Sesión 3: Medidas de seguridad avanzadas para clientes y servidores Nombre del presentador Título Empresa

Prerrequisitos para la sesión Experiencia práctica con los sistemas operativos servidor y cliente de Microsoft Widows y Active Directory. Conocimiento de los elementos básicos en seguridad del cliente y servidor, incluyendo cómo utilizar la política de grupo para fortalecer los PCs Nivel 300

Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad de datos Métodos para ofrecer seguridad de cliente móvil. Resolver los problemas de las configuraciones de seguridad

La importancia de la seguridad de Active Directory Active Directory crea un ambiente de red más seguro al solicitar: Verificación de la identidad de cada usuario Autorización para otorgar o negar el acceso a un recurso Una brecha en la seguridad de Active Directory puede tener como resultado: La pérdida de acceso legítimo a los recursos de la red Divulgación inapropiada o pérdida de información confidencial

Identificar tipos de amenazas a la seguridad Fuente de la amenaza Descripción Amenaza potencial Usuarios anónimos Acceso no autentificado a la red como miembro habilitado para el grupo de Acceso compatible previo a Windows 2000 Divulgación de información Usuarios autentificados Cualquier usuario que haya completado exitosamente el proceso de autenticación Administradores de servicio Utilizados para controlar la configuración y políticas del servicio de directorio Capacidad para lanzar ataques a lo largo del bosque Administradores de datos Se utilizan para agregar o eliminar unidades organizativas (UOs), PCs, usuarios grupos y para modificar las configuraciones de la Política de grupo La delegación inadecuada puede comprometer los límites administrativos Usuarios con acceso físico a controladores de dominio Cualquier situación en la cual una persona pueda acceder a los controladores de dominio o estaciones de trabajo administrativas Divulgación de información, falsificación de datos o robo

Establecer límites seguros Rol administrativo La autonomía significa… El aislamiento significa… Administrador de servicio Administra de manera independiente la totalidad o parte de la administración del servicio Evita que otros administradores del servicio controlen o interfieran con la administración del servicio Administrador de datos Administra de manera independiente la totalidad o parte de los datos que están almacenados en Active Directory o en PCs miembros Evita que otros administradores de datos controlen o vean datos en Active Directory o en PCs miembros Autonomía Se puede lograr al delegar servicio o administración de datos Aislamiento Requiere que se implemente un bosque por separado

Cómo seleccionar una estructura de Active Directory Pasos: Iniciar con un bosque de dominio único 1 Para cada unidad de negocios con requisitos de administración únicos, determinar el nivel apropiado de autonomía y aislamiento 2 Observar si el requisito pertenece a la delegación de la administración del servicio, administración de datos, o ambas 3 Determinar la estructura adecuada de Active Directory 4

Asegurar las cuentas de Administración del servicio Limitar el número de cuentas de administrador de servicio a personal altamente confiable Separar las cuentas administrativas y de usuario para los usuarios administrativos Ocultar la cuenta del administrador de dominio Nunca compartir cuentas de administración de servicio Limitar el grupo de Administradores de esquema a miembros temporales Controlar el proceso de conexión

Demo 1: Configurar la membresía del grupo limitado Configurar el grupo de seguridad de Administración empresarial como un Grupo limitado

Asegurar las prácticas de Administración de datos Restringir la aplicación de la Política de grupo a personas confiables Entender el concepto de tomar la propiedad del objeto de los datos Reservar la propiedad de los objetos raíz de la división de directorio para administradores de servicio Establecer cuotas de propiedad del objeto

Proteger los servidores y datos DNS Los tipos de ataques incluyen: Modificación de los datos DNS Exposición de la dirección IP interna al Internet Negación de servicio Para proteger sus servidores DNS de este tipo de ataques: Implementar las zonas integradas de Active Directory y utilizar una actualización dinámica y segura Utilizar servidores DNS internos y externos por separado Restringir la transferencia de zonas a servidores DNS autorizados Utilizar IPSec entre los clientes y servidores DNS Supervisar la actividad de la red Cerrar todos los puertos de firewall que no se usan

Implementar seguridad avanzada para servidores Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad de datos Métodos para ofrecer seguridad de cliente móvil. Resolver los problemas de las configuraciones de seguridad

Servicios y seguridad de Windows Los servicios de Windows son aplicaciones que se ejecutan en PCs sin importar si un usuario se conecta Cualquier servicio o aplicación es un punto potencial de ataque Ganar el control de un servicio pondrá en peligro la seguridad del sistema Muchos servicios deben estar accesibes desde la red, lo cual aumenta la vulnerabilidad del servidor La solución es ejecutar tan pocos servicios en los servicios de Windows como sea posible Autenticación de servicios Todos los servicios se deben ejecutar en el contexto de seguridad de una seguridad principal Como una mejor práctica, utilice una de las cuentas integradas de Windows Server 2003 como la cuenta de conexión para los servicios de Windows

Configurar servicios utilizando plantillas de seguridad Aplicar la plantilla de seguridad de la línea de base del Servidor miembro a todos los servidores miembros Colocar a los servidores miembros en unidades organizativas de rol específico Elegir una plantilla de seguridad de rol específico para habilitar los servicios que se requieren para cada rol de servidor Utilizar la Política de grupo para aplicar la plantilla modificada a las unidades organizativas

Configurar servicios utilizando el Asistente de configuración de seguridad La base de datos de configuración de seguridad SCW identifica los servicios y puertos que se requieren para cada rol o función SCW analiza el servidor seleccionado para los roles y funciones instalados para identificar los servicios y puertos que se requieren SCW le permite habilitar o deshabilitar cualquier identificador adicional o servicios no identificados SCW configura al Firewall de Windows al utilizar los roles y servicios que usted elija Después de crear la política usted puede aplicarla a uno o más servidores o utilizarla para crear un GPO

Determinar dependencias de servicio Abrir la consola de servicios Abrir el cuadro de Propiedades de servicio Hacer clic en la pestaña Dependencias

Demo 2: Configurar servicios utilizando el Asistente de configuración de seguridad Utilizar el Asistente de configuración de seguridad para configurar servicios y el Firewall de Windows

Auditar la seguridad Los administradores deberán establecer una política de auditoría Cuando establezca una política de auditoría: Analice el modelo de amenaza Considere los requisitos normativos y legales de su organización Considere las capacidades del sistema y del usuario Pruebe y perfeccione la política Separe el rol de auditoría de seguridad del rol de administración de la red Considere utilizar herramientas de supervisión de registro centralizado tales como : Microsoft Operations Manager (MOM) EventCombMT Analizador de registro SNMP

Configuración de Política de auditoria recomendada para los Servidores miembros Política de auditoría Configuraciones mínimas recomendadas para un Ambiente de cliente empresarial Eventos de conexión de cuentas de auditoría Éxito Adminsitración de cuentas de auditoría Acceso al servicio de directorio de auditoría Sólo si se requiere por modelo de amenazas Eventos de conexión de auditoría Acceso a objetos de auditoría Cambio de políticas de auditoría Uso del privilegio de auditoría No auditar Seguimiento del proceso de auditoría Eventos del sistema de auditoría

Demo 3: Utilizar EventCombMT para ver registros del evento Utilizar EventCombMT para ver Registros del evento desde múltiples servidores

Supervisión de seguridad al utilizar MOM MOM recopila eventos de seguridad desde PCs o dispositivos administrados MOM analiza los eventos recopilados y aumenta las alertas para eventos importantes Base de datos MOM Consola del administrador de MOM Consola del operador de MOM Servidor de administración de MOM Consola Web de MOM Servicios de generación de informes de MOM PCs administrados PCs administrados

Mejores prácticas para asegurar servidores Aplique los paquetes de servicio más recientes y las actualizaciones de seguridad Limite el número de administradores y el nivel de permisos administrativos Ejecute servicios con una cuenta del sistema que tenga los menos permisos posibles Reduzca la superficie de ataque Utilice Active Directory para ejecutar la seguridad del servidor Tenga un plan de respuesta de emergencia

Implementar seguridad avanzada para clientes Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad de datos Métodos para ofrecer seguridad de cliente móvil. Resolver los problemas de las configuraciones de seguridad

Utilizar plantillas de seguridad en los clientes Las plantillas de seguridad pueden también definir configuraciones de política para asegurar a los PCs cliente que se ejecutan en una plataforma de Windows Área de seguridad Descripción Políticas de cuenta Política de contraseñas, Política se desbloqueo de cuenta y Política Kerberos Políticas locales Política de auditoría, Asignación de derechos de usuario y opciones de seguridad Registro del evento Configuraciones de aplicación, sistema y del registro del evento de seguridad Grupos limitados Control de membresía de los grupos sensibles a la seguridad Servicios del sistema Inicio y permisos para los servicios del sistema Registro Permisos para claves de registro Sistema de archivo Permisos para carpetas y archivos

Utilizar políticas de cuentas a nivel dominio Políticas de desbloqueo de cuentas Las políticas de cuentas se aplican a nivel dominio y afectan todas las cuentas del dominio Políticas de cuenta Políticas Kerberos Dominio Configuración Vulnerabilidad Contramedida Impacto potencial Ejemplo de la política de cuentas: Ejecute el historial de contraseñas Los usuarios reutilizan la misma contraseña Utilice la configuración máxima Los usuarios pueden escribir sus contraseñas anteriores Ejemplo de la política de cuentas: Las contraseñas deben cubrir los requisitos de complejidad Las contraseñas no complejas son fáciles de resolver Habilite esta configuración, instruya a los usuarios a utilizar frases de contraseñas Los usuarios no pueden recordar contraseñas complicadas Ejemplo de la política de cuentas: Edad mínima de la contraseña Los usuarios pueden cambiar las contraseñas muchas veces para permitirles reutilizar una contraseña Establezca una edad mínima de contraseña a un valor de 2 días Si un administrador cambia la contraseña de un usuario, el usuario no podrá cambiarla durante 2 días Ejemplo de la política Kerberos: Integre las restricciones de la conexión del usuario Los usuarios pueden obtener boletos de sesiones para servicios no autorizados Reduzca el fin de temporización de la validez del boleto y solicite sincronización de reloj más ajustada Aumento en el tráfico de red; incapacidad para conectarse a servidores

Implementar plantillas de seguridad en los clientes Examine las plantillas de seguridad en la Guía de seguridad de Windows XP v2 Importe las plantillas predeterminadas en un GPO y modifíquelas de ser necesario Implemente las plantillas de seguridad utilizando los objetos de la Política de grupo

Asegurar los clientes heredados Los clientes de Windows 2000 pueden utilizar plantillas de seguridad implementadas a través de la Política de grupo Configure otros clientes al utilizar secuencias de comandos o archivos de políticas: Utilice secuencias de comandos de inicio de sesión Utilice políticas del sistema Secuencias de comandos

Escenarios de implementación PC cliente Configuraciónes de ubicación y seguridad Windows XP Professional (Independiente) Pantalla pública de Internet Implemente la plantilla de alta seguridad Rechace todas las aplicaciones excepto Internet Explorer Windows XP Professional (Miembro de dominio) Pantalla pública de correo electrónico/aplicación Rechace todas las aplicaciones excepto Internet Explorer y Escritorio remoto Windows XP y 2000 Professional (Miembro de dominio) Estación de trabajo de negocios segura Implemente la plantilla de seguridad de cliente empresarial y modifíquela conforme se requiera Restrinja sólo las aplicaciones específicas Asegure la estación de trabajo de administración de dominio Implemente la plantilla de alta seguridad y modifíquela conforme se requiera Rechace todas las aplicaciones (pero no las que se apliquen a administradores)

Lineamientos de seguridad para los usuarios ü Elija contraseñas complicadas* ü Proteja las contraseñas ü Cierre los PCs desatendidos* ü No inicie sesión utilizando una cuenta privilegiada ü Ejecute sólo programas confiables* ü No abra archivos adjuntos sospechosos* ü No caiga presa de la ingeniería social ü Revise las políticas de seguridad de su organización ü No trate de invalidar las configuraciones de seguridad* ü Informe los incidentes sospechosos *Estos lineamientos de seguridad se pueden implementar total o parcialmente a través de políticas centralizadas

Proporcionar seguridad a los datos Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad a los datos Métodos para ofrecer seguridad de cliente móvil. Resolver los problemas de las configuraciones de seguridad

Roles y limitaciones de Permisos de archivo Tienen la finalidad de evitar el acceso no autorizado Los administradores pueden obtener acceso no autorizado No se proteja contra intrusos con el acceso físico La encriptación ofrece seguridad adicional

Roles y limitaciones del Sistema de archivos encriptados Beneficios de la encriptación EFS Asegura la privacidad de la información Utiliza tecnología clave pública y robusta Peligro de encriptación Se pierde todo el acceso a los datos si se pierde la clave privada Claves privadas en PCs cliente Las claves se encriptan con el derivado de la contraseña del usuario Las claves privadas son sólo tan seguras como la contraseña Las claves privadas se pierden cuando se pierde el perfil del usuario

Diferencias del sistema de archivo encriptado entre las versiones de Windows Windows 2000 y las nuevas versiones de Windows dan soporte a EFS en las particiones NTFS Windows XP y Windows Server 2003 incluyen nuevas funciones: Se puede autorizar a usuarios adicionales Se pueden encriptar archivos fuera de línea El algoritmo de encriptación 3DES puede reemplazar a DESX Se puede utilizar un disco para restablecer la contraseña EFS conserva la encriptación sobre WebDAV Se recomiendan los agentes de recuperación de datos Se mejora la capacidad de uso

Implementar el sistema de archivos encriptados: Cómo hacerlo de manera adecuada Utilice la Política de grupo para deshabilitar EFS hasta que esté listo para la implementación central Planee y diseñe políticas Nombre agentes de recuperación Asigne certificados Implemente al utilizar la Política de grupo

Demo 4: Configurar EFS Configurar los Agentes de recuperación de datos Encriptar archivos Desencriptar archivos Compartir un archivo encriptado

Entender Rights Management Services RMS protege y mejora la seguridad de los datos para los siguientes escenarios: Proteger mensajes confidenciales de correo electrónico Integrar derechos de documentos Proteger contenido confidencial de intranet NO ofrece: Seguridad irrompible a prueba de agresores Protección contra ataques analógicos

Componentes de la Tecnología de Windows RMS Componentes de servidor Windows RMS para Windows Server 2003 Kits de desarrollo de software (SDKs) Componentes cliente Software cliente de Windows Rights Management Aplicaciones habilitadas por RMS Microsoft Office Professional 2003 Complementos de RM para Internet Explorer SDKs

Cómo trabaja Windows RMS Active Directory Servidor de bases de datos Servidor RMS 7 8 1 9 2 3 6 5 4 Autor de la información Destinatario de la información

Mejoras a Rights Management Service SP1 Soporte para servidores que no están conectados a Internet Certificado contra normas de la industria y el gobierno Soporta la autenticación basada en Smartcard Ofrece un caja de seguridad para el servidor Mejora la seguridad dinámica basada en roles con soporte para Grupos basados en consultas en Exchange 2003 Mejora el acceso remoto al utilizar Outlook RPC sobre HTTP Facilita la implementación de la instalación distribuida a través de las tecnologías de instalación familiares de Microsoft

Demo 5: Windows Rights Management Service Utilizar RMS para proteger datos

Métodos para proporcionar seguridad a los clientes móviles Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad de datos Métodos para proporcionar seguridad a los clientes móviles Resolver los problemas de las configuraciones de seguridad

Descripción general de la seguridad del cliente móvil Necesita asegurar: Acceso al dispositivo Acceso a los datos almacenados Acceso a la red OWA Clientes por marcación Clientes inalámbricos Clientes de correo remoto VPN Internet LAN Clientes VPN

Retos de la Política de grupo para clientes remotos Los clientes pueden no ser miembros del dominio: La política de grupo aplica sólo a miembros del dominio Considere una VPN con acceso limitado a la red Considere el Control de cuarentena de acceso a la red Las configuraciones de la Política de grupo se pueden actualizar sólo cuando se conectan los clientes Planee disminuir el ritmo si las configuraciones de la Política de grupo se aplican sobre vínculos lentos

Asegurar el acceso al correo electrónico para los clientes remotos Acceso nativo a Outlook RPC sobre HTTP(S) OWA: Métodos de autenticación Encriptación POP3, IMAP y SMTP OMA Utilice SSL para todos los protocolos de Internet

Soporte de seguridad para el Cliente inalámbrico Windows XP Ofrece soporte nativo para 802.1X Windows 2000: 802.1X deshabilitado de manera predeterminada La configuración requiere utilidad de terceros No hay perfiles específicos del usuario No puede utilizar la Política de grupo para establecer configuraciones

Soporte de cliente inalámbrico de Windows XP SP2 y Windows Server 2003 SP1 Asistente de instalación de red inalámbrica Se utiliza para configurar y distribuir configuraciones de red inalámbricas Servicios de aprovisionamiento inalámbrico (WPS) Se utilizan para automatizar la configuración de clientes de red inalámbrica al crear un archivo que configuración que se descarga desde el servidor WPS Políticas de red inalámbrica (IEEE 802.11) Se utilizan para establecer la configuración de cliente inalámbrico al utilizar la Política de grupo Mejoras a las Políticas de red inalámbrica de Windows Server 2003 SP1 Amplía el soporte de la Política de grupo para administrar las configuraciones WPA para los clientes inalámbricos

Mejores prácticas para los usuarios de clientes móviles Proteja los dispositivos móviles con contraseñas No almacene información de acceso a la red en el dispositivo Mantenga actualizado el software antivirus Encripte los datos almacenados en el dispositivo Limite los datos almacenados en el dispositivo Implemente un procedimiento de respaldo regular Implemente políticas para tratar con los dispositivos perdidos o robados

Mejores prácticas de la seguridad del cliente móvil Requiere que los usuarios móviles utilicen una conexión a la VPN encriptada Requiere autenticación de factor múltiple cuando sea posible Requiere autenticación de certificado para el acceso al cliente móvil Requiere revisión periódica de los registros de auditoría Requiere fuerte autenticación para la operación en red inalámbrica

Resolver problemas con las configuraciones de la seguridad Proteger Active Directory Implementar seguridad avanzada para los servidores Implementar seguridad avanzada para los clientes Proporcionar seguridad de datos Métodos para ofrecer seguridad de cliente móvil. Resolver problemas con las configuraciones de la seguridad

Resolver conflictos con las plantillas de seguridad Utilizar las herramientas del conjunto resultante de directivas (RSoP) Herramientas de administración de Active Directory Resultados de la Política de grupo desde el GPMC GPResult Vea el artículo de la Knowledge Base, “Incompatibilidades del cliente, servicio y programa que puede ocurrir cuando modifica las configuraciones de seguridad y las asignaciones de derechos de usuario" en el sitio Web de soporte y ayuda de Microsoft

Resolver los problemas de las fallas de la aplicación Aplicar revisiones de seguridad o plantillas de seguridad puede evitar que las aplicaciones trabajen Herramientas para resolver los problemas de las fallas de la aplicación Supervisor de red Supervisor de archivo Supervisor de registro Dependency Walker Cipher

Resolver problemas de servicios y procesos Puede necesitar resolver problemas de servicios: Cuando los servicios y los procesos no inician Para confirmar que todos los servicios y procesos son legítimos Herramientas para resolver problemas de procesos: Tlist.exe o Explorador de procesos Dependency Walker Examine las propiedades de DLL

Resolver problemas de la conectividad a la red Asegúrese que sólo se abran los puertos requeridos en los PCs Herramientas para determinar el uso de puertos: Reporteador del puerto PortQry y PortQryUI TCPView Netstat -o (en Windows XP o Windows Server 2003) Administrador de la tarea Probar el uso del puerto para aplicaciones y servicios

Mejores prácticas para la resolución de problemas Utilice una estrategia formal de administración de cambios y configuración Pruebe todos los cambios en la configuración de seguridad Utilice las herramientas de RSoP en el modo de planeación Documente las configuraciones normales Siempre realice un respaldo completo del sistema antes de aplicar plantillas de seguridad Resuelva los problemas existentes antes de hacer más cambios Resuelva problemas de manera segura

Resumen de la sesión Identifique amenazas potenciales a la seguridad para su implementación de Active Directory Aplique las revisiones de seguridad más actuales, limite el número de administradores y evalúe la necesidad de servicios específicos Aplique plantillas de seguridad a los clientes basados sobre el escenario o rol de las estaciones de trabajo Se pueden utilizar EFS y RMS para mejorar la seguridad de datos Utilice una VPN encriptada y una autenticación multifactor para asegurar el acceso de usuarios remotos Documente todas las configuraciones y utilice una estrategia formal de administración de cambio y configuración

Siguientes pasos Encuentre eventos adicionales de capacitación en seguridad: El sitio Web de difusiones por el Web y eventos de seguridad de Microsoft Regístrese para obtener comunicaciones de seguridad: El sitio Web de Microsoft TechNet Ordene el Kit de la guía de seguridad: Obtenga herramientas y contenidos adicionales sobre seguridad: El sitio Web de la seguridad de Microsoft

Preguntas y respuestas