Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003...
-
Upload
epifanio-fiel -
Category
Documents
-
view
4 -
download
0
Transcript of Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003...
Microsoft Windows en el Microsoft Windows en el proceso de certificación.proceso de certificación.Seguridad en Microsoft Seguridad en Microsoft Windows Server 2003Windows Server 2003
Santiago NúñezSantiago Núñez
Consultor TécnicoConsultor Técnico
MicrosoftMicrosoft
Confidencialidad: garantizar que sólo los usuarios y Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la informaciónaplicaciones autorizados acceden a la información
Integridad: asegurarIntegridad: asegurar queque lala informacióninformación nono ha sidoha sido modificadamodificada
Disponibilidad:Disponibilidad: garantizar que la garantizar que la información está información está accesible a usuarios y aplicacionesaccesible a usuarios y aplicaciones
Principios de SeguridadPrincipios de Seguridad
Inte
grid
ad
Confid
encia
lida
d
Disp
onib
ilidad
Parámetros de seguridadParámetros de seguridadSituación actualSituación actual
TecnologíaTecnologíaProcesosProcesos
GenteGente
++
--
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Servidores con diversas
funciones
Amenaza interna o accidental
Recursos limitados para implementar
soluciones seguras
Carencia de experiencia en
seguridad
Utilización de sistemas
antiguos
Consecuencias legales
El acceso físico anula muchos
procedimientos de seguridad
Seguridad de los servidoresSeguridad de los servidoresSituación actualSituación actual
Seguridad de los servidoresSeguridad de los servidoresSituación actualSituación actual
La complejidad es enemiga de la seguridadLa complejidad es enemiga de la seguridad
Seguridad de los servidoresSeguridad de los servidoresPrimeros pasosPrimeros pasos
Diferenciar los servidores:Diferenciar los servidores: Valor o criticidad de los datos o aplicacionesValor o criticidad de los datos o aplicaciones Nivel de exposiciónNivel de exposición Rol o funciónRol o función
Y entonces:Y entonces: Priorizar los recursos destinadosPriorizar los recursos destinados Aplicar distintas políticas según el rol y el Aplicar distintas políticas según el rol y el
nivel de exposiciónnivel de exposición
Diferenciar servidoresDiferenciar servidoresSegún su criticidadSegún su criticidad
La criticidad de un servidor la puede La criticidad de un servidor la puede determinar:determinar: Los datos que contiene el servidor: cuentas Los datos que contiene el servidor: cuentas
de usuarios, información financiera, datos de usuarios, información financiera, datos sensiblessensibles
El servicio que ofreceEl servicio que ofrece El nivel de servicio necesario (SLA)El nivel de servicio necesario (SLA)
Una infraestructura debe “aislar” los Una infraestructura debe “aislar” los sistemas más críticossistemas más críticos La seguridad de un sistema crítico no debe La seguridad de un sistema crítico no debe
depender de la seguridad de otro de menor depender de la seguridad de otro de menor criticidadcriticidad
Diferenciar servidoresDiferenciar servidoresSegún su ubicaciónSegún su ubicación
La ubicación puede determinar el nivel de La ubicación puede determinar el nivel de exposición a distintos atacantesexposición a distintos atacantes Zona interna de confianzaZona interna de confianza Zona de acceso remotoZona de acceso remoto Zona perimetralZona perimetral
Las políticas de seguridad pueden variar Las políticas de seguridad pueden variar según la exposiciónsegún la exposición
Diferenciar servidoresDiferenciar servidoresSegún su funcionalidadSegún su funcionalidad
Cada servidor tendrá una serie de Cada servidor tendrá una serie de funcionalidades lícitasfuncionalidades lícitas Controladores de dominioControladores de dominio Servidores de infraestructura: DHCP, WINSServidores de infraestructura: DHCP, WINS Servidores de archivosServidores de archivos Servidores de impresiónServidores de impresión Servidores de aplicación IISServidores de aplicación IIS Servidores de autenticación IASServidores de autenticación IAS Servidores de certificaciónServidores de certificación Servidores bastionesServidores bastiones
Pueden aparecer otros rolesPueden aparecer otros roles Hacer que cada servidor sea un representante único Hacer que cada servidor sea un representante único
de su rol, dificulta la gestión.de su rol, dificulta la gestión.
Cada capa establece sus Cada capa establece sus defensas:defensas: Datos y Recursos:Datos y Recursos:
ACLs, CifradoACLs, Cifrado Defensas de Defensas de
Aplicación:Aplicación: Validación de Validación de las entradas, Antiviruslas entradas, Antivirus
Defensas de Host:Defensas de Host: Asegurar el SO, aplicar Asegurar el SO, aplicar revisiones y SP, Auditoriarevisiones y SP, Auditoria
Defensas de red:Defensas de red: Segmentación, VLAN Segmentación, VLAN ACLs, IPSecACLs, IPSec
Defensas de perímetro:Defensas de perímetro: Filrado de paquetes, IDS, Filrado de paquetes, IDS, Cuarentena en VPNCuarentena en VPN
Datos y Recursos
Defensas de Aplicación
Defensas de Host
Defensas de Red
Defensas de Perímetro
Estrategia de Defensa en ProfundidadEstrategia de Defensa en Profundidad
Cada capa asume que Cada capa asume que la capa anterior ha la capa anterior ha fallado:fallado: Medidas redundantesMedidas redundantes
Seguridad FísicaSeguridad Física Todo bajo la dirección Todo bajo la dirección
de la política de de la política de seguridad de la seguridad de la empresaempresa
Basada en capas:Basada en capas: AumentaAumenta lala posibilidadposibilidad
dede queque sese detectendetecten loslos intrusosintrusos
DisminuyeDisminuye lala oportunidadoportunidad dede queque loslos intrusosintrusos logrenlogren susu propósitopropósito
Directivas, procedimientos,
formación y concienciación
Directivas, procedimientos,
formación y concienciación
Seguridad físicaSeguridad física
Datos y Recursos
Defensas de Aplicación
Defensas de Host
Defensas de Red
Defensas de Perímetro
Asu
me f
allo
de la c
apa a
nte
rior
Estrategia de Defensa en ProfundidadEstrategia de Defensa en Profundidad
Seguridad de ServidorSeguridad de ServidorPrácticas BásicasPrácticas Básicas
Aplicar Service PacksAplicar Service Packs Aplicar las Revisiones de SeguridadAplicar las Revisiones de Seguridad Subscribirse a los boletines de seguridadSubscribirse a los boletines de seguridad
““TechNet Security Day I”TechNet Security Day I”
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Seguridad en Entornos ConfiadosSeguridad en Entornos ConfiadosEstrategiaEstrategia
Asegurar el entorno de Active DirectoryAsegurar el entorno de Active Directory Crear un diseño teniendo en cuenta las Crear un diseño teniendo en cuenta las
implicaciones de seguridadimplicaciones de seguridad Revisar el diseño actualRevisar el diseño actual
Crear una Línea Base de Seguridad para Crear una Línea Base de Seguridad para todos los servidores integrantestodos los servidores integrantes ““Mínimo Común” de la seguridadMínimo Común” de la seguridad
Afinar esa Base para cada uno de los Afinar esa Base para cada uno de los roles específicosroles específicos
Active DirectoryActive DirectoryComponentesComponentes BosqueBosque
Un bosque funciona Un bosque funciona como límite de como límite de seguridad en Active seguridad en Active DirectoryDirectory
DominioDominio Facilita la gestiónFacilita la gestión
Unidad organizativaUnidad organizativa Contenedor de Contenedor de
objetosobjetos Directivas de grupoDirectivas de grupo
Herramienta clave Herramienta clave para implementar y para implementar y administrar la administrar la seguridad de una redseguridad de una red
Active DirectoryActive DirectoryConsideraciones de diseñoConsideraciones de diseño Crear un Plan de Seguridad de Active DirectoryCrear un Plan de Seguridad de Active Directory Establecer claramente los límites de seguridad Establecer claramente los límites de seguridad
y administrativosy administrativos Seguridad basada en la infraestructura de dominiosSeguridad basada en la infraestructura de dominios Separación de administradoresSeparación de administradores
Gestionar cuidadosamente grupos con elevados privilegiosGestionar cuidadosamente grupos con elevados privilegios Administradores de Empresa (Enterprise Admins)Administradores de Empresa (Enterprise Admins) Administradores de Esquema (Schema Admins)Administradores de Esquema (Schema Admins)
Delegar tareas administrativasDelegar tareas administrativas Crear una Estructura de Unidades OrganizativasCrear una Estructura de Unidades Organizativas
Para delegación de administración.Para delegación de administración. Para la aplicación de directivas de grupoPara la aplicación de directivas de grupo
Si ya está desplegado AD, revisar el diseño Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles actual para conocer mejor las posibles vulnerabilidadesvulnerabilidades
Diseño de Active DirectoryDiseño de Active DirectoryPlan de SeguridadPlan de Seguridad Analizar el entornoAnalizar el entorno
Centro de datos de intranetCentro de datos de intranet SucursalesSucursales Centro de datos de extranetCentro de datos de extranet
Realizar un análisis de las amenazasRealizar un análisis de las amenazas Identificar las amenazas para Active DirectoryIdentificar las amenazas para Active Directory
Identificar los tipos de amenazasIdentificar los tipos de amenazas Identificar el origen de las amenazasIdentificar el origen de las amenazas
Determinar medidas de seguridad para las Determinar medidas de seguridad para las amenazas amenazas
Establecer planes de contingenciaEstablecer planes de contingencia
Diseño de Active DirectoryDiseño de Active DirectoryRecomendaciones de AdministraciónRecomendaciones de Administración
Separación de roles de administraciónSeparación de roles de administración Administradores de servicioAdministradores de servicio
Encargados de configurar y administrar los distintos Encargados de configurar y administrar los distintos servicios de ADservicios de AD
Controlan la replicación y el correcto funcionamientoControlan la replicación y el correcto funcionamiento Copias de seguridad y restauración de ADCopias de seguridad y restauración de AD Administran los controladores de dominio y servidores de Administran los controladores de dominio y servidores de
infraestructurainfraestructura
Administradores de datosAdministradores de datos Administran subconjuntos de objetos de AD:Administran subconjuntos de objetos de AD:
Usuarios, grupos, carpetas compartidasUsuarios, grupos, carpetas compartidas Equipos, servidores integrantes y los datos que Equipos, servidores integrantes y los datos que
contienencontienen
Diseño de Active DirectoryDiseño de Active DirectoryAutonomía o AislamientoAutonomía o Aislamiento Autonomía (control no exclusivo) Autonomía (control no exclusivo)
Autonomía de servicioAutonomía de servicio Crear un bosque para autonomía de esquema, autoridades Crear un bosque para autonomía de esquema, autoridades
de certificación de empresa, etc.de certificación de empresa, etc. Crear un dominio para autonomía de directivas de grupo, Crear un dominio para autonomía de directivas de grupo,
políticas de contraseñapolíticas de contraseña Autonomía de datosAutonomía de datos
Crear una OU para delegar control a los administradores de Crear una OU para delegar control a los administradores de datosdatos
Aislamiento (control exclusivo)Aislamiento (control exclusivo) Aislamiento de servicioAislamiento de servicio
Crear un bosqueCrear un bosque Aislamiento de datosAislamiento de datos
Crear una OU para aislar de otros administradores de datosCrear una OU para aislar de otros administradores de datos Crear un bosque para aislar de los administradores de Crear un bosque para aislar de los administradores de
servicioservicio
Administración Active DirectoryAdministración Active DirectoryRecomendaciones generalesRecomendaciones generales
Delegar los permisos mínimos necesarios Delegar los permisos mínimos necesarios para cada rolpara cada rol
Utilizar doble cuenta para usuarios Utilizar doble cuenta para usuarios administradoresadministradores Cuenta de administración (no genérica)Cuenta de administración (no genérica) Cuenta de usuario: acceso al correo, Cuenta de usuario: acceso al correo,
documentar, navegardocumentar, navegar Utilizar autenticación fuerte para cuentas Utilizar autenticación fuerte para cuentas
de administraciónde administración Autenticación de dos factores:Autenticación de dos factores:
Smart Card y PINSmart Card y PIN
Diseño de Active DirectoryDiseño de Active DirectoryBosquesBosques
Separar en otro bosque los servidores de Separar en otro bosque los servidores de ExtranetExtranet
Crear otro bosque para aislar administradores Crear otro bosque para aislar administradores de serviciosde servicios
Bosques y dominiosBosques y dominios Bosque = Límite real de seguridadBosque = Límite real de seguridad Dominio = Límite de gestión para administradores con Dominio = Límite de gestión para administradores con
buen comportamientobuen comportamientoMúltiples bosquesMúltiples bosques
BosqueBosque BosqueBosque
TrustTrust
Diseño de Active DirectoryDiseño de Active DirectoryJerarquía de Unidades OrganizativasJerarquía de Unidades Organizativas
Una jerarquía de Una jerarquía de unidades organizativas unidades organizativas basada en funciones basada en funciones de servidor:de servidor: Simplifica la Simplifica la
administraciónadministraciónde la seguridadde la seguridad
Aplica la configuración Aplica la configuración de directivas de de directivas de seguridad a los seguridad a los servidores y a otros servidores y a otros objetos en cada objetos en cada unidad organizativaunidad organizativa
Directiva de dominio Dominio
Diseño de dominios
Directiva de línea de base de servidor
integrante
Servidores integrantes
Controladores de dominio
Directiva de controladores de dominio
Directiva de servidores
de impresión
Directiva de servidores de archivos
Directiva de servidores IIS
Servidores de impresión
Servidores de archivos
Servidores Web
Administrador de operaciones
Administrador de operaciones
Administrador de servicios
Web
Directiva de Grupo de DominioDirectiva de Grupo de DominioFortalecimiento de la configuraciónFortalecimiento de la configuración
Revisar y modificar la Directiva por Revisar y modificar la Directiva por defectodefecto Es posible que no se adecue a las políticas Es posible que no se adecue a las políticas
de la empresade la empresa Para modificarla existen dos estrategias:Para modificarla existen dos estrategias:
Modificar la Directiva por defectoModificar la Directiva por defecto Crear una Directiva IncrementalCrear una Directiva Incremental
Políticas de cuentas para los usuarios del Políticas de cuentas para los usuarios del dominiodominio
Caducidad y Complejidad de ContraseñasCaducidad y Complejidad de Contraseñas Bloqueo y Desbloqueo de cuentasBloqueo y Desbloqueo de cuentas
DemostraciónDemostración
Delegación de administraciónDelegación de administraciónyy aplicaciónaplicación dede unauna plantillaplantilla
dede seguridadseguridad
DelegaciónDelegación deldel controlcontrol aa unun grupogrupo administrativoadministrativo
AplicaciónAplicación dede lala plantillaplantilla dede seguridadseguridad dede dominiodominio
Refuerzo de SeguridadRefuerzo de SeguridadProcesoProceso
Configuración de seguridad de línea de base para todos Configuración de seguridad de línea de base para todos los servidores integrantes los servidores integrantes
Opciones de configuración adicionales para servidores Opciones de configuración adicionales para servidores con funciones específicascon funciones específicas
Utilizar GPResult para verificar la aplicaciónUtilizar GPResult para verificar la aplicación
Servidores deinfraestructuras
Servidores de archivos
Servidores IIS
Autoridades de Certificación
Hosts bastiones
SeguridadActive Directory
Directiva delínea de base de servidores
integrantesServidores RADIUS
Pro
ce
dim
ien
tos
de
re
fue
rzo
de
la
se
gu
rid
ad
Configuración de seguridad incremental basada en funciones
Línea Base de SeguridadLínea Base de SeguridadRecomendacionesRecomendaciones Se aplicará a todos los servidores integrantesSe aplicará a todos los servidores integrantes
No a los controladores de dominioNo a los controladores de dominio OpcionesOpciones dede lala plantilla:plantilla:
DirectivaDirectiva dede auditoriaauditoria Inicio y fin de sesión, cambios en la políticaInicio y fin de sesión, cambios en la política
AsignaciónAsignación dede derechosderechos dede usuariousuario Permitir inicio de sesión local en los servidoresPermitir inicio de sesión local en los servidores
OpcionesOpciones dede seguridadseguridad Nombres de cuentas de administrador y de invitadoNombres de cuentas de administrador y de invitado Acceso a la unidad de CD-ROM y de disqueteAcceso a la unidad de CD-ROM y de disquete Los mensajes de inicio de sesiónLos mensajes de inicio de sesión
RegistroRegistro dede sucesossucesos Tamaño Tamaño
ServiciosServicios deldel sistemasistema Comportamiento de inicioComportamiento de inicio
Línea Base de SeguridadLínea Base de SeguridadRecomendacionesRecomendaciones
No aplicar directamente las plantillas:No aplicar directamente las plantillas: Revisar detalladamente todas las opcionesRevisar detalladamente todas las opciones Probar los cambios en entorno de laboratorio Probar los cambios en entorno de laboratorio
antes de implementarlos en producciónantes de implementarlos en producción
Línea Base de SeguridadLínea Base de SeguridadPosibles cambiosPosibles cambios Para evitar operaciones remotas de los Para evitar operaciones remotas de los
administradores de servicioadministradores de servicio Utilizar la política “Denegar inicio de sesión desde Utilizar la política “Denegar inicio de sesión desde
red”red” Cuidado con las opciones del registro de Cuidado con las opciones del registro de
sucesos cuando se llenasucesos cuando se llena Denegación de servicio si se llena el registro de Denegación de servicio si se llena el registro de
seguridadseguridad Compatibilidad con sistemas anteriores, hace Compatibilidad con sistemas anteriores, hace
rebajar el nivel de seguridad:rebajar el nivel de seguridad: ““Firmar digitalmente las comunicaciones (siempre)” Firmar digitalmente las comunicaciones (siempre)”
(SMB)(SMB) ““No permitir enumeraciones anónimas de cuentas”No permitir enumeraciones anónimas de cuentas” ““No almacenar el valor de hash de Lan Manager”No almacenar el valor de hash de Lan Manager” ““Nivel de Autenticación de Lan Manager”Nivel de Autenticación de Lan Manager”
Línea Base de SeguridadLínea Base de SeguridadOtras opcionesOtras opciones
Asegurar la pila TCP/IPAsegurar la pila TCP/IP Prevenir ataques DoSPrevenir ataques DoS
Deshabilitar la generación automática de Deshabilitar la generación automática de nombres 8.3 en NTFSnombres 8.3 en NTFS
Deshabilitar la opción de ejecución Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun)automática de CD-ROMs (Autorun)
Orden de búsqueda de DLLsOrden de búsqueda de DLLs
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Asegurar un Controlador de Asegurar un Controlador de DominioDominio Son los servidores más importantes de la Son los servidores más importantes de la
infraestructurainfraestructura Poseen la información de todos los objetos del Active DirectoryPoseen la información de todos los objetos del Active Directory
La seguridad física es importanteLa seguridad física es importante Ubicados en salas con control de accesoUbicados en salas con control de acceso
Las copias de seguridad poseen también información Las copias de seguridad poseen también información críticacrítica Se deben almacenar en entornos con control de accesoSe deben almacenar en entornos con control de acceso
Proceso de Instalación:Proceso de Instalación: En ubicaciones controladasEn ubicaciones controladas Bajo la supervisión de administradoresBajo la supervisión de administradores Utilizando procedimientos automatizadosUtilizando procedimientos automatizados
Controladores de dominioControladores de dominioPlantilla de seguridadPlantilla de seguridad La mayoría de las directivas coincidirán con la Línea La mayoría de las directivas coincidirán con la Línea
Base de SeguridadBase de Seguridad Mayores restricciones en los derechos de usuariosMayores restricciones en los derechos de usuarios
Inicio de sesión interactiva: Sólo administradoresInicio de sesión interactiva: Sólo administradores Inicio de sesión por TS: Sólo administradoresInicio de sesión por TS: Sólo administradores Restauración: Sólo administradoresRestauración: Sólo administradores Cambiar la hora del sistema: Sólo administradoresCambiar la hora del sistema: Sólo administradores
Configuración servicios específicos:Configuración servicios específicos: DFSDFS DNSDNS NTFRSNTFRS KDCKDC
Controladores de DominioControladores de DominioMedidas de Seguridad AdicionalesMedidas de Seguridad Adicionales
Reubicar los directorios de la base de Reubicar los directorios de la base de datos y logs de Active Directorydatos y logs de Active Directory
Incrementar el tamaño de los registros de Incrementar el tamaño de los registros de eventoseventos
Asegurar el servicio DNSAsegurar el servicio DNS Utilizar actualizaciones dinámicas segurasUtilizar actualizaciones dinámicas seguras Limitar las transferencias de zonasLimitar las transferencias de zonas
Bloquear puertos con IPSecBloquear puertos con IPSec
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Servidores DHCP y WINSServidores DHCP y WINS Se utilizará una plantilla de seguridadSe utilizará una plantilla de seguridad
incremental específica para incremental específica para ServidorServidor dede infraestructurasinfraestructuras
Se configurarán Se configurarán manualmentemanualmente laslas opcionesopciones adicionalesadicionales
Asegurar un Servidor de Asegurar un Servidor de InfraestructuraInfraestructura
Servidor de InfraestructuraServidor de InfraestructuraPlantilla de seguridadPlantilla de seguridad
Heredará las directivas de la Línea Base Heredará las directivas de la Línea Base de Seguridadde Seguridad
Modificará los Servicios para incluir:Modificará los Servicios para incluir: Inicio y seguridad de los servicios DHCP y Inicio y seguridad de los servicios DHCP y
WINSWINS
Servidor de InfraestructuraServidor de InfraestructuraConfiguraciones adicionalesConfiguraciones adicionales
Es recomendable establecer las siguientes Es recomendable establecer las siguientes configuraciones adicionales:configuraciones adicionales: Configuración de registro (log) de DHCPConfiguración de registro (log) de DHCP Protección frente a DoS (80/20)Protección frente a DoS (80/20)
Evitar perdida de servicioEvitar perdida de servicio
Usar cuentas de servicio:Usar cuentas de servicio: No privilegiadasNo privilegiadas Cuentas localesCuentas locales
Protección de cuentas locales:Protección de cuentas locales: AdministradorAdministrador InvitadoInvitado
Permitir tráfico sólo a puertos autorizados mediante Permitir tráfico sólo a puertos autorizados mediante filtros IPSecfiltros IPSec
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Balanceo entre seguridad y facilidad de Balanceo entre seguridad y facilidad de usouso
Basados en SMB o CIFS:Basados en SMB o CIFS: Utilizan NetBIOSUtilizan NetBIOS Proporcionar información a usuarios no Proporcionar información a usuarios no
autenticadosautenticados
Asegurar un Servidor de Asegurar un Servidor de ArchivosArchivos
Servidor de ArchivosServidor de ArchivosPlantilla de seguridadPlantilla de seguridad
Heredará las directivas de la Línea Base Heredará las directivas de la Línea Base de Seguridadde Seguridad
Deshabilitar DFS y NTFRS si no son Deshabilitar DFS y NTFRS si no son necesariosnecesarios DFS: Sistema distribuidos de ficherosDFS: Sistema distribuidos de ficheros NTFRS: Replicación de ficherosNTFRS: Replicación de ficheros
Servidor de ArchivosServidor de ArchivosConfiguraciones adicionalesConfiguraciones adicionales
Utilizar ACLs para controlar el acceso:Utilizar ACLs para controlar el acceso: Sobre archivos y carpetas compartidos mediante Sobre archivos y carpetas compartidos mediante
NTFSNTFS Sobre los recursos compartidosSobre los recursos compartidos Evitar: Todos/Control TotalEvitar: Todos/Control Total
Uso de auditoria sobre archivos importantes:Uso de auditoria sobre archivos importantes: Perjudica el rendimientoPerjudica el rendimiento
Asegurar cuentas conocidas:Asegurar cuentas conocidas: InvitadoInvitado AdministradorAdministrador
Filtrado de tráfico mediante IPSec Filtrado de tráfico mediante IPSec para permitir sólo puertos específicospara permitir sólo puertos específicos
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Se debe proteger cada servidor IIS y cada Se debe proteger cada servidor IIS y cada aplicaciónaplicación
Se utilizará una plantilla incrementalSe utilizará una plantilla incremental
Asegurar un Servidor de Asegurar un Servidor de Aplicaciones IISAplicaciones IIS
Servidor de Aplicaciones IISServidor de Aplicaciones IISPlantilla de seguridadPlantilla de seguridad
Aplica las directivas de la Línea Base de Aplica las directivas de la Línea Base de SeguridadSeguridad
Permisos de usuario:Permisos de usuario: ““Denegar acceso a este equipo desde la red”Denegar acceso a este equipo desde la red”
Incluir: administrador local, Invitado, etc.Incluir: administrador local, Invitado, etc.
Servicios para incluir:Servicios para incluir: HTTP SSLHTTP SSL IIS AdminIIS Admin W3CW3C
Servidor de Aplicaciones IISServidor de Aplicaciones IISConfiguraciones adicionalesConfiguraciones adicionales Instalar sólo los componentes necesariosInstalar sólo los componentes necesarios Habilitar sólo las extensiones necesariasHabilitar sólo las extensiones necesarias Ubicar el contenido en volúmenes dedicadosUbicar el contenido en volúmenes dedicados
Evitar usar el volumen de sistemaEvitar usar el volumen de sistema Establecer permisos NTFSEstablecer permisos NTFS Establecer permisos IIS sobre los sitios webEstablecer permisos IIS sobre los sitios web
Evitar permisos de ejecución y escritura en el mismo sitio webEvitar permisos de ejecución y escritura en el mismo sitio web Evitar cuentas de servicio de dominioEvitar cuentas de servicio de dominio Asegurar cuentas conocidas:Asegurar cuentas conocidas:
InvitadoInvitado AdministradorAdministrador
Filtrado de tráfico mediante IPSec Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443)para permitir sólo puertos específicos (80,443)
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Entornos no ConfiadosEntornos no ConfiadosAcercando los servidores al enemigoAcercando los servidores al enemigo
Servidores en redes perimetralesServidores en redes perimetrales Servidores DNS públicosServidores DNS públicos Servidores de aplicación IISServidores de aplicación IIS Servidores de VPNServidores de VPN
Servidores en redes de acceso remotoServidores en redes de acceso remoto Servidores de autenticación IASServidores de autenticación IAS
Entornos no ConfiadosEntornos no ConfiadosEstrategiasEstrategias
Utilizar Servidores IndependientesUtilizar Servidores Independientes Cuentas localesCuentas locales Directivas de seguridad localDirectivas de seguridad local
Utilizar un bosque dedicadoUtilizar un bosque dedicado Permite utilizar cuentas de administración Permite utilizar cuentas de administración
comunescomunes Permite aplicar Directivas de Seguridad de Permite aplicar Directivas de Seguridad de
GrupoGrupo Se utilizará un bosque separado del bosque Se utilizará un bosque separado del bosque
interno, para evitar el compromiso de interno, para evitar el compromiso de cuentas de usuarios internoscuentas de usuarios internos
Servidores independientesServidores independientesAplicación de plantillas de seguridadAplicación de plantillas de seguridad
Plantillas de seguridad para cada servidor Plantillas de seguridad para cada servidor o rolo rol
Aplicación local mediante herramientasAplicación local mediante herramientas ““Configuración y Análisis de Seguridad”Configuración y Análisis de Seguridad”
Permite la comparación y la aplicación de varias Permite la comparación y la aplicación de varias plantillas de seguridadplantillas de seguridad
““SecEdit” SecEdit” Línea de comandosLínea de comandos Permite aplicar plantillas mediante scriptsPermite aplicar plantillas mediante scripts
Bosque dedicadoBosque dedicadoAplicación de políticasAplicación de políticas
Bosques independientesBosques independientes Permite una administración centralizada Permite una administración centralizada
de la red perimetralde la red perimetral
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
BastionadoBastionadoServidores con acceso públicoServidores con acceso público
Servidores expuestos a ataques externos.Servidores expuestos a ataques externos. Minimizar la superficie de ataque.Minimizar la superficie de ataque.
Normalmente Normalmente unouno de los siguientes roles de los siguientes roles Servidores de Aplicación IISServidores de Aplicación IIS Servidores DNSServidores DNS Servidores SMTPServidores SMTP Otros servicios de Internet: NNTP, FTPOtros servicios de Internet: NNTP, FTP
Servidores IndependientesServidores Independientes Política de seguridad muy restrictivaPolítica de seguridad muy restrictiva
BastionadoBastionadoPolítica de seguridadPolítica de seguridad
Derechos de usuarioDerechos de usuario ““Permitir el inicio de sesión local”Permitir el inicio de sesión local”
AdministradoresAdministradores
““Denegar el acceso desde la red a este Denegar el acceso desde la red a este equipo”equipo” ANONYMOUS LOGONANONYMOUS LOGON AdministradorAdministrador Support_388945a0Support_388945a0 Invitado (* no el grupo Invitados)Invitado (* no el grupo Invitados) El resto de cuentas de servicio que no son del SOEl resto de cuentas de servicio que no son del SO
BastionadoBastionadoPolítica de seguridadPolítica de seguridad
Servicios deshabilitadosServicios deshabilitados Todos los de la Línea Base y algunos más:Todos los de la Línea Base y algunos más:
Actualizaciones automáticasActualizaciones automáticas Administrador de acceso remotoAdministrador de acceso remoto Cliente DHCPCliente DHCP Examinador de equipos (Computer Browser)Examinador de equipos (Computer Browser) Proveedor de compatibilidad de seguridad LM con Proveedor de compatibilidad de seguridad LM con
Windows NTWindows NT Registro RemotoRegistro Remoto ServidorServidor Servicios de Terminal ServicesServicios de Terminal Services TCP/IP NetBIOS Helper Service TCP/IP NetBIOS Helper Service NetBIOS sobre NetBIOS sobre
TCP/IPTCP/IP
BastionadoBastionadoPolítica de seguridadPolítica de seguridad
Servicios habilitadosServicios habilitados Sólo los servicios imprescindiblesSólo los servicios imprescindibles
Correspondiente al rol “SMTP”, “W3C”Correspondiente al rol “SMTP”, “W3C” Administrador de cuentas de seguridad Administrador de cuentas de seguridad Inicio de sesión en red (Netlogon)Inicio de sesión en red (Netlogon) Estación de trabajoEstación de trabajo
BastionadoBastionadoConfiguraciones adicionalesConfiguraciones adicionales
Deshabilitar los protocolos innecesariosDeshabilitar los protocolos innecesarios Cliente para redes MicrosoftCliente para redes Microsoft Compartir impresoras y archivos para redes Compartir impresoras y archivos para redes
MicrosoftMicrosoft NetBIOS sobre TCP/IPNetBIOS sobre TCP/IP
Asegurar las cuentas conocidasAsegurar las cuentas conocidas InvitadoInvitado AdministradorAdministrador
Bloqueo de puertos mediante IPSecBloqueo de puertos mediante IPSec
FiltrosFiltros parapara tráficotráfico permitidopermitido yy bloqueadobloqueado No se produce ninguna negociación real de No se produce ninguna negociación real de
las asociaciones de seguridad de IPSeclas asociaciones de seguridad de IPSec Los filtros se solapan: la coincidencia más Los filtros se solapan: la coincidencia más
específica determina la acciónespecífica determina la acción No proporciona filtrado de estadoNo proporciona filtrado de estado
Desde IP A IP Protocolo Puerto de origen
Puerto de
destinoAcción
Cualquiera Mi IP de Internet Cualquiera N/D N/D Bloquear
Cualquiera Mi IP de Internet TCP Cualquiera 80 Permitir
BastionadoBastionadoFiltrado IPSecFiltrado IPSec
DemostraciónDemostración
AplicaciónAplicación dede la plantillala plantilla dede seguridad de bastionadoseguridad de bastionado
AplicaciónAplicación dede lala plantillaplantilla dede seguridadseguridad a un servidor a un servidor
independienteindependiente
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Servidor de Aplicaciones IISServidor de Aplicaciones IISReforzar la seguridadReforzar la seguridad
Se aplican las recomendaciones anteriores para Se aplican las recomendaciones anteriores para entornos de confianzaentornos de confianza
Servidores independientes si no se necesitan Servidores independientes si no se necesitan cuentas de dominiocuentas de dominio
Bosque separado del internoBosque separado del interno Utilizar configuraciones avanzadas de IIS 6.0:Utilizar configuraciones avanzadas de IIS 6.0:
Aislamiento de aplicacionesAislamiento de aplicaciones Cuentas con el menor privilegioCuentas con el menor privilegio
Servidor de Aplicaciones IISServidor de Aplicaciones IISAislamiento de aplicacionesAislamiento de aplicaciones
Incrementar la seguridad en servidores Incrementar la seguridad en servidores IIS compartidos por varias aplicacionesIIS compartidos por varias aplicaciones
Los usuarios y aplicaciones de un sitio no Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otropueden leer el contenido de otro
Asignar aplicaciones a diferentes “grupos Asignar aplicaciones a diferentes “grupos de aplicación” de aplicación”
Servidor de Aplicaciones IISServidor de Aplicaciones IISAislamiento de aplicacionesAislamiento de aplicaciones Asignar identidades Asignar identidades
únicas:únicas: A cada grupo de A cada grupo de
aplicaciónaplicación Al usuario anónimo de Al usuario anónimo de
cada sitiocada sitio Añadir la identidad de Añadir la identidad de
cada “grupo de cada “grupo de aplicación” al grupo aplicación” al grupo IIS_WPGIIS_WPG
Asignar permisos NTFS Asignar permisos NTFS para el contenido de para el contenido de cada aplicacióncada aplicación
AgendaAgenda
Diferenciar el servidor por su función y su Diferenciar el servidor por su función y su entornoentorno
Aseguramiento en entornos confiadosAseguramiento en entornos confiados Asegurar un Controlador de DominioAsegurar un Controlador de Dominio Asegurar un Servidor de InfraestructuraAsegurar un Servidor de Infraestructura Asegurar un Servidor de FicherosAsegurar un Servidor de Ficheros Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS
Aseguramiento en entornos no confiadosAseguramiento en entornos no confiados BastionadoBastionado Asegurar un Servidor de Aplicaciones IISAsegurar un Servidor de Aplicaciones IIS Asegurar un Servidor de Autenticación IASAsegurar un Servidor de Autenticación IAS
Servidor de Autenticación IASServidor de Autenticación IASRADIUSRADIUS
Utilizado para autenticar a los clientes Utilizado para autenticar a los clientes externosexternos Acceso remotoAcceso remoto Clientes wirelessClientes wireless
Expuestos a ataques externosExpuestos a ataques externos Deshabilitar los elementos Deshabilitar los elementos
innecesariosinnecesarios
Proporcionar guías para: Proporcionar guías para: Usuarios finalesUsuarios finales Administradores de SistemasAdministradores de Sistemas Administradores de SeguridadAdministradores de Seguridad
Estas guías son:Estas guías son: Guías probadas en entornos realesGuías probadas en entornos reales Diseñadas para preocupaciones reales de Diseñadas para preocupaciones reales de
seguridadseguridad Apropiadas para situaciones realesApropiadas para situaciones reales
Windows Server 2003 Security GuideWindows Server 2003 Security GuideObjetivos de diseñoObjetivos de diseño
Plantillas para tres escenarios:Plantillas para tres escenarios: ““Legacy templates”: predomina la Legacy templates”: predomina la
compatibilidad sobre la seguridad compatibilidad sobre la seguridad ““Enterprise templates”: apropiadas para la Enterprise templates”: apropiadas para la
mayoría de los entornosmayoría de los entornos ““High-security”: mayor restricción de High-security”: mayor restricción de
seguridad, sin compatibilidadseguridad, sin compatibilidad
Windows Server 2003 Security GuideWindows Server 2003 Security GuidePlantillas de seguridadPlantillas de seguridad
ResumenResumen
Asegurar Windows Server 2003Asegurar Windows Server 2003EstrategiaEstrategia
Diferenciar los servidores por su criticidad, ubicación y rol.
Implementar políticas de seguridad basadas en la guía de recomendaciones “Windows Server 2003 Security Guide”
Estrategia de Defensa en Profundidad.
Diseño de Active DirectoryDiseño de Active DirectoryEstrategiaEstrategia
Los Bosques establecen los Límites Reales de Seguridad.
Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo
Diferenciar los Roles de Administración
Servidores en Entornos ConfiadosServidores en Entornos ConfiadosEstrategiaEstrategia
Establecer Directiva de Grupo de Dominio
Afinar con Directivas de Grupo para cada Rol de Servidores
Crear una Línea Base de Seguridad Común
Servidores en Entornos no ConfiadosServidores en Entornos no ConfiadosEstrategiaEstrategia
Utilizar Servidores Independientes si es posible
Utilizar Filtros IPSec para reducir la Superficie de Ataque
Aplicar Directivas Locales para cada Servidor
Preguntas yPreguntas y respuestasrespuestas
Para obtener más informaciónPara obtener más información
Sitio de seguridad de MicrosoftSitio de seguridad de Microsoft http://www.microsoft.com/securityhttp://www.microsoft.com/security http://http://www.microsoft.comwww.microsoft.com//spainspain/seguridad//seguridad/
Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/technet/security/http://www.microsoft.com/technet/security/ http://http://www.microsoft.comwww.microsoft.com//spainspain//technettechnet
/seguridad//seguridad/ Sitio de seguridad de MSDN Sitio de seguridad de MSDN
(desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security
BarcelonaBarcelona
4 Mayo 20044 Mayo 2004