REPUBLICA BOLIVARIANA DE VENEZUELA MINISTERIO DEL PODER POPULAR PARA LA DEFENSA UNIVERSIDAD NACIONALEXPERIMENTAL POLITCNICA DE LA FUERZA ARMADA UNEFA

NUCLEO PUERTO CABELLO

SEGURIDAD DE SERVIDORES DIRECTIVAS DE SEGURIDAD DEL DOMINIO Y CONTROLADOR DE DOMINIO

Profesora: Ing. Yelmin Perez

Integrantes: Martinez Maria Nieves Yorman Rangel Tony

Puerto Cabello, Junio 2012.

RESUMEN

Una directiva de seguridad es una combinacin de opciones de configuracin de seguridad que afecta a la seguridad de un equipo. Por ejemplo, con la configuracin de las directivas de seguridad se puede controlar quin tiene acceso al equipo, cules son los recursos que los usuarios estn autorizados a usar en el equipo y si las acciones de un usuario o un grupo se registran en el registro de eventos. La configuracin de las directivas de seguridad se define mediante objetos de directiva de grupo (GPO) que se pueden establecer en el nivel de equipo o de dominio. Algunas opciones (como la relativa a la directiva de contrasea) funcionan slo en el nivel de dominio. Las directivas de restriccin de software proveen a los administradores de un mecanismo controlado mediante directivas que sirve para identificar los programas de software que se ejecutan en los equipos de un dominio y, asimismo, para controlar la posibilidad de ejecucin de dichos programas.

SEGURIDAD DE SERVIDORES

Cada da surgen nuevos programas que amenazan la seguridad de los datos y aplicaciones instalados en los ordenadores. Estos programas utilizan las redes de comunicacin para propagarse, por lo que tanto el ordenador del despacho y/o aulas informticas como los servidores estn amenazados. En particular son muy frecuentes los ataques coordinados en los cuales un atacante remoto utiliza un conjunto de ordenadores

bajo su control (zombies) para colapsar los ordenadores de una entidad legtima y as poder extorsionar o chantajear a dicha entidad. Con objeto de reclutar zombies, los atacantes realizan de forma automtica exploraciones buscando sistemas con diversas vulnerabilidades y entre ellas la ms frecuente consiste en buscar servidores en los que las contraseas de los usuarios dados de alta sean sencillas o fciles de adivinar. Este documento pretende servir de gua para mejorar la proteccin de los servidores y equipos de laboratorios, con el fin de evitar los problemas mencionados. Cuando un sistema es usado como un servidor en una red pblica, se convierte en un objetivo para ataques. Por esta razn, es de suma importancia para el administrador fortalecer el sistema y bloquear servicios. Antes de extendernos en problemas particulares, debera revisar los siguientes consejos generales para mejorar la seguridad del servidor: Mantenga todos los servicios actualizados para protegerse de las ltimas amenazas. Utilice protocolos seguros siempre que sea posible. Proporcione slo un tipo de servicio de red por mquina siempre que sea posible. Supervise todos los servidores cuidadosamente por actividad sospechosa.

DIRECTIVAS DE SEGURIDAD DEL DOMINIO

La directiva de seguridad que un host establece en un dominio de aplicacin se denomina directiva de seguridad de dominio de aplicacin. Esta directiva se combina con las directivas definidas por el administrador en el nivel de organizacin, equipo y usuario para determinar el conjunto completo de permisos que se concede al cdigo. Observe que la directiva de dominio de aplicacin slo puede restringir el conjunto de permisos que conceden las directivas de nivel superior (organizacin, equipo o usuario). Los hosts establecen las directivas de dominio de aplicacin llamando al mtodo AppDomain.SetAppDomainPolicy de la clase System.AppDomain. Un host puede establecer una directiva de dominio de aplicacin slo si se le ha concedido el permiso SecurityPermission para controlar la prueba. NET Framework proporciona seguridad de acceso a cdigo y seguridad basada en funciones. Tener dos tipos de seguridad permite controlar ms las acciones que el cdigo puede realizar. Tambin proporciona la infraestructura que permite a los componentes decidir lo que los usuarios pueden hacer. El host tiene un gran control sobre ambos tipos de mecanismos de seguridad para el cdigo que se ejecuta en los dominios de aplicacin creados por l. Los administradores y hosts utilizan la seguridad de acceso a cdigo para decidir qu puede hacer el cdigo segn las caractersticas del propio cdigo e independientemente del usuario que lo est ejecutando. El conjunto de caractersticas del cdigo se denomina prueba y puede ser el sitio Web o la zona desde donde se descarg el cdigo, o la firma digital del proveedor que public el cdigo.

La seguridad de acceso a cdigo asigna esta prueba a un conjunto de permisos cuando el cdigo se carga y se ejecuta. Estos permisos definen las acciones especficas que el cdigo puede realizar. El administrador o host asigna una parte determinada de la prueba a los permisos que se conceden al cdigo. Esta asignacin se denomina directiva de seguridad. Por ejemplo, un administrador podra crear una directiva de seguridad para conceder a un cdigo descargado de una intranet un conjunto superior de permisos (como la posibilidad de tener acceso al sistema de archivos) que al cdigo descargado de Internet.

DEFINICIN DE DIRECTIVAS O POLTICAS DE GRUPOS

La configuracin de Directiva de Grupo define los distintos componentes del entorno de Escritorio del usuario que accede de forma autenticada al dominio de nuestro servidor Windows 2000, de modo que el administrador del sistema determina cuales le sern aplicadas a cada usuario englobado en un sitio, dominio o unidad organizativa; entre las directivas que pueden especificarse, por ejemplo, podemos indicar aquellos programas que deseemos se encuentren disponibles para nuestros usuarios, los programas que aparecern en su Escritorio, las opciones del men Inicio, las opciones del navegador, etc. Para crear una configuracin especfica de Escritorio para un grupo de usuarios en particular, se utilizan las Directiva de Grupo. La configuracin de Directiva de Grupo est contenida en un objeto de Directiva de Grupo, de modo que se asocia dicha directiva a los Sitios, Dominios o Unidades Organizativas indicadas en Active Directory.

Curiosamente, y pese a su nombre, las Directivas de Grupo no pueden ser asociadas a un grupo de usuarios o grupos de equipos (slo a Sitios, Dominios o Unidades Organizativas), aunque el resultado de su aplicacin afecte nicamente a los usuarios y a los equipos de Active Directory.

CONTROLADOR DE DOMINIO

El controlador de dominio es el centro neurlgico de un dominio Windows, tal como un servidor NIS lo es del servicio de informacin de una red Unix. Los controladores de dominio tienen una serie de

responsabilidades. Una de ellas es la autentificacin. La autentificacin es el proceso de garantizar o denegar a un usuario el acceso a recursos compartidos o a otra mquina de la red, normalmente a travs del uso de una contrasea. No es que les permita a los usuarios validar para ser partes de clientes. Cada controlador de dominio usa un security account manager (SAM), o NTDS en Windows 2003 Server (que es la forma promovida de la SAM, al pasar como Controlador de Dominio), para mantener una lista de pares de nombre de usuario y contrasea. El controlador de dominio entonces crea un repositorio centralizado de passwords, que estn enlazados a los nombres de usuarios (un password por usuario), lo cual es ms eficiente que mantener en cada mquina cliente centenares de passwords para cada recurso de red disponible. En un dominio Windows, cuando un cliente no autorizado solicita un acceso a los recursos compartidos de un servidor, el servidor acta y

pregunta al controlador de dominio si ese usuario est autentificado. Si lo est, el servidor establecer una conexin de sesin con los derechos de acceso correspondientes para ese servicio y usuario. Si no lo est, la conexin es denegada. Una vez que un usuario es autenticado por el controlador de dominio, una ficha especial (o token) de autentificacin ser retornada al cliente, de manera que el usuario no necesitar volver a "loguearse" para acceder a otros recursos en dicho dominio, ya que el usuario se considera "logueado" en el dominio.