4-implementaciÓn de la seguridad de clientes en windows 2000 y xp
TRANSCRIPT
IMPLEMENTACIÓN DE LA SEGURIDAD DE CLIENTES EN WINDOWS 2000 Y XP
Cap4-32.jpg
1. Requisitos previos
Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP
Conocimientos de Active Directory y Directiva de grupo
2. Índice del capitulo
Introducción Seguridad básica de los clientes Protección de clientes con Active Directory Uso de Directiva de grupo para la protección de clientes Protección de aplicaciones Configuración de directivas de grupo locales para clientes independientes Directiva de restricción de software Programas antivirus Servidores de seguridad para clientes Asegurando el Cliente Practica A: Administrando seguridad de clientes Preguntas Pasos siguientes Para obtener más información
3. Introducción
Nos centraremos en este capÍtulo en un asunto extremadamente importante y altamente visible: Seguridad de clientes. Vamos específicamente a exponer los puntos proporcionados en la guía Paso-a-Paso para asegurar Windows XP Professional en redes pequeñas y medianas. Analizaremos los esfuerzos que ha hecho Microsoft para asegurarse de que los productos entregados a los clientes se puedan instalar por defecto en una manera altamente segura. También analizaremos la seguridad de acuerdo al Trustworthy Computing Initiative. Específicamente y en profundidad, veremos nueva Windows XP Security Guide, la cual es parte de la instalación segura como pilar del Trustworthy Computing.
1
En este tema se presentarán los fundamentos de la seguridad de los clientes. Específicamente se tratará:
La importancia de la seguridad Estructura de organización de la seguridad
3.1.La importancia de la seguridad
Cap4-01.jpg
Las infracciones de seguridad pueden afectar a numerosas partes de una compañía, incluidos los equipos cliente de la red. La protección de estos equipos contra ataques puede ayudar a una organización en lo siguiente:
Proteger la información. La información es fundamental para cualquier compañía. Durante la realización de las tareas diarias se lee, crea, modifica, quita y transporta información. Poner en peligro la información puede perjudicar a la reputación y el balance financiero de una compañía. Es necesario proteger la información en todo momento. Los sistemas servidor se han convertido en grandes almacenes de información; por tanto, la protección de la información se basa en la seguridad del servidor.
Proteger los canales de información. Para facilitar una mayor productividad en la comunicación empresarial, a menudo se crean
2
canales para una amplia variedad de ubicaciones. Estos canales deben estar siempre seguros para mantener la confidencialidad e integridad de la información.
Reducir el tiempo de inactividad. Los ataques a equipos cliente, ya sean intencionados o accidentales, pueden causar una pérdida de servicio para los usuarios afectados. Mientras los equipos cliente no estén disponibles, es posible que la compañía vea perjudicada su reputación, sus ingresos, o ambos. Un entorno cliente seguro protege contra este tipo de pérdidas.
Proteger los ingresos. La productividad de los empleados constituye la clave para mantener los ingresos. Si los empleados no pueden ser productivos porque sus equipos cliente han sufrido un ataque, es posible que los ingresos se vean afectados.
Evitar daños a la reputación. Una vez aplicado, un entorno seguro protege la reputación de la compañía al asegurar que los equipos cliente están disponibles y funcionan correctamente. Esto permite a los empleados realizar sus tareas diarias en el momento oportuno, manteniéndose así la productividad.
En la encuesta sobre seguridad y delitos informáticos realizada por CSI/FBI en el año 2003, en la que se entrevistaron a 530 especialistas en seguridad informática de diversas corporaciones, agencias gubernamentales, instituciones financieras, centros médicos y universidades de EE.UU., se informó lo siguiente:
El robo de información propietaria fue la causa de las mayores pérdidas económicas. (Se perdieron 70.195.900 dólares, con un promedio de pérdidas de unos 2,7 millones de dólares.)
Los casos de virus (82%) y el abuso interno del acceso a la red (80%) fueron los tipos de ataques o abusos más citados.
El segundo delito informático con mayores pérdidas económicas, según los encuestados, fue la denegación de servicio, que supuso unas pérdidas de 65.643.300 dólares.
Cada nueva vulnerabilidad le presenta un nuevo desafío a Microsoft y a los profesionales de sistemas (clientes). Cada nueva vulnerabilidad se ha comparado con una carrera. Microsoft comienza inmediatamente el trabajo sobre un patch de manera de frustrar rápidamente los deseos de explotar esa vulnerabilidad. Si terminamos el patch, la etapa de test, el lanzamiento es inmediato.
Como parte de la iniciativa Trustworthy computing se han realizado guías de seguridad para asegurar al máximo los productos Microsoft y ayudarle a mantener un entorno seguro.
3.2.Estructura de organización de la seguridad
3
Cap4-02.jpg
Para reducir al mínimo la posibilidad de que un ataque contra su organización tenga éxito, debe utilizar el mayor número posible de niveles de defensa.
Defender su organización a fondo implica el uso de varios niveles de defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente que también lo esté toda la organización. Como directriz general, diseñe y cree cada nivel de la seguridad bajo el supuesto de que se ha conseguido infringir su seguridad. Realice los pasos necesarios para proteger el nivel en el que esté trabajando.
Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo:• Nivel de directivas, procedimientos y concientización: programas
educativos de seguridad para los usuarios• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento• Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y creación de redes privadas virtuales con procedimientos de cuarentena
• Nivel de red de Internet: segmentación de la red, Seguridad IP (IPSec) y sistemas de detección de intrusos en la red
4
• Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de actualizaciones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado
Este capitulo se centra en la protección de los equipos cliente que utilizan Microsoft® Windows®. Los métodos y prácticas de seguridad descritos en este capítulo se refieren principalmente a los niveles de aplicación y de host. No obstante, es importante tener en cuenta que la seguridad de los clientes debe formar parte únicamente de la estrategia de seguridad global de la organización.
4. Seguridad básica de los clientesEn este capítulo se tratarán los temas principales relacionados con la seguridad de los clientes. Específicamente se tratará:
Componentes de la seguridad de los equipos cliente Administración de las actualizaciones de software Recomendaciones sobre contraseñas Protección de los datos Equipos portátiles
4.1.Componentes de la seguridad de los equipos cliente
5
Cap4-03.jpg
La seguridad de los clientes abarca diversos temas fundamentales:
Actualizaciones de software. Mantenga actualizados los equipos cliente con las actualizaciones de seguridad y los Service Pack más recientes.
Recomendaciones sobre contraseñas. Proteja el acceso a los equipos cliente mediante contraseñas seguras y la aplicación de las recomendaciones para el uso general de contraseñas.
Protección de los datos. Proteja los documentos y la información confidencial mediante la implementación de una estrategia de copia de seguridad, con tecnologías de cifrado y con la restricción del acceso mediante métodos de autenticación adecuados.
Seguridad de las aplicaciones. Reduzca los puntos vulnerables de las aplicaciones mediante tecnologías de administración de la configuración, como directivas de restricción de software, Directiva de grupo y herramientas de implementación.
Herramientas de administración de clientes. Utilice tecnologías de administración de la seguridad, como el servicio de directorio Active Directory®, plantillas de seguridad, procedimientos de cuarentena para red y Directiva de grupo, para simplificar la implementación y la aplicación de directivas de seguridad.
Equipos portátiles. Implemente directivas y tecnologías que ayuden a proteger los dispositivos móviles, como equipos portátiles y asistentes
6
digitales personales (PDA), y que limiten los puntos vulnerables que puedan aparecer al conectar estos dispositivos a bienes corporativos.
Antivirus. Instale software antivirus y mantenga actualizados los archivos de firmas como ayuda para la protección contra código malintencionado y ataques a software.
Servidores de seguridad. Instale y configure un servidor de seguridad de hardware, de software o ambos, como Servidor de seguridad de conexión a Internet (ICF).
La guía de seguridad de Windows XP provee tres escenarios: los clientes enterprise, los clientes de seguridad alta y los clientes stand alone.
Clientes EnterpriseLos entornos enterprise se componen de un dominio de Windows 2000 o Windows Server 2003 con Microsoft Active Directory®. Los clientes en este entorno son administrados con Group Policy aplicada a containers, sites, domains y Organizational Units (OUs). Group Policy provee un método centralizado para administrar seguridad a traves del entorno.
Clientes de seguridad alta El ambiente de seguridad alta consiste en elevar las configuraciones de seguridad para el cliente. Cuando se aplican configuraciones de seguridad alta, la funcionalidad de los usuarios se limita únicamente a las tareas necesarias para cumplir con su trabajo. El acceso es limitado a programas aprobados, servicios y entornos de infraestructura.
Entorno Stand – Alone Los entornos stand – alone consisten en organizaciones que tienen algunas PC´s, pero no las agrupan en entornos de dominio o esas computadoras son miembros de dominios Windows NT 4.0 domain. Estos clientes tienen sus configuraciones de seguridad usando Local Policy. La administración de computadoras stand – alone puede ser considerablemente más complicada que usar Active Directory, debido a la utilización de políticas centralizadas en un dominio Active Directory.
La guía de seguridad de Windows XP es similar a la guía Windows 2003 Server, utilizando plantillas de seguridad para crear Group Policy Objects que se aplican a Organizational Units en Active Directory para asegurar computadoras cliente.
Adicionalmente a las plantillas de seguridad, se pueden utilizar las plantillas administrativas para agregar seguridad anexa a componentes de Windows como Internet Explorer, Windows Messenger y Terminal Server también, a programas como Office XP.
La guía también hace uso de una nueva característica de la política llamada Software Restriction Policies. Usando Software Restriction policies, usted puede
7
limitar el software que se puede utilizar en una computadora o bien bloquear programas específicos que no podrán ser ejecutados.
Se recomienda no agregar a los usuarios al grupo local de administradores.
4.2.Administración de las actualizaciones de software
Cap4-04.jpg
El establecimiento de una solución de administración de actualizaciones, para administrar las actualizaciones de software, puede resultar fundamental para mantener la seguridad de los equipos cliente. Microsoft proporciona diversas herramientas y tecnologías que ayudan a administrar las actualizaciones de software. La solución que elija dependerá de las necesidades de su organización.• Usuario independiente. Windows Update es la elección lógica.
Puede configurar Actualizaciones automáticas para extraer las actualizaciones de un servidor de Servicios de actualización de software (SUS, Software Update Services) o de Windows Update. Considere la posibilidad de configurar actualizaciones automáticas para comprobar diariamente si hay actualizaciones.
• Pequeña empresa. Windows Update y SUS son las opciones lógicas. Si dispone al menos de un equipo con Microsoft Windows
8
Server™ y un administrador de IT cualificado, debe elegir SUS. De lo contrario, utilice Windows Update.
• Empresas grandes o medianas. SUS y Microsoft Systems Management Server (SMS) son las opciones lógicas. Si necesita una solución de administración de actualizaciones sencilla, aunque algo limitada, elija SUS. Si desea una distribución de software completa que incluya funciones de administración de actualizaciones, elija SMS.
Nota: SUS sólo puede actualizar Windows 2000, Windows XP y Windows Server 2003. Para otros sistemas operativos y para aplicaciones, utilice Windows Update o procesos manuales.
Para obtener más información acerca de la administración de actualizaciones, actualizaciones de seguridad y descargas, visite el sitio Web de Microsoft en http://www.microsoft.com/technet/security/topics/patch/secpatch
También es posible aplicar actualizaciones de software cuando se implementan sistemas operativos en los equipos cliente. Para obtener más información acerca de este proceso, consulte las siguientes notas del producto:• New Features and Design Changes in Windows Installer 2.0,
disponible en inglés, en http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wninstlr.asp
• Update.exe Command-Line Switches for Windows 2000 Service Packs, disponible en inglés, en http://support.microsoft.com/default.aspx?scid=kb;en-us;262839
• How to Apply the 824146 Security Patch to Your Windows Preinstallation Environment, disponible en inglés, en http://support.microsoft.com/default.aspx?scid=kb;en-us;828217
4.3.Recomendaciones sobre contraseñas
9
Cap4-05.jpg
• Una de las formas más eficaces de garantizar el uso de buenas contraseñas es adoctrinar a los usuarios sobre cómo pueden contribuir a la seguridad global de la infraestructura.
• Anime a los usuarios a que utilicen como contraseñas, frases en lugar de palabras sueltas. Lo ideal sería una frase que contuviera ocho caracteres o más, con una combinación de letras en mayúsculas y minúsculas, símbolos y números. Los usuarios no deben:
• Utilizar palabras individuales que puedan encontrarse en el diccionario.
• Poner en mayúscula sólo la primera letra de una palabra.• Agregar un número sólo delante o detrás de una palabra. “2Hawaii”
y “Before5” no son contraseñas eficaces porque están basadas en palabras del diccionario y se pueden adivinar fácilmente.
Anime a los usuarios a que utilicen distintas contraseñas para cada sitio Web y aplicación. Los usuarios deben guardar las listas de contraseñas en un lugar seguro. Si es necesario, pueden almacenar estas listas en una carpeta cifrada de un equipo que tenga una contraseña muy segura. (Existen soluciones de software de terceros para la administración segura de contraseñas.)
10
Cuando dejen de utilizar una estación de trabajo cliente, los usuarios deben utilizar el método abreviado de teclado: Tecla del logotipo de Windows+L para bloquearla. Los usuarios deben utilizar también protectores de pantalla con contraseña por si olvidan bloquear sus equipos.
Cuando se necesite una mayor seguridad, las organizaciones pueden emplear la autenticación mediante varios factores, que requiere que los usuarios escriban su nombre de usuario (quiénes son) y una contraseña (algo que sólo conocen ellos), y también que utilicen algún tipo de autenticación física. Esta autenticación física se puede realizar con una tarjeta inteligente, un detector de iris o un lector de huellas digitales.
Para obtener más información acerca del uso de tarjetas inteligentes para la autenticación, consulte el documento Use Smart Cards to Enhance Security, en inglés, en http://www.microsoft.com/windowsxp/pro/evaluation/overviews/smartcards.asp
Para obtener más información y consejos acerca de las contraseñas, consulte las siguientes notas del producto:• Authoritative Security Guidance for the Enterprise, disponible en
inglés, en http://www.microsoft.com/technet/security/bestprac/• 5-Minute Security Advisor - Choosing a Good Password Policy,
disponible en inglés, en http://www.microsoft.com/technet/columns/security/5min/5min-302.asp
Luego de implementar esta guía, sus usuarios requerirán mantener un password complejo de al menos 8 caracteres, y deberán cambiar el password cada 42 días. Adicionalmente al cambio de passwords frecuente, el cambio más productivo en seguridad es la implementación de strong passwords. Las passwords débiles son el mayor riesgo de seguridad para cualquier organización.
4.4.Protección de los datos
11
Cap4-06.jpg
Puede proteger sus datos si aprovecha las funciones de protección de datos, incluidas en las aplicaciones y los sistemas operativos de Microsoft.
EFS (sistema de archivos de cifrado). Utilice EFS para mantener la confidencialidad de los datos almacenados. Infraestructura de claves públicas (PKI) es una característica de los sistemas operativos Windows que permite a los usuarios cifrar archivos y carpetas en un disco de un volumen NTFS para protegerlos frente al acceso por parte de intrusos.
Certificados en el correo electrónico y las aplicaciones. La firma de los mensajes de correo electrónico y el software ayuda a asegurar la autenticidad. Una firma digital en un archivo o una aplicación, confirma que el archivo procede de la entidad que lo firmó y que ninguna otra persona ha modificado el código del archivo.
Microsoft Office 2003 utiliza la tecnología Authenticode®, que emplea certificados digitales para firmar archivos o proyectos de macros. El certificado confirma que el documento o la macro procede del firmante. La firma corrobora que no ha sido modificado. Cuando establece el nivel de seguridad de macros, puede ejecutar macros firmadas digitalmente por un desarrollador incluidas en su lista de fuentes de confianza.
• Information Rights Management (IRM). IRM es una tecnología para archivos disponible en Office Professional Edition 2003, que permite al
12
usuario especificar permisos para los documentos. Puede establecer directivas para tener un mayor control sobre quién puede abrir, copiar, imprimir o reenviar información creada en Microsoft Office Word 2003, Microsoft Office Excel 2003, Microsoft Office PowerPoint® 2003 y Microsoft Office Outlook® 2003.
Para las compañías que no utilizan Office Professional Edition 2003, Microsoft proporciona un visor de IRM gratuito (complemento Rights Management para Microsoft Internet Explorer) para leer archivos protegidos. El visor de IRM sólo funciona si el destinatario tiene permiso para leer el archivo. Para descargar el visor, visite el sitio Web de Microsoft en http://www.microsoft.com/windows/ie/downloads/addon
IRM se basa en la tecnología Rights Management Service (RMS) de Windows Server 2003. Para obtener más información acerca de IRM, visite el sitio Web de Microsoft en http://www.microsoft.com/office/editions/prodinfo/technologies/irm.mspx
4.5.Equipos portátiles
Cap4-07.jpg
13
El robo de un dispositivo móvil y sus datos constituye una de las principales preocupaciones cuando un equipo portátil no se encuentra dentro de los límites de seguridad físicos de la compañía. Si se produce el robo, el problema inicial de la pérdida de datos puede convertirse potencialmente en la entrada de una persona no autorizada en la red, mediante una conexión remota de acceso telefónico o de red inalámbrica.
Aplique las siguientes medidas para aumentar la seguridad de los dispositivos móviles:
Contraseñas para el sistema básico de entrada y salida (BIOS, Basic Input/Output System). Esta característica de hardware es habitual en la mayoría de los equipos portátiles. Requiere que el usuario escriba una contraseña antes que el dispositivo inicie el sistema operativo. Si esta característica está habilitada, proporciona un nivel adicional de seguridad en caso de pérdida o robo del dispositivo.
Control de cuarentena de acceso a la red. Esta nueva característica de la familia Windows Server 2003 retrasa el acceso remoto normal a una red privada hasta que una secuencia de comandos proporcionada por el administrador haya examinado y validado la configuración del equipo de acceso remoto. Cuando un equipo de acceso remoto inicia una conexión a un servidor de acceso remoto, se autentica al usuario y se asigna una dirección IP al equipo y, a continuación, se pone la conexión en modo de cuarentena con acceso limitado a la red. La secuencia de comandos proporcionada por el administrador se ejecuta en el equipo de acceso remoto. Cuando la secuencia de comandos notifica al servidor de acceso remoto que el equipo de acceso remoto cumple las directivas de red actuales, se cancela el modo de cuarentena y se concede al equipo el acceso remoto normal.
Protocolo de autenticación extensible protegida (PEAP, Protected Extensible Authentication Protocol). PEAP utiliza Seguridad en el nivel de transporte (TLS, Transport Level Security) para crear un canal cifrado, a través del cual se transmite la información cifrada entre un cliente PEAP que realiza la autenticación, como un equipo inalámbrico, y un autenticador PEAP, como un Servicio de autenticación de Internet, (IAS, Internet Authentication Service). El canal cifrado mejora los protocolos EAP y la seguridad de la red al:• Proteger la negociación del método EAP que tiene lugar entre el
cliente y el servidor. • Evitar ataques de denegación de servicio al servidor IAS. • Reducir el retardo de tiempo entre la solicitud de autenticación por
parte de un cliente y la respuesta del servidor IAS o de Servicio de usuario de acceso telefónico de autenticación remota (RADIUS, Remote Authentication Dial-in User Service).
Utilidad Copia de seguridad. La utilidad Copia de seguridad ayuda a proteger los datos contra la pérdida accidental si se produce un error en el
14
medio de almacenamiento o en el hardware del sistema. Por ejemplo, puede utilizar Copia de seguridad para crear un duplicado de los datos del disco duro y archivarlos después en otro dispositivo de almacenamiento. Si se borran o sobrescriben accidentalmente los datos originales del disco duro o si no es posible tener acceso a ellos debido a un error de funcionamiento del disco duro, puede restaurar fácilmente los datos.
Para obtener más información acerca de cómo proteger dispositivos móviles, consulte los siguientes recursos:
• 5-Minute Security Advisor - The Road Warrior's Guide to Laptop Protection, disponible en inglés, en http://www.microsoft.com/technet/columns/security/5min/5min-205.asp
• Mobile Computing with Windows XP, disponible en inglés, en http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblxp.asp
• Securing Mobile Computers with Windows XP Professional, disponible en inglés, en http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblsecxp.asp
• Windows XP Security Guide, disponible en inglés, en http://go.microsoft.com/fwlink/?LinkId=14839
Los administradores que deseen configurar redes LAN inalámbricas en su empresa pueden visitar el sitio Web de Microsoft en http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/swlan.asp
5. Protección de clientes con Active Directory
En este tema se describirá la función de Active Directory en la protección de los clientes de red. Específicamente se tratará:
Componentes de Active Directory Definición de una jerarquía de OU para la administración y protección de
clientes Cómo crear una jerarquía de OU para la administración y protección de
clientes Recomendaciones para implementar la seguridad con Active Directory
5.1.Definición de una jerarquía de OU para la administración y protección de clientes
15
Cap4-08.jpg
Puede simplificar la administración y la seguridad de los equipos cliente si utiliza Directiva de grupo para aplicar la configuración de seguridad a estos equipos. Puede utilizar unidades organizativas para agrupar los equipos cliente de diversos departamentos, lo que le permitirá aplicar distintas configuraciones de seguridad a los equipos de cada departamento.
Con unidades organizativas puede crear contenedores en un dominio que representen las estructuras jerárquicas lógicas de la organización. A continuación, puede administrar la configuración y el uso de las cuentas y los recursos según el modelo organizativo utilizado.
Como se muestra en la diapositiva, las unidades organizativas pueden contener a su vez otras unidades organizativas. Puede extender la jerarquía de los contenedores según sea necesario para modelar la jerarquía de la organización dentro de un dominio. Las unidades organizativas ayudan a reducir el número de dominios necesarios para la red.
Puede utilizar unidades organizativas para crear un modelo administrativo que se puede escalar a cualquier tamaño. Un usuario puede tener autoridad administrativa sobre todas las unidades organizativas de un dominio o sobre una única unidad organizativa. No es necesario que el administrador de una unidad organizativa tenga autoridad administrativa sobre otras unidades organizativas del dominio.
16
En la Windows XP Security Guide se presenta un modelo de jerarquía distribuida. Como se ilustra en la diapositiva, este modelo detecta que la configuración de los usuarios y los equipos es diferente, y divide los objetos en unidades organizativas (OU) distintas. Este diseño coincide a menudo con el modelo administrativo de una organización que tiene distribuido el soporte técnico entre la administración de clientes y la administración de usuarios y grupos. No obstante, se puede modificar este diseño como sea necesario para adaptarlo a las necesidades de la organización.
5.2.Cómo crear una jerarquía de OU para la administración y protección de clientes
1. Cree las OU de cada departamento2. En cada departamento, cree las OU para los usuarios y las distintas
versiones del sistema operativo3. En la OU de cada sistema operativo, cree una OU para cada tipo de
equipo (por ejemplo, los equipos portátiles)4. Mueva cada objeto de equipo cliente a la OU adecuada
Estas instrucciones describen cómo crear una jerarquía de unidades organizativas (OU) para permitir la aplicación de Directiva de grupo a equipos cliente. A continuación se muestran los pasos generales para crear una estructura de OU. Modifique estos pasos según sea necesario para adaptarlos a las necesidades de su organización.
Para crear una jerarquía de unidades organizativas:
1. Cree las OU de cada departamento.2. En cada departamento, cree OU para los usuarios y para las
distintas versiones del sistema operativo, como Windows XP y Windows 2000. Si todos los equipos cliente ejecutan Windows XP, no es necesario crear una OU para Windows 2000. Estas OU se utilizarán para aplicar la configuración de directivas de grupo a los equipos cliente. Puesto que sólo los equipos cliente con Windows 2000 y Windows XP admiten Directiva de grupo, no es necesario crear OU para otros sistemas operativos. Como Windows 2000 Professional no admite toda la configuración de directivas de grupo que admite Windows XP, se recomienda crear OU distintas para cada sistema operativo con el fin de simplificar la administración de los equipos cliente.
3. En la OU de cada sistema operativo, cree una OU para cada tipo de equipo que necesite una configuración de seguridad individual, como los equipos portátiles y los equipos de escritorio. Según el
17
entorno, podrían ser necesarias más OU para los equipos cliente agrupados por otros motivos; por ejemplo, una OU para los equipos cliente que se conectan a la red mediante una conexión de red privada virtual (VPN).
4. Mueva cada objeto de equipo cliente a la OU adecuada.5. Después de mover todos los equipos a las OU adecuadas, puede
crear y configurar objetos de directiva de grupo para cada OU que aplicarán la configuración de seguridad adecuada a los equipos incluidos en la OU.
5.3.Recomendaciones para implementar la seguridad con Active Directory
Cap4-09.jpg
Diseñe una estructura de unidades organizativas (OU) para crear una implementación de Directiva de grupo que se aplique a todas las estaciones de trabajo incluidas en Active Directory. Asegúrese que la implementación cumple las normas de seguridad de su organización.
También debe diseñar una estructura de OU que proporcione la configuración de seguridad adecuada para determinados tipos de usuarios de la organización. Por ejemplo, es posible que se permita a los desarrolladores realizar acciones en sus estaciones de trabajo que a los usuarios normales no se les permite. Los usuarios de equipos portátiles también pueden tener requisitos de seguridad ligeramente distintos a los de los usuarios de equipos de escritorio.
Para cada OU que contenga equipos cliente, cree y configure objetos de directiva de grupo (GPO) con la configuración de seguridad adecuada para los equipos cliente contenidos en dicha OU. Por ejemplo, quizás
18
desee definir una configuración para los equipos portátiles, distinta de la configuración para los equipos de escritorio, ya que los equipos portátiles a menudo no se encuentran físicamente en las oficinas y pueden conectarse a la red mediante vínculos de comunicación no seguros.
6. Uso de Directiva de grupo para la protección de clientes
En este tema se describirá el uso de directivas para la protección de clientes. Específicamente se tratará:
Uso de plantillas de seguridad Uso de plantillas administrativas Qué son las opciones de seguridad Las ocho opciones más importantes sobre la seguridad de los clientes Cómo aplicar plantillas de seguridad y plantillas administrativas Recomendaciones para la protección de clientes con Active Directory
6.1.Uso de plantillas de seguridad
Las plantillas de seguridad son conjuntos preconfigurados de opciones de seguridad
Las plantillas que contiene la Windows XP Security Guide son:• Dos plantillas de dominios con opciones para todos los equipos del
dominio• Dos plantillas que contienen opciones para los equipos de
escritorio• Dos plantillas que contienen opciones para los equipos portátiles
Cada plantilla tiene una versión para equipos corporativos y otra versión para equipos de alta seguridad
Las opciones de una plantilla de seguridad se pueden modificar, guardar e importar a un GPO
La Windows XP Security Guide incluye tres tipos de plantillas:
Plantillas de dominios. Estas plantillas contienen la configuración de seguridad aplicada a todos los usuarios y equipos del dominio.
Plantillas de equipos de escritorio. Estas plantillas contienen la configuración que se puede aplicar a los equipos de escritorio conectados directamente a una red.
Plantillas de equipos portátiles. Estas plantillas contienen la configuración destinada a afrontar los desafíos de seguridad impuestos por la portabilidad de los equipos portátiles.
19
Cada plantilla se proporciona en una versión para equipos corporativos y otra versión para equipos de alta seguridad:
Los equipos cliente corporativos suelen residir en dominios de Active Directory de Windows 2000 o Windows Server 2003. Estos clientes se administran mediante la aplicación de Directiva de grupo a contenedores, sitios, dominios y unidades organizativas.
Los equipos cliente de alta seguridad son aquellos que requieren una configuración de seguridad elevada. En este caso, la funcionalidad de los usuarios está limitada a determinadas funciones que son necesarias únicamente para las tareas que deben realizar. El acceso está limitado a las aplicaciones, servicios y entornos de infraestructura autorizados.
Estas plantillas se pueden utilizar sin necesidad de modificarlas si la configuración que contienen es adecuada para el entorno de red. Con el complemento Plantillas de seguridad puede modificar una plantilla para adaptarla a las necesidades de su organización. Después de configurar correctamente una plantilla, puede importarla a un GPO que se aplique al dominio o a una OU específica del dominio. Puede utilizar la Consola de administración de directivas de grupo para modificar los GPO e importar plantillas de seguridad a los GPO.
6.2.Uso de plantillas administrativas
20
Cap4-10.jpg
Las plantillas administrativas contienen opciones del Registro que se pueden aplicar a usuarios (subárbol del Registro HKEY_Current_User) y a equipos (subárbol del Registro HKEY_Local_Machine).
Windows Server 2003 incluye un conjunto de plantillas administrativas que admiten equipos con Windows Server 2003, Windows XP Professional y Windows 2000.
Las plantillas del Service Pack 1 de Windows XP contienen más de 850 opciones.
La Windows XP Security Guide contiene 10 plantillas administrativas para la configuración de opciones para las aplicaciones de Office.
Los proveedores de aplicaciones de terceros pueden incluir plantillas adicionales en sus paquetes de software.
Es posible importar plantillas adicionales a un GPO.
6.3.Qué son las opciones de seguridad
21
Cap4-11.jpg
Las opciones de seguridad se implementan mediante Directiva de grupo. Algunas opciones, como la directiva de contraseñas, sólo se pueden establecer en el nivel de dominio. Otras opciones se pueden establecer en el nivel de dominio, de sitio o de unidad organizativa (OU). Las opciones de seguridad forman parte de cada objeto de directiva de grupo. Algunas opciones son:
• Directiva de contraseñas de cuentas: el uso de contraseñas complejas, que cambian con frecuencia, reduce las posibilidades de que los ataques a contraseñas consigan sus propósitos.
• Directiva de bloqueo de cuentas: esta directiva bloquea la cuenta de un usuario después de un número determinado de intentos fallidos de inicio de sesión, en el período de tiempo especificado.
• Directiva de auditoria: esta directiva determina qué sucesos de seguridad se graban en el registro de seguridad.
• Registro de sucesos: este registro se utiliza para grabar los sucesos del sistema. El registro de seguridad contiene sucesos de auditoria. El contenedor Registro de sucesos de Directiva de grupo se utiliza para definir atributos, como el tamaño máximo del registro, los derechos de acceso para cada registro y las opciones de período de retención y los métodos.
22
• Sistema de archivos: establece listas de control de acceso para archivos y carpetas.
• Directivas IPSec: estas directivas permiten especificar filtros IPSec, acciones de filtrado y reglas de filtrado para todo el tráfico TCP/IP del equipo.
• Configuración del Registro: permite configurar determinadas opciones del Registro para todos los equipos a los que afecta la directiva, así como impedir que se modifiquen esas opciones.
• Grupos restringidos: permite impedir que se agreguen usuarios a determinados grupos de seguridad de Windows 2000, Windows XP Professional y Windows Server 2003.
• Opciones de seguridad: estas opciones permiten habilitar o deshabilitar aspectos como la firma digital de datos, los nombres de las cuentas de administrador y de invitado, los métodos de autenticación de control, el comportamiento de instalación de controladores y los inicios de sesión.
• Restricción de software: las directivas de restricción de software permiten especificar el software que se puede ejecutar y el que no se puede ejecutar en un equipo cliente mediante diversas reglas, incluyendo reglas de hash, de ruta, de zona y de certificado.
• Servicios del sistema: esta opción establece la configuración predeterminada de estado de inicio y de seguridad para los servicios.
• Asignación de derechos de usuario: estas opciones determinan las operaciones del sistema que pueden realizar los usuarios.
Importante: tenga en cuenta que cualquier servicio o aplicación constituye un posible punto de ataque. Por tanto, deben deshabilitarse o quitarse del entorno los servicios o los archivos ejecutables que no sean necesarios.
6.4.Las ocho opciones más importantes sobre la seguridad de los clientes
Entre las opciones de seguridad de los equipos cliente que se modifican con más frecuencia se incluyen:
Permitir formatear y expulsar medios extraíbles No permitir enumeraciones anónimas de cuentas SAM Habilitar la auditoria Dejar que los permisos de Todos se apliquen a los usuarios anónimos Nivel de autenticación de LAN Manager Directiva de contraseñas No almacenar valor de hash de LAN Manager en el próximo cambio de
contraseña Opciones de firma SMB para los equipos cliente
23
Con el fin de asegurar un entorno de clientes de escritorio de alta seguridad, siga estas recomendaciones para las opciones de seguridad de los equipos cliente que se modifican con más frecuencia:
Permitir formatear y expulsar medios extraíbles. Permita realizar esta tarea sólo al grupo Administradores. No obstante, quizás desee cambiar esta opción para permitir realizar esta tarea a otros usuarios, si estos no son administradores de sus equipos.
No permitir enumeraciones anónimas de cuentas SAM. Habilite esta opción.
Nivel de autenticación de LAN Manager. Esta opción ofrece, a su vez, varias opciones. Para un entorno de clientes de escritorio de alta seguridad, establezca la opción Enviar sólo respuesta NT Lan Manager, versión 2\\rechazar Lan Manager y NT Lan Manager.
Directiva de contraseñas. La configuración recomendada para la directiva de contraseñas de un cliente de escritorio de alta seguridad es la siguiente:
• Forzar el historial de contraseñas24 contraseñas recordadas
• Vigencia máxima de la contraseña42 días
• Vigencia mínima de la contraseña2 días
• Longitud mínima de la contraseña8 caracteres
• Las contraseñas deben cumplir los requerimientos de complejidadHabilitada
Habilitar la auditoría. La mayoría de los entornos implementan algún tipo de configuración de auditoría personalizada.
Dejar que los permisos de Todos se apliquen a los usuarios anónimos. Deshabilite esta opción.
No almacenar valor de hash de LAN Manager en el próximo cambio de contraseña. Habilite esta opción.
Opciones de firma SMB para los equipos cliente. Estas opciones ayudan a hacer fracasar ataques con intermediario. Las opciones con su configuración recomendada para un entorno de clientes de escritorio de alta seguridad son las siguientes: • Cliente de redes de Microsoft: firmar digitalmente las
comunicaciones (siempre) - Deshabilitada• Cliente de redes de Microsoft: firmar digitalmente las
comunicaciones (si el servidor lo permite) - Habilitada• Servidor de red Microsoft: firmar digitalmente las comunicaciones
(siempre) - Habilitada
24
• Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el servidor lo permite) - Habilitada
6.5.Cómo aplicar plantillas de seguridad y plantillas administrativas
Cap4-12.jpg
Para aplicar plantillas de seguridad y plantillas administrativas en los clientes mediante Directiva de grupo:
1. En la Consola de administración de directivas de grupo, abra el objeto de directiva de grupo correspondiente al dominio o unidad organizativa (OU) donde desea aplicar la plantilla administrativa o de seguridad.
2. Para importar una plantilla de seguridad, diríjase a Configuración de equipo/Configuración de Windows, haga click con el botón secundario del mouse (ratón) en el nodo Configuración de seguridad, seleccione Importar directiva y, a continuación, busque la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Nivel de seguridad alto – Equipo portátil).
3. Para importar una plantilla administrativa, diríjase al nodo Configuración de equipo/Plantillas administrativas o el nodo Configuración de usuario/Plantillas administrativas, haga click con el botón secundario del mouse en Plantillas administrativas, haga click en Agregar o quitar plantillas y, a continuación, busque la ubicación que contiene la plantilla administrativa que desea importar.
25
4. Configure otras opciones administrativas y de seguridad adicionales para adaptarse a las necesidades de su organización, y cierre el Editor de objetos de directiva de grupo.
Pueden aplicarse plantillas administrativas y plantillas de seguridad en muchos niveles dentro de la jerarquía de Active Directory, incluidos los siguientes:
Dominio: para las opciones de seguridad que se apliquen a todos los usuarios y equipos del dominio de Active Directory, puede aplicar opciones o importar la plantilla de seguridad a un GPO en el nivel de dominio.
OU de departamento: puesto que los requisitos de seguridad varían a menudo dentro de una organización, puede tener sentido crear distintas OU para los departamentos del entorno. La configuración de seguridad departamental puede aplicarse mediante un GPO a los equipos y usuarios en sus OU de departamento respectivas.
OU de usuarios protegidos de Windows XP: esta OU contiene las cuentas de los usuarios que participan tanto en el entorno de clientes corporativos como en el entorno de alta seguridad. Las opciones que se aplican a esta OU se describen con más detalle en la Windows XP Security Guide.
OU de Windows XP: esta OU contiene OU secundarias para cada tipo de cliente Windows XP del entorno. En este capitulo se proporcionan consejos para clientes portátiles y de escritorio. (Para obtener más información, consulte la Windows XP Security Guide.) Por este motivo se han creado una OU de equipos de escritorio y una OU de equipos portátiles.
OU de equipos de escritorio: esta OU contiene los equipos de escritorio que están conectados constantemente a la red corporativa. Las opciones que se aplican a esta OU se describen en este capitulo. (Para obtener más información, consulte la Windows XP Security Guide.)
OU de equipos portátiles: esta OU contiene los equipos portátiles de usuarios móviles que no siempre están conectados a la red corporativa.
6.6.Recomendaciones para la protección de clientes con Active Directory
26
Cap4-13.jpg
Tenga en cuenta las recomendaciones siguientes cuando utilice plantillas de seguridad y plantillas administrativas para proteger los equipos cliente de la red de su organización:
Utilice como referencia las plantillas para clientes corporativos que se incluyen con la Windows XP Security Guide y modifíquelas para adaptarlas a las necesidades de su organización. Respecto a las opciones de seguridad para la organización, es importante que tenga en cuenta un equilibro óptimo entre la seguridad y la productividad de los usuarios. El objetivo es proteger a los usuarios contra programas y virus peligrosos, al tiempo que se proporciona un entorno seguro. Esto permite a los usuarios realizar su trabajo sin que vean frustrados sus esfuerzos debido a una seguridad demasiado restrictiva.
Implemente directivas estrictas de cuentas y de auditoría en el nivel de dominio. Utilice como base la plantilla Cliente corporativo - Dominio y modifíquela según sea necesario.
Pruebe siempre concienzudamente la configuración de las plantillas administrativas y de seguridad antes de aplicarlas a un gran número de usuarios y equipos de la organización. Una configuración que parece adecuada puede no funcionar bien en su entorno.
Consulte el sitio Web de Microsoft y póngase en contacto con los demás proveedores de software para obtener otras plantillas administrativas. Microsoft proporciona plantillas administrativas para muchos de sus productos, incluidos Office e Internet Explorer.
27
7. Protección de aplicaciones
En este tema se describirá la protección de aplicaciones. Específicamente se tratará:
Internet Explorer Zonas de Internet Explorer Microsoft Outlook Microsoft Office Recomendaciones para la protección de aplicaciones
7.1. Internet Explorer
Cap4-14.jpg
Las plantillas administrativas de Internet Explorer ayudan a exigir requisitos de seguridad para las estaciones de trabajo con Windows XP y a evitar el intercambio de contenido no deseado mediante el explorador. Siga estos criterios para proteger Internet Explorer en las estaciones de trabajo de su entorno:
28
• Asegúrese de que las solicitudes a Internet se producen únicamente como respuesta directa a acciones de los usuarios.
• Compruebe que la información enviada a determinados sitios Web sólo llega a éstos, a menos que se permitan acciones concretas de los usuarios para transmitir información a otros destinos.
• Asegúrese de que se identifican claramente los canales de confianza a servidores y sitios, así como los propietarios de los servidores y los sitios de cada canal.
• Compruebe que cualquier secuencia de comandos o programa que utiliza Internet Explorer se ejecuta en un entorno restringido. Los programas transmitidos mediante canales de confianza pueden habilitarse para su uso fuera del entorno restringido.
7.2.Zonas de Internet Explorer
Cap4-15.jpg
En Internet Explorer puede configurar opciones de seguridad para varias zonas de seguridad integradas: Internet, Intranet local, Sitios de confianza y Sitios restringidos. La configuración recomendada para mejorar la seguridad en Internet Explorer es la siguiente:
29
La zona Mi PC (a veces llamada Equipo local) no se muestra de forma predeterminada en la interfaz de usuario. La seguridad de esta zona se establece como Alta de forma predeterminada. Esta zona está destinada a contenido que se encuentra en el equipo local.
Para la zona Internet, establezca el nivel de seguridad como Alta. Para la zona Sitios de confianza, establezca el nivel de seguridad como
Media, que permite explorar muchos sitios de Internet. Para la zona Intranet local, establezca el nivel de seguridad como Media
baja, que permite la transmisión automática de las credenciales del usuario (nombre y contraseña) a sitios y aplicaciones que las necesiten.
Para la zona Sitios restringidos, establezca el nivel de seguridad como Alta.
Nota: todos los sitios de Internet y de intranet se asignan a la zona Internet de forma predeterminada. <11>.
7.3.Microsoft Outlook
Utilice el Outlook Administrator Pack para personalizar la seguridad de Outlook
Utilice la plantilla administrativa de Outlook para configurar la seguridad de Outlook
Mejoras en la seguridad de Outlook 2003• Avisa al usuario antes de abrir tipos de archivos potencialmente
peligrosos• Ejecuta contenido ejecutable en la zona Sitios restringidos• No carga automáticamente contenido HTML
Si su organización utiliza Outlook 98, Outlook 2000, Outlook 2002 u Office Outlook 2003 con un servidor que tiene seguridad de servidor, como Microsoft Exchange Server, puede personalizar las funciones de seguridad para adaptarlas a las necesidades de su organización.
Puede utilizar el Outlook Administrator Pack para controlar los tipos de archivos adjuntos que bloquea Outlook, modificar las notificaciones de advertencia del Modelo de objetos de Outlook y especificar niveles de seguridad para usuarios o grupos. El Outlook Administrator Pack se incluye en el conjunto de herramientas del Kit de recursos de Office. Puede descargar las herramientas de http://www.microsoft.com/office/ork/2003/tools/ddl/default.htm
Utilice la plantilla administrativa de Outlook para configurar opciones de seguridad para los equipos cliente, mediante Directiva de grupo o Directiva de grupo local. Puede configurar varias opciones de esta plantilla para personalizar la seguridad de Outlook para su entorno.
30
Outlook 2003 ofrece varias mejoras en seguridad, entre ellas:
• Avisa al usuario antes de abrir tipos de archivos potencialmente peligrosos.
• Ejecuta contenido ejecutable en la zona Sitios restringidos. • Utiliza controles de correo no deseado para reducir el correo no
solicitado.• No carga automáticamente contenido HTML. • Impide que otras aplicaciones tengan acceso a las libretas de
direcciones. • Proporciona interfaces de programación de aplicaciones (API) para
impedir la ejecución de software.
7.4.Microsoft Office
Cap4-16.jpg
Antes de poder tener acceso a las opciones de las plantillas administrativas para Office XP, debe utilizar primero el Editor de objetos de directiva de grupo para aplicar las plantillas. Por ejemplo, para Office XP debe agregar el archivo Office10.adm a Plantillas administrativas en el Editor de objetos de directiva de grupo, antes de configurar las opciones correspondientes a Office XP.
31
Para Office 97 y versiones posteriores, las plantillas están disponibles con el Kit de recursos de Office. Las plantillas para Office XP se proporcionan también con la Windows XP Security Guide.
La siguiente lista contiene todos los archivos de plantillas administrativas para Office XP. El archivo de plantilla Office10.adm contiene todas las opciones para los programas y las funciones que se enumeran en la Windows XP Security Guide. Los demás archivos de plantillas contienen opciones de la interfaz de usuario (UI).
Access10.adm: Microsoft Access 2002Excel10.adm: Microsoft Excel 2002Fp10.adm: Microsoft FrontPage® 2002Gal10.adm: Galería multimedia de Microsoft Office XPInstlr11.adm: Windows Installer 1.1Ppt10.adm: Microsoft PowerPoint 2002Pub10.adm: Microsoft Publisher 2002Office10.adm: componentes compartidos de Office XPOutlk10.adm: Microsoft Outlook 2002Word10.adm: Microsoft Word 2002
7.5.Recomendaciones para la protección de aplicaciones
Cap4-17.jpg
Tenga en cuenta las recomendaciones siguientes para proteger las aplicaciones de los equipos cliente existentes en la red de la organización:
32
Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura. Asegúrese de que los usuarios configuran correctamente las zonas en Outlook, de manera que las secuencias de comandos y el contenido activo no se ejecuten en los mensajes de correo electrónico HTML desde la zona Internet. Los usuarios no deben abrir datos adjuntos que no estén esperando, aunque procedan de usuarios de confianza.
Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo. Cada aplicación instalada puede suponer más puntos vulnerables. Para limitar el número de puntos vulnerables en los equipos cliente, instale sólo las aplicaciones que necesitan los usuarios para realizar las tareas que requieren sus trabajos.
Implemente una directiva para actualizar las aplicaciones. Mantener actualizadas las aplicaciones con revisiones de seguridad, es tan fundamental como mantener actualizado el sistema operativo.
8. Configuración de directivas de grupo locales para clientes independientes
En este tema se tratarán los clientes de Windows independientes. Específicamente se tratará:
Configuración de directivas de grupo locales Plantillas de seguridad predefinidas Cómo utilizar la directiva de seguridad local para la protección de clientes
independientes Recomendaciones para aplicar la configuración de directivas de grupo
locales
8.1.Configuración de directivas de grupo locales
33
Cap4-18.jpg
La administración de equipos con Windows XP Profesional, que no sean miembros de un dominio basado en Active Directory, supone varios desafíos. Por ejemplo, en un dominio heredado de Microsoft Windows NT® 4.0, los clientes de Windows XP se tratan como equipos independientes. Este entorno sufre una mayor carga de trabajo administrativo porque no hay ninguna ubicación central para la administración de la configuración de seguridad.
Los administradores pueden utilizar Directiva de grupo local para configurar los equipos cliente independientes que ejecuten Windows XP Professional y Windows 2000 Professional. Puede utilizar la consola preconfigurada Gpedit.msc de Microsoft Management Console (MMC) para modificar las directivas de grupo locales en equipos individuales o bien puede utilizar Secedit.exe y secuencias de comandos para automatizar el proceso de aplicar esta configuración a varios equipos.• Los clientes de Windows XP que son independientes o pertenecen
a un entorno de dominio heredado utilizan una versión modificada de las plantillas de seguridad.
• Cada sistema operativo Windows XP Professional cuenta con un GPO local. La configuración se aplica manualmente al objeto de directiva de grupo local con el Editor de objetos de directiva de grupo o mediante secuencias de comandos. Los objetos de
34
directiva de grupo locales contienen menos opciones que los GPO basados en dominios, especialmente en Configuración de seguridad.
Windows XP Professional agrega más opciones a Directiva de grupo local que las versiones anteriores de Windows; una ventaja que le permite personalizar mejor la configuración de los usuarios y los equipos. Existen cientos de opciones nuevas para Windows XP Professional, además de las que ya estaban disponibles para Windows 2000 Professional. Esta eficaz característica de administración permite bloquear y configurar con precisión el equipo de escritorio, lo que ofrece la posibilidad de tener muchos escenarios personalizados diferentes.
Los objetos de directiva de grupo locales (LGPO) no admiten el redireccionamiento de carpetas, el servicio de instalación remota ni la instalación de software con Directiva de grupo cuando están configurados como clientes independientes. Las directivas locales pueden utilizarse para proporcionar un entorno operativo seguro en clientes independientes. En la lista siguiente se describen las extensiones del complemento Directiva de grupo que se abren cuando hay seleccionado un LGPO en Directiva de grupo.
• Plantillas administrativas: Sí • Mantenimiento de Internet Explorer: Sí • Secuencias de comandos: Sí• Configuración de seguridad: Sí• Redireccionamiento de carpetas: No• Servicio de instalación remota: No• Instalación de software: No
8.2.Plantillas de seguridad predefinidas
35
Cap4-19.jpg
La Windows XP Security Guide contiene varias plantillas que pueden utilizarse para proteger clientes independientes.
Clientes heredados. Si los clientes necesitan conectarse a un dominio de Windows NT 4.0, no es posible utilizar las plantillas de seguridad estándar. Para comunicarse con un controlador de dominio de Windows NT 4.0, deshabilite las siguientes opciones para los clientes de Windows XP: Configuración de equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad - Miembro de dominio: requiere clave de sesión protegida (Windows 2000 o más reciente)
Plantillas independientes. Puede obtener secuencias de comandos y plantillas de ejemplo para equipos independientes en la Windows XP Security Guide en \Windows XP Security Guide\Tools and Templates\Security Guide\Stand Alone Clients.
8.3.Cómo utilizar la directiva de seguridad local para la protección de clientes independientes
36
1. Cargue la MMC de Directiva de grupo local (Gpedit.msc)2. Diríjase a Configuración de equipo/Configuración de Windows, haga click
con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva.
3. Diríjase a la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Cliente de alta seguridad heredado: escritorio)
4. Configure opciones de seguridad adicionales según los consejos preceptivos
Para proteger equipos cliente independientes:
1. Cargue la MMC de Directiva de grupo local (Gpedit.msc).2. Diríjase a Configuración de equipo/Configuración de Windows, haga click
con el botón secundario del mouse en el nodo Configuración de seguridad y seleccione Importar directiva.
3. Diríjase a la ubicación que contenga la plantilla de seguridad adecuada (por ejemplo, Cliente de alta seguridad heredado: escritorio).
4. Configure opciones de seguridad adicionales según los consejos preceptivos.
8.4.Recomendaciones para aplicar la configuración de directivas de grupo locales
Cap4-20.jpg
37
Cuando aplique la configuración de directivas de grupo locales a clientes independientes, tenga en cuenta las siguientes recomendaciones:
Utilice como referencia las plantillas independientes administrativas y de seguridad que se incluyen con la Windows XP Security Guide, y modifíquelas para adaptarlas a las necesidades de su organización.
Puede automatizar la aplicación de directivas de grupo locales mediante la ejecución de la herramienta secedit.exe desde el símbolo del sistema, un archivo de proceso por lotes o un programador de tareas automático. También puede ejecutar la herramienta de forma dinámica desde el símbolo del sistema. • La herramienta secedit.exe resulta útil cuando se debe configurar
la seguridad en varios equipos. • Las secuencias de comandos que se proporcionan con la Windows
XP Security Guide emplean la utilidad secedit.exe para combinar y aplicar la directiva local al cliente.
Desarrolle y documente los procedimientos para implementar la configuración de directivas de grupo en clientes independientes. Asegúrese de mantener actualizados estos procedimientos.
Desarrolle estándares y procedimientos para poder aplicar de nuevo la configuración a clientes independientes cuando la modifique en las plantillas.
9. Directiva de restricción de software
En este tema se tratarán las directivas de restricción de software. Específicamente se analizará:
Qué es una directiva de restricción de software Cómo funcionan las restricciones de software Cuatro reglas para la identificación del software Cómo aplicar restricciones de software Recomendaciones para aplicar directivas de restricción de software
9.1.Qué es una directiva de restricción de software
Mecanismo controlado mediante directivas que identifica y controla las aplicaciones en los equipos cliente
El nivel de seguridad predeterminado tiene dos opciones:• Irrestricto: se pueden ejecutar todas las aplicaciones, excepto
aquellas denegadas en forma específica• Restringido: sólo se pueden ejecutar las aplicaciones permitidas de
forma específica
38
Las directivas de restricción de software ofrecen a los administradores un mecanismo, controlado mediante directivas, para identificar el software y controlar su posibilidad de ejecución en equipos cliente. Las directivas de restricción de software forman parte de la estrategia de administración y seguridad de Microsoft para ayudar a las empresas a aumentar la confiabilidad, integridad y facilidad de administración de sus equipos.
Las directivas de restricción de software son una de las muchas características de administración nuevas en Windows XP y Windows Server 2003. Las directivas de restricción de software pueden utilizarse para: • Combatir virus.• Regular los controles ActiveX® que se pueden descargar.• Ejecutar sólo secuencias de comandos, firmadas digitalmente.• Comprobar que únicamente hay instaladas aplicaciones
autorizadas en los equipos.• Bloquear equipos.
Las restricciones de software pueden configurarse mediante dos reglas predeterminadas diferentes. Una directiva de restricción de software consta de una regla predeterminada y una lista de excepciones a esa regla. Las dos reglas son:• Irrestricto: esta regla permite ejecutar todas las aplicaciones,
excepto aquellas identificadas de forma específica como excepciones a la regla. Los paquetes de software identificados no se pueden ejecutar. Esta directiva permite a los usuarios instalar nuevos programas, pero también permite a un administrador bloquear los programas no deseados e impedir su ejecución en los equipos cliente. Cuando se identifica un nuevo virus u otro paquete de software no deseado, el administrador puede actualizar inmediatamente la directiva para incluirlo e impedir que se ejecute en los equipos cliente. No obstante, es necesario que los usuarios reinicien el equipo o que cierren la sesión, e inicien una nueva para que se implemente la nueva directiva de restricción de software.
• Restringido: esta regla no permite ejecutar ninguna aplicación en el equipo cliente, excepto aquellas identificadas de forma específica como excepciones a la regla. Los paquetes de software identificados son los únicos que se pueden ejecutar en los equipos cliente a los que afecta la directiva. Esta directiva se recomienda únicamente para entornos con un nivel de seguridad muy alto o entornos bloqueados. Puede ser difícil de administrar, ya que se debe identificar individualmente cada aplicación permitida y es posible que deba actualizarse la directiva cada vez que se aplique un Service Pack a un paquete de software.
9.2.Cómo funcionan las restricciones de software
39
Cap4-21.jpg
Las directivas de restricción de software se integran perfectamente con Active Directory y Directiva de grupo. También pueden utilizarse en equipos independientes mediante Directiva de grupo local. El proceso funciona de la siguiente manera:
1. Un administrador utiliza el complemento de MMC Directiva de grupo para crear la directiva para un sitio, dominio o unidad organizativa de Active Directory.
2. La directiva se descarga y se aplica a un equipo. Las directivas de usuario se aplican la próxima vez que un usuario inicie sesión. Las directivas de equipo se aplican cuando se inicia un equipo.
3. Cuando un usuario inicia un programa o una secuencia de comandos, el sistema operativo o el host de secuencias de comandos comprueba la directiva y la aplica.
9.3.Cuatro reglas para la identificación del software
40
Cap4-22.jpg
Las reglas de una directiva de restricción de software identifican si se permite o no la ejecución de una aplicación. Cuando se crea una regla, primero se identifica la aplicación. A continuación, se identifica la aplicación como una excepción a la opción predeterminada Irrestricto o Restringido. Cada regla puede incluir comentarios para describir su finalidad. El motor de aplicación incluido en Windows XP, consulta las reglas de la directiva de restricción de software antes de permitir la ejecución de un programa. Una directiva de restricción de software utiliza estas cuatro reglas para identificar aplicaciones:
Regla de hash. Un hash es una huella que identifica de forma única un programa o un archivo ejecutable, aunque se cambie su ubicación o su nombre. De esta manera, los administradores pueden utilizar un hash para hacer un seguimiento de una versión concreta de un archivo ejecutable o un programa que no desean que ejecuten los usuarios. Éste puede ser el caso si un programa tiene puntos vulnerables en la seguridad o la privacidad, o puede poner en peligro la estabilidad del sistema. Con una regla de hash, los programas siguen siendo identificables de forma única porque la regla está basada en un cálculo cifrado que incluye el contenido del archivo. Los únicos tipos de archivo
41
que se ven afectados por las reglas de hash son los enumerados en la sección Tipos de archivo designados del panel de detalles para las directivas de restricción de software.
Regla de certificado. Una regla de certificado especifica el certificado firmado de una compañía de software. Por ejemplo, un administrador puede exigir certificados firmados para todas las secuencias de comandos y controles ActiveX. Una regla de certificado constituye una manera segura de identificar aplicaciones, ya que utiliza los hashes firmados, incluidos en la firma del archivo para encontrar archivos coincidentes, independientemente de su nombre o su ubicación. Para crear excepciones a una regla de certificado, puede utilizar una regla de hash que las identifique.
Regla de ruta. Una regla de ruta especifica una carpeta o una ruta de acceso completa a un programa. Cuando la regla especifica una carpeta, encuentra cualquier programa incluido en esa carpeta y los programas incluidos en subcarpetas relacionadas. Las reglas de ruta admiten tanto rutas locales como rutas UNC. El administrador debe definir en la regla de ruta todos los directorios para iniciar una aplicación específica. Por ejemplo, si el administrador ha creado un acceso directo en el escritorio para iniciar una aplicación, debe tener acceso, en la regla de ruta el usuario, a las rutas del archivo ejecutable y del acceso directo para poder ejecutar la aplicación. Si se intenta ejecutar la aplicación con sólo una pieza del puzzle, se desencadenará la advertencia de software restringido. Muchas aplicaciones utilizan la variable %ProgramFiles% para instalar archivos en la unidad de disco duro de equipos con Windows XP Professional. Si se establece esta variable como otro directorio de una unidad distinta, algunas aplicaciones seguirán copiando archivos al subdirectorio C:\Archivos de programa original. Por tanto, se recomienda mantener las reglas de ruta definidas con la ubicación predeterminada del directorio.
Regla de zona. Puede utilizar una regla de zona para identificar las aplicaciones descargadas desde cualquiera de las siguientes zonas definidas en Internet Explorer:• Internet• Intranet local• Sitios restringidos• Sitios de confianza• Mi PC
La versión actual de la regla de zona de Internet se aplica únicamente a los paquetes de Windows Installer (*.msi).
9.4.Cómo aplicar restricciones de software
42
1. Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software
2. Diríjase al nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad
3. Haga click con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga click en Crear nuevas directivas
4. Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización
Para aplicar una directiva de restricción de software:
1. Abra el objeto de directiva de grupo correspondiente a la unidad organizativa (OU) en la que desea aplicar la directiva de restricción de software.
2. Diríjase al nodo Configuración de equipo/Configuración de Windows/Configuración de seguridad.
3. Haga click con el botón secundario del mouse en Directivas de restricción de software y, a continuación, haga click en Crear nuevas directivas.
4. Configure reglas de hash, de certificado, de ruta y de zona de Internet para adaptarse a las necesidades de su organización.
9.5.Recomendaciones para aplicar directivas de restricción de software
43
Cap4-23.jpg
Cuando aplique la configuración de directivas de restricción de software a equipos cliente, tenga en cuenta las siguientes recomendaciones:
Cree un plan para deshacer cambios antes de crear una directiva de restricción de software. Esto le permitirá volver a la configuración anterior si la directiva de restricción de software causa problemas en el entorno.
Administre la directiva de restricción de software mediante GPOs independientes y la personalización posterior de cada directiva para adaptarse a las necesidades de los diversos grupos de usuarios y equipos de la organización. Microsoft no recomienda intentar administrar los grupos de usuarios en un entorno independiente. Si se aplica correctamente, la directiva de restricción de software mejorará la integridad y la facilidad de administración y al final reducirá el costo de propiedad y mantenimiento de los sistemas operativos en los equipos de la organización.• Si crea un GPO independiente para la configuración de la directiva,
puede deshabilitarlo en caso de emergencia sin que ello afecte al resto de la configuración de seguridad.
• Si no modifica la directiva predeterminada, siempre tiene la posibilidad de volver a aplicarla.
Utilice directivas de restricción de software junto con permisos de NTFS para proporcionar una defensa a fondo. Los usuarios pueden intentar eludir las restricciones cambiando el nombre o la ubicación de los archivos ejecutables. Puede ayudar a evitar que esto ocurra si utiliza, para los archivos ejecutables, permisos de NTFS que sólo permitan a los usuarios autorizados el acceso a los archivos de las aplicaciones.
Nunca vincule un GPO a otro dominio. Esto puede perjudicar el rendimiento.
Pruebe exhaustivamente la configuración de nuevas directivas en entornos de prueba antes de aplicarlas al dominio. Esta configuración puede no funcionar como se esperaba. Las pruebas reducen las posibilidades de que se produzcan problemas al implementar la configuración de las directivas a través de la red. • Puede configurar un dominio de prueba, separado del dominio de
la organización, en el que probar la configuración de nuevas directivas.
• También puede realizar pruebas de la configuración de una directiva si crea un GPO de prueba y lo vincula a una OU. Cuando haya probado concienzudamente la configuración de la directiva con usuarios de prueba, puede vincular el GPO de prueba al dominio.
• Errores tipográficos o información escrita incorrectamente pueden causar que la configuración de una directiva no funcione como se
44
esperaba. Realizar pruebas de la configuración de nuevas directivas antes de aplicarlas puede evitar un comportamiento inesperado.
• No restrinja programas o archivos sin realizar pruebas para ver qué efecto pueden tener. Las restricciones sobre determinados archivos pueden afectar seriamente al funcionamiento del equipo o de la red.
10.Programas antivirus
En este tema se tratarán los programas antivirus. Específicamente se tratará:
El problema de los virus Implementación de programas antivirus Actualizaciones de programas antivirus Recomendaciones para la protección contra virus
10.1. El problema de los virus
Cap4-24.jpg
Numerosas personas del sector de la seguridad han calculado en más de 10000 millones de dólares los costos atribuidos a brotes de virus este último año.
45
Los costos directos del brote de un virus son los costos que supone recuperarse del mismo. Esto puede suponer bastante trabajo para el personal interno de informática o para proveedores externos. El trabajo puede consistir desde eliminar los daños creados por el virus hasta recuperar los datos a partir de copias de seguridad, pasando por reinstalar sistemas operativos y aplicaciones.
Los costos indirectos del brote de un virus son menos tangibles. Algunas organizaciones se han quedado sin correo electrónico o sistemas empresariales fundamentales durante varias semanas tras el ataque de un virus. Es difícil calcular el costo de estas pérdidas para una compañía, pero en muchos casos ha llegado a millones de dólares.
10.2. Implementación de programas antivirus
Cap4-25.jpg
• Implementación individual. Para usuarios individuales y organizaciones muy pequeñas, pueden adquirirse productos antivirus independientes e instalarlos en cada cliente de Windows XP.
• Implementación de la instalación de software con Directiva de grupo. Las organizaciones pequeñas y medianas pueden utilizar la instalación de software basada en Directiva de grupo para implementar programas antivirus.
• Implementación centralizada de software. La mayoría de los proveedores de programas antivirus disponen de productos para empresas que se
46
pueden implementar desde una consola de administración central. Puede instalar el software mediante Active Directory o mediante la consola de administración del proveedor. Los proveedores utilizan métodos de distribución propietarios para la compatibilidad con versiones anteriores de sistemas operativos Windows y otros sistemas que no son de Microsoft. Las organizaciones medianas pueden encontrar estas ediciones para empresas adecuadas a sus necesidades, pero pueden ser demasiado complejas o costosas para empresas más pequeñas.
10.3. Actualizaciones de programas antivirus
Cap4-26.jpg
El tiempo que transcurre entre la detección inicial de un virus y su distribución generalizada suele ser breve, principalmente debido a las rápidas capacidades de distribución del correo electrónico o la autorreplicación. Por eso es fundamental distribuir la actualización de las definiciones de virus a los clientes en cuanto esté disponible en el proveedor.
Equipos de escritorio. Para los clientes que están conectados siempre a la red corporativa, la solución ideal es descargar las actualizaciones de las definiciones de virus a los servidores de la red local y distribuirlas a los clientes desde allí. La mejor solución es un modelo de inserción, mediante
47
el cual las definiciones se copian inmediatamente a los clientes. Por desgracia, debido a la necesidad de la compatibilidad con clientes heredados, muchos de los programas antivirus actuales se basan en un modelo de extracción, mediante el cual los clientes comprueban si hay actualizaciones cada varias horas.
Equipos portátiles. También es importante tener en cuenta cómo se van a actualizar los equipos portátiles cuando estén desconectados de la red corporativa. Puesto que un nuevo virus puede penetrar fácilmente en un equipo portátil mediante medios extraíbles o una conexión transitoria a Internet, puede resultar conveniente que los equipos portátiles descarguen las actualizaciones de los programas antivirus desde el sitio de descarga del proveedor.
10.4. Recomendaciones para la protección contra virus
Cap4-27.jpg
Al implementar programas antivirus en la red, tenga en cuenta las siguientes recomendaciones:
Aplique las actualizaciones del proveedor periódicamente, preferiblemente cada día. Los programas antivirus no actualizados no protegerán a los equipos cliente contra virus que hayan sido identificados después de instalar el programa. Para mantener el máximo nivel de protección contra ataques de virus, es fundamental mantener actualizados los programas antivirus en los equipos cliente.
Si es posible, aplique una estrategia de implementación centralizada. Una estrategia de implementación centralizada para los programas antivirus ofrece muchas ventajas:
48
• Permite implementar los programas antivirus en todos los clientes administrados desde una ubicación central.
• Permite implementar las actualizaciones desde una ubicación central.
Utilice software específico para clientes en los equipos cliente. Los programas antivirus diseñados para una versión anterior de Windows pueden no funcionar correctamente en Windows 2000 Professional o en Windows XP. Utilice siempre software diseñado para su ejecución en los sistemas operativos de los equipos cliente en los que se va a implementar.
11.Servidores de seguridad para clientes
En este tema se analizarán los servidores de seguridad para clientes. Específicamente se tratará:
La necesidad de utilizar servidores de seguridad Servidor de seguridad de conexión a Internet Software de servidor de seguridad de terceros Cómo habilitar Servidor de seguridad de conexión a Internet Recomendaciones
11.1. La necesidad de utilizar servidores de seguridad
49
Cap4-28.jpg
Clientes de LAN. Los servidores de seguridad son un elemento fundamental para mantener protegidos los equipos conectados en red. Todos los equipos merecen la protección de un servidor de seguridad, ya formen parte de la red de una de las compañías incluidas en la lista Fortune 500, se trate del equipo portátil de un agente de ventas que se conecta a la red inalámbrica de una cafetería o del nuevo equipo de su abuela con una conexión de acceso telefónico a Internet. Los gusanos y los virus, que inician la mayoría de los ataques, suelen encontrar sus objetivos aleatoriamente. Como resultado, incluso las organizaciones con poca o ninguna información confidencial, necesitan servidores de seguridad para proteger sus redes contra estos atacantes automatizados.
Equipos de escritorio con conexiones mediante módem. Si no protege la conexión de módem con un servidor de seguridad, el equipo de escritorio será vulnerable a contenido malintencionado. Si el equipo de escritorio está conectado en red, la amenaza se puede extender a todos los demás equipos de la red. Los módems necesitan un servidor de seguridad ICF o un servidor de seguridad de terceros.
Clientes portátiles. Sin un servidor de seguridad personal o individual, los clientes portátiles no están protegidos porque no se encuentran detrás del servidor de seguridad.
50
11.2. Servidor de seguridad de conexión a Internet
Cap4-29.jpg
Servidor de seguridad de conexión a Internet (ICF) se considera un servidor de seguridad eficaz. Para evitar que el tráfico no solicitado del lado público de la conexión penetre en el lado privado. ICF mantiene una tabla de todas las comunicaciones que se han originado en este equipo:
Seguimiento y comparación del tráfico. Cuando se utiliza junto con Conexión compartida a Internet (ICS), ICF realiza un seguimiento de todo el tráfico procedente del equipo de ICF/ICS y de todo el tráfico procedente de los equipos de la red privada. ICF compara todo el tráfico entrante de Internet con las entradas de la tabla. ICF permite que el tráfico entrante de Internet llegue a los equipos de la red, sólo cuando haya una entrada coincidente en la tabla que muestre que el intercambio de comunicación procede del equipo o de la red privada.
Protección contra las amenazas de Internet. Para frustrar intentos de ataque comunes (como la exploración de puertos), el servidor de seguridad cierra las comunicaciones que proceden de Internet. En lugar de enviar notificaciones a menudo, ICF crea un registro de seguridad para
51
realizar un seguimiento de la actividad del servidor de seguridad. Para obtener más información, consulte el registro de seguridad de Servidor de seguridad de conexión a Internet.
Limitaciones de ICF
Sin filtrado del tráfico saliente. Esto significa que ICF no protege contra los gusanos que inician tráfico saliente. Algunos gusanos recientes han mostrado este comportamiento como medio para replicarse a sí mismos.
Problemas de soporte técnico y software. La implementación de ICF en clientes que están conectados a la red corporativa, puede causar problemas importantes de soporte técnico y software, que es necesario evaluar cuidadosamente. Por ejemplo, la habilitación de ICF impedirá el funcionamiento de importantes herramientas de soporte técnico como Microsoft Baseline Security Analyzer (MBSA) y detendrá herramientas de distribución de software como Systems Management Server.
Opciones de configuración limitadas. ICF cuenta actualmente con un conjunto limitado de opciones de configuración, aunque esto se mejorará en el Service Pack 2 de Windows XP. ICF en Windows XP se atiene a NLA (Network Location Awareness) y se puede deshabilitar mediante Active Directory o Directiva de grupo en Windows Server 2003. Los usuarios portátiles no tienen que acordarse de habilitar o deshabilitar ICF cuando estén de viaje. Pueden dejar ICF habilitado y estar protegidos mientras están en casa o de viaje. En la oficina, Directiva de grupo puede deshabilitar ICF siempre que un equipo se conecte a la red corporativa.
11.3. Software de servidor de seguridad de terceros
52
Cap4-30.jpg
ICF está diseñado para proporcionar la prevención básica contra intrusos. No incluye características que a menudo se encuentran en aplicaciones de servidor de seguridad de terceros, como la capacidad de protección contra programas que pudieran invadir su privacidad o permitir el uso incorrecto del equipo por parte de un atacante.
Reglas. ICF permite toda la comunicación saliente, mientras que la mayoría de los productos de terceros necesitan reglas para permitir un determinado tráfico saliente. Las reglas se pueden agregar manualmente o, en algunos casos, se pueden crear automáticamente cuando la aplicación cliente inicia la solicitud saliente.
Capacidad de personalización. Muchas aplicaciones de servidor de seguridad de terceros permiten especificar las aplicaciones que pueden tener acceso a Internet y preguntarán al usuario si desea permitir o denegar el tráfico de aplicaciones no autorizadas anteriormente.
Algunos productos conocidos para servidores de seguridad basados en host son: ZoneAlarm, Tiny Personal Firewall, Agnitum Outpost Firewall, Kerio Personal Firewall y BlackICE PC Protection de Internet Security Systems. La mayoría de las aplicaciones de servidor de seguridad basado en host están disponibles en versiones gratuitas o de prueba. No le
53
costará nada descargar estos paquetes y decidir si alguno se adapta a sus necesidades mejor que ICF.
Algunos problemas relacionados con las aplicaciones de terceros para servidores de seguridad basados en host hacen que sean menos adecuados para organizaciones grandes. Por ejemplo:
Es necesario asegurarse que las reglas están configuradas correctamente; al agregar una regla incorrecta se podría perder la ventaja de tener instalada la aplicación.
Puede ser necesario un gran número de reglas si un usuario tiene acceso a un gran número de sistemas internos.
La mayoría de los productos de terceros carecen de mecanismos de concientyización de ubicación.
11.4. Cómo habilitar Servidor de seguridad de conexión a Internet
1. Abra el Panel de control y seleccione Conexiones de red2. Haga click con el botón secundario del mouse en la conexión que desea
proteger y, a continuación, haga click en Propiedades3. Haga click en la ficha Avanzadas y active la casilla de verificación
Proteger mi equipo y mi red, limitando o impidiendo el acceso a él desde Internet
4. Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto)
Para habilitar el Servidor de seguridad de conexión a Internet en Windows XP:
1. Abra el Panel de control y haga click en Conexiones de red.2. Haga click con el botón secundario del mouse en la conexión que desea
proteger y, a continuación, haga click en Propiedades.3. Haga click en la ficha Avanzadas y active la casilla de verificación
Proteger mi equipo y mi red, limitando o impidiendo el acceso a él desde Internet.
4. Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto).
11.5. Recomendaciones
54
Cap4-31.jpg
Tenga en cuenta estas recomendaciones cuando utilice una solución de servidor de seguridad distribuido para la protección de los equipos cliente.
Solicite a los usuarios que habiliten ICF en todos los equipos cliente cuando no estén conectados a la red de la organización. Esto protegerá los equipos cliente cuando no estén conectados a la red o protegidos por el servidor de seguridad de la red.
Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen ICF para las conexiones VPN. Puede utilizar la característica Cuarentena en VPN de Windows Server 2003 para su implementación. Cuarentena en VPN de Windows Server 2003 permite inspeccionar la configuración de un equipo cliente después de que haya establecido una conexión VPN, pero antes de que se le permita el acceso a los equipos de la red interna. Si se considera que la configuración del equipo cliente no es segura, se cierra la conexión VPN.
No implemente ICF en los equipos cliente que estén conectados físicamente a la red corporativa. ICF podría interferir con comunicaciones críticas de la intranet. Puede utilizar Directiva de grupo para deshabilitar ICF, incluso si el usuario lo ha habilitado. Esta directiva se aplicará a los equipos cuando estén conectados a la red, pero permitirá el uso de ICF cuando no estén conectados a la red corporativa.
12.Asegurando el Cliente
55
Cap4-33.jpg
Politicas de Password Politicas de Seguridad Patching Antivirus Firewall
12.1. Politicas de Password
Mínimo 8 Caracteres Debe cambiarlo cada 42 días Ningunas palabras debe encontrarla en el diccionario Sugerencia: Utilice “Pass Phrases”• 2 palabras• Numeros y/o simbolos• Ejemplo: Go2Win32
Deben consistir en por lo menos un carácter que resuelva 3 de estos 4 criterios:
1. Una Mayúscula2. Una Letra Minúscula3. Un número
56
4. Un símbolo
Para facilitarle la tarea a sus usuarios, le puede sugerir el uso de “palabras frase”, símbolos y números que sean fáciles de recordar pero difíciles de romper. Como ejemplo, hace varios años cuando nos movíamos desde un ambiente de 16 Bit a un ambiente de 32 Bit, Go2Win32.
12.2. Politicas de seguridad
Revision de las políticas (ver Capitulo 5 en Securing Windows XP Security guide & the Threats and Countermeasures guide para detalles)
Revisar y/o editar archivos de políticas usando el Security Template Snap-in.
Cap4-34.jpg
Antes de implementar las políticas de seguridad recomendadas en el capítulo 5 de la guía Securing Windows XP, todas las configuraciones de las plantillas de seguridad contenidas en la guía deben ser analizadas y probadas en un ambiente de prueba. Usted puede también repasar la documentación de las configuraciones contenidas en la guía de amenazas y contramedidas.
La herramienta usada para revisar y corregir plantillas de seguridad se llama Security Templates snap-in. Para utilizar el snap-in debe agregarlo a una Microsoft Management Console. Usted puede iniciar una instancia vacía de la management console, escribiendo mmc en línea de comandos o desde el comando run del start menu.
57
Para importar archivos de politicas• Start Security Configuration and Analysis Snap-in Vacio • Crear una nueva base de datos • Importar la plantilla seleccionada
Después de que usted haya revisado la plantilla de la política, las deberá aplicar utilizando Configuration and Analysis Snap-in. Usted tiene que agregar este Snap-in a una Management Console de manera similar como agregó plantillas de seguridad al Security Template add-in.
El paso siguiente para asegurar su computadora es configurar la seguridad built.in. Los detalles con respecto a esta tarea se incluyen en la guía de Seguridad de Windows XP.
12.3. Patching
Use Windows Update• Haga Click en Start -> Windows Update• Siga las instrucciones para instalar la herramienta de exploración.• Instale los updates
Su sistema operativo Windows XP incluye la herramienta Automatic Updates. Cnn ella puede descargar automáticamente las actualizaciones e instalarlas. Para ello debe estar conectado a Internet.
Configurar Automatic Updates• Click Start -> Settings -> Control Panel• Double click System• Click the Automatic Updates tab.• Click the box next to “Keep my Computer up to date. With this
setting enabled, Windows Update software may be automatically updated prior to applying any other updates.”
12.4. Utilice software Antivirus
Protege contra:• Virus• Gusanos• Trojan Horses• Otros Códigos Maliciosos
Mantener actualizado con una suscripción
58
Un programa de software antivirus le ayudará a proteger su computadora contra la mayoría de los virus, gusanos, Trojan horses y otros códigos maliciosos. Muchas computadoras nuevas vienen con el software antivirus instalado. Sin embargo, el software antivirus requiere una suscripción para mantenerlo actualizado. Si usted no tiene una suscripción actual para estas actualizaciones, es probable que su computadora sea vulnerable a las nuevas amenazas. Los virus de computadora son programas que se cargan a su sistema sin su conocimiento o aprobación. Los virus y otras formas de software malicioso han estado apareciendo por años. Los virus de hoy pueden replicarse y utilizar los programas de Internet y E-mail para esparcirse a través del mundo en pocas horas.
El software Antivirus explora continuamente su computadora para detectar los virus y removerlos. La instalación de software antivirus soluciona solamente una parte del problema - mantener los archivos de firma del antivirus actualizados es crítico para mantener una computadora de escritorio o una computadora portátil seguras.
12.5. Firewall
Evita los ataques a su computadora a través de Internet Configurado para permitir ciertas actividades.• Web Browsing• Email• Compartir archivos
Utilice Internet Connection Firewall para clientes. Utilice una solución de Software o Hardware para una red.
Un firewall de Internet puede prevenir ataques a su computadora desde Internet. Los Firewalls vienen en dos formas, software o hardware, y proporcionan un límite protector que ayuda de pantalla a invasores indeseados de Internet.
El firewall puede detectar trafico malicioso de Internet como hackers, gusanos, y ciertos tipos de virus antes de que puedan causar problemas en su sistema. Además, los firewalls pueden ayudar a que su computadora no participe en ataques contra otros sin su conocimiento.
Usar un firewall es especialmente importante si usted está conectado siempre con Internet, como si tiene un broadband cable o digital subscriber line (DSL o ADSL).
La funcionalidad Microsoft Internet Connection Firewall (ICF) está incluida en Windows XP para ayudar a proteger una su conexión de sistema o de red a
59
Internet. ICF es fácilmente configurable en el setup de red de Windows XP; el Wizard detecta que su sistema está conectado directamente con Internet.
13.Practica A: Administrando seguridad de clientes
Ejercicio 1: Habilitando ICF
Como administrador de seguridad, usted debe asegurarse que todas las computadoras en su red que tengan conexión directa a Internet estén protegidas con ICF. Paso1a. Inicie sesión como administradorb. Haga click en Start y click en Control Panel c. En el Control Panel, haga doble click en Network Connections. d. Haga click derecho en la conexión a asegurar. e. Haga click en Properties y click en Advanced.
Paso2
a. En el tab Advanced seleccione el cuadro Internet Connection Firewall. b. Haga click en Settings. c. Seleccione el cuadro Remote Desktop.d. Presione dos veces en OK.
Su conexión ha sido protegida por ICF y solamente se ha habilitado el servicio de Escritorio Remoto. Opcionalmente, usted puede utilizar un software de scan de puertos para comprobar el funcionamiento de ICF. Le recomendamos Retina (http://www.eeye.com/html/Products/Retina/index.html).
14.Pasos siguientes
1) Mantenerse informado sobre la seguridad
Suscribirse a boletines de seguridad: http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio está en inglés)
Obtener las directrices de seguridad de Microsoft más recientes: http://www.microsoft.com/technet/security/bestprac/ (este sitio está en inglés)
2) Obtener programas adicionales de aprendizaje sobre seguridad
60
Buscar seminarios de aprendizaje en línea: http://www.microsoft.com/latam/technet/evento/default.asp
Buscar un CTEC local que ofrezca cursos prácticos: http://www.microsoft.com/mspress/latam/default.htm
15.Para obtener más información
Sitio de seguridad de Microsoft (todos los usuarios): http://www.microsoft.com/latam/seguridad/
Sitio de seguridad de TechNet (profesionales de IT): http://www.microsoft.com/latam/technet/seguridad/default.asp
Sitio de seguridad de MSDN (desarrolladores): http://msdn.microsoft.com/security (este sitio está en inglés)
61