Title: Sesin 3: Medidas de seguridad avanzadas para clientes y servidores
1Sesión 3 Medidas de seguridad avanzadas para
clientes y servidores
- Nombre del presentador
- Título
- Empresa
2Prerrequisitos para la sesión
- Experiencia práctica con los sistemas operativos
servidor y cliente de Microsoft Widows y Active
Directory. - Conocimiento de los elementos básicos en
seguridad del cliente y servidor, incluyendo cómo
utilizar la política de grupo para fortalecer los
PCs
Nivel 300
3Proteger Active Directory
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad de datos
- Métodos para ofrecer seguridad de cliente móvil.
- Resolver los problemas de las configuraciones de
seguridad
4La importancia de la seguridad de Active Directory
Active Directory crea un ambiente de red más
seguro al solicitar
- Verificación de la identidad de cada usuario
- Autorización para otorgar o negar el acceso a un
recurso
Una brecha en la seguridad de Active Directory
puede tener como resultado
- La pérdida de acceso legítimo a los recursos de
la red - Divulgación inapropiada o pérdida de información
confidencial
5Identificar tipos de amenazas a la seguridad
6Establecer límites seguros
Autonomía
- Se puede lograr al delegar servicio o
administración de datos
Aislamiento
- Requiere que se implemente un bosque por separado
7Cómo seleccionar una estructura de Active
Directory
Pasos
8Asegurar las cuentas de Administración del
servicio
9Demo 1 Configurar la membresía del grupo limitado
- Configurar el grupo de seguridad de
Administración empresarial como un Grupo limitado
10Asegurar las prácticas de Administración de datos
11Proteger los servidores y datos DNS
- Los tipos de ataques incluyen
- Modificación de los datos DNS
- Exposición de la dirección IP interna al Internet
- Negación de servicio
- Para proteger sus servidores DNS de este tipo de
ataques - Implementar las zonas integradas de Active
Directory y utilizar una actualización dinámica y
segura - Utilizar servidores DNS internos y externos por
separado - Restringir la transferencia de zonas a servidores
DNS autorizados - Utilizar IPSec entre los clientes y servidores
DNS - Supervisar la actividad de la red
- Cerrar todos los puertos de firewall que no se
usan
12Implementar seguridad avanzada para servidores
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad de datos
- Métodos para ofrecer seguridad de cliente móvil.
- Resolver los problemas de las configuraciones de
seguridad
13Servicios y seguridad de Windows
- Los servicios de Windows son aplicaciones que se
ejecutan en PCs sin importar si un usuario se
conecta - Cualquier servicio o aplicación es un punto
potencial de ataque - Ganar el control de un servicio pondrá en peligro
la seguridad del sistema - Muchos servicios deben estar accesibes desde la
red, lo cual aumenta la vulnerabilidad del
servidor - La solución es ejecutar tan pocos servicios en
los servicios de Windows como sea posible - Autenticación de servicios
- Todos los servicios se deben ejecutar en el
contexto de seguridad de una seguridad principal - Como una mejor práctica, utilice una de las
cuentas integradas de Windows Server 2003 como la
cuenta de conexión para los servicios de Windows
14Configurar servicios utilizando plantillas de
seguridad
15Configurar servicios utilizando el Asistente de
configuración de seguridad
16Determinar dependencias de servicio
17Demo 2 Configurar servicios utilizando el
Asistente de configuración de seguridad
- Utilizar el Asistente de configuración de
seguridad para configurar servicios y el Firewall
de Windows
18Auditar la seguridad
- Los administradores deberán establecer una
política de auditoría - Cuando establezca una política de auditoría
- Analice el modelo de amenaza
- Considere los requisitos normativos y legales de
su organización - Considere las capacidades del sistema y del
usuario - Pruebe y perfeccione la política
- Separe el rol de auditoría de seguridad del rol
de administración de la red - Considere utilizar herramientas de supervisión de
registro centralizado tales como - Microsoft Operations Manager (MOM)
- EventCombMT
- Analizador de registro
- SNMP
19Configuración de Política de auditoria
recomendada para los Servidores miembros
20Demo 3 Utilizar EventCombMT para ver registros
del evento
Utilizar EventCombMT para ver Registros del
evento desde múltiples servidores
21Supervisión de seguridad al utilizar MOM
- MOM recopila eventos de seguridad desde PCs o
dispositivos administrados - MOM analiza los eventos recopilados y aumenta las
alertas para eventos importantes
Base de datos MOM
Consola del administrador de MOM
Consola del operador de MOM
Servidor de administración de MOM
Consola Web de MOM
Servicios de generación de informes de MOM
PCs administrados
PCs administrados
22Mejores prácticas para asegurar servidores
23Implementar seguridad avanzada para clientes
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad de datos
- Métodos para ofrecer seguridad de cliente móvil.
- Resolver los problemas de las configuraciones de
seguridad
24Utilizar plantillas de seguridad en los clientes
Las plantillas de seguridad pueden también
definir configuraciones de política para asegurar
a los PCs cliente que se ejecutan en una
plataforma de Windows
25Utilizar políticas de cuentas a nivel dominio
Políticas de desbloqueo de cuentas
Las políticas de cuentas se aplican a nivel
dominio y afectan todas las cuentas del dominio
Políticas de cuenta
Políticas Kerberos
Dominio
26Implementar plantillas de seguridad en los
clientes
27Asegurar los clientes heredados
- Los clientes de Windows 2000 pueden utilizar
plantillas de seguridad implementadas a través de
la Política de grupo - Configure otros clientes al utilizar secuencias
de comandos o archivos de políticas - Utilice secuencias de comandos de inicio de
sesión - Utilice políticas del sistema
- Secuencias de comandos
28Escenarios de implementación
29Lineamientos de seguridad para los usuarios
Elija contraseñas complicadas
ü
ü
Proteja las contraseñas
Cierre los PCs desatendidos
ü
ü
No inicie sesión utilizando una cuenta
privilegiada
Ejecute sólo programas confiables
ü
ü
No abra archivos adjuntos sospechosos
No caiga presa de la ingeniería social
ü
ü
Revise las políticas de seguridad de su
organización
No trate de invalidar las configuraciones de
seguridad
ü
Informe los incidentes sospechosos
ü
Estos lineamientos de seguridad se pueden
implementar total o parcialmente a través de
políticas centralizadas
30Proporcionar seguridad a los datos
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad a los datos
- Métodos para ofrecer seguridad de cliente móvil.
- Resolver los problemas de las configuraciones de
seguridad
31Roles y limitaciones de Permisos de archivo
- Tienen la finalidad de evitar el acceso no
autorizado - Los administradores pueden obtener acceso no
autorizado - No se proteja contra intrusos con el acceso
físico - La encriptación ofrece seguridad adicional
32Roles y limitaciones del Sistema de archivos
encriptados
- Beneficios de la encriptación EFS
- Asegura la privacidad de la información
- Utiliza tecnología clave pública y robusta
- Peligro de encriptación
- Se pierde todo el acceso a los datos si se pierde
la clave privada - Claves privadas en PCs cliente
- Las claves se encriptan con el derivado de la
contraseña del usuario - Las claves privadas son sólo tan seguras como la
contraseña - Las claves privadas se pierden cuando se pierde
el perfil del usuario
33Diferencias del sistema de archivo encriptado
entre las versiones de Windows
- Windows 2000 y las nuevas versiones de Windows
dan soporte a EFS en las particiones NTFS - Windows XP y Windows Server 2003 incluyen nuevas
funciones - Se puede autorizar a usuarios adicionales
- Se pueden encriptar archivos fuera de línea
- El algoritmo de encriptación 3DES puede
reemplazar a DESX - Se puede utilizar un disco para restablecer la
contraseña - EFS conserva la encriptación sobre WebDAV
- Se recomiendan los agentes de recuperación de
datos - Se mejora la capacidad de uso
34Implementar el sistema de archivos encriptados
Cómo hacerlo de manera adecuada
- Utilice la Política de grupo para deshabilitar
EFS hasta que esté listo para la implementación
central - Planee y diseñe políticas
- Nombre agentes de recuperación
- Asigne certificados
- Implemente al utilizar la Política de grupo
35Demo 4 Configurar EFS
- Configurar los Agentes de recuperación de datos
- Encriptar archivos
- Desencriptar archivos
- Compartir un archivo encriptado
36Entender Rights Management Services
- RMS protege y mejora la seguridad de los datos
para los siguientes escenarios - Proteger mensajes confidenciales de correo
electrónico - Integrar derechos de documentos
- Proteger contenido confidencial de intranet
- NO ofrece
- Seguridad irrompible a prueba de agresores
- Protección contra ataques analógicos
37Componentes de la Tecnología de Windows RMS
Componentes de servidor
- Windows RMS para Windows Server 2003
- Kits de desarrollo de software (SDKs)
Componentes cliente
- Software cliente de Windows Rights Management
- Aplicaciones habilitadas por RMS
- Microsoft Office Professional 2003
- Complementos de RM para Internet Explorer
- SDKs
38Cómo trabaja Windows RMS
7
8
1
9
6
2
3
5
4
Autor de la información
Destinatario de la información
39Mejoras a Rights Management Service SP1
- Soporte para servidores que no están conectados a
Internet - Certificado contra normas de la industria y el
gobierno - Soporta la autenticación basada en Smartcard
- Ofrece un caja de seguridad para el servidor
- Mejora la seguridad dinámica basada en roles con
soporte para Grupos basados en consultas en
Exchange 2003 - Mejora el acceso remoto al utilizar Outlook RPC
sobre HTTP - Facilita la implementación de la instalación
distribuida a través de las tecnologías de
instalación familiares de Microsoft
40Demo 5 Windows Rights Management Service
Utilizar RMS para proteger datos
41Métodos para proporcionar seguridad a los
clientes móviles
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad de datos
- Métodos para proporcionar seguridad a los
clientes móviles - Resolver los problemas de las configuraciones de
seguridad
42Descripción general de la seguridad del cliente
móvil
- Necesita asegurar
- Acceso al dispositivo
- Acceso a los datos almacenados
- Acceso a la red
OWA
Clientes por marcación
Clientes inalámbricos
Clientes de correo remoto
VPN
Internet
LAN
Clientes VPN
43Retos de la Política de grupo para clientes
remotos
- Los clientes pueden no ser miembros del dominio
- La política de grupo aplica sólo a miembros del
dominio - Considere una VPN con acceso limitado a la red
- Considere el Control de cuarentena de acceso a la
red - Las configuraciones de la Política de grupo se
pueden actualizar sólo cuando se conectan los
clientes - Planee disminuir el ritmo si las configuraciones
de la Política de grupo se aplican sobre vínculos
lentos
44Asegurar el acceso al correo electrónico para los
clientes remotos
- Acceso nativo a Outlook
- RPC sobre HTTP(S)
- OWA
- Métodos de autenticación
- Encriptación
- POP3, IMAP y SMTP
- OMA
Utilice SSL para todos los protocolos de Internet
45Soporte de seguridad para el Cliente inalámbrico
- Windows XP
- Ofrece soporte nativo para 802.1X
- Windows 2000
- 802.1X deshabilitado de manera predeterminada
- La configuración requiere utilidad de terceros
- No hay perfiles específicos del usuario
- No puede utilizar la Política de grupo para
establecer configuraciones
46Soporte de cliente inalámbrico de Windows XP SP2
y Windows Server 2003 SP1
- Asistente de instalación de red inalámbrica
- Se utiliza para configurar y distribuir
configuraciones de red inalámbricas - Servicios de aprovisionamiento inalámbrico (WPS)
- Se utilizan para automatizar la configuración de
clientes de red inalámbrica al crear un archivo
que configuración que se descarga desde el
servidor WPS - Políticas de red inalámbrica (IEEE 802.11)
- Se utilizan para establecer la configuración de
cliente inalámbrico al utilizar la Política de
grupo - Mejoras a las Políticas de red inalámbrica de
Windows Server 2003 SP1 - Amplía el soporte de la Política de grupo para
administrar las configuraciones WPA para los
clientes inalámbricos
47Mejores prácticas para los usuarios de clientes
móviles
48Mejores prácticas de la seguridad del cliente
móvil
49Resolver problemas con las configuraciones de la
seguridad
- Proteger Active Directory
- Implementar seguridad avanzada para los
servidores - Implementar seguridad avanzada para los clientes
- Proporcionar seguridad de datos
- Métodos para ofrecer seguridad de cliente móvil.
- Resolver problemas con las configuraciones de la
seguridad
50Resolver conflictos con las plantillas de
seguridad
- Utilizar las herramientas del conjunto resultante
de directivas (RSoP) - Herramientas de administración de Active
Directory - Resultados de la Política de grupo desde el GPMC
- GPResult
Vea el artículo de la Knowledge Base,
Incompatibilidades del cliente, servicio y
programa que puede ocurrir cuando modifica las
configuraciones de seguridad y las asignaciones
de derechos de usuario" en el sitio Web de
soporte y ayuda de Microsoft
51Resolver los problemas de las fallas de la
aplicación
- Aplicar revisiones de seguridad o plantillas de
seguridad puede evitar que las aplicaciones
trabajen - Herramientas para resolver los problemas de las
fallas de la aplicación - Supervisor de red
- Supervisor de archivo
- Supervisor de registro
- Dependency Walker
- Cipher
52Resolver problemas de servicios y procesos
- Puede necesitar resolver problemas de servicios
- Cuando los servicios y los procesos no inician
- Para confirmar que todos los servicios y procesos
son legítimos - Herramientas para resolver problemas de procesos
- Tlist.exe o Explorador de procesos
- Dependency Walker
- Examine las propiedades de DLL
53Resolver problemas de la conectividad a la red
- Asegúrese que sólo se abran los puertos
requeridos en los PCs - Herramientas para determinar el uso de puertos
- Reporteador del puerto
- PortQry y PortQryUI
- TCPView
- Netstat -o (en Windows XP o Windows Server 2003)
- Administrador de la tarea
- Probar el uso del puerto para aplicaciones y
servicios
54Mejores prácticas para la resolución de problemas
55Resumen de la sesión
56Siguientes pasos
- Encuentre eventos adicionales de capacitación en
seguridad - El sitio Web de difusiones por el Web y eventos
de seguridad de Microsoft - Regístrese para obtener comunicaciones de
seguridad - El sitio Web de Microsoft TechNet
- Ordene el Kit de la guía de seguridad
- El sitio Web de Microsoft TechNet
- Obtenga herramientas y contenidos adicionales
sobre seguridad - El sitio Web de la seguridad de Microsoft
57Preguntas y respuestas