios deban ejecutar en sus equipos. Establezca el nivel de seguridad predeterminado en Irrestricto si los usuarios pueden instalar cualquier aplicación o si su principal preocupación es restringir la ejecución de aplicaciones específicas. Después, deberá configurar reglas para todas las aplicaciones no permitidas. Configuración de las reglas de directivas de restricción de software . Para obtener información detallada sobre qué reglas utilizar y cómo configurarlas, consulte el documento “Using Software Restriction Policies to Protect Against Unauthorized Software” en (este sitio está en inglés). Opciones de directiva . Configure las opciones de directiva adicionales. Vinculación de la directiva a un sitio, dominio o unidad organizativa . La mejor manera de distribuir las directivas de restricción de software es vincularlas a un objeto contenedor de Active Directory. Tenga en cuenta los requisitos de las directivas de restricción de software al diseñar la estructura de unidades organizativas (OU) de Active Directory. Puede aplicar filtros a objetos de directiva de grupo (GPO) para limitar la aplicación de directivas de restricción de software. Puede establecer que una parte de una unidad organizativa reciba un GPO si aplica un filtro basado en la pertenencia a grupos. También puede emplear filtros de Instrumental de administración de Windows (WMI) con Windows XP para aplicar directivas de grupo a determinados equipos; por ejemplo, a equipos con una versión o Service Pack específicos de Windows. Nota : cree siempre un GPO independiente para las directivas de restricción de software. Si crea un GPO independiente para la configuración de la directiva, puede deshabilitarlo en caso de emergencia sin que ello afecte al resto de la configuración de seguridad.

Demostración 4 Uso de directivas de restricción de software Configuración de directivas de restricción de software Notas para el alumno: En esta demostración, verá cómo se realizan las siguientes tareas: Configurar directivas de restricción de software Configurar una regla hash que impida la ejecución de Outlook Express en un equipo Configurar una regla de ruta de acceso que impida la ejecución de todos los archivos de comandos *.VBS en un equipo Configurar una regla de certificado que permita la ejecución de archivos de comandos *.VBS si están firmados con un certificado de confianza Asignar las reglas de directivas de restricción de software a una unidad organizativa que contenga la estación de trabajo de prueba Reiniciar la estación de trabajo y comprobar que funcionan las directivas de restricción de software

Uso de plantillas de seguridad
Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas para la protección de equipos que se ejecutan en la plataforma Windows Notas para el alumno: Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas de seguridad para equipos que se ejecutan en la plataforma Windows. Con la herramienta Configuración y análisis de seguridad, los administradores pueden seleccionar una plantilla de seguridad predefinida o personalizada y aplicarla a un sistema según la función de éste. Puede aplicar plantillas de seguridad con Directiva de grupo. El uso de Directiva de grupo permite aplicar la configuración de las plantillas de forma centralizada y exigir la aplicación de esta configuración aunque se modifique en un equipo. Puede combinar plantillas y aplicarlas a distintos niveles de la estructura de Active Directory a fin de reducir el tiempo necesario para administrar la configuración de seguridad. Las guías de configuración de seguridad de Windows contienen plantillas recomendadas para diversas funciones comunes de los equipos. La Guía de seguridad de Windows Server 2003 incluye 24 plantillas de seguridad. Puede utilizar estas plantillas para establecer la configuración de seguridad de dominios, así como la configuración de seguridad para diversas funciones de servidor y entornos con distintos requisitos en seguridad (incluidas las plantillas para clientes corporativos, de alta seguridad y clientes antiguos). La Guía de seguridad de Microsoft Windows XP incluye plantillas de seguridad para clientes corporativos (equipos de escritorio y equipos portátiles), de alta seguridad (equipos de escritorio y equipos portátiles) y para clientes antiguos (cuentas, equipos de escritorio y equipos portátiles con configuración corporativa y de alta seguridad). Las plantillas de seguridad contienen opciones de configuración para las siguientes áreas: Directivas de cuentas Directivas locales Registro de sucesos Grupos restringidos Servicios del sistema Registro Sistema de archivos Área de seguridad Descripción Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos Directivas locales Directiva de auditoría, asignación de derechos de usuario y opciones de seguridad Registro de sucesos Configuración de los registros de aplicación, sistema y sucesos de seguridad Grupos restringidos Pertenencia a grupos sensibles a la seguridad Servicios del sistema Inicio y permisos para servicios del sistema Registro Permisos para claves del Registro Sistema de archivos Permisos para carpetas y archivos

Uso de directivas de cuentas en el nivel de dominio
Kerberos Directivas de bloqueo de cuentas Las directivas se aplican a los controladores de dominio y a todas las cuentas del dominio Notas para el alumno: Las directivas de cuentas se implementan en el nivel de dominio. Si se establecen directivas de cuentas en Active Directory en cualquier nivel distinto del nivel de dominio, sólo se ven afectadas las cuentas locales en los servidores integrantes. Si hay grupos que necesitan directivas de contraseñas independientes, deben separarse en otro dominio o bosque en función de los requisitos adicionales. La plantilla para clientes corporativos de nivel de dominio que proporciona la Guía de seguridad de Windows Server 2003 incluye las siguientes opciones de cuentas: Forzar el historial de contraseñas = se recuerdan 24 contraseñas; Vigencia máxima de la contraseña = 42 días; Vigencia mínima de la contraseña = 2 días; Longitud mínima de la contraseña = 8 caracteres; Las contraseñas deben cumplir los requerimientos de complejidad = habilitada; y Almacenar contraseñas con cifrado reversible para todos los usuarios del dominio = deshabilitada. La plantilla de seguridad no define las directivas Kerberos. La configuración de directivas de cuentas es fundamental para la seguridad de los clientes y de la red. La plantilla de seguridad necesita contraseñas complejas, lo que significa que las contraseñas deben cumplir tres de estos cuatro requisitos de complejidad: caracteres en mayúsculas (A–Z), caracteres en minúsculas (a–z), 10 dígitos de base (0–9) y caracteres no alfanuméricos (!, $, # o %). Además, una contraseña debe tener seis caracteres como mínimo y no puede contener tres o más caracteres del nombre de la cuenta del usuario. En la mayoría de los casos, las contraseñas complejas largas proporcionan el mejor nivel de seguridad para las cuentas. Otra opción es establecer un valor bajo de umbral de bloqueo de cuenta de manera que las cuentas de usuario se bloqueen después de un número bajo de intentos incorrectos de inicio de sesión. No obstante, este método es problemático, ya que los usuarios no pueden tener acceso a los recursos de la red si por equivocación bloquean su propia cuenta o los atacantes pueden bloquear muchas cuentas de usuario al intentar iniciar una sesión como varios usuarios. Un método mejor es exigir contraseñas complejas largas y establecer un umbral de bloqueo de cuenta bastante alto de manera que el usuario pueda realizar varios intentos con la contraseña. Información adicional: (este sitio está en inglés) Opción Vulnerabilidad Medida preventiva Posibles efectos Ejemplo de directiva de cuentas: Forzar el historial de contraseñas Los usuarios utilizan de nuevo la misma contraseña Utilice el valor máximo Los usuarios pueden tener anotadas contraseñas antiguas Ejemplo de directiva de cuentas: Las contraseñas deben cumplir los requisitos de complejidad Las contraseñas que no son complejas se pueden adivinar fácilmente Habilite esta opción Indique a los usuarios que utilicen frases Los usuarios pueden no recordar contraseñas complejas Ejemplo de directiva de cuentas: Vigencia mínima de la contraseña Los usuarios pueden cambiar de contraseña varias veces para poder utilizar de nuevo una contraseña Establezca 2 días para la opción Vigencia mínima de la contraseña Si un administrador cambia la contraseña de un usuario, es posible que el usuario no pueda cambiarla durante 2 días Ejemplo de directiva Kerberos: Forzar restricciones de inicio de sesión de usuario Los usuarios pueden obtener vales de sesión para servicios no autorizados Reduzca la caducidad de los vales y exija una sincronización más estricta de los relojes Mayor tráfico de red; incapacidad para conectarse a los servidores

Implementación de plantillas de seguridad
Implemente plantillas de seguridad con directivas de grupo Examine las plantillas de seguridad de la Guía de seguridad de Windows XP Importe las plantillas predeterminadas a un GPO y modifíquelas si es necesario Notas para el alumno: La opción más fácil y segura para implementar plantillas de seguridad es mediante objetos de directiva de grupo (GPO) vinculados a objetos contenedores de Active Directory, como sitios, dominios y unidades organizativas (OU). Implemente plantillas de seguridad con directivas de grupo. La Guía de seguridad de Microsoft Windows XP proporciona plantillas para clientes corporativos y de alta seguridad. Estas plantillas se pueden importar a un GPO, para después modificarlas e implementarlas según sea necesario. Examine las plantillas de seguridad de la Guía de seguridad de Microsoft Windows XP. Para ver una descripción de cada opción y cómo las configura cada plantilla, consulte Threats and Countermeasures Guide. La guía contiene consejos detallados sobre cada opción de directiva, los puntos vulnerables de seguridad asociados a esa opción y las distintas maneras en que puede utilizarse la opción para mitigar los puntos vulnerables. Importe las plantillas predeterminadas a un GPO y modifíquelas si es necesario. Importe a un GPO la plantilla de seguridad que más se aproxime a sus requisitos de seguridad. Modifique la configuración de la plantilla de seguridad para adaptarla a sus requisitos. Implemente el GPO en los objetos contenedores adecuados de Active Directory. Opción Configuración en la plantilla de seguridad Requisito de la compañía Configuración modificada en la plantilla Tener acceso a este equipo desde la red Administradores, Usuarios Sólo unos pocos usuarios necesitan tener acceso a los recursos compartidos en el equipo Limite el acceso a grupos de seguridad específicos Haga copia de seguridad de archivos y directorios Administradores Los usuarios de equipos portátiles deben poder realizar copias de seguridad de archivos sin ser administradores Conceda a los usuarios de equipos portátiles el derecho de realizar copias de seguridad de archivos Inicio de sesión interactivo: requerir tarjeta inteligente No configurada Únicamente los usuarios con tarjetas inteligentes pueden iniciar una sesión en estaciones de trabajo administrativas Habilite la opción

Protección de clientes antiguos
Los clientes Windows 2000 pueden utilizar plantillas de seguridad implementadas mediante Directiva de grupo Configure otros clientes con archivos de comandos o directivas: Secuencias de comandos de inicio de sesión Directivas del sistema Secuencias de comandos Notas para el alumno: Los clientes antiguos son equipos que ejecutan el sistema operativo Windows 2000 o versiones anteriores. La protección de estos clientes en la organización representa un desafío adicional. Clientes Windows Puede configurar clientes Windows 2000 como clientes Windows XP. Algunas opciones de directiva son diferentes entre estos sistemas operativos; por tanto, deberá agrupar los clientes que ejecutan Windows 2000 y Windows XP en unidades organizativas (OU) independientes. A continuación, aplique objetos de directiva de grupo (GPO) distintos a cada OU. Otros clientes. Windows NT 4.0, Windows 95, Windows 98 y Windows Millennium Edition no proporcionan el mismo nivel de seguridad que Windows 2000 y Windows XP. Emplee los siguientes métodos para la protección de estos clientes: Secuencias de comandos de inicio de sesión. Cuando un usuario inicia una sesión en un equipo con Windows NT 4.0, puede utilizar secuencias de comandos de inicio de sesión para configurar el equipo de forma centralizada. Coloque estas secuencias de comandos en una ubicación de red para su mantenimiento centralizado. Las secuencias de comandos de inicio de sesión proporcionan una funcionalidad limitada, ya que se ejecutan en el contexto de seguridad del usuario. Los usuarios también pueden impedir que se ejecuten estas secuencias de comandos si desconectan el equipo de la red. Directivas del sistema. Las directivas del sistema se utilizaron en versiones anteriores a Windows Aunque no son tan eficaces como las directivas de grupo, se pueden seguir utilizando para automatizar la aplicación de algunas opciones de seguridad. Secuencias de comandos. Puede utilizar secuencias de comandos, incluidos archivos de proceso por lotes, como ayuda para proteger todo tipo de clientes antiguos. El uso de estas secuencias de comandos sólo ofrece seguridad limitada, ya que los usuarios pueden impedir que se ejecuten o deshabilitar opciones contenidas en estas secuencias. Información adicional: Para obtener una lista de todas las opciones predeterminadas para objetos de directiva de grupo, consulte la hoja de cálculo Group Policy Object Settings en: (este sitio está en inglés).

Situaciones de implementación
Equipo cliente Ubicación y uso Configuración de seguridad Windows XP Professional (Equipo independiente) Lugar público para explorar la intranet La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer Implemente una plantilla de alta seguridad Las directivas se configuran mediante la directiva de seguridad local Windows XP Professional (Integrante de un dominio) Lugar público para servidores Web de correo electrónico y de terminal La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer y Conexión a escritorio remoto Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas Windows XP y 2000 Professional (Integrante de un dominio) En una oficina segura para realizar actividades empresariales La directiva restringe sólo aplicaciones específicas Implemente una plantilla de seguridad para clientes corporativos y modifíquela según sea necesario En una oficina segura y para el uso por parte de administradores de dominios La directiva impide la ejecución de todas las aplicaciones (pero no se aplica a los administradores) Implemente una plantilla de alta seguridad y modifíquela según sea necesario Notas para el alumno: Aplique directivas de seguridad restrictivas y plantillas de seguridad para mejorar la seguridad de los clientes. Implemente siempre las directivas de seguridad más restrictivas que permitan a los usuarios realizar sus tareas. La mayoría de los entornos de red tienen implementan las estaciones de trabajo en varios escenarios distintos. Al diseñar la configuración de seguridad, tenga en cuenta lo siguiente: El sistema operativo del cliente Si el cliente es un equipo independiente o un integrante de un dominio La ubicación del cliente (en un lugar público o una oficina segura) El uso del cliente (para explorar la red intranet, comprobar el correo electrónico o realizar actividades empresariales)

Directrices de seguridad para usuarios
Elegir contraseñas complejas* 1 Proteger las contraseñas 2 Bloquear los equipos desatendidos* 3 Notas para el alumno: Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad. No obstante, los usuarios pueden adoptar medidas sencillas que ayuden a proteger la infraestructura de la red. Pueden evitarse muchas infracciones de seguridad si se instruye a los usuarios para que sigan estas directrices: Elegir contraseñas complejas. Para esto es necesario que los usuarios sepan en qué consiste una contraseña compleja y quizás sea necesario enseñarles cómo pueden recordar contraseñas complejas. Proteger las contraseñas. Compruebe que los usuarios entienden por qué son importantes las contraseñas para la seguridad. Bloquear los equipos desatendidos. Los usuarios no deben dejar desatendidos los equipos sin bloquear sus escritorios. Considere la posibilidad de exigir esta configuración mediante un protector de pantalla que bloquee automáticamente el escritorio después de un período de inactividad. No iniciar una sesión con una cuenta con privilegios. Si es posible, los usuarios no deben tener acceso administrativo a sus equipos. Si la organización necesita esta clase de acceso, asegúrese de que los usuarios inician las sesiones con una cuenta sin privilegios y, después, utilicen una característica de inicio de sesión secundario para realizar las tareas administrativas. Ejecutar sólo programas de confianza. Las directivas de restricción de software pueden impedir que los usuarios ejecuten programas no autorizados. Los usuarios también deben ser conscientes del peligro de ejecutar programas no autorizados por la organización. No abrir datos adjuntos sospechosos. Los servidores de correo y las aplicaciones cliente pueden bloquear datos adjuntos ejecutables, pero es posible que estos métodos no funcionen correctamente. Los usuarios deben saber lo peligroso que puede ser abrir datos adjuntos desconocidos. No ser víctima de estratagemas sociales. Las estratagemas sociales son técnicas que engañan a los usuarios para que pongan en peligro la seguridad. Los usuarios deben ser conscientes de los métodos de estratagemas sociales que los atacantes utilizan y cómo responder ante tales métodos. Revisar las directivas de seguridad de la organización. Asegúrese de que las directivas de seguridad son fáciles de entender y que los usuarios las consultan con regularidad. No intentar suplantar la configuración de seguridad. Los usuarios deben darse cuenta de que la configuración de seguridad se ha implementado por un motivo y que intentar omitirla puede poner en peligro la seguridad de la organización. Informar sobre incidentes sospechosos. Los informes y la documentación de estos incidentes permitirá investigarlos y responder a ellos. No iniciar una sesión con una cuenta con privilegios* 4 Ejecutar sólo programas de confianza* 5 No abrir datos adjuntos sospechosos* 6 No ser víctima de estratagemas sociales 7 Revisar las directivas de seguridad de la organización 8 No intentar suplantar la configuración de seguridad* 9 10 Informar sobre incidentes sospechosos *Estas directrices de seguridad se pueden implementar totalmente o en parte mediante directivas centralizadas

Orden del día Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: En este tema se proporcionan recomendaciones y métodos específicos para la seguridad de los clientes móviles en un entorno empresarial. Algunos de los conceptos específicos que se tratarán son: Tipos de clientes Desafíos de las directivas de grupo para clientes remotos Protección del acceso al correo electrónico para clientes remotos Compatibilidad con seguridad de clientes inalámbricos Prácticas de seguridad para clientes móviles

Tipos de clientes Clientes de acceso telefónico Clientes inalámbricos
Clientes de correo remotos Notas para el alumno: La estrategia para la protección de los clientes móviles depende del tipo de cliente. Las principales preocupaciones respecto a clientes de red privada virtual (VPN, Virtual Private Network) y de acceso telefónico son: Seguridad de los hosts. A menudo los clientes VPN no se administran de forma centralizada. Autenticación. Resulta más conveniente la autenticación mediante varios factores si los equipos cliente se encuentran en instalaciones no seguras. Las principales preocupaciones respecto a clientes inalámbricos son: Autenticación de los equipos. Debe limitar el acceso a únicamente los equipos autorizados. Confidencialidad del tráfico de red. Debe asegurarse de que el tráfico de la red inalámbrica está cifrado. Las principales preocupaciones respecto al acceso remoto al correo son: Autenticación de los clientes. Es posible que los clientes se conecten desde ubicaciones no seguras. Confidencialidad del tráfico de correo. Los clientes se comunican con el servidor a través de Internet. OWA VPN Clientes VPN Internet LAN

Desafíos de las directivas de grupo para clientes remotos
Los clientes pueden no ser integrantes del dominio: La directiva de grupo se aplica únicamente a los integrantes del dominio Considere el uso de una red privada virtual con acceso limitado Considere el uso de Control de cuarentena de acceso a la red La configuración de directivas de grupo sólo se puede actualizar cuando los clientes se conectan Tenga en cuenta que se puede producir un retardo si la configuración de directivas de grupo se aplica a través de vínculos lentos Notas para el alumno: Al proteger clientes VPN y de acceso telefónico, recuerde que estos clientes pueden no pertenecer al dominio corporativo. Por tanto, es posible que no pueda utilizar Directiva de grupo para configurar automáticamente estos equipos cliente. Trate los clientes VPN y de acceso telefónico como posibles amenazas para la red, ya que pueden introducir virus y producir otros daños. Permita que sólo los integrantes del dominio se conecten a la VPN corporativa. Esta opción garantiza que únicamente los equipos administrados se conecten a la red. Cree una red independiente para los clientes VPN y de acceso telefónico. Esto proporcionará un acceso limitado al resto de la red corporativa. Utilice la característica Control de cuarentena de acceso a la red de Windows Esta característica permite a un servidor de Servicios de enrutamiento y acceso remoto (RRAS, Routing and Remote Access Service) comprobar la configuración de seguridad de un equipo cliente, restringir el acceso del cliente a la red mientras las comprobaciones están en curso y desconectar el cliente si la configuración de seguridad no cumple las directrices corporativas. La configuración de directivas de grupo sólo se puede aplicar cuando los clientes se conectan a la red corporativa. Esto significa que es posible que los clientes móviles no tengan la configuración más segura de directivas de grupo mientras no están conectados a la red o inmediatamente después de conectarse. La configuración de directivas de grupo, incluida la configuración de seguridad, se aplica cuando los clientes se conectan a la red corporativa. Si esto se realiza a través de un vínculo lento, los usuarios pueden sufrir retardos en las operaciones de red mientras se recupera y aplica la configuración. Información adicional: Consulte el documento Virtual Private Networks for Windows Server 2003 en (este sitio está inglés).

Protección del acceso al correo electrónico para clientes remotos
Acceso nativo a Outlook RPC sobre HTTP Microsoft Office Outlook Web Access (OWA): Métodos de autenticación Cifrado POP, IMAP y SMTP Outlook Mobile Access Notas para el alumno: Cuando los usuarios móviles necesitan acceso seguro a los mensajes de correo electrónico, pero no necesitan acceso total a la red corporativa mediante una red privada virtual (VPN), es posible proporcionar únicamente acceso al correo electrónico. Hay varias maneras de proporcionar acceso al correo electrónico: Acceso nativo a Outlook. El acceso nativo a Outlook permite a los usuarios utilizar el cliente de Microsoft Outlook para establecer una conexión al servidor mediante la Interfaz de programación de aplicaciones de mensajería (MAPI, Messaging Application Programming Interface). MAPI utiliza Llamadas a procedimiento remoto (RPC) como el protocolo subyacente. La configuración de servidores de seguridad convencionales para la compatibilidad con el tráfico RPC puede ser difícil y afectar a la seguridad de estos servidores. Microsoft Internet Security and Acceleration (ISA) Server es un servidor de seguridad que realiza inspecciones del tráfico RPC en las aplicaciones. RPC sobre HTTP. Outlook 2003 y Microsoft Exchange Server 2003 encapsulan el tráfico RPC dentro del tráfico HTTP. Cuando se configuran clientes y servidores para utilizar RPC sobre HTTP, sólo es necesario configurar el servidor de seguridad para que permita el tráfico a través del puerto 80 ó 443, que son puertos estándar abiertos en muchos servidores de seguridad. Outlook Web Access (OWA). OWA permite el acceso desde cualquier explorador Web. Los usuarios móviles que utilizan OWA no necesitan el cliente Outlook. La experiencia de los usuarios con Exchange Server 2003 y OWA es prácticamente idéntica al uso del cliente Outlook completo. OWA admite varios métodos de autenticación Web estándar. Exchange Server 2003 incluye la autenticación basada en formularios. Esto permite configurar un tiempo de espera de manera que los clientes deban volver a autenticarse después de un período de inactividad. Puede cifrar todo el tráfico OWA mediante SSL. POP, IMAP y SMTP. Estos protocolos de correo estándar pueden proporcionar acceso al servidor de Exchange. Ninguno de estos protocolos proporciona cifrado y no se recomiendan para programas corporativos de correo electrónico. Estos protocolos permiten el acceso únicamente a mensajes de correo electrónico. No proporcionan acceso a calendarios ni a información de contacto. Outlook Mobile Access. Este conjunto de funciones permite a los usuarios con dispositivos móviles sincronizar la información de correo electrónico y de contacto en sus dispositivos con Exchange Server.

Compatibilidad con seguridad de clientes inalámbricos
Windows XP: Ofrece compatibilidad nativa con 802.1x Windows 2000: 802.1x está deshabilitado de forma predeterminada La configuración requiere una utilidad de terceros No se configuran perfiles específicos de los usuarios No se puede utilizar Directiva de grupo para la configuración Notas para el alumno: La compatibilidad con redes inalámbricas varía según el sistema operativo que el cliente inalámbrico utiliza. Windows XP y Windows 2000 admiten 802.1x, que es un estándar diseñado para mejorar la seguridad de las redes de área local inalámbricas. Compatibilidad con Windows XP. Windows Server 2003 y Windows XP Professional ofrecen compatibilidad nativa con redes inalámbricas 802.1x y admiten el uso de directivas de grupo a fin de configurar opciones para redes inalámbricas. Compatibilidad con Windows Microsoft ha desarrollado un cliente 802.1x para Windows 2000 Professional, Windows NT 4.0, Windows 98 y Windows Millennium Edition. Algunos de los problemas del cliente 802.1x para Windows 2000 son: Estado del servicio. El servicio 802.1x para Windows 2000 se instala en un estado deshabilitado. Función de configuración rápida. El cliente de Windows 2000 no contiene la función de configuración rápida. Debe disponer de una utilidad de terceros para establecer la configuración de 802.1x. Herramientas de terceros. Muchas utilidades de terceros no guardan la configuración de 802.1x por cada usuario. Esto podría permitir que varios usuarios inicien sesiones en el mismo equipo y configuren un perfil común en lugar de un perfil específico para cada usuario. Directiva de grupo. No se admite la configuración de redes inalámbricas con Directiva de grupo.

Prácticas de seguridad para clientes móviles
Exija a los usuarios remotos de Servicios de Terminal Server que utilicen una conexión VPN cifrada Notas para el alumno: Tenga en cuenta las siguientes prácticas al configurar la seguridad de los clientes remotos de la red. Exija a los usuarios remotos el uso de una conexión VPN cifrada cuando utilicen un servicio de terminal u otras tecnologías de control remoto. Este método reduce la configuración de los servidores de seguridad para admitir más protocolos. También normaliza el punto de entrada en la red de manera que sea posible defender los puntos de entrada. Exija la autenticación mediante varios factores siempre que sea factible para el acceso telefónico o de VPN. Implemente tarjetas inteligentes o símbolos (token) para proporcionar un acceso telefónico o de VPN más seguro. Exija una revisión periódica de los registros de auditoría correspondientes a la actividad de acceso remoto. Toda la actividad de acceso telefónico se guarda automáticamente en el registro de sucesos del sistema. Compruebe con regularidad si se produce acceso remoto no autorizado. Exija la autenticación 802.1x para redes inalámbricas. Especifique el método de autenticación inalámbrica más seguro que admitan todos los clientes inalámbricos y puntos de acceso inalámbrico. Si es posible, exija el uso de la autenticación 802.1x para todo el acceso inalámbrico de la red. Utilice la autenticación mediante varios factores cuando sea factible Exija una revisión periódica de los registros de auditoría Exija la autenticación 802.1x para redes inalámbricas

Resumen de la sesión Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles Notas para el alumno: En esta sesión se han explicado los conceptos clave de seguridad avanzada de clientes y servidores. La seguridad de clientes y servidores es fundamental para todas las organizaciones, ya que una infracción de seguridad puede producir pérdidas de datos y daños en la infraestructura de red, así como perjudicar su reputación y sus ingresos. Aunque no es posible proteger totalmente una organización, debe lucharse por proteger los clientes y servidores de la red. En esta sesión se han tratado los temas siguientes: Introducción a la seguridad avanzada de clientes y servidores En este tema se han mostrado las prácticas básicas de seguridad para servidores y clientes más utilizadas. También se ha proporcionado una introducción a las prácticas avanzadas de seguridad para servidores y clientes que se han tratado en el resto de esta sesión. Implementación de seguridad avanzada en el servidor En este tema se han explicado métodos y técnicas avanzados para la protección de los servidores. El tema se ha centrado en la configuración de servicios en los servidores, la protección de los servidores mediante filtros IPSec y las auditorías de seguridad. Métodos para la protección de servidores IIS En este tema se han ofrecido recomendaciones y métodos para proteger los servidores IIS. También se han descrito herramientas y métodos para la protección de servidores IIS 5.x e IIS 6.0. Implementación de seguridad avanzada en el cliente En este tema se han descrito técnicas avanzadas para proteger equipos cliente. En el tema se han examinado las directivas de restricción de software, las plantillas de seguridad, las directivas de cuentas de dominio y cómo reforzar los clientes antiguos. También se han mostrado situaciones de implementación y directrices de seguridad para los usuarios. Métodos para proporcionar seguridad a clientes móviles En este tema se han explicado recomendaciones y métodos para proporcionar seguridad a clientes móviles en un entorno empresarial. Algunos de los conceptos tratados son los tipos de clientes, los desafíos de las directivas de grupo para clientes remotos, los desafíos de seguridad para clientes inalámbricos y las recomendaciones de seguridad para clientes móviles.

Pasos siguientes Mantenerse informado sobre la seguridad
Suscribirse a boletines de seguridad: Obtener las directrices de seguridad de Microsoft más recientes: Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar un CTEC local que ofrezca cursos prácticos: Notas para el alumno: En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información sobre seguridad más reciente. Obtener aprendizaje de seguridad adicional.

Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) Notas para el alumno: Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN® (desarrolladores) (este sitio está en inglés)

Preguntas y respuestas

Seguridad avanzada de clientes y servidores

Presentaciones similares

Presentación del tema: "Seguridad avanzada de clientes y servidores"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Seguridad avanzada de clientes y servidores

Presentaciones similares

Presentación del tema: "Seguridad avanzada de clientes y servidores"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback