cómo implementar la seguridad de entornos cliente windows 2000 y windows xp raúl rubio consultor...

Cómo Implementar laCómo Implementar la seguridadseguridad dede entornos entornos clientecliente WindowsWindows 20002000 yy WindowsWindows XPXP

Raúl RubioRaúl Rubio

Consultor de SeguridadConsultor de Seguridad

Microsoft ServicesMicrosoft Services

RequisitosRequisitos previosprevios parapara lala sesiónsesión ExperienciaExperiencia prácticapráctica concon laslas herramientasherramientas

dede administraciónadministración dede WindowsWindows 20002000 oo WindowsWindows XPXP

ConocimientosConocimientos dede ActiveActive DirectoryDirectory yy DirectivasDirectivas dede grupogrupo

NivelNivel 200200

AgendaAgenda IntroducciónIntroducción SeguridadSeguridad básicabásica dede loslos clientesclientes ProtecciónProtección dede clientesclientes concon ActiveActive DirectoryDirectory UsoUso dede Directivas de grupoDirectivas de grupo parapara lala protecciónprotección dede

clientesclientes ProtecciónProtección dede aplicacionesaplicaciones ConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo localeslocales parapara

clientesclientes independientesindependientes DirectivaDirectiva dede restricciónrestricción dede softwaresoftware ProgramasProgramas antivirusantivirus Cortafuegos personalCortafuegos personal Apendice: Windows XP Service Pack 2Apendice: Windows XP Service Pack 2

LaLa importanciaimportancia dede lala seguridadseguridad

ProtegerProteger lala informacióninformación ProtegerProteger loslos canalescanales dede comunicacióncomunicación ReducirReducir elel tiempotiempo dede inactividadinactividad ProtegerProteger loslos accesosaccesos ProtegerProteger laslas actividadesactividades

dede loslos empleadosempleados

EncuestaEncuesta sobresobre seguridadseguridad yy delitosdelitos informáticosinformáticos dede CSI/FBICSI/FBI (año(año 2003)2003)

EncuestaEncuesta sobresobre seguridadseguridad yy delitosdelitos informáticosinformáticos dede CSI/FBICSI/FBI (año(año 2003)2003)

EstructuraEstructura dede organizaciónorganización dede lala seguridadseguridad

ElEl usouso dede unauna soluciónsolución enen niveles (niveles (Modelo Modelo Defense in DepthDefense in Depth):): AumentaAumenta lala posibilidadposibilidad dede queque sese detectendetecten loslos intrusosintrusos DisminuyeDisminuye lala posibilidadposibilidad dede queque loslos intrusosintrusos logrenlogren susu propósitopropósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

Seguridad físicaSeguridad física

PerimetralPerimetral

Red internaRed interna

HostHost

AplicaciónAplicación

DatosDatos

Refuerzo del sistema operativo, Refuerzo del sistema operativo, administración de actualizaciones, administración de actualizaciones, autenticación, HIDSautenticación, HIDS

ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPN

GuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento

SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS

RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus

ACL,ACL, cifradocifrado

ProgramasProgramas dede aprendizajeaprendizaje

parapara loslos usuariosusuarios

OrdenOrden deldel díadía

IntroducciónIntroducción SeguridadSeguridad básicabásica dede loslos clientesclientes ProtecciónProtección dede clientesclientes concon ActiveActive DirectoryDirectory UsoUso dede Directivas de grupoDirectivas de grupo parapara lala

protecciónprotección dede clientesclientes ProtecciónProtección dede aplicacionesaplicaciones ConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo localeslocales

parapara clientesclientes independientesindependientes DirectivaDirectiva dede restricciónrestricción dede softwaresoftware ProgramasProgramas antivirusantivirus Cortafuegos personalCortafuegos personal

ComponentesComponentes dede lala seguridadseguridad dede loslos equiposequipos clientecliente

Modelo Modelo Defense in DepthDefense in Depth aplicado a la seguridad de los aplicado a la seguridad de los clientesclientes

ActualizacionesActualizaciones dede softwaresoftware

ApliqueAplique actualizacionesactualizaciones dede softwaresoftware parapara mantenermantener actualizadosactualizados loslos sistemassistemas

RecomendacionesRecomendaciones sobresobre contraseñascontraseñas

UtiliceUtilice contraseñascontraseñas segurasseguras enen loslos distintosdistintos sistemassistemas parapara restringirrestringir elel accesoacceso

ProtecciónProtección dede loslos datosdatos

RealiceRealice copiascopias dede seguridadseguridad dede loslos datos,datos, cífreloscífrelos yy restrinjarestrinja elel accesoacceso aa loslos mismosmismos

SeguridadSeguridad dede laslas aplicacionesaplicaciones

Implemente,Implemente, configureconfigure yy restrinjarestrinja lala instalacióninstalación dede aplicacionesaplicaciones

AdministraciónAdministración dede loslos clientesclientes

UtiliceUtilice ActiveActive Directory,Directory, plantillasplantillas yy directivasdirectivas parapara aplicaraplicar medidasmedidas dede seguridadseguridad

EquiposEquipos portátilesportátiles ImplementeImplemente directivasdirectivas yy tecnologíastecnologías parapara protegerproteger elel accesoacceso remotoremoto ee inalámbricoinalámbrico

AntivirusAntivirus InstaleInstale yy mantengamantenga softwaresoftware antivirusantivirus comocomo ayudaayuda parapara lala protecciónprotección contracontra códigocódigo malintencionadomalintencionado

CortafuegosCortafuegos ConfigureConfigure dispositivosdispositivos dede hardware,hardware, dede softwaresoftware oo ambosambos comocomo ayudaayuda parapara lala protecciónprotección deldel perímetroperímetro

AdministraciónAdministración dede laslas actualizacionesactualizaciones dede softwaresoftware ImplementeImplemente unauna soluciónsolución dede administraciónadministración dede

actualizacionesactualizaciones p paraara protegerproteger loslos puntospuntos vulnerablesvulnerables

AsistaAsista aa lala sesiónsesión sobresobre Gestión de ParchesGestión de Parches oo examineexamine las Guías Prescriptivas disponibles en:las Guías Prescriptivas disponibles en:http://www.microsoft.com/spain/technet/seguridad/http://www.microsoft.com/spain/technet/seguridad/

Tipo de usuario

EscenarioEl usuario

elige

Usuario independiente

Todos los escenariosWindows Update

Pequeña empresa

Sin servidores que ejecuten WindowsWindows Update

Tiene entre uno y tres servidores con Windows y un administrador de IT SUS

Empresa grande o mediana

Desea una solución de administración de actualizaciones con un nivel de control básico que actualice Windows 2000 y las versiones posteriores de Windows

SUS

Desea una solución de administración de actualizaciones flexible con un mayor control para actualizar (y distribuir) todo el software

SMS

RecomendacionesRecomendaciones sobresobre contraseñascontraseñas

Adoctrine a los usuarios sobre el uso de buenas contraseñas

Utilice frases (con espacios en blanco, números y caracteres especiales) en lugar de palabras sueltas

Utilice contraseñas distintas para recursos diferentes y proteja la lista de contraseñas

Configure los protectores de pantalla con contraseña y bloquee las estaciones de trabajo cuando no se utilicen

Aplique la autenticación mediante varios factores cuando se necesite una mayor seguridad

ProtecciónProtección dede loslos datosdatos

UsoUso dede EFSEFS parapara restringirrestringir elel accesoacceso aa loslos datosdatos

FirmaFirma dede loslos mensajesmensajes dede correocorreo electrónicoelectrónico yy elel softwaresoftware parapara asegurarasegurar lala autenticidadautenticidad

UsoUso dede InformationInformation RightsRights ManagementManagement parapara protegerproteger lala informacióninformación digitaldigital contracontra elel usouso nono autorizadoautorizado

EquiposEquipos portátilesportátiles

ElEl usouso dede dispositivosdispositivos móvilesmóviles introduceintroduce otrasotras consideracionesconsideraciones sobresobre lala seguridadseguridad

LosLos dispositivosdispositivos móvilesmóviles extiendenextienden elel perímetroperímetro cuandocuando estánestán conectadosconectados aa bienesbienes corporativoscorporativos

SeSe necesitannecesitan nivelesniveles adicionalesadicionalesdede defensa:defensa: ContraseñasContraseñas parapara elel BIOSBIOS ControlControl dede cuarentenacuarentena dede accesoacceso

aa lala redred ProtocolosProtocolos dede autenticaciónautenticación inalámbricainalámbrica ProtecciónProtección dede loslos datosdatos

ComponentesComponentes dede ActiveActive DirectoryDirectory BosqueBosque

UnUn límitelímite dede seguridadseguridad enen ActiveActive DirectoryDirectory

DominioDominio UnUn conjuntoconjunto dede objetosobjetos dede

equipo,equipo, usuariousuario yy grupogrupo definidodefinido porpor elel administradoradministrador

UnidadUnidad organizativaorganizativa Objeto contenedorObjeto contenedor dede ActiveActive

DirectoryDirectory utilizado enutilizado en loslos dominiosdominios

Directivas de grupoDirectivas de grupo LaLa infraestructurainfraestructura queque permitepermite

implementarimplementar yy administraradministrar lala seguridadseguridad dede lala redred

DefiniciónDefinición dede unauna jerarquíajerarquía dede OUOU

Directivas de grupoDirectivas de grupo simplificasimplifica lala aplicaciónaplicación dede lala configuraciónconfiguración dede seguridadseguridad dede loslos clientesclientes

ModeloModelo dede jerarquíajerarquía distribuidadistribuida WindowsWindows XPXP

SecuritySecurity GuideGuide DistribuciónDistribución dede loslos

usuariosusuarios yy equiposequipos en unidadesen unidades organizativasorganizativas (OU)(OU) distintasdistintas

AplicaciónAplicación dede lala configuraciónconfiguración dede directivasdirectivas adecuadaadecuada aa cadacada OUOU

Dominio raíz

OU de departamento

OU de controlador de dominio

OU de usuarios protegidos de Windows XP

OU de Windows XP

OU de equipos de escritorio

OU de equipos portátiles

DemostraciónDemostración 11 ModificaciónModificación dede ActiveActive DirectoryDirectory parapara lala seguridadseguridad dede loslos clientesclientes

PresentaciónPresentación dede lala directivadirectiva predeterminadapredeterminada dede dominiodominio

CreaciónCreación dede unauna jerarquíajerarquía dede OUOUCreaciónCreación dede unauna directivadirectiva dede OUOU

TrasladoTraslado deldel equipoequipo clientecliente

CómoCómo crearcrear unauna jerarquíajerarquía dede OUOU

1.1. CreeCree laslas OUOU dede cadacada departamentodepartamento

2.2. EnEn cadacada departamento,departamento, creecree laslas OUOU parapara loslos usuariosusuarios yy laslas distintasdistintas versionesversiones deldel sistemasistema operativooperativo

3. En la OU de cada sistema operativo, cree una OU para cada tipo de equipo (por ejemplo, los equipos portátiles)

4. Mueva cada objeto de equipo cliente a la OU adecuada

RecomendacionesRecomendaciones parapara implementarimplementar lala seguridadseguridad concon ActiveActive DirectoryDirectory

Cree una estructura de OU para la seguridad de los clientes

Cree una jerarquía de OU para dividir los objetos de usuario y de equipo según la función

Aplique Directivas de Grupo con la configuración de seguridad adecuada para la función de cada equipo

OrdenOrden deldel díadía IntroducciónIntroducción SeguridadSeguridad básicabásica dede loslos clientesclientes ProtecciónProtección dede clientesclientes concon ActiveActive DirectoryDirectory UsoUso dede DirectivasDirectivas dede grupogrupo parapara lala



UsoUso dede plantillasplantillas dede seguridadseguridad LasLas plantillasplantillas dede seguridadseguridad sonson conjuntosconjuntos

preconfiguradospreconfigurados dede opcionesopciones dede seguridadseguridad LasLas plantillasplantillas queque contienecontiene lala WindowsWindows XPXP

SecuritySecurity GuideGuide son:son: DosDos plantillasplantillas dede dominiodominio queque contienencontienen opcionesopciones

parapara todostodos loslos equiposequipos deldel dominiodominio DosDos plantillasplantillas queque contienencontienen opcionesopciones parapara loslos

equiposequipos dede sobremesasobremesa DosDos plantillasplantillas queque contienencontienen opcionesopciones parapara loslos

equiposequipos portátilesportátiles CadaCada plantillaplantilla tienetiene unauna versiónversión parapara equiposequipos

corporativoscorporativos yy otraotra versiónversión parapara equiposequipos dede altaalta seguridadseguridad

LasLas opcionesopciones dede unauna plantillaplantilla dede seguridadseguridad sese puedenpueden modificar,modificar, guardarguardar ee importarimportar aa unun GPOGPO

UsoUso dede plantillasplantillas administrativasadministrativas LasLas plantillasplantillas administrativasadministrativas contienencontienen

opcionesopciones deldel RegistroRegistro queque sese puedenpueden aplicaraplicar aa usuariosusuarios yy aa equiposequipos LasLas plantillasplantillas administrativasadministrativas deldel SP1SP1 dede

WindowsWindows XPXP contienencontienen másmás dede 850850 opcionesopciones LaLa WindowsWindows XPXP SecuritySecurity GuideGuide contienecontiene

1010 plantillasplantillas administrativasadministrativas adicionalesadicionales LosLos proveedoresproveedores dede aplicacionesaplicaciones dede tercerosterceros

puedenpueden proporcionarproporcionar plantillasplantillas adicionalesadicionales

EsEs posibleposible importarimportar plantillasplantillasadicionalesadicionales alal modificarmodificarunun GPOGPO

QuéQué sonson laslas opcionesopciones dede seguridadseguridad Opciones de seguridad Explicación

Directiva de cuentas Establece la directiva de contraseñas y de bloqueo de cuentas para el dominio

Directiva de bloqueo de cuentas

Impide el acceso después de un número determinado de intentos fallidos de inicio de sesión

Directiva de auditoría Especifica qué sucesos de seguridad se grabarán

Registro de sucesos Especifica la configuración del período de retención y el tamaño máximo del registro

Sistema de archivos Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos

Directivas IPSec Filtran el tráfico entrante y saliente del servidor para bloquear el tráfico no deseado

Configuración del Registro

Permite especificar los permisos de acceso y la configuración de auditoría para las claves del Registro

Grupos restringidos Permiten especificar qué cuentas son miembros del grupo y de qué grupos es miembro el grupo

Opciones de seguridad Especifican una amplia variedad de opciones de seguridad para usuarios y equipos

Restricciones de software Impiden que se ejecute software malintencionado en los equipos cliente

Servicios del sistema Permite especificar el modo de inicio y los permisos de acceso para los servicios

Asignación de derechos de usuario

Permite especificar qué usuarios y grupos pueden realizar determinadas acciones en los equipos

LasLas ochoocho opcionesopciones másmás importantesimportantes sobresobre lala seguridadseguridad dede loslos clientesclientes EntreEntre laslas opcionesopciones dede seguridadseguridad dede loslos equiposequipos

clientecliente queque sese modificanmodifican concon másmás frecuenciafrecuencia sese incluyen:incluyen: PermitirPermitir formatearformatear yy expulsarexpulsar mediosmedios extraíblesextraíbles NoNo permitirpermitir enumeracionesenumeraciones anónimasanónimas

dede cuentascuentas SAMSAM HabilitarHabilitar lala auditoríaauditoría DejaDeja queque loslos permisospermisos dede TodosTodos sese apliquenapliquen aa loslos

usuariosusuarios anónimosanónimos NivelNivel dede autenticaciónautenticación dede LANLAN ManagerManager DirectivaDirectiva dede contraseñascontraseñas NoNo almacenaralmacenar valorvalor dede hashhash dede LANLAN ManagerManager enen elel

próximopróximo cambiocambio dede contraseñacontraseña OpcionesOpciones dede firmafirma SMBSMB parapara loslos equiposequipos clientecliente

DemostraciónDemostración 22UsoUso dede DirectivasDirectivas dede grupogrupo

VerVer laslas opcionesopciones dede seguridadseguridad dede WindowsWindows XPXP

VerVer laslas plantillasplantillas administrativasadministrativasVerVer laslas plantillasplantillas dede seguridadseguridad disponiblesdisponibles

AplicaciónAplicación dede plantillasplantillas dede seguridadseguridadImplementaciónImplementación dede laslas plantillasplantillas dede seguridadseguridad

CómoCómo aplicaraplicar plantillasplantillas dede seguridad seguridad y y plantillasplantillas administrativasadministrativas

Dominio raíz

OU de departamento

OU de controlador de dominio

OU de usuarios protegidos de Windows XP

OU de Windows XP

OU de equipos de escritorio

OU de equipos portátiles

Cliente corporativoDomain.inf

Directiva de dominio

Directiva de usuarios

protegidos de Windows XP

Cliente corporativoDesktop.inf

Cliente corporativoLaptop.inf

Directiva de equipos portátiles

Directiva de equipos de escritorio

RecomendacionesRecomendaciones parapara lala protecciónprotección dede clientesclientes concon DirectivasDirectivas dede grupogrupo

Utilice como base las plantillas para clientes corporativos que se incluyen y modifíquelas según sus necesidades

Implemente directivas estrictas de cuentas y de auditoría

Pruebe concienzudamente las plantillas antes de implementarlas

Utilice plantillas administrativas adicionales


IntroducciónIntroducción SeguridadSeguridad básicabásica dede loslos clientesclientes ProtecciónProtección dede clientesclientes concon ActiveActive DirectoryDirectory UsoUso dede DirectivasDirectivas dede grupogrupo parapara lala



PlantillasPlantillas administrativasadministrativas dede InternetInternet ExplorerExplorer AplicanAplican requisitosrequisitos dede seguridadseguridad parapara laslas

estacionesestaciones dede trabajotrabajo concon WindowsWindows XPXP ImpidenImpiden elel intercambiointercambio dede contenidocontenido

nono deseadodeseado UtiliceUtilice laslas opcionesopciones incluidasincluidas

enen laslas plantillasplantillas parapara clientesclientes corporativoscorporativos

UtiliceUtilice MantenimientoMantenimiento dede InternetInternet ExplorerExplorer (IEM)(IEM) en lasen las DirectivaDirectivas s dede grupogrupo parapara configurarconfigurar zonaszonas dede seguridadseguridad parapara loslos sitiossitios dede confianzaconfianza

ZonasZonas dede InternetInternet ExplorerExplorer

Zona de seguridad Descripción

Mi PC Oculta en la interfaz de Internet Explorer Destinada a contenido que se encuentra en el equipo local

Intranet local

Sitios internos. Incluye rutas UNC, sitios que omiten el servidor proxy y todos los sitios internos que no pertenecen a otra zona, excepto: Windows Server 2003 con Configuración de seguridad mejorada No incluye automáticamente los sitios internos Enumera explícitamente http(s)://localhost y hcp://system

Sitios de confianza Vacía de forma predeterminada, excepto en WS03 WS03 con ESC incluye Online Crash Analysis y Windows Update Configurable mediante la interfaz local o mediante directivas

Internet Todo lo que no está incluido en otras zonas Windows Server 2003 incluye todos los sitios de intranet de forma predeterminada

Sitios restringidos

Vacía de forma predeterminada Especifica los permisos y la configuración de auditoría para los objetos del sistema de archivos

Asignación de derechos de usuario

Impide controles ActiveX, secuencias de comandos y descargas Configurable mediante la interfaz local o mediante directivas

MicrosoftMicrosoft OutlookOutlook UtiliceUtilice elel OutlookOutlook AdministratorAdministrator PackPack parapara

personalizarpersonalizar lala seguridadseguridad dede OutlookOutlook UtiliceUtilice lala plantillaplantilla administrativaadministrativa dede

OutlookOutlook parapara configurarconfigurar lala seguridadseguridad dede OutlookOutlook

MejorasMejoras enen lala seguridadseguridad dede OutlookOutlook 20032003 AvisaAvisa alal usuariousuario antesantes dede abrirabrir tipostipos dede

archivosarchivos potencialmentepotencialmente peligrosospeligrosos EjecutaEjecuta contenidocontenido ejecutableejecutable enen lala zonazona

SitiosSitios restringidosrestringidos NoNo cargacarga automáticamenteautomáticamente contenidocontenido HTMLHTML

PlantillasPlantillas administrativasadministrativas dede MicrosoftMicrosoft OfficeOffice LasLas plantillasplantillas parapara OfficeOffice XPXP sese

proporcionanproporcionan concon lala WindowsWindows XPXP SecuritySecurity GuideGuide

LasLas plantillasplantillas parapara OfficeOffice 9797 yy versionesversiones posterioresposteriores estánestán disponiblesdisponibles cuandocuando sese descargadescarga lala versiónversión correspondientecorrespondiente deldel KitKit dede recursosrecursos dede Office.Office.

RecomendacionesRecomendaciones parapara lala protecciónprotección dede aplicacionesaplicaciones

Adoctrine a los usuarios sobre cómo descargar archivos de Internet y abrir datos adjuntos de correo electrónico de forma segura

Instale únicamente las aplicaciones que necesitan los usuarios para realizar su trabajo

Implemente una directiva para actualizar las aplicaciones

ConfiguraciónConfiguración dede directivasdirectivas dede grupogrupo localeslocales SiSi loslos clientesclientes nono sonson miembrosmiembros dede unun

dominiodominio dede ActiveActive Directory,Directory, utiliceutilice DirectivasDirectivas dede grupogrupo locallocal parapara configurarconfigurar loslos equiposequipos clientecliente independientesindependientes LosLos puestospuestos independientesindependientes

WindowsWindows XPXP utilizanutilizan unauna versiónversión modificadamodificada dede laslas plantillasplantillas dede seguridadseguridad

CadaCada clientecliente WindowsWindows XPXP Professional utilizaProfessional utiliza unauna GPOGPO local ylocal y el Editorel Editor dede GPOsGPOso secuencias o secuencias ddee comandoscomandos parapara aplicaraplicar lala configuraciónconfiguración

PlantillasPlantillas dede seguridadseguridad predefinidaspredefinidas SiSi loslos clientesclientes sese conectanconectan aa unun dominiodominio

dede WindowsWindows NTNT 4.0,4.0, utilice:utilice:

SiSi loslos clientesclientes nono sese conectanconectan aa unun dominiodominio dede WindowsWindows NTNT 4.0,4.0, utiliceutilice plantillasplantillas dede seguridadseguridad independientesindependientes

Cliente corporativo heredado

Cliente de alta seguridad heredado

Seguridad básica para equipos de escritorio

Legacy Enterprise Client - desktop.inf

Legacy High Security - desktop.inf

Seguridad básica para equipos portátiles

Legacy Enterprise Client - laptop.inf

Legacy High Security - laptop.inf

DemostraciónDemostración 33ProtecciónProtección dede clientesclientes independientesindependientes

ModificaciónModificación dede unauna plantillaplantilla dede seguridadseguridadImplementaciónImplementación dede unauna plantillaplantilla dede seguridadseguridad

VerVer secuenciassecuencias dede comandoscomandos dede ejemploejemploVerVer lala configuraciónconfiguración dede seguridadseguridad

CómoCómo utilizarutilizar lala directivadirectiva dede seguridadseguridad locallocal parapara lala protecciónprotección dede clientesclientes independientesindependientes1.1. CargueCargue lala MMCMMC dede DirectivasDirectivas dede grupogrupo locallocal

(Gpedit.msc)(Gpedit.msc)

2.2. VayaVaya aa ConfiguraciónConfiguración dede equipo/Configuraciónequipo/Configuración dede Windows,Windows, hagahaga clicclic concon elel botónbotón secundariosecundario deldel mousemouse enen elel nodonodo ConfiguraciónConfiguración dede seguridadseguridad yy seleccioneseleccione ImportarImportar directiva.directiva.

3.3. VayaVaya hastahasta lala ubicaciónubicación queque contengacontenga lala plantillaplantilla dede seguridadseguridad adecuadaadecuada (por(por ejemplo,ejemplo, Legacy High Security – DesktopLegacy High Security – Desktop))

4.4. ConfigureConfigure opcionesopciones dede seguridadseguridad adicionalesadicionales segúnsegún las Guías prescriptivaslas Guías prescriptivas

RecomendacionesRecomendaciones parapara aplicaraplicar lala configuraciónconfiguración dede directivasdirectivas dede grupogrupo localeslocales

Utilice como base las plantillas independientes de la Windows XP Security Guide

Automatice la distribución de las plantillas independientes con la herramienta secedit

Desarrolle procedimientos para implementar directivas

Implemente mecanismos para actualizar los clientes

QuéQué eses unauna directivadirectiva dede restricciónrestricción dede softwaresoftware MecanismoMecanismo controladocontrolado mediantemediante

directivasdirectivas queque identificaidentifica yy controlacontrola laslas aplicacionesaplicaciones enen loslos equiposequipos clientecliente

ElEl nivelnivel dede seguridadseguridad predeterminadopredeterminado tienetiene dosdos opciones:opciones: Sin Restringir:Sin Restringir: sese puedenpueden ejecutarejecutar todastodas laslas

aplicaciones,aplicaciones, exceptoexcepto aquellasaquellas denegadasdenegadas dede formaforma específicaespecífica

Restringido:Restringido: sólosólo sese puedenpueden ejecutarejecutar laslas aplicacionesaplicaciones permitidaspermitidas dede formaforma específicaespecífica

CómoCómo funcionanfuncionan laslas restriccionesrestricciones dede softwaresoftware

Defina la directiva para el dominio con el Editor de objetos de directiva de grupo

Descargue la directiva mediante Directivas de grupo en el equipo

El sistema operativo aplica la directiva cuando se ejecuta una aplicación

1

2

3

Cuatro reglas para la identificación del software

Regla de rutaRegla de ruta Compara la ruta del archivo Compara la ruta del archivo

que se ejecuta con una lista que se ejecuta con una lista de rutas permitidasde rutas permitidas

Se utiliza cuando hay una Se utiliza cuando hay una carpeta con muchos archivos carpeta con muchos archivos de la misma aplicaciónde la misma aplicación

Fundamental cuando las SRP Fundamental cuando las SRP son estrictasson estrictas

Regla de rutaRegla de ruta Compara la ruta del archivo Compara la ruta del archivo

que se ejecuta con una lista que se ejecuta con una lista de rutas permitidasde rutas permitidas

Se utiliza cuando hay una Se utiliza cuando hay una carpeta con muchos archivos carpeta con muchos archivos de la misma aplicaciónde la misma aplicación

Fundamental cuando las SRP Fundamental cuando las SRP son estrictasson estrictas

Regla de hashRegla de hash Compara el hash MD5 o SHA1 Compara el hash MD5 o SHA1

de un archivo con el que se de un archivo con el que se está intentando ejecutarestá intentando ejecutar

Se utiliza cuando se desea Se utiliza cuando se desea permitir o prohibir la ejecución permitir o prohibir la ejecución de una determinada versión de de una determinada versión de un archivoun archivo

Regla de hashRegla de hash Compara el hash MD5 o SHA1 Compara el hash MD5 o SHA1

de un archivo con el que se de un archivo con el que se está intentando ejecutarestá intentando ejecutar

Se utiliza cuando se desea Se utiliza cuando se desea permitir o prohibir la ejecución permitir o prohibir la ejecución de una determinada versión de de una determinada versión de un archivoun archivo

Regla de certificadoRegla de certificado Comprueba la firma digital de Comprueba la firma digital de

una aplicación (por ejemplo, una aplicación (por ejemplo, Authenticode)Authenticode)

Se utiliza cuando se desea Se utiliza cuando se desea restringir aplicaciones Win32 y restringir aplicaciones Win32 y contenido ActiveXcontenido ActiveX

Regla de certificadoRegla de certificado Comprueba la firma digital de Comprueba la firma digital de

una aplicación (por ejemplo, una aplicación (por ejemplo, Authenticode)Authenticode)

Se utiliza cuando se desea Se utiliza cuando se desea restringir aplicaciones Win32 y restringir aplicaciones Win32 y contenido ActiveXcontenido ActiveX

Regla de zona de InternetRegla de zona de Internet Controla cómo se puede tener Controla cómo se puede tener

acceso a las zonas de Internetacceso a las zonas de Internet Se utiliza en entornos de alta Se utiliza en entornos de alta

seguridad para controlar el seguridad para controlar el acceso a aplicaciones Webacceso a aplicaciones Web

Regla de zona de InternetRegla de zona de Internet Controla cómo se puede tener Controla cómo se puede tener

acceso a las zonas de Internetacceso a las zonas de Internet Se utiliza en entornos de alta Se utiliza en entornos de alta

seguridad para controlar el seguridad para controlar el acceso a aplicaciones Webacceso a aplicaciones Web

DemostraciónDemostración 44AplicaciónAplicación dede unauna directivadirectiva dede

restricciónrestricción d dee softwaresoftware

CreaciónCreación dede unauna directivadirectiva dede restricciónrestricción dede softwaresoftware

ReinicioReinicio dede lala máquinamáquina virtualvirtualConfiguraciónConfiguración dede lala suplantaciónsuplantación

dede administradoresadministradoresPruebaPrueba dede lala directivadirectiva dede restricciónrestricción

dede softwaresoftware

CómoCómo aplicaraplicar restriccionesrestricciones dede softwaresoftware1.1. AbraAbra elel objetoobjeto dede directivadirectiva dede grupogrupo

correspondientecorrespondiente aa lala unidadunidad organizativaorganizativa (OU)(OU) enen lala queque deseadesea aplicaraplicar lala directivadirectiva dede restricciónrestricción dede softwaresoftware

2.2. VayaVaya hastahasta elel nodonodo ConfiguraciónConfiguración dede equipo/Configuraciónequipo/Configuración dede Windows/ConfiguraciónWindows/Configuración dede seguridadseguridad

3.3. HagaHaga clicclic concon elel botónbotón secundariosecundario deldel mousemouse enen DirectivasDirectivas dede restricciónrestricción dede softwaresoftware y,y, aa continuación,continuación, hagahaga clicclic enen CrearCrear nuevasnuevas directivasdirectivas

4.4. ConfigureConfigure reglasreglas dede hash,hash, dede certificado,certificado, dede rutaruta yy dede zonazona dede InternetInternet parapara adaptarseadaptarse aa laslas necesidadesnecesidades dede susu organizaciónorganización

Cree un plan para deshacer cambios

Utilice un objeto de directiva de grupo separado para implementar restricciones de software

Utilice estas directivas junto con NTFS para proporcionar una defensa a fondo

Nunca vincule un GPO a otro dominio

Pruebe concienzudamente la configuración de nuevas directivas

RecomendacionesRecomendaciones parapara aplicaraplicar directivasdirectivas dede restricciónrestricción dede softwaresoftware

ElEl problemaproblema dede loslos virusvirus

LosLos costescostes porpor virusvirus superansuperan yaya loslos 10.00010.000 millonesmillones dede dólaresdólares CostesCostes indirectosindirectos

PersonalPersonal dede informáticainformática oo consultoresconsultores

CostesCostes indirectosindirectos enen informáticainformática PérdidaPérdida dede productividad,productividad,

datosdatos oo bienestarbienestar

ImplementaciónImplementación dede programasprogramas antivirusantivirus

Tamaño de la organización Solución de implementación de programas antivirus

Usuarios individuales y organizaciones muy pequeñas

Instale productos antivirus independientes en los clientes Windows XP individuales.

Organizaciones pequeñas y medianas

Implementación centralizada.

Utilice Directivas de grupo para implementar programas antivirus.

Organizaciones grandes

Implementación centralizada. Realice la instalación con Active Directory y Directivas de grupo. Instale y administre los programas antivirus con la consola de administración del proveedor.

EquiposEquipos dede sobremesasobremesa LosLos servidoresservidores localeslocales almacenanalmacenan laslas

actualizacionesactualizaciones dede loslos programasprogramas antivirusantivirus parapara susu distribucióndistribución

LaLa mejormejor soluciónsolución eses unun modelomodelo dede inserción,inserción,

mediantemediante elel cualcual laslas definicionesdefiniciones sese copiancopian inmediatamenteinmediatamente aa loslos clientesclientes

NoNo confíeconfíe lala descargadescarga dede laslasactualizacionesactualizaciones aa loslos usuariosusuarios

EquiposEquipos portátilesportátiles DescargueDescargue laslas actualizacionesactualizaciones aa travéstravés dede

InternetInternet cuandocuando esténestén fuerafuera dede lala oficinaoficina

ActualizacionesActualizaciones dede programasprogramas antivirusantivirus

RecomendacionesRecomendaciones parapara lala protecciónprotección contracontra virusvirus

Aplique las actualizaciones del proveedor periódicamente

Utilice una estrategia de implementación centralizada

Utilice software específico para clientes en los equipos cliente

ParaPara clientesclientes dede lala redred LAN,LAN, unun Cortafuegos Cortafuegos PersonalPersonal protegeprotege aa loslos equiposequipos dede lala redred contracontra ataquesataques automatizadosautomatizados

LosLos equiposequipos dede sobremesasobremesa concon conexionesconexiones mediantemediante módemmódem aa InternetInternet necesitannecesitan ICFICF oo unun Cortafuegos deCortafuegos de tercerosterceros

LosLos equiposequipos portátilesportátiles concon conexiónconexión aa InternetInternet desdedesde casa,casa, unun hotelhotel oo unauna zonazona WiFiWiFi necesitannecesitan unun Cortafuegos personalCortafuegos personal oo individualindividual

LaLa necesidadnecesidad dede utilizarutilizar Cortafuegos PersonalesCortafuegos Personales

Internet Connection Firewall Internet Connection Firewall

ProtecciónProtección básicabásica contracontra laslas amenazasamenazas dede InternetInternet NoNo sese permitepermite elel tráficotráfico

entranteentrante LimitacionesLimitaciones

SinSin filtradofiltrado deldel tráficotráfico salientesaliente

ProblemasProblemas dede soportesoporte técnicotécnico yy softwaresoftware

OpcionesOpciones dede configuraciónconfiguraciónlimitadaslimitadas

ICFICF sese haha mejoradomejorado enen elel SP2SP2 dede WindowsWindows XPXP

Cortafuegos PersonalesCortafuegos Personales dede tercerosterceros MotivosMotivos parapara utilizarutilizar

Cortafuegos PersonalesCortafuegos Personales dede terceros:terceros: MayorMayor posibilidadposibilidad dede

controlarcontrolar elel tráficotráfico entranteentrante yy salientesaliente

CaracterísticasCaracterísticas adicionales,adicionales, comocomo lala deteccióndetección dede intrusosintrusos

ProblemasProblemas concon Cortafuegos PersonalesCortafuegos Personales dede terceros:terceros: EscalabilidadEscalabilidad ComplejidadComplejidad

DemostraciónDemostración 55HabilitaciónHabilitación deldel Cortafuegos Cortafuegos

PersonalPersonal

HabilitaciónHabilitación deldel Cortafuegos PersonalCortafuegos Personal dede conexiónconexión aa InternetInternet

PruebaPrueba deldel accesoacceso salientesalientePruebaPrueba deldel accesoacceso entranteentrante

CómoCómo habilitarhabilitar ICFICF

1.1. AbraAbra elel PanelPanel dede controlcontrol yy seleccioneseleccione ConexionesConexiones dede redred

2. Haga clic con el botón secundario del mouse en la conexión que desea proteger y, a continuación, haga clic en Propiedades

3. Haga clic en la ficha Avanzadas y active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet

4. Configure la ficha Configuración para abrir los puertos de los servicios que se ejecutan en el equipo (por ejemplo, Escritorio remoto)

RecomendacionesRecomendaciones parapara CortafuegosCortafuegos

Solicite a los usuarios que habiliten ICF en todas las conexiones cuando no utilicen la LAN de la organización

Utilice secuencias de comandos para forzar a los equipos remotos a que utilicen ICF para conexiones VPN

No implemente ICF en los equipos cliente que estén conectados físicamente a la red corporativa

ResumenResumen dede lala sesiónsesión




PasosPasos siguientessiguientes1.1. MantenerseMantenerse informadoinformado sobresobre lala seguridadseguridad

1.1. SuscribirseSuscribirse aa boletinesboletines dede seguridad:seguridad:http://www.microsoft.com/spain/technet/seguridad/boletines/http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp notificacion.asp

1.1. ObtenerObtener laslas directricesdirectrices dede seguridadseguridad dede MicrosoftMicrosoft másmás recientes:recientes:http://www.microsoft.com/spain/technet/seguridad/practicas.asphttp://www.microsoft.com/spain/technet/seguridad/practicas.asp

2.2. ObtenerObtener informacióninformación dede seguridadseguridad adicionaladicional1.1. BuscarBuscar seminariosseminarios dede aprendizajeaprendizaje enen línealínea yy

presenciales:presenciales:http://www.microsoft.com/spain/technet/evento/default.asphttp://www.microsoft.com/spain/technet/evento/default.asp

1.1. BuscarBuscar unun CTECCTEC locallocal queque ofrezcaofrezca cursoscursos prácticos:prácticos:http://www.microsoft.com/mspress/spain/default.htmhttp://www.microsoft.com/mspress/spain/default.htm

ParaPara obtenerobtener másmás informacióninformación SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft

(todos(todos loslos usuarios)usuarios) http://www.microsoft.com/spain/seguridadhttp://www.microsoft.com/spain/seguridad

SitioSitio dede seguridadseguridad dede TechNetTechNet (profesionales(profesionales dede IT)IT) http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/

seguridad/seguridad/

SitioSitio dede seguridadseguridad dede MSDNMSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security

(en(en inglés)inglés)

Apendice:Apendice:

Windows XP Service Pack 2Windows XP Service Pack 2

Technical Preview ProgramTechnical Preview ProgramWindows XP Service Pack 2Windows XP Service Pack 2 Release Candidate 1 (RC1) del Service Pack 2 Release Candidate 1 (RC1) del Service Pack 2

de Windows XP de Windows XP Hay Hay mejora de productomejora de producto además de además de

actualizaciones de seguridadactualizaciones de seguridad Ya descargableYa descargable Sólo en inglésSólo en inglés Sólo entornos de pruebas, NO producciónSólo entornos de pruebas, NO producción No hay soporte de PSSNo hay soporte de PSS En breve más info en castellano enEn breve más info en castellano en

www.microsoft.com/spain/TechNet/SP2Previewwww.microsoft.com/spain/TechNet/SP2Preview Info en inglés:Info en inglés: www.microsoft.comwww.microsoft.com//SP2PreviewSP2Preview

http://www.microsoft.com/spain/TechNet/SP2Preview

http://www.microsoft.com/SP2Preview



Windows XP Service Pack 2Windows XP Service Pack 2ÁreaÁrea Configuraciones de seguridad Configuraciones de seguridad

más robustasmás robustasHerramientas de seguridad Herramientas de seguridad para la gestión y el controlpara la gestión y el control

Mejorar la experiencia del Mejorar la experiencia del usuariousuario

ObjetivoObjetivoConseguir PCs e información personal Conseguir PCs e información personal

inmune a ataques gracias a inmune a ataques gracias a configuraciones de seguridad más configuraciones de seguridad más

robustas.robustas.

Proteger los PCs con herramientas Proteger los PCs con herramientas de más fácil manejo y con un mejor de más fácil manejo y con un mejor control sobre las configuraciones control sobre las configuraciones

de seguridad. de seguridad.

Actualizar los PCs con los últimos Actualizar los PCs con los últimos avances en soporte software y avances en soporte software y

hardware.hardware.

Puntos de Puntos de MejoraMejora

Mejora del Windows Firewall Mejora del Windows Firewall : : Activado por defecto y extendido Activado por defecto y extendido para proteger el PC mientras se para proteger el PC mientras se inicia y se apaga.inicia y se apaga.

Nuevo Servicio de Ejecución de Nuevo Servicio de Ejecución de Ficheros Adjuntos (Attachment Ficheros Adjuntos (Attachment Execution Service)Execution Service): Determina si : Determina si los ficheros son seguros para los ficheros son seguros para abrirse/ejecutarse cuando están abrirse/ejecutarse cuando están adjuntos a mensajes del Outlook adjuntos a mensajes del Outlook Express o Windows Messenger, o Express o Windows Messenger, o abiertos vía Internet Explorer. abiertos vía Internet Explorer.

Mejoras de seguridad en el Internet Mejoras de seguridad en el Internet ExplorerExplorer: Cambios a nivel de : Cambios a nivel de código en el IE ayudarán a proteger código en el IE ayudarán a proteger contra ciertos tipos de exploits – contra ciertos tipos de exploits – p.e. restricciones de seguridad p.e. restricciones de seguridad aplicadas al HTML hospedado en el aplicadas al HTML hospedado en el disco duro y procesado por el IEdisco duro y procesado por el IE

Mejoras en la Actualización Mejoras en la Actualización Automática (Automatic Update)Automática (Automatic Update): En : En el primer inicio después de la el primer inicio después de la instalación, es fuertemente instalación, es fuertemente recomendable habilitar las recomendable habilitar las actualizaciones automáticas. actualizaciones automáticas. Optimizadas para escenarios sin Optimizadas para escenarios sin banda ancha para descargar las banda ancha para descargar las actualizaciones de una forma más actualizaciones de una forma más eficiente. eficiente.

Centro de Seguridad de Centro de Seguridad de WindowsWindows: El Panel de Control : El Panel de Control añade un applet de añade un applet de configuraciones de seguridad configuraciones de seguridad que reúne en un sólo sitio todos que reúne en un sólo sitio todos los informes de los niveles de los informes de los niveles de seguridad en curso en el PC.seguridad en curso en el PC.

Bloqueador de Pop-Up en el Bloqueador de Pop-Up en el Internet ExplorerInternet Explorer: Servicio que : Servicio que bloquea los pop-up y pop-under bloquea los pop-up y pop-under de Windows.de Windows.

Centralización de la Gestión del Centralización de la Gestión del Windows FirewallWindows Firewall: : Más : : Más opciones de configuración para opciones de configuración para los administradores – políticas los administradores – políticas de grupo, línea de comandos, de grupo, línea de comandos, soporte para multicast, y soporte para multicast, y unattended setup.unattended setup.

Soporte para múltiples perfiles Soporte para múltiples perfiles en el Windows Firewallen el Windows Firewall: Permite : Permite múltiples perfiles dentro del múltiples perfiles dentro del firewall – p.e. Uno cuando la firewall – p.e. Uno cuando la máquina está conectado a la red máquina está conectado a la red corporativa y otro cuando no lo corporativa y otro cuando no lo está.está.

Lista de excepciones del Lista de excepciones del Windows Firewall:Windows Firewall: El El Administrador puede añadir Administrador puede añadir aplicaciones a la “lista de aplicaciones a la “lista de excepciones” del WF excepciones” del WF permitiendo puertos necesarios permitiendo puertos necesarios para aplicaciones.para aplicaciones.

Nuevo cliente de Wireless LANNuevo cliente de Wireless LAN: : Actualización a la carpeta de Actualización a la carpeta de Conexiones de Red y al sistema Conexiones de Red y al sistema de seguimiento por iconos para de seguimiento por iconos para conectarse y desconectarse de conectarse y desconectarse de forma más sencilla de los forma más sencilla de los wireless “hotspots”wireless “hotspots”

Actualización de BluetoothActualización de Bluetooth: : Mayor facilidad para conectar los Mayor facilidad para conectar los últimos dispositivos compatibles últimos dispositivos compatibles con Bluetooth como teclados, con Bluetooth como teclados, teléfonos móviles o PDAs. teléfonos móviles o PDAs.

Windows Media 9 SeriesWindows Media 9 Series: Mayor : Mayor seguridad y consistencia a la seguridad y consistencia a la hora de disfrutar de la música y hora de disfrutar de la música y el vídeo con la instalación del el vídeo con la instalación del último Windows Media Playerúltimo Windows Media Player

Movie Maker 2.1Movie Maker 2.1: proporciona : proporciona mejoras de estabilidad sobre V mejoras de estabilidad sobre V 1.0, además de mejoras clave 1.0, además de mejoras clave como el soporte para USB2como el soporte para USB2

SmartKey Wireless SetupSmartKey Wireless Setup: : Simplifica la implantación de Simplifica la implantación de redes wireless seguras. USB redes wireless seguras. USB Flash Drive o cualquier otro Flash Drive o cualquier otro medio portable para transferir medio portable para transferir configuraciones y claves de configuraciones y claves de seguridad entre PCs y seguridad entre PCs y dispositivos. Mayor facilidad dispositivos. Mayor facilidad para añadir dispositivos para añadir dispositivos conectados a la red, como conectados a la red, como impresoras, sin UI.impresoras, sin UI.

www.microsoft.com/spain/TechNetwww.microsoft.com/spain/TechNet

www.microsoft.com/spain/TechNet/www.microsoft.com/spain/TechNet/SSeguridadeguridad

http://www.microsoft.com/spain/TechNet

http://www.microsoft.com/spain/TechNet/Seguridad



Olvido Nicolás

cómo implementar la seguridad de entornos cliente windows 2000 y windows xp raúl rubio consultor...

Documents