7-Seguridad Avanzada de Clientes y Servidores

Seguridad avanzada de clientes y servidores
Requisitos previos para el capítulo
• Experiencia práctica con los sistemas operativos de cliente y de servidor

Microsoft® Windows® y con Active Directory®
• Conocimientos sobre los procedimientos básicos de seguridad de clientes
y servidores, incluido cómo reforzar los equipos con Directiva de grupo
Índice
• Introducción a la seguridad avanzada de clientes y servidores

• Implementación de seguridad avanzada en el servidor
• Métodos para la protección de servidores IIS
• Implementación de seguridad avanzada en el cliente
• Métodos para proporcionar seguridad a clientes móviles
1
1. Introducción a la seguridad avanzada de clientes y servidores
La seguridad de clientes y servidores es fundamental para todas las

organizaciones, ya que una infracción de seguridad puede producir pérdidas de
datos y daños en la infraestructura de red, así como perjudicar su reputación y
sus ingresos. Aunque no es posible proteger totalmente una organización, debe
lucharse por proteger los clientes y servidores de la red.
El primer tema de este capítulo es una introducción a la seguridad avanzada de

clientes y servidores. Algunos de los conceptos específicos que se tratarán son:
• Prácticas básicas de seguridad para Active Directory. Este tema

presenta información sobre prácticas fundamentales para proteger
Active Directory. La protección de Active Directory constituye una
parte esencial de la seguridad de la red.
• Prácticas básicas de seguridad para servidores. Este tema

contiene información sobre prácticas fundamentales para proteger
los servidores.
• Prácticas básicas de seguridad para clientes. Este tema contiene

información sobre prácticas fundamentales para proteger los
clientes.
• Prácticas avanzadas de seguridad para clientes y servidores. Este

tema ofrece una introducción a las prácticas avanzadas de
seguridad para clientes y servidores que se tratarán en el resto de
este capitulo.
2
1.1. Prácticas básicas de seguridad para Active Directory
Cap7-01.jpg
Antes de ofrecer una introducción a los métodos y técnicas de seguridad

avanzados para clientes y servidores, repasaremos brevemente las prácticas
básicas de seguridad. En una organización que utilice una red de Microsoft
Windows, la seguridad eficaz de los clientes y servidores comienza por una
reflexión cuidadosa sobre el diseño de Active Directory y la implementación de
prácticas básicas de seguridad para Active Directory. Aunque no se trata
necesariamente de prácticas avanzadas, son fundamentales para la protección
de los clientes y servidores de la red.
Algunas prácticas básicas de seguridad para Active Directory son:
• Establezca límites seguros de Active Directory. En las redes de

Windows 2000 y sistemas operativos posteriores, los dominios son
los límites de la administración y de ciertas directivas de seguridad.
Cada dominio de Active Directory está autorizado para la identidad
y las credenciales de los usuarios, grupos y equipos que residen
en ese dominio. No obstante, los administradores de servicios
pueden atravesar los límites del dominio; por tanto, el verdadero
límite de seguridad es el bosque. Si no confía en todos los
administradores de dominios de la organización, debería dividir
Active Directory en varios bosques. A continuación, establezca
relaciones de confianza entre los dominios o bosques para permitir
funciones que se apliquen a toda la organización.
3
• Fortalezca la configuración de las directivas de dominio. Refuerce
la configuración, como la correspondiente a las directivas de
contraseñas y de bloqueo de cuentas, en el objeto de directiva de
grupo (GPO) de la directiva de dominio predeterminada o cree un
GPO nuevo con una configuración de seguridad más restrictiva en
el nivel de dominio. Revise la configuración de auditoría en los
objetos importantes de Active Directory.
• Utilice una jerarquía de unidades organizativas (OU) basada en

funciones. Una jerarquía de unidades organizativas basada en las
funciones de servidor de la organización simplifica la
administración de la seguridad, ya que la administración de una
unidad organizativa puede delegarse en un grupo administrativo
específico. Una jerarquía de unidades organizativas basada en las
funciones de servidor aplica la configuración de directivas de
seguridad apropiadas a los servidores y otros objetos en cada
unidad organizativa.
• Establezca prácticas administrativas seguras. Configure las

cuentas administrativas de modo que el ámbito de influencia de
cada una se vea limitado a los contenedores específicos de Active
Directory. Los administradores de servicios deben reforzar sus
cuentas y estaciones de trabajo, así como evitar la delegación de
operaciones que afectan a la seguridad. Los administradores de
datos deben delegar cuidadosamente la administración de los
datos y establecer cuotas de propiedad sobre los objetos.
• Refuerce el Sistema de nombres de dominio (DNS). DNS forma

parte de la arquitectura que se utiliza para el acceso a Active
Directory. Por tanto, configure DNS de la forma más segura posible
para evitar que usuarios no autorizados puedan aprovecharlo.
4
1.2. Prácticas básicas de seguridad del servidor
Cap7-02.jpg
Las prácticas básicas de seguridad para servidores son líneas de base a las que
se pueden agregar otras avanzadas. La incorporación de prácticas avanzadas
de seguridad para servidores a las prácticas básicas existentes constituye un
ejemplo de la estrategia de seguridad de defensa en profundidad de Microsoft,
que reconoce que la seguridad es más efectiva cuando los equipos y los datos
están protegidos por más de un nivel de seguridad.
Algunas prácticas básicas de seguridad del servidor son:
• Aplicar los Service Packs más recientes y todas las revisiones de

seguridad disponibles.
• Los Service Packs aumentan la seguridad y estabilidad del
sistema operativo.
• La mayor parte de los ataques contra los servidores se
aprovechan de los puntos vulnerables que se han
comunicado anteriormente y se corrigen en un Service Pack
o en una revisión de seguridad del sistema operativo.
• Los equipos que no tienen instalados el Service Pack y las
revisiones de seguridad más recientes son vulnerables.
5
• Utilizar directivas de grupo para reforzar los servidores. Puede
utilizar directivas de grupo para:
• Deshabilitar los servicios innecesarios. Cualquier servicio o
aplicación es un posible punto de ataque. Por lo tanto,
deshabilite o quite todos los servicios y los archivos
ejecutables innecesarios con el fin de reducir la parte de un
sistema expuesta a un ataque.
• Implementar directivas de contraseñas estrictas. Puede
reforzar la configuración de directivas de contraseñas y de
bloqueo de cuentas para un controlador de dominio, un
servidor integrante o un servidor independiente, si aplica la
configuración de una plantilla de seguridad apropiada.
• Deshabilitar la autenticación de LAN Manager y NT LAN
Manager (NTLMv1) y el almacenamiento de claves de hash
de LAN Manager. Al deshabilitar estas funciones quizás se
impida el acceso de clientes antiguos. Establezca la
configuración de manera que no deshabilite funciones
necesarias. Windows 2000 y los sistemas operativos
posteriores ofrecen compatibilidad nativa con NTLMv2.
Microsoft Windows NT 4.0 admite NTLMv2 con el Service
Pack 4 o posteriores instalados. Es necesario instalar el
software cliente de Active Directory en equipos con
Windows 9x para que puedan utilizar NTLMv2.
• Restringir el acceso físico y de red a los servidores.

• Almacene los servidores en una sala con cerradura. Utilice
cerrojos con tarjeta o con clave en las entradas.
• Impida que los controladores de dominio se inicien en un
sistema operativo alternativo.
• Asigne sólo los permisos y los derechos de usuario
necesarios para los usuarios de la organización.
6
1.3. Prácticas básicas de seguridad del cliente
Cap7-03.jpg
Puede considerar estas prácticas básicas de seguridad para clientes como una
línea de base a la que puede agregar otras avanzadas.
Algunas prácticas básicas de seguridad del cliente son:
• Aplicar los Service Packs más recientes y todas las revisiones de

seguridad disponibles.
• Los Service Packs aumentan la seguridad y estabilidad del
sistema operativo.
• La mayor parte de los ataques contra los clientes se
aprovechan de los puntos vulnerables que se han
comunicado anteriormente y se corrigen en un Service Pack
o en una revisión de seguridad del sistema operativo.
• Los equipos que no tienen instalados el Service Pack y las
revisiones de seguridad más recientes son vulnerables.
• Utilizar directivas de grupo para reforzar los clientes.

• Deshabilitar los servicios innecesarios.
Cualquier servicio o aplicación es un posible punto de
ataque. Por lo tanto, deshabilite o quite todos los servicios y
7
los archivos ejecutables innecesarios con el fin de reducir la
parte de un sistema expuesta a un ataque.
• Aplicar la plantilla de seguridad adecuada.
Los sistemas operativos Windows XP y Windows 2000
Professional incluyen diversas plantillas de seguridad.
Asimismo, la Guía de seguridad de Microsoft Windows XP
contiene plantillas de seguridad actualizadas que incorporan
opciones de seguridad recomendadas actualmente para
clientes.
• Configurar las opciones de seguridad de Internet Explorer.
Directiva de grupo contiene muchas opciones de seguridad
para Internet Explorer que ayudan a proteger el equipo
cliente y la red a la que está conectado contra contenido
Web malintencionado.
• Utilizar software antivirus.

• Se calcula que los costos anuales atribuidos a brotes de
virus superan los 10000 millones de dólares. Al implementar
programas antivirus en equipos cliente de la red, tenga en
cuenta las siguientes recomendaciones:
• Aplique las actualizaciones del proveedor con regularidad.
• Utilice una estrategia de implementación centralizada
cuando sea posible.
• Utilice software específico para clientes.
• Instruir a los usuarios.

• Los usuarios pueden ser el vínculo más débil de la
infraestructura de seguridad. Considere una prioridad instruir
a los usuarios para que sigan las directrices de seguridad de
la organización.
• Servidores de seguridad. Instale y configure un servidor de
seguridad de hardware, de software o ambos, como
Servidor de seguridad de conexión a Internet (ICF).
La guía de seguridad de Windows XP provee tres escenarios: los clientes

enterprise, los clientes de seguridad alta y los clientes stand alone.
Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policies aplicadas a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a través del entorno.
Clientes de seguridad alta

El ambiente de seguridad alta consiste en elevar las configuraciones de
seguridad para el cliente. Cuando se aplican configuraciones de seguridad alta,
la funcionalidad de los usuarios se limita únicamente a las tareas necesarias
8
para cumplir con su trabajo. El acceso es limitado a programas aprobados,
servicios y entornos de infraestructura.
Entorno Stand – Alone

Los entornos stand – alone consisten en organizaciones que tienen algunas PC
´s pero no las agrupan en entornos de dominio, o esas computadoras son
miembros de dominios Windows NT 4.0 domain. Estos clientes tienen sus
configuraciones de seguridad usando Local Policy. La administración de
computadoras stand – alone puede ser considerablemente más complicada que
usar Active Directory, debido a la utilización de políticas centralizadas en un
dominio Active Directory.
La guía de seguridad de Windows XP es similar a la de Windows 2003 Server,

utilizando plantillas de seguridad para crear Group Policy Objects que se
apliquen a Organizational Units en Active Directory para asegurar computadoras
cliente.
Adicionalmente a las plantillas de seguridad, se pueden utilizar las plantillas

administrativas para agregar seguridad adicional a componentes de Windows
como Internet Explorer, Windows Messenger y Terminal Server, como también a
programas como Office XP.
La guía también hace uso de una nueva característica de la política llamada

Software Restriction Policies. Usando Software Restriction Policies usted puede
limitar el software que se puede utilizar en una computadora o bien bloquear
programas específicos que no podrán ser ejecutados.
Se recomienda no agregar a los usuarios al grupo local de administradores.
9
2. Implementación de seguridad avanzada en el servidor
En este tema se describen diversos métodos y técnicas que pueden utilizarse

para implementar seguridad avanzada en el servidor. Algunos de los conceptos
específicos que se tratarán son:
• Servicios de servidor que es conveniente deshabilitar

• Servicios de servidor que no se deben deshabilitar
• Determinar las dependencias de los servicios
• Configuración de servicios en servidores que realizan varias
funciones
• Protección de servidores mediante filtros IPSec (Seguridad de
protocolo Internet)
• Filtros IPSec para controladores de dominio
• Entradas del Registro para la protección de los controladores de
dominio
• Cómo crear una directiva de seguridad IP
• Auditorías de seguridad
• Microsoft Audit Collection Services (MACS)
• Configuración recomendada de directivas de auditoría para
servidores integrantes
2.1. Servicios que es conveniente deshabilitar
Servicios
 Portafolios  Firewall de  Escritorio remoto
 Servicio de Windows compartido de
informe de errores o Conexión NetMeeting®
(ERS) compartida a  Administrador de
 SSL de HTTP Internet (ICS) conexión automática
 Servicio COM de  Messenger de acceso remoto
grabación de CD  Servicio POP3 de  Administrador de
de IMAPI Microsoft conexión de acceso
 Servicio de Index remoto
Server  Servicio de publicación
World Wide Web
Una de las prácticas básicas de seguridad del servidor consiste en deshabilitar

los servicios que no sean necesarios. Considere los siguientes consejos
preceptivos avanzados sobre servicios específicos que deben o no
deshabilitarse en servidores de red.
Hay algunos servicios que deben deshabilitarse a menos que se necesiten para
la función que efectúa el equipo. Muchos de estos servicios están deshabilitados
de forma predeterminada en Windows Server 2003. Algunos de los servicios que
es conveniente deshabilitar son:
10
• Portafolios
• Servicio de informe de errores (ERS)
• SSL (Secure Sockets Layer) de HTTP
• Servicio COM de grabación de CD de IMAPI
• Servicio de Index Server
• Firewall de Windows o Conexión compartida a Internet (ICS)
• Messenger
• Servicio POP3 de Microsoft
• Escritorio remoto compartido de NetMeeting
• Administrador de conexión automática de acceso remoto
• Administrador de conexión de acceso remoto
• Servicio de publicación World Wide Web
Puede utilizar Directiva de grupo para deshabilitar servicios en servidores. Antes

de deshabilitar un servicio, determine sus dependencias.
• Los servidores pueden asumir varias funciones en las compañías que

tienen recursos limitados. Es posible aplicar fácilmente varias plantillas de
seguridad a un servidor, pero pueden entrar en conflicto. Cuando un
servidor realiza varias funciones, es más difícil protegerlo. Además, un
servidor que lleva a cabo varias funciones está más expuesto a un
ataque. Si se produce una infracción en la seguridad, todas las funciones
que realiza ese servidor se pueden ver comprometidas.
• Si una compañía tiene recursos limitados, es posible que no pueda
proporcionar los componentes necesarios para una solución segura.
Disponer de varios servidores de seguridad y ofrecer una alta
disponibilidad son ejemplos de elementos caros que podrían no resultar
financieramente factibles.
• El compromiso interno de los sistemas, ya sea de forma malintencionada
o accidental, supone un alto porcentaje de los ataques. Los intrusos
suelen encontrar que sus ataques son más fáciles de realizar si tienen
acceso interno a la red (ya sea personal o por medio de un cómplice
voluntario o involuntario).
• Los departamentos de tecnología de la información (IT) pequeños pueden
carecer de personal con la experiencia apropiada en seguridad. Esto
puede provocar que se pasen por alto algunos problemas de seguridad.
En esta situación, el uso de plantillas de seguridad estándar puede ser
beneficioso.
• El acceso físico a un sistema anula muchas medidas de seguridad y
puede permitir a un intruso ejecutar utilidades, instalar programas
dañinos, cambiar configuraciones, quitar componentes y ocasionar daños
físicos.
• Las infracciones de seguridad pueden tener consecuencias legales.
Dependiendo del estado o país que tenga jurisdicción sobre la
organización, una compañía puede enfrentarse a responsabilidades
legales derivadas de una infracción en la seguridad de sus servidores.
Algunos ejemplos de dicha legislación incluyen Sarbanes Oxley, HIPAA,
GLBA y California SB 1386.
11
• Los sistemas más antiguos podrían no admitir configuraciones de
seguridad si no se actualizan. Si esos sistemas no se actualizan, el riesgo
de una infracción de la seguridad es mayor que en los sistemas más
actuales.
Nota: Firewall de Windows debe estar habilitado siempre en equipos que se

conecten directamente a Internet. No obstante, al habilitarlo en una red
corporativa puede impedir la administración remota y otras funciones. Por este
motivo, normalmente no se recomienda utilizar Firewall de Windows en redes
que estén protegidas de Internet mediante un servidor de seguridad corporativo.
2.3. Servicios que no se deben deshabilitar
Servicios
 Servicios de  Plug and Play  Notificación de sucesos
cifrado  Almacenamiento del sistema
 Cliente DHCP protegido  Ayuda de NetBIOS
 Cliente DNS  Llamada a sobre TCP/IP
 Registro de procedimiento  Windows Installer
sucesos remoto (RPC)  Instrumental de
 Servicios IPSec  Servicio de Registro administración de
 Netlogon remoto Windows (WMI)
 Proveedor de  Administrador  Windows Time
compatibilidad con de cuentas de  Estación de trabajo
seguridad de seguridad
NTLM  Servidor
Algunos servicios son necesarios para el funcionamiento correcto de Windows.

No debe deshabilitar estos servicios a menos que se den circunstancias muy
poco habituales en las que no se necesiten las funciones que proporcionan
estos servicios. Por ejemplo, si configura un servidor como host bastión, tal
como se indica en la Guía de seguridad de Windows Server 2003, es posible
que necesite deshabilitar algunos de los siguientes servicios. No obstante, por
regla general, tenga en cuenta los siguientes consejos preceptivos avanzados
sobre los servicios específicos que no deben deshabilitarse en servidores de
red:
 Servicios de cifrado
 Cliente DHCP
 Cliente DNS
 Registro de sucesos
 Servicios IPSec
 Netlogon
 Proveedor de compatibilidad con seguridad de NTLM
12
 Plug and Play
 Almacenamiento protegido
 Llamada a procedimiento remoto (RPC)
 Servicio de Registro remoto
 Administrador de cuentas de seguridad
 Servidor
 Notificación de sucesos del sistema
 Ayuda de NetBIOS sobre TCP/IP
 Windows Installer
 Instrumental de administración de Windows (WMI)
 Windows Time
 Estación de trabajo
2.4. Determinar las dependencias de los servicios
 Determine las dependencias de un servicio antes de deshabilitarlo

 Utilice el complemento Servicios de Administración de equipos para ver
las dependencias de los servicios
13
Cap7-04.jpg
 Determine las dependencias de un servicio antes de deshabilitarlo.

 Utilice el complemento Servicios para ver las dependencias de los
servicios.
Cómo determinar las dependencias de un servicio:
1. Inicie la herramienta Administración de equipos.

2. Expanda el nodo Servicios y aplicaciones y, a continuación, haga
click en Servicios.
3. En el panel de detalles, haga doble click en el servicio cuyas
dependencias desea ver.
4. En el cuadro de diálogo Propiedades del servicio, haga click en la
ficha Dependencias.
5. En la ficha Dependencias, vea los servicios de los que depende el
servicio seleccionado, así como los servicios que dependen de él.
14
2.5. Configuración de servicios en servidores que realizan
varias funciones
 Las plantillas de seguridad contienen opciones que

controlan el comportamiento de los servicios
 Use Directiva de grupo para aplicar una plantilla de
seguridad específica de funciones modificadas a
servidores que realizan varias funciones
Cap7-05.jpg
 Una de las formas más eficaces de configurar servicios en servidores

consiste en utilizar Directiva de grupo para aplicar la configuración de
una plantilla de seguridad adecuada a esos servidores. Cada plantilla
de seguridad contiene no sólo opciones de seguridad, sino también
opciones que especifican los servicios que se habilitan o deshabilitan,
y el comportamiento de inicio de cada servicio habilitado. El uso de
una plantilla de seguridad específica de funciones simplifica la
administración de seguridad del servidor, ya que contiene un conjunto
preconfigurado de opciones de servicios recomendadas para
servidores que realizan una función específica.
 Para la configuración de servicios en servidores que realizan varias
funciones es necesario conocer muy bien los servicios que necesita
cada función del servidor, así como el comportamiento de inicio
recomendado de cada uno de estos servicios de manera que estén
habilitados todos los servicios necesarios en el servidor. Los
comportamientos de inicio posibles para los servicios son
Automático, Manual, Deshabilitado y No definido. Consulte la Guía
de seguridad de Windows Server 2003 para ver listas de los servicios
específicos que necesita cada función de un servidor y el
comportamiento de inicio recomendado para cada servicio necesario.
Para utilizar Directiva de grupo a fin de configurar servicios en servidores

que realizan varias funciones:
1. Utilice Directiva de grupo para aplicar la plantilla de seguridad Línea de

base de servidor integrante a todos los servidores integrantes del
dominio. Esta plantilla de seguridad, junto con otras plantillas de
seguridad específicas de funciones, se incluye con la Guía de seguridad
de Windows Server 2003.
2. En la unidad organizativa (OU) que contiene los servidores integrantes del
dominio, cree una unidad organizativa secundaria para los servidores que
realicen una combinación especifica de funciones. Coloque el servidor
que realiza esta combinación de funciones en esa unidad organizativa.
3. Seleccione la plantilla de seguridad específica de funciones que más se
aproxime a la función principal del servidor y modifíquela a fin de habilitar
los servicios necesarios para las funciones adicionales que realice el
servidor y especificar el comportamiento de inicio de esos servicios.
15
4. Utilice Directiva de grupo para aplicar la plantilla modificada a la unidad
organizativa que contiene el servidor o servidores que realizan varias
funciones.
2.6. Protección de servidores mediante filtros IPSec
 En general, bloquee todo el tráfico entrante y saliente del servidor,

excepto el que éste necesita para cumplir su función
 Pruebe la directiva de seguridad IP antes de implementarla
 Utilice el complemento Administración de directivas de seguridad IP,
Directiva de grupo o secuencias de comandos para configurar filtros
IPSec
 Utilice filtros IPSec específicos para servidores según la función de éstos
Los filtros IPSec son una herramienta con la que los administradores de
seguridad de redes pueden permitir o bloquear tráfico TCP/IP selectivo entrante
o saliente de un servidor. Los filtros IPSec pueden proporcionar una manera
eficaz de mejorar el nivel de seguridad de los servidores. Windows 2000,
Windows XP y Windows Server 2003 admiten filtros IPSec.
• Bloquee todo el tráfico entrante y saliente del servidor, excepto el

que éste necesita para cumplir su función.
• Pruebe la directiva de seguridad IP antes de implementarla. La

configuración de filtros IPSec constituye una tarea administrativa
avanzada. Una configuración incorrecta puede impedir la
comunicación de los servidores con otros equipos de la red. Antes
de implementar una directiva de seguridad IP en la red de
producción, pruebe la directiva minuciosamente en un entorno de
prueba.
• Utilice el complemento Administración de directivas de seguridad

IP, Directiva de grupo o secuencias de comandos para configurar
filtros IPSec. La configuración de filtros IPSec se especifica en
directivas de seguridad IP. Sólo puede aplicarse una directiva de
seguridad IP a un servidor en un momento dado. Una directiva de
seguridad IP es un conjunto de reglas de seguridad IP. Una regla
de seguridad IP contiene lo siguiente:
• Lista de filtros. Esta lista incluye los puertos, protocolos y
direcciones Las listas de filtros activan una decisión cuando
el tráfico coincide con algún elemento de la lista. Una lista
puede contener varios filtros.
• Acción de filtrado. La acción es la respuesta necesaria
cuando el tráfico coincide con una lista de filtros. Algunas
acciones específicas son bloquear o permitir un tráfico
determinado.
16
• Utilice filtros IPSec específicos para servidores según la función de
éstos. Consulte la Guía de seguridad de Windows Server 2003
para saber las recomendaciones basadas en funciones de los
filtros IPSec. Como guía sobre el análisis de un servidor para
determinar con exactitud los filtros IPSec que deben aplicarse,
consulte el capítulo 11 de Threats and Countermeasures Guide.
2.7. Filtros IPSec para controladores de dominio
Puerto de Puerto de Dirección Dirección de

Servicio Protocolo Acción Reflejado
origen destino de origen destino
Servidor
TCP Cualquiera 445 Cualquiera Me Permitir Sí
CIFS/SMB
UDP Cualquiera 445 Cualquiera Me Permitir Sí
Servidor RPC TCP Cualquiera 135 Cualquiera Me Permitir Sí
Servidor
NetBIOS
Supervisión Servidor
Cualquiera Cualquiera Cualquiera Me Permitir Sí
de cliente MOM
Servidor de
Servicios de
Terminal
Server
Servidor de
catálogo TCP Cualquiera 3268 Cualquiera Me Permitir Sí
global
Se recomiendan distintos filtros IPSec para los servidores según sus funciones.
En este tema, se examinarán los filtros IPSec recomendados para los
controladores de dominio.
• Hay varios filtros IPSec específicos que deben crearse en los

controladores de dominio en un entorno de alta seguridad, como se define
en la Guía de seguridad de Windows Server 2003.
• Esta tabla se muestra en el capítulo 4 de la Guía de seguridad de

Windows Server 2003. La guía también contiene tablas con los filtros
IPSec específicos recomendados para otros tipos de funciones de
servidor.
Nota: los controladores de dominio son muy dinámicos, por lo que debe evaluar
detenidamente la implementación de filtros IPSec en ellos y, después, probar
concienzudamente los filtros en un entorno de prueba. Debido a la gran
interacción que se produce entre los controladores de dominio, es necesario
agregar filtros IPSec para permitir todo el tráfico entre los controladores de
dominio que replican información entre sí. En entornos complejos con muchos
17
controladores de dominio, es necesario crear docenas de filtros adicionales a fin
de proteger de forma eficaz los controladores de dominio. Esto podría dificultar
en gran medida la implementación y administración de directivas IPSec. No
obstante, los entornos con pocos controladores de dominio pueden aprovechar
eficazmente las ventajas de la implementación de filtros IPSec.
18
2.8. Filtros IPSec para controladores de dominio (continuación)
Servicio Protocolo Puerto de Puerto de Dirección Dirección Acción Reflejado

origen destino de origen de destino
Servidor DNS TCP Cualquiera 53 Cualquiera Me Permitir Sí
Servidor TCP Cualquiera 88 Cualquiera Me Permitir Sí

Kerberos
Servidor LDAP TCP Cualquiera 389 Cualquiera Me Permitir Sí
Servidor NTP TCP Cualquiera 123 Me Me Permitir Sí

UDP 123 Me
Intervalo RPC TCP Cualquiera 57901- Cualquiera Me Permitir Sí
predefinido 57950
Comunicaciones Cualquiera Cualquiera Cualquiera Me Controlador Permitir Sí
DC de dominio
1
Comunicaciones Cualquiera Cualquiera Cualquiera Me Controlador Permitir Sí
DC de dominio
2
ICMP ICMP Cualquiera Cualquiera Me Cualquiera Permitir Sí
Todo el tráfico Cualquiera Cualquiera Cualquiera Cualquiera Me Bloquear Sí
entrante
Todos estos filtros deben reflejarse al implementarlos para garantizar que

también se permitirá a cualquier tráfico de red que entre en el servidor su
regreso al servidor de origen.
Los puertos de los filtros IPSec indicados en esta tabla representan los puertos
de base que deben estar abiertos para que el servidor pueda realizar sus
funciones específicas. Estos puertos son suficientes si el servidor tiene una
dirección IP estática. Puede ser necesario que estén abiertos otros puertos para
proporcionar funcionalidad adicional. Con otros puertos adicionales abiertos es
más fácil administrar los controladores de dominio; no obstante, pueden reducir
en gran medida la seguridad de estos servidores.
Las reglas IPSec se procesan en el orden en el que aparecen en la directiva de

seguridad IP. El procesamiento de reglas se detiene cuando el tráfico coincide
con el tipo de tráfico especificado en un filtro de la lista a fin de aplicar la acción
de filtrado correspondiente. La última regla de filtro debería bloquear todo tipo de
tráfico entrante al servidor, excepto el tráfico que alguna regla anterior permite
específicamente.
19
2.9. Entradas del Registro para la protección de los controladores de
dominio
Al aplicar filtros IPSec en un controlador de dominio:
 Use un pequeño intervalo de puertos RPC dinámicos para permitir

el proceso de inicio de sesión de clientes
 Incluya puertos superiores al 50000
 Limite el intervalo de puertos RPC dinámicos mediante la
configuración de opciones del Registro en todos los controladores
de dominio
RPC es el protocolo que un programa utiliza para solicitar servicios de un

segundo programa en un sistema remoto. RPC seleccionará de forma dinámica
un puerto del intervalo 1024 a 65536. Para no permitir el tráfico de todos estos
puertos, configure todos los controladores de dominio de modo que utilicen un
intervalo mucho más pequeño de puertos RPC dinámicos para permitir el
proceso de inicio de sesión de clientes. Utilice un filtro IPSec para permitir
únicamente la comunicación en el pequeño intervalo de puertos, incluidos
puertos superiores al 50000. Para la mayoría de los entornos, con 50 puertos
RPC es suficiente. Si necesita más para admitir los equipos cliente del entorno,
habilite un intervalo mayor de puertos. Limite el intervalo de puertos RPC
dinámicos mediante la configuración de las siguientes opciones del Registro en
todos los controladores de dominio:
• Debe crearse la clave

KEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet si no
existe.
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\Ports
debe crearse y configurarse como REG_MULTI_SZ con un valor
que represente el intervalo de puertos que deben estar abiertos.
Por ejemplo, el valor 57901-57950 abrirá 50 puertos para el uso de
tráfico RPC.
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\PortsIn
ternetAvailable debe crearse y configurarse como REG_SZ con el
valor Y.
• La clave
HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\UseInt
ernetPorts debe crearse y configurarse como REG_SZ con el valor
Y.
Una vez realizados los cambios anteriores en el Registro, el servidor debe

reiniciarse.
20
Nota: estos cambios podrían afectar al rendimiento y se deben probar antes de
su implementación en producción. El número exacto de puertos que se abrirán
depende del entorno, así como de la función de servidor. Deben supervisarse los
tiempos de inicio de sesión de los clientes. Puede ser necesario abrir más
puertos si se deteriora el rendimiento en los inicios de sesión.
2.10. Cómo crear una directiva de seguridad IP
1. Abra GPMC
2. Modifique el GPO al que desea asignar la directiva de seguridad IP
3. Cree una o varias listas de filtros IPSec
4. Cree una o varias acciones de filtrado
5. Cree una directiva de seguridad IP
6. En la directiva de seguridad IP, cree una regla de seguridad IP para cada
lista de filtros que haya creado
7. Asigne la directiva de seguridad IP
Para crear una directiva de seguridad IP, realice estos pasos:
1. Abra Group Policy Management Console (Consola de

administración de directiva de grupo).
2. Modifique el objeto de directiva de grupo (GPO) al que desea
asignar la directiva de seguridad IP.
3. Cree una o varias listas de filtros IPSec.
4. Cree una o varias acciones de filtrado.
5. Cree una directiva de seguridad IP.
6. En la directiva de seguridad IP, cree una regla de seguridad IP
para cada lista de filtros que haya creado.
7. Asigne la directiva de seguridad IP.
También puede crear una directiva de seguridad IP y aplicarla al equipo local

mediante el complemento Administración de directivas de seguridad IP. Utilice
Directiva de grupo para asignar la directiva a varios equipos en una unidad
organizativa (OU).
Nota: cuando se crea una directiva de seguridad IP, ésta se encuentra

disponible en todo el dominio, no sólo en el GPO donde se creó. Esto significa
que puede crear una directiva de seguridad IP una sola vez y asignarla a varios
GPO del dominio.
21
2.11. Auditorías de seguridad
Los administradores deben establecer una directiva

de auditoría. Al establecer una directiva de
auditoría:
 Analice el modelo de amenazas

 Tenga en cuenta las capacidades del sistema y de los usuarios
 Pruebe y afine la directive
 Considere la supervisión centralizada de los registros
Cap7-06.jpg
Las auditorías de seguridad constituyen un componente importante del plan de

seguridad global para toda la compañía. En el momento en que se produce una
acción configurada para auditoría, la acción se graba en el registro de seguridad
del sistema, donde se almacena para su posterior consulta.
• Los administradores deben establecer una directiva de auditoría.

Una directiva de auditoría define los sucesos de seguridad que se
registran. Una parte importante del proceso para establecer una
directiva de auditoría es determinar los sucesos que se van a
auditar.
• La directiva de auditoría deberá estar basada en:

• El modelo de amenazas de la organización. Identifique y
asigne prioridades a las amenazas a las que se enfrenta la
organización.
• Las capacidades del sistema y de los usuarios. Las
auditorías pueden alertar sobre problemas de seguridad. A
menos que el registro de seguridad se revise
periódicamente o se supervise de forma activa, nunca se
descubrirán las infracciones de seguridad registradas.
• Pruebe y afine la directiva de auditoría hasta que se adapte
a las necesidades de la organización.
• Considere el uso de alguna de las siguientes herramientas para la

supervisión centralizada de los registros:
• Microsoft Operations Manager (MOM) proporciona funciones
completas de administración de sucesos, supervisión, alerta,
generación de informes y análisis de tendencias, además de
la consolidación de sucesos, funcionalidad de agente
inteligente y respuestas automáticas a sucesos.
• EventCombMT permite analizar simultáneamente los
registros de sucesos de varios equipos. El principal
inconveniente de utilizar EventCombMT es que copia el
registro de sucesos completo a través de la red para realizar
22
el análisis. EventCombMT se incluye en las herramientas
del Kit de recursos de Microsoft Windows Server 2003.
• La herramienta Log Parser permite extraer información de
archivos de prácticamente cualquier formato mediante
consultas de tipo SQL. Log Parser se incluye en las
herramientas del Kit de recursos de IIS 6.0.
• El servicio SNMP (Simple Network Management Protocol,
Protocolo simple de administración de redes) es un servicio
de Windows 2000, Windows XP y Windows Server 2003 que
permite enviar información de sucesos de seguridad desde
un equipo a una consola de administración SNMP remota
mediante capturas SNMP.
• MACS es una herramienta que puede supervisar y auditar
sistemas de manera centralizada.
2.12. Microsoft Audit Collection Services (MACS)
Cap7-07.jpg
MACS copia los sucesos en tiempo real en un servidor recolector centralizado

que es controlado por auditores. La información de los sucesos se transmite en
formato cifrado y se almacena en una base de datos SQL. MACS puede
proporcionar alertas de detección de intrusos en tiempo real y pueden utilizarlo
sistemas de administración, como MOM, para funciones de administración y de
alerta. Los datos almacenados en la base de datos SQL pueden emplearse para
la generación de informes y el análisis detallado.
Microsoft utiliza actualmente MACS a nivel interno, pero estará disponible como
descarga gratuita desde Internet prácticamente al mismo tiempo que el Service
Pack 1 de Windows Server 2003.
23
2.13. Configuración recomendada de directivas de auditoría para
servidores integrantes
Configuración recomendada para un entorno

Directiva de auditoría
de clientes corporativos
Auditar sucesos de inicio de sesión de cuenta Éxito
Auditar la administración de cuentas Éxito
Auditar el acceso del servicio de directorio Sólo si lo requiere el modelo de amenazas
Auditar sucesos de inicio de sesión Éxito
Auditar el acceso a objetos Sólo si lo requiere el modelo de amenazas
Auditar el cambio de directivas Éxito
Auditar el uso de privilegios Sin auditoría
Auditar el seguimiento de procesos Sólo si lo requiere el modelo de amenazas
Auditar sucesos del sistema Éxito
La Guía de seguridad de Windows Server 2003 recomienda distintas

configuraciones específicas de directivas de auditoría para los servidores, según
la función de éstos y el tipo de entorno en el que se utilizan. Active únicamente
la auditoría de errores si es necesario para el modelo de amenazas y si la
organización dispone de recursos para analizar auditorías de errores.
Algunas funciones de servidor para las que se recomiendan configuraciones

específicas de directivas de auditoría son:
• Línea de base de servidor integrante

• Controlador de dominio
• Servidor de infraestructuras
• Servidor de archivos
• Servidor de impresión
• Servidor IIS
• Servidor IAS (Internet Authentication Service, Servicio de
autenticación Internet)
• Servidor de Servicios de Certificate Server
• Host bastión
Algunos tipos de entornos para los que se recomiendan configuraciones

específicas de directivas de auditoría son:
• Cliente antiguo. Este entorno contiene los siguientes tipos de

equipos cliente: Windows 98, Windows NT 4.0 Workstation,
Windows 2000 Professional y Windows XP Professional.
24
• Cliente corporativo. Este entorno contiene los siguientes tipos de
equipos cliente: Windows 2000 Professional y Windows XP
Professional.
• Alta seguridad. Al igual que el entorno de clientes corporativos,
este entorno contiene equipos cliente con Windows 2000
Professional y Windows XP Professional. Sin embargo, este
entorno utiliza directivas de seguridad para clientes y servidores
más estrictas que las que se utilizan en el entorno de clientes
corporativos.
Las configuraciones de directivas de auditoría que se indican en la tabla son las

configuraciones mínimas recomendadas para todos los servidores integrantes
en un entorno de clientes corporativos.
25
3. Métodos para la protección de servidores IIS
En este tema se ofrecen recomendaciones y métodos para proteger los

servidores IIS de la red. Algunos de los conceptos específicos que se tratarán
son:
• Herramienta Bloqueo de seguridad de IIS

• URLScan
• Los 10 pasos más importantes para proteger IIS 5.x
• Mejoras de seguridad en IIS 6.0
• Grupos de aplicaciones de IIS 6.0
• Resumen de seguridad de IIS
3.1. Herramienta Bloqueo de seguridad de IIS
La herramienta Bloqueo de seguridad de

IIS desactiva las características que no
son necesarias para reducir el área
expuesta a ataques de IIS 4.0, IIS 5.0 e IIS
5.1.
Para proporcionar defensa en profundidad,

la herramienta Bloqueo de seguridad de
IIS se integra con URLScan, que contiene
plantillas personalizadas para cada función
de servidor compatible
La herramienta Bloqueo de seguridad de

IIS, junto con otras medidas de seguridad,
puede aumentar la seguridad de los
servidores Web.
• La herramienta Bloqueo de seguridad de

IIS desactiva las funciones innecesarias
de IIS 4.0, IIS 5.0 e IIS 5.1 en Windows NT
4.0, Windows 2000 y Windows XP. La
herramienta Bloqueo de seguridad de IIS
incluye varias plantillas, cada una de las
cuales corresponde a una función de
servidor distinta, como Microsoft Exchange
5.5 y 2000, Commerce Server, BizTalk®,
Small Business Server 4.5 y 2000,
SharePoint™ Portal Server, Extensiones
de servidor de FrontPage® y SharePoint Team Server. Si dispone de un
servidor con una función de servidor Web especializada, puede personalizar
una plantilla existente. Además de quitar componentes de IIS, la herramienta
26
Bloqueo de seguridad de IIS configura diversas opciones de seguridad de
IIS.
Cap7-08.jpg
Nota: IIS 6.0 se incluye con Windows Server 2003. IIS no se instala de forma
predeterminada en instalaciones predeterminadas nuevas de Windows Server
2003 Standard Edition y Enterprise Edition. Cuando un administrador habilita IIS,
se instala con el mismo conjunto mínimo de componentes y las opciones de
seguridad que la herramienta Bloqueo de seguridad de IIS proporciona para
versiones anteriores de IIS. Por este motivo, no hay una versión específica de la
herramienta para IIS 6.0. URLScan 2.5 no se incluye con IIS 6.0, ya que IIS 6.0
tiene características integradas que proporcionan una funcionalidad de
seguridad igual o superior a la que ofrecen la mayoría de las características de
URLScan 2.5.
• La herramienta Bloqueo de seguridad de IIS se integra con la herramienta

URLScan, que bloquea el procesamiento de direcciones URL no válidas por
parte de IIS. URLScan selecciona todas las solicitudes entrantes a un
servidor Web y las filtra en función de un conjunto de reglas. Puede
personalizar las reglas que URLScan utiliza según la función del servidor.
URLScan 2.0 se instala con la herramienta Bloqueo de seguridad de IIS.
3.2. Resultados de la herramienta Bloqueo de seguridad de IIS
Cap7-09.jpg
27
(X significa habilitado)
En la tabla anterior se muestran los servicios que están habilitados y los que
están deshabilitados después de ejecutar la herramienta Bloqueo de seguridad
de IIS para cada una de las siguientes funciones:
• Small Business Server 2000

• Exchange Server 5.5 (Outlook® Web Access)
• Exchange Server 2000 (OWA, PF Management, IM, SMTP, NNTP)
• SharePoint Portal Server
• Extensiones de servidor de FrontPage (SharePoint Team Services)
• BizTalk Server 2000
• Commerce Server 2000
• Servidor proxy
• Servidor Web estático
• Servidor Web dinámico (habilitado para ASP)
• Otras (servidor que no coincide con ninguna de las funciones
enumeradas)
• Servidor que no requiere IIS
Información adicional:
http://www.microsoft.com/technet/security/tools/locktool.asp (este sitio está en

inglés)
3.3. URLScan
• URLScan ayuda a impedir que lleguen solicitudes potencialmente dañinas

al servidor
• URLScan restringe los tipos de solicitudes HTTP que IIS procesará:
 Solicitudes de direcciones URL largas
 Solicitudes con juegos de caracteres alternativos
 Solicitudes que contienen métodos no permitidos
 Solicitudes que coinciden con algún patrón
• URLScan restringe las solicitudes Web que IIS procesará.

En muchos ataques contra servidores Web se utilizan
solicitudes Web no válidas. Por ejemplo, en los ataques de
saturación de búfer contra un servidor o aplicación Web se
utilizan solicitudes extremadamente largas para sobrescribir
datos en la memoria del servidor.
• Si un servidor Web no interpreta correctamente solicitudes

codificadas con un juego de caracteres alternativo, es
posible que las solicitudes omitan las restricciones del
servidor. Puede utilizarse una solicitud para engañar al
28
servidor Web de forma que permita el acceso a áreas de su
estructura de archivos a las que no debería proporcionarlo.
Algunos métodos HTTP no adecuados podrían permitir a
atacantes realizar acciones no permitidas. Por ejemplo, un
servidor Web que proporciona acceso a contenido estático
sólo necesita procesar las solicitudes GET, pero debería
rechazar las solicitudes PUT. URLScan bloquea muchos de
estos tipos de solicitudes. URLScan es totalmente
configurable y permite que un administrador determine las
solicitudes que se deben permitir y las que se deben
bloquear.
• IIS 6.0 contiene la mayor parte de las funciones de

URLScan y, por tanto, no se necesita URLScan para IIS 6.0
en la mayoría de los casos. Puede ejecutar URLScan en IIS
6.0 para permitir el bloqueo personalizado de solicitudes. El
documento disponible en la siguiente dirección URL
contiene información sobre cómo utilizar URLScan con IIS
6.0.
http://www.microsoft.com/technet/security/tools/urlscan.asp (este sitio
está en inglés)
Para ver una difusión Web sobre URLScan, consulte:

http://support.microsoft.com/?kbid=817807
3.4. Los 10 pasos más importantes para proteger IIS 5.x
29
Cap7-10.jpg
Deben protegerse los servidores IIS de los equipos cliente que pueden
conectarse a ellos. También deben protegerse las aplicaciones y sitios Web que
se ejecutan en cada uno de estos servidores IIS de las aplicaciones y sitios Web
que se ejecutan en los demás servidores IIS de una intranet corporativa. Las
siguientes acciones proporcionan mayor seguridad a IIS:
1. Refuerce el sistema operativo y aplique todas las revisiones de

seguridad pertinentes. Examine el sistema en busca de
actualizaciones de seguridad con Microsoft Baseline Security
Analyzer (MBSA).
2. Quite los componentes que no sean necesarios.
3. Ejecute la herramienta Bloqueo de seguridad de IIS (IIS 5.0).
4. Configure URLScan (IIS 5.0).
5. Coloque el contenido en una partición NTFS independiente.
6. Proteja los archivos mediante los permisos mínimos.
7. Exija el cifrado SSL para el tráfico Web confidencial.
8. Si es posible, no habilite los permisos de ejecución y de escritura
en el mismo sitio Web.
9. Ejecute las aplicaciones con protección de aplicaciones media o
alta.
10. Utilice filtros IPSec para permitir únicamente el tráfico necesario
(HTTP y HTTPS) al servidor Web. Utilice filtros para permitir sólo el
tráfico necesario entrante y saliente del servidor Web y refleje la
siguiente configuración:
• Permita todo el tráfico entrante a los puertos 80 y 443 en el

servidor Web.
30
• Permita todo el tráfico entre el servidor Web y todos los
controladores de dominio del mismo sitio que el servidor
Web para habilitar la autenticación y la autorización.
• Permita todo el tráfico entre el servidor Web y el servidor
MOM si el cliente One-Point se ejecuta en el servidor Web.
• Si administra el servidor Web mediante servicios de
terminal, permita todo el tráfico entrante al puerto TCP 3389.
• Bloquee todo el tráfico que las reglas anteriores no permitan
específicamente.
Para obtener información sobre la seguridad de aplicaciones Web, consulte:
http://msdn.microsoft.com/library/en-us/dnnetsec/html/ThreatCounter.asp (este
sitio está en inglés)
3.5. Mejoras de seguridad en IIS 6.0
IIS 6.0 está “bloqueado” inicialmente con los límites de contenido y tiempos de
espera más restrictivos de forma predeterminada
Característica Descripción
IIS 6.0 no se instala de forma predeterminada. Una instalación limpia
Servidor bloqueado
proporciona únicamente compatibilidad con archivos estáticos.
Lista de extensiones La instalación predeterminada no compila, ejecuta ni proporciona

de servicios Web servicio a archivos con contenido dinámico.
Cuenta
Los procesos de IIS se ejecutan con privilegios bastante más bajos
predeterminada con
si se inicia una sesión con la cuenta SERVICIO DE RED.
pocos privilegios
Autenticación de direcciones URL con el Administrador de autorización.

Autorización
Autenticación restringida y delegada.
Configure límites de longitud de direcciones URL y tiempos de espera.
Comprobación
Comprobación de si existe el archivo antes de intentar ejecutarlo.
de direcciones URL
Directorios virtuales no ejecutables.
Cajón de arena (sandboxing) mejorado de la aplicación. El código de
Aislamiento
terceros se ejecuta únicamente en el reciclaje de recursos y procesos
de procesos
de trabajo.
IIS 6.0 ofrece mejoras significativas en seguridad para los servidores Web. IIS
6.0 está bloqueado de forma predeterminada y limita el área expuesta a ataques
mediante una configuración de seguridad estricta. Además, se ha mejorado la
autenticación y la autorización. IIS 6.0 también ofrece capacidades de
administración mejoradas, administración mejorada con la metabase XML y
nuevas herramientas de línea de comandos. Algunas de las características
específicas son:
• Servidor bloqueado
31
• Lista de extensiones de servicios Web
• Cuenta predeterminada con pocos privilegios
• Autorización
• Comprobación de direcciones URL
• Aislamiento de procesos
Información adicional: Novedades de Servicios de Internet Information Server

6.0
http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/ii
s.mspx (este sitio está en inglés)
32
3.6. Grupos de aplicaciones de IIS 6.0
Cap7-11.jpg
 Los grupos de aplicaciones son conjuntos aislados de aplicaciones a los

que dan servicio los procesos de trabajo
 Si se produce un error en una aplicación, éste no afecta a la
disponibilidad de las aplicaciones que se ejecutan en otros grupos de
aplicaciones
 Cree grupos de aplicaciones independientes para aplicaciones que no
dependan entre sí
• Los grupos de aplicaciones son conjuntos aislados de aplicaciones

a los que dan servicio los procesos de trabajo. Al crear grupos de
aplicaciones y asignarles aplicaciones y sitios Web se puede
mejorar la disponibilidad y la confiabilidad de las aplicaciones y
sitios Web. Por ejemplo, podría crear un grupo de aplicaciones
para las aplicaciones Microsoft ASP.NET, otro grupo para las
aplicaciones Perl y otro para probar aplicaciones.
• Si se produce un error en una aplicación, éste no afecta a la
disponibilidad de las aplicaciones que se ejecutan en otros grupos
de aplicaciones. Como las aplicaciones están separadas entre sí
en grupos de aplicaciones, una aplicación no se ve afectada por
los problemas de aplicaciones de otros grupos.
• Cree grupos de aplicaciones independientes para aplicaciones que
no dependan entre sí. Normalmente, un grupo de aplicaciones
tiene asignado únicamente un proceso de trabajo, de manera que
33
un grupo de aplicaciones se puede considerar como un “proceso
de trabajo con nombre”.
Tenga en cuenta las siguientes directrices al configurar grupos de aplicaciones:
• Para aislar las aplicaciones Web pertenecientes a un sitio Web de

las aplicaciones Web pertenecientes a otros sitios Web que se
ejecutan en el mismo equipo, cree un grupo de aplicaciones
individual para cada sitio Web.
• Para mejorar la seguridad, configure una única cuenta de usuario
para cada grupo de aplicaciones. Utilice una cuenta con derechos
de usuario limitados, como Servicio de red en el grupo IIS_WPG.
• Si hay una versión de prueba de una aplicación en el mismo
servidor que la versión de producción de la aplicación, separe las
dos versiones en grupos de aplicaciones distintos. De esta manera
aísla la versión de prueba de la aplicación.
• En cuanto al diseño, si desea configurar una aplicación para que
se ejecute con su propio conjunto único de propiedades, cree un
grupo de aplicaciones único para dicha aplicación.
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pr
oddocs/deployguide/iisdg_eas_yquz.asp (este sitio está en inglés)
3.7. Resumen de seguridad de IIS
 Nueva arquitectura de IIS 6.0 para una mayor seguridad y confiabilidad

 Utilice las herramientas, consejos y actualizaciones de seguridad más
recientes para el servidor Web
 Manténgase informado y mantenga los sistemas actualizados
IIS 6.0 se instala con el tratamiento de solicitudes de páginas Web estáticas

habilitado y con todas las demás características de tratamiento de solicitudes
desactivadas. De esta forma se garantiza que los administradores de Windows
no se enfrenten a amenazas de seguridad innecesarias. Desde el momento en
que se instala IIS, el perfil de seguridad bloqueado de IIS 6.0 reduce el área
expuesta a ataques que los intrusos podrían utilizar. Las características de
instalación y habilitación de servicios de IIS 6.0 simplifican las tareas
administrativas asociadas a la administración de servicios de IIS en cuanto a
seguridad.
Compruebe que utiliza la versión más reciente de la herramienta Bloqueo de

seguridad de IIS y de URLScan en los servidores. La versión más reciente de la
herramienta Bloqueo de seguridad de IIS es la 2.1 e incluye la versión 2.0 de
URLScan. La versión 2.5 de URLScan está disponible como descarga
independiente. Asegúrese de que mantiene actualizados todos los servidores
con los Service Packs, revisiones y correcciones más recientes.
34
Para obtener más información:
http://www.microsoft.com/windowsserver2003/iis/evaluation/overview/previous.m
spx
http://www.microsoft.com/windowsserver2003/iis/evaluation/demos/default.mspx
http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/sgch08.as
p (estos sitios están en inglés)
35
4. Implementación de seguridad avanzada en el cliente
En este tema se describen las recomendaciones y técnicas avanzadas para

proteger los equipos cliente de la red. Algunos de los conceptos específicos que
se tratarán son:
• Directivas de restricción de software

• Aplicación de directivas de restricción de software
• Implementación de directivas de restricción de software
• Diseño de directivas de restricción de software
• Uso de plantillas de seguridad
• Uso de directivas de cuentas en el nivel de dominio
• Implementación de plantillas de seguridad
• Protección de clientes antiguos
• Situaciones de implementación
• Directrices de seguridad para usuarios
4.1. Directivas de restricción de software
Cap7-12.jpg
 La ejecución de código malintencionado supone un riesgo grave para la

seguridad
 Las directivas de restricción de software impiden que los usuarios
ejecuten código malintencionado:
• Se aplican a archivos ejecutables, contenido activo y
secuencias de comandos
• Se pueden distribuir con Directiva de grupo
Con el aumento del uso de redes e Internet en las actividades diarias de los
equipos de las compañías, las posibilidades de encontrarse con código
malintencionado son mayores que nunca. La colaboración se ha vuelto más
sofisticada debido al uso del correo electrónico, la mensajería instantánea y las
aplicaciones de igual a igual. A medida que aumentan estas oportunidades de
36
colaboración, también lo hace el riesgo de que virus, gusanos y otros tipos de
código malintencionado invadan los sistemas. El correo electrónico y la
mensajería instantánea pueden transportar código hostil no solicitado. El código
hostil puede adoptar numerosas formas: ejecutables (.exe) nativos de Windows,
macros en documentos de procesamiento de texto (.doc) o secuencias de
comandos (.vbs).
• La ejecución de código malintencionado representa un riesgo

grave para la seguridad. Los creadores de virus y gusanos
emplean a menudo estratagemas sociales a fin de engañar a los
usuarios para que los activen. Debido al gran número y variedad
de formas que puede adoptar el código, puede resultar difícil para
los usuarios saber qué pueden ejecutar de forma segura y qué no.
Cuando se activa el código malintencionado, puede dañar el
contenido de un disco duro, inundar una red con un ataque de
denegación de servicio (DoS, Denial Of Service), enviar
información confidencial a Internet o comprometer la seguridad de
un equipo.
• Las directivas de restricción de software impiden que los usuarios

ejecuten código malintencionado. Las directivas de restricción de
software determinan los programas que los usuarios pueden
ejecutar en un equipo. Al impedir que los usuarios ejecuten
programas no autorizados se puede garantizar que los usuarios no
creen puntos vulnerables. Es posible aplicar directivas de
restricción de software mediante directivas locales en equipos
independientes, pero son más eficaces cuando se incorporan a
una infraestructura de directivas de grupo basadas en dominios.
• Las directivas de restricción de software se aplican a
distintos tipos de programas, como archivos ejecutables,
contenido activo, secuencias de comandos e incluso
archivos DDL específicos.
• Las directivas de restricción de software pueden distribuirse
con Directiva de grupo.
Nota: aunque las directivas de restricción de software constituyen una

herramienta importante para mejorar la seguridad de los equipos, no sustituyen
a otras medidas de seguridad, como programas antivirus, servidores de
seguridad y listas de control de acceso restrictivas.
Threats and Countermeasures Guide:

http://www.microsoft.com/technet/security/topics/hardsys/TCG/TCGCH00.asp
(Este sitio está en inglés)
Using Software Restriction Policies to Protect Against Unauthorized Software:

http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.asp
37
4.2. Aplicación de directivas de restricción de software
Determine la configuración predeterminada para la directiva

de restricción de software:
• Restringida o Permitida
Determine las excepciones a la configuración predeterminada:
• Reglas hash
• Reglas de certificado
• Reglas de ruta de acceso
• Reglas de zona de Internet
Determine si se aplican varias reglas:
• Aplique la prioridad de reglas
Cap7-13.jpg
Determine la configuración predeterminada para la directiva de restricción

de software. Cuando configure una directiva de restricción de software en
un objeto de directiva de grupo (GPO), establezca el comportamiento
predeterminado para todas las aplicaciones que se ejecuten en equipos a
los que afecte el GPO. De forma predeterminada, una directiva de
restricción de software recién creada permite la ejecución de todas las
aplicaciones. Las reglas de una directiva de restricción de software definen
las excepciones a estas reglas predeterminadas. Por ejemplo, si la
directiva de restricción de software bloquea todas las aplicaciones, puede
utilizar las reglas para habilitar aplicaciones específicas.
Determine las excepciones a la configuración predeterminada. Hay

disponibles cuatro tipos de reglas de restricción de software que se
aplican en este orden:
1. Hash. Esta regla está basada en un identificador de cifrado que identifica de

forma única un archivo de aplicación específico independientemente de su
nombre o ubicación. Al crear una regla hash, se crea un hash del archivo
ejecutable de la aplicación. Cuando un usuario intenta ejecutar la aplicación, el
equipo del usuario comprueba el hash y aplica la directiva.
2. Certificado. Esta regla está basada en el certificado de una compañía de
software que tiene asignado la aplicación. Por ejemplo, si ha desarrollado una
aplicación personalizada, podría asignarle un certificado y configurar después la
regla de restricción de software para confiar en el certificado adecuado.
3. Ruta de acceso. Esta regla está basada en la ubicación del archivo
ejecutable. Si selecciona una carpeta, la regla afectará a todas las aplicaciones
38
incluidas en la carpeta. También puede crear un tipo especial de regla de ruta de
acceso que esté basado en ubicaciones del Registro. Prácticamente todas las
aplicaciones tienen una ubicación predeterminada en el Registro, donde se
almacena información específica de la aplicación. Puede crear una regla que
bloquee o habilite una aplicación según estas claves del Registro.
4. Zona de Internet. Esta regla controla el comportamiento de las aplicaciones
en función de la zona de Internet de donde se descarga el software. Por
ejemplo, si configura una regla que permita la ejecución de todas las
aplicaciones descargadas de la zona Sitios de confianza o una regla que impida
la ejecución de todas las aplicaciones descargadas de la zona Sitios
restringidos.
• Determine si se aplican varias reglas. La primera regla que

coincida con los criterios de la aplicación será la que se aplique.
Por ejemplo, si una regla hash habilita una aplicación, ésta se
ejecutará aunque se encuentre en una carpeta restringida por una
regla de ruta de acceso. Si una aplicación está restringida por una
regla de certificado, no se ejecutará aunque esté permitida por una
regla de ruta de acceso o de zona de Internet. Si las reglas de ruta
de acceso entran en conflicto, tendrá prioridad la más específica.
Por ejemplo, en el caso de un archivo de comandos VBS incluido
en la carpeta C:\Apps, una regla de ruta de acceso como
C:\Apps\*.VBS tendrá prioridad sobre *.VSB o C:\Apps. Una regla
de ruta de acceso como C:\Apps\Scripts tendrá prioridad sobre
C:\Apps.
4.3. Implementación de directivas de restricción de software
Recomendaciones Regla recomendada

Restrinja la ejecución de una versión determinada de un programa Regla hash
Restrinja la ejecución de un programa que siempre se instala en el Regla de ruta de acceso con
mismo directorio variables de entorno
Restrinja la ejecución de un programa que se puede instalar en Regla de ruta de acceso al
cualquier ubicación en un equipo cliente Registro
Identifique un conjunto de archivos de comandos en un servidor
Regla de ruta de acceso
central
Restrinja la ejecución de todos los archivos .vbs (excepto los
Regla de ruta con
ubicados en un directorio de archivos de comandos de inicio de
caracteres comodín
sesión)
Identifique un conjunto de archivos de comandos que se puedan
Regla de certificado
ejecutar en cualquier lugar
Permita la instalación de aplicaciones desde un servidor de Internet
Regla de zona
de confianza
 Opciones de configuración adicionales: Comprobación de archivos DLL,

aplicación de reglas a administradores y configuración de tipos de archivo
39
Las directivas de restricción de software proporcionan herramientas eficaces
para limitar las aplicaciones que pueden ejecutar los usuarios. No obstante, la
implementación de estas directivas puede resultar un proceso complejo. Aplique
las siguientes recomendaciones al implementar directivas de restricción de
software:
• Para permitir o impedir la ejecución de una versión determinada de

un programa, configure una regla hash, buscando el archivo
ejecutable y cree un hash.
• Para impedir la ejecución de un programa que siempre se instala
en la misma ubicación, cree una regla de ruta de acceso con
variables de entorno. Por ejemplo, para restringir Internet Explorer,
cree una regla de ruta de acceso que impida la ejecución de
%ProgramFiles%\Internet Explorer\iexplore.exe.
• Para identificar programas cuya ruta de instalación no conozca,
cree una regla de ruta de acceso al Registro. Por ejemplo, cree
una regla que permita la ejecución de una aplicación que almacene
su configuración en la clave
%HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\Ino
culateIT\6.0\Path\HOME%.
• Para habilitar un conjunto de archivos de comandos en un servidor
central, cree una regla de ruta de acceso. Por ejemplo, si todos los
archivos de comandos necesarios están ubicados en una carpeta
compartida denominada \\NOMBRE_SERVIDOR\Share, cree una
regla de ruta de acceso que permita la ejecución de todos los
archivos de comandos desde esta ruta de acceso.
• Para impedir la ejecución de todos los archivos .vbs, excepto
aquellos que se encuentren en un directorio de archivos de
comandos de inicio de sesión, cree dos reglas de ruta de acceso
con caracteres comodín. Por ejemplo, cree una regla que impida la
ejecución de *.VBS y, a continuación, una regla que establezca
\\NOMBRE_SERVIDOR\Share\*.VBS en Irrestricto. Se aplicará la
regla más específica para los archivos de comandos del directorio
adecuado.
• Para identificar un conjunto de archivos de comandos que pueden
ejecutarse en cualquier lugar, cree una regla de certificado. A
continuación, firme digitalmente todos los archivos de comandos
con un certificado de confianza.
• Para permitir la ejecución de todas las aplicaciones provenientes
de sitios de la zona Internet Sitios de confianza, configure una
regla de zona que permita la ejecución de las aplicaciones de
Sitios de confianza. A continuación, agregue el sitio a la lista de
sitios de confianza en todos los equipos cliente.
Opciones de configuración adicionales
• : Comprobación de archivos DLL. De forma predeterminada, las

reglas de directivas de restricción de software no se aplican a los
40
archivos DLL. Para mejorar la seguridad, puede habilitar la
comprobación de archivos DLL.
• Aplicación de reglas a administradores. Es posible que los
administradores necesiten ejecutar cualquier aplicación. Puede
utilizar la configuración de objetos de directiva de grupo (GPO)
para impedir la aplicación de directivas de restricción de software a
los administradores.
• Configuración de tipos de archivo. Las reglas de directivas de
restricción de software se aplican únicamente a un conjunto
predeterminado de tipos de archivo. Si necesita restringir otros
tipos de archivo, agregue la extensión de archivo a la lista
predeterminada.
4.4. Diseño de directivas de restricción de software
Cap7-14.jpg
 Objeto de directiva de grupo (GPO) o directiva de seguridad local

 Directiva de usuario o de equipo
41
 Nivel de seguridad predeterminado
 Configuración de las reglas necesarias
 Opciones de directiva
 Vinculación de la directiva a un sitio, dominio o unidad organizativa
Al diseñar las directivas de restricción de software, determine lo siguiente:
• Objeto de directiva de grupo (GPO) o directiva de seguridad local.

¿Debe aplicarse la directiva a muchos equipos o usuarios, o
únicamente al equipo local? Utilice un GPO si la directiva se aplica
a muchos equipos o usuarios de un dominio o a otro contenedor de
Active Directory. O bien, utilice la directiva de seguridad local si se
aplica únicamente al equipo local.
• Directiva de usuario o de equipo. ¿Debe aplicarse la directiva a

usuarios o a equipos? Elija una directiva de usuario si desea que la
directiva se aplique a un grupo específico de usuarios, por ejemplo,
al grupo de dominio Departamento de Marketing. O bien, elija una
directiva de equipo si desea que la directiva se aplique a un
conjunto de equipos y sus usuarios.
• Nivel de seguridad predeterminado. ¿Sabe las aplicaciones

específicas que los usuarios necesitan o pueden instalar cualquier
aplicación que elijan? Establezca el nivel de seguridad
predeterminado en No permitido si sabe todas las aplicaciones que
utilizarán los usuarios. A continuación, deberá crear reglas de
restricción de software para cada aplicación que los usuarios
deban ejecutar en sus equipos. Establezca el nivel de seguridad
predeterminado en Irrestricto si los usuarios pueden instalar
cualquier aplicación o si su principal preocupación es restringir la
ejecución de aplicaciones específicas. Después, deberá configurar
reglas para todas las aplicaciones no permitidas.
• Configuración de las reglas de directivas de restricción de

software. Para obtener información detallada sobre qué reglas
utilizar y cómo configurarlas, consulte el documento “Using
Software Restriction Policies to Protect Against Unauthorized
Software” en
http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rst
rplcy.asp (este sitio está en inglés).
• Opciones de directiva. Configure las opciones de directiva

adicionales.
• Vinculación de la directiva a un sitio, dominio o unidad

organizativa. La mejor manera de distribuir las directivas de
restricción de software es vincularlas a un objeto contenedor de
Active Directory. Tenga en cuenta los requisitos de las directivas
de restricción de software al diseñar la estructura de unidades
42
organizativas (OU) de Active Directory. Puede aplicar filtros a
objetos de directiva de grupo (GPO) para limitar la aplicación de
directivas de restricción de software. Puede establecer que una
parte de una unidad organizativa reciba un GPO si aplica un filtro
basado en la pertenencia a grupos. También puede emplear filtros
de Instrumental de administración de Windows (WMI) con Windows
XP para aplicar directivas de grupo a determinados equipos; por
ejemplo, a equipos con una versión o Service Pack específicos de
Windows.
Nota: cree siempre un GPO independiente para las directivas de restricción de

software. Si crea un GPO independiente para la configuración de la directiva,
puede deshabilitarlo en caso de emergencia sin que ello afecte al resto de la
configuración de seguridad.
4.5. Uso de plantillas de

seguridad
Las plantillas de seguridad son archivos

basados en texto que definen la
configuración de directivas para la
protección de equipos que se ejecutan
en la plataforma Windows
Cap7-15.jpg
Área de seguridad Descripción

Directivas de cuentas Directivas de contraseñas, de bloqueo de cuentas y Kerberos
Directiva de auditoría, asignación de derechos de usuario y opciones de
Directivas locales
seguridad
Configuración de los registros de aplicación, sistema y sucesos de
Registro de sucesos
seguridad
Grupos restringidos Pertenencia a grupos sensibles a la seguridad
Servicios del sistema Inicio y permisos para servicios del sistema
Registro Permisos para claves del Registro
Sistema de archivos Permisos para carpetas y archivos
Las plantillas de seguridad son archivos basados en texto que definen la

configuración de directivas de seguridad para equipos que se ejecutan en la
plataforma Windows. Con la herramienta Configuración y análisis de seguridad,
los administradores pueden seleccionar una plantilla de seguridad predefinida o
personalizada y aplicarla a un sistema según la función de éste.
• Puede aplicar plantillas de seguridad con Directiva de grupo. El uso
de Directiva de grupo permite aplicar la configuración de las
43
plantillas de forma centralizada y exigir la aplicación de esta
configuración aunque se modifique en un equipo.
• Puede combinar plantillas y aplicarlas a distintos niveles de la
estructura de Active Directory a fin de reducir el tiempo necesario
para administrar la configuración de seguridad.
• Las guías de configuración de seguridad de Windows contienen
plantillas recomendadas para diversas funciones comunes de los
equipos.
• La Guía de seguridad de Windows Server 2003 incluye 24
plantillas de seguridad. Puede utilizar estas plantillas para
establecer la configuración de seguridad de dominios, así
como la configuración de seguridad para diversas funciones
de servidor y entornos con distintos requisitos en seguridad
(incluidas las plantillas para clientes corporativos, de alta
seguridad y clientes antiguos).
• La Guía de seguridad de Microsoft Windows XP incluye
plantillas de seguridad para clientes corporativos (equipos
de escritorio y equipos portátiles), de alta seguridad
(equipos de escritorio y equipos portátiles) y para clientes
antiguos (cuentas, equipos de escritorio y equipos portátiles
con configuración corporativa y de alta seguridad).
• Las plantillas de seguridad contienen opciones de configuración
para las siguientes áreas:
• Directivas de cuentas
• Directivas locales
• Registro de sucesos
• Grupos restringidos
• Servicios del sistema
• Registro
• Sistema de archivos
44
4.6. Uso de directivas de cuentas en el nivel de dominio
Cap7-16.jpg
Medida
Opción Vulnerabilidad Posibles efectos
preventiva
Ejemplo de directiva de Los usuarios utilizan Los usuarios pueden tener
Utilice el valor
cuentas: Forzar el historial de nuevo la misma anotadas contraseñas
máximo
de contraseñas contraseña antiguas
Habilite esta
Ejemplo de directiva de Las contraseñas que
opción Los usuarios pueden no
cuentas: Las contraseñas no son complejas se
Indique a los recordar contraseñas
deben cumplir los requisitos pueden adivinar
usuarios que complejas
de complejidad fácilmente
utilicen frases
Los usuarios pueden
Si un administrador cambia
cambiar de Establezca 2 días
Ejemplo de directiva de la contraseña de un
contraseña varias para la opción
cuentas: Vigencia mínima de usuario, es posible que el
veces para poder Vigencia mínima
la contraseña usuario no pueda cambiarla
utilizar de nuevo una de la contraseña
durante 2 días
contraseña
Reduzca la
Ejemplo de directiva Los usuarios pueden caducidad de los
Mayor tráfico de red;
Kerberos: Forzar obtener vales de vales y exija una
incapacidad para
restricciones de inicio de sesión para servicios sincronización más
conectarse a los servidores
sesión de usuario no autorizados estricta de los
relojes
Las directivas de cuentas se implementan en el nivel de dominio. Si se

establecen directivas de cuentas en Active Directory en cualquier nivel distinto
del nivel de dominio, sólo se ven afectadas las cuentas locales en los servidores
integrantes. Si hay grupos que necesitan directivas de contraseñas
independientes, deben separarse en otro dominio o bosque en función de los
requisitos adicionales.
• La plantilla para clientes corporativos de nivel de dominio que

proporciona la Guía de seguridad de Windows Server 2003 incluye
las siguientes opciones de cuentas: Forzar el historial de
contraseñas = se recuerdan 24 contraseñas; Vigencia máxima de
la contraseña = 42 días; Vigencia mínima de la contraseña = 2
días; Longitud mínima de la contraseña = 8 caracteres; Las
contraseñas deben cumplir los requerimientos de complejidad =
habilitada; y Almacenar contraseñas con cifrado reversible para
45
todos los usuarios del dominio = deshabilitada. La plantilla de
seguridad no define las directivas Kerberos.
• La configuración de directivas de cuentas es fundamental para la

seguridad de los clientes y de la red. La plantilla de seguridad
necesita contraseñas complejas, lo que significa que las
contraseñas deben cumplir tres de estos cuatro requisitos de
complejidad: caracteres en mayúsculas (A–Z), caracteres en
minúsculas (a–z), 10 dígitos de base (0–9) y caracteres no
alfanuméricos (!, $, # o %). Además, una contraseña debe tener
seis caracteres como mínimo y no puede contener tres o más
caracteres del nombre de la cuenta del usuario.
• En la mayoría de los casos, las contraseñas complejas largas

proporcionan el mejor nivel de seguridad para las cuentas. Otra
opción es establecer un valor bajo de umbral de bloqueo de cuenta
de manera que las cuentas de usuario se bloqueen después de un
número bajo de intentos incorrectos de inicio de sesión. No
obstante, este método es problemático, ya que los usuarios no
pueden tener acceso a los recursos de la red si por equivocación
bloquean su propia cuenta o los atacantes pueden bloquear
muchas cuentas de usuario al intentar iniciar una sesión como
varios usuarios. Un método mejor es exigir contraseñas complejas
largas y establecer un umbral de bloqueo de cuenta bastante alto
de manera que el usuario pueda realizar varios intentos con la
contraseña.
http://www.microsoft.com/technet/security/topics/hardsys/TCG/TCGCH02.asp
46
4.7. Implementación de plantillas de seguridad
 Implemente plantillas de seguridad con directivas de grupo

 Examine las plantillas de seguridad de la Guía de seguridad de Windows
XP
 Importe las plantillas predeterminadas a un GPO y modifíquelas si es
necesario
 Implemente plantillas de seguridad con directivas de grupo

 Examine las plantillas de seguridad de la Guía de seguridad de Windows
XP
 Importe las plantillas predeterminadas a un GPO y modifíquelas si es
necesario
Configuración en la Configuración
Opción plantilla de Requisito de la compañía modificada en la
seguridad plantilla
Sólo unos pocos usuarios
Limite el acceso a
Tener acceso a este Administradores, necesitan tener acceso a los
grupos de seguridad
equipo desde la red Usuarios recursos compartidos en el
específicos
equipo
Los usuarios de equipos Conceda a los usuarios
Haga copia de
portátiles deben poder de equipos portátiles el
seguridad de
Administradores realizar copias de seguridad derecho de realizar
archivos
de archivos sin ser copias de seguridad de
y directorios
administradores archivos
Únicamente los usuarios con
Inicio de sesión tarjetas inteligentes pueden
interactivo: requerir No configurada iniciar una sesión en Habilite la opción
tarjeta inteligente estaciones de trabajo
administrativas
La opción más fácil y segura para implementar plantillas de seguridad es

mediante objetos de directiva de grupo (GPO) vinculados a objetos
contenedores de Active Directory, como sitios, dominios y unidades
organizativas (OU).
• Implemente plantillas de seguridad con directivas de grupo. La

Guía de seguridad de Microsoft Windows XP proporciona plantillas
para clientes corporativos y de alta seguridad. Estas plantillas se
pueden importar a un GPO, para después modificarlas e
implementarlas según sea necesario.
• Examine las plantillas de seguridad de la Guía de seguridad de
Microsoft Windows XP. Para ver una descripción de cada opción y
cómo las configura cada plantilla, consulte Threats and
Countermeasures Guide. La guía contiene consejos detallados
sobre cada opción de directiva, los puntos vulnerables de
seguridad asociados a esa opción y las distintas maneras en que
puede utilizarse la opción para mitigar los puntos vulnerables.
47
• Importe las plantillas predeterminadas a un GPO y modifíquelas si
es necesario. Importe a un GPO la plantilla de seguridad que más
se aproxime a sus requisitos de seguridad. Modifique la
configuración de la plantilla de seguridad para adaptarla a sus
requisitos. Implemente el GPO en los objetos contenedores
adecuados de Active Directory.
4.8. Protección de clientes antiguos
 Los clientes Windows 2000 pueden utilizar plantillas de seguridad

implementadas mediante Directiva de grupo
 Configure otros clientes con archivos de comandos o directivas:
 Secuencias de comandos de inicio de sesión
 Directivas del sistema
 Secuencias de comandos
Los clientes antiguos son equipos que ejecutan el sistema operativo Windows
2000 o versiones anteriores. La protección de estos clientes en la organización
representa un desafío adicional.
• Clientes Windows 2000. Puede configurar clientes Windows 2000

como clientes Windows XP. Algunas opciones de directiva son
diferentes entre estos sistemas operativos; por tanto, deberá
agrupar los clientes que ejecutan Windows 2000 y Windows XP en
unidades organizativas (OU) independientes. A continuación,
aplique objetos de directiva de grupo (GPO) distintos a cada OU.
• Otros clientes. Windows NT 4.0, Windows 95, Windows 98 y
Windows Millennium Edition no proporcionan el mismo nivel de
seguridad que Windows 2000 y Windows XP. Emplee los
siguientes métodos para la protección de estos clientes:
• Utilice secuencias de comandos de inicio de sesión.
Cuando un usuario inicia una sesión en un equipo con
Windows NT 4.0, puede utilizar secuencias de comandos de
inicio de sesión para configurar el equipo de forma
centralizada. Coloque estas secuencias de comandos en
una ubicación de red para su mantenimiento centralizado.
Las secuencias de comandos de inicio de sesión
proporcionan una funcionalidad limitada, ya que se ejecutan
en el contexto de seguridad del usuario. Los usuarios
también pueden impedir que se ejecuten estas secuencias
de comandos si desconectan el equipo de la red.
• Utilice directivas del sistema. Las directivas del sistema
se utilizaron en versiones anteriores a Windows 2000.
Aunque no son tan eficaces como las directivas de grupo, se
pueden seguir utilizando para automatizar la aplicación de
algunas opciones de seguridad.
• Secuencias de comandos. Puede utilizar secuencias de
comandos, incluidos archivos de proceso por lotes, como
48
ayuda para proteger todo tipo de clientes antiguos. El uso de
estas secuencias de comandos sólo ofrece seguridad
limitada, ya que los usuarios pueden impedir que se
ejecuten o deshabilitar opciones contenidas en estas
secuencias.
Para obtener una lista de todas las opciones predeterminadas para objetos
de directiva de grupo, consulte la hoja de cálculo Group Policy Object
Settings en:
http://www.microsoft.com/WindowsXP/pro/techinfo/productdoc/gpss.asp (este
sitio está en inglés).
4.9. Situaciones de implementación
Equipo cliente Ubicación y uso Configuración de seguridad
• La directiva impide la ejecución de todas las

Windows XP
aplicaciones, excepto Internet Explorer
Professional Lugar público para
• Implemente una plantilla de alta seguridad
(Equipo explorar la intranet
• Las directivas se configuran mediante la directiva de
independiente)
seguridad local
Windows XP Lugar público para aplicaciones, excepto Internet Explorer y Conexión a
Professional servidores Web de escritorio remoto
(Integrante de un correo electrónico y • Implemente una plantilla de alta seguridad
dominio) de terminal • Las directivas se configuran mediante objetos de
directiva de grupo asignados a unidades organizativas
• La directiva restringe sólo aplicaciones específicas
Windows XP y En una oficina
• Implemente una plantilla de seguridad para clientes
2000 Professional segura para realizar
corporativos y modifíquela según sea necesario
(Integrante de un actividades
• Las directivas se configuran mediante objetos de
dominio) empresariales
En una oficina
Windows XP aplicaciones (pero no se aplica a los administradores)
segura y para el
Professional • Implemente una plantilla de alta seguridad y
uso por parte de
(Integrante de un modifíquela según sea necesario
administradores de
dominio) • Las directivas se configuran mediante objetos de
dominios
Aplique directivas de seguridad restrictivas y plantillas de seguridad para mejorar

la seguridad de los clientes. Implemente siempre las directivas de seguridad más
restrictivas que permitan a los usuarios realizar sus tareas. La mayoría de los
entornos de red tienen implementan las estaciones de trabajo en varios
escenarios distintos.
Al diseñar la configuración de seguridad, tenga en cuenta lo siguiente:
• El sistema operativo del cliente
49
• Si el cliente es un equipo independiente o un integrante de un
dominio
• La ubicación del cliente (en un lugar público o una oficina segura)
• El uso del cliente (para explorar la red intranet, comprobar el correo
electrónico o realizar actividades empresariales)
4.10. Directrices de seguridad para usuarios
Cap7-17.jpg
Los usuarios pueden ser el vínculo más débil de la infraestructura de seguridad.

No obstante, los usuarios pueden adoptar medidas sencillas que ayuden a
proteger la infraestructura de la red. Pueden evitarse muchas infracciones de
seguridad si se instruye a los usuarios para que sigan estas directrices:
1. Elegir contraseñas complejas. Para esto es necesario que los

usuarios sepan en qué consiste una contraseña compleja y quizás
sea necesario enseñarles cómo pueden recordar contraseñas
complejas.
2. Proteger las contraseñas. Compruebe que los usuarios entienden
por qué son importantes las contraseñas para la seguridad.
50
3. Bloquear los equipos desatendidos. Los usuarios no deben dejar
desatendidos los equipos sin bloquear sus escritorios. Considere la
posibilidad de exigir esta configuración mediante un protector de
pantalla que bloquee automáticamente el escritorio después de un
período de inactividad.
4. No iniciar una sesión con una cuenta con privilegios. Si es posible,
los usuarios no deben tener acceso administrativo a sus equipos.
Si la organización necesita esta clase de acceso, asegúrese de
que los usuarios inician las sesiones con una cuenta sin privilegios
y, después, utilicen una característica de inicio de sesión
secundario para realizar las tareas administrativas.
5. Ejecutar sólo programas de confianza. Las directivas de restricción
de software pueden impedir que los usuarios ejecuten programas
no autorizados. Los usuarios también deben ser conscientes del
peligro de ejecutar programas no autorizados por la organización.
6. No abrir datos adjuntos sospechosos. Los servidores de correo y
las aplicaciones cliente pueden bloquear datos adjuntos
ejecutables, pero es posible que estos métodos no funcionen
correctamente. Los usuarios deben saber lo peligroso que puede
ser abrir datos adjuntos desconocidos.
7. No ser víctima de estratagemas sociales. Las estratagemas
sociales son técnicas que engañan a los usuarios para que pongan
en peligro la seguridad. Los usuarios deben ser conscientes de los
métodos de estratagemas sociales que los atacantes utilizan y
cómo responder ante tales métodos.
8. Revisar las directivas de seguridad de la organización. Asegúrese
de que las directivas de seguridad son fáciles de entender y que
los usuarios las consultan con regularidad.
9. No intentar suplantar la configuración de seguridad. Los usuarios
deben darse cuenta de que la configuración de seguridad se ha
implementado por un motivo y que intentar omitirla puede poner en
peligro la seguridad de la organización.
10. Informar sobre incidentes sospechosos. Los informes y la
documentación de estos incidentes permitirá investigarlos y
responder a ellos.
51
5. Métodos para proporcionar seguridad a clientes móviles
En este tema se proporcionan recomendaciones y métodos específicos para la

seguridad de los clientes móviles en un entorno empresarial. Algunos de los
conceptos específicos que se tratarán son:
• Tipos de clientes
• Desafíos de las directivas de grupo para clientes remotos
• Protección del acceso al correo electrónico para clientes remotos
• Compatibilidad con seguridad de clientes inalámbricos
• Prácticas de seguridad para clientes móviles
5.1. Tipos de clientes
Cap7-18.jpg
La estrategia para la protección de los clientes móviles depende del tipo de

cliente.
• Las principales preocupaciones respecto a clientes de red privada

virtual (VPN, Virtual Private Network) y de acceso telefónico son:
• Seguridad de los hosts. A menudo los clientes VPN no se
administran de forma centralizada.
• Autenticación. Resulta más conveniente la autenticación
mediante varios factores si los equipos cliente se
encuentran en instalaciones no seguras.
• Las principales preocupaciones respecto a clientes inalámbricos
son:
52
• Autenticación de los equipos. Debe limitar el acceso a
únicamente los equipos autorizados.
• Confidencialidad del tráfico de red. Debe asegurarse de que
el tráfico de la red inalámbrica está cifrado.
• Las principales preocupaciones respecto al acceso remoto al
correo son:
• Autenticación de los clientes. Es posible que los clientes se
conecten desde ubicaciones no seguras.
• Confidencialidad del tráfico de correo. Los clientes se
comunican con el servidor a través de Internet.
5.2. Desafíos de las directivas de grupo para clientes remotos
 Los clientes pueden no ser integrantes del

dominio:
 La directiva de grupo se aplica
únicamente a los integrantes del
dominio
 Considere el uso de una red privada
virtual con acceso limitado
 Considere el uso de Control de
cuarentena de acceso a la red
 La configuración de directivas de grupo sólo se puede actualizar cuando
los clientes se conectan
 Tenga en cuenta que se puede producir un retardo si la configuración de
directivas de grupo se aplica a través de vínculos lentos
Cap7-19.jpg
• Al proteger clientes VPN y de acceso telefónico, recuerde que estos

clientes pueden no pertenecer al dominio corporativo. Por tanto, es
posible que no pueda utilizar Directiva de grupo para configurar
automáticamente estos equipos cliente. Trate los clientes VPN y de
acceso telefónico como posibles amenazas para la red, ya que pueden
introducir virus y producir otros daños.
• Permita que sólo los integrantes del dominio se conecten a la VPN

corporativa. Esta opción garantiza que únicamente los equipos
administrados se conecten a la red.
• Cree una red independiente para los clientes VPN y de acceso
telefónico. Esto proporcionará un acceso limitado al resto de la red
corporativa.
• Utilice la característica Control de cuarentena de acceso a la red
de Windows 2003. Esta característica permite a un servidor de
Servicios de enrutamiento y acceso remoto (RRAS, Routing and
Remote Access Service) comprobar la configuración de seguridad
de un equipo cliente, restringir el acceso del cliente a la red
mientras las comprobaciones están en curso y desconectar el
53
cliente si la configuración de seguridad no cumple las directrices
corporativas.
• La configuración de directivas de grupo sólo se puede aplicar cuando los

clientes se conectan a la red corporativa. Esto significa que es posible
que los clientes móviles no tengan la configuración más segura de
directivas de grupo mientras no están conectados a la red o
inmediatamente después de conectarse.
• La configuración de directivas de grupo, incluida la configuración de
seguridad, se aplica cuando los clientes se conectan a la red corporativa.
Si esto se realiza a través de un vínculo lento, los usuarios pueden sufrir
retardos en las operaciones de red mientras se recupera y aplica la
configuración.
Consulte el documento Virtual Private Networks for Windows Server 2003 en

http://www.microsoft.com/windowsserver2003/technologies/networking/vpn/defau
lt.mspx (este sitio está inglés).
5.3. Protección del acceso al correo electrónico

para clientes remotos
 Acceso nativo a Outlook

 RPC sobre HTTP
 Microsoft Office Outlook Web Access (OWA):
 Métodos de autenticación
 Cifrado
 POP, IMAP y SMTP
 Outlook Mobile Access
Cap7-20.jpg
Cuando los usuarios móviles necesitan acceso seguro a los mensajes de correo
electrónico, pero no necesitan acceso total a la red corporativa mediante una red
privada virtual (VPN), es posible proporcionar únicamente acceso al correo
electrónico. Hay varias maneras de proporcionar acceso al correo electrónico:
• Acceso nativo a Outlook. El acceso nativo a Outlook permite a los

usuarios utilizar el cliente de Microsoft Outlook para establecer una
conexión al servidor mediante la Interfaz de programación de
aplicaciones de mensajería (MAPI, Messaging Application
Programming Interface). MAPI utiliza Llamadas a procedimiento
remoto (RPC) como el protocolo subyacente. La configuración de
servidores de seguridad convencionales para la compatibilidad con
el tráfico RPC puede ser difícil y afectar a la seguridad de estos
servidores. Microsoft Internet Security and Acceleration (ISA)
54
Server es un servidor de seguridad que realiza inspecciones del
tráfico RPC en las aplicaciones.
• RPC sobre HTTP. Outlook 2003 y Microsoft Exchange Server 2003
encapsulan el tráfico RPC dentro del tráfico HTTP. Cuando se
configuran clientes y servidores para utilizar RPC sobre HTTP, sólo
es necesario configurar el servidor de seguridad para que permita
el tráfico a través del puerto 80 ó 443, que son puertos estándar
abiertos en muchos servidores de seguridad.
• Outlook Web Access (OWA). OWA permite el acceso desde
cualquier explorador Web. Los usuarios móviles que utilizan OWA
no necesitan el cliente Outlook. La experiencia de los usuarios con
Exchange Server 2003 y OWA es prácticamente idéntica al uso del
cliente Outlook completo.
• OWA admite varios métodos de autenticación Web
estándar. Exchange Server 2003 incluye la autenticación
basada en formularios. Esto permite configurar un tiempo de
espera de manera que los clientes deban volver a
autenticarse después de un período de inactividad.
• Puede cifrar todo el tráfico OWA mediante SSL.
• POP, IMAP y SMTP. Estos protocolos de correo estándar pueden
proporcionar acceso al servidor de Exchange. Ninguno de estos
protocolos proporciona cifrado y no se recomiendan para
programas corporativos de correo electrónico. Estos protocolos
permiten el acceso únicamente a mensajes de correo electrónico.
No proporcionan acceso a calendarios ni a información de
contacto.
• Outlook Mobile Access. Este conjunto de funciones permite a los
usuarios con dispositivos móviles sincronizar la información de
correo electrónico y de contacto en sus dispositivos con Exchange
Server.
5.4. Compatibilidad con seguridad de clientes inalámbricos
 Windows XP:
 Ofrece compatibilidad nativa con
802.1x
 Windows 2000:
 802.1x está deshabilitado de forma
predeterminada
 La configuración requiere una
utilidad de terceros
 No se configuran perfiles específicos
de los usuarios
 No se puede utilizar Directiva de
grupo para la configuración
Cap7-21.jpg
55
La compatibilidad con redes inalámbricas varía según el sistema operativo que
el cliente inalámbrico utiliza. Windows XP y Windows 2000 admiten 802.1x, que
es un estándar diseñado para mejorar la seguridad de las redes de área local
inalámbricas.
• Compatibilidad con Windows XP. Windows Server 2003 y Windows
XP Professional ofrecen compatibilidad nativa con redes
inalámbricas 802.1x y admiten el uso de directivas de grupo a fin
de configurar opciones para redes inalámbricas.
• Compatibilidad con Windows 2000. Microsoft ha desarrollado un

cliente 802.1x para Windows 2000 Professional, Windows NT 4.0,
Windows 98 y Windows Millennium Edition. Algunos de los
problemas del cliente 802.1x para Windows 2000 son:
• Estado del servicio. El servicio 802.1x para Windows 2000
se instala en un estado deshabilitado.
• Función de configuración rápida. El cliente de Windows
2000 no contiene la función de configuración rápida. Debe
disponer de una utilidad de terceros para establecer la
configuración de 802.1x.
• Herramientas de terceros. Muchas utilidades de terceros
no guardan la configuración de 802.1x por cada usuario.
Esto podría permitir que varios usuarios inicien sesiones en
el mismo equipo y configuren un perfil común en lugar de un
perfil específico para cada usuario.
• Directiva de grupo. No se admite la configuración de redes
inalámbricas con Directiva de grupo.
5.5. Prácticas de seguridad para clientes móviles
56
Cap7-22.jpg
Tenga en cuenta las siguientes prácticas al configurar la seguridad de los

clientes remotos de la red.
• Exija a los usuarios remotos el uso de una conexión VPN cifrada

cuando utilicen un servicio de terminal u otras tecnologías de
control remoto. Este método reduce la configuración de los
servidores de seguridad para admitir más protocolos. También
normaliza el punto de entrada en la red de manera que sea posible
defender los puntos de entrada.
• Exija la autenticación mediante varios factores siempre que sea

factible para el acceso telefónico o de VPN. Implemente tarjetas
inteligentes o símbolos (token) para proporcionar un acceso
telefónico o de VPN más seguro.
• Exija una revisión periódica de los registros de auditoría

correspondientes a la actividad de acceso remoto. Toda la
actividad de acceso telefónico se guarda automáticamente en el
registro de sucesos del sistema. Compruebe con regularidad si se
produce acceso remoto no autorizado.
• Exija la autenticación 802.1x para redes inalámbricas. Especifique

el método de autenticación inalámbrica más seguro que admitan
todos los clientes inalámbricos y puntos de acceso inalámbrico. Si
es posible, exija el uso de la autenticación 802.1x para todo el
acceso inalámbrico de la red.
57
6. Resumen del capítulo
 Introducción a la seguridad avanzada de clientes y servidores

 Implementación de seguridad avanzada en el servidor
 Métodos para la protección de servidores IIS
 Implementación de seguridad avanzada en el cliente
 Métodos para proporcionar seguridad a clientes móviles
En este capitulo se han explicado los conceptos clave de seguridad avanzada de

clientes y servidores. La seguridad de clientes y servidores es fundamental para
todas las organizaciones, ya que una infracción de seguridad puede producir
pérdidas de datos y daños en la infraestructura de red, así como perjudicar su
reputación y sus ingresos. Aunque no es posible proteger totalmente una
organización, debe lucharse por proteger los clientes y servidores de la red.
En este capitulo se han tratado los temas siguientes:
• Introducción a la seguridad avanzada de clientes y servidores

En este tema se han mostrado las prácticas básicas de seguridad
para servidores y clientes más utilizadas. También se ha
proporcionado una introducción a las prácticas avanzadas de
seguridad para servidores y clientes que se han tratado en el resto
de este capitulo.
• Implementación de seguridad avanzada en el servidor

En este tema se han explicado métodos y técnicas avanzados para
la protección de los servidores. El tema se ha centrado en la
configuración de servicios en los servidores, la protección de los
servidores mediante filtros IPSec y las auditorías de seguridad.
• Métodos para la protección de servidores IIS

En este tema se han ofrecido recomendaciones y métodos para
proteger los servidores IIS. También se han descrito herramientas
y métodos para la protección de servidores IIS 5.x e IIS 6.0.
• Implementación de seguridad avanzada en el cliente

En este tema se han descrito técnicas avanzadas para proteger
equipos cliente. En el tema se han examinado las directivas de
restricción de software, las plantillas de seguridad, las directivas de
cuentas de dominio y cómo reforzar los clientes antiguos. También
se han mostrado situaciones de implementación y directrices de
seguridad para los usuarios.
• Métodos para proporcionar seguridad a clientes móviles

En este tema se han explicado recomendaciones y métodos para
proporcionar seguridad a clientes móviles en un entorno
empresarial. Algunos de los conceptos tratados son los tipos de
clientes, los desafíos de las directivas de grupo para clientes
remotos, los desafíos de seguridad para clientes inalámbricos y las
recomendaciones de seguridad para clientes móviles.
58
8. Pasos siguientes
1. Mantenerse informado sobre la seguridad

 Suscribirse a boletines de seguridad:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
 Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/security/guidance/
2. Obtener aprendizaje de seguridad adicional
 Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/seminar/events/security.mspx
 Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/learning/ (este sitio está en inglés)
• En los pasos siguientes es necesario que vaya al sitio Web de Microsoft

para:
 Obtener la información sobre seguridad más reciente.
 Obtener aprendizaje de seguridad adicional.
Para obtener más información
 Sitio de seguridad de Microsoft (todos los usuarios)

 http://www.microsoft.com/security
 Sitio de seguridad de TechNet (profesionales de IT)

 http://www.microsoft.com/technet/security
 Sitio de seguridad de MSDN (desarrolladores)

 http://msdn.microsoft.com/security
Hay más información técnica para profesionales de tecnología de la información

y desarrolladores en los sitios Web siguientes:
• Sitio de seguridad de Microsoft (todos los usuarios)

• http://www.microsoft.com/security (este sitio está en inglés)
• Sitio de seguridad de TechNet (profesionales de IT)

• http://www.microsoft.com/technet/security
• Sitio de seguridad de MSDN® (desarrolladores)

• http://msdn.microsoft.com/security (este sitio está en inglés)
59
9. Práctica A: Creación de una directiva de seguridad IP
Visualización de la directiva de cuentas del dominio

Guía Pasos
EN DENVER Domain Controller
En esta práctica va a utilizar Group Policy 1. Inicio | Herramientas administrativas |
Management Console (GPMC) para Group Policy Management.
asignar una directiva de seguridad IP a 2. En la vista de árbol de GPMC, en la parte
controladores de dominio. Ya ha instalado izquierda, expanda Forest:nwtraders.msft,
GPMC en su equipo. La Guía de seguridad Domains (Dominios) y el nodo
de Windows Server 2003 contiene una lista nwtraders.msft y, después, haga click en
de las opciones recomendadas para limitar Domain Controllers (Controladores de
el tráfico de red entrante y saliente de los dominio).
controladores de dominio en un entorno de 3. Haga click con el botón secundario del mouse
alta seguridad. Hoy va a implementar estos en nwtraders.msft y seleccione Create and
filtros recomendados; para ello, cree un Link a GPO Here (Crear y vincular aquí un
objeto de directiva de grupo (GPO) que objeto de directiva de grupo) en el menú
contenga la directiva IPSec y asigne contextual.
después esta directiva al GPO 4. En el cuadro de texto New GPO (Nuevo objeto
Controladores de dominio. A medida que de directiva de grupo), escriba Seguridad de
cree la nueva directiva, ésta se vinculará controladores de dominio y, a continuación,
automáticamente al GPO. En lugar de haga click en OK (Aceptar).
hacer esto, podría crear primero la directiva 5. En el árbol de la consola, haga click con el
y vincularla más adelante al GPO botón secundario del mouse en Seguridad de
Controladores de dominio. controladores de dominio y, después, haga
click en Edit (Modificar).
6. En Configuración del equipo, expanda
Configuración de Windows, expanda
Configuración de seguridad y, a
continuación, haga click en Directivas de
seguridad IP en Active Directory
(nwtraders.msft).
60
El primer paso consiste en crear una nueva 7. Haga click con el botón secundario del mouse
directiva. en Directivas de seguridad IP y, a
Al crear la directiva, deshabilite la regla de continuación, haga click en Crear directiva de
respuesta predeterminada. De esta forma seguridad IP.
se garantiza el bloqueo de todas las 8. En el Asistente para directivas de seguridad
comunicaciones que no coinciden con los IP, haga click en Siguiente.
filtros. 9. En la página Nombre de la directiva de
Después de crear la directiva, puede definir seguridad IP, en el cuadro Nombre, escriba
inmediatamente su configuración. Esta Domain Controllers IPSec Policy (Directiva
directiva incluirá una sola regla de IPSec Controladores de dominio) y, a
seguridad, que permitirá únicamente el continuación, haga click en Siguiente.
tráfico de red seleccionado. 10. En la página Peticiones para la
Observe que la regla no especifica un túnel comunicación segura, desactive la casilla de
ya que define las comunicaciones directas verificación Activar la regla de respuesta
entrantes y salientes de los controladores predeterminada, haga click en Siguiente y,
de dominio. después, en Finalizar.
11. En el cuadro de diálogo Propiedades de
Directiva IPSec Controladores de dominio,
haga click en Agregar.
12. En el cuadro de diálogo Asistente para reglas
de seguridad, haga click en Siguiente.
13. En la página Punto final del túnel, haga click
en Siguiente.
14. En la página Tipo de red, haga click en
Siguiente.
61
El siguiente paso es agregar la lista de 15. En la página Lista de filtros IP, haga click en
filtros que define qué es el tráfico permitido. Agregar.
Agregue el primer filtro para permitir 16. En el cuadro de diálogo Lista de filtros IP, en
conexiones a las carpetas compartidas en el cuadro Nombre, escriba Proteger el tráfico
los controladores de dominio mediante de los controladores de dominio y haga
alojamiento directo. Este método utiliza los click en Agregar.
puertos TCP y UDP 445 de su equipo para 17. En Asistente para filtros IP, haga click en
establecer las conexiones. Las conexiones Siguiente.
pueden provenir de cualquier puerto de 18. En el cuadro Descripción, escriba CIFS/SMB
cualquier otro equipo. TCP, asegúrese de que está seleccionada la
opción Reflejado y, a continuación, haga click
en Siguiente.
19. En el cuadro de dirección Origen, haga click
en Cualquier dirección IP y, después, en
Siguiente.
20. En el cuadro de dirección Destino, haga click
en Mi dirección IP y, después, en Siguiente.
21. En el cuadro Seleccione un tipo de
protocolo, haga click en TCP y, a
continuación, en Siguiente.
22. En la página Puerto de protocolo IP,
compruebe que está seleccionada la opción
Desde cualquier puerto, haga click en A este
puerto, escriba 445, haga click en Siguiente
y, por último, haga click en Finalizar.
23. En Lista de filtros IP, haga click en Agregar.
24. En el Asistente para filtros IP, haga click en
Siguiente.
25. En el cuadro Descripción, escriba Servidor
CIFS/SMB UDP, asegúrese que está
seleccionada la opción Reflejado y, a
continuación, haga click en Siguiente.
26. En el cuadro de dirección Origen, haga click
en Cualquier dirección IP y, después, en
Siguiente.
27. En el cuadro de dirección Destino, haga click
en Mi dirección IP y, después, en Siguiente.
28. En el cuadro Seleccione un tipo de
protocolo, haga click en UDP y, a
continuación, en Siguiente.
29. En la página Puerto de protocolo IP,
compruebe que está seleccionada la opción
Desde cualquier puerto, haga click en A este
puerto, escriba 445, haga click en Siguiente
y, por último, haga clic en Finalizar.
62
A continuación, debe establecer la acción 30. En el cuadro de diálogo Lista de filtros IP,
para el tráfico que coincide con los filtros. haga click en Aceptar.
Permita que se procese este tráfico. 31. En la página Lista de filtros IP, haga click en
Por último, debe asignar la directiva IPSec Proteger el tráfico de los controladores de
que contiene el objeto de directiva de dominio y, a continuación, en Siguiente.
grupo para activarla. 32. En la página Acción de filtrado, haga click en
Permit y, a continuación, en Siguiente.
33. En la página Finalización del Asistente para
reglas de seguridad, desactive la casilla de
verificación Modificar propiedades y,
después, haga click en Finalizar.
34. En el cuadro de diálogo Propiedades de
Domain Controllers IPSec Policy,
compruebe que está activada la casilla de
verificación Proteger el tráfico de los
controladores de dominio y, a continuación,
haga click en Aceptar.
35. En el Editor de objetos de directiva de grupo,
haga clic con el botón secundario del mouse
en Domain Controllers IPSec Policy y,
después, haga click en Asignar.
36. Cierre el Editor de objetos de directiva de
grupo.
Como sólo ha definido los dos primeros 37. En Group Policy Management, haga click con
filtros, si aplicó esta directiva de grupo al el botón secundario del mouse en Seguridad
controlador de dominio no se permitirán de controladores de dominio y, después,
todas las comunicaciones necesarias. desactive Link Enabled (Vínculo habilitado).
Desvincule el objeto de directiva de grupo 38. Cierre Group Policy Management.
(GPO) de la unidad organizativa (OU) 39. Abra una ventana de símbolo del sistema.
Controladores de dominio. Siempre puede
40. En el símbolo del sistema, escriba gpupdate y
volver a vincularlo más adelante, después
de haber definido todos los filtros IPSec presione ENTRAR.
restantes. 41. Cierre la ventana de símbolo del sistema.
63

7-Seguridad Avanzada de Clientes y Servidores

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

7-Seguridad Avanzada de Clientes y Servidores

Încărcat de

Drepturi de autor:

Formate disponibile

Seguridad avanzada de clientes y servidores

Requisitos previos para el capítulo

• Experiencia práctica con los sistemas operativos de cliente y de servidor

• Introducción a la seguridad avanzada de clientes y servidores

La seguridad de clientes y servidores es fundamental para todas las

El primer tema de este capítulo es una introducción a la seguridad avanzada de

• Prácticas básicas de seguridad para Active Directory. Este tema

• Prácticas básicas de seguridad para servidores. Este tema

• Prácticas básicas de seguridad para clientes. Este tema contiene

• Prácticas avanzadas de seguridad para clientes y servidores. Este

Antes de ofrecer una introducción a los métodos y técnicas de seguridad

Algunas prácticas básicas de seguridad para Active Directory son:

• Establezca límites seguros de Active Directory. En las redes de

• Utilice una jerarquía de unidades organizativas (OU) basada en

• Establezca prácticas administrativas seguras. Configure las

• Refuerce el Sistema de nombres de dominio (DNS). DNS forma

Algunas prácticas básicas de seguridad del servidor son:

• Aplicar los Service Packs más recientes y todas las revisiones de

• Restringir el acceso físico y de red a los servidores.

Algunas prácticas básicas de seguridad del cliente son:

• Aplicar los Service Packs más recientes y todas las revisiones de

• Utilizar directivas de grupo para reforzar los clientes.

• Utilizar software antivirus.

• Instruir a los usuarios.

La guía de seguridad de Windows XP provee tres escenarios: los clientes

Clientes de seguridad alta

Entorno Stand – Alone

La guía de seguridad de Windows XP es similar a la de Windows 2003 Server,

Adicionalmente a las plantillas de seguridad, se pueden utilizar las plantillas

La guía también hace uso de una nueva característica de la política llamada

Se recomienda no agregar a los usuarios al grupo local de administradores.

En este tema se describen diversos métodos y técnicas que pueden utilizarse

• Servicios de servidor que es conveniente deshabilitar

2.1. Servicios que es conveniente deshabilitar

Una de las prácticas básicas de seguridad del servidor consiste en deshabilitar

Puede utilizar Directiva de grupo para deshabilitar servicios en servidores. Antes

• Los servidores pueden asumir varias funciones en las compañías que

Nota: Firewall de Windows debe estar habilitado siempre en equipos que se

2.3. Servicios que no se deben deshabilitar

Algunos servicios son necesarios para el funcionamiento correcto de Windows.

2.4. Determinar las dependencias de los servicios

 Determine las dependencias de un servicio antes de deshabilitarlo

 Determine las dependencias de un servicio antes de deshabilitarlo.

Cómo determinar las dependencias de un servicio:

1. Inicie la herramienta Administración de equipos.

 Las plantillas de seguridad contienen opciones que

 Una de las formas más eficaces de configurar servicios en servidores

Para utilizar Directiva de grupo a fin de configurar servicios en servidores

1. Utilice Directiva de grupo para aplicar la plantilla de seguridad Línea de

2.6. Protección de servidores mediante filtros IPSec

 En general, bloquee todo el tráfico entrante y saliente del servidor,

• Bloquee todo el tráfico entrante y saliente del servidor, excepto el

• Pruebe la directiva de seguridad IP antes de implementarla. La

• Utilice el complemento Administración de directivas de seguridad

2.7. Filtros IPSec para controladores de dominio

Puerto de Puerto de Dirección Dirección de

• Hay varios filtros IPSec específicos que deben crearse en los

• Esta tabla se muestra en el capítulo 4 de la Guía de seguridad de

Servicio Protocolo Puerto de Puerto de Dirección Dirección Acción Reflejado

UDP Cualquiera 53 Cualquiera Me Permitir Sí

Servidor TCP Cualquiera 88 Cualquiera Me Permitir Sí

Servidor LDAP TCP Cualquiera 389 Cualquiera Me Permitir Sí

UDP Cualquiera 389 Cualquiera Me Permitir Sí

TCP Cualquiera 636 Cualquiera Me Permitir Sí