Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técn...
<ul><li>Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información </li></ul><...
Parámetros de seguridad Situación actual Tecnología Procesos Gente + -
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Seguridad de los servidores Situación actual Servidores   con   diversas   funciones Amenaza   interna   o   accidental Re...
Seguridad de los servidores Situación actual <ul><li>La complejidad es enemiga de la seguridad </li></ul>
Seguridad de los servidores Primeros pasos <ul><li>Diferenciar los servidores: </li></ul><ul><ul><li>Valor o criticidad de...
Diferenciar servidores Según su criticidad <ul><li>La criticidad de un servidor la puede determinar: </li></ul><ul><ul><li...
Diferenciar servidores Según su ubicación <ul><li>La ubicación puede determinar el nivel de exposición a distintos atacant...
Diferenciar servidores Según su funcionalidad <ul><li>Cada servidor tendrá una serie de funcionalidades lícitas </li></ul>...
<ul><li>Cada capa establece sus defensas: </li></ul><ul><ul><li>Datos y Recursos:  ACLs, Cifrado </li></ul></ul><ul><ul><l...
<ul><li>Cada capa asume que la capa anterior ha fallado: </li></ul><ul><ul><li>Medidas redundantes </li></ul></ul><ul><li>...
Seguridad de Servidor Prácticas Básicas <ul><li>Aplicar Service Packs </li></ul><ul><li>Aplicar las Revisiones de Segurida...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Seguridad en Entornos Confiados Estrategia <ul><li>Asegurar el entorno de Active Directory </li></ul><ul><ul><li>Crear un ...
Active Directory Componentes <ul><li>Bosque </li></ul><ul><ul><li>Un bosque funciona como límite de seguridad en Active Di...
Active Directory Consideraciones de diseño <ul><li>Crear un Plan de Seguridad de Active Directory </li></ul><ul><li>Establ...
Diseño de Active Directory Plan de Seguridad <ul><li>Analizar el entorno </li></ul><ul><ul><li>Centro de datos de intranet...
Diseño de Active Directory Recomendaciones de Administración <ul><li>Separación de roles de administración </li></ul><ul><...
Diseño de Active Directory Autonomía o Aislamiento <ul><li>Autonomía (control no exclusivo)  </li></ul><ul><ul><li>Autonom...
Administración Active Directory Recomendaciones generales <ul><li>Delegar los permisos mínimos necesarios para cada rol </...
Diseño de Active Directory Bosques <ul><li>Separar en otro bosque los servidores de Extranet </li></ul><ul><li>Crear otro ...
Diseño de Active Directory Jerarquía de Unidades Organizativas <ul><li>Una jerarquía de unidades organizativas basada en f...
Directiva de Grupo de Dominio Fortalecimiento de la configuración <ul><li>Revisar y modificar la Directiva por defecto </l...
Demostración Delegación de administración y   aplicación   de   una   plantilla   de   seguridad     Delegación   del   co...
Refuerzo de Seguridad Proceso <ul><li>Configuración de seguridad de línea de base para todos los servidores integrantes  <...
Línea Base de Seguridad Recomendaciones <ul><li>Se aplicará a todos los servidores integrantes </li></ul><ul><ul><li>No a ...
Línea Base de Seguridad Recomendaciones <ul><li>No aplicar directamente las plantillas: </li></ul><ul><ul><li>Revisar deta...
Línea Base de Seguridad Posibles cambios <ul><li>Para evitar operaciones remotas de los administradores de servicio </li><...
Línea Base de Seguridad Otras opciones <ul><li>Asegurar la pila TCP/IP </li></ul><ul><ul><li>Prevenir ataques DoS </li></u...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Asegurar un Controlador de Dominio <ul><li>Son los servidores más importantes de la infraestructura </li></ul><ul><ul><li>...
Controladores de dominio Plantilla de seguridad <ul><li>La mayoría de las directivas coincidirán con la Línea Base de Segu...
Controladores de Dominio Medidas de Seguridad Adicionales <ul><li>Reubicar los directorios de la base de datos y logs de A...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
<ul><li>Servidores DHCP y WINS </li></ul><ul><li>Se utilizará una plantilla de seguridad  incremental específica para  Ser...
Servidor de Infraestructura Plantilla de seguridad <ul><li>Heredará las directivas de la Línea Base de Seguridad </li></ul...
Servidor de Infraestructura Configuraciones adicionales <ul><li>Es recomendable establecer las siguientes configuraciones ...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
<ul><li>Balanceo entre seguridad y facilidad de uso </li></ul><ul><li>Basados en SMB o CIFS: </li></ul><ul><ul><li>Utiliza...
Servidor de Archivos Plantilla de seguridad <ul><li>Heredará las directivas de la Línea Base de Seguridad </li></ul><ul><l...
Servidor de Archivos Configuraciones adicionales <ul><li>Utilizar ACLs para controlar el acceso: </li></ul><ul><ul><li>Sob...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
<ul><li>Se debe proteger cada servidor IIS y cada aplicación </li></ul><ul><li>Se utilizará una plantilla incremental </li...
Servidor de Aplicaciones IIS Plantilla de seguridad <ul><li>Aplica las directivas de la Línea Base de Seguridad </li></ul>...
Servidor de Aplicaciones IIS Configuraciones adicionales <ul><li>Instalar sólo los componentes necesarios </li></ul><ul><l...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Entornos no Confiados Acercando los servidores al enemigo <ul><li>Servidores en redes perimetrales </li></ul><ul><ul><li>S...
Entornos no Confiados Estrategias <ul><li>Utilizar Servidores Independientes </li></ul><ul><ul><li>Cuentas locales </li></...
Servidores independientes Aplicación de plantillas de seguridad <ul><li>Plantillas de seguridad para cada servidor o rol <...
Bosque dedicado Aplicación de políticas <ul><li>Bosques independientes </li></ul><ul><li>Permite una administración centra...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Bastionado Servidores con acceso público <ul><li>Servidores expuestos a ataques externos. </li></ul><ul><ul><li>Minimizar ...
Bastionado Política de seguridad <ul><li>Derechos de usuario </li></ul><ul><ul><li>“ Permitir el inicio de sesión local” <...
Bastionado Política de seguridad <ul><li>Servicios deshabilitados </li></ul><ul><ul><li>Todos los de la Línea Base y algun...
Bastionado Política de seguridad <ul><li>Servicios habilitados </li></ul><ul><ul><li>Sólo los servicios imprescindibles </...
Bastionado Configuraciones adicionales <ul><li>Deshabilitar los protocolos innecesarios </li></ul><ul><ul><li>Cliente para...
<ul><li>Filtros   para   tráfico   permitido   y   bloqueado </li></ul><ul><li>No se produce ninguna negociación real de l...
Demostración   Aplicación   de   la plantilla   de   seguridad de bastionado       Aplicación   de   la   plantilla   de  ...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Servidor de Aplicaciones IIS Reforzar la seguridad <ul><li>Se aplican las recomendaciones anteriores para entornos de conf...
Servidor de Aplicaciones IIS Aislamiento de aplicaciones <ul><li>Incrementar la seguridad en servidores IIS compartidos po...
Servidor de Aplicaciones IIS Aislamiento de aplicaciones <ul><li>Asignar identidades únicas: </li></ul><ul><ul><li>A cada ...
Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados <...
Servidor de Autenticación IAS RADIUS <ul><li>Utilizado para autenticar a los clientes externos </li></ul><ul><ul><li>Acces...
<ul><li>Proporcionar guías para:  </li></ul><ul><ul><li>Usuarios finales </li></ul></ul><ul><ul><li>Administradores de Sis...
<ul><li>Plantillas para tres escenarios: </li></ul><ul><ul><li>“ Legacy templates”: predomina la compatibilidad sobre la s...
Resumen
Asegurar Windows Server 2003 Estrategia Implementar políticas de   seguridad   basadas   en   la   guía   de   recomendaci...
Diseño de Active Directory Estrategia Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de ...
Servidores en Entornos Confiados Estrategia Afinar con Directivas de Grupo para cada Rol de Servidores Establecer Directiv...
Servidores en Entornos no Confiados Estrategia Utilizar Filtros IPSec para reducir la Superficie de Ataque Utilizar Servid...
Preguntas y   respuestas
Para obtener más información <ul><li>Sitio de seguridad de Microsoft </li></ul><ul><ul><li>http://www.microsoft.com/securi...
Barcelona 4 Mayo 2004
Upcoming SlideShare
Loading in …5
×

Seguridad en Windows Server 2003

27,754 views

Published on

Seguridad en Windows Server 2003

  1. 1. Microsoft Windows en el proceso de certificación. Seguridad en Microsoft Windows Server 2003 Santiago Núñez Consultor Técnico Microsoft
  2. 2. <ul><li>Confidencialidad: garantizar que sólo los usuarios y aplicaciones autorizados acceden a la información </li></ul><ul><li>Integridad: asegurar que la información no ha sido modificada </li></ul><ul><li>Disponibilidad: garantizar que la información está accesible a usuarios y aplicaciones </li></ul>Principios de Seguridad Integridad Confidencialidad Disponibilidad
  3. 3. Parámetros de seguridad Situación actual Tecnología Procesos Gente + -
  4. 4. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  5. 5. Seguridad de los servidores Situación actual Servidores con diversas funciones Amenaza interna o accidental Recursos limitados para implementar soluciones seguras Carencia de experiencia en seguridad Utilización de sistemas antiguos Consecuencias legales El acceso físico anula muchos procedimientos de seguridad
  6. 6. Seguridad de los servidores Situación actual <ul><li>La complejidad es enemiga de la seguridad </li></ul>
  7. 7. Seguridad de los servidores Primeros pasos <ul><li>Diferenciar los servidores: </li></ul><ul><ul><li>Valor o criticidad de los datos o aplicaciones </li></ul></ul><ul><ul><li>Nivel de exposición </li></ul></ul><ul><ul><li>Rol o función </li></ul></ul><ul><li>Y entonces: </li></ul><ul><ul><li>Priorizar los recursos destinados </li></ul></ul><ul><ul><li>Aplicar distintas políticas según el rol y el nivel de exposición </li></ul></ul>
  8. 8. Diferenciar servidores Según su criticidad <ul><li>La criticidad de un servidor la puede determinar: </li></ul><ul><ul><li>Los datos que contiene el servidor: cuentas de usuarios, información financiera, datos sensibles </li></ul></ul><ul><ul><li>El servicio que ofrece </li></ul></ul><ul><ul><li>El nivel de servicio necesario (SLA) </li></ul></ul><ul><li>Una infraestructura debe “aislar” los sistemas más críticos </li></ul><ul><ul><li>La seguridad de un sistema crítico no debe depender de la seguridad de otro de menor criticidad </li></ul></ul>
  9. 9. Diferenciar servidores Según su ubicación <ul><li>La ubicación puede determinar el nivel de exposición a distintos atacantes </li></ul><ul><ul><li>Zona interna de confianza </li></ul></ul><ul><ul><li>Zona de acceso remoto </li></ul></ul><ul><ul><li>Zona perimetral </li></ul></ul><ul><li>Las políticas de seguridad pueden variar según la exposición </li></ul>
  10. 10. Diferenciar servidores Según su funcionalidad <ul><li>Cada servidor tendrá una serie de funcionalidades lícitas </li></ul><ul><ul><li>Controladores de dominio </li></ul></ul><ul><ul><li>Servidores de infraestructura: DHCP, WINS </li></ul></ul><ul><ul><li>Servidores de archivos </li></ul></ul><ul><ul><li>Servidores de impresión </li></ul></ul><ul><ul><li>Servidores de aplicación IIS </li></ul></ul><ul><ul><li>Servidores de autenticación IAS </li></ul></ul><ul><ul><li>Servidores de certificación </li></ul></ul><ul><ul><li>Servidores bastiones </li></ul></ul><ul><li>Pueden aparecer otros roles </li></ul><ul><ul><li>Hacer que cada servidor sea un representante único de su rol, dificulta la gestión. </li></ul></ul>
  11. 11. <ul><li>Cada capa establece sus defensas: </li></ul><ul><ul><li>Datos y Recursos: ACLs, Cifrado </li></ul></ul><ul><ul><li>Defensas de Aplicación: Validación de las entradas, Antivirus </li></ul></ul><ul><ul><li>Defensas de Host: Asegurar el SO, aplicar revisiones y SP, Auditoria </li></ul></ul><ul><ul><li>Defensas de red: Segmentación, VLAN ACLs, IPSec </li></ul></ul><ul><ul><li>Defensas de perímetro: Filrado de paquetes, IDS, Cuarentena en VPN </li></ul></ul>Estrategia de Defensa en Profundidad Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro
  12. 12. <ul><li>Cada capa asume que la capa anterior ha fallado: </li></ul><ul><ul><li>Medidas redundantes </li></ul></ul><ul><li>Seguridad Física </li></ul><ul><li>Todo bajo la dirección de la política de seguridad de la empresa </li></ul><ul><li>Basada en capas: </li></ul><ul><ul><li>Aumenta la posibilidad de que se detecten los intrusos </li></ul></ul><ul><ul><li>Disminuye la oportunidad de que los intrusos logren su propósito </li></ul></ul>Estrategia de Defensa en Profundidad Directivas, procedimientos, formación y concienciación Seguridad física Datos y Recursos Defensas de Aplicación Defensas de Host Defensas de Red Defensas de Perímetro Asume fallo de la capa anterior
  13. 13. Seguridad de Servidor Prácticas Básicas <ul><li>Aplicar Service Packs </li></ul><ul><li>Aplicar las Revisiones de Seguridad </li></ul><ul><li>Subscribirse a los boletines de seguridad </li></ul><ul><li>“ TechNet Security Day I” </li></ul>
  14. 14. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  15. 15. Seguridad en Entornos Confiados Estrategia <ul><li>Asegurar el entorno de Active Directory </li></ul><ul><ul><li>Crear un diseño teniendo en cuenta las implicaciones de seguridad </li></ul></ul><ul><ul><li>Revisar el diseño actual </li></ul></ul><ul><li>Crear una Línea Base de Seguridad para todos los servidores integrantes </li></ul><ul><ul><li>“ Mínimo Común” de la seguridad </li></ul></ul><ul><li>Afinar esa Base para cada uno de los roles específicos </li></ul>
  16. 16. Active Directory Componentes <ul><li>Bosque </li></ul><ul><ul><li>Un bosque funciona como límite de seguridad en Active Directory </li></ul></ul><ul><li>Dominio </li></ul><ul><ul><li>Facilita la gestión </li></ul></ul><ul><li>Unidad organizativa </li></ul><ul><ul><li>Contenedor de objetos </li></ul></ul><ul><li>Directivas de grupo </li></ul><ul><ul><li>Herramienta clave para implementar y administrar la seguridad de una red </li></ul></ul>
  17. 17. Active Directory Consideraciones de diseño <ul><li>Crear un Plan de Seguridad de Active Directory </li></ul><ul><li>Establecer claramente los límites de seguridad y administrativos </li></ul><ul><ul><li>Seguridad basada en la infraestructura de dominios </li></ul></ul><ul><ul><li>Separación de administradores </li></ul></ul><ul><ul><ul><li>Gestionar cuidadosamente grupos con elevados privilegios </li></ul></ul></ul><ul><ul><ul><ul><li>Administradores de Empresa (Enterprise Admins) </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Administradores de Esquema (Schema Admins) </li></ul></ul></ul></ul><ul><ul><ul><li>Delegar tareas administrativas </li></ul></ul></ul><ul><ul><li>Crear una Estructura de Unidades Organizativas </li></ul></ul><ul><ul><ul><li>Para delegación de administración. </li></ul></ul></ul><ul><ul><ul><li>Para la aplicación de directivas de grupo </li></ul></ul></ul><ul><li>Si ya está desplegado AD, revisar el diseño actual para conocer mejor las posibles vulnerabilidades </li></ul>
  18. 18. Diseño de Active Directory Plan de Seguridad <ul><li>Analizar el entorno </li></ul><ul><ul><li>Centro de datos de intranet </li></ul></ul><ul><ul><li>Sucursales </li></ul></ul><ul><ul><li>Centro de datos de extranet </li></ul></ul><ul><li>Realizar un análisis de las amenazas </li></ul><ul><ul><li>Identificar las amenazas para Active Directory </li></ul></ul><ul><ul><ul><li>Identificar los tipos de amenazas </li></ul></ul></ul><ul><ul><ul><li>Identificar el origen de las amenazas </li></ul></ul></ul><ul><ul><li>Determinar medidas de seguridad para las amenazas </li></ul></ul><ul><ul><li>Establecer planes de contingencia </li></ul></ul>
  19. 19. Diseño de Active Directory Recomendaciones de Administración <ul><li>Separación de roles de administración </li></ul><ul><ul><li>Administradores de servicio </li></ul></ul><ul><ul><ul><li>Encargados de configurar y administrar los distintos servicios de AD </li></ul></ul></ul><ul><ul><ul><li>Controlan la replicación y el correcto funcionamiento </li></ul></ul></ul><ul><ul><ul><li>Copias de seguridad y restauración de AD </li></ul></ul></ul><ul><ul><ul><li>Administran los controladores de dominio y servidores de infraestructura </li></ul></ul></ul><ul><ul><li>Administradores de datos </li></ul></ul><ul><ul><ul><li>Administran subconjuntos de objetos de AD: </li></ul></ul></ul><ul><ul><ul><ul><li>Usuarios, grupos, carpetas compartidas </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Equipos, servidores integrantes y los datos que contienen </li></ul></ul></ul></ul>
  20. 20. Diseño de Active Directory Autonomía o Aislamiento <ul><li>Autonomía (control no exclusivo) </li></ul><ul><ul><li>Autonomía de servicio </li></ul></ul><ul><ul><ul><li>Crear un bosque para autonomía de esquema, autoridades de certificación de empresa, etc. </li></ul></ul></ul><ul><ul><ul><li>Crear un dominio para autonomía de directivas de grupo, políticas de contraseña </li></ul></ul></ul><ul><ul><li>Autonomía de datos </li></ul></ul><ul><ul><ul><li>Crear una OU para delegar control a los administradores de datos </li></ul></ul></ul><ul><li>Aislamiento (control exclusivo) </li></ul><ul><ul><li>Aislamiento de servicio </li></ul></ul><ul><ul><ul><li>Crear un bosque </li></ul></ul></ul><ul><ul><li>Aislamiento de datos </li></ul></ul><ul><ul><ul><li>Crear una OU para aislar de otros administradores de datos </li></ul></ul></ul><ul><ul><ul><li>Crear un bosque para aislar de los administradores de servicio </li></ul></ul></ul>
  21. 21. Administración Active Directory Recomendaciones generales <ul><li>Delegar los permisos mínimos necesarios para cada rol </li></ul><ul><li>Utilizar doble cuenta para usuarios administradores </li></ul><ul><ul><li>Cuenta de administración (no genérica) </li></ul></ul><ul><ul><li>Cuenta de usuario: acceso al correo, documentar, navegar </li></ul></ul><ul><li>Utilizar autenticación fuerte para cuentas de administración </li></ul><ul><ul><li>Autenticación de dos factores: </li></ul></ul><ul><ul><ul><li>Smart Card y PIN </li></ul></ul></ul>
  22. 22. Diseño de Active Directory Bosques <ul><li>Separar en otro bosque los servidores de Extranet </li></ul><ul><li>Crear otro bosque para aislar administradores de servicios </li></ul><ul><ul><ul><li>Bosques y dominios </li></ul></ul></ul><ul><ul><ul><ul><li>Bosque = Límite real de seguridad </li></ul></ul></ul></ul><ul><ul><ul><ul><li>Dominio = Límite de gestión para administradores con buen comportamiento </li></ul></ul></ul></ul>Múltiples bosques Bosque Bosque Trust
  23. 23. Diseño de Active Directory Jerarquía de Unidades Organizativas <ul><li>Una jerarquía de unidades organizativas basada en funciones de servidor: </li></ul><ul><ul><li>Simplifica la administración de la seguridad </li></ul></ul><ul><ul><li>Aplica la configuración de directivas de seguridad a los servidores y a otros objetos en cada unidad organizativa </li></ul></ul>Directiva de dominio Dominio Diseño de dominios Directiva de línea de base de servidor integrante Servidores integrantes Controladores de dominio Directiva de controladores de dominio Directiva de servidores de impresión Directiva de servidores de archivos Directiva de servidores IIS Servidores de impresión Servidores de archivos Servidores Web Administrador de operaciones Administrador de operaciones Administrador de servicios Web
  24. 24. Directiva de Grupo de Dominio Fortalecimiento de la configuración <ul><li>Revisar y modificar la Directiva por defecto </li></ul><ul><ul><li>Es posible que no se adecue a las políticas de la empresa </li></ul></ul><ul><ul><li>Para modificarla existen dos estrategias: </li></ul></ul><ul><ul><ul><li>Modificar la Directiva por defecto </li></ul></ul></ul><ul><ul><ul><li>Crear una Directiva Incremental </li></ul></ul></ul><ul><li>Políticas de cuentas para los usuarios del dominio </li></ul><ul><ul><ul><li>Caducidad y Complejidad de Contraseñas </li></ul></ul></ul><ul><ul><ul><li>Bloqueo y Desbloqueo de cuentas </li></ul></ul></ul>
  25. 25. Demostración Delegación de administración y aplicación de una plantilla de seguridad Delegación del control a un grupo administrativo Aplicación de la plantilla de seguridad de dominio
  26. 26. Refuerzo de Seguridad Proceso <ul><li>Configuración de seguridad de línea de base para todos los servidores integrantes </li></ul><ul><li>Opciones de configuración adicionales para servidores con funciones específicas </li></ul><ul><li>Utilizar GPResult para verificar la aplicación </li></ul>Servidores de infraestructuras Servidores de archivos Servidores IIS Autoridades de Certificación Hosts bastiones Seguridad Active Directory Directiva de línea de base de servidores integrantes Servidores RADIUS Procedimientos de refuerzo de la seguridad Configuración de seguridad incremental basada en funciones
  27. 27. Línea Base de Seguridad Recomendaciones <ul><li>Se aplicará a todos los servidores integrantes </li></ul><ul><ul><li>No a los controladores de dominio </li></ul></ul><ul><li>Opciones de la plantilla: </li></ul><ul><ul><li>Directiva de auditoria </li></ul></ul><ul><ul><ul><li>Inicio y fin de sesión, cambios en la política </li></ul></ul></ul><ul><ul><li>Asignación de derechos de usuario </li></ul></ul><ul><ul><ul><li>Permitir inicio de sesión local en los servidores </li></ul></ul></ul><ul><ul><li>Opciones de seguridad </li></ul></ul><ul><ul><ul><li>Nombres de cuentas de administrador y de invitado </li></ul></ul></ul><ul><ul><ul><li>Acceso a la unidad de CD-ROM y de disquete </li></ul></ul></ul><ul><ul><ul><li>Los mensajes de inicio de sesión </li></ul></ul></ul><ul><ul><li>Registro de sucesos </li></ul></ul><ul><ul><ul><li>Tamaño </li></ul></ul></ul><ul><ul><li>Servicios del sistema </li></ul></ul><ul><ul><ul><li>Comportamiento de inicio </li></ul></ul></ul>
  28. 28. Línea Base de Seguridad Recomendaciones <ul><li>No aplicar directamente las plantillas: </li></ul><ul><ul><li>Revisar detalladamente todas las opciones </li></ul></ul><ul><ul><li>Probar los cambios en entorno de laboratorio antes de implementarlos en producción </li></ul></ul>
  29. 29. Línea Base de Seguridad Posibles cambios <ul><li>Para evitar operaciones remotas de los administradores de servicio </li></ul><ul><ul><li>Utilizar la política “Denegar inicio de sesión desde red” </li></ul></ul><ul><li>Cuidado con las opciones del registro de sucesos cuando se llena </li></ul><ul><ul><li>Denegación de servicio si se llena el registro de seguridad </li></ul></ul><ul><li>Compatibilidad con sistemas anteriores, hace rebajar el nivel de seguridad: </li></ul><ul><ul><li>“ Firmar digitalmente las comunicaciones (siempre)” (SMB) </li></ul></ul><ul><ul><li>“ No permitir enumeraciones anónimas de cuentas” </li></ul></ul><ul><ul><li>“ No almacenar el valor de hash de Lan Manager” </li></ul></ul><ul><ul><li>“ Nivel de Autenticación de Lan Manager” </li></ul></ul>
  30. 30. Línea Base de Seguridad Otras opciones <ul><li>Asegurar la pila TCP/IP </li></ul><ul><ul><li>Prevenir ataques DoS </li></ul></ul><ul><li>Deshabilitar la generación automática de nombres 8.3 en NTFS </li></ul><ul><li>Deshabilitar la opción de ejecución automática de CD-ROMs (Autorun) </li></ul><ul><li>Orden de búsqueda de DLLs </li></ul>
  31. 31. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  32. 32. Asegurar un Controlador de Dominio <ul><li>Son los servidores más importantes de la infraestructura </li></ul><ul><ul><li>Poseen la información de todos los objetos del Active Directory </li></ul></ul><ul><li>La seguridad física es importante </li></ul><ul><ul><li>Ubicados en salas con control de acceso </li></ul></ul><ul><li>Las copias de seguridad poseen también información crítica </li></ul><ul><ul><li>Se deben almacenar en entornos con control de acceso </li></ul></ul><ul><li>Proceso de Instalación: </li></ul><ul><ul><li>En ubicaciones controladas </li></ul></ul><ul><ul><li>Bajo la supervisión de administradores </li></ul></ul><ul><ul><li>Utilizando procedimientos automatizados </li></ul></ul>
  33. 33. Controladores de dominio Plantilla de seguridad <ul><li>La mayoría de las directivas coincidirán con la Línea Base de Seguridad </li></ul><ul><li>Mayores restricciones en los derechos de usuarios </li></ul><ul><ul><li>Inicio de sesión interactiva: Sólo administradores </li></ul></ul><ul><ul><li>Inicio de sesión por TS: Sólo administradores </li></ul></ul><ul><ul><li>Restauración: Sólo administradores </li></ul></ul><ul><ul><li>Cambiar la hora del sistema: Sólo administradores </li></ul></ul><ul><li>Configuración servicios específicos: </li></ul><ul><ul><li>DFS </li></ul></ul><ul><ul><li>DNS </li></ul></ul><ul><ul><li>NTFRS </li></ul></ul><ul><ul><li>KDC </li></ul></ul>
  34. 34. Controladores de Dominio Medidas de Seguridad Adicionales <ul><li>Reubicar los directorios de la base de datos y logs de Active Directory </li></ul><ul><li>Incrementar el tamaño de los registros de eventos </li></ul><ul><li>Asegurar el servicio DNS </li></ul><ul><ul><li>Utilizar actualizaciones dinámicas seguras </li></ul></ul><ul><ul><li>Limitar las transferencias de zonas </li></ul></ul><ul><li>Bloquear puertos con IPSec </li></ul>
  35. 35. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  36. 36. <ul><li>Servidores DHCP y WINS </li></ul><ul><li>Se utilizará una plantilla de seguridad incremental específica para Servidor de infraestructuras </li></ul><ul><li>Se configurarán manualmente las opciones adicionales </li></ul>Asegurar un Servidor de Infraestructura
  37. 37. Servidor de Infraestructura Plantilla de seguridad <ul><li>Heredará las directivas de la Línea Base de Seguridad </li></ul><ul><li>Modificará los Servicios para incluir: </li></ul><ul><ul><li>Inicio y seguridad de los servicios DHCP y WINS </li></ul></ul>
  38. 38. Servidor de Infraestructura Configuraciones adicionales <ul><li>Es recomendable establecer las siguientes configuraciones adicionales: </li></ul><ul><ul><li>Configuración de registro (log) de DHCP </li></ul></ul><ul><ul><li>Protección frente a DoS (80/20) </li></ul></ul><ul><ul><ul><li>Evitar perdida de servicio </li></ul></ul></ul><ul><ul><li>Usar cuentas de servicio: </li></ul></ul><ul><ul><ul><li>No privilegiadas </li></ul></ul></ul><ul><ul><ul><li>Cuentas locales </li></ul></ul></ul><ul><ul><li>Protección de cuentas locales: </li></ul></ul><ul><ul><ul><li>Administrador </li></ul></ul></ul><ul><ul><ul><li>Invitado </li></ul></ul></ul><ul><ul><li>Permitir tráfico sólo a puertos autorizados mediante filtros IPSec </li></ul></ul>
  39. 39. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  40. 40. <ul><li>Balanceo entre seguridad y facilidad de uso </li></ul><ul><li>Basados en SMB o CIFS: </li></ul><ul><ul><li>Utilizan NetBIOS </li></ul></ul><ul><ul><li>Proporcionar información a usuarios no autenticados </li></ul></ul>Asegurar un Servidor de Archivos
  41. 41. Servidor de Archivos Plantilla de seguridad <ul><li>Heredará las directivas de la Línea Base de Seguridad </li></ul><ul><li>Deshabilitar DFS y NTFRS si no son necesarios </li></ul><ul><ul><li>DFS: Sistema distribuidos de ficheros </li></ul></ul><ul><ul><li>NTFRS: Replicación de ficheros </li></ul></ul>
  42. 42. Servidor de Archivos Configuraciones adicionales <ul><li>Utilizar ACLs para controlar el acceso: </li></ul><ul><ul><li>Sobre archivos y carpetas compartidos mediante NTFS </li></ul></ul><ul><ul><li>Sobre los recursos compartidos </li></ul></ul><ul><ul><li>Evitar: Todos/Control Total </li></ul></ul><ul><li>Uso de auditoria sobre archivos importantes: </li></ul><ul><ul><li>Perjudica el rendimiento </li></ul></ul><ul><li>Asegurar cuentas conocidas: </li></ul><ul><ul><li>Invitado </li></ul></ul><ul><ul><li>Administrador </li></ul></ul><ul><li>Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos </li></ul>
  43. 43. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  44. 44. <ul><li>Se debe proteger cada servidor IIS y cada aplicación </li></ul><ul><li>Se utilizará una plantilla incremental </li></ul>Asegurar un Servidor de Aplicaciones IIS
  45. 45. Servidor de Aplicaciones IIS Plantilla de seguridad <ul><li>Aplica las directivas de la Línea Base de Seguridad </li></ul><ul><li>Permisos de usuario: </li></ul><ul><ul><li>“ Denegar acceso a este equipo desde la red” </li></ul></ul><ul><ul><ul><li>Incluir: administrador local, Invitado, etc. </li></ul></ul></ul><ul><li>Servicios para incluir: </li></ul><ul><ul><li>HTTP SSL </li></ul></ul><ul><ul><li>IIS Admin </li></ul></ul><ul><ul><li>W3C </li></ul></ul>
  46. 46. Servidor de Aplicaciones IIS Configuraciones adicionales <ul><li>Instalar sólo los componentes necesarios </li></ul><ul><li>Habilitar sólo las extensiones necesarias </li></ul><ul><li>Ubicar el contenido en volúmenes dedicados </li></ul><ul><ul><li>Evitar usar el volumen de sistema </li></ul></ul><ul><li>Establecer permisos NTFS </li></ul><ul><li>Establecer permisos IIS sobre los sitios web </li></ul><ul><ul><li>Evitar permisos de ejecución y escritura en el mismo sitio web </li></ul></ul><ul><li>Evitar cuentas de servicio de dominio </li></ul><ul><li>Asegurar cuentas conocidas: </li></ul><ul><ul><li>Invitado </li></ul></ul><ul><ul><li>Administrador </li></ul></ul><ul><li>Filtrado de tráfico mediante IPSec para permitir sólo puertos específicos (80,443) </li></ul>
  47. 47. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  48. 48. Entornos no Confiados Acercando los servidores al enemigo <ul><li>Servidores en redes perimetrales </li></ul><ul><ul><li>Servidores DNS públicos </li></ul></ul><ul><ul><li>Servidores de aplicación IIS </li></ul></ul><ul><ul><li>Servidores de VPN </li></ul></ul><ul><li>Servidores en redes de acceso remoto </li></ul><ul><ul><li>Servidores de autenticación IAS </li></ul></ul>
  49. 49. Entornos no Confiados Estrategias <ul><li>Utilizar Servidores Independientes </li></ul><ul><ul><li>Cuentas locales </li></ul></ul><ul><ul><li>Directivas de seguridad local </li></ul></ul><ul><li>Utilizar un bosque dedicado </li></ul><ul><ul><li>Permite utilizar cuentas de administración comunes </li></ul></ul><ul><ul><li>Permite aplicar Directivas de Seguridad de Grupo </li></ul></ul><ul><ul><li>Se utilizará un bosque separado del bosque interno, para evitar el compromiso de cuentas de usuarios internos </li></ul></ul>
  50. 50. Servidores independientes Aplicación de plantillas de seguridad <ul><li>Plantillas de seguridad para cada servidor o rol </li></ul><ul><li>Aplicación local mediante herramientas </li></ul><ul><ul><li>“ Configuración y Análisis de Seguridad” </li></ul></ul><ul><ul><ul><li>Permite la comparación y la aplicación de varias plantillas de seguridad </li></ul></ul></ul><ul><ul><li>“ SecEdit” </li></ul></ul><ul><ul><ul><li>Línea de comandos </li></ul></ul></ul><ul><ul><ul><li>Permite aplicar plantillas mediante scripts </li></ul></ul></ul>
  51. 51. Bosque dedicado Aplicación de políticas <ul><li>Bosques independientes </li></ul><ul><li>Permite una administración centralizada de la red perimetral </li></ul>
  52. 52. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  53. 53. Bastionado Servidores con acceso público <ul><li>Servidores expuestos a ataques externos. </li></ul><ul><ul><li>Minimizar la superficie de ataque. </li></ul></ul><ul><li>Normalmente uno de los siguientes roles </li></ul><ul><ul><li>Servidores de Aplicación IIS </li></ul></ul><ul><ul><li>Servidores DNS </li></ul></ul><ul><ul><li>Servidores SMTP </li></ul></ul><ul><ul><li>Otros servicios de Internet: NNTP, FTP </li></ul></ul><ul><li>Servidores Independientes </li></ul><ul><ul><li>Política de seguridad muy restrictiva </li></ul></ul>
  54. 54. Bastionado Política de seguridad <ul><li>Derechos de usuario </li></ul><ul><ul><li>“ Permitir el inicio de sesión local” </li></ul></ul><ul><ul><ul><li>Administradores </li></ul></ul></ul><ul><ul><li>“ Denegar el acceso desde la red a este equipo” </li></ul></ul><ul><ul><ul><li>ANONYMOUS LOGON </li></ul></ul></ul><ul><ul><ul><li>Administrador </li></ul></ul></ul><ul><ul><ul><li>Support_388945a0 </li></ul></ul></ul><ul><ul><ul><li>Invitado (* no el grupo Invitados) </li></ul></ul></ul><ul><ul><ul><li>El resto de cuentas de servicio que no son del SO </li></ul></ul></ul>
  55. 55. Bastionado Política de seguridad <ul><li>Servicios deshabilitados </li></ul><ul><ul><li>Todos los de la Línea Base y algunos más: </li></ul></ul><ul><ul><ul><li>Actualizaciones automáticas </li></ul></ul></ul><ul><ul><ul><li>Administrador de acceso remoto </li></ul></ul></ul><ul><ul><ul><li>Cliente DHCP </li></ul></ul></ul><ul><ul><ul><li>Examinador de equipos (Computer Browser) </li></ul></ul></ul><ul><ul><ul><li>Proveedor de compatibilidad de seguridad LM con Windows NT </li></ul></ul></ul><ul><ul><ul><li>Registro Remoto </li></ul></ul></ul><ul><ul><ul><li>Servidor </li></ul></ul></ul><ul><ul><ul><li>Servicios de Terminal Services </li></ul></ul></ul><ul><ul><ul><li>TCP/IP NetBIOS Helper Service  NetBIOS sobre TCP/IP </li></ul></ul></ul>
  56. 56. Bastionado Política de seguridad <ul><li>Servicios habilitados </li></ul><ul><ul><li>Sólo los servicios imprescindibles </li></ul></ul><ul><ul><ul><li>Correspondiente al rol “SMTP”, “W3C” </li></ul></ul></ul><ul><ul><ul><li>Administrador de cuentas de seguridad </li></ul></ul></ul><ul><ul><ul><li>Inicio de sesión en red (Netlogon) </li></ul></ul></ul><ul><ul><ul><li>Estación de trabajo </li></ul></ul></ul>
  57. 57. Bastionado Configuraciones adicionales <ul><li>Deshabilitar los protocolos innecesarios </li></ul><ul><ul><li>Cliente para redes Microsoft </li></ul></ul><ul><ul><li>Compartir impresoras y archivos para redes Microsoft </li></ul></ul><ul><ul><li>NetBIOS sobre TCP/IP </li></ul></ul><ul><li>Asegurar las cuentas conocidas </li></ul><ul><ul><li>Invitado </li></ul></ul><ul><ul><li>Administrador </li></ul></ul><ul><li>Bloqueo de puertos mediante IPSec </li></ul>
  58. 58. <ul><li>Filtros para tráfico permitido y bloqueado </li></ul><ul><li>No se produce ninguna negociación real de las asociaciones de seguridad de IPSec </li></ul><ul><li>Los filtros se solapan: la coincidencia más específica determina la acción </li></ul><ul><li>No proporciona filtrado de estado </li></ul>Bastionado Filtrado IPSec Bloquear N/D N/D Cualquiera Mi IP de Internet Cualquiera Permitir 80 Cualquiera TCP Mi IP de Internet Cualquiera Acción Puerto de destino Puerto de origen Protocolo A IP Desde IP
  59. 59. Demostración Aplicación de la plantilla de seguridad de bastionado Aplicación de la plantilla de seguridad a un servidor independiente
  60. 60. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  61. 61. Servidor de Aplicaciones IIS Reforzar la seguridad <ul><li>Se aplican las recomendaciones anteriores para entornos de confianza </li></ul><ul><li>Servidores independientes si no se necesitan cuentas de dominio </li></ul><ul><li>Bosque separado del interno </li></ul><ul><li>Utilizar configuraciones avanzadas de IIS 6.0: </li></ul><ul><ul><li>Aislamiento de aplicaciones </li></ul></ul><ul><ul><li>Cuentas con el menor privilegio </li></ul></ul>
  62. 62. Servidor de Aplicaciones IIS Aislamiento de aplicaciones <ul><li>Incrementar la seguridad en servidores IIS compartidos por varias aplicaciones </li></ul><ul><li>Los usuarios y aplicaciones de un sitio no pueden leer el contenido de otro </li></ul><ul><li>Asignar aplicaciones a diferentes “grupos de aplicación” </li></ul>
  63. 63. Servidor de Aplicaciones IIS Aislamiento de aplicaciones <ul><li>Asignar identidades únicas: </li></ul><ul><ul><li>A cada grupo de aplicación </li></ul></ul><ul><ul><li>Al usuario anónimo de cada sitio </li></ul></ul><ul><li>Añadir la identidad de cada “grupo de aplicación” al grupo IIS_WPG </li></ul><ul><li>Asignar permisos NTFS para el contenido de cada aplicación </li></ul>
  64. 64. Agenda <ul><li>Diferenciar el servidor por su función y su entorno </li></ul><ul><li>Aseguramiento en entornos confiados </li></ul><ul><ul><li>Asegurar un Controlador de Dominio </li></ul></ul><ul><ul><li>Asegurar un Servidor de Infraestructura </li></ul></ul><ul><ul><li>Asegurar un Servidor de Ficheros </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><li>Aseguramiento en entornos no confiados </li></ul><ul><ul><li>Bastionado </li></ul></ul><ul><ul><li>Asegurar un Servidor de Aplicaciones IIS </li></ul></ul><ul><ul><li>Asegurar un Servidor de Autenticación IAS </li></ul></ul>
  65. 65. Servidor de Autenticación IAS RADIUS <ul><li>Utilizado para autenticar a los clientes externos </li></ul><ul><ul><li>Acceso remoto </li></ul></ul><ul><ul><li>Clientes wireless </li></ul></ul><ul><li>Expuestos a ataques externos </li></ul><ul><li>Deshabilitar los elementos innecesarios </li></ul>
  66. 66. <ul><li>Proporcionar guías para: </li></ul><ul><ul><li>Usuarios finales </li></ul></ul><ul><ul><li>Administradores de Sistemas </li></ul></ul><ul><ul><li>Administradores de Seguridad </li></ul></ul><ul><li>Estas guías son: </li></ul><ul><ul><li>Guías probadas en entornos reales </li></ul></ul><ul><ul><li>Diseñadas para preocupaciones reales de seguridad </li></ul></ul><ul><ul><li>Apropiadas para situaciones reales </li></ul></ul>Windows Server 2003 Security Guide Objetivos de diseño
  67. 67. <ul><li>Plantillas para tres escenarios: </li></ul><ul><ul><li>“ Legacy templates”: predomina la compatibilidad sobre la seguridad </li></ul></ul><ul><ul><li>“ Enterprise templates”: apropiadas para la mayoría de los entornos </li></ul></ul><ul><ul><li>“ High-security”: mayor restricción de seguridad, sin compatibilidad </li></ul></ul>Windows Server 2003 Security Guide Plantillas de seguridad
  68. 68. Resumen
  69. 69. Asegurar Windows Server 2003 Estrategia Implementar políticas de seguridad basadas en la guía de recomendaciones “ Windows Server 2003 Security Guide ” Diferenciar los servidores por su criticidad, ubicación y rol. Estrategia de Defensa en Profundidad.
  70. 70. Diseño de Active Directory Estrategia Utilizar Unidades Organizativas para Delegar Administración y aplicar Directivas de Grupo Los Bosques establecen los Límites Reales de Seguridad. Diferenciar los Roles de Administración
  71. 71. Servidores en Entornos Confiados Estrategia Afinar con Directivas de Grupo para cada Rol de Servidores Establecer Directiva de Grupo de Dominio Crear una Línea Base de Seguridad Común
  72. 72. Servidores en Entornos no Confiados Estrategia Utilizar Filtros IPSec para reducir la Superficie de Ataque Utilizar Servidores Independientes si es posible Aplicar Directivas Locales para cada Servidor
  73. 73. Preguntas y respuestas
  74. 74. Para obtener más información <ul><li>Sitio de seguridad de Microsoft </li></ul><ul><ul><li>http://www.microsoft.com/security </li></ul></ul><ul><ul><li>http:// www.microsoft.com / spain /seguridad/ </li></ul></ul><ul><li>Sitio de seguridad de TechNet (profesionales de IT) </li></ul><ul><ul><li>http://www.microsoft.com/technet/security/ </li></ul></ul><ul><ul><li>http:// www.microsoft.com / spain / technet /seguridad/ </li></ul></ul><ul><li>Sitio de seguridad de MSDN (desarrolladores) </li></ul><ul><ul><li>http://msdn.microsoft.com/security </li></ul></ul>
  75. 75. Barcelona 4 Mayo 2004

×