1 / 51

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003. Nivel Avanzado. Orador: Elier Alfaro Alfonso Ingeniero Consultor (CISSP) Contab Dos Mil. Partner: Contab Dos Mil. Origen: Filial informático del grupo Ultramar Foco estratégico en tecnología Microsoft.

channing-marcel
Download Presentation

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ImplementacióndelaseguridadenelservidorenWindows2000yWindowsServer2003ImplementacióndelaseguridadenelservidorenWindows2000yWindowsServer2003 NivelAvanzado Orador: Elier Alfaro AlfonsoIngeniero Consultor (CISSP) Contab Dos Mil

  2. Partner: Contab Dos Mil • Origen: Filial informático del grupo Ultramar • Foco estratégico en tecnología Microsoft.

  3. Redes y Sistemas • TECNOLOGÍA TERMINAL SERVICES • Acceso a aplicaciones standard desde cualquier parte del mundo • TECNOLOGIA WINDOWS 2003 • MENSAJERÍA • VPN

  4. Seguridad Informática • Personal con Certificación Internacional CISSP • Evaluación de Seguridad Informática • Diseño de redes Seguras • Outsourcing de administración y apoyo en la operación informática

  5. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  6. ConsideracionessobreseguridadparalascompañíaspequeñasymedianasConsideracionessobreseguridadparalascompañíaspequeñasymedianas Servidorescondiversasfunciones Recursoslimitadosparaimplementarsolucionesseguras Utilizacióndesistemasantiguos Amenazainternaoaccidental Carenciadeexperienciaenseguridad Elaccesofísicoanulamuchosprocedimientosdeseguridad Consecuenciaslegales

  7. Confidencialidad Principiosde seguridad Integridad Disponibilidad Principiosdelaseguridaddeservidor • Laconfidencialidadgarantizalaproteccióndelaccesoalainformación • Laintegridadaseguraquelainformaciónnohayasidomodificada • Ladisponibilidadaseguraelaccesoinmediatoalainformación

  8. Defensaenprofundidad • Elusodeunasoluciónenniveles: • Aumentalaposibilidaddequesedetectenlosintrusos • Disminuyelaoportunidaddequelosintrusoslogrensupropósito Directivas,procedimientosyconcienciación Seguridadfísica ACL,cifrado Datos Aplicación Refuerzodelasaplicaciones,antivirus Refuerzodelsistemaoperativo,administraciónderevisiones,autenticación,HIDS Host Redinterna Segmentosdered,IPSec,NIDS Servidoresdeseguridad,sistemasdecuarentenaenVPN Perímetro Guardiasdeseguridad,bloqueos,dispositivosdeseguimiento Programasdeaprendizajeparalosusuarios

  9. Modelosdeamenazasyequilibriodeseguridad • Modelosdeamenazas • Documenteelentorno • Realiceunanálisisdelíneadebasedelossistemasyelsoftware • UtiliceDFDparailustrarelflujodedatos,lainteraccióndelsistemaylasamenazas • Segreguelossistemas • Segreguelossistemasenfuncióndelasaplicacionesylosrequisitosdeseguridad • Compruebequelosrequisitosdeseguridadentrelossistemasdeconfianzasonequivalentes • Compruebequelossistemasmenossensiblesdependendelosquelosonmásenloquerespectaalaseguridad • Limiteelentornoylosprivilegios • Asignecuentasconlosmínimospermisosposibles • Limiteyprotejalacomunicación • Deshabiliteoquitelosserviciosypuertosquenoseutilizan • Equilibriosrelativosalaseguridad • Laseguridadrequiereunequilibrioentrelaseguridadylafacilidaddeuso

  10. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  11. Prácticasbásicasdeseguridaddelservidor ApliquelosServicePacksmásrecientesytodaslasrevisionesdeseguridaddisponibles Utilicedirectivasdegrupoparareforzarlosservidores -Deshabilitelosserviciosquenosean necesarios -Implementedirectivasdecontraseñas seguras -Deshabilitelaautenticaciónde LANManageryNTLMv1 Restrinjaelaccesofísicoyderedalosservidores

  12. Administracióndelasactualizacionesdesoftware • Implementeunasolucióndeadministraciónderevisiones paraprotegersecontralasvulnerabilidades • Asistaaunasesióndeunprogramadeaprendizajesobreadministraciónderevisionesorepaselosconsejosdadosen: http://www.microsoft.com/technet/security/patch (estesitioestáeninglés)

  13. Clasificacionesdelagravedaddelasrevisionesycalendarios

  14. Coherentey repetible Conocimientos,funciones yresponsabilidades Productos,herramientas yautomatización Administracióneficazderevisiones Procesos Personas Tecnología

  15. Recomendacionesparareforzarlosservidores • CambieelnombredelascuentasintegradasInvitadoyAdministrador • Restrinjaelaccesoalascuentasdeserviciointegradasylasquenoseandelsistemaoperativo • Noconfigureunservicioparaqueiniciesesiónconunacuentadedominio • UtiliceNTFSparaprotegerlosarchivosycarpetas

  16. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  17. ComponentesdeActiveDirectory • Bosque • UnbosquefuncionacomolímitedeseguridadenActiveDirectory • Dominio • Unidadorganizativa • Directivadegrupo • Unadirectivadegrupoesunaherramientaclaveparaimplementaryadministrarlaseguridaddeunared

  18. DiseñodeunplandeseguridaddeActiveDirectory • Analiceelentorno • Centrodedatosdeintranet • Sucursal • Centrodedatosdeextranet • Realiceunanálisisdelasamenazas • IdentifiquelasamenazasparaActiveDirectory • Identifiquelostiposdeamenazas • Identifiqueelorigendelasamenazas • Determinemedidasdeseguridadparalasamenazas • Establezcaplanesdecontingencia

  19. Especifiquelímitesadministrativosydeseguridad DiseñeunaestructuradeActiveDirectoryenfuncióndelosrequisitosdedelegación EstablecimientodelímitessegurosdeActiveDirectory Implementelímitesdeseguridadbasadosenlaguíaderecomendaciones

  20. Fortalecimientodelaconfiguracióndelasdirectivasdedominio RefuercelaconfiguracióndelGPODirectivadedominiopredeterminadaocreeunGPOnuevoenelniveldedominio Compruebequelasdirectivasdecuentasycontraseñassatisfacenlosrequisitosdeseguridaddesuorganización ReviselaconfiguracióndeauditoríaenlosobjetosdeActiveDirectoryimportantes

  21. Directivadedominio Diseñodedominios Dominio Controladoresdedominio Servidoresintegrantes Directivadelíneadebasedeservidorintegrante Directivadecontroladoresdedominio Administradordeoperaciones Directivadeservidoresdeimpresión Servidoresdeimpresión Administradordeoperaciones Directivadeservidoresdearchivos Servidoresdearchivos AdministradordeserviciosWeb DirectivadeservidoresIIS ServidoresWeb Establecimientodeuna jerarquíadeunidadesorganizativasbasadaenfunciones • Unajerarquíadeunidadesorganizativasbasadaenfuncionesdeservidor: • Simplificalaadministracióndelaseguridad • Aplicalaconfiguracióndedirectivasdeseguridadalosservidoresyaotrosobjetosencadaunidadorganizativa

  22. Demostración1CreacióndeunaestructuradeunidadesorganizativasyaplicacióndeunaplantilladeseguridadCreacióndeunaestructuradeunidadesorganizativasDelegacióndelcontrolaungrupoadministrativoAplicacióndelaplantilladeseguridaddedominiosDemostración1CreacióndeunaestructuradeunidadesorganizativasyaplicacióndeunaplantilladeseguridadCreacióndeunaestructuradeunidadesorganizativasDelegacióndelcontrolaungrupoadministrativoAplicacióndelaplantilladeseguridaddedominios

  23. CómocrearunajerarquíadeunidadesorganizativasparaadministraryprotegerservidoresCómocrearunajerarquíadeunidadesorganizativasparaadministraryprotegerservidores • CreeunaunidadorganizativadenominadaServidoresintegrantes • CreeotrasunidadesorganizativasenServidoresintegrantesparacadafuncióndeservidor • Muevacadaobjetoservidoralaunidadorganizativaapropiadadeacuerdoconsufunción • Delegueelcontroldecadaunidadorganizativabasadaenfuncionesalgrupodeseguridadapropiado

  24. Recomendacionesdeadministración Distingaentrelasfuncionesadministrativasdedatosydeservicios Establezcarecomendacionesparaadministrardeformaseguralosdatosyserviciosdedirectorio Deleguelospermisosmínimosrequeridos

  25. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  26. Servidoresdeinfraestructuras Servidoresdeimpresiónyarchivos Aplicarladirectivade líneadebasedeservidoresintegrantes Apliqueunaconfiguracióndeseguridadincrementalbasadaenfunciones ServidoresIIS SeguridaddeActiveDirectory Procedimientosderefuerzodelaseguridad ServidoresRADIUS(IAS) ServidoresdeServiciosdeCertificateServer Hostsbastiones Informacióngeneralsobreelrefuerzodeservidores • Apliquelaconfiguracióndeseguridaddelíneadebaseatodoslosservidoresintegrantes • Apliqueopcionesdeconfiguraciónadicionalesalasfuncionesdeservidorespecíficas • UtiliceGPResultparaasegurarsedequelaconfiguraciónseaplicacorrectamente

  27. PlantilladeseguridadLíneadebasedeservidorintegrante • ModifiqueyapliquelaplantilladeseguridadLíneadebasedeservidorintegranteatodoslosservidoresintegrantes • OpcionesdellaplantilladeseguridadLíneadebasedeservidorintegrante: • Directivadeauditoría • Asignacióndederechosdeusuario • Opcionesdeseguridad • Registrodesucesos • Serviciosdelsistema

  28. Demostración2UsodeMBSAyaplicacióndeunaplantilladeseguridadUsodeMBSAparacrearuninformePresentacióndelaplantilladeseguridadLíneadebasedeservidorintegranteAplicacióndelaplantilladeseguridadLíneadebasedeservidorintegranteUsodeMBSAparacomprobarque sehaaplicado laplantilla

  29. CómoutilizarMBSA • AbraMBSAyseleccioneScanacomputer • EnlapáginaPickacomputertoscan,escribaladirecciónIPoelnombredelequipoquedeseeexaminar • Seleccionetodaslasopcionesquedesee • HagaclicenStartscan • Reviselosresultadosdeladetección

  30. Recomendacionesparautilizarplantillasdeseguridad Reviseymodifiquelasplantillasdeseguridadantesdeutilizarlas Utilicelasherramientasdeanálisisyconfiguracióndeseguridadpararevisarlaconfiguracióndelasplantillasantesdeaplicarlas Pruebelasplantillasminuciosamenteantesdeimplementarlas Almacenelasplantillasdeseguridadenunaubicaciónsegura

  31. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  32. Configuracióndeseguridaddeloscontroladoresdedominio Protejaelentornodecreacióndeloscontroladoresdedominio Establezcaprácticasparalacreacióndecontroladoresdedominioqueproporcionenseguridad Mantengalaseguridadfísica

  33. Demostración3RefuerzodecontroladoresdedominioAplicacióndelaplantilladeseguridadControladordedominioDemostración3RefuerzodecontroladoresdedominioAplicacióndelaplantilladeseguridadControladordedominio

  34. CómoaplicarlaplantilladeseguridadControladordedominio • AbralaconsoladeAdministracióndedirectivadegrupoyvayaalaunidadorganizativaControladoresdedominio • CreeunGPOyvincúleloalaunidadorganizativaControladoresdedominio • VayaaConfiguracióndelequipo\ConfiguracióndeWindows\Configuracióndeseguridad • Hagaclicconelbotónsecundariodelmouseen Configuracióndeseguridady,después,hagaclicenImportardirectiva • SeleccioneladirectivadeseguridadControladordedominioyhagaclicenAceptar • Laconfiguracióndelanuevadirectivasurtiráefectoencadacontroladordedominiolapróximavezqueseactualiceosereinicie • TambiénpuedeejecutarGPUpdateencadacontroladordedominioparaactualizarladirectivadegrupoinmediatamente

  35. Recomendacionesparareforzarloscontroladoresdedominio Utilicemétodosdeseguridadapropiadosparacontrolarelaccesofísicoaloscontroladoresdedominio Implementeunaconfiguraciónapropiadaparalosregistrosdesucesosyauditoría UtilicedirectivasdegrupoparaaplicarlaplantilladeseguridadControladordedominioatodosloscontroladoresdedominio Deshabilitelosserviciosquenoseannecesarios

  36. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  37. UsodeplantillasdeseguridadparafuncionesespecíficasdeservidorUsodeplantillasdeseguridadparafuncionesespecíficasdeservidor • LosservidoresqueefectúanfuncionesespecíficassepuedenorganizarporunidadesorganizativasenlaunidadorganizativaServidoresintegrantes • Enprimerlugar,apliquelaplantillaLíneadebasedeservidorintegrantealaunidadorganizativaServidoresintegrantes • Acontinuación,apliquelaplantilladeseguridadbasadaenlafuncióncorrespondienteacadaunidadorganizativadelaunidadorganizativaServidoresintegrantes • Personalicelasplantillasdeseguridadparalosservidoresquerealizanvariasfunciones

  38. Refuerzodeservidoresdeinfraestructuras • ApliquelaconfiguracióndelaplantilladeseguridadServidordeinfraestructuras • Configuremanualmentelasopcionesadicionalesencadaservidordeinfraestructuras • ConfigureelregistroDHCP • ProtéjasefrenteaataquesDoSDHCP • UtiliceDNSintegradoenActiveDirectoryparalaszonasdeActiveDirectory • Protejalascuentasdeservicio • PermitaeltráficoúnicamenteenlospuertosnecesariosparalasaplicacionesdeservidormediantefiltrosIPSec

  39. Refuerzodeservidoresdearchivos • ApliquelaconfiguracióndelaplantilladeseguridadServidordearchivos • Configuremanualmentelasopcionesadicionalesencadaservidordearchivos • DeshabiliteDFSyFRSsinosenecesitan • Protejalosarchivosycarpetascompartidosmediante NTFSypermisoscompartidos • Habilitelaauditoríadelosarchivosesenciales • Protejalascuentasdeservicio • PermitaeltráficosóloenpuertosespecíficosmediantefiltrosIPSec

  40. Refuerzodeservidoresdeimpresión • ApliquelaconfiguracióndelaplantilladeseguridadServidordeimpresión • Configuremanualmentelasopcionesadicionalesencadaservidordeimpresión • AsegúresedequeelservicioColadeimpresiónestéhabilitado • Protejalascuentasconocidas • Protejalascuentasdeservicio • PermitaeltráficosóloenpuertosespecíficosmediantefiltrosIPSec

  41. RefuerzodeservidoresIIS • ApliquelaconfiguracióndelaplantilladeseguridadServidorIIS • ConfiguremanualmentecadaservidorIIS • InstalelaherramientaBloqueodeseguridaddeIISyconfigureURLScanentodaslasinstalacionesdeIIS5.0 • HabilitesóloloscomponentesdeIISesenciales • ConfigurelospermisosNTFSparatodaslascarpetasconcontenidoWeb • InstaleIISyalmaceneelcontenidoWebenunvolumendediscodedicado • Siesposible,nohabilitelospermisosdeejecuciónydeescrituraenelmismositioWeb • EnlosservidoresIIS5.0,ejecutelasaplicacionesconproteccióndeaplicacionesmediaoalta • UtilicefiltrosIPSecparapermitirúnicamenteeltráficoenlospuertos80y443

  42. Demostración4RefuerzodefuncionesdeservidorespecíficasRevisióndelaseguridadpredeterminadadeIISAplicacióndelaplantilladeseguridadServidordearchivosDemostración4RefuerzodefuncionesdeservidorespecíficasRevisióndelaseguridadpredeterminadadeIISAplicacióndelaplantilladeseguridadServidordearchivos

  43. RecomendacionesparaelrefuerzodeservidoresdefuncionesespecíficasRecomendacionesparaelrefuerzodeservidoresdefuncionesespecíficas Protejalascuentasdeusuarioconocidas Habiliteúnicamentelosserviciosqueserequieranparaejercerlafuncióndelservidor Habiliteelregistrodeserviciosparacapturarlainformaciónrelevante UtiliceelfiltroIPSecparabloquearlospuertosespecíficosbasadosenlafuncióndeservidor Modifiquelasplantillassegúnconvengaparalosservidoresconvariasfunciones

  44. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  45. Refuerzodeservidoresindependientes • DebeaplicarmanualmentelaconfiguracióndeseguridadencadaservidorindependienteenlugardeutilizarDirectivadegrupo • Quizástengaquecrearunaplantilladeseguridadpersonalizadaparacadaservidorindependiente • UtilicelaherramientaConfiguraciónyanálisisdeseguridadoSecEditparaaplicarlaconfiguracióndelaplantilladeseguridad • Configuraciónyanálisisdeseguridad • Permitelacomparaciónyaplicacióndevariasplantillasdeseguridad • SecEdit • VersióndelíneadecomandosdelaherramientaConfiguraciónyanálisisdeseguridadquepermitelaaplicacióndeplantillasdeseguridadconsecuenciasdecomandos

  46. Demostración5RefuerzodeunservidorindependienteComparacióndeplantillasdeseguridadAplicacióndeunaplantilladeseguridadaunservidorindependienteDemostración5RefuerzodeunservidorindependienteComparacióndeplantillasdeseguridadAplicacióndeunaplantilladeseguridadaunservidorindependiente

  47. CómoutilizarSecEditparareforzar servidoresindependientes • Configureunaplantilladeseguridadpersonalizadaconlasopcionesquedeseeaplicaralservidorindependiente • Abraunsímbolodelsistemaenelservidorindependiente • Creeunabasededatosdeconfiguracióndesdelaplantilladeseguridadpersonalizada;paraelloescriba: secedit/import/dbc:\security.sdb/cfgnombredelaplantilladeseguridad • Apliquelaconfiguraciónenlabasededatosalservidorindependiente;paraello,escriba: secedit/configure/dbc:\security.sdb

  48. Recomendacionesparareforzarservidoresindependientes UtilicelaherramientaConfiguraciónyanálisisdeseguridadparaaplicarplantillasalosservidoresindependientes Configurelasopcionesdeserviciodeacuerdoconlosrequisitosdefuncionesdeservidor Habiliteelregistrodeserviciosparacapturarlainformaciónrelevante UtiliceIPSecparafiltrarlospuertossegúnlafuncióndelservidor

  49. Resumendelasesión • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  50. Pasossiguientes • Mantenerseinformadosobrelaseguridad • Suscribirseaboletinesdeseguridad http://www.microsoft.com/security/security_bulletins/alerts2.asp(estesitioestáeninglés) • ObtenerlasdirectricesdeseguridaddeMicrosoftmásrecientes: http://www.microsoft.com/technet/security/bestprac/(estesitioestáeninglés) • Obtenerprogramasadicionalesdeaprendizajesobreseguridad • Buscarseminariosdeaprendizajeenlínea: http://www.microsoft.com/latam/technet/evento/default.asp • BuscarunCTEClocalqueofrezcacursosprácticos: http://www.microsoft.com/mspress/latam/default.htm

More Related