Implementacin de la

seguridad en el servidor
en Windows 2000 y
Windows Server 2003
Juan Antonio Daz
Consultor de Infraestructura
Microsoft Ibrica S.R.L.

Requisitos previos para la

sesin

Experiencia prctica con Windows

Server 2000 o Windows Server 2003
Experiencia con las herramientas de
administracin de Windows
Conocimientos de los conceptos relativos
a Active Directory y Directivas de grupo

Nivel 200

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Consideraciones sobre seguridad

para las compaas pequeas y
medianas
Servidores
con diversas
funciones

Recursos limitados
para implementar
soluciones seguras

Utilizacin
de sistemas
antiguos

Consecuencias
legales

Amenaza interna
o accidental

El acceso fsico
anula muchos
procedimientos
de seguridad

Carencia de
experiencia en
seguridad

Principios de la seguridad de
servidor Confidencialidad
Principios
de seguridad

Integridad

Disponibilidad

La confidencialidad garantiza la proteccin del

acceso a la informacin
La integridad asegura que la informacin no
haya sido modificada
La disponibilidad asegura el acceso inmediato a
la informacin

Defensa en profundidad

El uso de una solucin en niveles:

Aumenta la posibilidad de que se detecten los intrusos

Disminuye la oportunidad de que los intrusos logren su
propsito

Datos
Aplicacin

ACL, cifrado
Refuerzo de las aplicaciones, antivirus

Red interna

Refuerzo del sistema operativo,

administracin de revisiones,
autenticacin, HIDS
Segmentos de red, IPSec, NIDS

Permetro

Servidores de seguridad,
sistemas de cuarentena en VPN

Host

Seguridad fsica
Directivas,
procedimientos
y concienciacin

Guardias de seguridad, bloqueos,

dispositivos de seguimiento
Programas de aprendizaje
para los usuarios

Modelos de amenazas
y equilibrio de seguridad

Modelos de amenazas

Documente el entorno

Segregue los sistemas

Segregue los sistemas en funcin de las aplicaciones y los requisitos

de seguridad
Compruebe que los requisitos de seguridad entre los sistemas de
confianza son equivalentes
Compruebe que los sistemas menos sensibles dependen de los que
lo son ms en lo que respecta a la seguridad

Limite el entorno y los privilegios

Realice un anlisis de lnea de base de los sistemas y el software

Utilice DFD para ilustrar el flujo de datos, la interaccin del sistema y
las amenazas

Asigne cuentas con los mnimos permisos posibles

Limite y proteja la comunicacin
Deshabilite o quite los servicios y puertos que no se utilizan

Equilibrios relativos a la seguridad

La seguridad requiere un equilibrio entre

la seguridad y la facilidad de uso

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Prcticas bsicas de seguridad

del servidor
Aplique los Service Packs ms
recientes y todas las revisiones
de seguridad disponibles
Utilice directivas de grupo para
reforzar los servidores

- Deshabilite los servicios que no sean

necesarios
- Implemente directivas de contraseas
seguras
- Deshabilite la autenticacin de
LAN Manager y NTLMv1

Restrinja el acceso fsico y de red

a los servidores

Administracin de las
actualizaciones de software

Implemente una solucin de administracin de

revisiones para protegerse contra las vulnerabilidades
Tipo de
usuario

Escenario

Eleccin
del usuario

Usuario
independiente

Todos los escenarios

Windows
Update

Sin servidores de Windows

Windows
Update

Tiene entre uno y tres servidores de Windows y un administrador de IT

SUS

Desea una solucin de administracin de revisiones con un control

bsico que actualice Windows 2000 y las versiones ms recientes
de Windows

SUS

Desea una solucin de administracin de revisiones flexible

con un mayor control para aplicar revisiones, actualizar y distribuir
todo el software

SMS

Pequea
compaa

Compaa
grande o
mediana

Asista a una sesin de un programa de aprendizaje

sobre administracin de revisiones o repase los
consejos dados en:
http://www.microsoft.com/latam/technet/seguridad/
default.asp

Clasificaciones de la gravedad
de las revisiones y calendarios
Clasificacin
de la
gravedad

Definicin

Calendarios recomendados
para la aplicacin de
revisiones

Crtico

Su aprovechamiento podra permitir la

propagacin de un gusano de Internet como
Code Red o Nimda sin intervencin del
usuario

En 24 horas

Importante

Su aprovechamiento podra comprometer la

confidencialidad, integridad o disponibilidad
de los datos de los usuarios o la integridad o
disponibilidad de los recursos de
procesamiento

En un mes

Moderada

Su aprovechamiento es grave pero se ve

mitigado en un grado significativo por factores
como la configuracin predeterminada, la
auditora, la necesidad de intervencin del
usuario o su dificultad de aplicacin

Dependiendo de la disponibilidad
prevista, espere al siguiente
Service Pack o continuidad de
revisiones que incluya la revisin
o implemntela antes de cuatro
meses

Su aprovechamiento es extremadamente
difcil o sus efectos son mnimos

Dependiendo de la disponibilidad
prevista, espere al siguiente
Service Pack o continuacin de
revisiones que incluya la revisin
o implemntela antes de un ao

Baja

Administracin eficaz
de revisiones
Coherente y
repetible

Procesos

Tecnologa

Productos, herramientas
y automatizacin

Personas

Conocimientos,
funciones
y responsabilidades

Recomendaciones para reforzar

los servidores

Cambie el nombre de las cuentas

integradas Invitado y Administrador
Restrinja el acceso a las cuentas de
servicio integradas y las que no sean
del sistema operativo
No configure un servicio para que inicie
sesin con una cuenta de dominio
Utilice NTFS para proteger los archivos
y carpetas

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Componentes de Active
Directory

Bosque

Un bosque funciona
como lmite de
seguridad en Active
Directory

Dominio
Unidad organizativa
Directivas de grupo

Una directiva de grupo

es una herramienta
clave para implementar
y administrar la
seguridad de una red

Diseo de un plan de seguridad

de Active Directory

Analice el entorno

Centro de datos de intranet

Sucursal
Centro de datos de extranet

Realice un anlisis de las amenazas

Identifique las amenazas para Active Directory

Identifique los tipos de amenazas

Identifique el origen de las amenazas

Determine medidas de seguridad para las

amenazas
Establezca planes de contingencia

Establecimiento de lmites
seguros de Active Directory
Especifique lmites
administrativos y de seguridad
Disee una estructura de
Active Directory en funcin de
los requisitos de delegacin
Implemente lmites de
seguridad basados en la gua
de recomendaciones

Fortalecimiento de la configuracin
de las directivas de dominio
Refuerce la configuracin del GPO
Directiva de dominio predeterminada o
cree un GPO nuevo en el nivel de dominio
Compruebe que las directivas de cuentas
y contraseas satisfacen los requisitos de
seguridad de su organizacin
Revise la configuracin de
auditora en los objetos de
Active Directory importantes

Establecimiento de una jerarqua

de unidades organizativas basada
en funciones

Una jerarqua de
unidades organizativas
basada en funciones
de servidor:

Directiva
de dominio

Directiva de lnea
de base de servidor
integrante

Simplifica la
administracin
Directiva de
de la seguridad
servidores
de impresin
Aplica la configuracin
Directiva de
de directivas de
servidores
de archivos
seguridad a los
servidores y a otros
Directiva de
servidores
IIS
objetos en cada
unidad organizativa

Dominio

Servidores
integrantes

Diseo de
dominios

Controladores
de dominio

Directiva de
controladores de dominio
Administrador
de operaciones
Servidores de impresin
Administrador
de operaciones
Servidores de archivos
Administrador
de servicios
Web
Servidores Web

Demostracin 1
Creacin de una estructura
de unidades organizativas
y aplicacin de una plantilla
de seguridad
Creacin de una estructura
de unidades organizativas
Delegacin del control a un
grupo administrativo
Aplicacin de la plantilla
de seguridad de dominio

Cmo crear una jerarqua de

unidades organizativas para
administrar y proteger servidores
1.
2.

3.

4.

Cree una unidad organizativa denominada

Servidores integrantes
Cree otras unidades organizativas en
Servidores integrantes para cada funcin
de servidor
Mueva cada objeto servidor a la unidad
organizativa apropiada de acuerdo
con su funcin
Delegue el control de cada unidad
organizativa basada en funciones
al grupo de seguridad apropiado

Recomendaciones de
administracin
Distinga entre las funciones
administrativas de datos y de
servicios
Establezca recomendaciones
para administrar de forma
segura los datos y servicios
de directorio
Delegue los permisos
mnimos requeridos

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Seguridad de
Active Directory

Aplicar la
directiva de
lnea de base
de servidores
integrantes

Procedimientos de refuerzo de la seguridad

Informacin general sobre el

refuerzo de servidores
Servidores de
infraestructuras
Servidores de impresin
y archivos

Servidores IIS

Servidores RADIUS (IAS)

Servidores de Servicios
de Certificate Server

Hosts bastiones

Aplique la configuracin de seguridad de lnea

de base a todos los servidores integrantes
Aplique opciones de configuracin adicionales
a las funciones de servidor especficas
Utilice GPResult para asegurarse de que
la configuracin se aplica correctamente

Aplique una
configuracin
de seguridad
incremental basada
en funciones

Plantilla de seguridad Lnea de

base de servidor integrante

Modifique y aplique la plantilla de

seguridad Lnea de base de servidor
integrante a todos los servidores
integrantes
Opciones del la plantilla de seguridad
Lnea de base de servidor integrante:

Directiva de auditora
Asignacin de derechos de usuario
Opciones de seguridad
Registro de sucesos
Servicios del sistema

Demostracin 2
Uso de MBSA y aplicacin de
una plantilla de seguridad
Uso de MBSA para crear un informe
Presentacin de la plantilla de seguridad
Lnea de base de servidor integrante
Aplicacin de la plantilla de seguridad
Lnea de base de servidor integrante
Uso de MBSA para comprobar
que se ha aplicado la plantilla

Cmo utilizar MBSA

1.
2.

3.
4.
5.

Abra MBSA y seleccione Scan a

computer
En la pgina Pick a computer to scan,
escriba la direccin IP o el nombre del
equipo que desee examinar
Seleccione todas las opciones que desee
Haga clic en Start scan
Revise los resultados de la deteccin

Recomendaciones para utilizar

plantillas de seguridad
Revise y modifique las plantillas de
seguridad antes de utilizarlas
Utilice las herramientas de anlisis y
configuracin de seguridad para
revisar la configuracin de las
plantillas antes de aplicarlas
Pruebe las plantillas minuciosamente
antes de implementarlas
Almacene las plantillas de seguridad
en una ubicacin segura

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Configuracin de seguridad de
los controladores de dominio
Proteja el entorno de creacin de los
controladores de dominio
Establezca prcticas para la creacin
de controladores de dominio que
proporcionen seguridad
Mantenga la seguridad fsica

Demostracin 3
Refuerzo de controladores
de dominio
Aplicacin de la plantilla de
seguridad Controlador de dominio

Cmo aplicar la plantilla de

seguridad Controlador de dominio
1.
2.
3.
4.

5.
6.

7.

Abra la consola de Administracin de directivas de grupo y

vaya a la unidad organizativa Controladores de dominio
Cree un GPO y vinclelo a la unidad organizativa
Controladores de dominio
Vaya a Configuracin del equipo\Configuracin de
Windows\Configuracin de seguridad
Haga clic con el botn secundario del mouse en Configuracin
de seguridad y, despus, haga clic
en Importar directiva
Seleccione la directiva de seguridad Controlador de dominio
y haga clic en Aceptar
La configuracin de la nueva directiva surtir efecto en cada
controlador de dominio la prxima vez que se actualice o se
reinicie
Tambin puede ejecutar GPUpdate en cada controlador de
dominio para actualizar la directiva de grupo inmediatamente

Recomendaciones para reforzar

los controladores de dominio
Utilice mtodos de seguridad apropiados para
controlar el acceso fsico a los controladores
de dominio
Implemente una configuracin apropiada para
los registros de sucesos y auditora
Utilice directivas de grupo para aplicar la
plantilla de seguridad Controlador de dominio
a todos los controladores de dominio
Deshabilite los servicios que no sean necesarios

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Uso de plantillas de seguridad para

funciones especficas de servidor

Los servidores que efectan funciones

especficas se pueden organizar por unidades
organizativas en la unidad organizativa
Servidores integrantes
En primer lugar, aplique la plantilla Lnea de
base de servidor integrante a la unidad
organizativa Servidores integrantes
A continuacin, aplique la plantilla de seguridad
basada en la funcin correspondiente a cada
unidad organizativa de la unidad organizativa
Servidores integrantes
Personalice las plantillas de seguridad para los
servidores que realizan varias funciones

Refuerzo de servidores de
infraestructuras

Aplique la configuracin de la plantilla de

seguridad Servidor de infraestructuras
Configure manualmente las opciones
adicionales en cada servidor de
infraestructuras

Configure el registro DHCP

Protjase frente a ataques DoS DHCP
Utilice DNS integrado en Active Directory
para las zonas de Active Directory
Proteja las cuentas de servicio
Permita el trfico nicamente en los puertos
necesarios para las aplicaciones de servidor
mediante filtros IPSec

Refuerzo de servidores de
archivos

Aplique la configuracin de la plantilla

de seguridad Servidor de archivos
Configure manualmente las opciones
adicionales en cada servidor de archivos

Deshabilite DFS y FRS si no se necesitan

Proteja los archivos y carpetas compartidos
mediante NTFS y permisos compartidos
Habilite la auditora de los
archivos esenciales
Proteja las cuentas de servicio
Permita el trfico slo en puertos
especficos mediante filtros IPSec

Refuerzo de servidores de
impresin

Aplique la configuracin de la plantilla

de seguridad Servidor de impresin
Configure manualmente las opciones
adicionales en cada servidor de impresin

Asegrese de que el servicio

Cola de impresin est habilitado
Proteja las cuentas conocidas
Proteja las cuentas de servicio
Permita el trfico slo en puertos
especficos mediante filtros IPSec

Refuerzo de servidores IIS

Aplique la configuracin de la plantilla de

seguridad Servidor IIS
Configure manualmente cada servidor IIS

Instale la herramienta Bloqueo de seguridad de IIS

y configure URLScan en todas las instalaciones
de IIS 5.0
Habilite slo los componentes de IIS esenciales
Configure los permisos NTFS para todas las
carpetas con contenido Web
Instale IIS y almacene el contenido Web en un
volumen de disco dedicado
Si es posible, no habilite los permisos de ejecucin
y de escritura en el mismo sitio Web
En los servidores IIS 5.0, ejecute las aplicaciones con
proteccin de aplicaciones media o alta
Utilice filtros IPSec para permitir nicamente
el trfico en los puertos 80 y 443

Demostracin 4
Refuerzo de funciones
de servidor especficas
Revisin de la seguridad
predeterminada de IIS
Aplicacin de la plantilla de
seguridad Servidor de archivos

Recomendaciones para el
refuerzo de servidores de
funciones especficas
Proteja las cuentas de usuario conocidas
Habilite nicamente los servicios que se
requieran para ejercer la funcin del servidor
Habilite el registro de servicios para capturar
la informacin relevante
Utilice el filtro IPSec para bloquear los puertos
especficos basados en la funcin de servidor
Modifique las plantillas segn convenga para
los servidores con varias funciones

Orden del da

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Refuerzo de servidores
independientes

Debe aplicar manualmente la configuracin de

seguridad en cada servidor independiente en
lugar de utilizar Directivas de grupo
Quizs tenga que crear una plantilla de seguridad
personalizada para cada servidor independiente
Utilice la herramienta Configuracin y anlisis de
seguridad o SecEdit para aplicar la configuracin
de la plantilla de seguridad

Configuracin y anlisis de seguridad

Permite la comparacin y aplicacin de varias plantillas

de seguridad

SecEdit

Versin de lnea de comandos de la herramienta

Configuracin y anlisis de seguridad que permite
la aplicacin de plantillas de seguridad con
secuencias de comandos

Demostracin 5
Refuerzo de un servidor
independiente
Comparacin de plantillas
de seguridad
Aplicacin de una plantilla
de seguridad a un servidor
independiente

Cmo utilizar SecEdit para reforzar

servidores independientes
1.

2.
3.

Configure una plantilla de seguridad personalizada

con las opciones que desee aplicar al servidor
independiente
Abra un smbolo del sistema en el servidor
independiente
Cree una base de datos de configuracin desde
la plantilla de seguridad personalizada; para ello
escriba:
secedit /import /db c:\security.sdb /cfg nombre de la
plantilla de seguridad

1.

Aplique la configuracin en la base de datos al

servidor independiente; para ello, escriba:
secedit /configure /db c:\security.sdb

Recomendaciones para reforzar

servidores independientes
Utilice la herramienta Configuracin y anlisis
de seguridad para aplicar plantillas a los
servidores independientes
Configure las opciones de servicio de acuerdo
con los requisitos de funciones de servidor
Habilite el registro de servicios para capturar
la informacin relevante
Utilice IPSec para filtrar los puertos segn la
funcin del servidor

Resumen de la sesin

Introduccin a la proteccin de servidores

Seguridad bsica del servidor
Seguridad de Active Directory
Refuerzo de los servidores integrantes
Refuerzo de los controladores de dominio
Refuerzo de servidores de funciones
especficas
Refuerzo de servidores independientes

Pasos siguientes
1.

Mantenerse informado sobre la seguridad

1.

Suscribirse a boletines de seguridad:

http://www.microsoft.com/spain/technet/seguridad/boletines/notifi
cacion.asp
1.

Obtener las directrices de seguridad de Microsoft

ms recientes:
http://www.microsoft.com/spain/technet/seguridad/areas/desarrol
ladores/guias.asp

2.

Obtener recursos adicionales de

aprendizaje sobre seguridad

Buscar jornadas y seminarios on line:

http://www.microsoft.com/spain/technet/comunidad/eventos/map
as/defaultspain2.asp

1.

Buscar un CTEC local e informacion sobre

certificaciones Microsoft en seguridad:

Para obtener ms informacin

Sitio de seguridad de Microsoft

(todos los usuarios)

Sitio de seguridad de TechNet (profesionales

de IT)

http://www.microsoft.com/spain/seguridad

http://www.microsoft.com/spain/technet/
seguridad/

Sitio de seguridad de MSDN

(desarrolladores)

http://msdn.microsoft.com/security
(este sitio est en ingls)

Preguntas y respuestas