Implementación de la seguridad de clientes en Windows 2000 y Windows XP Orador: Hermann Flores Especialista en Producto Microsoft Cono Sur Nivel Avanzado

Requisitos previos para la sesión Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Conocimientos de Active Directory y Directiva de grupo Conocimientos de Active Directory y Directiva de grupo

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

La importancia de la seguridad Proteger la información Proteger la información Proteger los canales de comunicación Proteger los canales de comunicación Reducir el tiempo de inactividad Reducir el tiempo de inactividad Proteger los ingresos Proteger los ingresos Proteger las actividades de los empleados Proteger las actividades de los empleados Encuesta sobre seguridad y delitos informáticos de CSI/FBI (año 2003)

Estructura de organización de la seguridad El uso de una solución en niveles: El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Disminuye la posibilidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Seguridad física Perimetral Red interna Host Aplicación Datos Refuerzo del sistema operativo, administración de revisiones, autenticación, HIDS Servidores de seguridad, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Componentes de la seguridad de los equipos cliente Defensa a fondo de la seguridad de los clientes Actualizaciones de software Aplique actualizaciones de software para mantener actualizados los sistemas Recomendaciones sobre contraseñas Utilice contraseñas seguras en los distintos sistemas para restringir el acceso Protección de los datos Realice copias de seguridad de los datos, cífrelos y restrinja el acceso a los mismos Seguridad de las aplicaciones Implemente, configure y restrinja la instalación de aplicaciones Administración de los clientes Utilice Active Directory, plantillas y directivas para aplicar medidas de seguridad Equipos portátiles Implemente directivas y tecnologías para proteger el acceso remoto e inalámbrico Antivirus Instale y mantenga software antivirus como ayuda para la protección contra código malintencionado Servidores de seguridad Configure dispositivos de hardware, de software o ambos como ayuda para la protección del perímetro

Administración de las actualizaciones de software Implemente una solución de administración de actualizaciones para proteger los puntos vulnerables Implemente una solución de administración de actualizaciones para proteger los puntos vulnerables Asista a la sesión sobre la administración de revisiones o examine los consejos preceptivos mostrados en: Asista a la sesión sobre la administración de revisiones o examine los consejos preceptivos mostrados en: Tipo de usuario Escenario El usuario elige Usuario independiente Todos los escenarios Windows Update Pequeña empresa Sin servidores que ejecuten Windows Windows Update Tiene entre uno y tres servidores con Windows y un administrador de ITSUS Empresa grande o mediana Desea una solución de administración de actualizaciones con un nivel de control básico que actualice Windows 2000 y las versiones posteriores de Windows SUS Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar (y distribuir) todo el software SMS

Recomendaciones sobre contraseñas Adoctrine a los usuarios sobre el uso de buenas contraseñas Utilice frases (con espacios en blanco, números y caracteres especiales) en lugar de palabras sueltas Utilice contraseñas distintas para recursos diferentes y proteja la lista de contraseñas Configure los protectores de pantalla con contraseña y bloquee las estaciones de trabajo cuando no se utilicen Aplique la autenticación mediante varios factores cuando se necesite una mayor seguridad

Protección de los datos Uso de EFS para restringir el acceso a los datos Uso de EFS para restringir el acceso a los datos Firma de los mensajes de correo electrónico y el software para asegurar la autenticidad Firma de los mensajes de correo electrónico y el software para asegurar la autenticidad Uso de Information Rights Management para proteger la información digital contra el uso no autorizado Uso de Information Rights Management para proteger la información digital contra el uso no autorizado

Equipos portátiles El uso de dispositivos móviles introduce otras consideraciones sobre la seguridad El uso de dispositivos móviles introduce otras consideraciones sobre la seguridad Los dispositivos móviles extienden el perímetro cuando están conectados a bienes corporativos Los dispositivos móviles extienden el perímetro cuando están conectados a bienes corporativos Se necesitan niveles adicionales de defensa: Se necesitan niveles adicionales de defensa: Contraseñas para el BIOS Contraseñas para el BIOS Control de cuarentena de acceso a la red Control de cuarentena de acceso a la red Protocolos de autenticación inalámbrica Protocolos de autenticación inalámbrica Protección de los datos Protección de los datos

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Definición de una jerarquía de OU Directiva de grupo simplifica la aplicación de la configuración de seguridad de los clientes Directiva de grupo simplifica la aplicación de la configuración de seguridad de los clientes Modelo de jerarquía distribuida Modelo de jerarquía distribuida Windows XP Security Guide Windows XP Security Guide Distribución de los usuarios y equipos en unidades organizativas (OU) distintas Distribución de los usuarios y equipos en unidades organizativas (OU) distintas Aplicación de la configuración de directivas adecuada a cada OU Aplicación de la configuración de directivas adecuada a cada OU Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles

Demostración 1 Modificación de Active Directory para la seguridad de los clientes Presentación de la directiva predeterminada de dominio Creación de una jerarquía de OU Creación de una directiva de OU Traslado del equipo cliente

Cómo crear una jerarquía de OU 1. Cree las OU de cada departamento 2. En cada departamento, cree las OU para los usuarios y las distintas versiones del sistema operativo En la OU de cada sistema operativo, cree una OU para cada tipo de equipo (por ejemplo, los equipos portátiles) Mueva cada objeto de equipo cliente a la OU adecuada

Recomendaciones para implementar la seguridad con Active Directory Cree una estructura de OU para la seguridad de los clientes Cree una jerarquía de OU para dividir los objetos de usuario y de equipo según la función Aplique Directiva de Grupo con la configuración de seguridad adecuada para la función de cada equipo

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Uso de plantillas de seguridad Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad Las plantillas que contiene la Windows XP Security Guide son: Las plantillas que contiene la Windows XP Security Guide son: Dos plantillas de dominios que contienen opciones para todos los equipos del dominio Dos plantillas de dominios que contienen opciones para todos los equipos del dominio Dos plantillas que contienen opciones para los equipos de escritorio Dos plantillas que contienen opciones para los equipos de escritorio Dos plantillas que contienen opciones para los equipos portátiles Dos plantillas que contienen opciones para los equipos portátiles Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO

Uso de plantillas administrativas Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios y a equipos Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios y a equipos Las plantillas administrativas del SP1 de Windows XP contienen más de 850 opciones Las plantillas administrativas del SP1 de Windows XP contienen más de 850 opciones La Windows XP Security Guide contiene 10 plantillas administrativas adicionales La Windows XP Security Guide contiene 10 plantillas administrativas adicionales Los proveedores de aplicaciones de terceros pueden proporcionar plantillas adicionales Los proveedores de aplicaciones de terceros pueden proporcionar plantillas adicionales Es posible importar plantillas adicionales al modificar un GPO Es posible importar plantillas adicionales al modificar un GPO

Qué son las opciones de seguridad Opciones de seguridadExplicación Directiva de cuentasEstablece la directiva de contraseñas y de bloqueo de cuentas para el dominio Directiva de bloqueo de cuentas Impide el acceso después de un número determinado de intentos fallidos de inicio de sesión Directiva de auditoríaEspecifica qué sucesos de seguridad se grabarán Registro de sucesos Especifica la configuración del período de retención y el tamaño máximo del registro Sistema de archivos Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Directivas IPSec Filtran el tráfico entrante y saliente del servidor para bloquear el tráfico no deseado Configuración del Registro Permite especificar los permisos de acceso y la configuración de auditoría para las claves del Registro Grupos restringidos Permiten especificar qué cuentas son miembros del grupo y de qué grupos es miembro el grupo Opciones de seguridad Especifican una amplia variedad de opciones de seguridad para usuarios y equipos Restricciones de software Impiden que se ejecute software malintencionado en los equipos cliente Servicios del sistemaPermite especificar el modo de inicio y los permisos de acceso para los servicios Asignación de derechos de usuario Permite especificar qué usuarios y grupos pueden realizar determinadas acciones en los equipos

Las ocho opciones más importantes sobre la seguridad de los clientes Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen: Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen: Permitir formatear y expulsar medios extraíbles Permitir formatear y expulsar medios extraíbles No permitir enumeraciones anónimas de cuentas SAM No permitir enumeraciones anónimas de cuentas SAM Habilitar la auditoría Habilitar la auditoría Deja que los permisos de Todos se apliquen a los usuarios anónimos Deja que los permisos de Todos se apliquen a los usuarios anónimos Nivel de autenticación de LAN Manager Nivel de autenticación de LAN Manager Directiva de contraseñas Directiva de contraseñas No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Opciones de firma SMB para los equipos cliente Opciones de firma SMB para los equipos cliente

Demostración 2 Uso de Directiva de grupo Ver las opciones de seguridad de Windows XP Ver las plantillas administrativas Ver las plantillas de seguridad disponibles Aplicación de plantillas de seguridad Implementación de las plantillas de seguridad

Cómo aplicar plantillas de seguridad y plantillas administrativas Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles Cliente corporativo Domain.inf Directiva de dominio Directiva de usuarios protegidos de Windows XP Cliente corporativo Desktop.inf Cliente corporativo Laptop.inf Directiva de equipos portátiles Directiva de equipos de escritorio

Recomendaciones para la protección de clientes con Directiva de grupo Utilice como base las plantillas para clientes corporativos que se incluyen y modifíquelas según sus necesidades Implemente directivas estrictas de cuentas y de auditoría Pruebe concienzudamente las plantillas antes de implementarlas Utilice plantillas administrativas adicionales

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Plantillas administrativas de Internet Explorer Aplican requisitos de seguridad para las estaciones de trabajo con Windows XP Aplican requisitos de seguridad para las estaciones de trabajo con Windows XP Impiden el intercambio de contenido no deseado Impiden el intercambio de contenido no deseado Utilice las opciones incluidas en las plantillas para clientes corporativos Utilice las opciones incluidas en las plantillas para clientes corporativos Utilice Mantenimiento de Internet Explorer (IEM) de Directiva de grupo para configurar zonas de seguridad para los sitios de confianza Utilice Mantenimiento de Internet Explorer (IEM) de Directiva de grupo para configurar zonas de seguridad para los sitios de confianza

Zonas de Internet Explorer Zona de seguridadDescripción Mi PC Oculta en la interfaz de Internet Explorer Destinada a contenido que se encuentra en el equipo local Intranet local Sitios internos. Incluye rutas UNC, sitios que omiten el servidor proxy y todos los sitios internos que no pertenecen a otra zona, excepto: Windows Server 2003 con Configuración de seguridad mejorada No incluye automáticamente los sitios internos Enumera explícitamente http(s)://localhost y hcp://system Sitios de confianza Vacía de forma predeterminada, excepto en WS03 WS03 con ESC incluye Online Crash Analysis y Windows Update Configurable mediante la interfaz local o mediante directivas Internet Todo lo que no está incluido en otras zonas Windows Server 2003 incluye todos los sitios de intranet de forma predeterminada Sitios restringidos Vacía de forma predeterminada Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Asignación de derechos de usuario Impide controles ActiveX, secuencias de comandos y descargas Configurable mediante la interfaz local o mediante directivas

Microsoft Outlook Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook Mejoras en la seguridad de Outlook 2003 Mejoras en la seguridad de Outlook 2003 Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos Ejecuta contenido ejecutable en la zona Sitios restringidos Ejecuta contenido ejecutable en la zona Sitios restringidos No carga automáticamente contenido HTML No carga automáticamente contenido HTML

Plantillas administrativas de Microsoft Office Las plantillas para Office XP se proporcionan con la Windows XP Security Guide Las plantillas para Office XP se proporcionan con la Windows XP Security Guide Las plantillas para Office 97 y versiones posteriores están disponibles cuando se descarga la versión correspondiente del Kit de recursos de Office. Las plantillas para Office 97 y versiones posteriores están disponibles cuando se descarga la versión correspondiente del Kit de recursos de Office.

Recomendaciones para la protección de aplicaciones Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo Implemente una directiva para actualizar las aplicaciones

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Configuración de directivas de grupo locales Si los clientes no son miembros de un dominio de Active Directory, utilice Directiva de grupo local para configurar los equipos cliente independientes Si los clientes no son miembros de un dominio de Active Directory, utilice Directiva de grupo local para configurar los equipos cliente independientes Los clientes de Windows XP independientes utilizan una versión modificada de las plantillas de seguridad Los clientes de Windows XP independientes utilizan una versión modificada de las plantillas de seguridad Cada cliente de Windows XP Professional utiliza un GPO local y el Editor de objetos de directiva de grupo o secuencias de comandos para aplicar la configuración Cada cliente de Windows XP Professional utiliza un GPO local y el Editor de objetos de directiva de grupo o secuencias de comandos para aplicar la configuración

Plantillas de seguridad predefinidas Si los clientes se conectan a un dominio de Windows NT 4.0, utilice: Si los clientes se conectan a un dominio de Windows NT 4.0, utilice: Si los clientes no se conectan a un dominio de Windows NT 4.0, utilice plantillas de seguridad independientes Si los clientes no se conectan a un dominio de Windows NT 4.0, utilice plantillas de seguridad independientes Cliente corporativo heredado Cliente de alta seguridad heredado Seguridad básica para equipos de escritorio Cliente corporativo heredado: desktop.inf Cliente de alta seguridad heredado: desktop.inf Seguridad básica para equipos portátiles Cliente corporativo heredado: laptop.inf Cliente de alta seguridad heredado: laptop.inf

Demostración 3 Protección de clientes independientes Modificación de una plantilla de seguridad Implementación de una plantilla de seguridad Ver secuencias de comandos de ejemplo Ver la configuración de seguridad

Cómo utilizar la directiva de seguridad local para la protección de clientes independientes 1. Cargue la MMC de Directiva de grupo local (Gpedit.msc) 2. Vaya a Configuración de equipo/Configuración de Windows, haga clic con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva. 3. Vaya hasta la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Cliente de alta seguridad heredado: escritorio) 4. Configure opciones de seguridad adicionales según los consejos preceptivos

Recomendaciones para aplicar la configuración de directivas de grupo locales Utilice como base las plantillas independientes de la Windows XP Security Guide Automatice la distribución de las plantillas independientes con la herramienta secedit Desarrolle procedimientos para implementar directivas Implemente mecanismos para actualizar los clientes

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Qué es una directiva de restricción de software Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente El nivel de seguridad predeterminado tiene dos opciones: El nivel de seguridad predeterminado tiene dos opciones: Irrestricto: se pueden ejecutar todas las aplicaciones, excepto aquellas denegadas de forma específica Irrestricto: se pueden ejecutar todas las aplicaciones, excepto aquellas denegadas de forma específica Restringido: sólo se pueden ejecutar las aplicaciones permitidas de forma específica Restringido: sólo se pueden ejecutar las aplicaciones permitidas de forma específica

Cómo funcionan las restricciones de software Defina la directiva para el dominio con el Editor de objetos de directiva de grupo Descargue la directiva mediante Directiva de grupo en el equipo El sistema operativo aplica la directiva cuando se ejecuta una aplicación 1 2 3

Cuatro reglas para la identificación del software Regla de ruta Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación Fundamental cuando las SRP son estrictas Fundamental cuando las SRP son estrictas Regla de hash Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Regla de certificado Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Regla de zona de Internet Controla cómo se puede tener acceso a las zonas de Internet Controla cómo se puede tener acceso a las zonas de Internet Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web

Demostración 4 Aplicación de una directiva de restricción de software Creación de una directiva de restricción de software Reinicio de la máquina virtual Configuración de la suplantación de administradores Prueba de la directiva de restricción de software

Cómo aplicar restricciones de software 1. Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software 2. Vaya hasta el nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad 3. Haga clic con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga clic en Crear nuevas directivas 4. Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización

Cree un plan para deshacer cambios Utilice un objeto de directiva de grupo independiente para implementar restricciones de software Utilice estas directivas junto con NTFS para proporcionar una defensa a fondo Nunca vincule un GPO a otro dominio Pruebe concienzudamente la configuración de nuevas directivas Recomendaciones para aplicar directivas de restricción de software

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

El problema de los virus Los costos por virus superan ya los millones de dólares Los costos por virus superan ya los millones de dólares Costos indirectos Costos indirectos Personal de informática o consultores Personal de informática o consultores Costos indirectos en informática Costos indirectos en informática Pérdida de productividad, datos o bienestar Pérdida de productividad, datos o bienestar

Implementación de programas antivirus Tamaño de la organización Solución de implementación de programas antivirus Usuarios individuales y organizaciones muy pequeñas Instale productos antivirus independientes en los clientes de Windows XP individuales. Organizaciones pequeñas y medianas Implementación centralizada. Utilice Directiva de grupo para implementar programas antivirus. Organizaciones grandes Implementación centralizada. Realice la instalación con Active Directory y Directiva de grupo. Instale y administre los programas antivirus con la consola de administración del proveedor.

Equipos de escritorio Equipos de escritorio Los servidores locales almacenan las actualizaciones de los programas antivirus para su distribución Los servidores locales almacenan las actualizaciones de los programas antivirus para su distribución La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes No confíe la descarga de las actualizaciones a los usuarios No confíe la descarga de las actualizaciones a los usuarios Equipos portátiles Equipos portátiles Descargue las actualizaciones a través de Internet cuando estén fuera de la oficina Descargue las actualizaciones a través de Internet cuando estén fuera de la oficina Actualizaciones de programas antivirus

Recomendaciones para la protección contra virus Aplique las actualizaciones del proveedor periódicamente Utilice una estrategia de implementación centralizada Utilice software específico para clientes en los equipos cliente

Orden del día Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Para clientes de la red LAN, un servidor de seguridad protege a los equipos de la red contra ataques automatizados Para clientes de la red LAN, un servidor de seguridad protege a los equipos de la red contra ataques automatizados Los equipos de escritorio con conexiones mediante módem a Internet necesitan ICF o un servidor de seguridad de terceros Los equipos de escritorio con conexiones mediante módem a Internet necesitan ICF o un servidor de seguridad de terceros Los equipos portátiles con conexión a Internet desde casa, un hotel o una zona WiFi necesitan un servidor de seguridad personal o individual Los equipos portátiles con conexión a Internet desde casa, un hotel o una zona WiFi necesitan un servidor de seguridad personal o individual La necesidad de utilizar servidores de seguridad para clientes

Servidor de seguridad de conexión a Internet Protección básica contra las amenazas de Internet Protección básica contra las amenazas de Internet No se permite el tráfico entrante No se permite el tráfico entrante Limitaciones Limitaciones Sin filtrado del tráfico saliente Sin filtrado del tráfico saliente Problemas de soporte técnico y software Problemas de soporte técnico y software Opciones de configuración limitadas Opciones de configuración limitadas ICF se ha mejorado en el SP2 de Windows XP

Software de servidor de seguridad de terceros Motivos para utilizar servidores de seguridad de terceros: Motivos para utilizar servidores de seguridad de terceros: Mayor posibilidad de controlar el tráfico entrante y saliente Mayor posibilidad de controlar el tráfico entrante y saliente Características adicionales, como la detección de intrusos Características adicionales, como la detección de intrusos Problemas con servidores de seguridad de terceros: Problemas con servidores de seguridad de terceros: Escalabilidad Escalabilidad Complejidad Complejidad

Demostración 5 Habilitación del servidor de seguridad para clientes Habilitación del Servidor de seguridad de conexión a Internet Prueba del acceso saliente Prueba del acceso entrante

Cómo habilitar Servidor de seguridad de conexión a Internet 1. Abra el Panel de control y seleccione Conexiones de red Haga clic con el botón secundario del mouse en la conexión que desea proteger y, a continuación, haga clic en Propiedades Haga clic en la ficha Avanzadas y active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto)

Recomendaciones para servidores de seguridad Solicite a los usuarios que habiliten Servidor de seguridad de conexión a Internet en todas las conexiones cuando no utilicen la LAN de la organización Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen Servidor de seguridad de conexión a Internet para conexiones VPN No implemente Servidor de seguridad de conexión a Internet en los equipos cliente que estén conectados físicamente a la red corporativa

Resumen de la sesión Introducción Introducción Seguridad básica de los clientes Seguridad básica de los clientes Protección de clientes con Active Directory Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Directiva de restricción de software Programas antivirus Programas antivirus Servidores de seguridad para clientes Servidores de seguridad para clientes

Pasos siguientes 1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad Suscribirse a boletines de seguridad (este sitio está en inglés) Obtener las directrices de seguridad de Microsoft más recientes: Obtener las directrices de seguridad de Microsoft más recientes: (este sitio está en inglés) 2. Obtener programas adicionales de aprendizaje sobre seguridad Buscar seminarios de aprendizaje en línea: Buscar seminarios de aprendizaje en línea: Buscar un CTEC local que ofrezca cursos prácticos: Buscar un CTEC local que ofrezca cursos prácticos:

Para obtener más información Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) (este sitio está en inglés)