Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003 Nivel Avanzado Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP)

Presentación del tema: "Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003 Nivel Avanzado Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP)"— Transcripción de la presentación:

1 Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003
Nivel Avanzado Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP) Contab Dos Mil

2 Partner: Contab Dos Mil
Origen: Filial informático del grupo Ultramar Foco estratégico en tecnología Microsoft.

3 Redes y Sistemas TECNOLOGÍA TERMINAL SERVICES
Acceso a aplicaciones standard desde cualquier parte del mundo TECNOLOGIA WINDOWS 2003 MENSAJERÍA VPN

4 Seguridad Informática
Personal con Certificación Internacional CISSP Evaluación de Seguridad Informática Diseño de redes Seguras Outsourcing de administración y apoyo en la operación informática

5 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

6 Consideraciones sobre seguridad para las compañías pequeñas y medianas
Servidores con diversas funciones Recursos limitados para implementar soluciones seguras Utilización de sistemas antiguos Amenaza interna o accidental Carencia de experiencia en seguridad El acceso físico anula muchos procedimientos de seguridad Consecuencias legales

7 Principios de la seguridad de servidor
Confidencialidad Integridad Disponibilidad Principios de seguridad La confidencialidad garantiza la protección del acceso a la información La integridad asegura que la información no haya sido modificada La disponibilidad asegura el acceso inmediato a la información

8 Defensa en profundidad
El uso de una solución en niveles: Aumenta la posibilidad de que se detecten los intrusos Disminuye la oportunidad de que los intrusos logren su propósito Directivas, procedimientos y concienciación Seguridad física Datos ACL, cifrado Aplicación Refuerzo de las aplicaciones, antivirus Refuerzo del sistema operativo, administración de revisiones, autenticación, HIDS Host Red interna Segmentos de red, IPSec, NIDS Servidores de seguridad, sistemas de cuarentena en VPN Perímetro Guardias de seguridad, bloqueos, dispositivos de seguimiento Programas de aprendizaje para los usuarios

9 Modelos de amenazas y equilibrio de seguridad
Documente el entorno Realice un análisis de línea de base de los sistemas y el software Utilice DFD para ilustrar el flujo de datos, la interacción del sistema y las amenazas Segregue los sistemas Segregue los sistemas en función de las aplicaciones y los requisitos de seguridad Compruebe que los requisitos de seguridad entre los sistemas de confianza son equivalentes Compruebe que los sistemas menos sensibles dependen de los que lo son más en lo que respecta a la seguridad Limite el entorno y los privilegios Asigne cuentas con los mínimos permisos posibles Limite y proteja la comunicación Deshabilite o quite los servicios y puertos que no se utilizan Equilibrios relativos a la seguridad La seguridad requiere un equilibrio entre la seguridad y la facilidad de uso

10 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

11 Prácticas básicas de seguridad del servidor
Aplique los Service Packs más recientes y todas las revisiones de seguridad disponibles Utilice directivas de grupo para reforzar los servidores - Deshabilite los servicios que no sean necesarios - Implemente directivas de contraseñas seguras - Deshabilite la autenticación de LAN Manager y NTLMv1 Restrinja el acceso físico y de red a los servidores

12 Administración de las actualizaciones de software
Implemente una solución de administración de revisiones para protegerse contra las vulnerabilidades Asista a una sesión de un programa de aprendizaje sobre administración de revisiones o repase los consejos dados en: (este sitio está en inglés) Tipo de usuario Escenario Elección del usuario Usuario independiente Todos los escenarios Windows Update Pequeña compañía Sin servidores de Windows Tiene entre uno y tres servidores de Windows y un administrador de IT SUS Compañía grande o mediana Desea una solución de administración de revisiones con un control básico que actualice Windows 2000 y las versiones más recientes de Windows Desea una solución de administración de revisiones flexible con un mayor control para aplicar revisiones, actualizar y distribuir todo el software SMS

13 Clasificaciones de la gravedad de las revisiones y calendarios
Clasificación de la gravedad Definición Calendarios recomendados para la aplicación de revisiones Crítico Su aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario En 24 horas Importante Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento En un mes Moderada Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación Dependiendo de la disponibilidad prevista, espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses Baja Su aprovechamiento es extremadamente difícil o sus efectos son mínimos Dependiendo de la disponibilidad prevista, espere al siguiente Service Pack o continuación de revisiones que incluya la revisión o impleméntela antes de un año

14 Administración eficaz de revisiones
Productos, herramientas y automatización Coherente y repetible Conocimientos, funciones y responsabilidades Procesos Tecnología Personas

15 Recomendaciones para reforzar los servidores
Cambie el nombre de las cuentas integradas Invitado y Administrador Restrinja el acceso a las cuentas de servicio integradas y las que no sean del sistema operativo No configure un servicio para que inicie sesión con una cuenta de dominio Utilice NTFS para proteger los archivos y carpetas

16 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

17 Componentes de Active Directory
Bosque Un bosque funciona como límite de seguridad en Active Directory Dominio Unidad organizativa Directiva de grupo Una directiva de grupo es una herramienta clave para implementar y administrar la seguridad de una red

18 Diseño de un plan de seguridad de Active Directory
Analice el entorno Centro de datos de intranet Sucursal Centro de datos de extranet Realice un análisis de las amenazas Identifique las amenazas para Active Directory Identifique los tipos de amenazas Identifique el origen de las amenazas Determine medidas de seguridad para las amenazas Establezca planes de contingencia

19 Establecimiento de límites seguros de Active Directory
Especifique límites administrativos y de seguridad Diseñe una estructura de Active Directory en función de los requisitos de delegación Implemente límites de seguridad basados en la guía de recomendaciones

20 Fortalecimiento de la configuración de las directivas de dominio
Refuerce la configuración del GPO Directiva de dominio predeterminada o cree un GPO nuevo en el nivel de dominio Compruebe que las directivas de cuentas y contraseñas satisfacen los requisitos de seguridad de su organización Revise la configuración de auditoría en los objetos de Active Directory importantes

21 Establecimiento de una jerarquía de unidades organizativas basada en funciones
Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de servicios Web Una jerarquía de unidades organizativas basada en funciones de servidor: Simplifica la administración de la seguridad Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa

22 Demostración 1 Creación de una estructura de unidades organizativas y aplicación de una plantilla de seguridad Creación de una estructura de unidades organizativas Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominios

23 Cómo crear una jerarquía de unidades organizativas para administrar y proteger servidores
Cree una unidad organizativa denominada Servidores integrantes Cree otras unidades organizativas en Servidores integrantes para cada función de servidor Mueva cada objeto servidor a la unidad organizativa apropiada de acuerdo con su función Delegue el control de cada unidad organizativa basada en funciones al grupo de seguridad apropiado

24 Recomendaciones de administración
Distinga entre las funciones administrativas de datos y de servicios Establezca recomendaciones para administrar de forma segura los datos y servicios de directorio Delegue los permisos mínimos requeridos

25 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

26 Información general sobre el refuerzo de servidores
Servidores de infraestructuras Servidores de impresión y archivos Servidores IIS Servidores de Servicios de Certificate Server Hosts bastiones Seguridad de Active Directory Aplicar la directiva de línea de base de servidores integrantes Servidores RADIUS (IAS) Procedimientos de refuerzo de la seguridad Aplique una configuración de seguridad incremental basada en funciones Aplique la configuración de seguridad de línea de base a todos los servidores integrantes Aplique opciones de configuración adicionales a las funciones de servidor específicas Utilice GPResult para asegurarse de que la configuración se aplica correctamente

27 Plantilla de seguridad Línea de base de servidor integrante
Modifique y aplique la plantilla de seguridad Línea de base de servidor integrante a todos los servidores integrantes Opciones del la plantilla de seguridad Línea de base de servidor integrante: Directiva de auditoría Asignación de derechos de usuario Opciones de seguridad Registro de sucesos Servicios del sistema

28 Demostración 2 Uso de MBSA y aplicación de una plantilla de seguridad Uso de MBSA para crear un informe Presentación de la plantilla de seguridad Línea de base de servidor integrante Aplicación de la plantilla de seguridad Línea de base de servidor integrante Uso de MBSA para comprobar que se ha aplicado la plantilla

29 Cómo utilizar MBSA Abra MBSA y seleccione Scan a computer
En la página Pick a computer to scan, escriba la dirección IP o el nombre del equipo que desee examinar Seleccione todas las opciones que desee Haga clic en Start scan Revise los resultados de la detección

30 Recomendaciones para utilizar plantillas de seguridad
Revise y modifique las plantillas de seguridad antes de utilizarlas Utilice las herramientas de análisis y configuración de seguridad para revisar la configuración de las plantillas antes de aplicarlas Pruebe las plantillas minuciosamente antes de implementarlas Almacene las plantillas de seguridad en una ubicación segura

31 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

32 Configuración de seguridad de los controladores de dominio
Proteja el entorno de creación de los controladores de dominio Establezca prácticas para la creación de controladores de dominio que proporcionen seguridad Mantenga la seguridad física

33 Demostración 3 Refuerzo de controladores de dominio Aplicación de la plantilla de seguridad Controlador de dominio

34 Cómo aplicar la plantilla de seguridad Controlador de dominio
Abra la consola de Administración de directiva de grupo y vaya a la unidad organizativa Controladores de dominio Cree un GPO y vincúlelo a la unidad organizativa Controladores de dominio Vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad Haga clic con el botón secundario del mouse en Configuración de seguridad y, después, haga clic en Importar directiva Seleccione la directiva de seguridad Controlador de dominio y haga clic en Aceptar La configuración de la nueva directiva surtirá efecto en cada controlador de dominio la próxima vez que se actualice o se reinicie También puede ejecutar GPUpdate en cada controlador de dominio para actualizar la directiva de grupo inmediatamente

35 Recomendaciones para reforzar los controladores de dominio
Utilice métodos de seguridad apropiados para controlar el acceso físico a los controladores de dominio Implemente una configuración apropiada para los registros de sucesos y auditoría Utilice directivas de grupo para aplicar la plantilla de seguridad Controlador de dominio a todos los controladores de dominio Deshabilite los servicios que no sean necesarios

36 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

37 Uso de plantillas de seguridad para funciones específicas de servidor
Los servidores que efectúan funciones específicas se pueden organizar por unidades organizativas en la unidad organizativa Servidores integrantes En primer lugar, aplique la plantilla Línea de base de servidor integrante a la unidad organizativa Servidores integrantes A continuación, aplique la plantilla de seguridad basada en la función correspondiente a cada unidad organizativa de la unidad organizativa Servidores integrantes Personalice las plantillas de seguridad para los servidores que realizan varias funciones

38 Refuerzo de servidores de infraestructuras
Aplique la configuración de la plantilla de seguridad Servidor de infraestructuras Configure manualmente las opciones adicionales en cada servidor de infraestructuras Configure el registro DHCP Protéjase frente a ataques DoS DHCP Utilice DNS integrado en Active Directory para las zonas de Active Directory Proteja las cuentas de servicio Permita el tráfico únicamente en los puertos necesarios para las aplicaciones de servidor mediante filtros IPSec

39 Refuerzo de servidores de archivos
Aplique la configuración de la plantilla de seguridad Servidor de archivos Configure manualmente las opciones adicionales en cada servidor de archivos Deshabilite DFS y FRS si no se necesitan Proteja los archivos y carpetas compartidos mediante NTFS y permisos compartidos Habilite la auditoría de los archivos esenciales Proteja las cuentas de servicio Permita el tráfico sólo en puertos específicos mediante filtros IPSec

40 Refuerzo de servidores de impresión
Aplique la configuración de la plantilla de seguridad Servidor de impresión Configure manualmente las opciones adicionales en cada servidor de impresión Asegúrese de que el servicio Cola de impresión esté habilitado Proteja las cuentas conocidas Proteja las cuentas de servicio Permita el tráfico sólo en puertos específicos mediante filtros IPSec

41 Refuerzo de servidores IIS
Aplique la configuración de la plantilla de seguridad Servidor IIS Configure manualmente cada servidor IIS Instale la herramienta Bloqueo de seguridad de IIS y configure URLScan en todas las instalaciones de IIS 5.0 Habilite sólo los componentes de IIS esenciales Configure los permisos NTFS para todas las carpetas con contenido Web Instale IIS y almacene el contenido Web en un volumen de disco dedicado Si es posible, no habilite los permisos de ejecución y de escritura en el mismo sitio Web En los servidores IIS 5.0, ejecute las aplicaciones con protección de aplicaciones media o alta Utilice filtros IPSec para permitir únicamente el tráfico en los puertos 80 y 443

42 Demostración 4 Refuerzo de funciones de servidor específicas Revisión de la seguridad predeterminada de IIS Aplicación de la plantilla de seguridad Servidor de archivos

43 Recomendaciones para el refuerzo de servidores de funciones específicas
Proteja las cuentas de usuario conocidas Habilite únicamente los servicios que se requieran para ejercer la función del servidor Habilite el registro de servicios para capturar la información relevante Utilice el filtro IPSec para bloquear los puertos específicos basados en la función de servidor Modifique las plantillas según convenga para los servidores con varias funciones

44 Orden del día Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

45 Refuerzo de servidores independientes
Debe aplicar manualmente la configuración de seguridad en cada servidor independiente en lugar de utilizar Directiva de grupo Quizás tenga que crear una plantilla de seguridad personalizada para cada servidor independiente Utilice la herramienta Configuración y análisis de seguridad o SecEdit para aplicar la configuración de la plantilla de seguridad Configuración y análisis de seguridad Permite la comparación y aplicación de varias plantillas de seguridad SecEdit Versión de línea de comandos de la herramienta Configuración y análisis de seguridad que permite la aplicación de plantillas de seguridad con secuencias de comandos

46 Demostración 5 Refuerzo de un servidor independiente Comparación de plantillas de seguridad Aplicación de una plantilla de seguridad a un servidor independiente

47 Cómo utilizar SecEdit para reforzar servidores independientes
Configure una plantilla de seguridad personalizada con las opciones que desee aplicar al servidor independiente Abra un símbolo del sistema en el servidor independiente Cree una base de datos de configuración desde la plantilla de seguridad personalizada; para ello escriba: secedit /import /db c:\security.sdb /cfg nombre de la plantilla de seguridad Aplique la configuración en la base de datos al servidor independiente; para ello, escriba: secedit /configure /db c:\security.sdb

48 Recomendaciones para reforzar servidores independientes
Utilice la herramienta Configuración y análisis de seguridad para aplicar plantillas a los servidores independientes Configure las opciones de servicio de acuerdo con los requisitos de funciones de servidor Habilite el registro de servicios para capturar la información relevante Utilice IPSec para filtrar los puertos según la función del servidor

49 Resumen de la sesión Introducción a la protección de servidores
Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes

50 Pasos siguientes Mantenerse informado sobre la seguridad
Suscribirse a boletines de seguridad (este sitio está en inglés) Obtener las directrices de seguridad de Microsoft más recientes: (este sitio está en inglés) Obtener programas adicionales de aprendizaje sobre seguridad Buscar seminarios de aprendizaje en línea: Buscar un CTEC local que ofrezca cursos prácticos:

51 Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios) Sitio de seguridad de TechNet (profesionales de IT) Sitio de seguridad de MSDN (desarrolladores) (este sitio está en inglés)