Caracter sticas de seguridad en entornos servidor microsoft windows server 2003 y windows 2000 l.jpg
This presentation is the property of its rightful owner.
Sponsored Links
1 / 78

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000 PowerPoint PPT Presentation


  • 258 Views
  • Uploaded on
  • Presentation posted in: General

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000. ¿Qué es TechNet?. El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft.

Download Presentation

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000

An Image/Link below is provided (as is) to download presentation

Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author.While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server.


- - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - -

Presentation Transcript


Caracter sticas de seguridad en entornos servidor microsoft windows server 2003 y windows 2000 l.jpg

Características de Seguridad en entornos servidor Microsoft Windows Server 2003 y Windows 2000


Qu es technet l.jpg

¿Qué es TechNet?

El recurso que ofrece la información técnica más completa para ayudar a los profesionales IT a evaluar, implantar, optimizar y dar soporte fácilmente a los productos Microsoft

http://www.microsoft.com/spain/technet


Qu ofrece technet l.jpg

¿Qué ofrece TechNet?

  • Suscripción CD o DVD

    • Nuevos Servicios para suscriptores (Chat support & Managed newsgroups support)

  • Recursos online

    • Información y documentación técnica sobre los productos de Microsoft

    • Descargas de software

    • Area de seguridad

    • Participación en foros técnicos

    • Videos Técnicos Online

    • Chats y Webcast técnicos

    • Newsgroups con técnicos de Microsoft

    • Cases Studies: ejemplos empresariales reales

  • Boletín informativo TechNet Flash

  • Seminarios y jornadas técnicas Microsoft TechNet


Agenda l.jpg

Agenda

  • Importancia de la Seguridad

  • Mejoras de Seguridad en Windows Server 2003.

  • Implementación de seguridad en Windows Server 2003 y Windows 2000


La seguridad es una preocupaci n de todos l.jpg

Los Ataques son cada vez más

Sofisticados y Destructivos

Es difícil mantenerse al día con las

Actualizaciones de Seguridad

La Seguridad es una Preocupación de Todos.

Los Sistemas de las Empresas están

Globalmente Conectados y son cada

vez más Complejos.

Proteger las estaciones de trabajo

ha sido cada vez más difícil debido a gran número de razones y dificultades.


Impacto en la empresa l.jpg

Los Fallos de Seguridad Tienen Costes Reales

Impacto en la Empresa.

  • De acuerdo con el informe denominado “Computer Crime and Security Survey” de 2001, realizado por el CSI (Computer Crime Institute) y el FBI:

    • Pérdidas financieras Cuantificadas de al menos $377M, ó $2M por cada uno de los encuestados.

    • El 40% detectó penetración en los sistemas desde el exterior; siendo un 25% en 2000

    • El 94% detectó virus informáticos; siendo un 85% in 2000

Fuente: Computer Security Institute (CSI) Computer Crime and Security Survey 2001

Fuente: InformationWeek.com, 10/15/01


Rase una vez no hace tanto tiempo l.jpg

Érase Una Vez…(No Hace Tanto Tiempo)

Mainframes conectados a “terminales tontos” . Era relativamente fácil establecer Seguridad.

Mainframe


Se introdujeron nuevas tecnolog as l.jpg

Se Introdujeron Nuevas Tecnologías…

Arquitectura Cliente/Servidor. Se aumenta la Productividad y se está expuesto a nuevos niveles de riesgo.

Mainframe

Servers


Internet y la movilidad aumentan los riesgos de seguridad l.jpg

Internet y la movilidad aumentan los riesgos de Seguridad…

Clientes

Mainframe

Servidores


Evoluci n de las amenazas l.jpg

Evolución de la Tecnología Windows XP y Windows 2003

Evolución de las Amenazas

Herramientas y Características existentes, MÁS:

  • Seguridad en Outlook Multi-Nivel.

  • Encriptación Advanzada.

  • Herramientas de Gestión de la Seguridad Centralizadas.

  • AutoRecovery

  • Conectividad Wireless Integrada.

  • Internet Connection Firewall integrado.

Amenazas anteriores, MÁS:

  • Caídas y Bloqueos de Sistemas.

  • Manipulación y Robo de los Datos.

2002

Herramientas y Características existentes, MÁS:

  • Seguridad de Macros Multi-Nivel y firma de código.

  • Seguridad de Adjuntos Multi-Nivel en Outlook.

  • Encriptación de Documentos; Claves en los Documentos.

  • Internet Connection Firewall con ISA Server

  • Sistema de Ficheros Encriptados, PKI

  • Seguridad a Nivel de Usuario, Group Policy Objects, Auditorías.

  • Soporte para Smart Cards, Soporte Multi-usuario completo.

Amenazas anteriores, MÁS:

  • Penetraciones maliciosas destructivas.

  • Ataques de virus destructivos.

2000

  • Ataques desde dentro por usuarios “autorizados”.

  • Corrupción de datos, pérdida de datos.

  • Penetración de Hackers (generalmente inocuo)

  • Herramientas de Seguridad en el Kit de Recursos

  • AutoSave

  • Macro Security – preguntar antes de abrir

  • Protección de clave en el SalvaPantallas.

  • Soporte multi-usuario Limitado

1997


La seguridad es tan fuerte como el eslab n m s d bil l.jpg

La Seguridad es tan Fuerte como el Eslabón más Débil.

  • La Tecnología no es ni el problema completo, ni la solución completa.

  • Los Sistemas de Seguridad dependen de: Tecnología, Procesos y Personas.


Slide12 l.jpg

Tecnología, Procesos, Personas

Estándares, Encriptación, Protección

Características de Seguridad en los Productos

Herramientas y Productos de Seguridad

Planificación de la Seguridad

Prevención

Detección

Reacción

Personal dedicado

Formación

Seguridad – mentalización y prioridad


Marco de la seguridad sd 3 c l.jpg

Secure by Default

  • 60% menos en la superficie de ataque por defecto respecto a Windows NT 4.0 SP3

  • 20+ servicios que no están por defecto.

  • Instalación de Servicios en modo seguro (IIS 6.0 Lockdown)

Secure by Design

  • Construir una arquitectura Segura

  • Añadir características de Seguriad

  • Revisión de código y tests de penetración.

Secure by Deployment

  • Nuevas herramientas de gestión de parches.

  • 7 Cursos disponibles en Microsoft Official Curriculum

  • Guías de Configuración de Seguridad Oficiales.

  • Herramientas de Seguridad integradas.

Communications

  • Writing Secure Code 2.0

  • Webcasts de Architectura

  • Conferencias como el IT Fourm

Marco de la Seguridad: SD3+C


Agenda14 l.jpg

Agenda

  • La importancia de la Seguridad

  • Mejoras de Seguridad en Windows Server 2003.


Seguridad en directorio activo l.jpg

Seguridad en Directorio Activo

  • Relaciones de Confianza entre Bosques

    • Permite a los Administradores crear relaciones de confianza externas “forest-to-forest”

  • Autenticación entre Bosques

    • Permite acceso seguro a los recursos cuando la cuenta del usuario está en un Bosque y la cuenta de máquina pertenece a otro Bosque.

  • Autorización entre Bosques

    • Permite a los Administradores seleccionar usuarios y grupos de Bosques de confianza para incluirlos en grupos locales o ACLs.

  • IAS y Autenticación entre Bosques

    • Si los Bosques del Dir. Activo están em modo “cross-forest” con relaciones de confianza bidireccionales, entonces IAS/RADIUS pueden autenticar la cuenta de usuario del otro Bosque.


Slide16 l.jpg

Demo

Relaciones de Confianza entre Bosques


Mejoras en pki l.jpg

Mejoras en PKI

  • Soporte de Certificaciones Cruzadas.

  • Plantillas de Certificados Personalizables (Versión 2)

  • Delta CRLs

  • Key Archival/Recovery

  • Auto-enrollment

  • Auditoría de las acciones del Administrador.

    Ref.: Windows Server 2003 PKI Operations Guide

    http://www.microsoft.com/technet/prodtechnol/windowsserver2003/maintain/operate/ws03pkog.asp


Mejoras en iis l.jpg

Mejoras en IIS

  • Revisiones de código por parte de expertos en seguridad independientes

  • No se instala por defecto

  • Servidor en estado “bloqueado por defecto”

  • Extensiones del servidor Web bloqueadas por defecto.

  • Identidad de procesos de usuario configurables.

  • Cuenta de servicios con pocos priviliegios


Permisos l.jpg

Permisos

  • Permisos NFTS por defecto bloqueados:

    • Antes: EveryoneFull Control

    • Ahora:

      • Everyone, Read y Execute (Sólo en Root)

      • Usuarios, Read and Execute, Create Folder, Create File

      • SYSTEM, Creator, AdministratorsFull Control

  • Permisos por defecto en Shares:

    • Antes: EveryoneFull Control

    • Ahora: EveryoneRead

  • Nuevas Características:

    • Herramienta de Permisos Efectivos

    • Cambiar el Owner mediante GUI


Slide20 l.jpg

Demo

Interfaz de Usuario para los Permisos


Qu tiene en com n todos estos servicios l.jpg

Qué tiene en común todos estos Servicios?

  • Alerter

  • Clipbook

  • Distributed Link Tracking (Server)

  • Imapi CDROM Burning Service

  • Human Interface Devices

  • ICS/ICF

  • Intersite Messaging

  • KDC

  • License Logging Manager

  • Terminal Server Discovery Service

  • Windows Image Acquisition

  • Messenger

  • NetMeeting

  • NetDDE

  • NetDDE DSDM

  • RRAS

  • Telnet

  • Themes

  • WebClient

  • Windows Audio

Inicio = Deshabilitado


Cuentas de servicio del sistema l.jpg

Cuentas de Servicio del Sistema

Local System

  • No hay que gestionar passwords

  • Se salta los chequeos de seguridad

    Cuentas de Usuario

  • Se ejecuta con menos privilegios que Local System

  • Almacena el password como un LSA secret

  • Pueden ser complejas en la configuración

Local Service y Network Service

  • No hay que gestionar passwords

  • Se ejecuta con ligeramente más permisos que Authenticated User

  • Local Service no se puede autenticar a través de la red, Network Service se autentica como la cuenta de máquina.


Internet connection firewall l.jpg

Internet Connection Firewall

  • Apareció incialmente en Windows XP

  • Se habilita en cada interfaz

  • Soporta LAN, Wireless, RAS

  • Elimina por defecto todo el tráfico IP de entrada

  • Bloquea por defecto el tráfico ICMP

  • Se pueden crear reglas para permitir el acceso a servicios

  • Puede registrar peticiones aceptadas y rechazadas.


Nuevas caracter sitcas de ipsec l.jpg

Nuevas Caracterísitcas de IPSec

Gestión

  • IP Security Monitor

  • Gestión en línea de comando con Netsh

  • Direcciones lógicas para configuración IP local

Seguridad

  • Criptografía más Robusta (Diffie-Hellman)

  • Seguridad en el Inicio del Sistema

  • Política persistente.

Interoperabilidad

  • Funcionalidad de IPSec con (NAT)

  • Integración mejorada de IPSec con NLB


Reglas de excepci n por defecto en ipsec l.jpg

Reglas de Excepción por defecto en IPSec

Se almacenan en el Registro:

HKLM\SYSTEM\CurrentControlSet\Services\IPSEC\NoDefaultExempt


Slide26 l.jpg

Demo

Seguridad de Inicio de IPSec


Slide27 l.jpg

Network Access Quarantine para RRAS


Qu es network access quarantine l.jpg

Cliente RAS puesto en Cuarentena

El Cliente RAS cumple la política de Cuarentena

  • El cliente RAS no cumple la política de Cuarentena

  • Se alcanza el timeout de Cuarentena

Cliente RAS desconectado

El cliente RAS consigue acceso total a la red

Qué es Network Access Quarantine?

El cliente Remoto se Autentica


Qu son las reglas de pol tica l.jpg

Qué son las reglas de política?

Las reglas de política de Cuarentenason configurables, las reglas comunes pueden incluir:

  • Service packs ó los últimos hotfixes instalados

  • Software Antivirus instalado

  • Ficheros de firmas de detección de Virus actualizados.

  • Routing deshabilitado en el cliente RAS

  • Internet Connection Firewall habilitado

  • Salvapantallas con protección de password habilitado.


Arquitectura de cuarentena l.jpg

Cuarentena

Perfil CM

  • Ejecuta script personalizable post-conexión

  • El Script ejecuta notificador RQC con “cadena de resultados”

Listener

  • RQS recibe del notificador“cadena de resultados”

  • Compara cadena con

    posibles resultados

  • Elimina time-out si se

    recibe respuesta peroel cliente no está

    actualizado

  • Quita la cuarentena si el

    cliente está actualizado.

VSAs de Cuarentena

  • MS-Quarantine-Session-Timeout

  • MS-Quarantine-IPFilter

Arquitectura de Cuarentena

Internet

ServidorIAS

Servidor RRAS

Cliente RAS

RQC.exe y RQS.exe están en el Kit de Recursos de Windows Server 2003


Proceso detallado l.jpg

Quarantine

Connect

Authenticate

Authorize

Quarantine VSA

+ Normal Filters

Quarantine

Access

Policy Check

Result

Remove Quarantine

Full Access

Proceso Detallado

Internet

Cliente RAS

Servidor RRAS

Servidor IAS


Slide32 l.jpg

Políticas de Restricción deSoftware.


Qu hace srp l.jpg

Qué hace SRP

  • SRP puede:

    • Controlar qué programas se pueden ejecutar en una máquina

    • Permitir a los usuarios ejecutar exclusivamente ficheros específicos en máquinas con múltiples usuarios.

    • Controlar si las políticas de restricción de software afectan a todos ó a usuarios específicos.

    • Evitar que programas específicos se ejecuten en:

      • Máquina Local

      • Cualquier máquina en una OU, Site, ó Dominio


Pol ticas de restricci n de software l.jpg

Políticas de Restricción de Software

  • Dos modos: Disallowed, Unrestricted

  • Control de código ejecutable:

  • .ADE

  • .ADP

  • .BAS

  • .BAT

  • .CHM

  • .CMD

  • .CPL

  • .CRT

  • .EXE

  • .HLP

  • .HTA

  • .INF

  • .INS

  • .ISP

  • .JS

  • .JSE

  • .LNK

  • .MDB

  • .MDE

  • .MSC

  • .MSI

  • .MSP

  • .MST

  • .PCD

  • .PIF

  • .REG

  • .SCR

  • .SCT

  • .SHS

  • .URL

  • .VB

  • .VBE

  • .VBS

  • .WSC

  • .WSF

  • .WSH


Contra qu no nos protege srp l.jpg

Contra qué no nos protege SRP

  • Drivers u otro software en modo kernel

    • No puede protegernos de SYSTEM

  • Cualquier programa con cuenta SYSTEM.

    • No puede protegernos de SYSTEM

  • Macros dentro de documentos Microsoft Office 2000 ó Office XP.

    • Utilizar opciones de seguridad de Macros

  • Programas escritos para “common language runtime”.

    • Estos programas utilizan “Code Access Security”


Tipos de reglas srp l.jpg

Regla de Certificado

  • Chequea la firma digital de las aplicaciones (i.e.Authenticode)

  • Utilizar cuando se quiera restringir tanto aplicaciones win32 como contenido ActiveX

Regla Hash

  • Compara el hash MD5 ó SHA1 de un fichero respecto del que se intenta ejecutar

  • Utilizarlo cuando se quiere permitir/prohibir la ejecución de cierta versión de un fichero.

Regla de Path

  • Compara el path de un fichero contra una lista de paths permitidos

  • Utilizar cuando se tiene una carpeta con múltiples ficheros de una aplicación.

Regla de Zona Internet

  • Controla cómo se puede acceder a Zonas de Internet

  • Utilizar en entornos de alta seguridad para controlar el acceso a aplicaciones web

Tipos de reglas SRP


Precedencia de las reglas l.jpg

Precedencia de las Reglas

  • Qué ocurre cuando un programa cumple varias reglas?

    • Intentando ejecutar la calculadora

  • Tiene precedencia la regla más específica:

    • Hash rule

    • Certificate rule

    • Path rule

    • Zone rule


Slide38 l.jpg

Mejoras Generales


Mejoras generales l.jpg

Mejoras Generales

  • Cambio en la prioridad de búsqueda de DLL desde el directorio de trabajo a \windows\system32

  • Encriptación por defecto AES-256-bit en EFS

  • El grupo Everyone ya no incluye usuarios anónimos (Users y Guests)

  • Encriptación WebDAV

  • Carpetas offline encriptadas


Mejoras generales40 l.jpg

Mejoras Generales

  • Soporte PEAP

  • Delegación restringida

  • Auditoría de seguridad detallada.

  • Auditoría de inicio de sesión de cuentas habilitado por defecto.

  • Integración DPAPI

  • Fichero de Ayuda ampliado en temas de Seguridad


Las personas son los activos de m s valor l.jpg

Las Personas son los Activos de más valor.

  • Plantilla de Seguridad dedicada

    • Grupo de Seguridad especializado

    • Experiencia específica en seguridad

  • Formación

    • Formación en estándares, tecnologías, y procesos

  • Contribución de todas las partes de la Organización.

    • Conocimiento y cumplimiento de las directrices de la empresa para la seguridad física, políticas de passwords, procedimientos de acceso a datos.


Slide42 l.jpg

Apéndice

Quarantine Whitepaper:

Network Access Quarantine Whitepaper:

http://www.microsoft.com/windowsserver2003/techinfo/overview/quarantine.mspx

Software Restriction Policy

http://www.microsoft.com/windows2000/technologies/security/redir-wnetsafer.asp

Windows Server 2003 Resource Kit Tools Download:

http://go.microsoft.com/fwlink/?LinkId=4544


Windows server 2003 security configuration guide l.jpg

Windows Server 2003 Security Configuration Guide

  • Windows Server 2003 Security Guide

    http://go.microsoft.com/fwlink/?LinkId=14846

  • Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP

    http://go.microsoft.com/fwlink/?LinkId=15160


Slide44 l.jpg

Implementación de Seguridad en el Servidor Windows 2000 y Windows Server 2003


Agenda45 l.jpg

Agenda

  • Necesidad de Seguridad.

  • Definición del Problema.

  • Seguridad de Servidores.

  • Seguridad del Dominio.

  • Fortificación de Servidores

  • Política para Servidores Independientes.

  • Fortificación de Controladores de Dominio.

  • Fortificación de Servidores según su Rol


Conocimientos necesarios l.jpg

Conocimientos Necesarios

  • Experiencia en conocimiento relacionado con Seguridad de Windows 2000 ó 2003.

  • Familiaridad con herramientas de Gestión de Windows.

  • Familiaridad con Políticas de Grupo.

Level 200


Agenda47 l.jpg

Agenda

  • Necesidad de Seguridad.

  • Definición del Problema.

  • Seguridad de Servidores.

  • Seguridad del Dominio.

  • Fortificación de Servidores

  • Política para Servidores Independientes.

  • Fortificación de Controladores de Dominio.

  • Fortificación de Servidores según su Rol


Necesidad de seguridad l.jpg

Necesidad de Seguridad

  • Proteger Información

  • Proteger los canales de información

  • Minimizar paradas del servicio

  • Proteger los beneficios.

  • Evitar daño a la imagen

  • Proteger los procesos de los trabajadores


Definici n del problema peque a y mediana empresa l.jpg

Definición del ProblemaPequeña y Mediana Empresa

  • Los Servidores cumplen multitud de Roles.

    • Servidores Limitados

    • Recursos Disponibles Limitados

    • Características de Disponibilidad de Servicio Limitada.

Domain Controller

SQL Server

IIS Server

Print Server

File Server


Definici n del problema peque a y mediana empresa50 l.jpg

Definición del ProblemaPequeña y Mediana Empresa

  • Amenaza Accidental

  • Amenaza Interna

  • Servidor Comprometido ó Fallido

    • Afecta a múltiples Servicios

Request

Discover

Acknowledge

Offer


Definici n del problema peque a y mediana empresa51 l.jpg

Definición del ProblemaPequeña y Mediana Empresa

  • Acceso a Internet

    • Recursos Limitados para implementar Seguridad completa.

    • Posibilidad de acceso malicioso a la red.


Definici n del problema peque a y mediana empresa52 l.jpg

Definición del ProblemaPequeña y Mediana Empresa

  • Departamentos IT pequeños.

    • No existe experiencia específica en Seguridad.

Administrador del Dominio con algo de conocimiento en Seguridad.

Soporte a Usuarios

Poco conocimiento en Seguridad

Soporte de Aplicaciones

Algún Conocimiento de Seguridad de Aplicaciones.


Definici n del problema peque a y mediana empresa53 l.jpg

Definición del ProblemaPequeña y Mediana Empresa

  • Utilización de Sistemas antiguos

    • NO son posibles algunas configuraciones de Seguridad

No se puede establecer comunicación SMB firmada digitalmente


Seguridad de servidores seguridad f sica l.jpg

Seguridad de ServidoresSeguridad Física

  • El acceso físico a los Servidores anula algunos procedimientos de Seguridad


Seguridad de servidores acceso autorizado seguro l.jpg

Seguridad de ServidoresAcceso Autorizado Seguro

  • Componentes de un Acceso Autorizado Seguro

    • Autenticación

    • Listas de Control de Acceso

    • Cuenta del Administrador por defecto

  • Un Acceso Autorizado Seguro proporciona

    • Confidencialidad

    • Integridad

    • Seguimiento


Seguridad del dominio fronteras del dominio l.jpg

Seguridad del DominioFronteras del Dominio

  • Fronteras de Seguridad

    • Bosque

    • Administradores Fiables

  • Fronteras de Gestión

    • Dominio

    • Unidades Organizativas

  • Fronteras Administrativas

    • Administradores del Dominio

    • Administradores de Servicios

    • Administradores de Datos


Seguridad del dominio configuraci n de seguridad l.jpg

Seguridad del DominioConfiguración de Seguridad

  • Unidades Organizativas

  • Grupos Administrativos

  • Plantillas de Seguridad

  • Sincronización de Tiempo

    • Kerberos


Seguridad del dominio pol tica del dominio l.jpg

Seguridad del DominioPolítica del Dominio

  • Políticas de Cuentas

    • Políticas de Claves

    • Políticas de Bloqueo

    • Políticas Kerberos

Account Policies

User Rights Assignment

Security Options


Demo 1 pol tica del dominio l.jpg

Demo 1Política del Dominio

Demonstrar Estructuras de OU Demostrar Grupos Administrativos Crear y Mostrar los Fiecheros .inf de las Plantillas de Seguridad. Demostrar Configuraciones de Políticas de Cuentas


Fortificaci n de servidores l.jpg

Fortificación de Servidores

  • Securidad vs Functionalidad

  • Configuraciones de Seguridad

  • Limitar la Superficie de Ataque

  • Evitar Acceso Innecesario

  • Comunicación Segura

  • Actualizaciones de Seguridad


Fortificaci n de servidores61 l.jpg

Fortificación de Servidores

  • Microsoft Baseline Security Analyzer

  • Análisis y Configuración de Seguridad

  • Plantillas de Seguridad

  • Group Policy

  • Secedit

  • GPResult

  • GPUpdate


Pol tica para servidores independientes par metros de las pol ticas l.jpg

Política para Servidores IndependientesParámetros de las Políticas

  • Aplicar Políticas a la OU de Servidores Independientes

  • Configuración Heredada por las OU hijas

Política de Auditoría

Asignación de Derechos de Usuario

Opciones de Seguridad

Registros de Eventos

Servicios del Sistema

Servidores Independientes


Pol tica para servidores independientes l nea base de seguridad l.jpg

Política para Servidores IndependientesLínea Base de Seguridad

  • Configuración Manual

    • Renombrar y cambiar la descripcion de las cuentas pre-definidas

    • Restringir el acceso de las cuentas pre-definidas y cuentas de servicio

    • No utilizar cuentas del dominio para los servicios en la medida de lo posible

    • Utilizar NTFS

    • Configurar encriptación en Terminal Services

    • No configurar “error reporting” (Sólo en Windows Server 2003)


Demo 2 aplicar la pol tica de servidores independientes aplicar pol tica gpupdate gpresult l.jpg

Demo 2Aplicar la Política de Servidores IndependientesAplicar PolíticaGPUpdateGPResult


Fortificaci n de controladores de dominio par metros de las pol ticas l.jpg

Fortificación de Controladores de Dominio Parámetros de las Políticas

  • A los Domain Controllers no les afecta la política de Servidores Independientes

  • Aplicar la Política a la OU de Domain Controllers

Política de Auditoría

Asignación de Derechos de Usuario

Opciones de Seguridad

Registros de Sucesos

Servicios del Sistema

Domain Controllers


Fortificaci n de controladores de domino par metros adicionales l.jpg

Fortificación de Controladores de Domino Parámetros Adicionales

  • Adicionalmente

    • Cuentas específicas del Dominio en la Asignación de Derechos de Usuario

    • Ubicación del fichero log de Active Directory

    • Utilidad System Key(Syskey)

    • DNS integrado en Active Directory

    • IP Security (IPSec)


Slide67 l.jpg

Demo 3Fortificación de Controladores de DominioAplicar la Política de Domain Controller Ver SysKey


Fortificaci n de servidores seg n su rol servidores de infraestructura l.jpg

Fortificación de Servidores Según su RolServidores de Infraestructura

  • Heredan la configuración de la Política de Servidores Independientes

  • Configurar parámetros de Servicios

    • Dynamic Host Configuration Protocol (DHCP)

    • Windows Internet Name Service (WINS)

Registro de Servicios

Características de Disponibilidad

Seguridad en cuentas locales

IPSec


Fortificaci n de servidores seg n su rol servidores de ficheros l.jpg

Fortificación de Servidores Según su RolServidores de Ficheros

  • Hereda la configuración de la política de Servidores Independientes

  • Configurar Servicios

    • Distributed File System (DFS)

    • File Replication Service (FRS)

  • Asegurar cuentas pre-definidas y de servicios

  • Configurar IPSec


Fortificaci n de servidores seg n su rol servidores de impresoras l.jpg

Fortificación de Servidores Según su RolServidores de Impresoras

  • Hereda la configuración de la política de Servidores Independientes

  • Configurar Opciones de Seguridad

  • Configurar Servicios

  • Asegurar cuentas pre-definidas y de Servicios

  • Configurar IPSec


Fortificaci n de servidores seg n su rol internet information services iis l.jpg

Fortificación de Servidores Según su RolInternet Information Services (IIS)

  • Hereda los valores de la Política de Servidores Independientes

  • Configurar asignación de derechos de usuarios

  • Configurar Servicios

  • Habilitar únicamente los componentes esenciales de IIS

    • IIS deshabilitado por defecto en Windows Server 2003

    • Instalación nueva únicamente en servidores con contenido estático

  • Asegurar cuentas pre-definidas y de servicio

  • Configurar IPSec


Slide72 l.jpg

Demo 4Fortificación de Servidores Según su RolDemonstrar Seguridad en IIS Aplicar Política de Seguridad de Servidor de Ficheros


Ejemplo de combinaci n de roles servidor de ficheros e impresoras l.jpg

Ejemplo de Combinación de RolesServidor de Ficheros e Impresoras

  • Servidor de Ficheros: configurar firma digital de comunicaciones SMB

  • Servidor de Impresoras: La firma digital SMB no evita que se imiprima SINO QUE se vea la cola de impresión


Ejemplo de servidor aislado l.jpg

Ejemplo de Servidor Aislado

  • No es parte de un Dominio

  • No se aplican Políticas de Grupo

  • Políticas locales

    • Herramienta de Configuración y Análisis de Seguridad

    • Secedit


Slide75 l.jpg

Demo 5Combinación de Roles y Fortificación de un Servidor AisladoConfiguración y Análisis de Seguridad Secedit


Resumen l.jpg

Resumen

  • Necesidad de Seguridad.

  • Definición del Problema.

  • Seguridad de Servidores.

  • Seguridad del Dominio.

  • Fortificación de Servidores

  • Política para Servidores Independientes.

  • Fortificación de Controladores de Dominio.

  • Fortificación de Servidores según su Rol


M s informaci n l.jpg

Más Información

  • Información y recursos sobre seguridad de Microsoft

    • www.microsoft.com/spain/seguridad

    • www.microsoft.com/spain/technet/seguridad

  • Windows 2000 Server Security Guide

    • http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/chklist/w2ksvrcl.asp

  • Guia de Seguridad de Windows Server 2003

    • http://www.microsoft.com/spain/technet/seguridad/guias/guia_ws2003.asp


  • Login