CAPITULO 8 Seguridad: Nuevas Funcionalidades en Windows Server 2003

8/14/2019 CAPITULO 8 Seguridad: Nuevas Funcionalidades en Windows Server 2003

1/11

Captulo 8 | Pgina 1 |

Captulo 8Seguridad: Nuevas funcionalidades en Windows Server 2003

Durante este captulo Usted ir asimilando conocimientos acerca de las mejoras de seguridad introducidas en WindowsServer 2003.

Al finalizar este captulo podr:

Describir las funcionalidades de seguridadImplementar y verificar las funcionalidades de seguridad

Nota: Dada la cantidad de informacin acerca de temas referentes a seguridad y tratndose este captulo de unresumen de las nuevas funcionalidades, sugerimos repasar los conocimientos adquiridos en Windows 2000, como as tambin las publicaciones de Technet.

Si Usted desea recibir el boletn de seguridad Microsoft, suscrbase al mismo mediante esta direccin, que adems deser gratuito, le ser de mucha utilidad en sus tareas diarias.

http://register.microsoft.com/subscription/subscribeme.asp?id=166

1. Introduccin

Las empresas han ampliado sus redes tradicionales de rea local (LAN) mediante la combinacin de sitios de Internet,intranets y extranets. Como resultado, una mayor seguridad de los sistemas resulta ahora ms importante que nunca.Para proporcionar un entorno informtico seguro, el sistema operativo Windows Server 2003 aporta muchascaractersticas nuevas e importantes de seguridad sobre aquellas incluidas originalmente en Windows 2000 Server.

www.microsoft.com/argentina/technet

2003 Microsoft Corporation. Todos los derechos reservados. Terminos de Uso
http://register.microsoft.com/subscription/subscribeme.asp?id=166http://register.microsoft.com/subscription/subscribeme.asp?id=166http://www.microsoft.com/Argentina/technet/http://register.microsoft.com/subscription/subscribeme.asp?id=166


2/11


1.1. Informtica de confianza

Los virus existen y por ello que la seguridad del software es un reto constante. Para hacer frente a stos,Microsoft ha convertido la informtica de confianza en una iniciativa clave para todos sus productos. Lainformtica de confianza es un marco para desarrollar dispositivos basados en equipos y software seguros yconfiables, como los dispositivos y aparatos domsticos que utilizamos diariamente. Aunque en la actualidadno exista ninguna plataforma de informtica de confianza, el nuevo diseo bsico de Windows Server 2003 esun paso slido hacia la conversin de este concepto en realidad.

1.2. Lenguaje comn en tiempo de ejecucin

El motor de software del lenguaje comn en tiempo de ejecucin es un elemento clave de Windows Server2003 que mejora la confiabilidad y facilita un entorno informtico seguro. Asimismo reduce el nmero deerrores y los agujeros de seguridad causados por errores comunes de programacin, posibilitando queexistan menos vulnerabilidades que los atacantes puedan explotar.

El lenguaje comn en tiempo de ejecucin verifica que las aplicaciones puedan realizarse sin errores, y a lavez comprueba los permisos de seguridad adecuados, asegurando que el cdigo realice exclusivamente lasoperaciones correctas. Esto se lleva a cabo comprobando aspectos como los siguientes: la ubicacin desde lacual se ha descargado o instalado el cdigo, si el cdigo tiene una firma digital de un desarrollador deconfianza, y si el cdigo ha sido alterado desde su firma digital.

1.3. Ventajas

Windows Server 2003 proporcionar una plataforma ms segura y econmica para la realizacin deactividades empresariales.

Ventaja Descripcin

Disminucin de costos Esto conlleva procesos de administracin de seguridad simplificados, como laslistas de control de acceso y el Administrador de credenciales.

Implementacin deestndares abiertos

El protocolo IEEE 802.1X facilita la seguridad de las LAN inalmbricas ante elpeligro de espionaje dentro del entorno empresarial.

Proteccin paraequipos mviles y otrosdispositivos nuevos

Las caractersticas de seguridad como el Sistema de archivos de cifrado (EFS),los servicios de certificado y la inscripcin automtica de tarjetas inteligentes,facilitan la seguridad de una amplia gama de dispositivos.El EFS es la tecnologa bsica para cifrar y descifrar archivos almacenados envolmenes NTFS. nicamente el usuario que cifra un archivo protegido puedeabrirlo y trabajar con l. Los servicios de certificado son una parte del sistemaoperativo bsico que permite que una empresa acte como si fuera unaentidad emisora de certificados (CA) y emita y administre certificados digitales.

La inscripcin automtica de tarjetas inteligentes y las caractersticas deentidad de registro automtico proporcionan seguridad a los usuariosempresariales, agregando otro nivel de autenticacin. Esto se realiza de formaadicional a los procesos de seguridad simplificada, en organizacionespreocupadas por su seguridad.

1.4. Mejoras y caractersticas nuevas

La familia de Windows Server 2003 proporciona las siguientes caractersticas:




3/11


Una plataforma ms segura para realizar actividades empresarialesLa mejor plataforma para la infraestructura de claves pblicasUna extensin segura de sus actividades empresariales en Internet

Una plataforma ms segura para llevar a cabo actividades empresariales

Windows Server 2003 proporciona muchas caractersticas nuevas y mejoradas que se combinan para crearuna plataforma ms segura para llevar a cabo actividades empresariales.

Caracterstica Descripcin

Servidor de seguridad de conexin a Internet

Windows Server 2003 proporciona seguridad de Internet mediante el uso deun servidor de seguridad basado en software, llamado Servidor de seguridadde conexin a Internet (ICF). El ICF proporciona proteccin a los equiposconectados directamente a Internet o a los equipos ubicados detrs de unequipo host de conexin compartida a Internet (ICS) y que ejecute un ICF.

Servidor IAS/RADIUS seguro

El Servidor de autenticacin de Internet (IAS) es un Servidor de usuario deacceso telefnico de autenticacin remota (RADIUS) que administra laautorizacin y la autenticacin del usuario. Tambin administra conexiones conla red mediante el uso de diversas tecnologas de conectividad, como elacceso telefnico, las redes privadas virtuales (VPN) y los servidores deseguridad.

Redes LAN Ethernet einalmbricas seguras

Windows Server 2003 permite la autenticacin y la autorizacin de usuarios yequipos que se conectan a redes LAN Ethernet e inalmbricas. Esto es posiblepor la compatibilidad de Windows Server 2003 con los protocolos IEEE802.1X. (Los estndares IEEE 802 definen mtodos para obtener acceso aredes LAN y controlarlas.)

Directivas de restriccinde software

Windows Server 2003 permitir que un administrador de sistemas utilice laexigencia de directivas o ejecucin para prevenir que se lleven a cabo en unequipo programas ejecutables. Por ejemplo, aplicaciones especficas de mbitocorporativo pueden ver su ejecucin restringida a menos que se ejecutendesde un directorio especfico. Las directivas de restriccin de softwaretambin pueden configurarse para prevenir la ejecucin de cdigo malintencionado o infectado por virus.

Mejoras de la seguridad para servidores enredes LAN Ethernet einalmbricas

Windows Server 2003 proporciona seguridad para redes LAN Ethernet einalmbricas basadas en las especificaciones IEEE 802.11 y que seancompatibles con certificados pblicos implementados mediante la inscripcinautomtica o las tarjetas inteligentes. Estas mejoras en la seguridad permitenel control de la obtencin de acceso a redes Ethernet en lugares pblicos,como centros comerciales o aeropuertos. La autenticacin de equipos tambinse admite en un entorno operativo de protocolo de autenticacin extensible(EAP).

Seguridad aumentada para servidores Web

La seguridad de la informacin es un problema de vital importancia para lasorganizaciones de todo el mundo. Para aumentar la seguridad de losservidores Web, los Servicios de Internet Information Server 6.0 (IIS 6.0) seconfiguran para obtener la mxima seguridad. Su instalacin predeterminadaes el estado "bloqueado". Las caractersticas de seguridad avanzada de IIS 6.0incluyen: servicios criptogrficos que se pueden seleccionar, autenticacin desntesis avanzada y control configurable de la obtencin de acceso a losprocesos. Estas son slo algunas de las tantas caractersticas de seguridadque le permitirn realizar negocios de forma segura en la Web.




4/11


Cifrado de la base dedatos de archivos sinconexin

La opcin para cifrar la base de datos de archivos sin conexin, ahora seencuentra disponible. Esto es una mejora sobre Windows 2000, donde los

archivos de la cach no podan cifrarse. Esta caracterstica es compatible conel cifrado y descifrado de toda la base de datos sin conexin. Se requierenprivilegios administrativos para configurar la forma en que se cifrarn losarchivos sin conexin.

Compatible con FIPS,modo de ncleo, mdulocriptogrfico

Este mdulo criptogrfico se ejecuta como un controlador en modo de ncleoe implementa algoritmos criptogrficos aprobados por el Estndar Federal deProcesamiento de Informacin (FIPS). Entre estos algoritmos cabe incluir:SHA-1, DES, 3DES y un generador de nmero aleatorio aprobado. El mdulocriptogrfico, compatible con FIPS de modo de ncleo, permite que lasorganizaciones gubernamentales implementen Seguridad de ProtocoloInternet (IPSec) compatible con FIPS 140-1. Para ello debern utilizar:

Servidor y cliente de VPN L2TP (Protocolo de tnel de capa2)/IPSec.

Tneles L2TP/IPSec para conexiones VPN entre puertas de enlace.

Tneles IPSec para conexiones VPN entre puertas de enlace.

Trfico de red de extremo a extremo, cifrado mediante IPSec, entrecliente y servidor, y de servidor a servidor.

Nuevo paquete de seguridad de sntesis

El nuevo paquete de seguridad de sntesis es compatible con el protocolo deautenticacin de sntesis, junto con RFC 2617 y RFC 2222. Estos protocolosson compatibles con Microsoft Internet Information Server (IIS) y el servicioActive Directory.Mejoras en la seguridad de los sistemas Se han realizado importantes mejoraspara garantizar una seguridad general de los sistemas, incluyendo:

Mejoras del rendimiento en un 35 por ciento, al utilizar la capa desockets segura (SSL).

IIS no se instala de forma predeterminada. Para implementar IIS,primero debe instalarsemediante la opcin Agregar o quitarprogramas del Panel de control. Capacidad de comprobacin del bferde Microsoft Visual Studio. (Los piratas informticos utilizanhabitualmente las saturaciones del bfer para explotar un sistema.)

Administrador decredenciales

El administrador de credenciales de Windows Server 2003 proporcionar unalmacn seguro para las credenciales del usuario, incluyendo contraseas ycertificados X.509. Estas credenciales proporcionan una experiencia slida deinicios de sesin nicos para los usuarios, incluidos los usuarios mviles. UnaAPI de Win32 se encuentra disponible para permitir que las aplicacionesbasadas en cliente o en servidor obtengan credenciales del usuario.

Mejoras en laautenticacin declientes SSL

En Windows Server 2003, la cach de sesin SSL puede compartirse mediantemltiples procesos. Esto reduce el nmero de veces que un usuario tiene quevolver a autenticarse en las aplicaciones, y asimismo reduce los ciclos de CPUen el servidor de aplicaciones.




5/11


La mejor plataforma para la infraestructura de claves pblicas

Windows Server 2003 facilitar la implementacin de una infraestructura de claves pblicas, junto contecnologas asociadas como las tarjetas inteligentes.


Renovacinautomtica einscripcin automticade certificados

Estas nuevas caractersticas importantes reducen de forma drstica la cantidadde recursos necesarios para administrar certificados X.509.Windows Server 2003 posibilita la inscripcin e implementacin automtica decertificados para los usuarios. Asimismo cuando el certificado caduque, podrrenovarse en forma automtica. La renovacin automtica e inscripcinautomtica de certificados facilita la implementacin ms rpida de tarjetasinteligentes y mejora la seguridad de las conexiones inalmbricas (IEEE802.1X) mediante la caducidad y renovacin automtica de certificados.

Compatibilidad deWindows Installer conla firma digital

La compatibilidad con la firma digital permite que los paquetes y contenedoresexternos de Windows Installer se firmen digitalmente. Esto proporciona a losadministradores de tecnologas de la informacin, unos paquetes de WindowsInstaller ms seguros, resultando de suma importancia si el paquete se enva atravs de Internet.

Mejoras en las listasde revocacin decertificados (CRL)

El servidor de certificados incluido en Windows Server 2003 ahora escompatible con las CRL delta. Una CRL hace que la publicacin de certificadosX.509 revocados sea ms eficaz, y facilita que un usuario pueda recuperar uncertificado nuevo. Y como ahora se puede especificar la ubicacin en la cual seencuentra almacenada la CRL, resulta ms fcil moverla para albergar lasnecesidades de seguridad y empresariales especficas.

Extensin segura de las actividades empresariales en Internet

Una empresa necesita establecer una forma segura de comunicarse con sus empleados, clientes y asociadosque no se encuentren dentro de su intranet. Windows Server 2003 facilitar este aspecto, ampliando deforma segura la obtencin de acceso a la red para personas y otras empresas que necesitan trabajar condatos o recursos del usuario.


Integracin conPassport

Puede asignarse una identidad de Passport a una identidad de Active Directory enWindows Server 2003. Por ejemplo, la asociacin de una identidad de Passport conuna identidad de Active Directory permite que una empresa asociada pueda serautorizada para obtener acceso a los recursos a travs de IIS, en lugar de tener queiniciar sesin directamente en una red de Windows. La integracin con Passportproporcionar una experiencia de inicio de sesin nica, mediante el uso de IIS.

Relaciones deconfianza entrebosques

Si trabaja con un asociado o una empresa que ha implementado un bosque de ActiveDirectory, puede utilizar Windows Server 2003 para configurar una relacin deconfianza entre los bosques del asociado o la empresa y sus propios bosques. Esto lepermite confiar de forma explcita en algunos usuarios, en grupos o en todos, los quepertenezcan a otro bosque. Tambin tiene la capacidad de establecer permisos enbase a los usuarios o grupos que residen en el otro bosque. Las relaciones deconfianza entre bosques facilitan la direccin de negocios con otras empresasmediante Active Directory.


http://www.microsoft.com/argentina/technethttp://windows2003.bs.com.ar/CursoWin2003/Publico/TyM.aspxhttp://windows2003.bs.com.ar/CursoWin2003/Publico/TyM.aspxhttp://www.microsoft.com/argentina/technethttp://windows2003.bs.com.ar/CursoWin2003/Publico/TyM.aspx


6/11


7/11

2. Personal Firewall (ICF)

El Internet Connection Firewall (ICF) es unanueva caracterstica en Windows Server 2003,que le permite proteger su conexin a Internet.Utilizando esta herramienta Usted puededeterminar qu servicios estarn disponiblesdesde Internet hacia el Servidor corriendoWindows Server 2003 y qu servicios estarndisponibles desde su servidor hacia Internet.Esta nueva caracterstica le permite protegersus conexiones, ya sean las que utilizanadaptadores de red como as tambin las queutilizan conexiones telefnicas.

Nota: Usted puede utilizar ICF para protegerconexiones exclusivamente en el servidorcorriendo Windows Server 2003. Si necesitasehabilitar acceso a Internet seguro para clientesinternos deber analizar una implementacin deInternet Security and Acceleration Server 2000(ISA Server).

Para obtener mas informacin acerca de ICF:

http://support.microsoft.com/default.aspx?scid=kb;en-us;317530

2.1. Prctica 1: Habilitando ICF

Para realizar esta prctica Usted deber tener dos instalaciones de Windows Server 2003.

1. Desde el men Start , hacer click en Network Connections .2. Seleccionar el adaptador de red, hacer click derecho y despus hacer click en Properties .3. Hacer click en la lengeta Advanced .4. Marcar el cuadro Internet Connection Firewall .5. Hacer click en OK .

Para comprobar la configuracin:

Desde la computadora B, intentar una conexin del tipo \\nombredeserver Verificar si la conexin pudo realizarse.
http://support.microsoft.com/default.aspx?scid=kb;en-us;317530http://support.microsoft.com/default.aspx?scid=kb;en-us;317530


8/11


9/11

3. Usando Security Templates para asegurar Computadoras

Usted puede usar Security Templates para crear y alterar Security Policies que cumplan con las necesidades de sucompaa. Security Policies se puede implementar de diferentes maneras. El mtodo que Usted usar depender deltamao y las necesidades de seguridad de la organizacin. De esta manera, llas organizaciones pequeas, que noposeen una implementacin de Active Directory, tendrn que configurar la seguridad manualmente, mientras que lasorganizaciones grandes requerirn niveles de seguridad altos. Para ello Usted puede considerar el uso de Group PolicyObjects (GPOS) para instalar polticas de seguridad.

3.1. Qu es un Security Policy?

Los Security Policies son una combinacin de configuraciones de seguridad que afectan la seguridad de unacomputadora. Usted puede usar Security Policy para establecer: Account Policies y Local Policies en lacomputadora local y en Active Directory.

Los siguientes Security Templates son una coleccin de configuraciones de seguridad predeterminadas. Ustedpuede usar el Security Templates Snap-in para modificar los Templates predefinidos o crear nuevos Templatesque cumplan con sus necesidades. Luego, en la creacin o modificacin, se podrn utilizar las siguientesherramientas para aplicar las configuraciones de seguridad: Security Configuration and Analysis Snap-in, laherramienta de lnea de comando Secedit o Local Security Policy / Group Policy para importar y exportarSecurity Templates.

Windows Server 2003 provee los siguientes Templates predefinidos:

Default Security (Setup Security.inf)

Este Template es creado durante la instalacin del sistema operativo y representa la configuracin bsicaaplicada durante la instalacin, incluyendo permisos de archivos para el Root del System Drive.


10/11

Domain Controller Security (DC security.inf)

Este Template es creado cuando un Server es promovido a Domain Controller. Contiene configuraciones deseguridad necesarias sobre archivos, registry y servicios. Usted puede aplicar este Template usando SecurityConfiguration and Analysis Snap-in o con la herramienta Secedit.

Compatible (Compatws.inf)

Este Template aplica configuraciones de seguridad necesarias para todas aquellas aplicaciones que no estncertificadas por el Windows Logo Program.

Secure (Secure*.inf)

Este Template aplica configuraciones de seguridad con alto nivel, afectando la compatibilidad de aplicaciones.Por ejemplo, Stronger Password, Lockout, y configuraciones de auditoria.

Highly Secure (Hicec*.inf)

Este Template aplica las configuraciones de seguridad ms elevadas posibles. Para ello impone restriccionessobre los niveles de encripcin y el firmado de paquetes de datos sobre canales seguros y entre clientes yservidores sobre los paquetes Server Message Block (SMB).

Para ms informacin acerca de secedit

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=true

3.2. Qu es la herramienta Security Configuration and Analysis?

La herramienta Security Configuration and Analysis compara la configuracin de seguridad entre lacomputadora local a una configuracin alterna que es importada del template (archivo .inf ) y la almacenadaen una base de datos separada (archivo .sdb). Cuando el anlisis se completa, Usted puede analizar losajustes de la seguridad en rbol de la consola para ver los resultados. Las discrepancias estn marcadas conuna bandera roja, las consistencias estn marcadas con una marca verde y los ajustes que no estnmarcados con una bandera roja o una marca verde, no se configuran en la base de datos.

Despus de analizar los resultados usando la herramienta Security Configuration and Analysis,Usted puede realizar varias tareas, incluyendo:

Eliminar las discrepancias configurando los ajustes en la base de datos a los ajustes actuales de la

computadora. Para configurar ajustes de la base de datos, haga doble-click en la configuracin delpanel de detalles.
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=truehttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=truehttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=truehttp://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/datacenter/secedit_cmds.asp?frame=true


11/11

CAPITULO 8 Seguridad: Nuevas Funcionalidades en Windows Server 2003

Documents

Transcript of CAPITULO 8 Seguridad: Nuevas Funcionalidades en Windows Server 2003