Nombre del presentador Puesto Compañía

Nombre del presentador Puesto Compañía
Implementación de la seguridad de clientes en Windows 2000 y Windows XP Nombre del presentador Puesto Compañía

Requisitos previos para la sesión
Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Conocimientos de Active Directory y Directivas de grupo Nivel 200

Orden del día Introducción Seguridad básica de los clientes
Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se presentarán los fundamentos de la seguridad de los clientes. Específicamente se tratará: La importancia de la seguridad Estructura de organización de la seguridad

La importancia de la seguridad
Proteger la información Proteger los canales de comunicación Reducir el tiempo de inactividad Proteger los accesos Proteger las actividades de los empleados Las infracciones de seguridad pueden afectar a numerosas partes de una compañía, incluidos los equipos cliente de la red. La protección de estos equipos contra ataques puede ayudar a una organización en lo siguiente: Proteger la información. La información es fundamental para cualquier compañía. Durante la realización de las tareas diarias se lee, crea, modifica, quita y transporta información. Poner en peligro la información puede perjudicar a la reputación y el balance financiero de una compañía. Es necesario proteger la información en todo momento. Los sistemas servidor se han convertido en grandes almacenes de información; por tanto, la protección de la información se basa en la seguridad del servidor. Proteger los canales de información. Para facilitar una mayor productividad en la comunicación empresarial, a menudo se crean canales para una amplia variedad de ubicaciones. Estos canales deben estar siempre seguros para mantener la confidencialidad e integridad de la información. Reducir el tiempo de inactividad. Los ataques a equipos cliente, ya sean intencionados o accidentales, pueden causar una pérdida de servicio para los usuarios afectados. Mientras los equipos cliente no están disponibles, es posible que la compañía vea perjudicada su reputación o sus ingresos, o ambos. Un entorno cliente seguro protege contra este tipo de pérdidas. Proteger los accesos. La productividad de los empleados constituye la clave para mantener los ingresos. Si los empleados no pueden ser productivos porque sus equipos cliente han sufrido un ataque, es posible que los ingresos se vean afectados. Evitar daños a la reputación. Una vez aplicado, un entorno seguro protege la reputación de la compañía al asegurar que los equipos cliente están disponibles y funcionan correctamente. Esto permite a los empleados realizar sus tareas diarias en el momento oportuno, manteniéndose así la productividad. En la encuesta sobre seguridad y delitos informáticos realizada por CSI/FBI en el año 2003, en la que se entrevistaron a 530 especialistas en seguridad informática de diversas corporaciones, agencias gubernamentales, instituciones financieras, centros médicos y universidades de EE.UU., se informa de lo siguiente: El robo de información propietaria fue la causa de las mayores pérdidas económicas. (Se perdieron dólares, con un promedio de pérdidas de unos 2,7 millones de dólares.) Los casos de virus (82%) y el abuso interno del acceso a la red (80%) fueron los tipos de ataques o abusos más citados. El segundo delito informático con mayores pérdidas económicas según los encuestados fue la denegación de servicio, que supuso unas pérdidas de dólares. Encuesta sobre seguridad y delitos informáticos de CSI/FBI (año 2003)

Estructura de organización de la seguridad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la posibilidad de que los intrusos logren su propósito Para reducir al mínimo la posibilidad de que un ataque contra su organización tenga éxito, debe utilizar el mayor número posible de niveles de defensa. Defender su organización a fondo implica el uso de varios niveles de defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Como directriz general, diseñe y cree cada nivel de la seguridad bajo el supuesto de que se ha conseguido infringir su seguridad. Realice los pasos necesarios para proteger el nivel en el que esté trabajando. Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo: Nivel de directivas, procedimientos y concienciación: programas educativos de seguridad para los usuarios Nivel de seguridad física: guardias de seguridad, bloqueos y dispositivos de seguimiento Nivel perimetral: servidores de seguridad de hardware, software o ambos, y creación de redes privadas virtuales con procedimientos de cuarentena Nivel de red de Internet: segmentación de la red, Seguridad IP (IPSec) y sistemas de detección de intrusos en la red Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de actualizaciones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y software antivirus Nivel de datos: listas de control de acceso (ACL) y cifrado Esta sesión se centra en la protección de los equipos cliente que utilizan Microsoft® Windows®. Los métodos y prácticas de seguridad descritos en esta sesión se refieren principalmente a los niveles de aplicación y de host. No obstante, es importante tener en cuenta que la seguridad de los clientes debe formar parte únicamente de la estrategia de seguridad global de la organización. Directivas, procedimientos y concienciación Seguridad física Datos ACL, cifrado Aplicación Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Host Red interna Segmentos de red, IPSec, NIDS Servidores de seguridad, sistemas de cuarentena en VPN Perimetral Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se tratarán los temas principales relacionados con la seguridad de los clientes. Específicamente se tratará: Componentes de la seguridad de los equipos cliente Administración de las actualizaciones de software Recomendaciones sobre contraseñas Protección de los datos Equipos portátiles

Componentes de la seguridad de los equipos cliente
Defensa a fondo de la seguridad de los clientes Actualizaciones de software Aplique actualizaciones de software para mantener actualizados los sistemas Recomendaciones sobre contraseñas Utilice contraseñas seguras en los distintos sistemas para restringir el acceso Protección de los datos Realice copias de seguridad de los datos, cífrelos y restrinja el acceso a los mismos Seguridad de las aplicaciones Implemente, configure y restrinja la instalación de aplicaciones Administración de los clientes Utilice Active Directory, plantillas y directivas para aplicar medidas de seguridad Equipos portátiles Implemente directivas y tecnologías para proteger el acceso remoto e inalámbrico Antivirus Instale y mantenga software antivirus como ayuda para la protección contra código malintencionado Servidores de seguridad Configure dispositivos de hardware, de software o ambos como ayuda para la protección del perímetro La seguridad de los clientes abarca diversos temas fundamentales: Actualizaciones de software. Mantenga actualizados los equipos cliente con las actualizaciones de seguridad y los Service Pack más recientes. Recomendaciones sobre contraseñas. Proteja el acceso a los equipos cliente mediante contraseñas seguras y la aplicación de las recomendaciones para el uso general de contraseñas. Protección de los datos. Proteja los documentos y la información confidencial mediante la implementación de una estrategia de copia de seguridad, con tecnologías de cifrado y con la restricción del acceso mediante métodos de autenticación adecuados. Seguridad de las aplicaciones. Reduzca los puntos vulnerables de las aplicaciones mediante tecnologías de administración de la configuración, como directivas de restricción de software, Directivas de grupo y herramientas de implementación. Herramientas de administración de clientes. Utilice tecnologías de administración de la seguridad, como el servicio de directorio Active Directory®, plantillas de seguridad, procedimientos de cuarentena para red y Directivas de grupo, para simplificar la implementación y la aplicación de directivas de seguridad. Equipos portátiles. Implemente directivas y tecnologías que ayuden a proteger los dispositivos móviles, como equipos portátiles y asistentes digitales personales (PDA), y que limiten los puntos vulnerables que pueden aparecer al conectar estos dispositivos a bienes corporativos. Antivirus. Instale software antivirus y mantenga actualizados los archivos de firmas como ayuda para la protección contra código malintencionado y ataques a software. Servidores de seguridad. Instale y configure un servidor de seguridad de hardware, de software o ambos, como Servidor de seguridad de conexión a Internet (ICF).

Administración de las actualizaciones de software
Implemente una solución de administración de actualizaciones para proteger los puntos vulnerables Asista a la sesión sobre la administración de revisiones o examine los consejos preceptivos mostrados en: Tipo de usuario Escenario El usuario elige Usuario independiente Todos los escenarios Windows Update Pequeña empresa Sin servidores que ejecuten Windows Tiene entre uno y tres servidores con Windows y un administrador de IT SUS Empresa grande o mediana Desea una solución de administración de actualizaciones con un nivel de control básico que actualice Windows 2000 y las versiones posteriores de Windows Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar (y distribuir) todo el software SMS El establecimiento de una solución de administración de actualizaciones para administrar las actualizaciones de software puede resultar fundamental para mantener la seguridad de los equipos cliente. Microsoft proporciona diversas herramientas y tecnologías que ayudan a administrar las actualizaciones de software. La solución que elija dependerá de las necesidades de su organización. Usuario independiente. Windows Update es la elección lógica. Puede configurar Actualizaciones automáticas para extraer las actualizaciones de un servidor de Servicios de actualización de software (SUS, Software Update Services) o de Windows Update. Considere la posibilidad de configurar Actualizaciones automáticas para comprobar diariamente si hay actualizaciones. Pequeña empresa. Windows Update y SUS son las opciones lógicas. Si dispone al menos de un equipo con Microsoft Windows Server™ y un administrador de IT cualificado, debe elegir SUS. De lo contrario, utilice Windows Update. Empresas grandes o medianas. SUS y Microsoft Systems Management Server (SMS) son las opciones lógicas. Si necesita una solución de administración de actualizaciones sencilla aunque algo limitada, elija SUS. Si desea una distribución de software completa que incluya funciones de administración de actualizaciones, elija SMS. Nota: SUS sólo puede actualizar Windows 2000, Windows XP y Windows Server Para otros sistemas operativos y para aplicaciones, utilice Windows Update o procesos manuales. Para obtener más información acerca de la administración de actualizaciones, actualizaciones de seguridad y descargas, visite el sitio Web de Microsoft en También es posible aplicar actualizaciones de software cuando se implementan sistemas operativos en los equipos cliente. Para obtener más información acerca de este proceso, consulte las siguientes notas del producto: New Features and Design Changes in Windows Installer 2.0, disponible en inglés, en Update.exe Command-Line Switches for Windows 2000 Service Packs, disponible en inglés, en How to Apply the Security Patch to Your Windows Preinstallation Environment, disponible en inglés, en

Recomendaciones sobre contraseñas
Adoctrine a los usuarios sobre el uso de buenas contraseñas Utilice frases (con espacios en blanco, números y caracteres especiales) en lugar de palabras sueltas Una de las formas más eficaces de garantizar el uso de buenas contraseñas es adoctrinar a los usuarios sobre cómo pueden contribuir a la seguridad global de la infraestructura. Anime a los usuarios a que utilicen como contraseñas frases en lugar de palabras sueltas. Lo ideal sería una frase que contuviera ocho caracteres o más, con una combinación de letras en mayúsculas y minúsculas, símbolos y números. Los usuarios no deben: Utilizar palabras individuales que puedan encontrarse en el diccionario. Poner en mayúscula sólo la primera letra de una palabra. Agregar un número sólo delante o detrás de una palabra. “2Hawaii” y “Before5” no son contraseñas eficaces porque están basadas en palabras del diccionario y se pueden adivinar fácilmente. Anime a los usuarios a que utilicen distintas contraseñas para cada sitio Web y aplicación. Los usuarios deben guardar las listas de contraseñas en un lugar seguro. Si es necesario, pueden almacenar estas listas en una carpeta cifrada de un equipo que tenga una contraseña muy segura. (Existen soluciones de software de terceros para la administración segura de contraseñas.) Cuando dejen de utilizar una estación de trabajo cliente, los usuarios deben utilizar el método abreviado de teclado Tecla del logotipo de Windows+L para bloquearla. Los usuarios deben utilizar también protectores de pantalla con contraseña por si olvidan bloquear sus equipos. Cuando se necesite una mayor seguridad, las organizaciones pueden emplear la autenticación mediante varios factores, que requiere que los usuarios escriban su nombre de usuario (quiénes son) y una contraseña (algo que sólo conocen ellos), y también que utilicen algún tipo de autenticación física. Esta autenticación física se pueden realizar con una tarjeta inteligente, un detector de iris o un lector de huellas digitales. Para obtener más información acerca del uso de tarjetas inteligentes para la autenticación, consulte el documento Use Smart Cards to Enhance Security, en inglés, en Para obtener más información y consejos acerca de las contraseñas, consulte las siguientes notas del producto: Authoritative Security Guidance for the Enterprise, disponible en inglés, en 5-Minute Security Advisor - Choosing a Good Password Policy, disponible en inglés, en Utilice contraseñas distintas para recursos diferentes y proteja la lista de contraseñas Configure los protectores de pantalla con contraseña y bloquee las estaciones de trabajo cuando no se utilicen Aplique la autenticación mediante varios factores cuando se necesite una mayor seguridad

Protección de los datos
Uso de EFS para restringir el acceso a los datos Firma de los mensajes de correo electrónico y el software para asegurar la autenticidad Uso de Information Rights Management para proteger la información digital contra el uso no autorizado Puede proteger sus datos si aprovecha las funciones de protección de datos incluidas en las aplicaciones y los sistemas operativos de Microsoft. EFS (sistema de archivos de cifrado). Utilice EFS para mantener la confidencialidad de los datos almacenados. Infraestructura de claves públicas (PKI) es una característica de los sistemas operativos Windows que permite a los usuarios cifrar archivos y carpetas en un disco de un volumen NTFS para protegerlos frente al acceso por parte de intrusos. Certificados en el correo electrónico y las aplicaciones. La firma de los mensajes de correo electrónico y el software ayuda a asegurar la autenticidad. Una firma digital en un archivo o una aplicación confirma que el archivo procede de la entidad que lo firmó y que ninguna otra persona ha modificado el código del archivo. Microsoft Office 2003 utiliza la tecnología Authenticode®, que emplea certificados digitales para firmar archivos o proyectos de macros. El certificado confirma que el documento o la macro procede del firmante. La firma confirma que no ha sido modificado. Cuando establece el nivel de seguridad de macros, puede ejecutar macros firmadas digitalmente por un desarrollador incluidas en su lista de fuentes de confianza. Information Rights Management (IRM). IRM es una tecnología para archivos disponible en Office Professional Edition 2003 que permite al usuario especificar permisos para los documentos. Puede establecer directivas para tener un mayor control sobre quién puede abrir, copiar, imprimir o reenviar información creada en Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office PowerPoint® 2003 y Microsoft Office Outlook® 2003. Para las compañías que no utilizan Office Professional Edition 2003, Microsoft proporciona un visor de IRM gratuito (complemento Rights Management para Microsoft Internet Explorer) para leer archivos protegidos. El visor de IRM sólo funciona si el destinatario tiene permiso para leer el archivo. Para descargar el visor, visite el sitio Web de Microsoft en IRM se basa en la tecnología Rights Management Service (RMS) de Windows Server Para obtener más información acerca de IRM, visite el sitio Web de Microsoft en

Equipos portátiles El uso de dispositivos móviles introduce otras consideraciones sobre la seguridad Los dispositivos móviles extienden el perímetro cuando están conectados a bienes corporativos Se necesitan niveles adicionales de defensa: Contraseñas para el BIOS Control de cuarentena de acceso a la red Protocolos de autenticación inalámbrica Protección de los datos El robo de un dispositivo móvil y sus datos constituye una de las principales preocupaciones cuando un equipo portátil no se encuentra dentro de los límites de seguridad físicos de la compañía. Si se produce el robo, el problema inicial de la pérdida de datos puede convertirse potencialmente en la entrada de una persona no autorizada en la red mediante una conexión remota de acceso telefónico o de red inalámbrica. Aplique las siguientes medidas para aumentar la seguridad de los dispositivos móviles: Contraseñas para el sistema básico de entrada y salida (BIOS, Basic Input/Output System). Esta característica de hardware es habitual en la mayoría de los equipos portátiles. Requiere que el usuario escriba una contraseña antes de que el dispositivo inicie el sistema operativo. Si esta característica está habilitada, proporciona un nivel adicional de seguridad en caso de pérdida o robo del dispositivo. Control de cuarentena de acceso a la red. Esta nueva característica de la familia Windows Server 2003 retrasa el acceso remoto normal a una red privada hasta que una secuencia de comandos proporcionada por el administrador haya examinado y validado la configuración del equipo de acceso remoto. Cuando un equipo de acceso remoto inicia una conexión a un servidor de acceso remoto, se autentica al usuario y se asigna una dirección IP al equipo y, a continuación, se pone la conexión en modo de cuarentena con acceso limitado a la red. La secuencia de comandos proporcionada por el administrador se ejecuta en el equipo de acceso remoto. Cuando la secuencia de comandos notifica al servidor de acceso remoto que el equipo de acceso remoto cumple las directivas de red actuales, se cancela el modo de cuarentena y se concede al equipo el acceso remoto normal. Protocolo de autenticación extensible protegida (PEAP, Protected Extensible Authentication Protocol). PEAP utiliza Seguridad en el nivel de transporte (TLS, Transport Level Security) para crear un canal cifrado a través del cual se transmite la información cifrada entre un cliente PEAP que realiza la autenticación, como un equipo inalámbrico, y un autenticador PEAP, como un Servicio de autenticación de Internet, (IAS, Internet Authentication Service). El canal cifrado mejora los protocolos EAP y la seguridad de la red al: Proteger la negociación del método EAP que tiene lugar entre el cliente y el servidor. Evitar ataques de denegación de servicio al servidor IAS. Reducir el retardo de tiempo entre la solicitud de autenticación por parte de un cliente y la respuesta del servidor IAS o de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-in User Service). Utilidad Copia de seguridad. La utilidad Copia de seguridad ayuda a proteger los datos contra la pérdida accidental si se produce un error en el medio de almacenamiento o en el hardware del sistema. Por ejemplo, puede utilizar Copia de seguridad para crear un duplicado de los datos del disco duro y archivarlos después en otro dispositivo de almacenamiento. Si se borran o sobrescriben accidentalmente los datos originales del disco duro, o si no es posible tener acceso a ellos debido a un error de funcionamiento del disco duro, puede restaurar fácilmente los datos. Para obtener más información acerca de cómo proteger dispositivos móviles, consulte los siguientes recursos: 5-Minute Security Advisor - The Road Warrior's Guide to Laptop Protection, disponible en inglés, en Mobile Computing with Windows XP, disponible en inglés, en Securing Mobile Computers with Windows XP Professional, disponible en inglés, en Windows XP Security Guide, disponible en inglés, en Los administradores que deseen configurar redes LAN inalámbricas en su empresa pueden visitar el sitio Web de Microsoft en

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se describirá la función de Active Directory en la protección de los clientes de red. Específicamente se tratará: Componentes de Active Directory Definición de una jerarquía de OU para la administración y protección de clientes Demostración 1: modificación de Active Directory para la seguridad de los clientes Cómo crear una jerarquía de OU para la administración y protección de clientes Recomendaciones para implementar la seguridad con Active Directory

Componentes de Active Directory
Bosque Un límite de seguridad en Active Directory Dominio Un conjunto de objetos de equipo, usuario y grupo definido por el administrador Unidad organizativa Un objeto contenedor de Active Directory que se utiliza en los dominios Directivas de grupo La infraestructura que permite implementar y administrar la seguridad de la red Active Directory consta de muchos tipos de objetos, cada uno de los cuales tiene una finalidad diferente. Todos los componentes de Active Directory funcionan conjuntamente para facilitar la implementación de la seguridad en un entorno de red. Active Directory y Directivas de grupo ofrecen un método para centralizar la administración de las directivas de seguridad. Entre los componentes de Active Directory se incluyen los siguientes: Bosque. Un límite formado por uno o varios dominios de Active Directory que comparten las mismas definiciones de clases y atributos (esquema), información del sitio y de replicación (configuración), y capacidades de búsqueda en todo el bosque (catálogo global). Los dominios del mismo bosque están vinculados mediante relaciones de confianza transitivas bidireccionales. Un bosque funciona como un límite de seguridad para Active Directory. Dominio. En Active Directory, un conjunto de objetos de equipo, usuario y grupo que define el administrador. Estos objetos comparten la misma base de datos de directorios, directivas de seguridad y relaciones de seguridad con otros dominios. Puesto que los administradores de servicios pueden administrar todos los dominios del bosque desde el dominio raíz, un dominio no es un límite de seguridad para Active Directory. Unidad organizativa (OU). Un objeto contenedor de Active Directory que se utiliza en los dominios. Una unidad organizativa es un contenedor lógico donde se guardan usuarios, grupos, equipos y otras unidades organizativas. Sólo puede contener objetos de su dominio primario. Una unidad organizativa es el ámbito más pequeño al que se puede vincular un objeto de directiva de grupo (GPO) o sobre el que se puede delegar autoridad administrativa. Directivas de grupo. La infraestructura de Active Directory que permite administrar los cambios en directorios y la configuración de usuarios y equipos, incluidos los datos de usuarios y la seguridad. Directivas de grupo permite definir configuraciones para grupos de usuarios y equipos. Con Directivas de grupo puede especificar la configuración de directivas basadas en el Registro, la seguridad, la instalación de software, las secuencias de comandos, el redireccionamiento de carpetas, los servicios de instalación remota y el mantenimiento de Internet Explorer. La configuración de directivas de grupo que cree se guardará en un objeto de directiva de grupo (GPO). Mediante la asociación de un GPO a determinados contenedores del sistema de Active Directory (sitios, dominios y unidades organizativas), puede aplicar la configuración de directivas del GPO a los usuarios y equipos de esos contenedores de Active Directory. Para crear un GPO individual, utilice el Editor de objetos de directiva de grupo. Para administrar objetos de directiva de grupo distribuidos por toda una empresa puede utilizar la Consola de administración de directivas de grupo. Directivas de grupo es una de las herramientas fundamentales que pueden utilizarse para implementar la seguridad de una red. Gran parte del resto de esta presentación se centra en la protección del entorno de red con Directivas de grupo.

Definición de una jerarquía de OU
Directivas de grupo simplifica la aplicación de la configuración de seguridad de los clientes Modelo de jerarquía distribuida Windows XP Security Guide Distribución de los usuarios y equipos en unidades organizativas (OU) distintas Aplicación de la configuración de directivas adecuada a cada OU Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles Puede simplificar la administración y la seguridad de los equipos cliente si utiliza Directivas de grupo para aplicar la configuración de seguridad a estos equipos. Puede utilizar unidades organizativas para agrupar los equipos cliente de diversos departamentos, lo que le permitirá aplicar distintas configuraciones de seguridad a los equipos de cada departamento. Con unidades organizativas puede crear contenedores en un dominio que representen las estructuras jerárquicas lógicas de la organización. A continuación, puede administrar la configuración y el uso de las cuentas y los recursos según el modelo organizativo utilizado. Como se muestra en la diapositiva, las unidades organizativas pueden contener a su vez otras unidades organizativas. Puede extender la jerarquía de los contenedores según sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas ayudan a reducir el número de dominios necesarios para la red. Puede utilizar unidades organizativas para crear un modelo administrativo que se puede escalar a cualquier tamaño. Un usuario puede tener autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una única unidad organizativa. No es necesario que el administrador de una unidad organizativa tenga autoridad administrativa sobre otras unidades organizativas del dominio. En la Windows XP Security Guide se presenta un modelo de jerarquía distribuida. Como se ilustra en la diapositiva, este modelo detecta que la configuración de los usuarios y los equipos es diferente, y divide los objetos en unidades organizativas (OU) distintas. Este diseño coincide a menudo con el modelo administrativo de una organización que tiene distribuido el soporte técnico entre la administración de clientes, y la administración de usuarios y grupos. No obstante, se puede modificar este diseño como sea necesario para adaptarlo a las necesidades de la organización.

Demostración 1 Modificación de Active Directory para la seguridad de los clientes Presentación de la directiva predeterminada de dominio Creación de una jerarquía de OU Creación de una directiva de OU Traslado del equipo cliente En esta demostración, se tratará: Cómo ver la directiva predeterminada de dominio Cómo crear una jerarquía de OU Cómo crear una directiva de OU Cómo mover un objeto de equipo cliente

Cómo crear una jerarquía de OU
Cree las OU de cada departamento En cada departamento, cree las OU para los usuarios y las distintas versiones del sistema operativo En la OU de cada sistema operativo, cree una OU para cada tipo de equipo (por ejemplo, los equipos portátiles) Mueva cada objeto de equipo cliente a la OU adecuada Estas instrucciones describen cómo crear una jerarquía de unidades organizativas (OU) para permitir la aplicación de Directivas de grupo a equipos cliente. A continuación se muestran los pasos generales para crear una estructura de OU. Modifique estos pasos según sea necesario para adaptarlos a las necesidades de su organización. Para crear una jerarquía de unidades organizativas: Cree las OU de cada departamento. En cada departamento, cree OU para los usuarios y para las distintas versiones del sistema operativo, como Windows XP y Windows Si todos los equipos cliente ejecutan Windows XP, no es necesario crear una OU para Windows Estas OU se utilizarán para aplicar la configuración de directivas de grupo a los equipos cliente. Puesto que sólo los equipos cliente con Windows 2000 y Windows XP admiten Directivas de grupo, no es necesario crear OU para otros sistemas operativos. Como Windows 2000 Professional no admite toda la configuración de directivas de grupo que admite Windows XP, se recomienda crear OU distintas para cada sistema operativo con el fin de simplificar la administración de los equipos cliente. En la OU de cada sistema operativo, cree una OU para cada tipo de equipo que necesite una configuración de seguridad individual, como los equipos portátiles y los equipos de escritorio. Según el entorno, podrían ser necesarias más OU para los equipos cliente agrupados por otros motivos; por ejemplo, una OU para los equipos cliente que se conectan a la red mediante una conexión de red privada virtual (VPN). Mueva cada objeto de equipo cliente a la OU adecuada. Después de mover todos los equipos a las OU adecuadas, puede crear y configurar objetos de directiva de grupo para cada OU que aplicarán la configuración de seguridad adecuada a los equipos incluidos en la OU.

Recomendaciones para implementar la seguridad con Active Directory
Cree una estructura de OU para la seguridad de los clientes Diseñe una estructura de unidades organizativas (OU) para crear una implementación de Directivas de grupo que se aplique a todas las estaciones de trabajo incluidas en Active Directory. Asegúrese de que la implementación cumple las normas de seguridad de su organización. También debe diseñar una estructura de OU que proporcione la configuración de seguridad adecuada para determinados tipos de usuarios de la organización. Por ejemplo, es posible que se permita a los desarrolladores realizar acciones en sus estaciones de trabajo que a los usuarios normales no se les permite. Los usuarios de equipos portátiles también pueden tener requisitos de seguridad ligeramente distintos a los de los usuarios de equipos de escritorio. Para cada OU que contenga equipos cliente, cree y configure objetos de directiva de grupo (GPO) con la configuración de seguridad adecuada para los equipos cliente contenidos en dicha OU. Por ejemplo, quizás desee definir una configuración para los equipos portátiles distinta de la configuración para los equipos de escritorio, ya que los equipos portátiles a menudo no se encuentran físicamente en las oficinas y pueden conectarse a la red mediante vínculos de comunicación no seguros. Cree una jerarquía de OU para dividir los objetos de usuario y de equipo según la función Aplique Directivas de Grupo con la configuración de seguridad adecuada para la función de cada equipo

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se describirá el uso de directivas para la protección de clientes. Específicamente se tratará: Uso de plantillas de seguridad Uso de plantillas administrativas Qué son las opciones de seguridad Las ocho opciones más importantes sobre la seguridad de los clientes Demostración: uso de Directivas de grupo Cómo aplicar plantillas de seguridad y plantillas administrativas Recomendaciones para la protección de clientes con Active Directory

Uso de plantillas de seguridad
Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad Las plantillas que contiene la Windows XP Security Guide son: Dos plantillas de dominios que contienen opciones para todos los equipos del dominio Dos plantillas que contienen opciones para los equipos de escritorio Dos plantillas que contienen opciones para los equipos portátiles Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO La Windows XP Security Guide incluye tres tipos de plantillas: Plantillas de dominios. Estas plantillas contienen la configuración de seguridad aplicada a todos los usuarios y equipos del dominio. Plantillas de equipos de escritorio. Estas plantillas contienen la configuración que se puede aplicar a los equipos de escritorio conectados directamente a una red. Plantillas de equipos portátiles. Estas plantillas contienen la configuración destinada a afrontar los desafíos de seguridad impuestos por la portabilidad de los equipos portátiles. Cada plantilla se proporciona en una versión para equipos corporativos y otra versión para equipos de alta seguridad: Los equipos cliente corporativos suelen residir en dominios de Active Directory de Windows 2000 o Windows Server Estos clientes se administran mediante la aplicación de Directivas de grupo a contenedores, sitios, dominios y unidades organizativas. Los equipos cliente de alta seguridad son aquellos que requieren una configuración de seguridad elevada. En este caso, la funcionalidad de los usuarios está limitada a determinadas funciones que son necesarias únicamente para las tareas que deben realizar. El acceso está limitado a las aplicaciones, servicios y entornos de infraestructura autorizados. Estas plantillas se pueden utilizar sin necesidad de modificarlas si la configuración que contienen es adecuada para el entorno de red. Con el complemento Plantillas de seguridad puede modificar una plantilla para adaptarla a las necesidades de su organización. Después de configurar correctamente una plantilla, puede importarla a un GPO que se aplique al dominio o a una OU específica del dominio. Puede utilizar la Consola de administración de directivas de grupo para modificar los GPO e importar plantillas de seguridad a los GPO.

Uso de plantillas administrativas
Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios y a equipos Las plantillas administrativas del SP1 de Windows XP contienen más de 850 opciones La Windows XP Security Guide contiene 10 plantillas administrativas adicionales Los proveedores de aplicaciones de terceros pueden proporcionar plantillas adicionales Es posible importar plantillas adicionales al modificar un GPO Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios (subárbol del Registro HKEY_Current_User) y a equipos (subárbol del Registro HKEY_Local_Machine). Windows Server 2003 incluye un conjunto de plantillas administrativas que admiten equipos con Windows Server 2003, Windows XP Professional y Windows 2000. Las plantillas del Service Pack 1 de Windows XP contienen más de 850 opciones. La Windows XP Security Guide contiene 10 plantillas administrativas para la configuración de opciones para las aplicaciones de Office. Los proveedores de aplicaciones de terceros pueden incluir plantillas adicionales en sus paquetes de software. Es posible importar plantillas adicionales a un GPO.

Qué son las opciones de seguridad
Explicación Directiva de cuentas Establece la directiva de contraseñas y de bloqueo de cuentas para el dominio Directiva de bloqueo de cuentas Impide el acceso después de un número determinado de intentos fallidos de inicio de sesión Directiva de auditoría Especifica qué sucesos de seguridad se grabarán Registro de sucesos Especifica la configuración del período de retención y el tamaño máximo del registro Sistema de archivos Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Directivas IPSec Filtran el tráfico entrante y saliente del servidor para bloquear el tráfico no deseado Configuración del Registro Permite especificar los permisos de acceso y la configuración de auditoría para las claves del Registro Grupos restringidos Permiten especificar qué cuentas son miembros del grupo y de qué grupos es miembro el grupo Especifican una amplia variedad de opciones de seguridad para usuarios y equipos Restricciones de software Impiden que se ejecute software malintencionado en los equipos cliente Servicios del sistema Permite especificar el modo de inicio y los permisos de acceso para los servicios Asignación de derechos de usuario Permite especificar qué usuarios y grupos pueden realizar determinadas acciones en los equipos Las opciones de seguridad se implementan mediante Directivas de grupo. Algunas opciones, como la directiva de contraseñas, sólo se pueden establecer en el nivel de dominio. Otras opciones se pueden establecer en el nivel de dominio, de sitio o de unidad organizativa (OU). Las opciones de seguridad forman parte de cada objeto de directiva de grupo. Algunas opciones son: Directiva de contraseñas de cuentas: el uso de contraseñas complejas que cambian con frecuencia reduce las posibilidades de que los ataques a contraseñas consigan sus propósitos. Directiva de bloqueo de cuentas: esta directiva bloquea la cuenta de un usuario después de un número determinado de intentos fallidos de inicio de sesión en el período de tiempo especificado. Directiva de auditoría: esta directiva determina qué sucesos de seguridad se graban en el registro de seguridad. Registro de sucesos: este registro se utiliza para grabar los sucesos del sistema. El registro de seguridad contiene sucesos de auditoría. El contenedor Registro de sucesos de Directivas de grupo se utiliza para definir atributos como el tamaño máximo del registro, los derechos de acceso para cada registro, y las opciones de período de retención y los métodos. Sistema de archivos: establece listas de control de acceso para archivos y carpetas. Directivas IPSec: estas directivas permiten especificar filtros IPSec, acciones de filtrado y reglas de filtrado para todo el tráfico TCP/IP del equipo. Configuración del Registro: permite configurar determinadas opciones del Registro para todos los equipos a los que afecta la directiva, así como impedir que se modifiquen esas opciones. Grupos restringidos: permite impedir que se agreguen usuarios a determinados grupos de seguridad de Windows 2000, Windows XP Professional y Windows Server 2003. Opciones de seguridad: estas opciones permiten habilitar o deshabilitar aspectos como la firma digital de datos, los nombres de las cuentas de administrador y de invitado, los métodos de autenticación de control, el comportamiento de instalación de controladores y los inicios de sesión. Restricción de software: las directivas de restricción de software permiten especificar el software que se puede ejecutar y el que no se puede ejecutar en un equipo cliente mediante diversas reglas, incluyendo reglas de hash, de ruta, de zona y de certificado. Servicios del sistema: esta opción establece la configuración predeterminada de estado de inicio y de seguridad para los servicios. Asignación de derechos de usuario: estas opciones determinan las operaciones del sistema que pueden realizar los usuarios. Importante: tenga en cuenta que cualquier servicio o aplicación constituye un posible punto de ataque. Por tanto, deben deshabilitarse o quitarse del entorno los servicios o los archivos ejecutables que no sean necesarios.

Las ocho opciones más importantes sobre la seguridad de los clientes
Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen: Permitir formatear y expulsar medios extraíbles No permitir enumeraciones anónimas de cuentas SAM Habilitar la auditoría Deja que los permisos de Todos se apliquen a los usuarios anónimos Nivel de autenticación de LAN Manager Directiva de contraseñas No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña Opciones de firma SMB para los equipos cliente Con el fin de asegurar un entorno de clientes de escritorio de alta seguridad, siga estas recomendaciones para las opciones de seguridad de los equipos cliente que se modifican con más frecuencia: Permitir formatear y expulsar medios extraíbles. Permita realizar esta tarea sólo al grupo Administradores. No obstante, quizás desee cambiar esta opción para permitir realizar esta tarea a otros usuarios si sus usuarios no son administradores de sus equipos. No permitir enumeraciones anónimas de cuentas SAM. Habilite esta opción. Nivel de autenticación de LAN Manager. Esta opción ofrece a su vez varias opciones. Para un entorno de clientes de escritorio de alta seguridad, establezca la opción Enviar sólo respuesta NT Lan Manager versión 2\\rechazar Lan Manager y NT Lan Manager. Directiva de contraseñas. La configuración recomendada para la directiva de contraseñas de un cliente de escritorio de alta seguridad es la siguiente: Forzar el historial de contraseñas contraseñas recordadas Vigencia máxima de la contraseña días Vigencia mínima de la contraseña días Longitud mínima de la contraseña caracteres Las contraseñas deben cumplir los requerimientos de complejidad Habilitada Habilitar la auditoría. La mayoría de los entornos implementan algún tipo de configuración de auditoría personalizada. Deja que los permisos de Todos se apliquen a los usuarios anónimos. Deshabilite esta opción. No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña. Habilite esta opción. Opciones de firma SMB para los equipos cliente. Estas opciones ayudan a hacer fracasar ataques con intermediario. Las opciones con su configuración recomendada para un entorno de clientes de escritorio de alta seguridad son las siguientes: Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (siempre) Deshabilitada Cliente de redes de Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Habilitada Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre) Habilitada Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) Habilitada

Demostración 2 Uso de Directivas de grupo Ver las opciones de seguridad de Windows XP Ver las plantillas administrativas Ver las plantillas de seguridad disponibles Aplicación de plantillas de seguridad Implementación de las plantillas de seguridad En esta demostración se tratará: Cómo ver las opciones de seguridad de Windows XP Cómo ver las plantillas administrativas Cómo ver las plantillas de seguridad disponibles Cómo aplicar plantillas de seguridad Cómo implementar plantillas de seguridad

Cómo aplicar plantillas de seguridad y plantillas administrativas
Dominio raíz OU de departamento OU de controlador de dominio OU de usuarios protegidos de Windows XP OU de Windows XP OU de equipos de escritorio OU de equipos portátiles Cliente corporativo Domain.inf Directiva de dominio Directiva de usuarios protegidos de Windows XP Desktop.inf Laptop.inf Directiva de equipos portátiles Directiva de equipos de escritorio Para aplicar plantillas de seguridad y plantillas administrativas en los clientes mediante Directivas de grupo: En la Consola de administración de directivas de grupo, abra el objeto de directiva de grupo correspondiente al dominio o unidad organizativa (OU) donde desea aplicar la plantilla administrativa o de seguridad. Para importar una plantilla de seguridad, vaya hasta Configuración de equipo/Configuración de Windows, haga clic con el botón secundario del mouse (ratón) en el nodo Configuración de seguridad, seleccione Importar directiva y, a continuación, busque la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Nivel de seguridad alto – Equipo portátil). Para importar una plantilla administrativa, vaya hasta el nodo Configuración de equipo/Plantillas administrativas o el nodo Configuración de usuario/Plantillas administrativas, haga clic con el botón secundario del mouse en Plantillas administrativas, haga clic en Agregar o quitar plantillas y, a continuación, busque la ubicación que contiene la plantilla administrativa que desea importar. Configure otras opciones administrativas y de seguridad adicionales para adaptarse a las necesidades de su organización, y cierre el Editor de objetos de directiva de grupo. Pueden aplicarse plantillas administrativas y plantillas de seguridad en muchos niveles dentro de la jerarquía de Active Directory, incluidos los siguientes: Dominio: para las opciones de seguridad que se apliquen a todos los usuarios y equipos del dominio de Active Directory, puede aplicar opciones o importar la plantilla de seguridad a un GPO en el nivel de dominio. OU de departamento: puesto que los requisitos de seguridad varían a menudo dentro de una organización, puede tener sentido crear distintas OU para los departamentos del entorno. La configuración de seguridad departamental puede aplicarse mediante un GPO a los equipos y usuarios en sus OU de departamento respectivas. OU de usuarios protegidos de Windows XP: esta OU contiene las cuentas de los usuarios que participan tanto en el entorno de clientes corporativos como en el entorno de alta seguridad. Las opciones que se aplican a esta OU se describen con más detalle en la Windows XP Security Guide. OU de Windows XP: esta OU contiene OU secundarias para cada tipo de cliente Windows XP del entorno. En esta sesión se proporcionan consejos para clientes portátiles y de escritorio. (Para obtener más información, consulte la Windows XP Security Guide.) Por este motivo se han creado una OU de equipos de escritorio y una OU de equipos portátiles. OU de equipos de escritorio: esta OU contiene los equipos de escritorio que están conectados constantemente a la red corporativa. Las opciones que se aplican a esta OU se describen en esta sesión. (Para obtener más información, consulte la Windows XP Security Guide.) OU de equipos portátiles: esta OU contiene los equipos portátiles de usuarios móviles que no siempre están conectados a la red corporativa.

Recomendaciones para la protección de clientes con Directivas de grupo
Utilice como base las plantillas para clientes corporativos que se incluyen y modifíquelas según sus necesidades Tenga en cuenta las recomendaciones siguientes cuando utilice plantillas de seguridad y plantillas administrativas para proteger los equipos cliente de la red de su organización: Utilice como referencia las plantillas para clientes corporativos que se incluyen con la Windows XP Security Guide y modifíquelas para adaptarlas a las necesidades de su organización. Respecto a las opciones de seguridad para la organización, es importante que tenga en cuenta un equilibro óptimo entre la seguridad y la productividad de los usuarios. El objetivo es proteger a los usuarios contra programas y virus peligrosos, al tiempo que se proporciona un entorno seguro. Esto permite a los usuarios realizar su trabajo sin que vean frustrados sus esfuerzos debido a una seguridad demasiado restrictiva. Implemente directivas estrictas de cuentas y de auditoría en el nivel de dominio. Utilice como base la plantilla Cliente corporativo - Dominio y modifíquela según sea necesario. Pruebe siempre concienzudamente la configuración de las plantillas administrativas y de seguridad antes de aplicarlas a un gran número de usuarios y equipos de la organización. Una configuración que parece adecuada puede no funcionar bien en su entorno. Consulte el sitio Web de Microsoft y póngase en contacto con los demás proveedores de software para obtener otras plantillas administrativas. Microsoft proporciona plantillas administrativas para muchos de sus productos, incluidos Office e Internet Explorer. Implemente directivas estrictas de cuentas y de auditoría Pruebe concienzudamente las plantillas antes de implementarlas Utilice plantillas administrativas adicionales

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se describirá la protección de aplicaciones. Específicamente se tratará: Internet Explorer Zonas de Internet Explorer Microsoft Outlook Microsoft Office Recomendaciones para la protección de aplicaciones

Plantillas administrativas de Internet Explorer
Aplican requisitos de seguridad para las estaciones de trabajo con Windows XP Impiden el intercambio de contenido no deseado Utilice las opciones incluidas en las plantillas para clientes corporativos Utilice Mantenimiento de Internet Explorer (IEM) de Directivas de grupo para configurar zonas de seguridad para los sitios de confianza Las plantillas administrativas de Internet Explorer ayudan a exigir requisitos de seguridad para las estaciones de trabajo con Windows XP y a evitar el intercambio de contenido no deseado mediante el explorador. Siga estos criterios para proteger Internet Explorer en las estaciones de trabajo de su entorno: Asegúrese de que las solicitudes a Internet se producen únicamente como respuesta directa a acciones de los usuarios. Compruebe que la información enviada a determinados sitios Web sólo llega a estos sitios, a menos que se permitan acciones concretas de los usuarios para transmitir información a otros destinos. Asegúrese de que se identifican claramente los canales de confianza a servidores y sitios, así como los propietarios de los servidores y los sitios de cada canal. Compruebe que cualquier secuencia de comandos o programa que utiliza Internet Explorer se ejecuta en un entorno restringido. Los programas transmitidos mediante canales de confianza pueden habilitarse para su uso fuera del entorno restringido.

Zonas de Internet Explorer
Zona de seguridad Descripción Mi PC Oculta en la interfaz de Internet Explorer Destinada a contenido que se encuentra en el equipo local Intranet local Sitios internos. Incluye rutas UNC, sitios que omiten el servidor proxy y todos los sitios internos que no pertenecen a otra zona, excepto: Windows Server 2003 con Configuración de seguridad mejorada No incluye automáticamente los sitios internos Enumera explícitamente http(s)://localhost y hcp://system Sitios de confianza Vacía de forma predeterminada, excepto en WS03 WS03 con ESC incluye Online Crash Analysis y Windows Update Configurable mediante la interfaz local o mediante directivas Internet Todo lo que no está incluido en otras zonas Windows Server 2003 incluye todos los sitios de intranet de forma predeterminada Sitios restringidos Vacía de forma predeterminada Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos Asignación de derechos de usuario Impide controles ActiveX, secuencias de comandos y descargas En Internet Explorer puede configurar opciones de seguridad para varias zonas de seguridad integradas: Internet, Intranet local, Sitios de confianza y Sitios restringidos. La configuración recomendada para mejorar la seguridad en Internet Explorer es la siguiente: La zona Mi PC (a veces llamada Equipo local) no se muestra de forma predeterminada en la interfaz de usuario. La seguridad de esta zona se establece como Alta de forma predeterminada. Esta zona está destinada a contenido que se encuentra en el equipo local. Para la zona Internet, establezca el nivel de seguridad como Alta. Para la zona Sitios de confianza, establezca el nivel de seguridad como Media, que permite explorar muchos sitios de Internet. Para la zona Intranet local, establezca el nivel de seguridad como Media baja, que permite la transmisión automática de las credenciales del usuario (nombre y contraseña) a sitios y aplicaciones que las necesiten. Para la zona Sitios restringidos, establezca el nivel de seguridad como Alta. Nota: todos los sitios de Internet y de intranet se asignan a la zona Internet de forma predeterminada. Los sitios de intranet no forman parte de la zona Intranet local, a menos que los agregue explícitamente a esta zona.

Microsoft Outlook Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook Mejoras en la seguridad de Outlook 2003 Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos Ejecuta contenido ejecutable en la zona Sitios restringidos No carga automáticamente contenido HTML Si su organización utiliza Outlook 98, Outlook 2000, Outlook 2002 u Office Outlook 2003 con un servidor que tiene seguridad de servidor, como Microsoft Exchange Server, puede personalizar las funciones de seguridad para adaptarlas a las necesidades de su organización. Puede utilizar el Outlook Administrator Pack para controlar los tipos de archivos adjuntos que bloquea Outlook, modificar las notificaciones de advertencia del Modelo de objetos de Outlook y especificar niveles de seguridad para usuarios o grupos. El Outlook Administrator Pack se incluye en el conjunto de herramientas del Kit de recursos de Office. Puede descargar las herramientas de Utilice la plantilla administrativa de Outlook para configurar opciones de seguridad para los equipos cliente mediante Directivas de grupo o Directiva de grupo local. Puede configurar varias opciones de esta plantilla para personalizar la seguridad de Outlook para su entorno. Outlook 2003 ofrece varias mejoras en seguridad, entre ellas: Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos. Ejecuta contenido ejecutable en la zona Sitios restringidos. Utiliza controles de correo no deseado para reducir el correo no solicitado. No carga automáticamente contenido HTML. Impide que otras aplicaciones tengan acceso a las libretas de direcciones. Proporciona interfaces de programación de aplicaciones (API) para impedir la ejecución de software.

Plantillas administrativas de Microsoft Office
Las plantillas para Office XP se proporcionan con la Windows XP Security Guide Las plantillas para Office 97 y versiones posteriores están disponibles cuando se descarga la versión correspondiente del Kit de recursos de Office. Antes de poder tener acceso a las opciones de las plantillas administrativas para Office XP, debe utilizar primero el Editor de objetos de directiva de grupo para aplicar las plantillas. Por ejemplo, para Office XP debe agregar el archivo Office10.adm a Plantillas administrativas en el Editor de objetos de directiva de grupo antes de configurar las opciones correspondientes a Office XP. Para Office 97 y versiones posteriores, las plantillas están disponibles con el Kit de recursos de Office. Las plantillas para Office XP se proporcionan también con la Windows XP Security Guide. La siguiente lista contiene todos los archivos de plantillas administrativas para Office XP. El archivo de plantilla Office10.adm contiene todas las opciones para los programas y las funciones que se enumeran en la Windows XP Security Guide. Los demás archivos de plantillas contienen opciones de la interfaz de usuario (UI). Access10.adm: Microsoft Access 2002 Excel10.adm: Microsoft Excel 2002 Fp10.adm: Microsoft FrontPage® 2002 Gal10.adm: Galería multimedia de Microsoft Office XP Instlr11.adm: Windows Installer 1.1 Ppt10.adm: Microsoft PowerPoint 2002 Pub10.adm: Microsoft Publisher 2002 Office10.adm: componentes compartidos de Office XP Outlk10.adm: Microsoft Outlook 2002 Word10.adm: Microsoft Word 2002

Recomendaciones para la protección de aplicaciones
Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura Tenga en cuenta las recomendaciones siguientes para proteger las aplicaciones de los equipos cliente existentes en la red de la organización: Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura. Asegúrese de que los usuarios configuran correctamente las zonas en Outlook, de manera que las secuencias de comandos y el contenido activo no se ejecuten en los mensajes de correo electrónico HTML desde la zona Internet. Los usuarios no deben abrir datos adjuntos que no estén esperando, aunque procedan de usuarios de confianza. Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo. Cada aplicación instalada puede suponer más puntos vulnerables. Para limitar el número de puntos vulnerables en los equipos cliente, instale sólo las aplicaciones que necesitan los usuarios para realizar las tareas que requieren sus trabajos. Implemente una directiva para actualizar las aplicaciones. Mantener actualizadas las aplicaciones con revisiones de seguridad es tan fundamental como mantener actualizado el sistema operativo. Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo Implemente una directiva para actualizar las aplicaciones

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se tratarán los clientes de Windows independientes. Específicamente se tratará: Configuración de directivas de grupo locales Plantillas de seguridad predefinidas Demostración 3: protección de clientes independientes Cómo utilizar la directiva de seguridad local para la protección de clientes independientes Recomendaciones para aplicar la configuración de directivas de grupo locales

Configuración de directivas de grupo locales
Si los clientes no son miembros de un dominio de Active Directory, utilice Directivas de grupo local para configurar los equipos cliente independientes Los clientes de Windows XP independientes utilizan una versión modificada de las plantillas de seguridad Cada cliente de Windows XP Professional utiliza un GPO local y el Editor de objetos de directiva de grupo o secuencias de comandos para aplicar la configuración La administración de equipos con Windows XP Professional que no son miembros de un dominio basado en Active Directory supone varios desafíos. Por ejemplo, en un dominio heredado de Microsoft Windows NT® 4.0, los clientes de Windows XP se tratan como equipos independientes. Este entorno sufre una mayor carga de trabajo administrativo porque no hay ninguna ubicación central para la administración de la configuración de seguridad. Los administradores pueden utilizar Directivas de grupo local para configurar los equipos cliente independientes que ejecuten Windows XP Professional y Windows 2000 Professional. Puede utilizar la consola preconfigurada Gpedit.msc de Microsoft Management Console (MMC) para modificar las directivas de grupo locales en equipos individuales o bien puede utilizar Secedit.exe y secuencias de comandos para automatizar el proceso de aplicar esta configuración a varios equipos. Los clientes de Windows XP que son independientes o pertenecen a un entorno de dominio heredado utilizan una versión modificada de las plantillas de seguridad. Cada sistema operativo Windows XP Professional cuenta con un GPO local. La configuración se aplica manualmente al objeto de directiva de grupo local con el Editor de objetos de directiva de grupo o mediante secuencias de comandos. Los objetos de directiva de grupo locales contienen menos opciones que los GPO basados en dominios, especialmente en Configuración de seguridad. Windows XP Professional agrega más opciones a Directivas de grupo local que las versiones anteriores de Windows, una ventaja que le permite personalizar mejor la configuración de los usuarios y los equipos. Existen varios cientos de opciones nuevas para Windows XP Professional, además de las que ya estaban disponibles para Windows 2000 Professional. Esta eficaz característica de administración permite bloquear y configurar con precisión el equipo de escritorio, lo que ofrece la posibilidad de tener muchos escenarios personalizados diferentes. Los objetos de directiva de grupo locales (LGPO) no admiten el redireccionamiento de carpetas, el servicio de instalación remota ni la instalación de software con Directivas de grupo cuando están configurados como clientes independientes. Las directivas locales pueden utilizarse para proporcionar un entorno operativo seguro en clientes independientes. En la lista siguiente se describen las extensiones del complemento Directivas de grupo que se abren cuando hay seleccionado un LGPO en Directivas de grupo. Plantillas administrativas: Sí Mantenimiento de Internet Explorer: Sí Secuencias de comandos: Sí Configuración de seguridad: Sí Redireccionamiento de carpetas: No Servicio de instalación remota: No Instalación de software: No

Plantillas de seguridad predefinidas
Si los clientes se conectan a un dominio de Windows NT 4.0, utilice: Si los clientes no se conectan a un dominio de Windows NT 4.0, utilice plantillas de seguridad independientes La Windows XP Security Guide contiene varias plantillas que pueden utilizarse para proteger clientes independientes. Clientes heredados. Si los clientes necesitan conectarse a un dominio de Windows NT 4.0, no es posible utilizar las plantillas de seguridad estándar. Para comunicarse con un controlador de dominio de Windows NT 4.0, deshabilite las siguientes opciones para los clientes de Windows XP: Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad - Miembro de dominio: requerir clave de sesión protegida (Windows 2000 o más reciente) Plantillas independientes. Puede obtener secuencias de comandos y plantillas de ejemplo para equipos independientes en la Windows XP Security Guide en \Windows XP Security Guide\Tools and Templates\Security Guide\Stand Alone Clients. Cliente corporativo heredado Cliente de alta seguridad heredado Seguridad básica para equipos de escritorio Legacy Enterprise Client - desktop.inf Legacy High Security - desktop.inf Seguridad básica para equipos portátiles Legacy Enterprise Client - laptop.inf Legacy High Security - laptop.inf

Demostración 3 Protección de clientes independientes Modificación de una plantilla de seguridad Implementación de una plantilla de seguridad Ver secuencias de comandos de ejemplo Ver la configuración de seguridad En esta demostración: Aprenderá a modificar una plantilla de seguridad Aprenderá a implementar una plantilla de seguridad Verá secuencias de comandos de ejemplo Verá la configuración de seguridad

Cómo utilizar la directiva de seguridad local para la protección de clientes independientes
Cargue la MMC de Directivas de grupo local (Gpedit.msc) Vaya a Configuración de equipo/Configuración de Windows, haga clic con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva. Vaya hasta la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Cliente de alta seguridad heredado: escritorio) Configure opciones de seguridad adicionales según los consejos preceptivos Para proteger equipos cliente independientes: Cargue la MMC de Directivas de grupo local (Gpedit.msc). Vaya a Configuración de equipo/Configuración de Windows, haga clic con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva. Vaya hasta la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Cliente de alta seguridad heredado: escritorio). Configure opciones de seguridad adicionales según los consejos preceptivos.

Recomendaciones para aplicar la configuración de directivas de grupo locales
Utilice como base las plantillas independientes de la Windows XP Security Guide Cuando aplique la configuración de directivas de grupo locales a clientes independientes, tenga en cuenta las siguientes recomendaciones: Utilice como referencia las plantillas independientes administrativas y de seguridad que se incluyen con la Windows XP Security Guide, y modifíquelas para adaptarlas a las necesidades de su organización. Puede automatizar la aplicación de directivas de grupo locales mediante la ejecución de la herramienta secedit.exe desde el símbolo del sistema, un archivo de proceso por lotes o un programador de tareas automático. También puede ejecutar la herramienta de forma dinámica desde el símbolo del sistema. La herramienta secedit.exe resulta útil cuando se debe configurar la seguridad en varios equipos. Las secuencias de comandos que se proporcionan con la Windows XP Security Guide emplean la utilidad secedit.exe para combinar y aplicar la directiva local al cliente. Desarrolle y documente los procedimientos para implementar la configuración de directivas de grupo en clientes independientes. Asegúrese de que mantiene actualizados estos procedimientos. Desarrolle estándares y procedimientos para poder aplicar de nuevo la configuración a clientes independientes cuando la modifique en las plantillas. Automatice la distribución de las plantillas independientes con la herramienta secedit Desarrolle procedimientos para implementar directivas Implemente mecanismos para actualizar los clientes

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se tratarán las directivas de restricción de software. Específicamente se tratará: Qué es una directiva de restricción de software Cómo funcionan las restricciones de software Cuatro reglas para la identificación del software Demostración 4: aplicación de una directiva de restricción de software Cómo aplicar restricciones de software Recomendaciones para aplicar directivas de restricción de software

Qué es una directiva de restricción de software
Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente El nivel de seguridad predeterminado tiene dos opciones: Irrestricto: se pueden ejecutar todas las aplicaciones, excepto aquellas denegadas de forma específica Restringido: sólo se pueden ejecutar las aplicaciones permitidas de forma específica Las directivas de restricción de software ofrecen a los administradores un mecanismo controlado mediante directivas para identificar el software y controlar su posibilidad de ejecución en equipos cliente. Las directivas de restricción de software forman parte de la estrategia de administración y seguridad de Microsoft para ayudar a las empresas a aumentar la confiabilidad, integridad y facilidad de administración de sus equipos. Las directivas de restricción de software son una de las muchas características de administración nuevas en Windows XP y Windows Server Las directivas de restricción de software pueden utilizarse para: Combatir virus. Regular los controles ActiveX® que se pueden descargar. Ejecutar sólo secuencias de comandos firmadas digitalmente. Comprobar que únicamente hay instaladas aplicaciones autorizadas en los equipos. Bloquear equipos. Las restricciones de software pueden configurarse mediante dos reglas predeterminadas diferentes. Una directiva de restricción de software consta de una regla predeterminada y una lista de excepciones a esa regla. Las dos reglas son: Irrestricto: esta regla permite ejecutar todas las aplicaciones, excepto aquellas identificadas de forma específica como excepciones a la regla. Los paquetes de software identificados no se pueden ejecutar. Esta directiva permite a los usuarios instalar nuevos programas, pero también permite a un administrador bloquear los programas no deseados e impedir su ejecución en los equipos cliente. Cuando se identifica un nuevo virus u otro paquete de software no deseado, el administrador puede actualizar inmediatamente la directiva para incluirlo e impedir que se ejecute en los equipos cliente. No obstante, es necesario que los usuarios reinicien el equipo, o que cierren la sesión e inicien una nueva, para que se implemente la nueva directiva de restricción de software. Restringido: esta regla no permite ejecutar ninguna aplicación en el equipo cliente, excepto aquellas identificadas de forma específica como excepciones a la regla. Los paquetes de software identificados son los únicos que se pueden ejecutar en los equipos cliente a los que afecta la directiva. Esta directiva se recomienda únicamente para entornos con un nivel de seguridad muy alto o entornos bloqueados. Puede ser difícil de administrar, ya que se debe identificar individualmente cada aplicación permitida y es posible que deba actualizarse la directiva cada vez que se aplique un Service Pack a un paquete de software.

Cómo funcionan las restricciones de software
Las directivas de restricción de software se integran perfectamente con Active Directory y Directivas de grupo. También puede utilizarlas en equipos independientes mediante Directivas de grupo local. El proceso funciona de la siguiente manera: Un administrador utiliza el complemento de MMC Directivas de grupo para crear la directiva para un sitio, dominio o unidad organizativa de Active Directory. La directiva se descarga y se aplica a un equipo. Las directivas de usuario se aplican la próxima vez que un usuario inicie sesión. Las directivas de equipo se aplican cuando se inicia un equipo. Cuando un usuario inicia un programa o una secuencia de comandos, el sistema operativo o el host de secuencias de comandos comprueba la directiva y la aplica. 1 Defina la directiva para el dominio con el Editor de objetos de directiva de grupo Descargue la directiva mediante Directivas de grupo en el equipo 2 3 El sistema operativo aplica la directiva cuando se ejecuta una aplicación

Cuatro reglas para la identificación del software
Regla de hash Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Regla de certificado Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Las reglas de una directiva de restricción de software identifican si se permite o no la ejecución de una aplicación. Cuando se crea una regla, primero se identifica la aplicación. A continuación, se identifica la aplicación como una excepción a la opción predeterminada Irrestricto o Restringido. Cada regla puede incluir comentarios para describir su finalidad. El motor de aplicación incluido en Windows XP consulta las reglas de la directiva de restricción de software antes de permitir la ejecución de un programa. Una directiva de restricción de software utiliza estas cuatro reglas para identificar aplicaciones: Regla de hash. Un hash es una huella que identifica de forma única un programa o un archivo ejecutable, aunque se cambie su ubicación o su nombre. De esta manera, los administradores pueden utilizar un hash para hacer un seguimiento de una versión concreta de un archivo ejecutable o un programa que no desean que ejecuten los usuarios. Éste puede ser el caso si un programa tiene puntos vulnerables en la seguridad o la privacidad, o puede poner en peligro la estabilidad del sistema. Con una regla de hash, los programas siguen siendo identificables de forma única porque la regla está basada en un cálculo cifrado que incluye el contenido del archivo. Los únicos tipos de archivo que se ven afectados por las reglas de hash son los enumerados en la sección Tipos de archivo designados del panel de detalles para las directivas de restricción de software. Regla de certificado. Una regla de certificado especifica el certificado firmado de una compañía de software. Por ejemplo, un administrador puede exigir certificados firmados para todas las secuencias de comandos y controles ActiveX. Una regla de certificado constituye una manera segura de identificar aplicaciones, ya que utiliza los hashes firmados incluidos en la firma del archivo para encontrar archivos coincidentes, independientemente de su nombre o su ubicación. Para crear excepciones a una regla de certificado, puede utilizar una regla de hash que las identifique. Regla de ruta. Una regla de ruta especifica una carpeta o una ruta de acceso completa a un programa. Cuando la regla especifica una carpeta, encuentra cualquier programa incluido en esa carpeta y los programas incluidos en subcarpetas relacionadas. Las reglas de ruta admiten tanto rutas locales como rutas UNC. El administrador debe definir en la regla de ruta todos los directorios para iniciar una aplicación específica. Por ejemplo, si el administrador ha creado un acceso directo en el escritorio para iniciar una aplicación, en la regla de ruta el usuario debe tener acceso a las rutas del archivo ejecutable y del acceso directo para poder ejecutar la aplicación. Si se intenta ejecutar la aplicación con sólo una pieza del puzzle se desencadenará la advertencia de software restringido. Muchas aplicaciones utilizan la variable %ProgramFiles% para instalar archivos en la unidad de disco duro de equipos con Windows XP Professional. Si se establece esta variable como otro directorio de una unidad distinta, algunas aplicaciones seguirán copiando archivos al subdirectorio C:\Archivos de programa original. Por tanto, se recomienda mantener las reglas de ruta definidas con la ubicación predeterminada del directorio. Regla de zona. Puede utilizar una regla de zona para identificar las aplicaciones descargadas desde cualquiera de las siguientes zonas definidas en Internet Explorer: Internet Intranet local Sitios restringidos Sitios de confianza Mi PC La versión actual de la regla de zona de Internet se aplica únicamente a los paquetes de Windows Installer (*.msi). Regla de ruta Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación Fundamental cuando las SRP son estrictas Regla de zona de Internet Controla cómo se puede tener acceso a las zonas de Internet Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web

Demostración 4 Aplicación de una directiva de restricción de software Creación de una directiva de restricción de software Reinicio de la máquina virtual Configuración de la suplantación de administradores Prueba de la directiva de restricción de software En esta demostración se tratará: Cómo crear una directiva de restricción de software Cómo reiniciar una máquina virtual Cómo configurar la suplantación de administradores Cómo probar la directiva de restricción de software

Cómo aplicar restricciones de software
Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software Vaya hasta el nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad Haga clic con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga clic en Crear nuevas directivas Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización Para aplicar una directiva de restricción de software: Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software. Vaya hasta el nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad. Haga clic con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga clic en Crear nuevas directivas. Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización.

Recomendaciones para aplicar directivas de restricción de software
Cree un plan para deshacer cambios Utilice un objeto de directiva de grupo independiente para implementar restricciones de software Cuando aplique la configuración de directivas de restricción de software a equipos cliente, tenga en cuenta las siguientes recomendaciones: Cree un plan para deshacer cambios antes de crear una directiva de restricción de software. Esto le permitirá volver a la configuración anterior si la directiva de restricción de software causa problemas en el entorno. Se recomienda administrar la directiva de restricción de software mediante GPO independientes y la personalización posterior de cada directiva para adaptarse a las necesidades de los diversos grupos de usuarios y equipos de la organización. Microsoft no recomienda intentar administrar los grupos de usuarios en un entorno independiente. Si se aplica correctamente, la directiva de restricción de software mejorará la integridad y la facilidad de administración, y al final reducirá el costo de propiedad y mantenimiento de los sistemas operativos en los equipos de la organización. Si crea un GPO independiente para la configuración de la directiva, puede deshabilitarlo en caso de emergencia sin que ello afecte al resto de la configuración de seguridad. Si no modifica la directiva predeterminada, siempre tiene la posibilidad de volver a aplicarla. Utilice directivas de restricción de software junto con permisos de NTFS para proporcionar una defensa a fondo. Los usuarios pueden intentar eludir las restricciones cambiando el nombre o la ubicación de los archivos ejecutables. Puede ayudar a evitar que esto ocurra si utiliza para los archivos ejecutables permisos de NTFS que sólo permitan a los usuarios autorizados el acceso a los archivos de las aplicaciones. Nunca vincule un GPO a otro dominio. Esto puede perjudicar el rendimiento. Pruebe exhaustivamente la configuración de nuevas directivas en entornos de prueba antes de aplicarlas al dominio. Esta configuración puede no funcionar como se esperaba. Las pruebas reducen las posibilidades de que se produzcan problemas al implementar la configuración de las directivas a través de la red. Puede configurar un dominio de prueba, separado del dominio de la organización, en el que probar la configuración de nuevas directivas. También puede realizar pruebas de la configuración de una directiva si crea un GPO de prueba y lo vincula a una OU. Cuando haya probado concienzudamente la configuración de la directiva con usuarios de prueba, puede vincular el GPO de prueba al dominio. Errores tipográficos o información escrita incorrectamente pueden causar que la configuración de una directiva no funcione como se esperaba. Realizar pruebas de la configuración de nuevas directivas antes de aplicarlas puede evitar un comportamiento inesperado. No restrinja programas o archivos sin realizar pruebas para ver qué efecto pueden tener. Las restricciones sobre determinados archivos pueden afectar seriamente al funcionamiento del equipo o de la red. Utilice estas directivas junto con NTFS para proporcionar una defensa a fondo Nunca vincule un GPO a otro dominio Pruebe concienzudamente la configuración de nuevas directivas

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se tratarán los programas antivirus. Específicamente se tratará: El problema de los virus Implementación de programas antivirus Actualizaciones de programas antivirus Recomendaciones para la protección contra virus

El problema de los virus
Los costos por virus superan ya los millones de dólares Costos indirectos Personal de informática o consultores Costos indirectos en informática Pérdida de productividad, datos o bienestar Numerosas personas del sector de la seguridad han calculado en más de millones de dólares los costos atribuidos a brotes de virus este último año. Los costos directos del brote de un virus son los costos que supone recuperarse del mismo. Esto puede suponer bastante trabajo para el personal interno de informática o para proveedores externos. El trabajo puede consistir desde eliminar los daños creados por el virus hasta recuperar los datos a partir de copias de seguridad, pasando por reinstalar sistemas operativos y aplicaciones. Los costos indirectos del brote de un virus son menos tangibles. Algunas organizaciones se han quedado sin correo electrónico o sistemas empresariales fundamentales durante varias semanas tras el ataque de un virus. Es difícil calcular el costo de estas pérdidas para una compañía, pero en muchos casos ha llegado a millones de dólares.

Implementación de programas antivirus
Implementación individual. Para usuarios individuales y organizaciones muy pequeñas, pueden adquirirse productos antivirus independientes e instalarlos en cada cliente de Windows XP. Implementación de la instalación de software con Directivas de grupo. Las organizaciones pequeñas y medianas pueden utilizar la instalación de software basada en Directivas de grupo para implementar programas antivirus. Implementación centralizada de software. La mayoría de los proveedores de programas antivirus disponen de productos para empresas que se pueden implementar desde una consola de administración central. Puede instalar el software mediante Active Directory o mediante la consola de administración del proveedor. Los proveedores utilizan métodos de distribución propietarios para la compatibilidad con versiones anteriores de sistemas operativos Windows y otros sistemas que no son de Microsoft. Las organizaciones medianas pueden encontrar estas ediciones para empresas adecuadas para sus necesidades, pero pueden ser demasiado complejas o costosas para las empresas más pequeñas. Tamaño de la organización Solución de implementación de programas antivirus Usuarios individuales y organizaciones muy pequeñas Instale productos antivirus independientes en los clientes de Windows XP individuales. Organizaciones pequeñas y medianas Implementación centralizada. Utilice Directivas de grupo para implementar programas antivirus. Organizaciones grandes Realice la instalación con Active Directory y Directivas de grupo. Instale y administre los programas antivirus con la consola de administración del proveedor.

Actualizaciones de programas antivirus
Equipos de escritorio Los servidores locales almacenan las actualizaciones de los programas antivirus para su distribución La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes No confíe la descarga de las actualizaciones a los usuarios Equipos portátiles Descargue las actualizaciones a través de Internet cuando estén fuera de la oficina El tiempo que transcurre entre la detección inicial de un virus y su distribución generalizada suele ser breve, principalmente debido a las rápidas capacidades de distribución del correo electrónico o la autorreplicación. Por eso es fundamental distribuir la actualización de las definiciones de virus a los clientes en cuanto esté disponible en el proveedor. Equipos de escritorio. Para los clientes que están conectados siempre a la red corporativa, la solución ideal es descargar las actualizaciones de las definiciones de virus a los servidores de la red local y distribuirlas a los clientes desde allí. La mejor solución es un modelo de inserción, mediante el cual las definiciones se copian inmediatamente a los clientes. Por desgracia, debido a la necesidad de la compatibilidad con clientes heredados, muchos de los programas antivirus actuales se basan en un modelo de extracción, mediante el cual los clientes comprueban si hay actualizaciones cada varias horas. Equipos portátiles. También es importante tener en cuenta cómo se van a actualizar los equipos portátiles cuando estén desconectados de la red corporativa. Puesto que un nuevo virus puede penetrar fácilmente en un equipo portátil mediante medios extraíbles o una conexión transitoria a Internet, puede resultar conveniente que los equipos portátiles descarguen las actualizaciones de los programas antivirus desde el sitio de descarga del proveedor.

Recomendaciones para la protección contra virus
Aplique las actualizaciones del proveedor periódicamente Al implementar programas antivirus en la red, tenga en cuenta las siguientes recomendaciones: Aplique las actualizaciones del proveedor periódicamente, preferiblemente cada día. Los programas antivirus no actualizados no protegerán a los equipos cliente contra virus que hayan sido identificados después de instalar el programa. Para mantener el máximo nivel de protección contra ataques de virus, es fundamental mantener actualizados los programas antivirus en los equipos cliente. Si es posible, aplique una estrategia de implementación centralizada. Una estrategia de implementación centralizada para los programas antivirus ofrece muchas ventajas: Permite implementar los programas antivirus en todos los clientes administrados desde una ubicación central. Permite implementar las actualizaciones desde una ubicación central. Utilice software específico para clientes en los equipos cliente. Los programas antivirus diseñados para una versión anterior de Windows pueden no funcionar correctamente en Windows 2000 Professional o en Windows XP. Utilice siempre software diseñado para su ejecución en los sistemas operativos de los equipos cliente en los que se va a implementar. Utilice una estrategia de implementación centralizada Utilice software específico para clientes en los equipos cliente

Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes En este tema del orden del día se tratarán los servidores de seguridad para clientes. Específicamente se tratará: La necesidad de utilizar servidores de seguridad Servidor de seguridad de conexión a Internet Software de servidor de seguridad de terceros Demostración 5: habilitación del servidor de seguridad para clientes Cómo habilitar Servidor de seguridad de conexión a Internet Recomendaciones

La necesidad de utilizar servidores de seguridad para clientes
Para clientes de la red LAN, un servidor de seguridad protege a los equipos de la red contra ataques automatizados Los equipos de escritorio con conexiones mediante módem a Internet necesitan ICF o un servidor de seguridad de terceros Los equipos portátiles con conexión a Internet desde casa, un hotel o una zona WiFi necesitan un servidor de seguridad personal o individual Clientes de LAN. Los servidores de seguridad son un elemento fundamental para mantener protegidos los equipos conectados en red. Todos los equipos merecen la protección de un servidor de seguridad, ya formen parte de la red de una de las compañías incluidas en la lista Fortune 500, se trate del equipo portátil de un agente de ventas que se conecta a la red inalámbrica de una cafetería o el nuevo equipo de su abuela con una conexión de acceso telefónico a Internet. Los gusanos y los virus, que inician la mayoría de los ataques, suelen encontrar sus objetivos aleatoriamente. Como resultado, incluso las organizaciones con poca o ninguna información confidencial necesitan servidores de seguridad para proteger sus redes contra estos atacantes automatizados. Equipos de escritorio con conexiones mediante módem. Si no protege la conexión de módem con un servidor de seguridad, el equipo de escritorio será vulnerable a contenido malintencionado. Si el equipo de escritorio está conectado en red, la amenaza se puede extender a todos los demás equipos de la red. Los módems necesitan un servidor de seguridad ICF o un servidor de seguridad de terceros. Clientes portátiles. Sin un servidor de seguridad personal o individual, los clientes portátiles no están protegidos porque no se encuentran detrás del servidor de seguridad.

Servidor de seguridad de conexión a Internet
Protección básica contra las amenazas de Internet No se permite el tráfico entrante Limitaciones Sin filtrado del tráfico saliente Problemas de soporte técnico y software Opciones de configuración limitadas Servidor de seguridad de conexión a Internet (ICF) se considera un servidor de seguridad eficaz. Para evitar que el tráfico no solicitado del lado público de la conexión penetre en el lado privado, ICF mantiene una tabla de todas las comunicaciones que se han originado en el equipo de ICF. Seguimiento y comparación del tráfico. Cuando se utiliza junto con Conexión compartida a Internet (ICS), ICF realiza un seguimiento de todo el tráfico procedente del equipo de ICF/ICS y de todo el tráfico procedente de los equipos de la red privada. ICF compara todo el tráfico entrante de Internet con las entradas de la tabla. ICF permite que el tráfico entrante de Internet llegue a los equipos de la red sólo cuando haya una entrada coincidente en la tabla que muestre que el intercambio de comunicación procede del equipo o de la red privada. Protección contra las amenazas de Internet. Para frustrar intentos de ataque comunes (como la exploración de puertos), el servidor de seguridad cierra las comunicaciones que proceden de Internet. En lugar de enviar notificaciones a menudo, ICF crea un registro de seguridad para realizar un seguimiento de la actividad del servidor de seguridad. Para obtener más información, consulte el registro de seguridad de Servidor de seguridad de conexión a Internet. Limitaciones de ICF Sin filtrado del tráfico saliente. Esto significa que ICF no protege contra los gusanos que inician tráfico saliente. Algunos gusanos recientes han mostrado este comportamiento como medio para replicarse a sí mismos. Problemas de soporte técnico y software. La implementación de ICF en clientes cuando están conectados a la red corporativa puede causar problemas importantes de soporte técnico y software, que es necesario evaluar cuidadosamente. Por ejemplo, la habilitación de ICF impedirá el funcionamiento de importantes herramientas de soporte técnico como Microsoft Baseline Security Analyzer (MBSA) y detendrá herramientas de distribución de software como Systems Management Server. Opciones de configuración limitadas. ICF cuenta actualmente con un conjunto limitado de opciones de configuración, aunque esto se mejorará en el Service Pack 2 de Windows XP. ICF en Windows XP se atiene a NLA (Network Location Awareness) y se puede deshabilitar mediante Active Directory o Directivas de grupo en Windows Server Los usuarios portátiles no tienen que acordarse de habilitar o deshabilitar ICF cuando estén de viaje. Pueden dejar ICF habilitado y estar protegidos mientras están en casa o de viaje; en la oficina, Directivas de grupo puede deshabilitar ICF siempre que un equipo se conecte a la red corporativa. ICF se ha mejorado en el SP2 de Windows XP

Software de servidor de seguridad de terceros
Motivos para utilizar servidores de seguridad de terceros: Mayor posibilidad de controlar el tráfico entrante y saliente Características adicionales, como la detección de intrusos Problemas con servidores de seguridad de terceros: Escalabilidad Complejidad ICF está diseñado para proporcionar la prevención básica contra intrusos. No incluye características que a menudo se encuentran en aplicaciones de servidor de seguridad de terceros, como la capacidad de protección contra programas que pudieran invadir su privacidad o permitir el uso incorrecto del equipo por parte de un atacante. Reglas. ICF permite toda la comunicación saliente, mientras que la mayoría de los productos de terceros necesitan reglas para permitir determinado tráfico saliente. Las reglas se pueden agregar manualmente o, en algunos casos, se pueden crear automáticamente cuando la aplicación cliente inicia la solicitud saliente. Capacidad de personalización. Muchas aplicaciones de servidor de seguridad de terceros permiten especificar las aplicaciones que pueden tener acceso a Internet y preguntarán al usuario si desea permitir o denegar el tráfico de aplicaciones no autorizadas anteriormente. Algunos productos conocidos para servidores de seguridad basados en host son ZoneAlarm, Tiny Personal Firewall, Agnitum Outpost Firewall, Kerio Personal Firewall y BlackICE PC Protection de Internet Security Systems. La mayoría de las aplicaciones de servidor de seguridad basado en host están disponibles en versiones gratuitas o de prueba. No le costará nada descargar estos paquetes y decidir si alguno se adapta a sus necesidades mejor que ICF. Algunos problemas relacionados con las aplicaciones de terceros para servidores de seguridad basados en host hacen que sean menos adecuados para organizaciones grandes. Por ejemplo: Es necesario asegurarse de que las reglas están configuradas correctamente; al agregar una regla incorrecta se podría perder la ventaja de tener instalada la aplicación. Puede ser necesario un gran número de reglas si un usuario tiene acceso a un gran número de sistemas internos. La mayoría de los productos de terceros carecen de mecanismos de concienciación de ubicación.

Demostración 5 Habilitación del servidor de seguridad para clientes Habilitación del Servidor de seguridad de conexión a Internet Prueba del acceso saliente Prueba del acceso entrante En esta demostración se tratará: Cómo habilitar ICF Cómo probar el acceso saliente Cómo probar el acceso entrante

Cómo habilitar Servidor de seguridad de conexión a Internet
Abra el Panel de control y seleccione Conexiones de red Haga clic con el botón secundario del mouse en la conexión que desea proteger y, a continuación, haga clic en Propiedades Haga clic en la ficha Avanzadas y active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto) Para habilitar el Servidor de seguridad de conexión a Internet en Windows XP: Abra el Panel de control y haga clic en Conexiones de red. Haga clic con el botón secundario del mouse en la conexión que desea proteger y, a continuación, haga clic en Propiedades. Haga clic en la ficha Avanzadas y active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet. Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto).

Recomendaciones para servidores de seguridad
Solicite a los usuarios que habiliten Servidor de seguridad de conexión a Internet en todas las conexiones cuando no utilicen la LAN de la organización Tenga en cuenta estas recomendaciones cuando utilice una solución de servidor de seguridad distribuido para la protección de los equipos cliente. Solicite a los usuarios que habiliten ICF en todos los equipos cliente cuando no estén conectados a la red de la organización. Esto protegerá los equipos cliente cuando no estén conectados a la red o protegidos por el servidor de seguridad de la red. Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen ICF para las conexiones VPN. Puede utilizar la característica Cuarentena en VPN de Windows Server 2003 para su implementación. Cuarentena en VPN de Windows Server 2003 permite inspeccionar la configuración de un equipo cliente después de que haya establecido una conexión VPN pero antes de que se le permita el acceso a los equipos de la red interna. Si se considera que la configuración del equipo cliente no es segura, se cierra la conexión VPN. No implemente ICF en los equipos cliente que estén conectados físicamente a la red corporativa. ICF podría interferir con comunicaciones críticas de la intranet. Puede utilizar Directivas de grupo para deshabilitar ICF, incluso aunque el usuario lo haya habilitado. Esta directiva se aplicará a los equipos cuando estén conectados a la red, pero permitirá el uso de ICF cuando no estén conectados a la red corporativa. Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen Servidor de seguridad de conexión a Internet para conexiones VPN No implemente Servidor de seguridad de conexión a Internet en los equipos cliente que estén conectados físicamente a la red corporativa

Resumen de la sesión Introducción Seguridad básica de los clientes
Protección de clientes con Active Directory Uso de Directivas de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes

Pasos siguientes Mantenerse informado sobre la seguridad
Suscribirse a boletines de seguridad: notificacion.asp Obtener las directrices de seguridad de Microsoft más recientes: Obtener información de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales: Buscar un CTEC local que ofrezca cursos prácticos: En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para: Obtener la información sobre seguridad más reciente. Obtener información de seguridad adicional.

Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) seguridad/default.asp Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés) Hay más información técnica para profesionales de IT y desarrolladores en los sitios Web siguientes: Sitio de seguridad de Microsoft (todos los usuarios) (este sitio está en inglés) Sitio de seguridad de TechNet (profesionales de IT) (este sitio está en inglés) Sitio de seguridad de MSDN® (desarrolladores) (este sitio está en inglés)

Preguntas y respuestas

Nombre del presentador Puesto Compañía

Presentaciones similares

Presentación del tema: "Nombre del presentador Puesto Compañía"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

Nombre del presentador Puesto Compañía

Presentaciones similares

Presentación del tema: "Nombre del presentador Puesto Compañía"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback