Seguridad avanzada de clientes y servidores

Requisitos previos para el capítulo

Experiencia práctica con los sistemas operativos de cliente y de servidor Microsoft® Windows® y con Active Directory®

Conocimientos sobre los procedimientos básicos de seguridad de clientes y servidores, incluido cómo reforzar los equipos con Directiva de grupo

Índice

Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles

1

1. Introducción a la seguridad avanzada de clientes y servidores

La seguridad de clientes y servidores es fundamental para todas las organizaciones, ya que una infracción de seguridad puede producir pérdidas de datos y daños en la infraestructura de red, así como perjudicar su reputación y sus ingresos. Aunque no es posible proteger totalmente una organización, debe lucharse por proteger los clientes y servidores de la red.

El primer tema de este capítulo es una introducción a la seguridad avanzada de clientes y servidores. Algunos de los conceptos específicos que se tratarán son:

• Prácticas básicas de seguridad para Active Directory. Este tema presenta información sobre prácticas fundamentales para proteger Active Directory. La protección de Active Directory constituye una parte esencial de la seguridad de la red.

• Prácticas básicas de seguridad para servidores. Este tema contiene información sobre prácticas fundamentales para proteger los servidores.

• Prácticas básicas de seguridad para clientes. Este tema contiene información sobre prácticas fundamentales para proteger los clientes.

• Prácticas avanzadas de seguridad para clientes y servidores. Este tema ofrece una introducción a las prácticas avanzadas de seguridad para clientes y servidores que se tratarán en el resto de este capitulo.

2

1.1. Prácticas básicas de seguridad para Active Directory

Cap7-01.jpg

Antes de ofrecer una introducción a los métodos y técnicas de seguridad avanzados para clientes y servidores, repasaremos brevemente las prácticas básicas de seguridad. En una organización que utilice una red de Microsoft Windows, la seguridad eficaz de los clientes y servidores comienza por una reflexión cuidadosa sobre el diseño de Active Directory y la implementación de prácticas básicas de seguridad para Active Directory. Aunque no se trata necesariamente de prácticas avanzadas, son fundamentales para la protección de los clientes y servidores de la red.

Algunas prácticas básicas de seguridad para Active Directory son:

• Establezca límites seguros de Active Directory. En las redes de Windows 2000 y sistemas operativos posteriores, los dominios son los límites de la administración y de ciertas directivas de seguridad. Cada dominio de Active Directory está autorizado para la identidad y las credenciales de los usuarios, grupos y equipos que residen en ese dominio. No obstante, los administradores de servicios pueden atravesar los límites del dominio; por tanto, el verdadero límite de seguridad es el bosque. Si no confía en todos los administradores de dominios de la organización, debería dividir Active Directory en varios bosques. A continuación, establezca relaciones de confianza entre los dominios o bosques para permitir funciones que se apliquen a toda la organización.

3

• Fortalezca la configuración de las directivas de dominio. Refuerce la configuración, como la correspondiente a las directivas de contraseñas y de bloqueo de cuentas, en el objeto de directiva de grupo (GPO) de la directiva de dominio predeterminada o cree un GPO nuevo con una configuración de seguridad más restrictiva en el nivel de dominio. Revise la configuración de auditoría en los objetos importantes de Active Directory.

• Utilice una jerarquía de unidades organizativas (OU) basada en

funciones. Una jerarquía de unidades organizativas basada en las funciones de servidor de la organización simplifica la administración de la seguridad, ya que la administración de una unidad organizativa puede delegarse en un grupo administrativo específico. Una jerarquía de unidades organizativas basada en las funciones de servidor aplica la configuración de directivas de seguridad apropiadas a los servidores y otros objetos en cada unidad organizativa.

• Establezca prácticas administrativas seguras. Configure las cuentas administrativas de modo que el ámbito de influencia de cada una se vea limitado a los contenedores específicos de Active Directory. Los administradores de servicios deben reforzar sus cuentas y estaciones de trabajo, así como evitar la delegación de operaciones que afectan a la seguridad. Los administradores de datos deben delegar cuidadosamente la administración de los datos y establecer cuotas de propiedad sobre los objetos.

• Refuerce el Sistema de nombres de dominio (DNS). DNS forma parte de la arquitectura que se utiliza para el acceso a Active Directory. Por tanto, configure DNS de la forma más segura posible para evitar que usuarios no autorizados puedan aprovecharlo.

4

1.2. Prácticas básicas de seguridad del servidor

Cap7-02.jpg

Las prácticas básicas de seguridad para servidores son líneas de base a las que se pueden agregar otras avanzadas. La incorporación de prácticas avanzadas de seguridad para servidores a las prácticas básicas existentes constituye un ejemplo de la estrategia de seguridad de defensa en profundidad de Microsoft, que reconoce que la seguridad es más efectiva cuando los equipos y los datos están protegidos por más de un nivel de seguridad.

Algunas prácticas básicas de seguridad del servidor son:

Aplicar los Service Packs más recientes y todas las revisiones de seguridad disponibles.• Los Service Packs aumentan la seguridad y estabilidad del

sistema operativo.• La mayor parte de los ataques contra los servidores se

aprovechan de los puntos vulnerables que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo.

• Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables.

Utilizar directivas de grupo para reforzar los servidores. Puede utilizar directivas de grupo para:

5

• Deshabilitar los servicios innecesarios. Cualquier servicio o aplicación es un posible punto de ataque. Por lo tanto, deshabilite o quite todos los servicios y los archivos ejecutables innecesarios con el fin de reducir la parte de un sistema expuesta a un ataque.

• Implementar directivas de contraseñas estrictas. Puede reforzar la configuración de directivas de contraseñas y de bloqueo de cuentas para un controlador de dominio, un servidor integrante o un servidor independiente, si aplica la configuración de una plantilla de seguridad apropiada.

• Deshabilitar la autenticación de LAN Manager y NT LAN Manager (NTLMv1) y el almacenamiento de claves de hash de LAN Manager. Al deshabilitar estas funciones quizás se impida el acceso de clientes antiguos. Establezca la configuración de manera que no deshabilite funciones necesarias. Windows 2000 y los sistemas operativos posteriores ofrecen compatibilidad nativa con NTLMv2. Microsoft Windows NT 4.0 admite NTLMv2 con el Service Pack 4 o posteriores instalados. Es necesario instalar el software cliente de Active Directory en equipos con Windows 9x para que puedan utilizar NTLMv2.

Restringir el acceso físico y de red a los servidores.• Almacene los servidores en una sala con cerradura. Utilice

cerrojos con tarjeta o con clave en las entradas.• Impida que los controladores de dominio se inicien en un

sistema operativo alternativo.• Asigne sólo los permisos y los derechos de usuario

necesarios para los usuarios de la organización.

6

1.3. Prácticas básicas de seguridad del cliente

Cap7-03.jpg

Puede considerar estas prácticas básicas de seguridad para clientes como una línea de base a la que puede agregar otras avanzadas.

Algunas prácticas básicas de seguridad del cliente son:

Aplicar los Service Packs más recientes y todas las revisiones de seguridad disponibles.• Los Service Packs aumentan la seguridad y estabilidad del

sistema operativo.• La mayor parte de los ataques contra los clientes se

aprovechan de los puntos vulnerables que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo.

• Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables.

Utilizar directivas de grupo para reforzar los clientes.• Deshabilitar los servicios innecesarios.

Cualquier servicio o aplicación es un posible punto de ataque. Por lo tanto, deshabilite o quite todos los servicios y

7

los archivos ejecutables innecesarios con el fin de reducir la parte de un sistema expuesta a un ataque.

• Aplicar la plantilla de seguridad adecuada.Los sistemas operativos Windows XP y Windows 2000 Professional incluyen diversas plantillas de seguridad. Asimismo, la Guía de seguridad de Microsoft Windows XP contiene plantillas de seguridad actualizadas que incorporan opciones de seguridad recomendadas actualmente para clientes.

• Configurar las opciones de seguridad de Internet Explorer.Directiva de grupo contiene muchas opciones de seguridad para Internet Explorer que ayudan a proteger el equipo cliente y la red a la que está conectado contra contenido Web malintencionado.

Utilizar software antivirus. • Se calcula que los costos anuales atribuidos a brotes de

virus superan los 10000 millones de dólares. Al implementar programas antivirus en equipos cliente de la red, tenga en cuenta las siguientes recomendaciones:

• Aplique las actualizaciones del proveedor con regularidad.• Utilice una estrategia de implementación centralizada

cuando sea posible.• Utilice software específico para clientes.

Instruir a los usuarios. • Los usuarios pueden ser el vínculo más débil de la

infraestructura de seguridad. Considere una prioridad instruir a los usuarios para que sigan las directrices de seguridad de la organización.

• Servidores de seguridad. Instale y configure un servidor de seguridad de hardware, de software o ambos, como Servidor de seguridad de conexión a Internet (ICF).

La guía de seguridad de Windows XP provee tres escenarios: los clientes enterprise, los clientes de seguridad alta y los clientes stand alone.

Clientes EnterpriseLos entornos enterprise se componen de un dominio de Windows 2000 o Windows Server 2003 con Microsoft Active Directory®. Los clientes en este entorno son administrados con Group Policies aplicadas a containers, sites, domains y Organizational Units (OUs). Group Policy provee un método centralizado para administrar seguridad a través del entorno.

Clientes de seguridad alta El ambiente de seguridad alta consiste en elevar las configuraciones de seguridad para el cliente. Cuando se aplican configuraciones de seguridad alta, la funcionalidad de los usuarios se limita únicamente a las tareas necesarias

8

para cumplir con su trabajo. El acceso es limitado a programas aprobados, servicios y entornos de infraestructura.

Entorno Stand – Alone Los entornos stand – alone consisten en organizaciones que tienen algunas PC´s pero no las agrupan en entornos de dominio, o esas computadoras son miembros de dominios Windows NT 4.0 domain. Estos clientes tienen sus configuraciones de seguridad usando Local Policy. La administración de computadoras stand – alone puede ser considerablemente más complicada que usar Active Directory, debido a la utilización de políticas centralizadas en un dominio Active Directory.

La guía de seguridad de Windows XP es similar a la de Windows 2003 Server, utilizando plantillas de seguridad para crear Group Policy Objects que se apliquen a Organizational Units en Active Directory para asegurar computadoras cliente.

Adicionalmente a las plantillas de seguridad, se pueden utilizar las plantillas administrativas para agregar seguridad adicional a componentes de Windows como Internet Explorer, Windows Messenger y Terminal Server, como también a programas como Office XP.

La guía también hace uso de una nueva característica de la política llamada Software Restriction Policies. Usando Software Restriction Policies usted puede limitar el software que se puede utilizar en una computadora o bien bloquear programas específicos que no podrán ser ejecutados.

Se recomienda no agregar a los usuarios al grupo local de administradores.

9

2. Implementación de seguridad avanzada en el servidor

En este tema se describen diversos métodos y técnicas que pueden utilizarse para implementar seguridad avanzada en el servidor. Algunos de los conceptos específicos que se tratarán son:

• Servicios de servidor que es conveniente deshabilitar• Servicios de servidor que no se deben deshabilitar• Determinar las dependencias de los servicios• Configuración de servicios en servidores que realizan varias

funciones• Protección de servidores mediante filtros IPSec (Seguridad de

protocolo Internet)• Filtros IPSec para controladores de dominio• Entradas del Registro para la protección de los controladores de

dominio• Cómo crear una directiva de seguridad IP• Auditorías de seguridad• Microsoft Audit Collection Services (MACS)• Configuración recomendada de directivas de auditoría para

servidores integrantes

2.1. Servicios que es conveniente deshabilitar

Servicios

Portafolios Servicio de

informe de errores (ERS)

SSL de HTTP Servicio COM de

grabación de CD de IMAPI

Servicio de Index Server

Firewall de Windows o Conexión compartida a Internet (ICS)

Messenger Servicio POP3 de

Microsoft

Escritorio remoto compartido de NetMeeting®

Administrador de conexión automática de acceso remoto

Administrador de conexión de acceso remoto

Servicio de publicación World Wide Web

Una de las prácticas básicas de seguridad del servidor consiste en deshabilitar los servicios que no sean necesarios. Considere los siguientes consejos preceptivos avanzados sobre servicios específicos que deben o no deshabilitarse en servidores de red.

Hay algunos servicios que deben deshabilitarse a menos que se necesiten para la función que efectúa el equipo. Muchos de estos servicios están deshabilitados de forma predeterminada en Windows Server 2003. Algunos de los servicios que es conveniente deshabilitar son:

10

• Portafolios• Servicio de informe de errores (ERS)• SSL (Secure Sockets Layer) de HTTP• Servicio COM de grabación de CD de IMAPI• Servicio de Index Server• Firewall de Windows o Conexión compartida a Internet (ICS)• Messenger• Servicio POP3 de Microsoft• Escritorio remoto compartido de NetMeeting• Administrador de conexión automática de acceso remoto• Administrador de conexión de acceso remoto• Servicio de publicación World Wide Web

Puede utilizar Directiva de grupo para deshabilitar servicios en servidores. Antes de deshabilitar un servicio, determine sus dependencias.

• Los servidores pueden asumir varias funciones en las compañías que tienen recursos limitados. Es posible aplicar fácilmente varias plantillas de seguridad a un servidor, pero pueden entrar en conflicto. Cuando un servidor realiza varias funciones, es más difícil protegerlo. Además, un servidor que lleva a cabo varias funciones está más expuesto a un ataque. Si se produce una infracción en la seguridad, todas las funciones que realiza ese servidor se pueden ver comprometidas.

• Si una compañía tiene recursos limitados, es posible que no pueda proporcionar los componentes necesarios para una solución segura. Disponer de varios servidores de seguridad y ofrecer una alta disponibilidad son ejemplos de elementos caros que podrían no resultar financieramente factibles.

• El compromiso interno de los sistemas, ya sea de forma malintencionada o accidental, supone un alto porcentaje de los ataques. Los intrusos suelen encontrar que sus ataques son más fáciles de realizar si tienen acceso interno a la red (ya sea personal o por medio de un cómplice voluntario o involuntario).

• Los departamentos de tecnología de la información (IT) pequeños pueden carecer de personal con la experiencia apropiada en seguridad. Esto puede provocar que se pasen por alto algunos problemas de seguridad. En esta situación, el uso de plantillas de seguridad estándar puede ser beneficioso.

• El acceso físico a un sistema anula muchas medidas de seguridad y puede permitir a un intruso ejecutar utilidades, instalar programas dañinos, cambiar configuraciones, quitar componentes y ocasionar daños físicos.

• Las infracciones de seguridad pueden tener consecuencias legales. Dependiendo del estado o país que tenga jurisdicción sobre la organización, una compañía puede enfrentarse a responsabilidades legales derivadas de una infracción en la seguridad de sus servidores. Algunos ejemplos de dicha legislación incluyen Sarbanes Oxley, HIPAA, GLBA y California SB 1386.

11

• Los sistemas más antiguos podrían no admitir configuraciones de seguridad si no se actualizan. Si esos sistemas no se actualizan, el riesgo de una infracción de la seguridad es mayor que en los sistemas más actuales.

Nota: Firewall de Windows debe estar habilitado siempre en equipos que se conecten directamente a Internet. No obstante, al habilitarlo en una red corporativa puede impedir la administración remota y otras funciones. Por este motivo, normalmente no se recomienda utilizar Firewall de Windows en redes que estén protegidas de Internet mediante un servidor de seguridad corporativo.

2.3. Servicios que no se deben deshabilitar

Servicios

Servicios de cifrado

Cliente DHCP Cliente DNS Registro de

sucesos Servicios IPSec Netlogon Proveedor de

compatibilidad con seguridad de NTLM

Plug and Play Almacenamiento

protegido Llamada a

procedimiento remoto (RPC)

Servicio de Registro remoto

Administrador de cuentas de seguridad

Servidor

Notificación de sucesos del sistema

Ayuda de NetBIOS sobre TCP/IP

Windows Installer Instrumental de

administración de Windows (WMI)

Windows Time Estación de trabajo

Algunos servicios son necesarios para el funcionamiento correcto de Windows. No debe deshabilitar estos servicios a menos que se den circunstancias muy poco habituales en las que no se necesiten las funciones que proporcionan estos servicios. Por ejemplo, si configura un servidor como host bastión, tal como se indica en la Guía de seguridad de Windows Server 2003, es posible que necesite deshabilitar algunos de los siguientes servicios. No obstante, por regla general, tenga en cuenta los siguientes consejos preceptivos avanzados sobre los servicios específicos que no deben deshabilitarse en servidores de red:

Servicios de cifrado Cliente DHCP Cliente DNS Registro de sucesos Servicios IPSec Netlogon Proveedor de compatibilidad con seguridad de NTLM

12

Plug and Play Almacenamiento protegido Llamada a procedimiento remoto (RPC) Servicio de Registro remoto Administrador de cuentas de seguridad Servidor Notificación de sucesos del sistema Ayuda de NetBIOS sobre TCP/IP Windows Installer Instrumental de administración de Windows (WMI) Windows Time Estación de trabajo

2.4. Determinar las dependencias de los servicios

Determine las dependencias de un servicio antes de deshabilitarlo Utilice el complemento Servicios de Administración de equipos para ver

las dependencias de los servicios

13

Cap7-04.jpg

Determine las dependencias de un servicio antes de deshabilitarlo. Utilice el complemento Servicios para ver las dependencias de los

servicios.

Cómo determinar las dependencias de un servicio:

1. Inicie la herramienta Administración de equipos.2. Expanda el nodo Servicios y aplicaciones y, a continuación, haga

click en Servicios.3. En el panel de detalles, haga doble click en el servicio cuyas

dependencias desea ver.4. En el cuadro de diálogo Propiedades del servicio, haga click en la

ficha Dependencias.5. En la ficha Dependencias, vea los servicios de los que depende el

servicio seleccionado, así como los servicios que dependen de él.

14

2.5. Configuración de servicios en servidores que realizan varias funciones

Las plantillas de seguridad contienen opciones que controlan el comportamiento de los servicios

Use Directiva de grupo para aplicar una plantilla de seguridad específica de funciones modificadas a servidores que realizan varias funciones

Cap7-05.jpg

Una de las formas más eficaces de configurar servicios en servidores consiste en utilizar Directiva de grupo para aplicar la configuración de una plantilla de seguridad adecuada a esos servidores. Cada plantilla de seguridad contiene no sólo opciones de seguridad, sino también opciones que especifican los servicios que se habilitan o deshabilitan, y el comportamiento de inicio de cada servicio habilitado. El uso de una plantilla de seguridad específica de funciones simplifica la administración de seguridad del servidor, ya que contiene un conjunto preconfigurado de opciones de servicios recomendadas para servidores que realizan una función específica.

Para la configuración de servicios en servidores que realizan varias funciones es necesario conocer muy bien los servicios que necesita cada función del servidor, así como el comportamiento de inicio recomendado de cada uno de estos servicios de manera que estén habilitados todos los servicios necesarios en el servidor. Los comportamientos de inicio posibles para los servicios son Automático, Manual, Deshabilitado y No definido. Consulte la Guía de seguridad de Windows Server 2003 para ver listas de los servicios específicos que necesita cada función de un servidor y el comportamiento de inicio recomendado para cada servicio necesario.

Para utilizar Directiva de grupo a fin de configurar servicios en servidores que realizan varias funciones:

1. Utilice Directiva de grupo para aplicar la plantilla de seguridad Línea de base de servidor integrante a todos los servidores integrantes del dominio. Esta plantilla de seguridad, junto con otras plantillas de seguridad específicas de funciones, se incluye con la Guía de seguridad de Windows Server 2003.

2. En la unidad organizativa (OU) que contiene los servidores integrantes del dominio, cree una unidad organizativa secundaria para los servidores que realicen una combinación especifica de funciones. Coloque el servidor que realiza esta combinación de funciones en esa unidad organizativa.

3. Seleccione la plantilla de seguridad específica de funciones que más se aproxime a la función principal del servidor y modifíquela a fin de habilitar los servicios necesarios para las funciones adicionales que realice el servidor y especificar el comportamiento de inicio de esos servicios.

15

4. Utilice Directiva de grupo para aplicar la plantilla modificada a la unidad organizativa que contiene el servidor o servidores que realizan varias funciones.

2.6. Protección de servidores mediante filtros IPSec

En general, bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesita para cumplir su función

Pruebe la directiva de seguridad IP antes de implementarla Utilice el complemento Administración de directivas de seguridad IP,

Directiva de grupo o secuencias de comandos para configurar filtros IPSec

Utilice filtros IPSec específicos para servidores según la función de éstos

Los filtros IPSec son una herramienta con la que los administradores de seguridad de redes pueden permitir o bloquear tráfico TCP/IP selectivo entrante o saliente de un servidor. Los filtros IPSec pueden proporcionar una manera eficaz de mejorar el nivel de seguridad de los servidores. Windows 2000, Windows XP y Windows Server 2003 admiten filtros IPSec.

• Bloquee todo el tráfico entrante y saliente del servidor, excepto el que éste necesita para cumplir su función.

• Pruebe la directiva de seguridad IP antes de implementarla. La configuración de filtros IPSec constituye una tarea administrativa avanzada. Una configuración incorrecta puede impedir la comunicación de los servidores con otros equipos de la red. Antes de implementar una directiva de seguridad IP en la red de producción, pruebe la directiva minuciosamente en un entorno de prueba.

• Utilice el complemento Administración de directivas de seguridad

IP, Directiva de grupo o secuencias de comandos para configurar filtros IPSec. La configuración de filtros IPSec se especifica en directivas de seguridad IP. Sólo puede aplicarse una directiva de seguridad IP a un servidor en un momento dado. Una directiva de seguridad IP es un conjunto de reglas de seguridad IP. Una regla de seguridad IP contiene lo siguiente:• Lista de filtros. Esta lista incluye los puertos, protocolos y

direcciones Las listas de filtros activan una decisión cuando el tráfico coincide con algún elemento de la lista. Una lista puede contener varios filtros.

• Acción de filtrado. La acción es la respuesta necesaria cuando el tráfico coincide con una lista de filtros. Algunas acciones específicas son bloquear o permitir un tráfico determinado.

16

• Utilice filtros IPSec específicos para servidores según la función de éstos. Consulte la Guía de seguridad de Windows Server 2003 para saber las recomendaciones basadas en funciones de los filtros IPSec. Como guía sobre el análisis de un servidor para determinar con exactitud los filtros IPSec que deben aplicarse, consulte el capítulo 11 de Threats and Countermeasures Guide.

2.7. Filtros IPSec para controladores de dominio

Servicio ProtocoloPuerto de

origenPuerto de destino

Dirección de origen

Dirección de destino

Acción Reflejado

Servidor CIFS/SMB

TCP Cualquiera 445 Cualquiera Me Permitir Sí

UDP Cualquiera 445 Cualquiera Me Permitir SíServidor RPC TCP Cualquiera 135 Cualquiera Me Permitir Sí

UDP Cualquiera 135 Cualquiera Me Permitir SíServidor NetBIOS

TCP Cualquiera 137 Cualquiera Me Permitir Sí

UDP Cualquiera 137 Cualquiera Me Permitir SíUDP Cualquiera 138 Cualquiera Me Permitir SíTCP Cualquiera 139 Cualquiera Me Permitir Sí

Supervisión de cliente

Cualquiera Cualquiera Cualquiera MeServidor

MOMPermitir Sí

Servidor de Servicios de

Terminal Server

TCP Cualquiera 3389 Cualquiera Me Permitir Sí

Servidor de catálogo

globalTCP Cualquiera 3268 Cualquiera Me Permitir Sí

TCP Cualquiera 3269 Cualquiera Me Permitir Sí

Se recomiendan distintos filtros IPSec para los servidores según sus funciones. En este tema, se examinarán los filtros IPSec recomendados para los controladores de dominio.

• Hay varios filtros IPSec específicos que deben crearse en los controladores de dominio en un entorno de alta seguridad, como se define en la Guía de seguridad de Windows Server 2003.

• Esta tabla se muestra en el capítulo 4 de la Guía de seguridad de Windows Server 2003. La guía también contiene tablas con los filtros IPSec específicos recomendados para otros tipos de funciones de servidor.

Nota: los controladores de dominio son muy dinámicos, por lo que debe evaluar detenidamente la implementación de filtros IPSec en ellos y, después, probar concienzudamente los filtros en un entorno de prueba. Debido a la gran interacción que se produce entre los controladores de dominio, es necesario agregar filtros IPSec para permitir todo el tráfico entre los controladores de dominio que replican información entre sí. En entornos complejos con muchos

17

controladores de dominio, es necesario crear docenas de filtros adicionales a fin de proteger de forma eficaz los controladores de dominio. Esto podría dificultar en gran medida la implementación y administración de directivas IPSec. No obstante, los entornos con pocos controladores de dominio pueden aprovechar eficazmente las ventajas de la implementación de filtros IPSec.

18

2.8. Filtros IPSec para controladores de dominio (continuación)

Servicio Protocolo Puerto de origen

Puerto de destino

Dirección de origen

Dirección de destino

Acción Reflejado

Servidor DNS TCP Cualquiera 53 Cualquiera Me Permitir Sí

  UDP Cualquiera 53 Cualquiera Me Permitir Sí

Servidor Kerberos

TCP Cualquiera 88 Cualquiera Me Permitir Sí

  UDP Cualquiera 88 Cualquiera Me Permitir Sí

Servidor LDAP TCP Cualquiera 389 Cualquiera Me Permitir Sí

  UDP Cualquiera 389 Cualquiera Me Permitir Sí

  TCP Cualquiera 636 Cualquiera Me Permitir Sí

  UDP Cualquiera 636 Cualquiera Me Permitir Sí

Servidor NTP TCP Cualquiera 123 Me Me Permitir Sí  UDP   123   Me    

Intervalo RPC predefinido

TCP Cualquiera 57901-57950

Cualquiera Me Permitir Sí

Comunicaciones DC

Cualquiera Cualquiera Cualquiera Me Controlador de dominio

1

Permitir Sí

Comunicaciones DC

Cualquiera Cualquiera Cualquiera Me Controlador de dominio

2

Permitir Sí

ICMP ICMP Cualquiera Cualquiera Me Cualquiera Permitir SíTodo el tráfico

entranteCualquiera Cualquiera Cualquiera Cualquiera Me Bloquear Sí

Todos estos filtros deben reflejarse al implementarlos para garantizar que también se permitirá a cualquier tráfico de red que entre en el servidor su regreso al servidor de origen.

Los puertos de los filtros IPSec indicados en esta tabla representan los puertos de base que deben estar abiertos para que el servidor pueda realizar sus funciones específicas. Estos puertos son suficientes si el servidor tiene una dirección IP estática. Puede ser necesario que estén abiertos otros puertos para proporcionar funcionalidad adicional. Con otros puertos adicionales abiertos es más fácil administrar los controladores de dominio; no obstante, pueden reducir en gran medida la seguridad de estos servidores.

Las reglas IPSec se procesan en el orden en el que aparecen en la directiva de seguridad IP. El procesamiento de reglas se detiene cuando el tráfico coincide con el tipo de tráfico especificado en un filtro de la lista a fin de aplicar la acción de filtrado correspondiente. La última regla de filtro debería bloquear todo tipo de tráfico entrante al servidor, excepto el tráfico que alguna regla anterior permite específicamente.

19

2.9. Entradas del Registro para la protección de los controladores de dominio

Al aplicar filtros IPSec en un controlador de dominio:

Use un pequeño intervalo de puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes

Incluya puertos superiores al 50000 Limite el intervalo de puertos RPC dinámicos mediante la

configuración de opciones del Registro en todos los controladores de dominio

RPC es el protocolo que un programa utiliza para solicitar servicios de un segundo programa en un sistema remoto. RPC seleccionará de forma dinámica un puerto del intervalo 1024 a 65536. Para no permitir el tráfico de todos estos puertos, configure todos los controladores de dominio de modo que utilicen un intervalo mucho más pequeño de puertos RPC dinámicos para permitir el proceso de inicio de sesión de clientes. Utilice un filtro IPSec para permitir únicamente la comunicación en el pequeño intervalo de puertos, incluidos puertos superiores al 50000. Para la mayoría de los entornos, con 50 puertos RPC es suficiente. Si necesita más para admitir los equipos cliente del entorno, habilite un intervalo mayor de puertos. Limite el intervalo de puertos RPC dinámicos mediante la configuración de las siguientes opciones del Registro en todos los controladores de dominio:

• Debe crearse la claveKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet si no existe.

• La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\Ports debe crearse y configurarse como REG_MULTI_SZ con un valor que represente el intervalo de puertos que deben estar abiertos. Por ejemplo, el valor 57901-57950 abrirá 50 puertos para el uso de tráfico RPC.

• La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\PortsInternetAvailable debe crearse y configurarse como REG_SZ con el valor Y.

• La clave HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\UseInternetPorts debe crearse y configurarse como REG_SZ con el valor Y.

Una vez realizados los cambios anteriores en el Registro, el servidor debe reiniciarse.

20

Nota: estos cambios podrían afectar al rendimiento y se deben probar antes de su implementación en producción. El número exacto de puertos que se abrirán depende del entorno, así como de la función de servidor. Deben supervisarse los tiempos de inicio de sesión de los clientes. Puede ser necesario abrir más puertos si se deteriora el rendimiento en los inicios de sesión.

2.10. Cómo crear una directiva de seguridad IP

1. Abra GPMC 2. Modifique el GPO al que desea asignar la directiva de seguridad IP3. Cree una o varias listas de filtros IPSec4. Cree una o varias acciones de filtrado5. Cree una directiva de seguridad IP6. En la directiva de seguridad IP, cree una regla de seguridad IP para cada

lista de filtros que haya creado7. Asigne la directiva de seguridad IP

Para crear una directiva de seguridad IP, realice estos pasos:

1. Abra Group Policy Management Console (Consola de administración de directiva de grupo).

2. Modifique el objeto de directiva de grupo (GPO) al que desea asignar la directiva de seguridad IP.

3. Cree una o varias listas de filtros IPSec.4. Cree una o varias acciones de filtrado.5. Cree una directiva de seguridad IP.6. En la directiva de seguridad IP, cree una regla de seguridad IP

para cada lista de filtros que haya creado.7. Asigne la directiva de seguridad IP.

También puede crear una directiva de seguridad IP y aplicarla al equipo local mediante el complemento Administración de directivas de seguridad IP. Utilice Directiva de grupo para asignar la directiva a varios equipos en una unidad organizativa (OU).

Nota: cuando se crea una directiva de seguridad IP, ésta se encuentra disponible en todo el dominio, no sólo en el GPO donde se creó. Esto significa que puede crear una directiva de seguridad IP una sola vez y asignarla a varios GPO del dominio.

21

2.11. Auditorías de seguridad

Los administradores deben establecer una directiva de auditoría. Al establecer una directiva de auditoría:

Analice el modelo de amenazas Tenga en cuenta las capacidades del sistema y de los usuarios Pruebe y afine la directive Considere la supervisión centralizada de los registros

Cap7-06.jpg

Las auditorías de seguridad constituyen un componente importante del plan de seguridad global para toda la compañía. En el momento en que se produce una acción configurada para auditoría, la acción se graba en el registro de seguridad del sistema, donde se almacena para su posterior consulta.

• Los administradores deben establecer una directiva de auditoría. Una directiva de auditoría define los sucesos de seguridad que se registran. Una parte importante del proceso para establecer una directiva de auditoría es determinar los sucesos que se van a auditar.

• La directiva de auditoría deberá estar basada en:• El modelo de amenazas de la organización. Identifique y

asigne prioridades a las amenazas a las que se enfrenta la organización.

• Las capacidades del sistema y de los usuarios. Las auditorías pueden alertar sobre problemas de seguridad. A menos que el registro de seguridad se revise periódicamente o se supervise de forma activa, nunca se descubrirán las infracciones de seguridad registradas.

• Pruebe y afine la directiva de auditoría hasta que se adapte a las necesidades de la organización.

• Considere el uso de alguna de las siguientes herramientas para la supervisión centralizada de los registros:• Microsoft Operations Manager (MOM) proporciona funciones

completas de administración de sucesos, supervisión, alerta, generación de informes y análisis de tendencias, además de la consolidación de sucesos, funcionalidad de agente inteligente y respuestas automáticas a sucesos.

• EventCombMT permite analizar simultáneamente los registros de sucesos de varios equipos. El principal inconveniente de utilizar EventCombMT es que copia el registro de sucesos completo a través de la red para realizar

22

el análisis. EventCombMT se incluye en las herramientas del Kit de recursos de Microsoft Windows Server 2003.

• La herramienta Log Parser permite extraer información de archivos de prácticamente cualquier formato mediante consultas de tipo SQL. Log Parser se incluye en las herramientas del Kit de recursos de IIS 6.0.

• El servicio SNMP (Simple Network Management Protocol, Protocolo simple de administración de redes) es un servicio de Windows 2000, Windows XP y Windows Server 2003 que permite enviar información de sucesos de seguridad desde un equipo a una consola de administración SNMP remota mediante capturas SNMP.

• MACS es una herramienta que puede supervisar y auditar sistemas de manera centralizada.

2.12. Microsoft Audit Collection Services (MACS)

Cap7-07.jpg

MACS copia los sucesos en tiempo real en un servidor recolector centralizado que es controlado por auditores. La información de los sucesos se transmite en formato cifrado y se almacena en una base de datos SQL. MACS puede proporcionar alertas de detección de intrusos en tiempo real y pueden utilizarlo sistemas de administración, como MOM, para funciones de administración y de alerta. Los datos almacenados en la base de datos SQL pueden emplearse para la generación de informes y el análisis detallado.

Microsoft utiliza actualmente MACS a nivel interno, pero estará disponible como descarga gratuita desde Internet prácticamente al mismo tiempo que el Service Pack 1 de Windows Server 2003.

23

2.13. Configuración recomendada de directivas de auditoría para servidores integrantes

Directiva de auditoríaConfiguración recomendada para un entorno

de clientes corporativos

Auditar sucesos de inicio de sesión de cuenta Éxito

Auditar la administración de cuentas Éxito

Auditar el acceso del servicio de directorio Sólo si lo requiere el modelo de amenazas

Auditar sucesos de inicio de sesión Éxito

Auditar el acceso a objetos Sólo si lo requiere el modelo de amenazas

Auditar el cambio de directivas Éxito

Auditar el uso de privilegios Sin auditoría

Auditar el seguimiento de procesos Sólo si lo requiere el modelo de amenazas

Auditar sucesos del sistema Éxito

La Guía de seguridad de Windows Server 2003 recomienda distintas configuraciones específicas de directivas de auditoría para los servidores, según la función de éstos y el tipo de entorno en el que se utilizan. Active únicamente la auditoría de errores si es necesario para el modelo de amenazas y si la organización dispone de recursos para analizar auditorías de errores.

Algunas funciones de servidor para las que se recomiendan configuraciones específicas de directivas de auditoría son:

• Línea de base de servidor integrante• Controlador de dominio• Servidor de infraestructuras• Servidor de archivos• Servidor de impresión• Servidor IIS• Servidor IAS (Internet Authentication Service, Servicio de

autenticación Internet)• Servidor de Servicios de Certificate Server• Host bastión

Algunos tipos de entornos para los que se recomiendan configuraciones específicas de directivas de auditoría son:

• Cliente antiguo. Este entorno contiene los siguientes tipos de equipos cliente: Windows 98, Windows NT 4.0 Workstation, Windows 2000 Professional y Windows XP Professional.

24

• Cliente corporativo. Este entorno contiene los siguientes tipos de equipos cliente: Windows 2000 Professional y Windows XP Professional.

• Alta seguridad. Al igual que el entorno de clientes corporativos, este entorno contiene equipos cliente con Windows 2000 Professional y Windows XP Professional. Sin embargo, este entorno utiliza directivas de seguridad para clientes y servidores más estrictas que las que se utilizan en el entorno de clientes corporativos.

Las configuraciones de directivas de auditoría que se indican en la tabla son las configuraciones mínimas recomendadas para todos los servidores integrantes en un entorno de clientes corporativos.

25

3. Métodos para la protección de servidores IIS

En este tema se ofrecen recomendaciones y métodos para proteger los servidores IIS de la red. Algunos de los conceptos específicos que se tratarán son:

• Herramienta Bloqueo de seguridad de IIS• URLScan• Los 10 pasos más importantes para proteger IIS 5.x• Mejoras de seguridad en IIS 6.0• Grupos de aplicaciones de IIS 6.0• Resumen de seguridad de IIS

3.1. Herramienta Bloqueo de seguridad de IIS

La herramienta Bloqueo de seguridad de IIS desactiva las características que no son necesarias para reducir el área expuesta a ataques de IIS 4.0, IIS 5.0 e IIS 5.1.

Para proporcionar defensa en profundidad, la herramienta Bloqueo de seguridad de IIS se integra con URLScan, que contiene plantillas personalizadas para cada función de servidor compatible

La herramienta Bloqueo de seguridad de IIS, junto con otras medidas de seguridad, puede aumentar la seguridad de los servidores Web.

• La herramienta Bloqueo de seguridad de IISinnecesarias de IIS 4.0, IIS 5.0 e IIS 5.1 en Windows NT 4.0, Windows 2000 y Windows XP. La herramienta Bloqueo de seguridad de IIS incluye varias plantillas, cada una de las cuales corresponde a una función de servidor distinta, como Microsoft Exchange 5.5 y 2000, Commerce Server, BizTalk®, Small Business Server 4.5 y 2000, SharePoint™ Portal Server, Extensiones de servidor de

FrontPage® y SharePoint Team Server. Si dispone de un servidor con una función de servidor Web especializada, puede personalizar una plantilla existente. Además de quitar componentes de IIS, la herramienta Bloqueo de seguridad de IIS configura diversas opciones de seguridad de IIS.

26

Cap7-08.jpg

Nota: IIS 6.0 se incluye con Windows Server 2003. IIS no se instala de forma predeterminada en instalaciones predeterminadas nuevas de Windows Server 2003 Standard Edition y Enterprise Edition. Cuando un administrador habilita IIS, se instala con el mismo conjunto mínimo de componentes y las opciones de seguridad que la herramienta Bloqueo de seguridad de IIS proporciona para versiones anteriores de IIS. Por este motivo, no hay una versión específica de la herramienta para IIS 6.0. URLScan 2.5 no se incluye con IIS 6.0, ya que IIS 6.0 tiene características integradas que proporcionan una funcionalidad de seguridad igual o superior a la que ofrecen la mayoría de las características de URLScan 2.5.

• La herramienta Bloqueo de seguridad de IIS se integra con la herramienta URLScan, que bloquea el procesamiento de direcciones URL no válidas por parte de IIS. URLScan selecciona todas las solicitudes entrantes a un servidor Web y las filtra en función de un conjunto de reglas. Puede personalizar las reglas que URLScan utiliza según la función del servidor. URLScan 2.0 se instala con la herramienta Bloqueo de seguridad de IIS.

3.2. Resultados de la herramienta Bloqueo de seguridad de IIS

Cap7-09.jpg

(X significa habilitado)

27

En la tabla anterior se muestran los servicios que están habilitados y los que están deshabilitados después de ejecutar la herramienta Bloqueo de seguridad de IIS para cada una de las siguientes funciones:

• Small Business Server 2000• Exchange Server 5.5 (Outlook® Web Access)• Exchange Server 2000 (OWA, PF Management, IM, SMTP, NNTP)• SharePoint Portal Server• Extensiones de servidor de FrontPage (SharePoint Team Services)• BizTalk Server 2000• Commerce Server 2000• Servidor proxy• Servidor Web estático• Servidor Web dinámico (habilitado para ASP)• Otras (servidor que no coincide con ninguna de las funciones

enumeradas)• Servidor que no requiere IIS

Información adicional:

http://www.microsoft.com/technet/security/tools/locktool.asp (este sitio está en inglés)

3.3. URLScan

URLScan ayuda a impedir que lleguen solicitudes potencialmente dañinas al servidor

URLScan restringe los tipos de solicitudes HTTP que IIS procesará: Solicitudes de direcciones URL largas Solicitudes con juegos de caracteres alternativos Solicitudes que contienen métodos no permitidos Solicitudes que coinciden con algún patrón

URLScan restringe las solicitudes Web que IIS procesará. En muchos ataques contra servidores Web se utilizan solicitudes Web no válidas. Por ejemplo, en los ataques de saturación de búfer contra un servidor o aplicación Web se utilizan solicitudes extremadamente largas para sobrescribir datos en la memoria del servidor.

Si un servidor Web no interpreta correctamente solicitudes codificadas con un juego de caracteres alternativo, es posible que las solicitudes omitan las restricciones del servidor. Puede utilizarse una solicitud para engañar al servidor Web de forma que permita el acceso a áreas de su estructura de archivos a las que no debería proporcionarlo.

28

Algunos métodos HTTP no adecuados podrían permitir a atacantes realizar acciones no permitidas. Por ejemplo, un servidor Web que proporciona acceso a contenido estático sólo necesita procesar las solicitudes GET, pero debería rechazar las solicitudes PUT. URLScan bloquea muchos de estos tipos de solicitudes. URLScan es totalmente configurable y permite que un administrador determine las solicitudes que se deben permitir y las que se deben bloquear.

IIS 6.0 contiene la mayor parte de las funciones de URLScan y, por tanto, no se necesita URLScan para IIS 6.0 en la mayoría de los casos. Puede ejecutar URLScan en IIS 6.0 para permitir el bloqueo personalizado de solicitudes. El documento disponible en la siguiente dirección URL contiene información sobre cómo utilizar URLScan con IIS 6.0.

Información adicional: http://www.microsoft.com/technet/security/tools/urlscan.asp (este sitio está en inglés)

Para ver una difusión Web sobre URLScan, consulte: http://support.microsoft.com/?kbid=817807

3.4. Los 10 pasos más importantes para proteger IIS 5.x

29

Cap7-10.jpg

Deben protegerse los servidores IIS de los equipos cliente que pueden conectarse a ellos. También deben protegerse las aplicaciones y sitios Web que se ejecutan en cada uno de estos servidores IIS de las aplicaciones y sitios Web que se ejecutan en los demás servidores IIS de una intranet corporativa. Las siguientes acciones proporcionan mayor seguridad a IIS:

1. Refuerce el sistema operativo y aplique todas las revisiones de seguridad pertinentes. Examine el sistema en busca de actualizaciones de seguridad con Microsoft Baseline Security Analyzer (MBSA).

2. Quite los componentes que no sean necesarios.3. Ejecute la herramienta Bloqueo de seguridad de IIS (IIS 5.0). 4. Configure URLScan (IIS 5.0). 5. Coloque el contenido en una partición NTFS independiente.6. Proteja los archivos mediante los permisos mínimos.7. Exija el cifrado SSL para el tráfico Web confidencial.8. Si es posible, no habilite los permisos de ejecución y de escritura

en el mismo sitio Web.9. Ejecute las aplicaciones con protección de aplicaciones media o

alta.10.Utilice filtros IPSec para permitir únicamente el tráfico necesario

(HTTP y HTTPS) al servidor Web. Utilice filtros para permitir sólo el tráfico necesario entrante y saliente del servidor Web y refleje la siguiente configuración:

• Permita todo el tráfico entrante a los puertos 80 y 443 en el servidor Web.

30

• Permita todo el tráfico entre el servidor Web y todos los controladores de dominio del mismo sitio que el servidor Web para habilitar la autenticación y la autorización.

• Permita todo el tráfico entre el servidor Web y el servidor MOM si el cliente One-Point se ejecuta en el servidor Web.

• Si administra el servidor Web mediante servicios de terminal, permita todo el tráfico entrante al puerto TCP 3389.

• Bloquee todo el tráfico que las reglas anteriores no permitan específicamente.

Información adicional:

Para obtener información sobre la seguridad de aplicaciones Web, consulte: http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp (este sitio está en inglés)

3.5. Mejoras de seguridad en IIS 6.0

IIS 6.0 está “bloqueado” inicialmente con los límites de contenido y tiempos de espera más restrictivos de forma predeterminada

Característica Descripción

Servidor bloqueadoIIS 6.0 no se instala de forma predeterminada. Una instalación limpia

proporciona únicamente compatibilidad con archivos estáticos.

Lista de extensiones de servicios Web

La instalación predeterminada no compila, ejecuta ni proporciona servicio a archivos con contenido dinámico.

Cuenta predeterminada con

pocos privilegios

Los procesos de IIS se ejecutan con privilegios bastante más bajos si se inicia una sesión con la cuenta SERVICIO DE RED.

AutorizaciónAutenticación de direcciones URL con el Administrador de autorización.

Autenticación restringida y delegada.

Comprobación de direcciones URL

Configure límites de longitud de direcciones URL y tiempos de espera. Comprobación de si existe el archivo antes de intentar ejecutarlo.

Directorios virtuales no ejecutables.

Aislamiento de procesos

Cajón de arena (sandboxing) mejorado de la aplicación. El código de terceros se ejecuta únicamente en el reciclaje de recursos y procesos

de trabajo.

IIS 6.0 ofrece mejoras significativas en seguridad para los servidores Web. IIS 6.0 está bloqueado de forma predeterminada y limita el área expuesta a ataques mediante una configuración de seguridad estricta. Además, se ha mejorado la autenticación y la autorización. IIS 6.0 también ofrece capacidades de administración mejoradas, administración mejorada con la metabase XML y nuevas herramientas de línea de comandos. Algunas de las características específicas son:

• Servidor bloqueado

31

• Lista de extensiones de servicios Web• Cuenta predeterminada con pocos privilegios• Autorización• Comprobación de direcciones URL• Aislamiento de procesos

Información adicional: Novedades de Servicios de Internet Information Server 6.0

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/iis.mspx (este sitio está en inglés)

32

3.6. Grupos de aplicaciones de IIS 6.0

Cap7-11.jpg

Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo

Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones

Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí

• Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los que dan servicio los procesos de trabajo. Al crear grupos de aplicaciones y asignarles aplicaciones y sitios Web se puede mejorar la disponibilidad y la confiabilidad de las aplicaciones y sitios Web. Por ejemplo, podría crear un grupo de aplicaciones para las aplicaciones Microsoft ASP.NET, otro grupo para las aplicaciones Perl y otro para probar aplicaciones.

• Si se produce un error en una aplicación, éste no afecta a la disponibilidad de las aplicaciones que se ejecutan en otros grupos de aplicaciones. Como las aplicaciones están separadas entre sí en grupos de aplicaciones, una aplicación no se ve afectada por los problemas de aplicaciones de otros grupos.

• Cree grupos de aplicaciones independientes para aplicaciones que no dependan entre sí. Normalmente, un grupo de aplicaciones tiene asignado únicamente un proceso de trabajo, de manera que

33

un grupo de aplicaciones se puede considerar como un “proceso de trabajo con nombre”.

Tenga en cuenta las siguientes directrices al configurar grupos de aplicaciones:

• Para aislar las aplicaciones Web pertenecientes a un sitio Web de las aplicaciones Web pertenecientes a otros sitios Web que se ejecutan en el mismo equipo, cree un grupo de aplicaciones individual para cada sitio Web.

• Para mejorar la seguridad, configure una única cuenta de usuario para cada grupo de aplicaciones. Utilice una cuenta con derechos de usuario limitados, como Servicio de red en el grupo IIS_WPG.

• Si hay una versión de prueba de una aplicación en el mismo servidor que la versión de producción de la aplicación, separe las dos versiones en grupos de aplicaciones distintos. De esta manera aísla la versión de prueba de la aplicación.

• En cuanto al diseño, si desea configurar una aplicación para que se ejecute con su propio conjunto único de propiedades, cree un grupo de aplicaciones único para dicha aplicación.

Información adicional: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/deployguide/iisdg_eas_yquz.asp (este sitio está en inglés)

3.7. Resumen de seguridad de IIS

Nueva arquitectura de IIS 6.0 para una mayor seguridad y confiabilidad Utilice las herramientas, consejos y actualizaciones de seguridad más

recientes para el servidor Web Manténgase informado y mantenga los sistemas actualizados

IIS 6.0 se instala con el tratamiento de solicitudes de páginas Web estáticas habilitado y con todas las demás características de tratamiento de solicitudes desactivadas. De esta forma se garantiza que los administradores de Windows no se enfrenten a amenazas de seguridad innecesarias. Desde el momento en que se instala IIS, el perfil de seguridad bloqueado de IIS 6.0 reduce el área expuesta a ataques que los intrusos podrían utilizar. Las características de instalación y habilitación de servicios de IIS 6.0 simplifican las tareas administrativas asociadas a la administración de servicios de IIS en cuanto a seguridad.

Compruebe que utiliza la versión más reciente de la herramienta Bloqueo de seguridad de IIS y de URLScan en los servidores. La versión más reciente de la herramienta Bloqueo de seguridad de IIS es la 2.1 e incluye la versión 2.0 de URLScan. La versión 2.5 de URLScan está disponible como descarga independiente. Asegúrese de que mantiene actualizados todos los servidores con los Service Packs, revisiones y correcciones más recientes.

34

Para obtener más información:

http://www.microsoft.com/windowsserver2003/iis/evaluation/overview/previous.mspxhttp://www.microsoft.com/windowsserver2003/iis/evaluation/demos/default.mspx

http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.asp (estos sitios están en inglés)

35

4. Implementación de seguridad avanzada en el cliente

En este tema se describen las recomendaciones y técnicas avanzadas para proteger los equipos cliente de la red. Algunos de los conceptos específicos que se tratarán son:

• Directivas de restricción de software• Aplicación de directivas de restricción de software• Implementación de directivas de restricción de software• Diseño de directivas de restricción de software• Uso de plantillas de seguridad• Uso de directivas de cuentas en el nivel de dominio• Implementación de plantillas de seguridad• Protección de clientes antiguos• Situaciones de implementación• Directrices de seguridad para usuarios

4.1. Directivas de restricción de software

Cap7-12.jpg

La ejecución de código malintencionado supone un riesgo grave para la seguridad

Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado:

• Se aplican a archivos ejecutables, contenido activo y secuencias de comandos

• Se pueden distribuir con Directiva de grupo

Con el aumento del uso de redes e Internet en las actividades diarias de los equipos de las compañías, las posibilidades de encontrarse con código malintencionado son mayores que nunca. La colaboración se ha vuelto más sofisticada debido al uso del correo electrónico, la mensajería instantánea y las aplicaciones de igual a igual. A medida que aumentan estas oportunidades de

36

colaboración, también lo hace el riesgo de que virus, gusanos y otros tipos de código malintencionado invadan los sistemas. El correo electrónico y la mensajería instantánea pueden transportar código hostil no solicitado. El código hostil puede adoptar numerosas formas: ejecutables (.exe) nativos de Windows, macros en documentos de procesamiento de texto (.doc) o secuencias de comandos (.vbs).

• La ejecución de código malintencionado representa un riesgo grave para la seguridad. Los creadores de virus y gusanos emplean a menudo estratagemas sociales a fin de engañar a los usuarios para que los activen. Debido al gran número y variedad de formas que puede adoptar el código, puede resultar difícil para los usuarios saber qué pueden ejecutar de forma segura y qué no. Cuando se activa el código malintencionado, puede dañar el contenido de un disco duro, inundar una red con un ataque de denegación de servicio (DoS, Denial Of Service), enviar información confidencial a Internet o comprometer la seguridad de un equipo.

• Las directivas de restricción de software impiden que los usuarios ejecuten código malintencionado. Las directivas de restricción de software determinan los programas que los usuarios pueden ejecutar en un equipo. Al impedir que los usuarios ejecuten programas no autorizados se puede garantizar que los usuarios no creen puntos vulnerables. Es posible aplicar directivas de restricción de software mediante directivas locales en equipos independientes, pero son más eficaces cuando se incorporan a una infraestructura de directivas de grupo basadas en dominios.• Las directivas de restricción de software se aplican a

distintos tipos de programas, como archivos ejecutables, contenido activo, secuencias de comandos e incluso archivos DDL específicos.

• Las directivas de restricción de software pueden distribuirse con Directiva de grupo.

Nota: aunque las directivas de restricción de software constituyen una herramienta importante para mejorar la seguridad de los equipos, no sustituyen a otras medidas de seguridad, como programas antivirus, servidores de seguridad y listas de control de acceso restrictivas.

Información adicional:

Threats and Countermeasures Guide: http://www.microsoft.com/technet/security/topics/hardsys/TCG/TCGCH00.asp(Este sitio está en inglés)

Using Software Restriction Policies to Protect Against Unauthorized Software: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.asp

37

(Este sitio está en inglés)

4.2. Aplicación de directivas de restricción de software

Determine la configuración predeterminada para la directiva de restricción de software:

• Restringida o Permitida

Determine las excepciones a la configuración predeterminada:

• Reglas hash• Reglas de certificado• Reglas de ruta de acceso• Reglas de zona de Internet

Determine si se aplican varias reglas:

• Aplique la prioridad de reglas

Cap7-13.jpg

Determine la configuración predeterminada para la directiva de restricción de software. Cuando configure una directiva de restricción de software en un objeto de directiva de grupo (GPO), establezca el comportamiento predeterminado para todas las aplicaciones que se ejecuten en equipos a los que afecte el GPO. De forma predeterminada, una directiva de restricción de software recién creada permite la ejecución de todas las aplicaciones. Las reglas de una directiva de restricción de software definen las excepciones a estas reglas predeterminadas. Por ejemplo, si la directiva de restricción de software bloquea todas las aplicaciones, puede utilizar las reglas para habilitar aplicaciones específicas.

Determine las excepciones a la configuración predeterminada. Hay disponibles cuatro tipos de reglas de restricción de software que se aplican en este orden:

1. Hash. Esta regla está basada en un identificador de cifrado que identifica de forma única un archivo de aplicación específico independientemente de su nombre o ubicación. Al crear una regla hash, se crea un hash del archivo ejecutable de la aplicación. Cuando un usuario intenta ejecutar la aplicación, el equipo del usuario comprueba el hash y aplica la directiva.2. Certificado. Esta regla está basada en el certificado de una compañía de software que tiene asignado la aplicación. Por ejemplo, si ha desarrollado una aplicación personalizada, podría asignarle un certificado y configurar después la regla de restricción de software para confiar en el certificado adecuado.3. Ruta de acceso. Esta regla está basada en la ubicación del archivo ejecutable. Si selecciona una carpeta, la regla afectará a todas las aplicaciones

38

incluidas en la carpeta. También puede crear un tipo especial de regla de ruta de acceso que esté basado en ubicaciones del Registro. Prácticamente todas las aplicaciones tienen una ubicación predeterminada en el Registro, donde se almacena información específica de la aplicación. Puede crear una regla que bloquee o habilite una aplicación según estas claves del Registro.4. Zona de Internet. Esta regla controla el comportamiento de las aplicaciones en función de la zona de Internet de donde se descarga el software. Por ejemplo, si configura una regla que permita la ejecución de todas las aplicaciones descargadas de la zona Sitios de confianza o una regla que impida la ejecución de todas las aplicaciones descargadas de la zona Sitios restringidos.

Determine si se aplican varias reglas. La primera regla que coincida con los criterios de la aplicación será la que se aplique. Por ejemplo, si una regla hash habilita una aplicación, ésta se ejecutará aunque se encuentre en una carpeta restringida por una regla de ruta de acceso. Si una aplicación está restringida por una regla de certificado, no se ejecutará aunque esté permitida por una regla de ruta de acceso o de zona de Internet. Si las reglas de ruta de acceso entran en conflicto, tendrá prioridad la más específica. Por ejemplo, en el caso de un archivo de comandos VBS incluido en la carpeta C:\Apps, una regla de ruta de acceso como C:\Apps\*.VBS tendrá prioridad sobre *.VSB o C:\Apps. Una regla de ruta de acceso como C:\Apps\Scripts tendrá prioridad sobre C:\Apps.

4.3. Implementación de directivas de restricción de software

Recomendaciones Regla recomendada

Restrinja la ejecución de una versión determinada de un programa Regla hash

Restrinja la ejecución de un programa que siempre se instala en el mismo directorio

Regla de ruta de acceso con variables de entorno

Restrinja la ejecución de un programa que se puede instalar en cualquier ubicación en un equipo cliente

Regla de ruta de acceso al Registro

Identifique un conjunto de archivos de comandos en un servidor central

Regla de ruta de acceso

Restrinja la ejecución de todos los archivos .vbs (excepto los ubicados en un directorio de archivos de comandos de inicio de

sesión)

Regla de ruta con caracteres comodín

Identifique un conjunto de archivos de comandos que se puedan ejecutar en cualquier lugar

Regla de certificado

Permita la instalación de aplicaciones desde un servidor de Internet de confianza

Regla de zona

Opciones de configuración adicionales: Comprobación de archivos DLL, aplicación de reglas a administradores y configuración de tipos de archivo

Las directivas de restricción de software proporcionan herramientas eficaces para limitar las aplicaciones que pueden ejecutar los usuarios. No obstante, la

39

implementación de estas directivas puede resultar un proceso complejo. Aplique las siguientes recomendaciones al implementar directivas de restricción de software:

• Para permitir o impedir la ejecución de una versión determinada de un programa, configure una regla hash, buscando el archivo ejecutable y cree un hash.

• Para impedir la ejecución de un programa que siempre se instala en la misma ubicación, cree una regla de ruta de acceso con variables de entorno. Por ejemplo, para restringir Internet Explorer, cree una regla de ruta de acceso que impida la ejecución de %ProgramFiles%\Internet Explorer\iexplore.exe.

• Para identificar programas cuya ruta de instalación no conozca, cree una regla de ruta de acceso al Registro. Por ejemplo, cree una regla que permita la ejecución de una aplicación que almacene su configuración en la clave %HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\InoculateIT\6.0\Path\HOME%.

• Para habilitar un conjunto de archivos de comandos en un servidor central, cree una regla de ruta de acceso. Por ejemplo, si todos los archivos de comandos necesarios están ubicados en una carpeta compartida denominada \\NOMBRE_SERVIDOR\Share, cree una regla de ruta de acceso que permita la ejecución de todos los archivos de comandos desde esta ruta de acceso.

• Para impedir la ejecución de todos los archivos .vbs, excepto aquellos que se encuentren en un directorio de archivos de comandos de inicio de sesión, cree dos reglas de ruta de acceso con caracteres comodín. Por ejemplo, cree una regla que impida la ejecución de *.VBS y, a continuación, una regla que establezca \\NOMBRE_SERVIDOR\Share\*.VBS en Irrestricto. Se aplicará la regla más específica para los archivos de comandos del directorio adecuado.

• Para identificar un conjunto de archivos de comandos que pueden ejecutarse en cualquier lugar, cree una regla de certificado. A continuación, firme digitalmente todos los archivos de comandos con un certificado de confianza.

• Para permitir la ejecución de todas las aplicaciones provenientes de sitios de la zona Internet Sitios de confianza, configure una regla de zona que permita la ejecución de las aplicaciones de Sitios de confianza. A continuación, agregue el sitio a la lista de sitios de confianza en todos los equipos cliente.

Opciones de configuración adicionales

• : Comprobación de archivos DLL. De forma predeterminada, las reglas de directivas de restricción de software no se aplican a los archivos DLL. Para mejorar la seguridad, puede habilitar la comprobación de archivos DLL.

40

• Aplicación de reglas a administradores. Es posible que los administradores necesiten ejecutar cualquier aplicación. Puede utilizar la configuración de objetos de directiva de grupo (GPO) para impedir la aplicación de directivas de restricción de software a los administradores.

• Configuración de tipos de archivo. Las reglas de directivas de restricción de software se aplican únicamente a un conjunto predeterminado de tipos de archivo. Si necesita restringir otros tipos de archivo, agregue la extensión de archivo a la lista predeterminada.

4.4. Diseño de directivas de restricción de software

Cap7-14.jpg

Objeto de directiva de grupo (GPO) o directiva de seguridad local Directiva de usuario o de equipo Nivel de seguridad predeterminado Configuración de las reglas necesarias

41

Opciones de directiva Vinculación de la directiva a un sitio, dominio o unidad organizativa

Al diseñar las directivas de restricción de software, determine lo siguiente:

• Objeto de directiva de grupo (GPO) o directiva de seguridad local. ¿Debe aplicarse la directiva a muchos equipos o usuarios, o únicamente al equipo local? Utilice un GPO si la directiva se aplica a muchos equipos o usuarios de un dominio o a otro contenedor de Active Directory. O bien, utilice la directiva de seguridad local si se aplica únicamente al equipo local.

• Directiva de usuario o de equipo. ¿Debe aplicarse la directiva a usuarios o a equipos? Elija una directiva de usuario si desea que la directiva se aplique a un grupo específico de usuarios, por ejemplo, al grupo de dominio Departamento de Marketing. O bien, elija una directiva de equipo si desea que la directiva se aplique a un conjunto de equipos y sus usuarios.

• Nivel de seguridad predeterminado. ¿Sabe las aplicaciones

específicas que los usuarios necesitan o pueden instalar cualquier aplicación que elijan? Establezca el nivel de seguridad predeterminado en No permitido si sabe todas las aplicaciones que utilizarán los usuarios. A continuación, deberá crear reglas de restricción de software para cada aplicación que los usuarios deban ejecutar en sus equipos. Establezca el nivel de seguridad predeterminado en Irrestricto si los usuarios pueden instalar cualquier aplicación o si su principal preocupación es restringir la ejecución de aplicaciones específicas. Después, deberá configurar reglas para todas las aplicaciones no permitidas.

• Configuración de las reglas de directivas de restricción de software.

Para obtener información detallada sobre qué reglas utilizar y cómo configurarlas, consulte el documento “Using Software Restriction Policies to Protect Against Unauthorized Software” en http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.asp (este sitio está en inglés).

• Opciones de directiva. Configure las opciones de directiva

adicionales.

• Vinculación de la directiva a un sitio, dominio o unidad organizativa. La mejor manera de distribuir las directivas de restricción de software es vincularlas a un objeto contenedor de Active Directory. Tenga en cuenta los requisitos de las directivas de restricción de software al diseñar la estructura de unidades organizativas (OU) de Active Directory. Puede aplicar filtros a objetos de directiva de grupo (GPO) para limitar la aplicación de directivas de restricción de software. Puede establecer que una parte de una unidad

42

organizativa reciba un GPO si aplica un filtro basado en la pertenencia a grupos. También puede emplear filtros de Instrumental de administración de Windows (WMI) con Windows XP para aplicar directivas de grupo a determinados equipos; por ejemplo, a equipos con una versión o Service Pack específicos de Windows.

Nota: cree siempre un GPO independiente para las directivas de restricción de software. Si crea un GPO independiente para la configuración de la directiva, puede deshabilitarlo en caso de emergencia sin que ello afecte al resto de la configuración de seguridad.

4.5. Uso de plantillas de seguridad

Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas para la protección de equipos que se ejecutan en la plataforma Windows

Cap7-15.jpg

Área de seguridad Descripción

Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos

Directivas localesDirectiva de auditoría, asignación de derechos de usuario y opciones de

seguridad

Registro de sucesosConfiguración de los registros de aplicación, sistema y sucesos de

seguridadGrupos restringidos Pertenencia a grupos sensibles a la seguridad

Servicios del sistema Inicio y permisos para servicios del sistema

Registro Permisos para claves del Registro

Sistema de archivos Permisos para carpetas y archivos

Las plantillas de seguridad son archivos basados en texto que definen la configuración de directivas de seguridad para equipos que se ejecutan en la plataforma Windows. Con la herramienta Configuración y análisis de seguridad, los administradores pueden seleccionar una plantilla de seguridad predefinida o personalizada y aplicarla a un sistema según la función de éste.

• Puede aplicar plantillas de seguridad con Directiva de grupo. El uso de Directiva de grupo permite aplicar la configuración de las plantillas de forma centralizada y exigir la aplicación de esta configuración aunque se modifique en un equipo.

43

• Puede combinar plantillas y aplicarlas a distintos niveles de la estructura de Active Directory a fin de reducir el tiempo necesario para administrar la configuración de seguridad.

• Las guías de configuración de seguridad de Windows contienen plantillas recomendadas para diversas funciones comunes de los equipos.• La Guía de seguridad de Windows Server 2003 incluye 24

plantillas de seguridad. Puede utilizar estas plantillas para establecer la configuración de seguridad de dominios, así como la configuración de seguridad para diversas funciones de servidor y entornos con distintos requisitos en seguridad (incluidas las plantillas para clientes corporativos, de alta seguridad y clientes antiguos).

• La Guía de seguridad de Microsoft Windows XP incluye plantillas de seguridad para clientes corporativos (equipos de escritorio y equipos portátiles), de alta seguridad (equipos de escritorio y equipos portátiles) y para clientes antiguos (cuentas, equipos de escritorio y equipos portátiles con configuración corporativa y de alta seguridad).

• Las plantillas de seguridad contienen opciones de configuración para las siguientes áreas:

• Directivas de cuentas• Directivas locales• Registro de sucesos• Grupos restringidos• Servicios del sistema• Registro• Sistema de archivos

44

4.6. Uso de directivas de cuentas en el nivel de dominio

Cap7-16.jpg

Opción VulnerabilidadMedida

preventivaPosibles efectos

Ejemplo de directiva de cuentas: Forzar el historial

de contraseñas

Los usuarios utilizan de nuevo la misma

contraseña

Utilice el valor máximo

Los usuarios pueden tener anotadas contraseñas

antiguas

Ejemplo de directiva de cuentas: Las contraseñas

deben cumplir los requisitos de complejidad

Las contraseñas que no son complejas se

pueden adivinar fácilmente

Habilite esta opción

Indique a los usuarios que utilicen frases

Los usuarios pueden no recordar contraseñas

complejas

Ejemplo de directiva de cuentas: Vigencia mínima de

la contraseña

Los usuarios pueden cambiar de

contraseña varias veces para poder

utilizar de nuevo una contraseña

Establezca 2 días para la opción

Vigencia mínima de la contraseña

Si un administrador cambia la contraseña de un

usuario, es posible que el usuario no pueda cambiarla

durante 2 días

Ejemplo de directiva Kerberos: Forzar

restricciones de inicio de sesión de usuario

Los usuarios pueden obtener vales de

sesión para servicios no autorizados

Reduzca la caducidad de los vales y exija una

sincronización más estricta de los

relojes

Mayor tráfico de red; incapacidad para

conectarse a los servidores

Las directivas de cuentas se implementan en el nivel de dominio. Si se establecen directivas de cuentas en Active Directory en cualquier nivel distinto del nivel de dominio, sólo se ven afectadas las cuentas locales en los servidores integrantes. Si hay grupos que necesitan directivas de contraseñas independientes, deben separarse en otro dominio o bosque en función de los requisitos adicionales.

• La plantilla para clientes corporativos de nivel de dominio que proporciona la Guía de seguridad de Windows Server 2003 incluye las siguientes opciones de cuentas: Forzar el historial de contraseñas = se recuerdan 24 contraseñas; Vigencia máxima de la contraseña = 42 días; Vigencia mínima de la contraseña = 2 días; Longitud mínima de la contraseña = 8 caracteres; Las contraseñas deben cumplir los requerimientos de complejidad = habilitada; y Almacenar contraseñas con cifrado reversible para

45

todos los usuarios del dominio = deshabilitada. La plantilla de seguridad no define las directivas Kerberos.

• La configuración de directivas de cuentas es fundamental para la seguridad de los clientes y de la red. La plantilla de seguridad necesita contraseñas complejas, lo que significa que las contraseñas deben cumplir tres de estos cuatro requisitos de complejidad: caracteres en mayúsculas (A–Z), caracteres en minúsculas (a–z), 10 dígitos de base (0–9) y caracteres no alfanuméricos (!, $, # o %). Además, una contraseña debe tener seis caracteres como mínimo y no puede contener tres o más caracteres del nombre de la cuenta del usuario.

• En la mayoría de los casos, las contraseñas complejas largas proporcionan el mejor nivel de seguridad para las cuentas. Otra opción es establecer un valor bajo de umbral de bloqueo de cuenta de manera que las cuentas de usuario se bloqueen después de un número bajo de intentos incorrectos de inicio de sesión. No obstante, este método es problemático, ya que los usuarios no pueden tener acceso a los recursos de la red si por equivocación bloquean su propia cuenta o los atacantes pueden bloquear muchas cuentas de usuario al intentar iniciar una sesión como varios usuarios. Un método mejor es exigir contraseñas complejas largas y establecer un umbral de bloqueo de cuenta bastante alto de manera que el usuario pueda realizar varios intentos con la contraseña.

Información adicional:

http://www.microsoft.com/technet/security/topics/hardsys/TCG/TCGCH02.asp(Este sitio está en inglés)

46

4.7. Implementación de plantillas de seguridad

Implemente plantillas de seguridad con directivas de grupo Examine las plantillas de seguridad de la Guía de seguridad de Windows

XP Importe las plantillas predeterminadas a un GPO y modifíquelas si es

necesario

Implemente plantillas de seguridad con directivas de grupo Examine las plantillas de seguridad de la Guía de seguridad de Windows

XP Importe las plantillas predeterminadas a un GPO y modifíquelas si es

necesario

OpciónConfiguración en la

plantilla de seguridad

Requisito de la compañíaConfiguración

modificada en la plantilla

Tener acceso a este equipo desde la red

Administradores, Usuarios

Sólo unos pocos usuarios necesitan tener acceso a los recursos compartidos en el

equipo

Limite el acceso a grupos de seguridad

específicos

Haga copia de seguridad de

archivos y directorios

Administradores

Los usuarios de equipos portátiles deben poder

realizar copias de seguridad de archivos sin ser

administradores

Conceda a los usuarios de equipos portátiles el

derecho de realizar copias de seguridad de

archivos

Inicio de sesión interactivo: requerir tarjeta inteligente

No configurada

Únicamente los usuarios con tarjetas inteligentes pueden

iniciar una sesión en estaciones de trabajo

administrativas

Habilite la opción

La opción más fácil y segura para implementar plantillas de seguridad es mediante objetos de directiva de grupo (GPO) vinculados a objetos contenedores de Active Directory, como sitios, dominios y unidades organizativas (OU).

• Implemente plantillas de seguridad con directivas de grupo. La Guía de seguridad de Microsoft Windows XP proporciona plantillas para clientes corporativos y de alta seguridad. Estas plantillas se pueden importar a un GPO, para después modificarlas e implementarlas según sea necesario.

• Examine las plantillas de seguridad de la Guía de seguridad de Microsoft Windows XP. Para ver una descripción de cada opción y cómo las configura cada plantilla, consulte Threats and Countermeasures Guide. La guía contiene consejos detallados sobre cada opción de directiva, los puntos vulnerables de seguridad asociados a esa opción y las distintas maneras en que puede utilizarse la opción para mitigar los puntos vulnerables.

47

• Importe las plantillas predeterminadas a un GPO y modifíquelas si es necesario. Importe a un GPO la plantilla de seguridad que más se aproxime a sus requisitos de seguridad. Modifique la configuración de la plantilla de seguridad para adaptarla a sus requisitos. Implemente el GPO en los objetos contenedores adecuados de Active Directory.

4.8. Protección de clientes antiguos

Los clientes Windows 2000 pueden utilizar plantillas de seguridad implementadas mediante Directiva de grupo

Configure otros clientes con archivos de comandos o directivas: Secuencias de comandos de inicio de sesión Directivas del sistema Secuencias de comandos

Los clientes antiguos son equipos que ejecutan el sistema operativo Windows 2000 o versiones anteriores. La protección de estos clientes en la organización representa un desafío adicional.

• Clientes Windows 2000. Puede configurar clientes Windows 2000 como clientes Windows XP. Algunas opciones de directiva son diferentes entre estos sistemas operativos; por tanto, deberá agrupar los clientes que ejecutan Windows 2000 y Windows XP en unidades organizativas (OU) independientes. A continuación, aplique objetos de directiva de grupo (GPO) distintos a cada OU.

• Otros clientes. Windows NT 4.0, Windows 95, Windows 98 y Windows Millennium Edition no proporcionan el mismo nivel de seguridad que Windows 2000 y Windows XP. Emplee los siguientes métodos para la protección de estos clientes:• Utilice secuencias de comandos de inicio de sesión.

Cuando un usuario inicia una sesión en un equipo con Windows NT 4.0, puede utilizar secuencias de comandos de inicio de sesión para configurar el equipo de forma centralizada. Coloque estas secuencias de comandos en una ubicación de red para su mantenimiento centralizado. Las secuencias de comandos de inicio de sesión proporcionan una funcionalidad limitada, ya que se ejecutan en el contexto de seguridad del usuario. Los usuarios también pueden impedir que se ejecuten estas secuencias de comandos si desconectan el equipo de la red.

• Utilice directivas del sistema. Las directivas del sistema se utilizaron en versiones anteriores a Windows 2000. Aunque no son tan eficaces como las directivas de grupo, se pueden seguir utilizando para automatizar la aplicación de algunas opciones de seguridad.

• Secuencias de comandos. Puede utilizar secuencias de comandos, incluidos archivos de proceso por lotes, como

48

ayuda para proteger todo tipo de clientes antiguos. El uso de estas secuencias de comandos sólo ofrece seguridad limitada, ya que los usuarios pueden impedir que se ejecuten o deshabilitar opciones contenidas en estas secuencias.

Información adicional:

Para obtener una lista de todas las opciones predeterminadas para objetos de directiva de grupo, consulte la hoja de cálculo Group Policy Object Settings en: http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/gpss.asp (este sitio está en inglés).

4.9. Situaciones de implementación

Equipo cliente Ubicación y uso Configuración de seguridad

Windows XP Professional

(Equipo independiente)

Lugar público para explorar la intranet

• La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer

• Implemente una plantilla de alta seguridad• Las directivas se configuran mediante la directiva de

seguridad local

Windows XP Professional

(Integrante de un dominio)

Lugar público para servidores Web de correo electrónico y

de terminal

• La directiva impide la ejecución de todas las aplicaciones, excepto Internet Explorer y Conexión a escritorio remoto

• Implemente una plantilla de alta seguridad• Las directivas se configuran mediante objetos de

directiva de grupo asignados a unidades organizativas

Windows XP y 2000 Professional (Integrante de un

dominio)

En una oficina segura para realizar

actividades empresariales

• La directiva restringe sólo aplicaciones específicas• Implemente una plantilla de seguridad para clientes

corporativos y modifíquela según sea necesario• Las directivas se configuran mediante objetos de

directiva de grupo asignados a unidades organizativas

Windows XP Professional

(Integrante de un dominio)

En una oficina segura y para el uso por parte de

administradores de dominios

• La directiva impide la ejecución de todas las aplicaciones (pero no se aplica a los administradores)

• Implemente una plantilla de alta seguridad y modifíquela según sea necesario

• Las directivas se configuran mediante objetos de directiva de grupo asignados a unidades organizativas

Aplique directivas de seguridad restrictivas y plantillas de seguridad para mejorar la seguridad de los clientes. Implemente siempre las directivas de seguridad más restrictivas que permitan a los usuarios realizar sus tareas. La mayoría de los entornos de red tienen implementan las estaciones de trabajo en varios escenarios distintos.

Al diseñar la configuración de seguridad, tenga en cuenta lo siguiente:

• El sistema operativo del cliente

49

• Si el cliente es un equipo independiente o un integrante de un dominio

• La ubicación del cliente (en un lugar público o una oficina segura)• El uso del cliente (para explorar la red intranet, comprobar el correo

electrónico o realizar actividades empresariales)

4.10. Directrices de seguridad para usuarios

Cap7-17.jpg

Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad. No obstante, los usuarios pueden adoptar medidas sencillas que ayuden a proteger la infraestructura de la red. Pueden evitarse muchas infracciones de seguridad si se instruye a los usuarios para que sigan estas directrices:

1. Elegir contraseñas complejas. Para esto es necesario que los usuarios sepan en qué consiste una contraseña compleja y quizás sea necesario enseñarles cómo pueden recordar contraseñas complejas.

2. Proteger las contraseñas. Compruebe que los usuarios entienden por qué son importantes las contraseñas para la seguridad.

50

3. Bloquear los equipos desatendidos. Los usuarios no deben dejar desatendidos los equipos sin bloquear sus escritorios. Considere la posibilidad de exigir esta configuración mediante un protector de pantalla que bloquee automáticamente el escritorio después de un período de inactividad.

4. No iniciar una sesión con una cuenta con privilegios. Si es posible, los usuarios no deben tener acceso administrativo a sus equipos. Si la organización necesita esta clase de acceso, asegúrese de que los usuarios inician las sesiones con una cuenta sin privilegios y, después, utilicen una característica de inicio de sesión secundario para realizar las tareas administrativas.

5. Ejecutar sólo programas de confianza. Las directivas de restricción de software pueden impedir que los usuarios ejecuten programas no autorizados. Los usuarios también deben ser conscientes del peligro de ejecutar programas no autorizados por la organización.

6. No abrir datos adjuntos sospechosos. Los servidores de correo y las aplicaciones cliente pueden bloquear datos adjuntos ejecutables, pero es posible que estos métodos no funcionen correctamente. Los usuarios deben saber lo peligroso que puede ser abrir datos adjuntos desconocidos.

7. No ser víctima de estratagemas sociales. Las estratagemas sociales son técnicas que engañan a los usuarios para que pongan en peligro la seguridad. Los usuarios deben ser conscientes de los métodos de estratagemas sociales que los atacantes utilizan y cómo responder ante tales métodos.

8. Revisar las directivas de seguridad de la organización. Asegúrese de que las directivas de seguridad son fáciles de entender y que los usuarios las consultan con regularidad.

9. No intentar suplantar la configuración de seguridad. Los usuarios deben darse cuenta de que la configuración de seguridad se ha implementado por un motivo y que intentar omitirla puede poner en peligro la seguridad de la organización.

10. Informar sobre incidentes sospechosos. Los informes y la documentación de estos incidentes permitirá investigarlos y responder a ellos.

51

5. Métodos para proporcionar seguridad a clientes móviles

En este tema se proporcionan recomendaciones y métodos específicos para la seguridad de los clientes móviles en un entorno empresarial. Algunos de los conceptos específicos que se tratarán son:

• Tipos de clientes• Desafíos de las directivas de grupo para clientes remotos• Protección del acceso al correo electrónico para clientes remotos• Compatibilidad con seguridad de clientes inalámbricos• Prácticas de seguridad para clientes móviles

5.1. Tipos de clientes

Cap7-18.jpg

La estrategia para la protección de los clientes móviles depende del tipo de cliente.

• Las principales preocupaciones respecto a clientes de red privada virtual (VPN, Virtual Private Network) y de acceso telefónico son:• Seguridad de los hosts. A menudo los clientes VPN no se

administran de forma centralizada.• Autenticación. Resulta más conveniente la autenticación

mediante varios factores si los equipos cliente se encuentran en instalaciones no seguras.

• Las principales preocupaciones respecto a clientes inalámbricos son:

52

• Autenticación de los equipos. Debe limitar el acceso a únicamente los equipos autorizados.

• Confidencialidad del tráfico de red. Debe asegurarse de que el tráfico de la red inalámbrica está cifrado.

• Las principales preocupaciones respecto al acceso remoto al correo son:• Autenticación de los clientes. Es posible que los clientes se

conecten desde ubicaciones no seguras.• Confidencialidad del tráfico de correo. Los clientes se

comunican con el servidor a través de Internet.

5.2. Desafíos de las directivas de grupo para clientes remotos

Los clientes pueden no ser integrantes del dominio:

La directiva de grupo se aplica únicamente a los integrantes del dominio

Considere el uso de una red privada virtual con acceso limitado

Considere el uso de Control de cuarentena de acceso a la red

La configuración de directivas de grupo sólo se puede actualizar cuando los clientes se conectan

Tenga en cuenta que se puede producir un retardo si la configuración de directivas de grupo se aplica a través de vínculos lentos

Cap7-19.jpg

• Al proteger clientes VPN y de acceso telefónico, recuerde que estos clientes pueden no pertenecer al dominio corporativo. Por tanto, es posible que no pueda utilizar Directiva de grupo para configurar automáticamente estos equipos cliente. Trate los clientes VPN y de acceso telefónico como posibles amenazas para la red, ya que pueden introducir virus y producir otros daños.

• Permita que sólo los integrantes del dominio se conecten a la VPN corporativa. Esta opción garantiza que únicamente los equipos administrados se conecten a la red.

• Cree una red independiente para los clientes VPN y de acceso telefónico. Esto proporcionará un acceso limitado al resto de la red corporativa.

• Utilice la característica Control de cuarentena de acceso a la red de Windows 2003. Esta característica permite a un servidor de Servicios de enrutamiento y acceso remoto (RRAS, Routing and Remote Access Service) comprobar la configuración de seguridad de un equipo cliente, restringir el acceso del cliente a la red mientras las comprobaciones están en curso y desconectar el

53

cliente si la configuración de seguridad no cumple las directrices corporativas.

• La configuración de directivas de grupo sólo se puede aplicar cuando los clientes se conectan a la red corporativa. Esto significa que es posible que los clientes móviles no tengan la configuración más segura de directivas de grupo mientras no están conectados a la red o inmediatamente después de conectarse.

• La configuración de directivas de grupo, incluida la configuración de seguridad, se aplica cuando los clientes se conectan a la red corporativa. Si esto se realiza a través de un vínculo lento, los usuarios pueden sufrir retardos en las operaciones de red mientras se recupera y aplica la configuración.

Información adicional:

Consulte el documento Virtual Private Networks for Windows Server 2003 enhttp://www.microsoft.com/windowsserver2003/technologies/networking/vpn/default.mspx (este sitio está inglés).

5.3. Protección del acceso al correo electrónico para clientes remotos

Acceso nativo a Outlook RPC sobre HTTP Microsoft Office Outlook Web Access (OWA):

Métodos de autenticación Cifrado

POP, IMAP y SMTP Outlook Mobile Access

Cap7-20.jpg

Cuando los usuarios móviles necesitan acceso seguro a los mensajes de correo electrónico, pero no necesitan acceso total a la red corporativa mediante una red privada virtual (VPN), es posible proporcionar únicamente acceso al correo electrónico. Hay varias maneras de proporcionar acceso al correo electrónico:

• Acceso nativo a Outlook. El acceso nativo a Outlook permite a los usuarios utilizar el cliente de Microsoft Outlook para establecer una conexión al servidor mediante la Interfaz de programación de aplicaciones de mensajería (MAPI, Messaging Application Programming Interface). MAPI utiliza Llamadas a procedimiento remoto (RPC) como el protocolo subyacente. La configuración de servidores de seguridad convencionales para la compatibilidad con el tráfico RPC puede ser difícil y afectar a la seguridad de estos servidores. Microsoft Internet Security and Acceleration (ISA)

54

Server es un servidor de seguridad que realiza inspecciones del tráfico RPC en las aplicaciones.

• RPC sobre HTTP. Outlook 2003 y Microsoft Exchange Server 2003 encapsulan el tráfico RPC dentro del tráfico HTTP. Cuando se configuran clientes y servidores para utilizar RPC sobre HTTP, sólo es necesario configurar el servidor de seguridad para que permita el tráfico a través del puerto 80 ó 443, que son puertos estándar abiertos en muchos servidores de seguridad.

• Outlook Web Access (OWA). OWA permite el acceso desde cualquier explorador Web. Los usuarios móviles que utilizan OWA no necesitan el cliente Outlook. La experiencia de los usuarios con Exchange Server 2003 y OWA es prácticamente idéntica al uso del cliente Outlook completo.• OWA admite varios métodos de autenticación Web

estándar. Exchange Server 2003 incluye la autenticación basada en formularios. Esto permite configurar un tiempo de espera de manera que los clientes deban volver a autenticarse después de un período de inactividad.

• Puede cifrar todo el tráfico OWA mediante SSL.• POP, IMAP y SMTP. Estos protocolos de correo estándar pueden

proporcionar acceso al servidor de Exchange. Ninguno de estos protocolos proporciona cifrado y no se recomiendan para programas corporativos de correo electrónico. Estos protocolos permiten el acceso únicamente a mensajes de correo electrónico. No proporcionan acceso a calendarios ni a información de contacto.

• Outlook Mobile Access. Este conjunto de funciones permite a los usuarios con dispositivos móviles sincronizar la información de correo electrónico y de contacto en sus dispositivos con Exchange Server.

5.4. Compatibilidad con seguridad de clientes inalámbricos

Windows XP: Ofrece compatibilidad nativa con

802.1x Windows 2000:

802.1x está deshabilitado de forma predeterminada

La configuración requiere una utilidad de terceros

No se configuran perfiles específicos de los usuarios

No se puede utilizar Directiva de grupo para la configuración

Cap7-21.jpg

55

La compatibilidad con redes inalámbricas varía según el sistema operativo que el cliente inalámbrico utiliza. Windows XP y Windows 2000 admiten 802.1x, que es un estándar diseñado para mejorar la seguridad de las redes de área local inalámbricas.

• Compatibilidad con Windows XP. Windows Server 2003 y Windows XP Professional ofrecen compatibilidad nativa con redes inalámbricas 802.1x y admiten el uso de directivas de grupo a fin de configurar opciones para redes inalámbricas.

• Compatibilidad con Windows 2000. Microsoft ha desarrollado un cliente 802.1x para Windows 2000 Professional, Windows NT 4.0, Windows 98 y Windows Millennium Edition. Algunos de los problemas del cliente 802.1x para Windows 2000 son: • Estado del servicio. El servicio 802.1x para Windows 2000

se instala en un estado deshabilitado.• Función de configuración rápida. El cliente de Windows

2000 no contiene la función de configuración rápida. Debe disponer de una utilidad de terceros para establecer la configuración de 802.1x.

• Herramientas de terceros. Muchas utilidades de terceros no guardan la configuración de 802.1x por cada usuario. Esto podría permitir que varios usuarios inicien sesiones en el mismo equipo y configuren un perfil común en lugar de un perfil específico para cada usuario.

• Directiva de grupo. No se admite la configuración de redes inalámbricas con Directiva de grupo.

5.5. Prácticas de seguridad para clientes móviles

56

Cap7-22.jpg

Tenga en cuenta las siguientes prácticas al configurar la seguridad de los clientes remotos de la red.

• Exija a los usuarios remotos el uso de una conexión VPN cifrada cuando utilicen un servicio de terminal u otras tecnologías de control remoto. Este método reduce la configuración de los servidores de seguridad para admitir más protocolos. También normaliza el punto de entrada en la red de manera que sea posible defender los puntos de entrada.

• Exija la autenticación mediante varios factores siempre que sea factible para el acceso telefónico o de VPN. Implemente tarjetas inteligentes o símbolos (token) para proporcionar un acceso telefónico o de VPN más seguro.

• Exija una revisión periódica de los registros de auditoría correspondientes a la actividad de acceso remoto. Toda la actividad de acceso telefónico se guarda automáticamente en el registro de sucesos del sistema. Compruebe con regularidad si se produce acceso remoto no autorizado.

• Exija la autenticación 802.1x para redes inalámbricas. Especifique el método de autenticación inalámbrica más seguro que admitan todos los clientes inalámbricos y puntos de acceso inalámbrico. Si es posible, exija el uso de la autenticación 802.1x para todo el acceso inalámbrico de la red.

57

6. Resumen del capítulo

Introducción a la seguridad avanzada de clientes y servidores Implementación de seguridad avanzada en el servidor Métodos para la protección de servidores IIS Implementación de seguridad avanzada en el cliente Métodos para proporcionar seguridad a clientes móviles

En este capitulo se han explicado los conceptos clave de seguridad avanzada de clientes y servidores. La seguridad de clientes y servidores es fundamental para todas las organizaciones, ya que una infracción de seguridad puede producir pérdidas de datos y daños en la infraestructura de red, así como perjudicar su reputación y sus ingresos. Aunque no es posible proteger totalmente una organización, debe lucharse por proteger los clientes y servidores de la red.En este capitulo se han tratado los temas siguientes:

• Introducción a la seguridad avanzada de clientes y servidoresEn este tema se han mostrado las prácticas básicas de seguridad para servidores y clientes más utilizadas. También se ha proporcionado una introducción a las prácticas avanzadas de seguridad para servidores y clientes que se han tratado en el resto de este capitulo.

• Implementación de seguridad avanzada en el servidorEn este tema se han explicado métodos y técnicas avanzados para la protección de los servidores. El tema se ha centrado en la configuración de servicios en los servidores, la protección de los servidores mediante filtros IPSec y las auditorías de seguridad.

• Métodos para la protección de servidores IISEn este tema se han ofrecido recomendaciones y métodos para proteger los servidores IIS. También se han descrito herramientas y métodos para la protección de servidores IIS 5.x e IIS 6.0.

• Implementación de seguridad avanzada en el clienteEn este tema se han descrito técnicas avanzadas para proteger equipos cliente. En el tema se han examinado las directivas de restricción de software, las plantillas de seguridad, las directivas de cuentas de dominio y cómo reforzar los clientes antiguos. También se han mostrado situaciones de implementación y directrices de seguridad para los usuarios.

• Métodos para proporcionar seguridad a clientes móvilesEn este tema se han explicado recomendaciones y métodos para proporcionar seguridad a clientes móviles en un entorno empresarial. Algunos de los conceptos tratados son los tipos de clientes, los desafíos de las directivas de grupo para clientes remotos, los desafíos de seguridad para clientes inalámbricos y las recomendaciones de seguridad para clientes móviles.

58

8. Pasos siguientes

1. Mantenerse informado sobre la seguridad Suscribirse a boletines de seguridad:

http://www.microsoft.com/security/security_bulletins/alerts2.asp(Este sitio está en inglés)

Obtener las directrices de seguridad de Microsoft más recientes:http://www.microsoft.com/security/guidance/(Este sitio está en inglés)

2. Obtener aprendizaje de seguridad adicional Buscar seminarios de aprendizaje en línea y presenciales:

http://www.microsoft.com/seminar/events/security.mspx(Este sitio está en inglés)

Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/learning/ (este sitio está en inglés)

• En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:

Obtener la información sobre seguridad más reciente. Obtener aprendizaje de seguridad adicional.

Para obtener más información

Sitio de seguridad de Microsoft (todos los usuarios) http://www.microsoft.com/security

Sitio de seguridad de TechNet (profesionales de IT) http://www.microsoft.com/technet/security

Sitio de seguridad de MSDN (desarrolladores) http://msdn.microsoft.com/security

Hay más información técnica para profesionales de tecnología de la información y desarrolladores en los sitios Web siguientes:

• Sitio de seguridad de Microsoft (todos los usuarios)• http://www.microsoft.com/security (este sitio está en inglés)

• Sitio de seguridad de TechNet (profesionales de IT) • http://www.microsoft.com/technet/security

(Este sitio está en inglés)

• Sitio de seguridad de MSDN® (desarrolladores)• http://msdn.microsoft.com/security (este sitio está en inglés)

59

9. Práctica A: Creación de una directiva de seguridad IP

Visualización de la directiva de cuentas del dominioGuía Pasos

EN DENVER Domain Controller

En esta práctica va a utilizar Group Policy Management Console (GPMC) para asignar una directiva de seguridad IP a controladores de dominio. Ya ha instalado GPMC en su equipo. La Guía de seguridad de Windows Server 2003 contiene una lista de las opciones recomendadas para limitar el tráfico de red entrante y saliente de los controladores de dominio en un entorno de alta seguridad. Hoy va a implementar estos filtros recomendados; para ello, cree un objeto de directiva de grupo (GPO) que contenga la directiva IPSec y asigne después esta directiva al GPO Controladores de dominio. A medida que cree la nueva directiva, ésta se vinculará automáticamente al GPO. En lugar de hacer esto, podría crear primero la directiva y vincularla más adelante al GPO Controladores de dominio.

1. Inicio | Herramientas administrativas | Group Policy Management.

2. En la vista de árbol de GPMC, en la parte izquierda, expanda Forest:nwtraders.msft, Domains (Dominios) y el nodo nwtraders.msft y, después, haga click en Domain Controllers (Controladores de dominio).

3. Haga click con el botón secundario del mouse en nwtraders.msft y seleccione Create and Link a GPO Here (Crear y vincular aquí un objeto de directiva de grupo) en el menú contextual.

4. En el cuadro de texto New GPO (Nuevo objeto de directiva de grupo), escriba Seguridad de controladores de dominio y, a continuación, haga click en OK (Aceptar).

5. En el árbol de la consola, haga click con el botón secundario del mouse en Seguridad de controladores de dominio y, después, haga click en Edit (Modificar).

6. En Configuración del equipo, expanda Configuración de Windows, expanda Configuración de seguridad y, a continuación, haga click en Directivas de seguridad IP en Active Directory (nwtraders.msft).

60

El primer paso consiste en crear una nueva directiva.Al crear la directiva, deshabilite la regla de respuesta predeterminada. De esta forma se garantiza el bloqueo de todas las comunicaciones que no coinciden con los filtros.Después de crear la directiva, puede definir inmediatamente su configuración. Esta directiva incluirá una sola regla de seguridad, que permitirá únicamente el tráfico de red seleccionado. Observe que la regla no especifica un túnel ya que define las comunicaciones directas entrantes y salientes de los controladores de dominio.

7. Haga click con el botón secundario del mouse en Directivas de seguridad IP y, a continuación, haga click en Crear directiva de seguridad IP.

8. En el Asistente para directivas de seguridad IP, haga click en Siguiente.

9. En la página Nombre de la directiva de seguridad IP, en el cuadro Nombre, escriba Domain Controllers IPSec Policy (Directiva IPSec Controladores de dominio) y, a continuación, haga click en Siguiente.

10.En la página Peticiones para la comunicación segura, desactive la casilla de verificación Activar la regla de respuesta predeterminada, haga click en Siguiente y, después, en Finalizar.

11.En el cuadro de diálogo Propiedades de Directiva IPSec Controladores de dominio, haga click en Agregar.

12.En el cuadro de diálogo Asistente para reglas de seguridad, haga click en Siguiente.

13.En la página Punto final del túnel, haga click en Siguiente.

14.En la página Tipo de red, haga click en Siguiente.

61

El siguiente paso es agregar la lista de filtros que define qué es el tráfico permitido. Agregue el primer filtro para permitir conexiones a las carpetas compartidas en los controladores de dominio mediante alojamiento directo. Este método utiliza los puertos TCP y UDP 445 de su equipo para establecer las conexiones. Las conexiones pueden provenir de cualquier puerto de cualquier otro equipo.

15.En la página Lista de filtros IP, haga click en Agregar.

16.En el cuadro de diálogo Lista de filtros IP, en el cuadro Nombre, escriba Proteger el tráfico de los controladores de dominio y haga click en Agregar.

17.En Asistente para filtros IP, haga click en Siguiente.

18.En el cuadro Descripción, escriba CIFS/SMB TCP, asegúrese de que está seleccionada la opción Reflejado y, a continuación, haga click en Siguiente.

19.En el cuadro de dirección Origen, haga click en Cualquier dirección IP y, después, en Siguiente.

20.En el cuadro de dirección Destino, haga click en Mi dirección IP y, después, en Siguiente.

21.En el cuadro Seleccione un tipo de protocolo, haga click en TCP y, a continuación, en Siguiente.

22.En la página Puerto de protocolo IP, compruebe que está seleccionada la opción Desde cualquier puerto, haga click en A este puerto, escriba 445, haga click en Siguiente y, por último, haga click en Finalizar.

23.En Lista de filtros IP, haga click en Agregar.24.En el Asistente para filtros IP, haga click en

Siguiente.25.En el cuadro Descripción, escriba Servidor

CIFS/SMB UDP, asegúrese que está seleccionada la opción Reflejado y, a continuación, haga click en Siguiente.

26.En el cuadro de dirección Origen, haga click en Cualquier dirección IP y, después, en Siguiente.

27.En el cuadro de dirección Destino, haga click en Mi dirección IP y, después, en Siguiente.

28.En el cuadro Seleccione un tipo de protocolo, haga click en UDP y, a continuación, en Siguiente.

29.En la página Puerto de protocolo IP, compruebe que está seleccionada la opción Desde cualquier puerto, haga click en A este puerto, escriba 445, haga click en Siguiente y, por último, haga clic en Finalizar.

62

A continuación, debe establecer la acción para el tráfico que coincide con los filtros. Permita que se procese este tráfico.Por último, debe asignar la directiva IPSec que contiene el objeto de directiva de grupo para activarla.

30.En el cuadro de diálogo Lista de filtros IP, haga click en Aceptar.

31.En la página Lista de filtros IP, haga click en Proteger el tráfico de los controladores de dominio y, a continuación, en Siguiente.

32.En la página Acción de filtrado, haga click en Permit y, a continuación, en Siguiente.

33.En la página Finalización del Asistente para reglas de seguridad, desactive la casilla de verificación Modificar propiedades y, después, haga click en Finalizar.

34.En el cuadro de diálogo Propiedades de Domain Controllers IPSec Policy, compruebe que está activada la casilla de verificación Proteger el tráfico de los controladores de dominio y, a continuación, haga click en Aceptar.

35.En el Editor de objetos de directiva de grupo, haga clic con el botón secundario del mouse en Domain Controllers IPSec Policy y, después, haga click en Asignar.

36.Cierre el Editor de objetos de directiva de grupo.

Como sólo ha definido los dos primeros filtros, si aplicó esta directiva de grupo al controlador de dominio no se permitirán todas las comunicaciones necesarias. Desvincule el objeto de directiva de grupo (GPO) de la unidad organizativa (OU) Controladores de dominio. Siempre puede volver a vincularlo más adelante, después de haber definido todos los filtros IPSec restantes.

37.En Group Policy Management, haga click con el botón secundario del mouse en Seguridad de controladores de dominio y, después, desactive Link Enabled (Vínculo habilitado).

38.Cierre Group Policy Management.

39.Abra una ventana de símbolo del sistema.

40.En el símbolo del sistema, escriba gpupdate y presione ENTRAR.

41.Cierre la ventana de símbolo del sistema.

63