Sesin 3: Medidas de seguridad avanzadas para clientes y servidores

1
Sesión 3 Medidas de seguridad avanzadas para
clientes y servidores

• Nombre del presentador
• Título
• Empresa

2
Prerrequisitos para la sesión

• Experiencia práctica con los sistemas operativos
  servidor y cliente de Microsoft Widows y Active
  Directory.
• Conocimiento de los elementos básicos en
  seguridad del cliente y servidor, incluyendo cómo
  utilizar la política de grupo para fortalecer los
  PCs

Nivel 300
3
Proteger Active Directory

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad de datos
• Métodos para ofrecer seguridad de cliente móvil.
• Resolver los problemas de las configuraciones de
  seguridad

4
La importancia de la seguridad de Active Directory
Active Directory crea un ambiente de red más
seguro al solicitar

• Verificación de la identidad de cada usuario
• Autorización para otorgar o negar el acceso a un
  recurso

Una brecha en la seguridad de Active Directory
puede tener como resultado

• La pérdida de acceso legítimo a los recursos de
  la red
• Divulgación inapropiada o pérdida de información
  confidencial

5
Identificar tipos de amenazas a la seguridad
6
Establecer límites seguros
Autonomía

• Se puede lograr al delegar servicio o
  administración de datos

Aislamiento

• Requiere que se implemente un bosque por separado

7
Cómo seleccionar una estructura de Active
Directory
Pasos
8
Asegurar las cuentas de Administración del
servicio
9
Demo 1 Configurar la membresía del grupo limitado

• Configurar el grupo de seguridad de
  Administración empresarial como un Grupo limitado

10
Asegurar las prácticas de Administración de datos
11
Proteger los servidores y datos DNS

• Los tipos de ataques incluyen
• Modificación de los datos DNS
• Exposición de la dirección IP interna al Internet
• Negación de servicio
• Para proteger sus servidores DNS de este tipo de
  ataques
• Implementar las zonas integradas de Active
  Directory y utilizar una actualización dinámica y
  segura
• Utilizar servidores DNS internos y externos por
  separado
• Restringir la transferencia de zonas a servidores
  DNS autorizados
• Utilizar IPSec entre los clientes y servidores
  DNS
• Supervisar la actividad de la red
• Cerrar todos los puertos de firewall que no se
  usan

12
Implementar seguridad avanzada para servidores

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad de datos
• Métodos para ofrecer seguridad de cliente móvil.
• Resolver los problemas de las configuraciones de
  seguridad

13
Servicios y seguridad de Windows

• Los servicios de Windows son aplicaciones que se
  ejecutan en PCs sin importar si un usuario se
  conecta
• Cualquier servicio o aplicación es un punto
  potencial de ataque
• Ganar el control de un servicio pondrá en peligro
  la seguridad del sistema
• Muchos servicios deben estar accesibes desde la
  red, lo cual aumenta la vulnerabilidad del
  servidor
• La solución es ejecutar tan pocos servicios en
  los servicios de Windows como sea posible
• Autenticación de servicios
• Todos los servicios se deben ejecutar en el
  contexto de seguridad de una seguridad principal
• Como una mejor práctica, utilice una de las
  cuentas integradas de Windows Server 2003 como la
  cuenta de conexión para los servicios de Windows

14
Configurar servicios utilizando plantillas de
seguridad
15
Configurar servicios utilizando el Asistente de
configuración de seguridad
16
Determinar dependencias de servicio
17
Demo 2 Configurar servicios utilizando el
Asistente de configuración de seguridad

• Utilizar el Asistente de configuración de
  seguridad para configurar servicios y el Firewall
  de Windows

18
Auditar la seguridad

• Los administradores deberán establecer una
  política de auditoría
• Cuando establezca una política de auditoría
• Analice el modelo de amenaza
• Considere los requisitos normativos y legales de
  su organización
• Considere las capacidades del sistema y del
  usuario
• Pruebe y perfeccione la política
• Separe el rol de auditoría de seguridad del rol
  de administración de la red
• Considere utilizar herramientas de supervisión de
  registro centralizado tales como
• Microsoft Operations Manager (MOM)
• EventCombMT
• Analizador de registro
• SNMP

19
Configuración de Política de auditoria
recomendada para los Servidores miembros
20
Demo 3 Utilizar EventCombMT para ver registros
del evento
Utilizar EventCombMT para ver Registros del
evento desde múltiples servidores
21
Supervisión de seguridad al utilizar MOM

• MOM recopila eventos de seguridad desde PCs o
  dispositivos administrados
• MOM analiza los eventos recopilados y aumenta las
  alertas para eventos importantes

Base de datos MOM
Consola del administrador de MOM
Consola del operador de MOM
Servidor de administración de MOM
Consola Web de MOM
Servicios de generación de informes de MOM
PCs administrados
PCs administrados
22
Mejores prácticas para asegurar servidores
23
Implementar seguridad avanzada para clientes

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad de datos
• Métodos para ofrecer seguridad de cliente móvil.
• Resolver los problemas de las configuraciones de
  seguridad

24
Utilizar plantillas de seguridad en los clientes
Las plantillas de seguridad pueden también
definir configuraciones de política para asegurar
a los PCs cliente que se ejecutan en una
plataforma de Windows
25
Utilizar políticas de cuentas a nivel dominio
Políticas de desbloqueo de cuentas
Las políticas de cuentas se aplican a nivel
dominio y afectan todas las cuentas del dominio
Políticas de cuenta
Políticas Kerberos
Dominio
26
Implementar plantillas de seguridad en los
clientes
27
Asegurar los clientes heredados

• Los clientes de Windows 2000 pueden utilizar
  plantillas de seguridad implementadas a través de
  la Política de grupo
• Configure otros clientes al utilizar secuencias
  de comandos o archivos de políticas
• Utilice secuencias de comandos de inicio de
  sesión
• Utilice políticas del sistema
• Secuencias de comandos

28
Escenarios de implementación
29
Lineamientos de seguridad para los usuarios
Elija contraseñas complicadas
ü
ü
Proteja las contraseñas
Cierre los PCs desatendidos
ü
ü
No inicie sesión utilizando una cuenta
privilegiada
Ejecute sólo programas confiables
ü
ü
No abra archivos adjuntos sospechosos
No caiga presa de la ingeniería social
ü
ü
Revise las políticas de seguridad de su
organización
No trate de invalidar las configuraciones de
seguridad
ü
Informe los incidentes sospechosos
ü
Estos lineamientos de seguridad se pueden
implementar total o parcialmente a través de
políticas centralizadas
30
Proporcionar seguridad a los datos

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad a los datos
• Métodos para ofrecer seguridad de cliente móvil.
• Resolver los problemas de las configuraciones de
  seguridad

31
Roles y limitaciones de Permisos de archivo

• Tienen la finalidad de evitar el acceso no
  autorizado
• Los administradores pueden obtener acceso no
  autorizado
• No se proteja contra intrusos con el acceso
  físico
• La encriptación ofrece seguridad adicional

32
Roles y limitaciones del Sistema de archivos
encriptados

• Beneficios de la encriptación EFS
• Asegura la privacidad de la información
• Utiliza tecnología clave pública y robusta
• Peligro de encriptación
• Se pierde todo el acceso a los datos si se pierde
  la clave privada
• Claves privadas en PCs cliente
• Las claves se encriptan con el derivado de la
  contraseña del usuario
• Las claves privadas son sólo tan seguras como la
  contraseña
• Las claves privadas se pierden cuando se pierde
  el perfil del usuario

33
Diferencias del sistema de archivo encriptado
entre las versiones de Windows

• Windows 2000 y las nuevas versiones de Windows
  dan soporte a EFS en las particiones NTFS
• Windows XP y Windows Server 2003 incluyen nuevas
  funciones
• Se puede autorizar a usuarios adicionales
• Se pueden encriptar archivos fuera de línea
• El algoritmo de encriptación 3DES puede
  reemplazar a DESX
• Se puede utilizar un disco para restablecer la
  contraseña
• EFS conserva la encriptación sobre WebDAV
• Se recomiendan los agentes de recuperación de
  datos
• Se mejora la capacidad de uso

34
Implementar el sistema de archivos encriptados
Cómo hacerlo de manera adecuada

• Utilice la Política de grupo para deshabilitar
  EFS hasta que esté listo para la implementación
  central
• Planee y diseñe políticas
• Nombre agentes de recuperación
• Asigne certificados
• Implemente al utilizar la Política de grupo

35
Demo 4 Configurar EFS

• Configurar los Agentes de recuperación de datos
• Encriptar archivos
• Desencriptar archivos
• Compartir un archivo encriptado

36
Entender Rights Management Services

• RMS protege y mejora la seguridad de los datos
  para los siguientes escenarios
• Proteger mensajes confidenciales de correo
  electrónico
• Integrar derechos de documentos
• Proteger contenido confidencial de intranet
• NO ofrece
• Seguridad irrompible a prueba de agresores
• Protección contra ataques analógicos

37
Componentes de la Tecnología de Windows RMS
Componentes de servidor

• Windows RMS para Windows Server 2003
• Kits de desarrollo de software (SDKs)

Componentes cliente

• Software cliente de Windows Rights Management
• Aplicaciones habilitadas por RMS
• Microsoft Office Professional 2003
• Complementos de RM para Internet Explorer
• SDKs

38
Cómo trabaja Windows RMS
7
8
1
9
6
2
3
5
4
Autor de la información
Destinatario de la información
39
Mejoras a Rights Management Service SP1

• Soporte para servidores que no están conectados a
  Internet
• Certificado contra normas de la industria y el
  gobierno
• Soporta la autenticación basada en Smartcard
• Ofrece un caja de seguridad para el servidor
• Mejora la seguridad dinámica basada en roles con
  soporte para Grupos basados en consultas en
  Exchange 2003
• Mejora el acceso remoto al utilizar Outlook RPC
  sobre HTTP
• Facilita la implementación de la instalación
  distribuida a través de las tecnologías de
  instalación familiares de Microsoft

40
Demo 5 Windows Rights Management Service
Utilizar RMS para proteger datos
41
Métodos para proporcionar seguridad a los
clientes móviles

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad de datos
• Métodos para proporcionar seguridad a los
  clientes móviles
• Resolver los problemas de las configuraciones de
  seguridad

42
Descripción general de la seguridad del cliente
móvil

• Necesita asegurar
• Acceso al dispositivo
• Acceso a los datos almacenados
• Acceso a la red

OWA
Clientes por marcación
Clientes inalámbricos
Clientes de correo remoto
VPN
Internet
LAN
Clientes VPN
43
Retos de la Política de grupo para clientes
remotos

• Los clientes pueden no ser miembros del dominio
• La política de grupo aplica sólo a miembros del
  dominio
• Considere una VPN con acceso limitado a la red
• Considere el Control de cuarentena de acceso a la
  red
• Las configuraciones de la Política de grupo se
  pueden actualizar sólo cuando se conectan los
  clientes
• Planee disminuir el ritmo si las configuraciones
  de la Política de grupo se aplican sobre vínculos
  lentos

44
Asegurar el acceso al correo electrónico para los
clientes remotos

• Acceso nativo a Outlook
• RPC sobre HTTP(S)
• OWA
• Métodos de autenticación
• Encriptación
• POP3, IMAP y SMTP
• OMA

Utilice SSL para todos los protocolos de Internet
45
Soporte de seguridad para el Cliente inalámbrico

• Windows XP
• Ofrece soporte nativo para 802.1X
• Windows 2000
• 802.1X deshabilitado de manera predeterminada
• La configuración requiere utilidad de terceros
• No hay perfiles específicos del usuario
• No puede utilizar la Política de grupo para
  establecer configuraciones

46
Soporte de cliente inalámbrico de Windows XP SP2
y Windows Server 2003 SP1

• Asistente de instalación de red inalámbrica
• Se utiliza para configurar y distribuir
  configuraciones de red inalámbricas
• Servicios de aprovisionamiento inalámbrico (WPS)
• Se utilizan para automatizar la configuración de
  clientes de red inalámbrica al crear un archivo
  que configuración que se descarga desde el
  servidor WPS
• Políticas de red inalámbrica (IEEE 802.11)
• Se utilizan para establecer la configuración de
  cliente inalámbrico al utilizar la Política de
  grupo
• Mejoras a las Políticas de red inalámbrica de
  Windows Server 2003 SP1
• Amplía el soporte de la Política de grupo para
  administrar las configuraciones WPA para los
  clientes inalámbricos

47
Mejores prácticas para los usuarios de clientes
móviles
48
Mejores prácticas de la seguridad del cliente
móvil
49
Resolver problemas con las configuraciones de la
seguridad

• Proteger Active Directory
• Implementar seguridad avanzada para los
  servidores
• Implementar seguridad avanzada para los clientes
• Proporcionar seguridad de datos
• Métodos para ofrecer seguridad de cliente móvil.
• Resolver problemas con las configuraciones de la
  seguridad

50
Resolver conflictos con las plantillas de
seguridad

• Utilizar las herramientas del conjunto resultante
  de directivas (RSoP)
• Herramientas de administración de Active
  Directory
• Resultados de la Política de grupo desde el GPMC
• GPResult

Vea el artículo de la Knowledge Base,
Incompatibilidades del cliente, servicio y
programa que puede ocurrir cuando modifica las
configuraciones de seguridad y las asignaciones
de derechos de usuario" en el sitio Web de
soporte y ayuda de Microsoft
51
Resolver los problemas de las fallas de la
aplicación

• Aplicar revisiones de seguridad o plantillas de
  seguridad puede evitar que las aplicaciones
  trabajen
• Herramientas para resolver los problemas de las
  fallas de la aplicación
• Supervisor de red
• Supervisor de archivo
• Supervisor de registro
• Dependency Walker
• Cipher

52
Resolver problemas de servicios y procesos

• Puede necesitar resolver problemas de servicios
• Cuando los servicios y los procesos no inician
• Para confirmar que todos los servicios y procesos
  son legítimos
• Herramientas para resolver problemas de procesos
• Tlist.exe o Explorador de procesos
• Dependency Walker
• Examine las propiedades de DLL

53
Resolver problemas de la conectividad a la red

• Asegúrese que sólo se abran los puertos
  requeridos en los PCs
• Herramientas para determinar el uso de puertos
• Reporteador del puerto
• PortQry y PortQryUI
• TCPView
• Netstat -o (en Windows XP o Windows Server 2003)
• Administrador de la tarea
• Probar el uso del puerto para aplicaciones y
  servicios

54
Mejores prácticas para la resolución de problemas
55
Resumen de la sesión
56
Siguientes pasos

• Encuentre eventos adicionales de capacitación en
  seguridad
• El sitio Web de difusiones por el Web y eventos
  de seguridad de Microsoft
• Regístrese para obtener comunicaciones de
  seguridad
• El sitio Web de Microsoft TechNet
• Ordene el Kit de la guía de seguridad
• El sitio Web de Microsoft TechNet
• Obtenga herramientas y contenidos adicionales
  sobre seguridad
• El sitio Web de la seguridad de Microsoft

57
Preguntas y respuestas