Sesin 3: Medidas de

seguridad avanzadas para

clientes y servidores
Nombre del presentador
Ttulo
Empresa

Prerrequisitos para la sesin

Experiencia prctica con los sistemas operativos
servidor y cliente de Microsoft Widows y Active
Directory.
Conocimiento de los elementos bsicos en seguridad
del cliente y servidor, incluyendo cmo utilizar la
poltica de grupo para fortalecer los PCs

Nivel 300

Proteger Active Directory

Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad de datos
Mtodos para ofrecer seguridad de cliente mvil.
Resolver los problemas de las configuraciones de
seguridad

La importancia de la seguridad de Active Directory

Active Directory crea un ambiente de red ms seguro al
solicitar:
Verificacin de la identidad de cada usuario
Autorizacin para otorgar o negar el acceso a un recurso

Una brecha en la seguridad de Active Directory puede tener

como resultado:
La prdida de acceso legtimo a los recursos de la red
Divulgacin inapropiada o prdida de informacin
confidencial

Identificar tipos de amenazas a la seguridad

Fuente de la
amenaza

Descripcin

Amenaza potencial

Usuarios
annimos

Acceso no autentificado a la red como

miembro habilitado para el grupo de
Acceso compatible previo a Windows 2000

Divulgacin de
informacin

Usuarios
autentificados

Cualquier usuario que haya completado

exitosamente el proceso de autenticacin

Divulgacin de
informacin

Administradores
de servicio

Utilizados para controlar la configuracin y

polticas del servicio de directorio

Capacidad para lanzar

ataques a lo largo del
bosque

Administradores
de datos

Se utilizan para agregar o eliminar

unidades organizativas (UOs), PCs,
usuarios grupos y para modificar las
configuraciones de la Poltica de grupo

La delegacin
inadecuada puede
comprometer los lmites
administrativos

Usuarios con
acceso fsico a
controladores de
dominio

Cualquier situacin en la cual una persona

pueda acceder a los controladores de
dominio o estaciones de trabajo
administrativas

Divulgacin de
informacin,
falsificacin de datos o
robo

Establecer lmites seguros

Rol
administrativo

La autonoma
significa

El aislamiento significa

Administrador
de servicio

Administra de manera
independiente la totalidad o
parte de la administracin del
servicio

Evita que otros administradores del

servicio controlen o interfieran con
la administracin del servicio

Administrador
de datos

Administra de manera
independiente la totalidad o
parte de los datos que estn
almacenados en Active
Directory o en PCs miembros

Evita que otros administradores de

datos controlen o vean datos en
Active Directory o en PCs
miembros

Autonoma
Se puede lograr al delegar servicio o administracin de datos

Aislamiento
Requiere que se implemente un bosque por separado

Cmo seleccionar una estructura de Active Directory

Pasos:

Iniciar con un bosque de dominio nico

Para cada unidad de negocios con requisitos de

administracin nicos, determinar el nivel
apropiado de autonoma y aislamiento

Observar si el requisito pertenece a la delegacin

de la administracin del servicio, administracin
de datos, o ambas

Determinar la estructura adecuada de Active

Directory

Asegurar las cuentas de Administracin del servicio

Limitar el nmero de cuentas de administrador de

servicio a personal altamente confiable
Separar las cuentas administrativas y de usuario
para los usuarios administrativos
Ocultar la cuenta del administrador de dominio
Nunca compartir cuentas de administracin de
servicio
Limitar el grupo de Administradores de esquema a
miembros temporales
Controlar el proceso de conexin

Demo 1: Configurar la membresa del grupo limitado

Configurar el grupo de seguridad de
Administracin empresarial como un Grupo
limitado

Asegurar las prcticas de Administracin de datos

Restringir la aplicacin de la Poltica de grupo a

personas confiables
Entender el concepto de tomar la propiedad del objeto
de los datos
Reservar la propiedad de los objetos raz de la divisin
de directorio para administradores de servicio
Establecer cuotas de propiedad del objeto

Proteger los servidores y datos DNS

Los tipos de ataques incluyen:

Modificacin de los datos DNS
Exposicin de la direccin IP interna al Internet
Negacin de servicio
Para proteger sus servidores DNS de este tipo de ataques:
Implementar las zonas integradas de Active Directory y utilizar una
actualizacin dinmica y segura
Utilizar servidores DNS internos y externos por separado
Restringir la transferencia de zonas a servidores DNS autorizados
Utilizar IPSec entre los clientes y servidores DNS
Supervisar la actividad de la red
Cerrar todos los puertos de firewall que no se usan

Implementar seguridad avanzada para servidores

Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad de datos
Mtodos para ofrecer seguridad de cliente mvil.
Resolver los problemas de las configuraciones de
seguridad

Servicios y seguridad de Windows

Los servicios de Windows son aplicaciones que se ejecutan en PCs
sin importar si un usuario se conecta
Cualquier servicio o aplicacin es un punto potencial de ataque
Ganar el control de un servicio pondr en peligro la seguridad del
sistema
Muchos servicios deben estar accesibes desde la red, lo cual aumenta
la vulnerabilidad del servidor
La solucin es ejecutar tan pocos servicios en los servicios de Windows
como sea posible
Autenticacin de servicios
Todos los servicios se deben ejecutar en el contexto de seguridad de
una seguridad principal
Como una mejor prctica, utilice una de las cuentas integradas de
Windows Server 2003 como la cuenta de conexin para los servicios de
Windows

Configurar servicios utilizando plantillas de seguridad

Aplicar la plantilla de seguridad de la lnea de base del

Servidor miembro a todos los servidores miembros
Colocar a los servidores miembros en unidades
organizativas de rol especfico
Elegir una plantilla de seguridad de rol especfico para habilitar
los servicios que se requieren para cada rol de servidor

Utilizar la Poltica de grupo para aplicar la plantilla

modificada a las unidades organizativas

Configurar servicios utilizando el Asistente de

configuracin de seguridad
La base de datos de configuracin de seguridad SCW
identifica los servicios y puertos que se requieren para
cada rol o funcin
SCW analiza el servidor seleccionado para los roles y
funciones instalados para identificar los servicios y puertos
que se requieren

SCW le permite habilitar o deshabilitar cualquier

identificador adicional o servicios no identificados
SCW configura al Firewall de Windows al utilizar los
roles y servicios que usted elija
Despus de crear la poltica usted puede aplicarla a uno
o ms servidores o utilizarla para crear un GPO

Determinar dependencias de servicio

Abrir la consola
de servicios
Abrir el cuadro de
Propiedades de
servicio
Hacer clic en la
pestaa
Dependencias

Demo 2: Configurar servicios utilizando el Asistente

de configuracin de seguridad
Utilizar el Asistente de configuracin de
seguridad para configurar servicios y el
Firewall de Windows

Auditar la seguridad
Los administradores debern establecer una poltica de auditora
Cuando establezca una poltica de auditora:
Analice el modelo de amenaza
Considere los requisitos normativos y legales de su organizacin
Considere las capacidades del sistema y del usuario
Pruebe y perfeccione la poltica
Separe el rol de auditora de seguridad del rol de administracin de la red
Considere utilizar herramientas de supervisin de registro centralizado
tales como :
Microsoft Operations Manager (MOM)
EventCombMT
Analizador de registro
SNMP

Configuracin de Poltica de auditoria

recomendada para los Servidores miembros
Poltica de auditora

Configuraciones mnimas recomendadas

para un Ambiente de cliente empresarial

Eventos de conexin de cuentas de

xito
auditora
Adminsitracin de cuentas de
auditora

xito

Acceso al servicio de directorio de

auditora

Slo si se requiere por modelo de amenazas

Eventos de conexin de auditora

xito

Acceso a objetos de auditora

Slo si se requiere por modelo de amenazas

Cambio de polticas de auditora

xito

Uso del privilegio de auditora

No auditar

Seguimiento del proceso de

auditora

Slo si se requiere por modelo de amenazas

Eventos del sistema de auditora

xito

Demo 3: Utilizar EventCombMT para ver

registros del evento
Utilizar EventCombMT para ver Registros
del evento desde mltiples servidores

Supervisin de seguridad al utilizar MOM

MOM recopila eventos de seguridad desde PCs o
dispositivos administrados
MOM analiza los eventos recopilados y aumenta las
alertas para eventos importantes
Base de
datos MOM

Consola del administrador

de MOM
Consola del operador de
MOM

Servidor de
administracin de MOM

Consola Web de
MOM
Servicios de generacin
de informes de MOM

PCs administrados

PCs administrados

Mejores prcticas para asegurar servidores

Aplique los paquetes de servicio ms recientes y

las actualizaciones de seguridad
Limite el nmero de administradores y el nivel de
permisos administrativos
Ejecute servicios con una cuenta del sistema que
tenga los menos permisos posibles
Reduzca la superficie de ataque
Utilice Active Directory para ejecutar la seguridad
del servidor
Tenga un plan de respuesta de emergencia

Implementar seguridad avanzada para clientes

Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad de datos
Mtodos para ofrecer seguridad de cliente mvil.
Resolver los problemas de las configuraciones de
seguridad

Utilizar plantillas de seguridad en los clientes

Las plantillas de seguridad pueden tambin definir
configuraciones de poltica para asegurar a los PCs
cliente que se ejecutan en una plataforma de Windows
rea de seguridad

Descripcin

Polticas de cuenta

Poltica de contraseas, Poltica se desbloqueo de cuenta y Poltica

Kerberos

Polticas locales

Poltica de auditora, Asignacin de derechos de usuario y opciones

de seguridad

Registro del evento

Configuraciones de aplicacin, sistema y del registro del evento de

seguridad

Grupos limitados

Control de membresa de los grupos sensibles a la seguridad

Servicios del sistema Inicio y permisos para los servicios del sistema
Registro

Permisos para claves de registro

Sistema de archivo

Permisos para carpetas y archivos

Utilizar polticas de cuentas a nivel dominio

Las polticas de cuentas
se aplican a nivel
dominio y afectan todas
las cuentas del dominio
Configuracin
Ejemplo de la poltica de cuentas:
Ejecute el historial de contraseas

Polticas de
desbloqueo de
cuentas

Polticas
de cuenta

Vulnerabilidad
Los usuarios reutilizan
la misma contrasea

Ejemplo de la poltica de
Las contraseas no
cuentas: Las contraseas
complejas son fciles
deben cubrir los requisitos de
de resolver
complejidad

Dominio
Contramedida

Utilice la configuracin
mxima

Polticas
Kerberos
Impacto potencial
Los usuarios pueden escribir sus
contraseas anteriores

Habilite esta
configuracin, instruya a Los usuarios no pueden recordar
los usuarios a utilizar
contraseas complicadas
frases de contraseas

Ejemplo de la poltica de
cuentas: Edad mnima de la
contrasea

Los usuarios pueden

cambiar las contraseas Establezca una edad
muchas veces para
mnima de contrasea a
permitirles reutilizar una un valor de 2 das
contrasea

Si un administrador cambia la
contrasea de un usuario, el
usuario no podr cambiarla
durante 2 das

Ejemplo de la poltica
Kerberos: Integre las
restricciones de la conexin
del usuario

Reduzca el fin de
Los usuarios pueden
temporizacin de la
obtener boletos de
validez del boleto y
sesiones para servicios
solicite sincronizacin
no autorizados
de reloj ms ajustada

Aumento en el trfico de red;

incapacidad para conectarse a
servidores

Implementar plantillas de seguridad en los clientes

Examine las plantillas de seguridad en la Gua de

seguridad de Windows XP v2
Importe las plantillas predeterminadas en un GPO y
modifquelas de ser necesario
Implemente las plantillas de seguridad utilizando
los objetos de la Poltica de grupo

Asegurar los clientes heredados

Los clientes de Windows 2000 pueden utilizar plantillas
de seguridad implementadas a travs de la Poltica de
grupo
Configure otros clientes al utilizar secuencias de
comandos o archivos de polticas:
Utilice secuencias de comandos de inicio de sesin
Utilice polticas del sistema
Secuencias de comandos

Escenarios de implementacin
PC cliente
Windows XP
Professional
(Independiente)
Windows XP
Professional
(Miembro de dominio)

Windows XP y 2000
Professional
(Miembro de dominio)

Configuracines de ubicacin y seguridad

Pantalla pblica de Internet

Implemente la plantilla de alta seguridad

Rechace todas las aplicaciones excepto Internet Explorer

Pantalla pblica de correo electrnico/aplicacin

Implemente la plantilla de alta seguridad

Rechace todas las aplicaciones excepto Internet Explorer y

Escritorio remoto

Estacin de trabajo de negocios segura

Implemente la plantilla de seguridad de cliente empresarial y

modifquela conforme se requiera

Restrinja slo las aplicaciones especficas

Asegure la estacin de trabajo de administracin de dominio

Windows XP
Professional
(Miembro de dominio)

Implemente la plantilla de alta seguridad y modifquela conforme

se requiera

Rechace todas las aplicaciones (pero no las que se apliquen a

administradores)

Lineamientos de seguridad para los usuarios

Elija contraseas complicadas*

Proteja las contraseas
Cierre los PCs desatendidos*
No inicie sesin utilizando una cuenta privilegiada
Ejecute slo programas confiables*
No abra archivos adjuntos sospechosos*
No caiga presa de la ingeniera social
Revise las polticas de seguridad de su organizacin
No trate de invalidar las configuraciones de seguridad*
Informe los incidentes sospechosos

*Estos lineamientos de seguridad se pueden implementar total o

parcialmente a travs de polticas centralizadas

Proporcionar seguridad a los datos

Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad a los datos
Mtodos para ofrecer seguridad de cliente mvil.
Resolver los problemas de las configuraciones de
seguridad

Roles y limitaciones de Permisos de archivo

Tienen la finalidad de evitar el acceso no autorizado
Los administradores pueden obtener acceso no
autorizado
No se proteja contra intrusos con el acceso fsico
La encriptacin ofrece seguridad adicional

Roles y limitaciones del Sistema de archivos

encriptados
Beneficios de la encriptacin EFS
Asegura la privacidad de la informacin
Utiliza tecnologa clave pblica y robusta

Peligro de encriptacin
Se pierde todo el acceso a los datos si se pierde la clave
privada
Claves privadas en PCs cliente
Las claves se encriptan con el derivado de la contrasea del
usuario
Las claves privadas son slo tan seguras como la contrasea
Las claves privadas se pierden cuando se pierde el perfil del
usuario

Diferencias del sistema de archivo encriptado entre

las versiones de Windows
Windows 2000 y las nuevas versiones de Windows dan
soporte a EFS en las particiones NTFS
Windows XP y Windows Server 2003 incluyen nuevas
funciones:
Se puede autorizar a usuarios adicionales
Se pueden encriptar archivos fuera de lnea
El algoritmo de encriptacin 3DES puede reemplazar a DESX
Se puede utilizar un disco para restablecer la contrasea
EFS conserva la encriptacin sobre WebDAV
Se recomiendan los agentes de recuperacin de datos
Se mejora la capacidad de uso

Implementar el sistema de archivos encriptados: Cmo

hacerlo de manera adecuada
Utilice la Poltica de grupo para deshabilitar EFS hasta
que est listo para la implementacin central
Planee y disee polticas
Nombre agentes de recuperacin
Asigne certificados
Implemente al utilizar la Poltica de grupo

Demo 4: Configurar EFS

Configurar los Agentes de recuperacin de datos
Encriptar archivos
Desencriptar archivos
Compartir un archivo encriptado

Entender Rights Management Services

RMS protege y mejora la seguridad de los datos para los
siguientes escenarios:
Proteger mensajes confidenciales de correo electrnico
Integrar derechos de documentos
Proteger contenido confidencial de intranet
NO ofrece:
Seguridad irrompible a prueba de agresores
Proteccin contra ataques analgicos

Componentes de la Tecnologa de Windows RMS

Componentes de servidor
Windows RMS para Windows Server 2003
Kits de desarrollo de software (SDKs)

Componentes cliente
Software cliente de Windows Rights
Management
Aplicaciones habilitadas por RMS
Microsoft Office Professional 2003
Complementos de RM para Internet
Explorer
SDKs

Cmo trabaja Windows RMS

Servidor RMS

Servidor de
bases de datos

Active Directory

7
1

9
5

4
Autor de la
informacin

Destinatario de la
informacin

Mejoras a Rights Management Service SP1

Soporte para servidores que no estn conectados a Internet

Certificado contra normas de la industria y el gobierno
Soporta la autenticacin basada en Smartcard
Ofrece un caja de seguridad para el servidor
Mejora la seguridad dinmica basada en roles con soporte
para Grupos basados en consultas en Exchange 2003
Mejora el acceso remoto al utilizar Outlook RPC sobre HTTP
Facilita la implementacin de la instalacin distribuida a
travs de las tecnologas de instalacin familiares de
Microsoft

Demo 5: Windows Rights Management Service

Utilizar RMS para proteger datos

Mtodos para proporcionar seguridad a los clientes

mviles
Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad de datos
Mtodos para proporcionar seguridad a los clientes
mviles
Resolver los problemas de las configuraciones de
seguridad

Descripcin general de la seguridad del cliente

mvil
Necesita asegurar:
Acceso al dispositivo
Acceso a los datos almacenados
Acceso a la red

Clientes de
correo remoto

OWA

Clientes por marcacin

Clientes
inalmbricos

VPN
Internet

Clientes VPN

LAN

Retos de la Poltica de grupo para clientes remotos

Los clientes pueden no ser miembros del dominio:
La poltica de grupo aplica slo a miembros del dominio
Considere una VPN con acceso limitado a la red
Considere el Control de cuarentena de acceso a la red
Las configuraciones de la Poltica de grupo se pueden
actualizar slo cuando se conectan los clientes
Planee disminuir el ritmo si las configuraciones de la
Poltica de grupo se aplican sobre vnculos lentos

Asegurar el acceso al correo electrnico para los

clientes remotos
Acceso nativo a Outlook
RPC sobre HTTP(S)
OWA:
Mtodos de autenticacin
Encriptacin
POP3, IMAP y SMTP
OMA
Utilice SSL para todos los
protocolos de Internet

Soporte de seguridad para el Cliente inalmbrico

Windows XP
Ofrece soporte nativo para 802.1X

Windows 2000:
802.1X deshabilitado de manera
predeterminada
La configuracin requiere utilidad de terceros
No hay perfiles especficos del usuario
No puede utilizar la Poltica de grupo para
establecer configuraciones

Soporte de cliente inalmbrico de Windows XP SP2

y Windows Server 2003 SP1
Asistente de instalacin de red inalmbrica
Se utiliza para configurar y distribuir configuraciones de red
inalmbricas
Servicios de aprovisionamiento inalmbrico (WPS)
Se utilizan para automatizar la configuracin de clientes de red
inalmbrica al crear un archivo que configuracin que se
descarga desde el servidor WPS
Polticas de red inalmbrica (IEEE 802.11)
Se utilizan para establecer la configuracin de cliente
inalmbrico al utilizar la Poltica de grupo
Mejoras a las Polticas de red inalmbrica de Windows Server
2003 SP1
Ampla el soporte de la Poltica de grupo para administrar las
configuraciones WPA para los clientes inalmbricos

Mejores prcticas para los usuarios de clientes

mviles
Proteja los dispositivos mviles con contraseas
No almacene informacin de acceso a la red en el
dispositivo
Mantenga actualizado el software antivirus
Encripte los datos almacenados en el dispositivo
Limite los datos almacenados en el dispositivo
Implemente un procedimiento de respaldo regular
Implemente polticas para tratar con los
dispositivos perdidos o robados

Mejores prcticas de la seguridad del cliente mvil

Requiere que los usuarios mviles utilicen una

conexin a la VPN encriptada
Requiere autenticacin de factor mltiple cuando
sea posible
Requiere autenticacin de certificado para el
acceso al cliente mvil
Requiere revisin peridica de los registros de
auditora
Requiere fuerte autenticacin para la operacin en
red inalmbrica

Resolver problemas con las configuraciones de la

seguridad
Proteger Active Directory
Implementar seguridad avanzada para los servidores
Implementar seguridad avanzada para los clientes
Proporcionar seguridad de datos
Mtodos para ofrecer seguridad de cliente mvil.
Resolver problemas con las configuraciones de la
seguridad

Resolver conflictos con las plantillas de seguridad

Utilizar las herramientas del conjunto resultante de
directivas (RSoP)
Herramientas de administracin de Active Directory
Resultados de la Poltica de grupo desde el GPMC
GPResult

Vea el artculo de la Knowledge Base, Incompatibilidades del cliente, servicio y

programa que puede ocurrir cuando modifica las configuraciones de seguridad y
las asignaciones de derechos de usuario" en el sitio Web de soporte y ayuda de
Microsoft

Resolver los problemas de las fallas de la aplicacin

Aplicar revisiones de seguridad o plantillas de
seguridad puede evitar que las aplicaciones trabajen
Herramientas para resolver los problemas de las fallas
de la aplicacin
Supervisor de red
Supervisor de archivo
Supervisor de registro
Dependency Walker
Cipher

Resolver problemas de servicios y procesos

Puede necesitar resolver problemas de servicios:
1. Cuando los servicios y los procesos no inician
2. Para confirmar que todos los servicios y procesos son
legtimos
Herramientas para resolver problemas de procesos:
Tlist.exe o Explorador de procesos

Dependency Walker

Examine las propiedades de DLL

Resolver problemas de la conectividad a la red

Asegrese que slo se abran los puertos requeridos en
los PCs
Herramientas para determinar el uso de puertos:
Reporteador del puerto
PortQry y PortQryUI
TCPView
Netstat -o (en Windows XP o Windows Server 2003)
Administrador de la tarea
Probar el uso del puerto para aplicaciones y servicios

Mejores prcticas para la resolucin de problemas

Utilice una estrategia formal de administracin de
cambios y configuracin
Pruebe todos los cambios en la configuracin de
seguridad
Utilice las herramientas de RSoP en el modo de
planeacin
Documente las configuraciones normales
Siempre realice un respaldo completo del sistema
antes de aplicar plantillas de seguridad
Resuelva los problemas existentes antes de hacer
ms cambios
Resuelva problemas de manera segura

Resumen de la sesin
Identifique amenazas potenciales a la seguridad para su
implementacin de Active Directory
Aplique las revisiones de seguridad ms actuales, limite el
nmero de administradores y evale la necesidad de servicios
especficos

Aplique plantillas de seguridad a los clientes basados

sobre el escenario o rol de las estaciones de trabajo
Se pueden utilizar EFS y RMS para mejorar la seguridad
de datos
Utilice una VPN encriptada y una autenticacin
multifactor para asegurar el acceso de usuarios remotos
Documente todas las configuraciones y utilice una estrategia
formal de administracin de cambio y configuracin

Siguientes pasos
Encuentre eventos adicionales de capacitacin en
seguridad:
El sitio Web de difusiones por el Web y eventos de
seguridad de Microsoft
Regstrese para obtener comunicaciones de seguridad:
El sitio Web de Microsoft TechNet
Ordene el Kit de la gua de seguridad:
El sitio Web de Microsoft TechNet
Obtenga herramientas y contenidos adicionales sobre
seguridad:
El sitio Web de la seguridad de Microsoft

Preguntas y respuestas