Embed Size (px)
Citation preview
IMPLEMENTACIÓN DE LA SEGURIDAD EN EL SERVIDOR EN WINDOWS 2000 Y WINDOWS SERVER 2003
1. Requisitos previos al capítulo
Experiencia práctica con Windows Server 2000 o Windows Server 2003
Experiencia con las herramientas de administración de Windows Conocimientos de los conceptos relativos a Active Directory y Directiva de
grupo
2. Índice del capitulo
Introducción a la protección de servidores Seguridad básica del servidor Seguridad de Active Directory Refuerzo de los servidores integrantes Refuerzo de los controladores de dominio Refuerzo de servidores de funciones específicas Refuerzo de servidores independientes Práctica A: Administrando plantillas de seguridad Resúmen Preguntas Pasos siguientes
3. Introducción a la protección de servidores
En este capítulo se explican los conceptos clave para implementar la seguridad del servidor en Microsoft® Windows® Server 2000 y Windows Server™ 2003. En este tema, se describirá el concepto de la seguridad en los servidores y se explicará su importancia en una organización. Específicamente, se tratarán:
Consideraciones sobre seguridad para las compañías pequeñas y medianas
Principios de seguridad en servidores. Defensa en profundidad. Modelos de amenazas y equilibrio de seguridad.
3.1.Consideraciones sobre seguridad para las compañías pequeñas y medianas
1
Cap3-01.jpg
Al implementar la seguridad, las compañías pequeñas y medianas se enfrentan a retos únicos y deben tener en cuenta varias consideraciones:
• Los servidores pueden asumir varias funciones en las compañías que tienen recursos limitados. Es posible aplicar fácilmente varias plantillas de seguridad a un servidor pero pueden entrar en conflicto. Cuando un servidor realiza varias funciones, es más difícil protegerlo. Además, un servidor que lleva a cabo varias funciones está más expuesto a un ataque. Si se produce una infracción en la seguridad, todas las funciones que realiza ese servidor se pueden ver comprometidas.
• Si una compañía tiene recursos limitados, es posible que no pueda proporcionar los componentes necesarios para una solución segura. Disponer de varios servidores de seguridad y ofrecer una alta disponibilidad son ejemplos de elementos caros que podrían no resultar financieramente factibles.
• El compromiso interno de los sistemas, ya sea de forma malintencionada o accidental, supone un alto porcentaje de los ataques. Los intrusos suelen encontrar que sus ataques son más fáciles de realizar si tienen acceso interno a la red (ya sea personal o por medio de un cómplice voluntario o involuntario).
• Los departamentos de tecnología de la información (IT) más pequeños pueden carecer de personal con la experiencia apropiada en seguridad. Esto puede provocar que se pasen por alto algunos problemas de seguridad. En esta situación, el uso de plantillas de seguridad estándar puede ser beneficioso.
• El acceso físico a un sistema anula muchas medidas de seguridad. El acceso físico puede permitir a un intruso ejecutar utilidades, instalar
2
programas dañinos, cambiar configuraciones, quitar componentes y ocasionar daños físicos.
• Las infracciones de seguridad pueden tener consecuencias legales. Dependiendo del estado o país que tenga jurisdicción sobre la organización, una compañía puede enfrentarse a responsabilidades legales derivadas de una infracción en la seguridad de sus servidores. Algunos ejemplos de dicha legislación incluyen Sarbanes Oxley, HIPAA, GLBA y California SB 1386.
• Los sistemas más antiguos podrían no admitir configuraciones de seguridad si no se actualizan. Si esos sistemas no se actualizan, el riesgo de una infracción de la seguridad es mayor que en los sistemas más actuales.
3.2.Principios de la seguridad de servidor
Cap3-02.jpg
La mayor parte de los sistemas de seguridad de la información siguen tres principios básicos: confidencialidad, integridad y disponibilidad.
La confidencialidad hace referencia a la limitación del acceso a la información y de su revelación a usuarios autorizados. En los sistemas de servidores, puede implementar la confidencialidad mediante varios
3
métodos, como mecanismos de autenticación, técnicas de refuerzo de los sistemas, cifrado y listas de control de acceso.
La integridad hace referencia al hecho de que la información no haya cambiado y siga siendo la original. Esto incluye la integridad de los datos. En los sistemas de servidor, esto significa garantizar que los datos no puedan ser modificados por usuarios malintencionados. Por ejemplo, puede implementar la integridad en equipos donde se ejecute Windows Server 2000 y Windows Server 2003 mediante permisos NTFS y firmas digitales con el Sistema de archivos de cifrado (EFS, Encrypting File System).
La disponibilidad hace referencia a la provisión de acceso inmediato a los recursos de información. Es crucial que los usuarios y otros sistemas de una organización siempre tengan acceso a los sistemas empresariales y los datos basados en servidor.
3.3.Defensa en profundidad
Cap3-03.jpg
Una estrategia de seguridad para una organización es más efectiva cuando los datos están protegidos por más de un nivel de seguridad. Una estrategia de seguridad de defensa en profundidad utiliza varios niveles de defensa de modo que si uno se ve comprometido, ello no implica
4
necesariamente que toda la organización se vea comprometida también. Una estrategia de defensa en profundidad aumenta el riesgo de detectar al intruso y disminuye la oportunidad de que tenga éxito.
Para reducir al máximo la posibilidad de que un ataque contra los servidores de su organización alcance su objetivo, tiene que implementar el grado apropiado de defensa en cada nivel.
Hay muchas formas de proteger cada nivel individual mediante herramientas, tecnologías, directivas y la aplicación de las recomendaciones. Por ejemplo:• Nivel de directivas, procedimientos y concienciación: programas de
aprendizaje de seguridad para los usuarios• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento• Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y redes privadas virtuales con procedimientos de cuarentena
• Nivel de red interna: segmentación de red, Seguridad IP (IPSec) y sistemas de detección de intrusos de red
• Nivel de host: prácticas destinadas a reforzar los servidores y clientes, herramientas de administración de revisiones, métodos seguros de autenticación y sistemas de detección de intrusos basados en hosts
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones y el software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado Este capítulo se centra en la protección de los servidores basados en
Windows. Los métodos y prácticas de seguridad explicados en este capítulo tienen que ver principalmente con los niveles de aplicación, host y red interna. Sin embargo, es importante tener en cuenta que la seguridad de los servidores sólo debe formar parte de la estrategia de seguridad global de una organización.
Defensas del Perímetro
La protección del perímetro de su red es el aspecto más importante para parar un ataque del exterior. Si su perímetro sigue siendo seguro, su red interna se protege contra ataques externos. Se enumeran abajo algunas maneras de implementar la defensa del perímetro:
Packet Filtering, Inspección de paquetes, Intrusion Detection
Defensas de la Red
5
Usted puede tener una serie de redes en su organización y debe evaluar cada una individualmente para asegurarse de que está asegurada apropiadamente. Se enumeran abajo algunas maneras de implementar defensas de red:
VLAN Access Control Lists, Internal Firewall, Auditing, Intrusion Detection
Defensas de Host
Usted debe evaluar cada host en su ambiente y crear las políticas que limitan cada servidor solamente a esas tareas que tiene que realizar. Esto crea otra barrera de seguridad que un atacante necesitaría evitar antes de hacer cualquier daño.
Server Hardening, Host Intrusion Detection, IPSec Filtering, Auditing
Defensas de Aplicativos
Como otra capa de defensa, application hardening es una parte esencial de cualquier modelo de seguridad. Cada aplicativo en su organización debe ser probado a fondo para la conformidad de seguridad en un ambiente de prueba antes de que usted permita su puesta en producción.
Validation Checks, Verify HTML / Cookies Source, Secure IIS
Datos y recursos
Los datos se pueden proteger de diversas maneras incluyendo usar el cifrado de datos Encrypting File Service (EFS) o cifrado y modificación de discretionary access control lists en archivos de terceras partes.
Databases, Network Services and Applications, File Shares
3.4.Modelos de amenazas y equilibrio de seguridad
Modelos de amenazas Documente el entorno
Realice un análisis de línea de base de los sistemas y el software
Utilice DFD para ilustrar el flujo de datos, la interacción del sistema y las amenazas
Segregue los sistemas Segregue los sistemas en función de las aplicaciones y los
requisitos de seguridad
6
Compruebe que los requisitos de seguridad entre los sistemas de confianza son equivalentes
Compruebe que los sistemas menos sensibles dependen de los que lo son más en lo que respecta a la seguridad
Limite el entorno y los privilegios Asigne cuentas con los mínimos permisos posibles Limite y proteja la comunicación Deshabilite o quite los servicios y puertos que no se utilizan
Equilibrios relativos a la seguridad La seguridad requiere un equilibrio entre
la seguridad y la facilidad de uso
Los modelos de amenazas son una práctica de mitigación y evaluación de riesgos que proporciona la capacidad de proteger un entorno de red. Los modelos de amenazas incluyen la comprensión y comunicación de las amenazas al entorno de equipos en red. Es esencial conocer los tipos de amenazas y la forma de reducir o mitigar el riesgo tanto en los sistemas como en las aplicaciones de los dispositivos de red.
Los modelos de amenazas incluyen:• Documentación del entorno y de las configuraciones, lo que incluye
la realización de un análisis de línea de base de los sistemas y el software. El propósito es comunicar como es el entorno y dónde podrían surgir amenazas mediante técnicas de creación de modelos bien definidas como los diagramas de flujo de datos (DFD, Modified Data Flow Diagrams) modificados. DFD es una representación gráfica de la comunicación entre sistemas que ilustra el modo en que los datos fluyen en un sistema y una red, así como la secuencia lógica de asociaciones y actividades.
• Segregación de los sistemas por requisitos de seguridad y de las aplicaciones. Decida en que sistemas se debe confiar y en que grado. Compruebe que los requisitos de seguridad entre los sistemas de confianza son equivalentes o que los sistemas menos sensibles dependen de los que lo son más en lo que respecta a la seguridad. Sin embargo, los sistemas más sensibles NUNCA DEBEN depender de los menos sensibles.
• Restricción del entorno y de los privilegios a aquellos que los requieren. Documente las amenazas y riesgos conocidos. Siga el principio de asignación del menor privilegio para configurar cuentas, funciones y permisos. Además, limite las comunicaciones entre los sistemas y las aplicaciones dentro del entorno de red a aquellos que las necesiten. Deshabilite o quite los servicios y puertos sin utilizar, y utilice comunicaciones seguras entre los sistemas y usuarios según se requiera.
Aumentar la seguridad de un sistema puede dificultar su uso. Simplificar el uso de un sistema puede disminuir su seguridad. La creación de un
7
sistema óptimo siempre implica llegar a un equilibrio entre estos dos factores y el costo de implementación de la solución.
Más información
Para obtener más información sobre los modelos de amenazas, consulte la difusión Web Network Threat Modeling: http://www.microsoft.com/usa/webcasts/ondemand/2356.asp (este sitio está en inglés)
Para obtener más información sobre los equilibrios que conlleva la seguridad, consulte Security Management--The Fundamental Tradeoffs: http://www.microsoft.com/technet/community/columns/secmgmt/default.mspx (este sitio está en inglés)
4. Seguridad básica del servidor
Este tema explora los componentes clave de la seguridad básica en servidores. Específicamente, se tratará:
Prácticas básicas de seguridad del servidor. Administración de las actualizaciones de software. Clasificación de la gravedad y calendarios de las revisiones. Componentes para la correcta administración de las revisiones. Recomendaciones para reforzar los servidores.
4.1.Prácticas básicas de seguridad del servidor.
8
Cap3-04.jpg
Hay varias prácticas de seguridad básicas para los servidores. Puede considerar estas prácticas fundamentales como una línea de base a la que puede agregar otras avanzadas. Un ejemplo de incorporación de prácticas de seguridad avanzadas a las básicas existentes es la estrategia de seguridad de defensa en profundidad que recomienda Microsoft. La defensa en profundidad reconoce que la seguridad es más efectiva cuando los equipos y los datos se protegen mediante más de un nivel de seguridad.
Algunas prácticas básicas de seguridad del servidor son:• La aplicación de los Service Packs más recientes y de todas las
revisiones de seguridad disponibles.• Los Service Packs aumentan la seguridad y estabilidad del
sistema operativo.• La mayor parte de los ataques contra los servidores se
aprovechan de los puntos débiles que se han comunicado anteriormente y se corrigen en un Service Pack o en una revisión de seguridad del sistema operativo.
• Los equipos que no tienen instalados el Service Pack y las revisiones de seguridad más recientes son vulnerables.
El uso de directivas de grupo para reforzar los servidores. Puede utilizar directivas de grupo para:
9
• Deshabilitar los servicios que no sean necesarios. Cualquier servicio o aplicación es un posible punto de ataque. Por lo tanto, deshabilite o quite todos los servicios y los archivos ejecutables innecesarios con el fin de reducir la parte de un sistema expuesta a un ataque.
• Implementar directivas de contraseñas seguras. Puede reforzar la configuración de directivas de contraseñas y de bloqueo de cuentas para un controlador de dominio, un servidor integrante o un servidor independiente si aplica la configuración en una plantilla de seguridad apropiada.
• Deshabilitar la autenticación de NTLMv1 y LAN Manager y el almacenamiento de claves de hash de LAN Manager. La implementación de esta práctica puede impedir el acceso a clientes antiguos, de modo que es necesario asegurarse de que puede establecerse esta configuración sin deshabilitar la funcionalidad que requiera.
Restricción del acceso físico y de red a los servidores.• Almacene los servidores en una sala con cerradura. Utilice
cerrojos con tarjeta o con clave en las entradas de la sala. • Impida que los controladores de dominio se inicien en un
sistema operativo alternativo.• Permita sólo al personal de confianza tener acceso a los
servidores. Establezca prácticas de seguridad para los administradores de servicios y de datos con el fin de asegurarse de que sólo tenga acceso a los servidores el personal que lo requiera.
• Asigne sólo los permisos y los derechos de usuario necesarios para cada usuario de la organización.
Esta no es una lista exclusiva sino que representa algunas de las prácticas fundamentales más comunes para la seguridad de los servidores. Es posible que ya haya aplicado en su red muchas de estas prácticas básicas de seguridad, si no la mayoría.
4.2.Administración de las actualizaciones de software.
10
Cap3-05.jpg
El establecimiento de una solución de administración de revisiones para administrar las actualizaciones de software puede ser esencial para mantener la seguridad de los equipos cliente. Microsoft proporciona varias herramientas y tecnologías para ayudar a administrar las actualizaciones de software. La solución que elija dependerá de las necesidades de su organización.• Si usted es un usuario independiente, Windows Update es la
elección lógica.• Actualizaciones automáticas se puede configurar para
extraer actualizaciones de un servidor de Servicios de actualización de software (SUS, Software Update Services) o de Windows Update.
• Considere la configuración de actualizaciones automáticas para comprobar las actualizaciones diariamente.
• Si es un cliente de una pequeña compañía, las opciones que debe utilizar son Windows Update y SUS. Si dispone al menos de un servidor de Microsoft Windows y un administrador de IT capacitado, debería elegir SUS. De lo contrario, utilice Windows Update.
• Si pertenece a una compañía grande o mediana, SUS y Systems Management Server (SMS) son las opciones lógicas. Si necesita
11
una solución de administración de revisiones sencilla aunque algo limitada, elija SUS. Si desea una distribución de software completa que incluya funciones de administración de revisiones, elija SMS.
Nota: SUS sólo puede actualizar Windows 2000, Windows XP y Windows Server 2003. Para otros sistemas operativos y para el software de aplicaciones, utilice Windows Update o procesos manuales.
Para obtener más información sobre la administración de revisiones, actualizaciones de seguridad y descargas, visite el sitio Web de Microsoft en http://www.microsoft.com/technet/security/topics/patch/default.mspx (este sitio está en inglés).
También es posible aplicar las actualizaciones de software al implementar sistemas operativos en equipos cliente. Para obtener más información sobre este proceso, consulte los siguientes documentos técnicos:
• New Features and Design Changes in Windows Installer 2.0 en http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wninstlr.mspx (este sitio está en inglés)
• Update.exe Command-Line Switches for Windows 2000 Service Packs en http://support.microsoft.com/default.aspx?scid=kb;en-us;262839 (en inglés)
• How to Apply the 824146 Security Patch to Your Windows Preinstallation Environment en http://support.microsoft.com/default.aspx?scid=kb;en-us;828217 (en inglés)
4.3.Clasificación de la gravedad y calendarios de las revisiones.
12
Cap3-06.jpg
El grupo de trabajo de Microsoft Security Response Center asigna una categoría de gravedad a cada revisión publicada en un boletín de seguridad. Las definiciones de las categorías son:• Crítica: su aprovechamiento podría permitir la propagación de un
gusano de Internet como Code Red o Nimda sin intervención del usuario.
• Importante: su aprovechamiento podría provocar el compromiso de los datos del usuario (confidencialidad, integridad o disponibilidad) y la integridad o disponibilidad de los recursos de procesamiento.
• Moderada: su aprovechamiento es grave pero factores como la configuración predeterminada, la auditoria, la necesidad de acción del usuario o lo difícil que resulta aplicarlo han mitigado la amenaza en un grado significativo.
• Baja: su aprovechamiento es extremadamente difícil o sus efectos son mínimos.
Microsoft ha publicado las siguientes directrices en relación a los calendarios para la aplicación de revisiones:• Las revisiones de seguridad críticas deben implementarse en 24
horas.• Las revisiones de seguridad importantes deben implementarse en
un mes.
13
• Las revisiones de seguridad moderadas deben implementarse en cuatro meses o con la siguiente actualización de continuidad de revisiones o Service Pack, lo que antes se publique.
• Las revisiones de seguridad que supongan una amenaza baja deben implementarse con la siguiente actualización de continuidad de revisiones o Service Pack, o antes de un año.
Algunos factores que pueden afectar a estos calendarios son: • Si tiene activos de gran valor o que están expuestos a un gran
riesgo, debe disminuir los calendarios recomendados. • Si la seguridad de su sistema es considerable o si sus activos
están expuestos a un riesgo poco importante, debe aumentar los calendarios recomendados.
4.4.Componentes para la correcta administración de las revisiones.
Cap3-07.jpg
La única forma de realizar una administración correcta de las revisiones es mediante el empleo de las personas adecuadas en los procesos correctos con las tecnologías apropiadas.
Es esencial que no pase por alto el aspecto humano de la administración de revisiones. No es sólo cuestión de saber lo que hay que hacer sino
14
también de asegurarse de que usted y su personal tienen los conocimientos adecuados y de que se les asignan las responsabilidades necesarias para garantizar el éxito operativo.
No es suficiente con que su organización tenga montones de normas y reglamentos en relación a la seguridad: su personal también debe seguirlos e implementarlos.
Las áreas clave que hay que considerar para que la implementación de una infraestructura de administración de revisiones tenga éxito son las siguientes:
• ¿Cómo va a enterarse de que hay nuevas revisiones y correcciones disponibles?
• ¿Es realmente necesario aplicar una revisión particular en su entorno?
• ¿Cuál será la repercusión en todo el sistema de la instalación de una revisión de seguridad en su entorno?
• ¿Qué cambiará la revisión en realidad? • ¿Se puede desinstalar la revisión una vez instalada?• ¿Cuáles son las dependencias entre los componentes de su
entorno de producción y cómo afectará la aplicación de una revisión a uno de esos componentes?
• ¿Cómo evaluará el éxito de la instalación de una revisión?• ¿Qué escenarios tiene para restaurar un entorno en el que se ha
aplicado una revisión si debe llevar a cabo una operación de recuperación ante un desastre?
4.5.Recomendaciones para reforzar los servidores.
Cambie el nombre de las cuentas integradas Invitado y Administrador Restrinja el acceso a las cuentas de servicio integradas y las que no sean
del sistema operativo No configure un servicio para que inicie sesión con una cuenta de dominio Utilice NTFS para proteger los archivos
y carpetas
Considere implementar las recomendaciones siguientes para reforzar la seguridad de todos los servidores:
Cambie el nombre de las cuentas integradas Invitado y Administrador, y cambie sus descripciones y contraseñas para impedir su uso malintencionado; los identificadores de seguridad (SID) de estas cuentas son conocidos.
15
Limite el acceso al sistema para las cuentas de servicio que no sean del sistema operativo y las integradas.Configure manualmente las asignaciones de derechos de usuario de la forma siguiente:• Deniegue el acceso a este equipo desde la red para las cuentas
integradas Administrador, Support_388945a0 e Invitado, y para todas las cuentas de servicio que no sean del sistema operativo.
• Deniegue el inicio de sesión como un trabajo por lotes para las cuentas Support_388945a0 e Invitado.
• Deniegue el inicio de sesión a través de Servicios de Terminal Server para las cuentas integradas Administrador, Support_388945a0 e Invitado, y para todas las cuentas de servicio que no sean del sistema operativo.
No configure un servicio para iniciar sesión con la cuenta de dominio a menos que sea absolutamente necesario. Si el servidor se ve comprometido físicamente, un intruso podría obtener las contraseñas para estas cuentas de dominio mediante software de adivinación de contraseñas.
Utilice NTFS para proteger los archivos y carpetas.
5. Seguridad de Active Directory
Este tema explora los componentes clave en el proceso de proteger el servicio de directorio Active Directory®. Específicamente, se tratará:
Componentes de Active Directory. Diseño de un plan de seguridad de Active Directory. Establecimiento de límites seguros de Active Directory. Fortalecimiento de la configuración de las directivas de dominio. Establecimiento de una jerarquía de unidades organizativas basada en
funciones. Creación de una jerarquía de unidades organizativas para administrar y
proteger servidores. Recomendaciones administrativas.
5.1.Componentes de Active Directory.
16
Cap3-08.jpg
Active Directory consta de varios tipos diferentes de objetos, cada uno de los cuales tiene un propósito diferente. Cada uno de los componentes de Active Directory colabora para ayudar a implementar la seguridad en un entorno de red.
Bosque. Colección de uno o varios dominios de Active Directory que comparten una estructura lógica, un catálogo global, un esquema de directorios y una configuración de directorios (que incluye la configuración de la replicación) comunes, así como relaciones de confianza transitivas automáticas en dos sentidos. Un bosque define un límite de seguridad.
Dominio. En Active Directory, colección de objetos de equipo, usuario y grupo definidos por un administrador. Estos objetos comparten con otros dominios una base de datos de directorio, directivas de seguridad y relaciones de seguridad comunes. A diferencia del bosque, un dominio no es un límite de seguridad porque en su interior los administradores de un dominio no pueden impedir que un administrador malintencionado de otro dominio tenga acceso a los datos de su dominio o utilice otros medios para elevar sus privilegios.
Unidad organizativa. Objeto contenedor de Active Directory que se utiliza en los dominios. Una unidad organizativa (OU, Organizational Unit) es un contenedor lógico en el que se colocan los usuarios, grupos, equipos y
17
otras unidades organizativas. Sólo puede contener objetos de su dominio principal. Una unidad organizativa es el ámbito más pequeño al que se puede vincular un objeto de directiva de grupo (GPO, Group Policy Object) o sobre el que se puede delegar autoridad administrativa.
Directiva de grupo. Infraestructura dentro del servicio de directorio Active Directory que permite los cambios basados en el directorio y la administración de la configuración de opciones de usuario y equipo, que incluyen los datos de usuario y de seguridad. Las directivas de grupo se utilizan para definir configuraciones de grupos de usuarios y equipos. Con directivas de grupo, puede especificar opciones de configuración para directivas basadas en el Registro, seguridad, instalación de software, secuencias de comandos, redirección de carpetas, servicios de instalación remotos y mantenimiento de Internet Explorer. La configuración de directivas de grupo que usted crea se incluye en un objeto de directiva de grupo (GPO). Al asociar un GPO con contenedores de sistema seleccionados de Active Directory (sitios, dominios y unidades organizativas), puede aplicar la configuración de directivas de GPO a los usuarios y los equipos en esos contenedores de Active Directory. Para crear un GPO individual, utilice el Editor de objetos de directiva de grupo.
Para administrar objetos de directiva de grupo en una compañía, puede utilizar la consola de Administración de directiva de grupo. Directiva de grupo es una de las herramientas clave que puede emplear para implementar la seguridad de una red. Una gran parte del resto de esta presentación se centra en el uso de directivas de grupo para ayudar a proteger el entorno de red.
5.2.Diseño de un plan de seguridad de Active Directory.
Analice el entorno• Centro de datos de intranet• Sucursal• Centro de datos de extranet
Realice un análisis de las amenazas• Identifique las amenazas para Active Directory
Identifique los tipos de amenazas Identifique el origen de las amenazas
• Determine medidas de seguridad para las amenazas • Establezca planes de contingencia
Cuando planee la seguridad de Active Directory, asegúrese de realizar las siguientes tareas fundamentales:
18
Analice el entorno en el que va a implementar Active Directory. El ámbito del entorno determina los métodos necesarios para protegerlo. Los tres entornos operativos más comunes son:
Centro de datos de intranet: este tipo de entorno es donde resulta más fácil implementar la seguridad de Active Directory porque:
• Los empleados de tecnología de la información suelen trabajar generalmente en las instalaciones; por lo tanto, el acceso al centro de datos y las tareas administrativas pueden restringirse fácilmente a estas personas.
• Los controladores de dominio se mantienen en instalaciones centralizadas y seguras.
Gracias a la centralización de los componentes de los sistemas y del personal de tecnología de la información, la supervisión y solución de los problemas de los controladores de dominio se simplifican y los ataques se pueden detectar y tratar con rapidez.
Sucursal: este tipo de entorno es donde resulta más difícil implementar la seguridad de Active Directory porque:
• Los empleados de IT suelen trabajar fuera de las instalaciones; por lo tanto, no todas las tareas administrativas se pueden restringir fácilmente a esos empleados.
• No se trata de instalaciones dedicadas y seguras para alojar y administrar los controladores de dominio.
• La restricción del acceso físico a los controladores de dominio puede ser difícil.
• La detección de los ataques y su respuesta puede ser lenta y costosa.
Centro de datos de la extranet: este tipo de entorno es similar a un centro de datos de intranet. Es ligeramente más difícil implementar la seguridad de Active Directory porque el personal de tecnología de la información suele trabajar para un socio comercial de la organización o para terceros.
Realice un análisis de las amenazas. El análisis de amenazas consta de los pasos siguientes:
• Identificar las amenazas para Active Directory.• Identificar los tipos de amenazas, como pueden ser
suplantación, alteración de datos, repudio, revelación de información, denegación de servicio, elevación de privilegios y estratagemas sociales.
• Identificar los orígenes de las amenazas, con: usuarios anónimos, usuarios autenticados, el administrador de servicios, el administrador de datos y los usuarios con acceso físico a controladores de dominio.
19
Determinar medidas de seguridad para las amenazas con el fin de reducir lo máximo posible la vulnerabilidad para cada tipo de amenaza y abordar los posibles problemas antes de que se produzcan.
Establecer planes de contingencia que contengan instrucciones detalladas que el personal de tecnología de la información debe seguir si se infringe la seguridad.
Más información Para obtener más información sobre cómo crear modelos de amenazas para Active Directory, consulte Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: http://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/activedirectory/maintain/bpguide/part1/adsecp1.mspx (este sitio está en inglés)
5.3.Establecimiento de límites seguros de Active Directory.
Cap3-09.jpg
Establecer límites seguros de Active Directory es un componente esencial de la seguridad de Active Directory. En las redes de Windows 2000 y sistemas operativos posteriores, los dominios son los límites de la administración y de ciertas directivas de seguridad. Además, cada dominio de Active Directory está autorizado para la identidad y las
20
credenciales de los usuarios, grupos y equipos que residen en ese dominio. Sin embargo, dado que los administradores de servicios tienen competencias que van más allá de los límites del dominio, el verdadero límite de seguridad es el bosque, no el dominio.
Para establecer límites de Active Directory seguros, considere la implementación de las recomendaciones siguientes:• Especifique límites administrativos y de seguridad basados en la
necesidad de una organización de delegar la administración.• Determine si la delegación viene impuesta por requisitos
organizativos, operativos o legales.• Determine si los requisitos indican la necesidad de autonomía,
aislamiento o ambos.• Evalúe el grado de confianza que tiene en los administradores de
los servicios (propietarios del bosque o del dominio). Diseñe una estructura de Active Directory en función de los requisitos de
delegación. Cuando seleccione esta estructura:• Utilice los escenarios de la sección “Designing the Active Directory
Logical Structure” (Diseño de la estructura lógica de Active Directory) del capítulo Designing and Deploying Directory and Security Services (Diseño e implementación de servicios de seguridad y directorio) de Windows Server 2003 Deployment Kit para identificar la estructura de Active Directory que concuerda con los requisitos de delegación.
• Coloque en un bosque independiente los controladores de dominio implementados en una extranet que den al exterior.
El documento Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/maintain/bpguide/part1/adsecp1.asp (este sitio está en inglés) contiene amplia información sobre la implementación de límites seguros en Active Directory.
5.4.Fortalecimiento de la configuración de las directivas de dominio.
21
Cap3-10.jpg
Active Directory contiene la configuración predeterminada de la directiva de seguridad para el dominio del objeto de directiva de grupo (GPO) del dominio predeterminado. En muchos casos, la configuración predeterminada resulta eficaz al proteger el domino frente a diversos tipos de amenazas. Sin embargo, algunas configuraciones predeterminadas pueden reforzarse para mejorar el grado de protección.
Para reforzar la configuración de la directiva de dominio:• Refuerce la configuración del GPO Directiva de dominio
predeterminada o cree en el nivel de dominio un GPO nuevo que contenga una configuración de seguridad más restrictiva.
• Compruebe que las directivas de cuentas y contraseñas satisfacen los requisitos de seguridad de su organización. Si se requiere, refuerce la configuración de las directivas de bloqueo de cuentas y contraseñas para el dominio, y revise la configuración de la directiva Kerberos para el dominio.
• Revise la configuración de auditoria en los objetos de Active Directory importantes.
• Revise o habilite la auditoria en objetos de partición del directorio de esquema.
• Revise o habilite la auditoria en objetos de partición del directorio de configuración.
• Revise o habilite la auditoria en objetos de partición del directorio de dominio.
22
• Si desea habilitar la auditoria para estos objetos, utilice la herramienta Edición de ADSI, que forma parte de las herramientas de soporte técnico de Windows Server 2003.
5.5.Desarrollando políticas de Seguridad
Cap3-22.jpg
El Aceptable Uso de Políticas describe qué se considera comportamiento aceptable con respecto a usar los recursos de la compañía. Los recursos incluyen computadoras, software, acceso de red, y correo electrónico. AUPs proporciona una pauta de trabajo a los empleados. Por ejemplo, AUP dice que no está permitido compartir cuentas, y que se espera que mantengan contraseñas seguras.
Un banner se utiliza para especificar qué se considera comportamiento aceptable. También se utiliza para fijar la expectativa de la privacidad. Por ejemplo, un banner puede informar al usuario que el uso desautorizado del sistema es ilegal. Puede también informar al usuario que todo el email es propiedad de la compañía y puede ser supervisado y juzgado como apto. Tener un banner es muy importante en caso de que usted necesite hacer una abertura de seguridad para investigar la aplicación de ley o si usted necesita demandar al culpable.
23
Porque las políticas de seguridad hacen que las ramificaciones y las leyes potenciales varíen dependiendo de la jurisdicción, se recomienda que todas las políticas estén repasadas con consejos legales competentes.
5.6.Establecimiento de una jerarquía de unidades organizativas basada en funciones.
Cap3-11.jpg
Establecer una jerarquía de unidades organizativas (OU) apropiada es un componente importante de la seguridad de la infraestructura de servidores y Active Directory.
Una jerarquía de unidades organizativas que se base en las funciones de servidor en la organización simplifica la administración de seguridad porque la administración de una unidad organizativa puede delegarse en un grupo administrativo específico.
Una jerarquía de unidades organizativas que se base en funciones de servidor también aplica la configuración de directivas de seguridad apropiadas a los servidores y otros objetos en cada unidad organizativa.
• El uso de una jerarquía de unidades organizativas es una solución que permite aplicar la configuración de directivas de seguridad en niveles.
24
• La configuración aplicada a las unidades organizativas de nivel superior se hereda en las de nivel inferior.
• Los GPO se utilizan para aplicar esta configuración de directiva de seguridad. • Las plantillas de seguridad contienen las opciones de
configuración de seguridad que se van a aplicar a los sistemas.
• Las plantillas de seguridad se pueden importar a un GPO.
• La Guía de seguridad de Windows Server 2003 incluye un conjunto completo de plantillas de seguridad para diversas funciones de servidor.
5.7.Creación de una jerarquía de unidades organizativas para administrar y proteger servidores.
1. Cree una unidad organizativa denominada Servidores integrantes2. Cree otras unidades organizativas en Servidores integrantes para cada
función de servidor3. Mueva cada objeto servidor a la unidad organizativa apropiada de
acuerdo con su función
4. Delegue el control de cada unidad organizativa basada en funciones al grupo de seguridad apropiado
Este conjunto de instrucciones orienta en la creación de una jerarquía de unidades organizativas basada en funciones para permitir la aplicación de una directiva de grupo a equipos servidores. Los pasos siguientes sólo constituyen una guía para crear una estructura de unidades organizativas. Modifique estos pasos según corresponda para satisfacer las necesidades de su organización.
Para crear una jerarquía de unidades organizativas basada en funciones:1. Cree una unidad organizativa denominada Servidores integrantes.2. Cree otras unidades organizativas en Servidores integrantes para
cada función de servidor que desee administrar mediante Directiva de grupo.
3. Mueva cada servidor integrante a la unidad organizativa apropiada de acuerdo con la función.
4. Delegue el control de cada unidad organizativa basada en funciones al grupo de seguridad apropiado.
Una vez que se hayan movido todos los servidores a las unidades organizativas apropiadas, puede crear y configurar objetos de directiva de
25
grupo para cada unidad organizativa que vaya a aplicar la configuración de seguridad apropiada a los servidores dentro de la unidad organizativa.
5.8.Recomendaciones administrativas.
Cap3-12.jpg
Cualquier usuario con acceso administrativo a los controladores de dominio puede infringir la seguridad y dañar el sistema. Puede reducir el riesgo si establece recomendaciones administrativas.
Para Active Directory en Windows Server 2003, hay dos tipos de administradores. Estas funciones se deben delegar en personas diferentes.• Administradores de servicios, que son responsables del suministro
del servicio de directorio, la configuración en todo el directorio, la instalación y el mantenimiento del software, y la aplicación de Service Packs y correcciones del sistema operativo en los controladores de dominio. Para realizar estas funciones, los administradores de servicios deben tener acceso físico a los controladores de dominio.
• Administradores de datos, que son responsables del mantenimiento de los datos almacenados en el servicio de
26
directorio y en los servidores integrantes del dominio. Los administradores de datos pueden desempeñar todas sus responsabilidades desde estaciones de trabajo de administración y no necesitan tener acceso físico a los controladores de dominio.
Para proteger estas cuentas administrativas, considere las opciones siguientes:• Limite el número de cuentas de administrador con permisos en los
dominios a unos cuantos individuos de mucha confianza• Exija que se apliquen dos métodos de autenticación en todas las
cuentas de administrador (por ejemplo, requiera una tarjeta inteligente para el inicio de sesión)
• Cree una cuenta que no sea de administrador para que todos los administradores la utilicen con fines no administrativos
Delegue los permisos mínimos necesarios para que los administradores realicen las tareas precisas. En la administración cotidiana de su entorno, configure las cuentas administrativas de modo que su ámbito de influencia se vea limitado a los contenedores específicos de Active Directory que necesiten para hacer su trabajo y asigne los permisos mínimos necesarios para llevar a cabo sus tareas.
Más información:
Para obtener más información sobre prácticas de seguridad de cuentas administrativas, consulte Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/windows2000/maintain/bpguide/part1/adsecp1.asp (este sitio está en inglés)
6. Refuerzo de los servidores integrantes
En este tema se trata la implementación de seguridad en los diversos tipos de servidores que se encuentran en un entorno de Windows Server 2000 o Windows Server 2003. Específicamente, se tratará:
Información general sobre el refuerzo de servidores. Plantilla de seguridad Línea de base de servidor integrante. Uso de Microsoft Baseline Security Analyzer (MBSA). Recomendaciones para utilizar plantillas de seguridad.
6.1. Información general sobre el refuerzo de servidores.
27
Cap3-13.jpg
El proceso de refuerzo de la seguridad en un servidor comienza con la seguridad de Active Directory, que se explica en el tema anterior.
El siguiente paso del proceso de refuerzo de la seguridad de un servidor implica la aplicación de un conjunto de configuraciones de seguridad de línea de base a todos los servidores integrantes del dominio. Para ello, puede utilizar la plantilla de seguridad Línea de base de servidor integrante (Member Server Baseline) y directivas de grupo.
Cuando haya aplicado la configuración de seguridad de línea de base, utilice varias plantillas de seguridad y directivas de grupo para aplicar otras opciones de seguridad adicionales e incrementales a los servidores integrantes que realizan funciones específicas, como los servidores de infraestructuras, los servidores de archivos, los servidores de impresión y los servidores de Servicios de Internet Information Server (IIS). Esta configuración de seguridad incremental es diferente para cada tipo de función de servidor.
Cuando haya aplicado la configuración de seguridad a los servidores integrantes, podrá utilizar GPResult para asegurarse de que se haya aplicado correctamente.
6.2.Plantilla de seguridad Línea de base de servidor integrante.
28
Modifique y aplique la plantilla de seguridad Línea de base de servidor integrante a todos los servidores integrantes
Opciones del la plantilla de seguridad Línea de base de servidor integrante:
Directiva de auditoria Asignación de derechos de usuario Opciones de seguridad Registro de sucesos Servicios del sistema
Puede aplicar un conjunto de opciones de configuración de la seguridad de línea de base a todos los servidores integrantes del dominio mediante la plantilla de seguridad Línea de base de servidor integrante. Esta plantilla de seguridad predefinida se incluye en la Guía de seguridad de Windows Server 2003. Cuando modifique esta plantilla para satisfacer las necesidades de su organización, podrá importar su configuración a un GPO y vincular éste a la unidad organizativa Servidores integrantes. La configuración aplicada a la unidad organizativa Servidores integrantes se aplica a todos los servidores de la jerarquía de unidades organizativas Servidores integrantes.
La plantilla de seguridad Línea de base de servidor integrante contiene varias opciones de configuración de seguridad. Las categorías más importantes de opciones en esta plantilla son:• La opción Directiva de auditoria especifica los sucesos de
seguridad grabados en el registro de sucesos. Puede supervisar la actividad relacionada con la seguridad, por ejemplo quién tiene acceso a un objeto o lo intenta, cuándo un usuario inicia sesión en un equipo o la cierra, o cuándo se realizan cambios en una opción Directiva de auditoria.
• La opción Asignación de derechos de usuario especifica qué usuarios o grupos tienen derechos o privilegios de inicio de sesión en los servidores integrantes del dominio.
• La opción Opciones de seguridad se utiliza para habilitar o deshabilitar la configuración de seguridad en los servidores, por ejemplo, la firma digital de los datos, los nombres de cuentas de administrador y de invitado, el acceso a la unidad de CD-ROM y de disquete, el comportamiento de la instalación de controladores y los mensajes de inicio de sesión.
• La opción Registro de sucesos especifica el tamaño de cada registro de sucesos y las acciones que hay que emprender cuando cada registro de sucesos se llena. Hay varios registros de sucesos que almacenan los sucesos de seguridad grabados, como son el registro de aplicación, el de seguridad y el del sistema.
• La opción Servicios del sistema especifica el comportamiento de inicio y los permisos para cada servicio del servidor.
29
La Guía de seguridad de Windows Server 2003 se encuentra en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/win2003/w2003hg/sgch00.asp (este sitio está en inglés)
6.3.Uso de Microsoft Baseline Security Analyzer (MBSA).
1. Abra MBSA y seleccione Scan a computer2. En la página Pick a computer to scan, escriba la dirección IP o el nombre
del equipo que desee examinar3. Seleccione todas las opciones que desee4. Haga clic en Start scan5. Revise los resultados de la detección
MBSA no se instala de forma predeterminada. Puede descargar esta herramienta desde el sitio Web de microsoft.com.
Para utilizar MBSA:
1. Abra MBSA y seleccione Scan a computer (Examinar un equipo).2. En la página Pick a computer to scan (Elija el equipo que desea
examinar), escriba la dirección IP o el nombre del equipo que desee examinar.
3. Seleccione todas las opciones que desee.4. Haga clic en Start scan (Iniciar detección).
MBSA examina el equipo especificado. Este proceso puede tardar algunos minutos.
5. Revise los resultados de la detección.
6.4.ecomendaciones para utilizar plantillas de seguridad.
30
Cap3-14.jpg
Cuando trabaje con plantillas de seguridad, tenga en cuenta las siguientes recomendaciones:
Antes de utilizar las plantillas de seguridad predefinidas, revise las plantillas y modifíquelas según corresponda para satisfacer las necesidades de su organización.
Utilice la herramienta Configuración y análisis de seguridad o SecEdit para revisar la configuración de las plantillas de seguridad antes de aplicarlas.
Pruebe las plantillas de seguridad minuciosamente antes de implementarlas.
Almacene las plantillas de seguridad en una ubicación segura.
7. Refuerzo de los controladores de dominio
En este tema se proporcionan recomendaciones e información práctica sobre cómo reforzar la seguridad en los controladores de dominio. Específicamente, se tratará:
Configuración de seguridad de los controladores de dominio.
31
Aplicación de la plantilla de seguridad Controlador de dominio. Recomendaciones para reforzar los controladores de dominio.
7.1.Configuración de seguridad de los controladores de dominio.
Cap3-15.jpg
El proceso de refuerzo de la seguridad en los controladores de dominio comienza cuando éstos se implementan por primera vez. Si está implementando controladores de dominio, considere poner en práctica las recomendaciones siguientes para asegurarse de que dicho proceso se realiza de modo que se mejore su seguridad. Si tiene controladores de dominio, considere la posibilidad de volver a configurarlos para reflejar las siguientes recomendaciones de seguridad.
Algunas recomendaciones para implementar controladores de dominio seguros son:• Proteja el entorno de creación de los controladores de dominio.• Siempre que sea posible, cree los controladores de dominio en un
entorno seguro, por ejemplo un centro de datos.• Cuando los cree en entornos inseguros, asegúrese de que sólo el
personal de confianza tenga acceso físico a los mismos.• Establezca prácticas para la creación de controladores de dominio
que proporcionen seguridad.• Automatice el proceso de instalación de Windows Server 2003.
32
• Asegúrese de que la implementación de los controladores de dominio es predecible, repetible y segura; para ello:
• Instale Windows Server 2003 con opciones de configuración seguras y los Service Packs y hotfixes más recientes.
• Cree una contraseña de administrador segura.• Deshabilite la generación de nombres 8.3 automática de NTFS.• Ejecute software antivirus en el servidor.• Utilice opciones de configuración seguras para automatizar la
instalación de Active Directory.• Mantenga la seguridad física; para ello:• Utilice sistemas de alimentación ininterrumpida (SAI) para impedir
la interrupción del suministro eléctrico.• Coloque los controladores de dominio y SAI en salas con
cerradura.• Exija que se utilicen cerrojos con tarjeta o con clave en las
entradas de la sala.• Exija la utilización de cerrojos en cada controlador de dominio o en
las puertas de los armarios que los contengan.• Impida que los controladores de dominio se inicien en otros
sistemas operativos.• Proteja los medios de copia de seguridad frente al acceso físico.
7.2.Aplicación de la plantilla de seguridad Controlador de dominio.
1. Abra la consola de Administración de directiva de grupo y vaya a la unidad organizativa Controladores de dominio
2. Cree un GPO y vincúlelo a la unidad organizativa Controladores de dominio
3. Vaya a Configuración del equipo\Configuración de Windows\Configuración de seguridad
4. Haga clic con el botón secundario del mouse en Configuración de seguridad y, después, haga clic en Importar directiva
5. Seleccione la directiva de seguridad Controlador de dominio y haga clic en Aceptar
6. La configuración de la nueva directiva surtirá efecto en cada controlador de dominio la próxima vez que se actualice o se reinicie
7. También puede ejecutar GPUpdate en cada controlador de dominio para actualizar la directiva de grupo inmediatamente
La Guía de seguridad de Windows Server 2003 incluye una plantilla de seguridad preconfigurada que puede utilizar para reforzar la seguridad de los controladores de dominio de una organización. La plantilla incluye varias opciones de configuración de la seguridad que están diseñadas específicamente para controladores de dominio. Cuando se aplica, esta
33
plantilla exige que se implemente la configuración de seguridad en todos los controladores del dominio.
Antes de utilizar la plantilla Controlador de dominio (Domain Controller.inf), debe revisar su configuración y modificarla según convenga para satisfacer las necesidades de su organización.
Para aplicar la plantilla de seguridad Controlador de dominio:1. Abra Administración de directiva de grupo y desplácese a la
unidad organizativa Controladores de dominio.2. Cree un GPO y vincúlelo a la unidad organizativa
Controladores de dominio.3. Vaya a Configuración del equipo\Configuración de
Windows\Configuración de seguridad.4. Haga clic con el botón secundario del mouse (ratón) en
Configuración de seguridad y, después, haga clic en Importar directiva.
5. Seleccione la plantilla de seguridad Controlador de dominio y haga clic en Aceptar.
6. La configuración de la nueva directiva surtirá efecto en cada controlador de dominio cuando se actualice la próxima vez (el intervalo de actualización predeterminado es de cinco minutos) o cuando se vuelva a reiniciar.
7. También puede ejecutar GPUpdate en cada controlador de dominio para actualizar la directiva de grupo inmediatamente.
7.3.Recomendaciones para reforzar los controladores de dominio.
34
Cap3-16.jpg
En esta sección se ha explicado el uso de las plantillas de seguridad y las herramientas para reforzar la seguridad de los controladores de dominio. Hay recomendaciones establecidas que debería seguir al aplicar estos consejos:
Utilice métodos de seguridad apropiados para controlar el acceso físico a los controladores de dominio.• Utilice sistemas de alimentación ininterrumpida (SAI) para impedir
la interrupción del suministro eléctrico.• Coloque los controladores de dominio y SAI en salas con
cerradura.• Exija el uso de cerrojos con tarjeta o con clave en las entradas de
la sala.• Exija el uso de cerrojos en cada controlador de dominio o en las
puertas de los armarios que los contengan.• Impida que los controladores de dominio se inicien en otros
sistemas operativos.• Proteja los medios de copia de seguridad frente al acceso físico.
Implemente una configuración apropiada de los archivos de registro de sucesos y auditoria.• Dado que todos los cambios en los dominios se efectúan en los
controladores de dominio, todos los sucesos de inicio de sesión, sucesos del sistema y cambios del servicio de directorio se deberían auditar en la unidad organizativa Controladores de dominio.
35
• Para garantizar que todos los sucesos se registran durante un período prolongado, aumente el tamaño máximo de los archivos de registro de sucesos a 16 MB.
Utilice directivas de grupo para aplicar la plantilla de seguridad Controlador de dominio a todos los controladores de dominio.• Cree un GPO para la unidad organizativa Controladores de
dominio e importe al GPO la directiva de seguridad Controlador de dominio de la Guía de seguridad de Windows Server 2003.
• Modifique la configuración de seguridad del nuevo GPO para que satisfaga las necesidades de su organización.
Deshabilite los servicios que no sean necesarios.Cada servicio que se ejecuta en un controlador de dominio constituye un posible objetivo para un ataque que puede comprometer la seguridad del controlador de dominio. Para reducir la parte expuesta a un ataque, lo prudente es deshabilitar los servicios que no sean esenciales.
8. Refuerzo de servidores de funciones específicas
En este tema se explica cómo reforzar la seguridad en servidores que desempeñan funciones específicas. Específicamente, se tratará: • Uso de plantillas de seguridad para funciones específicas de servidor.• Refuerzo de servidores de infraestructuras.• Refuerzo de servidores de archivos.• Refuerzo de servidores de impresión.• Refuerzo de servidores IIS.• Recomendaciones para el refuerzo de servidores de funciones
específicas.
8.1.Uso de plantillas de seguridad para funciones específicas de servidor.
Los servidores que efectúan funciones específicas se pueden organizar por unidades organizativas en la unidad organizativa Servidores integrantes
En primer lugar, aplique la plantilla Línea de base de servidor integrante a la unidad organizativa Servidores integrantes
A continuación, aplique la plantilla de seguridad basada en la función correspondiente a cada unidad organizativa de la unidad organizativa Servidores integrantes
Personalice las plantillas de seguridad para los servidores que realizan varias funciones
En un entorno de Active Directory, hay servidores integrantes que realizan funciones específicas. Para organizarlos, cree una unidad organizativa secundaria apropiada para cada función de servidor en la unidad
36
organizativa Servidores integrantes. Por ejemplo, podría tener una unidad organizativa Servidores de archivos y otra unidad organizativa Servidores de impresión en la unidad organizativa Servidores integrantes, dentro de la jerarquía de unidades organizativas.
En el tema anterior se explicaba cómo aplicar la plantilla de seguridad Línea de base de servidor integrante a todos los servidores integrantes. A continuación, puede aplicar una configuración de seguridad incremental basada en funciones a todos los servidores que desempeñen funciones específicas. Para ello, puede modificar la configuración en una plantilla de seguridad basada en funciones predefinida, importar la configuración de esta plantilla a un GPO y vincular el GPO a la unidad organizativa de la función de servidor específica.
La Guía de seguridad de Windows Server 2003 incluye plantillas de seguridad predefinidas para las siguientes funciones de servidor específicas:• Servidor de infraestructuras• Servidor de archivos• Servidor de impresión• Servidor IIS (Servicios de Internet Information Server)• Servidor IAS• Servidor de Servicios de Certificate Server• Hosts bastiones
Si tiene que combinar funciones para algunos de los servidores de su entorno, puede personalizar estas plantillas de seguridad de modo que se configure la combinación apropiada de servicios y opciones de seguridad para los servidores que realizan varias funciones.
Para obtener más información:La Guía de seguridad de Windows Server 2003 se puede encontrar en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/win2003/w2003hg/sgch00.asp (este sitio está en inglés)
8.2.Refuerzo de servidores de infraestructuras.
37
Cap3-17.jpg
Los servidores de infraestructuras proporcionan servicios de red, como DHCP y WINS.
El refuerzo de la seguridad en los servidores de infraestructuras incluye la aplicación de la configuración de seguridad apropiada a dichos servidores. La mayor parte de las opciones de configuración de seguridad recomendadas se aplican a los servidores de infraestructuras a través de la plantilla de seguridad Línea de base de servidor integrante e, incrementalmente, a través de la plantilla de seguridad Servidor de infraestructuras.
Considere la aplicación de las siguientes opciones de configuración de seguridad adicionales para reforzar los servidores de infraestructuras. Estas opciones se deben configurar manualmente en cada servidor de infraestructuras.
Configure el registro DHCP en los servidores DHCP. Para ello, puede utilizar la herramienta de administración de DHCP.
Protéjase contra los ataques de denegación de servicio (DoS, Denial of Service) DHCP. Con ese fin, puede configurar la tolerancia a errores para los servidores DHCP de modo que un ataque de denegación de servicio en un servidor DHCP no interrumpa todos los servicios DHCP de la red.
Utilice el Sistema de nombres de dominio (DNS, Domain Name System) integrado en Active Directory para las zonas de Active Directory.
• La integración en Active Directory proporciona mayor seguridad: puede limitar quién puede registrar los recursos DNS y los datos DNS se almacenan y se transmiten de
38
forma más segura. Las zonas DNS expuestas a Internet nunca deben almacenarse en Active Directory.
Proteja las cuentas de servicio. No configure un servicio para iniciar sesión con la cuenta de dominio a menos que sea absolutamente necesario.
Permita el tráfico únicamente en los puertos necesarios para las aplicaciones de servidor mediante filtros IPSec. Para obtener más información sobre los puertos específicos necesarios para los servidores de infraestructuras, vea el capítulo 5 de la Guía de seguridad de Windows Server 2003.
8.3.Refuerzo de servidores de archivos.
Cap3-18.jpg
El refuerzo de la seguridad en los servidores de archivos incluye la aplicación de la configuración de seguridad apropiada a dichos servidores. La mayor parte de las opciones de configuración de seguridad recomendadas se aplican a los servidores de archivos a través de la plantilla de seguridad Línea de base de servidor integrante e,
39
incrementalmente, a través de la plantilla de seguridad Servidor de archivos.
Considere la aplicación de las siguientes opciones de configuración de seguridad adicionales para reforzar los servidores de archivos. Estas opciones se deben configurar manualmente en cada servidor de archivos. • Deshabilite los servicios siguientes si no se requieren en un
servidor de archivos determinado:• Sistema de archivos distribuido (DFS, Distributed File
System)• Servicio de replicación de archivos
• Proteja todos los archivos y carpetas compartidos en el servidor de archivos mediante NTFS y permisos compartidos.
• Habilite la auditoria de los archivos esenciales. Audite todos los cambios, tanto si se realizan correctamente como si no, de los datos extremadamente confidenciales.
• Proteja las cuentas de servicio. No configure un servicio para iniciar sesión con la cuenta de dominio a menos que sea absolutamente necesario.
• Permita el tráfico sólo en puertos específicos mediante filtros IPSec. Para obtener más información sobre los puertos específicos necesarios para los servidores de archivos, vea el capítulo 6 de la Guía de seguridad de Windows Server 2003.
8.4.Refuerzo de servidores de impresión.
40
Cap3-19.jpg
El refuerzo de la seguridad en los servidores de impresión incluye la aplicación de la configuración de seguridad apropiada a dichos servidores. La mayor parte de las opciones de configuración de seguridad recomendadas se aplican a los servidores de impresión a través de la plantilla de seguridad Línea de base de servidor integrante e, incrementalmente, a través de la plantilla de seguridad Servidor de impresión.
Considere la aplicación de las siguientes opciones de configuración de seguridad adicionales para reforzar los servidores de impresión. Estas opciones se deben configurar manualmente en cada servidor de impresión. • Asegúrese de que el servicio Cola de impresión esté habilitado.
Este servicio se necesita para que el servidor funcione como servidor de impresión.
• Compruebe que la opción Servidor de red de Microsoft: firmar digitalmente las comunicaciones (siempre) está deshabilitada. Al deshabilitar esta opción, garantiza que la firma SMB no se requiere en el servidor de impresión. Si esta opción no se deshabilita, los usuarios no podrán ver la cola de impresión.
• Proteja las cuentas conocidas. Cambie el nombre de las cuentas integradas Administrador e Invitado, así como su descripción y contraseña para impedir su uso malintencionado.
41
• Proteja las cuentas de servicio. No configure un servicio para iniciar sesión con la cuenta de dominio a menos que sea absolutamente necesario.
• Permita el tráfico sólo en puertos específicos mediante filtros IPSec. Para obtener más información de los puertos específicos necesarios para los servidores de impresión, vea el capítulo 7 de la Guía de seguridad de Windows Server 2003.
8.5.Refuerzo de servidores IIS.
Aplique la configuración de la plantilla de seguridad Servidor IIS Configure manualmente cada servidor IIS
• Instale la herramienta Bloqueo de seguridad de IIS y configure URLScan en todas las instalaciones de IIS 5.0
• Habilite sólo los componentes de IIS esenciales• Configure los permisos NTFS para todas las
carpetas con contenido Web• Instale IIS y almacene el contenido Web en un volumen de disco
dedicado• Si es posible, no habilite los permisos de ejecución y de escritura
en el mismo sitio Web• En los servidores IIS 5.0, ejecute las aplicaciones con protección
de aplicaciones media o alta• Utilice filtros IPSec para permitir únicamente el tráfico en los
puertos 80 y 443 El refuerzo de la seguridad en los servidores de Servicios de Internet
Information Server (IIS) incluye la aplicación de la configuración de seguridad apropiada a dichos servidores. La mayor parte de las opciones de configuración de seguridad recomendadas se aplican a los servidores IIS a través de la plantilla de seguridad Línea de base de servidor integrante e, incrementalmente, a través de la plantilla de seguridad Servidor IIS.
Considere la aplicación de las siguientes opciones de configuración de seguridad adicionales para reforzar los servidores IIS. Estas opciones se deben configurar manualmente en cada servidor IIS. • Instale la utilidad Bloqueo de seguridad de IIS y configure
URLScan en las instalaciones de IIS 5.0 para ayudar a proteger estos servidores. Si es posible, actualice todos los servidores Web con Windows Server 2003 e IIS 6.0.
• Habilite sólo los componentes de IIS esenciales. Específicamente, compruebe que sólo se han habilitado las extensiones de aplicación deseadas. Como medida de seguridad, IIS no se instala en Windows Server 2003 de forma predeterminada. Cuando se instala, una gran parte de su funcionalidad se deshabilita hasta que se habilita de forma específica. Debe habilitar manualmente cada servicio que requiera la instalación de IIS.
42
• Configure los permisos NTFS para todas las carpetas con contenido Web. Aplique los permisos mínimos necesarios para habilitar la funcionalidad necesaria del sitio Web.
• Instale IIS y almacene el contenido Web en un volumen de disco dedicado independiente del volumen del sistema. De este modo se reduce la probabilidad de que un intruso pueda tener acceso y modificar los archivos del sistema operativo en el servidor.
• Si es posible, no habilite los permisos de ejecución y de escritura en el mismo sitio Web. Esta combinación de permisos podría permitir a un intruso poner contenido dañino en el servidor y ejecutarlo posteriormente.
• En servidores IIS 5.0, ejecute las aplicaciones con protección de aplicaciones media o alta para no ejecutarlas en el contexto del sistema del proceso de Inetinfo.
• Utilice filtros IPSec para bloquear todas las comunicaciones entrantes excepto en los puertos TCP 80 y 443
8.6.Recomendaciones para el refuerzo de servidores de funciones específicas.
Cap3-20.jpg
43
El refuerzo de la seguridad en servidores que cumplen funciones específicas incluye la aplicación de plantillas de seguridad apropiadas y la configuración manual de las opciones de servidor para la función. La mayor parte de las opciones de configuración de seguridad recomendadas se aplican a los servidores basados en funciones a través de la plantilla de seguridad Línea de base de servidor integrante e, incrementalmente, a través de la plantilla de seguridad basada en funciones.
Considere las recomendaciones siguientes cuando refuerce la seguridad en los servidores con funciones específicas:• Proteja las cuentas de usuario conocidas. Cambie el nombre de las
cuentas integradas Administrador e Invitado, así como su descripción y contraseña para impedir su uso malintencionado.
• Habilite únicamente los servicios que se requieran para ejercer la función del servidor. Todos los servicios que no necesite el servidor para cumplir la función que tenga asignada deberían deshabilitarse.
• Habilite el registro de servicios para capturar la información relevante. Considere habilitar el registro de los servicios esenciales que requiera la función de servidor. Por ejemplo, habilite el registro DHCP para un servidor DHCP.
• Utilice el filtro IPSec para bloquear los puertos específicos basados en la función de servidor. Para obtener más información sobre los puertos específicos que se deberían bloquear en un servidor con una función específica, vea el capítulo apropiado en la Guía de seguridad de Windows Server 2003.
• Modifique las plantillas según convenga para los servidores con varias funciones. Los servidores que realizan varias funciones requerirán una plantilla personalizada que configure específicamente sus opciones de seguridad de modo que puedan llevar a cabo dichas funciones. Es posible que necesite empezar con la plantilla preconfigurada para una de las funciones que el servidor realiza y, a continuación, modificarla de forma que los servicios y otras opciones de seguridad requeridas por otras funciones adicionales se configuren correctamente en la plantilla.
9. Refuerzo de servidores independientes
Este tema explica cómo reforzar la seguridad en servidores independientes. Específicamente, se tratará:
Refuerzo de servidores independientes. Uso de SecEdit para reforzar la seguridad en servidores independientes. Recomendaciones para reforzar servidores independientes.
44
9.1.Refuerzo de servidores independientes.
Debe aplicar manualmente la configuración de seguridad en cada servidor independiente en lugar de utilizar Directiva de grupo
Quizás tenga que crear una plantilla de seguridad personalizada para cada servidor independiente
Utilice la herramienta Configuración y análisis de seguridad o SecEdit para aplicar la configuración de la plantilla de seguridad• Configuración y análisis de seguridad
Permite la comparación y aplicación de varias plantillas de seguridad
• SecEdit Versión de línea de comandos de la herramienta
Configuración y análisis de seguridad que permite la aplicación de plantillas de seguridad con secuencias de comandos
Puesto que los servidores independientes no son parte de un entorno de Active Directory, no se puede utilizar Directiva de grupo para aplicarles la configuración de seguridad. Debe aplicar manualmente la configuración de seguridad en cada servidor independiente.
Dado que los servidores independientes suelen realizar funciones especializadas, quizás tenga que crear una plantilla de seguridad personalizada para cada uno. Para ello, puede modificar una de las plantillas de seguridad predefinidas incluidas en la Guía de seguridad de Windows Server 2003.
Puede utilizar la herramienta Configuración y análisis de seguridad o SecEdit para aplicar la configuración de la plantilla de seguridad a servidores independientes.• Configuración y análisis de seguridad
Esta herramienta aplica directivas locales y compara la directiva local con una plantilla de seguridad especificada. Esta característica resulta útil para los administradores que desean identificar la configuración de seguridad en un servidor y compararla con una línea de base configurada. Puede utilizar también esta herramienta para aplicar la configuración de una plantilla de seguridad específica a un servidor.
• SecEditSe trata de una herramienta de línea de comandos que aplica o compara las plantillas de seguridad. SecEdit combina la funcionalidad de la herramienta Configuración y análisis de seguridad con la capacidad para utilizar las secuencias de comandos y aplicar una configuración de plantillas de seguridad a los servidores.
45
9.2.Uso de SecEdit para reforzar la seguridad en servidores independientes.
1. Configure una plantilla de seguridad personalizada con las opciones que desee aplicar al servidor independiente
2. Abra un símbolo del sistema en el servidor independiente3. Cree una base de datos de configuración desde la plantilla de seguridad
personalizada; para ello escriba:secedit /import /db c:\security.sdb /cfg nombre de la plantilla de seguridad
4. Aplique la configuración en la base de datos al servidor independiente; para ello, escriba:secedit /configure /db c:\security.sdb
Para utilizar SecEdit con el fin de reforzar la seguridad en un servidor independiente:
1. Configure una plantilla de seguridad personalizada con las opciones que desee aplicar al servidor independiente.
2. Abra un símbolo del sistema en el servidor independiente.3. Cree una base de datos de configuración desde la plantilla de
seguridad personalizada; para ello, escriba: secedit /import /db c:\security.sdb /cfg nombre de la plantilla de seguridad
4. Aplique la configuración en la base de datos al servidor independiente; para ello, escriba:
secedit /configure /db c:\security.sdb
9.3.Recomendaciones para reforzar servidores independientes.
46
Cap3-21.jpg
Reforzar la seguridad en servidores independientes suele ser más difícil que configurar servidores integrantes porque los primeros, por definición, no forman parte de un dominio de Active Directory y no utilizan directivas de grupo basadas en el dominio. Además, los servidores independientes suelen realizar varias funciones o una función especializada, lo que requiere una configuración individual.
Considere las recomendaciones siguientes cuando refuerce la seguridad en los servidores con funciones específicas:• Utilice la herramienta Configuración y análisis de seguridad para
aplicar plantillas a los servidores independientes. Quizás necesite crear una plantilla personalizada para cada servidor independiente y, a continuación, aplicarla mediante la herramienta Configuración y análisis de seguridad o secedit.exe para aplicarla al servidor. La creación de una plantilla personalizada para un servidor documenta la configuración que se le debería aplicar y permite al usuario volver a aplicar las opciones de seguridad según se necesiten si la configuración del servidor cambia.
• Habilite únicamente los servicios que se requieran para ejercer la función del servidor. Todos los servicios que no necesite el servidor para cumplir la función que tenga asignada deberían deshabilitarse.
• Habilite el registro de servicios para capturar la información relevante. Considere habilitar el registro de los servicios esenciales
47
que requiera la función de servidor. Por ejemplo, habilite el registro DHCP para un servidor DHCP.
• Utilice el filtro IPSec para bloquear los puertos específicos basados en la función de servidor. Para obtener más información sobre los puertos específicos que se deberían bloquear en un servidor con una función específica, vea el capítulo apropiado en la Guía de seguridad de Windows Server 2003.
10.Práctica A: Administrando plantillas de seguridad
Ejercicio 1: Creando y aplicando plantillas de seguridad
Como administrador de seguridad, usted debe asegurarse de que todas las computadoras en su red tengan configurados los mismos valores de seguridad. Esta tarea debe usted realizarla por medio de la aplicación de plantillas de seguridad; esto se debe a que su red actualmente no cuenta con un dominio Active Directory funcionando. Paso1a. Inicie sesión como administradorb. Haga click en Start, y click Run. c. En el cuadro Run , escriba mmc y click OK. d. Hag click en Add/Remove Snap-in. e. Haga click en Security Configuration and Analysis, y click Add, haga click en Security Templates, y click Add.
Paso2a. expanda Security Templates, expanda C:\WINNT\Security\Templates, y haga click en basicsv. b. Haga click derecho en basicsv, y haga click en Save As. c. Escriba Security Test y haga click en Save.
Paso3a. expanda Security test, expanda Local Policies, y haga click en User Rights Assignment. b. Haga double-click en Shut down the system. c. Seleccione Define these policy settings in the template , y haga click en Add. d. En Add user or group , haga click en Browse. e. Agregue a Administrators, y haga click en OK. Su plantilla ya ha quedado personalizada, y se llama “Security Test.inf”, como paso adicional y dependiendo del tiempo, revise el resto de las configuraciones de seguridad y modifique alguna de ellas.
48
11. Resúmen
En este capítulo se han explicado los conceptos clave para implementar la seguridad del servidor en un entorno Windows Server 2000 o Windows Server 2003. La seguridad en los servidores es vital para todas las organizaciones porque una infracción de la misma puede producir pérdida de datos y daños en la infraestructura de red. Es imposible conseguir una seguridad total pero puede tratar de lograr el grado de seguridad que requiere su organización.
En este capítulo se han examinado los siguientes temas:
Introducción a la protección de servidoresEn este tema se ha explicado por qué es necesaria la seguridad, consideraciones de seguridad para compañías pequeñas o medianas, principios de seguridad de los servidores y el concepto de defensa en profundidad.
Seguridad de Active Directory En este tema se explicaba el diseño de un plan de seguridad para Active Directory, el establecimiento de límites seguros en Active Directory, el refuerzo de la configuración de directivas de dominio, el establecimiento de una jerarquía de unidades organizativas basada en funciones, el establecimiento de prácticas administrativas seguras y la seguridad de DNS.
Refuerzo de los servidores integrantesEn este tema se proporcionaba información general sobre el refuerzo de la seguridad de los servidores y se examinaban la plantilla de seguridad Línea de base de servidores integrantes, herramientas para reforzar los servidores, cómo utilizar Microsoft Baseline Security Analyzer (MBSA), recomendaciones para utilizar plantillas de seguridad y recomendaciones adicionales para reforzar servidores integrantes.
Refuerzo de controladores de dominioEste tema explicaba la implementación de controladores de dominio seguros, recomendaciones para reforzar la seguridad en controladores de dominio, cómo aplicar la plantilla de seguridad Controlador de dominio y cómo utilizar Syskey.
Refuerzo de servidores de funciones específicasEn este tema se explicaba el uso de plantillas de seguridad en funciones de servidor específicas y el refuerzo de la seguridad en servidores de infraestructuras, de archivos, de impresión e IIS.
Refuerzo de servidores independientesEste tema proporcionaba información útil para reforzar la seguridad de los servidores independientes.
49
12.Pasos siguientes
1) Mantenerse informado sobre la seguridad: Suscribirse a boletines de seguridad:
http://www.microsoft.com/security/security_bulletins/alerts2.asp (este sitio está en inglés)
Obtener las directrices de seguridad de Microsoft más recientes: http://www.microsoft.com/technet/security/bestprac/(este sitio está en inglés)
2) Obtener programas adicionales de aprendizaje sobre seguridad Buscar seminarios de aprendizaje en línea:
http://www.microsoft.com/latam/technet/evento/default.asp Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm
Sitio de seguridad de Microsoft (todos los usuarios)• http://www.microsoft.com/latam/seguridad/
Sitio de seguridad de TechNet (profesionales de IT)• http://www.microsoft.com/latam/technet/seguridad/default.asp
Sitio de seguridad de MSDN (desarrolladores)• http://msdn.microsoft.com/security (este sitio está en inglés)
50
