Windows Server 2003 Security Guide 1

Soluciones de seguridad Microsoft

Guía de seguridad deWindows Server 2003

Microsoft®

Soluciones de seguridad

La información de este documento, incluyendo las referencias a direcciones URL y a otros sitios Web de Internet, está sujeta a cambios sin previo aviso. A menos que se indique lo contrario, los ejemplos de empresas, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y hechos aquí representados son ficticios, y no se pretende ni se debería inferir ninguna asociación con ninguna compañía, organización, producto, nombre de dominio, dirección de correo electrónico, logotipo, persona, lugar o hecho real. Es responsabilidad del usuario cumplir todas las leyes de derechos de autor aplicables. Sin limitar los derechos de propiedad, no se puede reproducir, almacenar o introducir en un sistema de recuperación, ni transmitir ninguna parte de este documento de ninguna manera o por ningún medio (electrónico, mecánico, fotocopiado, grabación u otro), o con ningún propósito, sin el permiso expreso por escrito de Microsoft Corporation. Corporation.

Microsoft puede ser titular de patentes, solicitudes de patentes, marcas comerciales, derechos de autor u otros derechos de la propiedad intelectual que cubran los temas tratados en este documento. A excepción de lo indicado explícitamente en el contrato de licencia por escrito de Microsoft, este documento no le otorga ninguna licencia para estas patentes, marcas, derechos de autor u otra propiedad intelectual.

© 2003 Microsoft Corporation. Reservados todos los derechos.

Microsoft y Visual Basic son marcas registradas o marcas comerciales de Microsoft Corporation en Estados Unidos y/o en otros países.

Los nombres de empresas y productos reales aquí mencionados pueden ser marcas comerciales de sus respectivos propietarios.

AgradecimientosEl grupo de Soluciones de Seguridad Microsoft (Microsoft Solutions for Security, MSS) quiere mostrar su reconocimiento y agradecimiento al equipo que ha producido la Guía de seguridad de Windows Server 2003. Las siguientes personas han sido responsables directos o han hecho una contribución sustancial a la redacción, desarrollo y pruebas de esta solución.

AutoresKurt Dillard

José Maldonado

Brad Warrender

Colaboradores de Contenidos William Dixon

Eric Fitzgerald

Stirling Goetz

Ian Hellen

Jesper Johansson

Kirk Soluk

Testers

Gaurav Singh Bora

Kenon Bliss

Paresh Gujar

Vince Humphreys

Ashish Java

EditoresReid Bannecker

Wendy Cleary

John Cobb

Kelly McMahon

Jon Tobey

Program ManagerChase Carpenter

RevisoresRich Benack

Rob Cooper

Duane Crider

Mike Greer

Robert Hensing

Chad Hilton

Andrew Mason

Joe Porter

Joel Scambray

Ben Smith

Jeff Williams

ColaboradoresIgnacio Avellaneda

Ganesh Balakrishnan

Shelly Bird

Derick Campbell

Sean Finnegan

Joanne Kennedy

Jeff Newfeld

Rob Oikawa

Vishnu Patankar

Keith Proctor

Bill Reid

Sandeep Sinha

Bomani Siwatu

Graham Whiteley

A petición de Microsoft, el Centro para la Seguridad en Internet (CIS) y el Instituto Nacional de Normativas y Tecnología (NIST) del Departamento de Comercio de Estados Unidos participaron en la revisión final de estos documentos de Microsoft y proporcionaron comentarios que se incorporaron a las versiones publicadas.

Microsoft quiere agradecer también al Siemens Workplace Architecture Team, así como al National Broadband LLC, su inestimable colaboración y participación en el Programa Early Adopter de esta guía.

Índice de Contenidos

Capítulo 1: Introducción a la Guía de seguridad de Windows Server 2003..............................1

Descripción general ........................................................................................................................... 1

Resumen ejecutivo ............................................................................................................................. 2

Quién Debe Leer Esta Guía .............................................................................................................. 3

Protegerse y Mantenerse Protegido .................................................................................................. 4

Alcance de esta guía ......................................................................................................................... 5

Descripción General del Contenido ................................................................................................... 6

Aptitudes y Conocimientos .............................................................................................................. 10

Requisitos ......................................................................................................................................... 11

Normas de estilo .............................................................................................................................. 12

Resumen .......................................................................................................................................... 13

Capítulo 2: Configuración de la Infraestructura de Dominio....................................................14

Descripción general ......................................................................................................................... 14

Directivas de Dominio ...................................................................................................................... 30

Directivas de Cuenta ........................................................................................................................ 31

Directiva de Contraseñas ................................................................................................................. 32

Directiva de bloqueo de cuentas ..................................................................................................... 37

Directiva Kerberos ............................................................................................................................ 40

Opciones de Seguridad ................................................................................................................... 41

Resumen .......................................................................................................................................... 43

Capítulo 3: Creación de un Servidor Miembro de Referencia..................................................45

Descripción general ......................................................................................................................... 45

Directiva de Referencia de Windows Server 2003 .......................................................................... 49

Directiva de Auditoría ....................................................................................................................... 50

Asignación de Permisos de Usuario ................................................................................................ 63

Opciones de Seguridad ................................................................................................................... 75

Registro de Eventos ....................................................................................................................... 101

Servicios del Sistema .................................................................................................................... 104

Parámetros Adicionales de Registro ............................................................................................. 139

Parámetros Adicionales de Seguridad ......................................................................................... 144

Resumen ........................................................................................................................................ 149

Capítulo 4: Protección de los Controladores de Dominio......................................................151

Descripción General ...................................................................................................................... 151

Parámetros de la Directiva de Auditoría ....................................................................................... 153

Asignación de Permisos de Usuario ............................................................................................. 154

Opciones de Seguridad ................................................................................................................. 159

Parámetros del Registro de Eventos ............................................................................................ 160



Resumen ........................................................................................................................................ 174

Capítulo 5: Proteger los Servidores de Infraestructura .........................................................175


Configuraciones de la directiva de auditoría ................................................................................ 176



Parámetros del Registro de Eventos ............................................................................................. 179


Parámetros Adicionales de Seguridad .......................................................................................... 181

Resumen ........................................................................................................................................ 187

Capítulo 6: Protección de los Servidores de Archivos...........................................................188


Parámetros de la Directiva de Auditoría ........................................................................................ 189

Asignaciones de Permisos de Usuario ......................................................................................... 190





Resumen ........................................................................................................................................ 198

Capítulo 7: Protección de los Servidores de Impresión..........................................................199





Parámetros del Registro de Eventos ........................................................................................... 203



Resumen ........................................................................................................................................ 208

Capítulo 8: Protección de los Servidores IIS............................................................................209



Asignación de Permisos de Usuario .............................................................................................. 211


Parámetros del Registro de Eventos ........................................................................................... 213



Resumen ........................................................................................................................................ 232

Capítulo 9: Protección de los Servidores IAS..........................................................................233


Directiva de Auditoría .................................................................................................................... 234

Asignación de permisos de usuario .............................................................................................. 235

Registro de Eventos ....................................................................................................................... 237



Resumen ........................................................................................................................................ 240

Capítulo 10: Proteger los Servidores de Servicios de Certificación ....................................241



Asignación de permisos de usuario .............................................................................................. 244




Parámetros Adicionales del Registro ............................................................................................ 251


Resumen ........................................................................................................................................ 255

Capítulo 11: Protección de los Bastion Hosts..........................................................................256



Asignación de los Permisos de Usuario ....................................................................................... 259


Parámetros del Registro de Eventos ............................................................................................. 262



Resumen ........................................................................................................................................ 275

Capítulo 12: Conclusión..............................................................................................................276

1Introducción a la Guía de seguridad de Windows Server 2003

Descripción generalBienvenido a la Guía de seguridad de Microsoft Windows Server 2003. Esta guía ha sido diseñada para ofrecerle la mejor información disponible para evaluar y contrarrestar los riesgos de seguridad específicos de Microsoft® Windows Server™ 2003 en su entorno. Los capítulos en esta guía proporcionan una asistencia detallada para mejorar las configuraciones y funciones de seguridad, cuando es posible, en Windows Server 2003 para tratar las amenazas identificadas en su entorno. Los capítulos de esta guía ofrecen una orientación detallada para mejorar en lo posible la configuración de las propiedades y características de seguridad de Windows Server 2003 para afrontar las amenazas identificadas en su entorno. Si es usted un consultor, diseñador o ingeniero de sistemas y forma parte de un entorno Windows Server 2003, esta guía ha sido diseñada pensando en usted.

Esta guía ha sido revisada y aprobada por los equipos de ingeniería, consultores e ingenieros de soporte de Microsoft, así como por los clientes y partners para que resulte:

Probada: Basada en la experiencia práctica

Fiable: ofrece los mejores consejos disponibles

Precisa: Validada y probada técnicamente

Proactiva: proporciona los pasos hacia el éxito

Relevante: trata los problemas de seguridad del mundo real

Trabajar con consultores e ingenieros de sistemas que han implementado Windows Server 2003, Windows XP y Windows 2000 en una gran variedad de entornos ha ayudado a establecer las mejores y más recientes prácticas para proteger estos servidores y clientes. Esta guía le ofrece esa información en profundidad.

La guía que complementa a ésta, Amenazas y contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, proporciona una visión general de todos los valores de seguridad principales presentes en Windows Server 2003 y Windows XP. Los capítulos que van desde el 2 hasta el 11 de esta guía incluyen prescripciones, procedimientos y recomendaciones de seguridad paso a paso para ofrecerle listas de tareas con las que transformar el estado de seguridad de los ordenadores de su empresa que ejecutan Windows Server 2003 en un nivel mayor de seguridad. Si quiere una discusión más en profundidad de los conceptos de este documento, vea el Kit de Recursos de Microsoft Windows 2003 Server, el Kit de Recursos de Microsoft Windows XP, el Kit de Recursos de Seguridad de Microsoft Windows 2000 y Microsoft TechNet.

1

Resumen ejecutivoCualquiera que sea su entorno, le recomendamos encarecidamente que se tome en serio la seguridad. Muchas empresas cometen el error de subestimar el valor de su entorno de tecnologías de la información (TI), generalmente porque excluyen costes indirectos considerables. Un ataque suficientemente grave sobre los servidores de su entorno podría dañar fuertemente a toda la empresa. Por ejemplo, un ataque que haga caer su sitio Web corporativo, provocando pérdidas importantes de ingresos o de la confianza de los clientes, puede hacer que caiga la rentabilidad de su empresa. Al evaluar los costes de seguridad, debe incluir los costes indirectos relacionados con cualquier ataque, así como los costes de la pérdida de la funcionalidad TI.

El análisis de las vulnerabilidades, los riesgos y la exposición en relación con la seguridad le muestra la interrelación entre la seguridad y la facilidad de manejo a la que están sujetos todos los sistemas informáticos en un entorno de red. Esta guía documenta las principales contramedidas de seguridad disponibles en Windows Server 2003 y Windows XP, las vulnerabilidades que resuelven y las posibles consecuencias negativas derivadas de la implementación de cada una de ellas.

A continuación, la guía ofrece recomendaciones concretas para mejorar esos sistemas en tres entornos empresariales comunes: uno en el que hay que dar soporte a sistemas operativos más antiguos, como Windows 98; otro compuesto sólo por sistemas operativos Windows 2000 y posteriores, y otro en el que la preocupación por la seguridad es tan alta que la pérdida significativa de funcionalidad y manejabilidad se considera una desventaja aceptable para conseguir el nivel más alto de seguridad. Estos entornos se denominan, respectivamente, Cliente Heredado, Cliente Empresarial y Alta Seguridad en toda la guía. Se ha realizado un esfuerzo para que esta información esté bien organizada y resulte de fácil acceso, de modo que usted pueda encontrar y determinar rápidamente cuáles son las configuraciones adecuadas para los ordenadores de su empresa. Aunque esta guía está dirigida al cliente empresarial, en su mayor parte es adecuada para organizaciones de cualquier tamaño.

Para sacar el mayor provecho de esta guía, es necesario leerla entera. También puede consultar la guía que la acompaña, Amenazas y Contramedidas: Parámetros de Seguridad en Windows Server 2003 y Windows XP, que puede descargar en el enlace http://go.microsoft.com/fwlink/?LinkId=15159. El equipo responsable de la guía espera que encuentre útiles, instructivos e interesantes los temas que trata.

2

Quién Debe Leer Esta GuíaEsta guía está pensada principalmente para consultores, especialistas en seguridad, arquitectos de sistemas y profesionales TI responsables de planificar las etapas de aplicación o de desarrollo de la infraestructura y de la implantación de Windows Server 2003. Estos roles incluyen los siguientes perfiles:

• Arquitectos y planificadores responsables de orientar los esfuerzos de arquitectura hacia los clientes de sus empresas.

• Especialistas en seguridad TI centrados en ofrecer seguridad entre las plataformas de sus empresas.

• Analistas de negocios y responsables de la toma de decisiones (BDMs) con objetivos empresariales críticos y requerimientos que dependen del soporte al cliente.

• Consultores de Microsoft Services y de partners que necesitan recursos detallados de información relevante y útil para los clientes empresariales y partners.

3

Protegerse y Mantenerse ProtegidoEn octubre de 2001, Microsoft lanzó una iniciativa conocida como Strategic Technology Protection Program (STPP). El objetivo de este programa es integrar los productos, servicios y soporte de Microsoft que se centran en la seguridad. Para Microsoft, el proceso para mantener protegido un entorno consta de dos fases relacionadas: Protegerse y Mantenerse Protegido.

ProtegerseLa primera fase se denomina Protegerse. Para ayudar a su empresa a conseguir el nivel de seguridad adecuado, esta guía contiene consejos pensados para ayudarle a proteger sus sistemas informáticos actuales y futuros.

Mantenerse ProtegidoLa segunda fase se denomina Mantenerse Protegido. Crear un entorno que inicialmente resulte seguro es una cosa; sin embargo, otra muy distinta es, una vez que el entorno está funcionando, mantenerlo protegido a lo largo del tiempo, tomar medidas preventivas contra las amenazas y responder eficazmente cuando se producen.

4

Alcance de esta guíaEsta guía se centra en cómo crear y mantener protegido un entorno para los ordenadores que ejecutan Windows Server 2003 en su empresa. El documento explica las distintas etapas para proteger los tres entornos definidos en la guía y qué configuración recomendada del servidor les corresponde en relación con las dependencias del cliente. Los tres entornos considerados se denominan Cliente Heredado, Cliente Empresarial y Alta Seguridad.

• La configuración del Cliente Heredado está diseñada para funcionar en un dominio de Directorio Activo con servidores y controladores de dominio que ejecutan Windows Server 2003 y clientes que ejecutan Microsoft Windows® 98, Windows NT 4.0 y posteriores.

• La configuración del Cliente Empresarial está diseñada para funcionar en un dominio de Directorio Activo con servidores y controladores de dominio que ejecutan Windows Server 2003 y clientes que ejecutan Windows 2000, Windows XP y posteriores.

• La configuración de Alta Seguridad también está diseñada para funcionar en un dominio de Directorio Activo con servidores y controladores de dominio que ejecutan Windows Server 2003 y clientes que ejecutan Windows 2000, Windows XP y posteriores. Sin embargo, la configuración de Alta Seguridad es tan restrictiva que muchas aplicaciones pueden no funcionar. Por este motivo, los servidores pueden acusar cierto impacto en el rendimiento y administrarlos será más complicado.

Le ofrecemos orientación para distintos roles del servidor. Las contramedidas descritas y las herramientas proporcionadas presuponen que cada servidor tiene un solo rol; si necesita combinar roles para algunos de los servidores de su entorno, puede personalizar las plantillas de seguridad que incluye esta guía para configurar la combinación adecuada de servicios y opciones de seguridad en los servidores con múltiples roles. Algunos de los roles que trata esta guía son:

• Controladores de dominio

• Servidores de infraestructura

• Servidores de archivo

• Servidores de impresión

• Servidores Internet Information Services (IIS)

• Servidores Internet Authentication Services (IAS)

• Servidores de Servicios de Certificación

• "Bastion hosts"

Las configuraciones recomendadas en esta guía se han testado rigurosamente en entornos de laboratorio que reproducían los descritos anteriormente: Cliente Heredado, Cliente Empresarial y Alta Seguridad. Se ha comprobado que estas configuraciones funcionan en el laboratorio, pero es importante que su empresa las pruebe en su propio laboratorio, que reproduce fielmente su entorno de producción. Es probable que necesite hacer algunos cambios en las plantillas de seguridad y en los procedimientos manuales descritos en esta guía para que todas sus aplicaciones empresariales continúen funcionando como es de esperar. La guía complementaria Amenazas y Contramedidas: Parámetros de Seguridad en Windows Server 2003 y Windows XP, que puede descargar en http://go.microsoft.com/fwlink/?LinkId=15159, le ofrece la información que usted necesita para evaluar cada contramedida concreta y para decidir cuáles son apropiadas para el entorno único y los requisitos empresariales de su organización.

5

Descripción General del ContenidoLa Guía de seguridad de Windows Server 2003 consta de 12 capítulos. Cada capítulo reconstruye el proceso completo necesario para implementar y proteger de Windows Server 2003 en su entorno. Los primeros capítulos describen cómo proteger los servidores de su empresa, mientras que el resto documenta los procedimientos concretos para cada rol del servidor.

Capítulo 1: Introducción a la Guía de seguridad de Windows Server 2003Este capítulo presenta la Guía de seguridad de Windows Server 2003, e incluye un breve resumen de los demás capítulos.

Capítulo 2: Configuración de la infraestructura del dominio Este capítulo explica cómo construir el entorno de dominio como base para ayudar a proteger una infraestructura de Windows Server 2003. Se centra en los parámetros de seguridad y las contramedidas a nivel de dominio e incluye descripciones de alto nivel de diseño del servicio de Directorio Activo, diseño de unidades organizativas (OUs) y directivas de dominio.

Los entornos de Cliente Heredado, Cliente Empresarial y Alta Seguridad mencionados en el Capítulo 1 se explican en relación con la protección de un entorno de dominio. Esto ofrece una visión de la evolución que su empresa puede llevar a cabo hacia un entorno más seguro dentro de una infraestructura de dominio adecuada para cada uno de estos entornos.

Capítulo 3: Creación de un Servidor Miembro de ReferenciaEste capítulo explica la configuración de la plantilla de seguridad y las contramedidas adicionales para los roles de servidor mencionados en los tres entornos que trata la guía. Este capítulo se centra fundamentalmente en establecer una Directiva de Referencia del Servidor Miembro (Member Server Baseline Policy, MSBP) para las recomendaciones de protección de cada rol de servidor analizadas posteriormente.

Las recomendaciones de este capítulo permiten a las empresas implantar de forma segura las configuraciones de seguridad recomendadas para los sistemas Windows Server 2003, que se adaptan tanto a los sistemas existentes como a los nuevos. Las configuraciones de seguridad por defecto de Windows Server 2003 se han investigado y probado. Se ha comprobado que las recomendaciones descritas en este capítulo proporcionan una mayor seguridad que los valores por defecto del sistema operativo. En algunos casos, para dar soporte a los clientes heredados, se sugiere una configuración de seguridad menos restrictiva que la que ofrece por defecto la instalación de Windows Server 2003.

6

Capítulo 4: Protección de los controladores de dominioEl rol de controlador de dominio es uno de los más importantes para proteger cualquier entorno de Directorio Activo con equipos que ejecutan Windows Server 2003. Cualquier pérdida o problema en un controlador de dominio podría resultar demoledora para los clientes, servidores y aplicaciones que se basan en los controladores de dominio para la autentificación, las Directivas de Grupo y el directorio LDAP central.

Este capítulo describe la necesidad de almacenar siempre los controladores de dominio en ubicaciones físicamente protegidas que sean accesibles sólo al equipo administrativo cualificado. Se debaten los riesgos de almacenar los controladores de dominio en lugares inseguros, por ejemplo delegaciones y se dedica gran parte del capítulo a explicar las consideraciones de seguridad que sustentan la Directiva de Grupo del Controlador de Dominio recomendada).

Capítulo 5: Protección de Servidores de InfraestructuraEn este capítulo, se define el rol de servidor de Infraestructura como un servidor DHCP (Dynamic Host Control Protocol) o como un servidor WINS (Windows Internet Name Service). Se explican detalladamente las áreas en las que los servidores de infraestructura de su entorno pueden beneficiarse de las configuraciones de seguridad que la Member Server Baseline Policy (MSBP) no aplica.

Capítulo 6: Protección de Servidores de ArchivosEste capítulo se centra en el rol de servidor de archivos y en las dificultades relacionadas con su protección. Los servicios esenciales para estos servidores necesitan los protocolos NetBIOS (network basic input/output system). Los protocolos SMB (Server Message Block) y CIFS (Common Internet File System) se usan también para ofrecer abundante información a los usuarios no autentificados y a menudo se recomienda que se deshabiliten dichos protocolos en los entornos Windows de alta seguridad. En este capítulo se explican las áreas en los que los servidores de archivos pueden beneficiarse de las configuraciones de seguridad que la MSBP no aplica.

Capítulo 7: Protección de Servidores de ImpresiónEn este capítulo se tratan los servidores de impresión. Una vez más, los servicios más básicos para estos servidores exigen el uso de protocolos NetBIOS. Los protocolos SMB y CIFS pueden ofrecer también abundante información a los usuarios no autentificados para este rol del servidor, pero se suele recomendar que se deshabiliten en los entornos Windows de alta seguridad. En este capítulo se detallan las áreas en las que se puede reforzar la configuración de seguridad del servidor de impresión mediante métodos que la MSBP no aplica.

Capítulo 8: Protección de Servidores IISEste capítulo describe cómo la seguridad integral de sitios Web y aplicaciones depende de un servidor IIS (incluidos cada sitio Web y cada aplicación que se ejecute en el servidor IIS) para ser protegida de los ordenadores clientes de su entorno. También hay que proteger los sitios Web y las aplicaciones frente a otros sitios Web y aplicaciones que se ejecuten en el mismo servidor IIS. Este capítulo explica detalladamente las prácticas para asegurarse de lograr esta distinción entre los servidores IIS de su entorno.

7

IIS no está instalado por defecto en la familia Microsoft Windows Server System. Cuando se instala IIS por primera vez, se hace en un modo "bloqueado" de alta seguridad. Por ejemplo, IIS sólo sirve contenido estático por defecto. Las características como ASP (Active Server Pages), ASP.NET, SSI (Server-Side Includes), WebDAV publishing y las Extensiones de Servidor de FrontPage®.

Las secciones de este capítulo detallan varias configuraciones de seguridad que deben implementarse para mejorar la seguridad de los servidores IIS de su entorno. Se pone de relieve la importancia de la monitorización de seguridad, la detección y la respuesta para garantizar la seguridad de los servidores.

Capítulo 9: Protección de Servidores IASIAS (Internet Authentication Servers) proporciona servicios Radius, un protocolo de autentificación basado en estándares diseñado para comprobar la identidad de los clientes que accede a la red de forma remota. Este capítulo detalla las áreas en las que los servidores IAS pueden beneficiarse de las configuraciones de seguridad que la MSBP no aplica.

Capítulo 10: Protección de Servidores de Servicios de Certificación Los Servicios de Certificación proporcionan los servicios de gestión de cifrado y certificación necesarios para construir una infraestructura de clave pública (PKI) en su entorno de servidor. Este capítulo explica las áreas en las que los servidores de Servicios de Certificación pueden beneficiarse de las configuraciones de seguridad que la MSBP no aplica.

Capítulo 11: Protección de los "Bastion Hosts"Los servidores "bastion host" son accesibles desde Internet. En este capítulo se explica cómo estos sistemas expuestos al público son susceptibles de sufrir ataques por un gran número de usuarios que pueden mantenerse en el más completo anonimato en muchos casos si lo desean. Muchas empresas no extienden su infraestructura de dominio a las zonas públicas de su red. Por eso, este capítulo se centra en las recomendaciones para los ordenadores autónomos, ofrece detalles sobre las áreas en las que los bastion hosts pueden beneficiarse de las configuraciones de seguridad que la MSBP no aplica y explica los métodos usados para aplicar esas configuraciones en un entorno de dominio basado en Directorio Activo.

Capítulo 12: ConclusiónEl último capítulo de la guía resume los puntos más importantes abordados en los capítulos precedentes.

8

Herramientas y plantillasCon esta guía se incluye una colección de plantillas, scripts y herramientas de seguridad adicionales para que a su empresa le resulte más fácil evaluar, probar e implementar las contramedidas recomendadas en esta guía. Las plantillas de seguridad y los archivos de texto pueden importarse a las directivas de grupo basadas en dominios o aplicarse localmente mediante el complemento Análisis y Configuración de Seguridad. Estos procedimientos se detallan en el Capítulo 2, "Configuración de la Infraestructura de Dominio". Los scripts incluidos con esta guía implementan los filtros del paquete IPSec mediante la herramienta de línea de comando NETSH y los scripts de prueba utilizados para probar las contramedidas recomendadas. La guía incluye también un libro llamado Parámetros de la Guía de Seguridad de Windows Server 2003 que documenta los parámetros incluidos en cada una de las plantillas de seguridad. Estas herramientas y plantillas se incluyen en el archivo WinZip auto-extraíble que contiene la guía. Cuando usted extrajo esos archivos, se creó en la ubicación especificada la siguiente estructura:

• \Windows Server 2003 Security Guide: contiene el documento PDF que usted está leyendo ahora, así como la Guía de Evaluación, la Guía de Implantación y la Guía de Soporte asociadas a él.

• \Windows Server 2003 Security Guide\Tools and Templates: contiene subdirectorios para todos los objetos que acompañan a esta guía.

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Security Templates: contiene todas las plantillas de seguridad que se analizan en la guía.

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Sample Scripts: contiene todas las muestras de scripts de filtros IPSec y un libro de Excel con todos los mapas de tráfico tratados en la guía.

• \Windows Server 2003 Security Guide\Tools and Templates\Security Guide\Checklists: contiene listas de control específicas para cada rol del servidor.

• \Windows Server 2003 Security Guide\Tools and Templates\Test Guide: contiene herramientas relativas a la Guía de Evaluación.

• \Windows Server 2003 Security Guide\Tools and Templates\Delivery Guide: contiene herramientas relativas a la Guía de Implantación.

9

Aptitudes y ConocimientosLos siguientes conocimientos y aptitudes son un requisito previo para los administradores o arquitectos encargados de desarrollar, implantar y proteger instalaciones de Windows Server 2003 y Windows XP en una empresa:

• Certificación MCSE 2000 con más de 2 años de experiencia en seguridad.

• Conocimientos en profundidad de los entornos de dominio corporativo y de Directorio Activo.

• Manejo de herramientas de administración, incluyendo la Consola de Administración de Microsoft (MMC), secedit, gpupdate y gpresult.

• Experiencia administrando Directivas de Grupo.

• Experiencia implantando aplicaciones y estaciones de trabajo en entornos empresariales.

10

RequisitosLos requisitos de software para utilizar las herramientas y plantillas documentadas en esta guía son:

• Windows Server 2003 Standard Edition; Windows Server 2003 Enterprise Edition o Windows Server 2003 Datacenter Edition.

• Un dominio de Directorio Activo basado en Windows Server 2003.

• Microsoft Excel 2000 o posterior.

11

Normas de estiloEsta guía emplea la terminología y las normas de estilo siguientes.

Tabla 1.1: Normas de estilo

Elemento Significado

Negrita Caracteres que deben escribirse exactamente como se muestra,

incluyendo comandos y switches. Los elementos prescriptivos de la interfaz

de usuario también se escriben en negrita.

Cursiva Es un marcador para las variables en las que se ofrecen valores concretos.

Por ejemplo, Filename.ext podría referirse a cualquier nombre de archivo

válido para el primer caso en cuestión.

Importante Ofrece al lector información adicional esencial para completar la tarea.

Courier Muestras de código.

%SystemRoot% Carpeta en la que está instalado el sistema operativo Windows Server

2003.

Nota Ofrece al lector información adicional.

Screen Para Los mensajes que aparecen en pantalla y las líneas de comando se

muestran en esta fuente.

12

ResumenEste capítulo le ha ofrecido una visión general de los principales factores implicados en la protección de Windows Server 2003 que se tratan con más profundidad en el resto de la guía. Ahora que usted sabe cómo está organizada esta guía, puede elegir entre leerla de principio a fin o seleccionar sólo aquellas secciones que le interesan más.

Sin embargo, es importante recordar que las operaciones de seguridad eficaces y satisfactorias requieren mejoras en todas las áreas abordadas en esta guía y no sólo en unas pocas. Por ello, le recomendamos encarecidamente que lea la guía entera para aprovechar toda la información que puede ofrecerle para ayudar a proteger Windows Server 2003 en su empresa.

Más información Las siguientes fuentes de información eran las más recientes disponibles acerca de la seguridad en Windows Server 2003 cuando esta guía y el producto se lanzaron al mercado.

Para más información sobre la seguridad en Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/default.asp.

Para conocer en detalle cómo puede MOF ayudar a su empresa, consulte: http://www.microsoft.com/business/services/mcsmof.asp.

Para información sobre el sitio Web del Strategic Technology Protection Program, consulte: http://microsoft.com/security/mstpp.asp.

Para información sobre el Servicio de Notificaciones de Seguridad de Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp.

13

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp

2Configuración de la Infraestructura de Dominio

Descripción generalEste capítulo utiliza la construcción de un entorno de dominios para demostrar cómo proteger una infraestructura para Windows Server™ 2003.

El capítulo se centra en la configuración de seguridad y las contramedidas a nivel de dominio. Esto incluye una descripción de alto nivel del diseño del Directorio Activo, de Unidades Organizativas (OUs), de Directivas de grupo y de grupos administrativos.

También explica cómo proteger un entorno de dominio de Windows Server 2003 en los entornos Heredado, Empresarial y de Alta Seguridad descritos en el Capítulo 1, "Introducción a la Guía de Seguridad de Windows Server 2003". Esta información sienta las bases y ofrece una visión para evolucionar desde un entorno Heredado a un entorno de Alta Seguridad dentro de una infraestructura de dominio.

En Windows Server 2003, los valores de seguridad están por defecto en un estado seguro. Para facilitar el uso de este documento, este capítulo sólo trata las configuraciones que han sido modificadas a partir de los valores por defecto. Para información sobre todas las configuraciones por defecto, vea la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP.

Diseño del Directorio ActivoLa información detallada sobre el diseño de una estructura de Directorio Activo podría llenar un libro entero por sí sola. Directorio Activo permite a las aplicaciones encontrar, usar y gestionar recursos del directorio en un entorno distribuido. Esta sección trata brevemente estos conceptos para establecer un marco de referencia para el resto del capítulo.

A la hora de crear una arquitectura de Directorio Activo, debe considerar cuidadosamente los límites de seguridad del entorno. Planificar adecuadamente los plazos de delegación e implementación de la seguridad en una empresa da como resultado un diseño de Directorio Activo mucho más seguro para la empresa. Después, sólo los cambios considerables del entorno, como una adquisición o una reestructuración, requerirán retoques.

Si su empresa ya tiene un diseño de Directorio Activo, este capítulo puede ofrecerle una visión interesante sobre sus ventajas y problemas potenciales desde la perspectiva de la seguridad.

14

Establecer los Límites de Directorio en Windows Server 2003

Dentro de Directorio Activo hay varios tipos de límites distintos. Estos límites definen el bosque, el dominio, la topología del sitio y la delegación de permisos.

Los límites se establecen automáticamente durante la instalación de Directorio Activo, pero usted debe asegurarse de que los límites de permisos incorporan las directivas y requisitos corporativos. La delegación de permisos administrativos puede ser muy flexible, según los requisitos de la empresa. Por ejemplo, para mantener el equilibrio adecuado entre la seguridad y la funcionalidad administrativa, puede dividir los límites de delegación de permisos en límites de seguridad y límites administrativos.

Límites de Seguridad

Los límites de seguridad ayudan a definir la autonomía o aislamiento de los distintos grupos dentro de una empresa. Es difícil equilibrar las ventajas e inconvenientes entre la necesidad de garantizar la seguridad adecuada (según cómo se establecen los límites empresariales de la organización) y la necesidad de continuar proporcionando un alto nivel de funcionalidad base.

Para conseguir satisfactoriamente este equilibrio, debe sopesar las amenazas que sufre su empresa y las implicaciones de seguridad derivadas de la delegación de permisos de administración y otras opciones relacionadas con la arquitectura de red de su entorno.

Los Límites de Seguridad del Bosque y del Dominio

El bosque es el verdadero límite de seguridad. Esta guía le recomienda que cree bosques separados para mantener su entorno protegido frente a administradores ficticios en vez de crear dominios separados para proporcionar seguridad y aislamiento frente a los administradores ficticios y otras amenazas potenciales.

Un dominio es el límite administrativo de Directorio Activo. En una empresa compuesta por personas con buenas intenciones, el límite del dominio proporcionará una gestión autónoma de los servicios y los datos en cada dominio de la empresa.

Lamentablemente, a la hora de hablar de la seguridad, esto no es tan sencillo de conseguir. Un dominio, por ejemplo, no aislará completamente un ataque de un administrador de dominio ficticio. Este nivel de separación sólo puede lograrse a nivel del bosque.

Por eso, puede que su empresa deba considerar la división del control administrativo de los servicios y los datos dentro del diseño actual de Directorio Activo. El diseño de Directorio Activo requiere un conocimiento completo de los requerimientos de su empresa en cuanto a la autonomía y el aislamiento del servicio y de los datos.

Límites Administrativos

Debido a la necesidad potencial de segmentar los servicios y datos, usted debe definir los diferentes niveles de administración requeridos. Además de administradores que puedan realizar servicios únicos para su organización, se recomiendan los siguientes tipos de administradores.

Administradores de Servicios

Los administradores de servicios de Directorio Activo son responsables de configurar y producir el servicio de directorio. Por ejemplo, los administradores de servicios mantienen los controladores de dominio, controlan los parámetros de la configuración de todo el directorio y son los responsables de garantizar la disponibilidad del servicio. Los administradores de Directorio Activo de su empresa deben ser considerados sus administradores de servicios.

15

En muchos casos, la configuración de servicio de Directorio Activo se determina mediante valores. Estos valores se corresponden con los parámetros por los objetos que almacenan en el directorio respectivamente. En consecuencia, los administradores de servicios de Directorio Activo son también administradores de datos. En función de las necesidades de su empresa, a continuación se incluyen algunos otros grupos de administradores de servicios que tal vez necesite incluir en su diseño de Directorio Activo:

• Un grupo de administración del dominio que se responsabilice principalmente de los servicios de directorio.

El administrador del bosque es responsable de escoger el grupo que administrará cada dominio. Dado el alto nivel de acceso concedido al administrador de cada dominio, estos administradores deben ser personas de confianza. El grupo que administra el dominio lo controla a través del grupo de Administradores de Dominio y otros grupos integrados.

• Grupos de administradores responsables de la administración de DNS (Domain Name System).

El grupo de administradores de DNS es responsable de completar el diseño y administrar la infraestructura DNS. El administrador de DNS gestiona la infraestructura a través del grupo de Administradores de DNS.

• Grupos de administradores responsables de la administración de las OUs.

El administrador de OU designa un grupo o una persona como administrador de cada OU. Cada uno de ellos es responsable de administrar los datos almacenados en la OU de Directorio Activo que se le ha asignado. Estos grupos pueden controlar cómo se delega la administración y cómo se aplica la directiva a los objetos de sus OUs. Además, los administradores de OU pueden crear también nuevas sub-jerarquías y delegar la administración de las OUs de las que son responsables.

• Grupos de administradores responsables de la administración del servidor de infraestructura.

El grupo responsable de la administración del servidor de infraestructura lo es también de administrar WINS (Windows Internet Name Service), DHCP (Dynamic Host Configuration Protocol) y, potencialmente, la infraestructura DNS. En algunos casos, el grupo encargado de la administración del dominio administrará la infraestructura DNS porque Directorio Activo está integrado con DNS y se almacena y administra en los controladores de dominio.

Administradores de Datos

Los administradores de datos de Directorio Activo son responsables de administrar los datos almacenados en Directorio Activo o en los ordenadores asociados a él. Estos administradores no tienen control sobre la configuración o producción del servicio de directorio. Los administradores de datos son miembros de un grupo de seguridad creado por su empresa. Algunas veces los grupos de seguridad por defecto de Windows no son lógicos para todas las situaciones que puede atravesar una organización. Por eso, las empresas pueden desarrollar sus propios estándares y medios de denominación de grupos de seguridad para adaptarlos mejor a su entorno. Algunas de las tareas diarias de los administradores de datos son:

• Controlar un subconjunto de objetos del directorio. A través del control de acceso a nivel de atributos heredados, los administradores de datos pueden tener control sobre secciones muy concretas del directorio, pero no sobre la configuración del servicio en sí.

• Administrar los ordenadores miembros del directorio y los datos de dichos ordenadores.

Nota: En muchos casos, los valores de los objetos almacenados en el directorio determinan la configuración de servicio del directorio.

En resumen, permitir que los propietarios del servicio y las estructuras de Directorio Activo se engloben en un bosque o en una infraestructura de dominio requiere que la empresa confíe en todos los administradores del servicio y en todos los dominios. Además, los programas de seguridad de la empresa deben desarrollar procedimientos y directivas estándar que

16

proporcionen un trasfondo apropiado a los administradores. En el contexto de esta guía de seguridad, confiar en los administradores de servicios significa:

• Creer razonablemente que los administradores de servicios mirarán por los intereses de la empresa. Una empresa no debe integrarse en un bosque o en un dominio si los propietarios pueden tener razones legítimas para actuar maliciosamente contra ella.

• Creer razonablemente que los administradores de servicio aplicarán las mejores prácticas y restringirán el acceso físico a los controladores de dominio.

• Entender y aceptar los riesgos para la empresa, que incluyen la posibilidad de:

• Administradores malintencionados: los administradores fiables pueden convertirse en administradores malintencionados y, por tanto, abusar del poder que tienen sobre el sistema. Si hubiese un administrador ficticio dentro de un bosque, sería fácil para él buscar el identificador de seguridad (SID) de un administrador de otro dominio. El administrador ficticio podría entonces usar un API (Application Programming Interface), un editor de disco o un depurador para añadir el SID robado al Historial de SIDs de una cuenta de su propio dominio. Así, el administrador ficticio tendría privilegios administrativos en el dominio del SID robado.

• Administradores coaccionados: un administrador fiable puede ser coaccionado u obligado a realizar operaciones que quiebren la seguridad del sistema. Un usuario o un administrador pueden usar técnicas de ingeniería social sobre los administradores legítimos de un sistema para obtener los nombres de usuarios y contraseñas que necesitan para acceder al sistema.

Algunas empresas pueden aceptar el riesgo de una brecha de seguridad causada por un administrador de servicios ficticio o coaccionado de otra parte de la empresa. Tales empresas deben determinar si las ventajas de colaboración y de ahorro derivadas de la participación en una infraestructura compartida compensan el riesgo. Sin embargo, otras empresas no aceptan el riesgo, porque las consecuencias potenciales de una brecha de seguridad son demasiado graves.

Estructura de las OUs para Facilitar la Administración y Delegación de la Directiva de Grupo

Aunque esta guía no trata sobre el diseño de Directorio Activo, es necesario algo de información sobre el diseño para dar una idea del uso de la Directiva de Grupo para administrar de forma segura los dominios, controladores de dominio y roles concretos del servidor de su empresa.

Las OUs ofrecen un modo sencillo de agrupar usuarios y otros elementos de seguridad, pero también proporcionan un mecanismo efectivo para segmentar los límites administrativos.

Además, el uso de las OUs para proporcionar distintos objetos de Directivas de Grupo (GPOs) basado en el rol servidor es una pieza integral de la arquitectura global de seguridad de la empresa.

Delegar la Administración y Aplicar Directivas de Grupo

Una OU es simplemente un contenedor dentro de un dominio. Usted puede delegar el control de una OU en un grupo o un individuo configurando listas de control de acceso (ACLs) concretas en cada uno de dichos contenedores.

17

A menudo, puede usar una OU para proporcionar capacidades administrativas similares a las de los dominios de recursos de Windows NT 4.0. También puede crear una OU que contenga un grupo de servidores de recursos para que los administren otros usuarios. Esto otorga a este grupo de usuarios un control autónomo sobre una OU concreta, sin aislarles del resto del dominio.

Es probable que los administradores que delegan el control sobre OUs concretas sean administradores de servicios. A un nivel menor de autoridad, los usuarios que controlan las OUs suelen ser administradores de datos.

Grupos Administrativos

La creación de grupos administrativos ofrece a los administradores una forma de segmentar clústeres de usuarios, grupos de seguridad o servidores en contenedores para su administración autónoma.

Por ejemplo, consideremos los servidores de infraestructura que residen en un dominio. Los servidores de infraestructura incluyen todos los controladores no de dominio que están ejecutando servicios de red básicos, incluidos los servidores que ejecutan los servicios WINS y DHCP. Todos los servidores DNS funcionan sobre controladores de dominio, que están en la OU de Controladores de Dominio. Los servidores DNS de este ejemplo no se consideran servidores de infraestructura.

A menudo, un grupo de operaciones o un grupo de administración de infraestructuras mantiene estos servidores. El uso de una OU puede aportar fácilmente capacidades administrativas a estos servidores.

Para crear una OU para la administración

1. Cree una OU llamada Servidores Miembro.

2. Cree una OU llamada Infraestructura.

3. Mueva todos los servidores WINS y DHCP a la OU de Infraestructura.

4. Cree un grupo de seguridad global llamado Administradores de Infraestructura con las cuentas de dominio apropiadas.

5. Ejecute el Asistente de Delegación de Control para dar al grupo de Administradores de infraestructura el valor Control Completo de la OU.

La siguiente ilustración ofrece una vista de alto nivel de una OU de este tipo.

Figura 2.1Delegación de administración de OUs

18

Dominio

Servidores Miembro

Infraestructura

Administradores de infraestructura

Ésta sólo es una de las muchas maneras de usar OUs para obtener la segmentación administrativa. Para organizaciones más complejas, vea la sección "Más Información" al final de este capítulo.

Después de seguir este procedimiento, el grupo de Administradores de Infraestructura debería tener el control completo sobre la OU de Infraestructura y todos los servidores y objetos que contiene. Esto les prepara para la próxima fase, proteger los roles del servidor con Directivas de Grupo.

Aplicación de las Directivas de Grupo

Utilice las Directivas de Grupo y la administración delegada para aplicar configuraciones específicas, permisos y comportamientos a todos los servidores de una OU. Mediante el uso de la Directiva de Grupo en lugar de aplicar manualmente cada paso, es sencillo actualizar varios servidores con los cambios adicionales que se necesiten en el futuro.

Las directivas de grupo se acumulan y aplican en el orden que muestra la siguiente ilustración.

Figura 2.2Jerarquía de aplicación del GPO

Como se ve en la ilustración, las directivas se aplican primero a nivel de directiva del ordenador local. Después, los GPOs se aplican a nivel del sitio y a continuación a nivel del dominio. Si el servidor está anidado en varias OUs, los GPOs existentes en la OU de mayor nivel se aplican primero. El proceso de aplicación de GPOs continúa de forma descendente según la jerarquía OU. El último GPO que se aplica es a nivel de la OU hija que contiene el objeto servidor. El orden de precedencia para procesar la Directiva de Grupo va desde la OU superior (la más lejana de la cuenta de usuario o del equipo) hasta la OU inferior (que contiene de hecho la cuenta de usuario o del equipo).

Tenga esto presente cuando aplique la Directiva de Grupo:

• Debe establecer orden de aplicación del GPO para los niveles de directiva de grupo con múltiples GPOs. Si hay varias directivas que especifican la misma opción, tendrá preferencia la última aplicada.

• Configurar una Directiva de grupo con la opción No anular evita que otros GPOs puedan anularla.

19

Proceso de políticas de grupoOrden de precedencia

Directiva de OU secundaria

Política de OU primaria

Política de dominio

Política de sitios

Política de seguridad local

Plantillas de Seguridad

Las plantillas de seguridad son archivos de texto. Puede modificar estos archivos usando el complemento de Plantillas de Seguridad en la Consola de Administración de Microsoft (MMC) o con un editor de texto como Notepad. Algunas secciones de los archivos de plantillas contienen ACLs específicas escritas mediante SDDL (Security Descriptor Definition Language). Puede encontrar más información sobre la edición de plantillas de seguridad y SDDL en MSDN.

Administrar las Plantillas

Por defecto, los usuarios autentificados tienen derecho a leer todos los valores que contiene un GPO. Por lo tanto, es muy importante almacenar las plantillas de seguridad utilizadas para un entorno de producción en una ubicación segura a la que sólo puedan acceder los administradores responsables de implementar la Directiva de Grupo. El objetivo no es evitar que se vean los archivos *.inf, sino evitar los cambios no autorizados en las plantillas de seguridad. Para adaptarse a esto, todos los ordenadores que ejecutan Windows Server 2003 almacenan las plantillas de seguridad en la carpeta %SystemRoot%\security\templates.

Sin embargo, esta carpeta no se replica a través de múltiples controladores de dominio. Por tanto, usted necesitará designar un controlador de dominio que aloje la copia maestra de las plantillas de seguridad para no encontrar problemas de control de versiones con las plantillas. Esto garantizará que siempre se modifica la misma copia de las plantillas.

Administrar la Directiva de Grupo e Importar Plantillas de Seguridad

El siguiente procedimiento importa las plantillas de seguridad incluidas con esta guía en la estructura OU sugerida en este capítulo. Antes de implementar el siguiente procedimiento en un controlador de dominio, los archivos concretos de la directiva (.inf) deben estar ubicados en un sistema Windows Server 2003 en el entorno.

Advertencia: Las plantillas de seguridad de esta guía están diseñadas para incrementar la seguridad de su entorno. Es muy posible que al instalarlas se pierdan algunas de las funcionalidades del entorno de su empresa. Esto podría incluir fallos en aplicaciones vitales.

Es esencial probar a fondo estas plantillas antes de implantarlas en un entorno de producción. Haga una copia de seguridad de todos los controladores de dominio y los servidores del entorno antes de aplicar cualquier configuración de seguridad. Asegúrese de que el estado del sistema está incluido en la copia de seguridad para que se puedan restaurar los valores de registro o los objetos de Directorio Activo.

Para importar las plantillas de seguridad de la Directiva de Dominio

1. En Usuarios y Equipos de Directorio Activo, haga clic con el botón secundario del ratón en Dominio y, a continuación, seleccione Propiedades.

2. En la pestaña Directiva de Grupo, haga clic en Nuevo para añadir un nuevo GPO.

3. Escriba Cliente Empresarial – Directiva de Dominio y pulse Enter.

4. Haga clic con el botón secundario en Cliente Empresarial – Directiva de Dominio, y después seleccione Sin anular.

5. Seleccione Cliente Empresarial – Directiva de Dominio y haga clic en Editar.

6. En la ventana Directiva de grupo, haga clic en Configuración del Equipo\Parámetros de Windows. Haga clic con el botón secundario en Configuraciones de seguridad y, a continuación, seleccione Importar Directiva.

7. En el cuadro de diálogo Importar Directiva Desde, diríjase a \Guía de seguridad\Ayudas de trabajo y, a continuación, haga doble clic en Cliente Empresarial - Domain.inf.

8. Cierre la Directiva de Grupo que ha sido modificada.

20

9. Cierre la ventana Propiedades de dominio.

10. Fuerce la replicación entre los controladores de dominio para que la directiva se aplique en todos ellos, mediante el procedimiento siguiente:

• Abra una ventana de comandos y use la herramienta de línea de comandos gpupdate.exe para que el controlador de dominio actualice la directiva de dominio con el comando: gpupdate /Force.

11. Compruebe en el Registro de Eventos que la Directiva de Grupo se ha descargado satisfactoriamente y que el servidor puede comunicarse con los demás controladores del dominio.

Advertencia: Al crear la Directiva de Dominio - Cliente Empresarial, asegúrese de que la opción No Anular está activada para ejecutar esta directiva en todo el dominio. Esta es la única Directiva de Grupo de esta guía en la que debe estar activada la opción No Anular. No active esta opción en ninguna otra directiva de grupo especificada en esta guía. Tampoco modifique la Directiva de Dominio por defecto de Windows Server 2003, por si necesita volver a los valores por defecto.

Para garantizar que esta directiva nueva tiene preferencia sobre la directiva por defecto, colóquela con la prioridad más alta entre los enlaces GPO.

Puede modificar directamente la directiva por defecto para crear una nueva configuración de seguridad, sin embargo, crear una nueva Directiva de Grupo tiene la ventaja de que, si hay problemas con ella, puede desactivarse fácilmente, permitiendo que la Directiva de Dominio por defecto recupere el control.

Gpupdate.exe es una herramienta de línea de comando que, al ser llamada desde un lote de archivos o un programador automático de tareas, puede usarse para aplicar automáticamente plantillas y para analizar la seguridad del sistema. También puede ejecutarse dinámicamente desde una línea de comando.

Importante: Esta directiva debe importarse a todos los dominios adicionales de la empresa. Sin embargo, no es raro encontrar entornos en los que la directiva de contraseñas del dominio raíz es mucho más estricta que en cualquier de los demás dominios. Hay que cuidarse de garantizar que todos los dominios que usarán esta misma directiva tengan los mismos requisitos empresariales. Dado que la directiva de contraseñas sólo puede configurarse a nivel de dominio, puede haber requisitos legales o empresariales que segmenten algunos usuarios en un dominio separado simplemente para obligarles a usar una directiva de contraseñas más estricta.

En los tres entornos definidos en esta guía, se usó la misma directiva para los dominios raíz y secundario, junto con la plantilla de seguridad asociada a cada uno de ellos. Por ejemplo, para cada nivel se usaron los archivos Cliente Heredado - Domain.inf, Cliente Empresarial - Domain.inf y Alta Seguridad - Domain.inf. Hay que usar procedimientos similares a estos para aplicar cualquiera de las plantillas siguientes para la directiva de referencia y las directivas adicionales.

21

Comprobar que el GPO se ha Aplicado Satisfactoriamente

Aparte de la comprobación manual de todos los parámetros para asegurarse de que se han aplicado adecuadamente a los servidores de su empresa, también debe aparecer un evento en el Registro de Eventos para informar al administrador de que la directiva de dominio se ha descargado satisfactoriamente en cada uno de los servidores. En el Registro de la Aplicación debe aparecer la siguiente información del evento con su propio número de ID de Evento:

Tipo: Información

ID de la fuente: SceCli

ID del Evento: 1704

Descripción: La Directiva de Seguridad se ha aplicado correctamente sobre los GPOs.

Para más información, diríjase al Centro de Ayuda y Soporte en http://go.microsoft.com/fwlink/events.asp.

Si este mensaje no aparece a los pocos minutos de aplicar la directiva de dominio, ejecute de nuevo la herramienta de línea de comando Gpupdate.exe para aplicar la directiva de dominio y reinicie el servidor para forzar la descarga de la directiva de dominio.

Las configuraciones de seguridad se actualizan cada 90 minutos en una estación de trabajo o en un servidor y cada 5 minutos en un controlador de dominio de manera predeterminada. Verá este evento si se da cualquier cambio durante esos intervalos. Además, las configuraciones se actualizan cada 16 horas, haya o no nuevos cambios.

Configuración Horaria

Debe asegurarse de que la hora del sistema es exacta y de que todos los servidores de la empresa usan la misma fuente horaria. El servicio W32Time de Windows Server 2003 proporciona sincronización horaria para los ordenadores basados en Windows Server 2003 y Windows XP que funcionan en un dominio de Directorio Activo.

El servicio W32Time sincroniza los relojes de los ordenadores basados en Windows Server 2003 con los controladores de dominio. Esto es necesario para que el protocolo de autentificación Kerberos versión 5 y NTLMv2 funcionen adecuadamente. Diversos componentes de la familia Windows Server necesitan que la hora sea exacta y esté sincronizada para funcionar correctamente. Si los relojes no están sincronizados en los clientes, el protocolo de autentificación Kerberos v5 puede interpretar erróneamente las peticiones de inicio de sesión como intentos de intrusión y denegar a los usuarios el acceso.

Otra importante ventaja de la sincronización horaria es la correlación de eventos en todos los clientes de la empresa. Sincronizar los relojes de los clientes de su entorno le garantiza que podrá analizar correctamente los eventos que tengan lugar en una secuencia uniforme en los clientes.

Kerberos es un protocolo de autentificación de red desarrollado por el MIT (Massachusetts Institute of Technology) que autentifica la identidad de los usuarios que intentan iniciar sesión en una red y encripta sus comunicaciones a través de la encriptación de clave secreta.

22

http://go.microsoft.com/fwlink/events.asp.%20%3C0

El servicio W32Time sincroniza los relojes mediante el protocolo NTP (Network Time Protocol). En un bosque Windows Server 2003, la hora se sincroniza así:

• El maestro de operaciones del emulador del PDC (Controlador de Dominio Principal) del dominio raíz del bosque es la fuente horaria con autoridad de la empresa.

• Todos los maestros de operaciones del PDC del bosque siguen la jerarquía de dominios al seleccionar un emulador del PDC con el que sincronizar la hora.

• Todos los controladores del dominio sincronizan su hora con el maestro de operaciones del emulador del PDC de su dominio como su socio temporal de entrada.

• Todos los servidores miembro y los equipos de escritorio cliente usan el controlador de dominio de autentificación como su socio temporal de entrada.

Para garantizar la exactitud de la hora, el emulador del PDC del dominio raíz del bosque puede sincronizarse con un servidor temporal NTP externo. Sin embargo, esto puede requerir que se abran los puertos del cortafuegos. NTP usa el puerto UDP 123. Antes, sopese las ventajas y el riesgo de seguridad potencial que conlleva hacer estos cambios en la configuración.

Para sincronizar una fuente horaria interna con una fuente horaria externa

1. Abra un Ventana de Comandos.

2. Escriba lo siguiente, donde PeerList es una lista separada por comas de nombres DNS o direcciones IP para las fuentes horarias deseadas:

w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

3. Para actualizar, teclee:

w32tm /config /update.

4. Compruebe el Registro de Eventos. Si el ordenador no puede llegar a los servidores, el procedimiento fallo y se escribe una entrada en el Registro de Eventos.

Este procedimiento se usa generalmente para sincronizar la fuente horaria interna de la red con una fuente horaria externa muy precisa. Sin embargo, este procedimiento puede ejecutarse en cualquier ordenador que ejecute Windows XP o un miembro de la familia Windows Server 2003.

En muchos casos, puede no ser necesario que todos los servidores sincronicen sus horas con una fuente interna, mientras estén sincronizados con la misma fuente interna.

Si los ordenadores de su entorno ejecutan los sistemas operativos Windows 98 o Windows NT 4.0, sincronice los relojes de esos equipos usando la siguiente línea de comando en un logon script donde <timecomputer> es un controlador de dominio de la red:

net time \\<timecomputer> /set /yes

La ejecución de este comando sincronizará los relojes de esos ordenadores con los relojes de los demás ordenadores del dominio.

Nota: Para un análisis exacto del registro, los ordenadores de red que ejecutan sistemas operativos distintos de Windows también deben sincronizar sus relojes con el emulador PDC de Windows Server 2003.

23

Unidades Organizativas del Rol de Servidor de Referencia

El ejemplo anterior de cómo administrar los servidores de infraestructura de una empresa puede extenderse para incluir otros servidores y servicios de una infraestructura corporativa. El objetivo es crear una Directiva de Grupo homogénea que abarque todos los servidores, al tiempo que garantiza que los servidores que residen en Directorio Activo cumplen los estándares de seguridad de su entorno.

Este tipo de Directiva de Grupo que abarca todos los servidores de su entorno forma una referencia coherente para las configuraciones estándar a través de todos los servidores de su empresa. Además, la estructura de la OU y la aplicación de Directivas de Grupo debe aportar un diseño granular para ofrecer configuraciones de seguridad a los servidores concretos de una empresa. Por ejemplo, IIS, Archivos, Impresión, IAS y Servicios de Certificación son sólo algunos de los roles del servidor en una empresa que pueden requerir directivas de grupo únicas.

Member Server Baseline Policy

El primer paso a la hora de establecer OUs de rol de servidor es crear una directiva de referencia. Para hacer esto, cree una plantilla de seguridad de referencia e impórtela a la Directiva de Grupo. Los archivos Cliente Empresarial-Member Server Baseline.inf se incluyen con esta guía de seguridad para ofrecerle su funcionalidad y orientación. El Cliente Empresarial es una referencia al nivel medio de seguridad basado en los requerimientos de compatibilidad de la empresa de los se habló en el Capítulo 1, "Introducción a la Guía de Seguridad de Windows Server 2003".

Enlace esta plantilla de seguridad del GPO a la OU de Servidores miembro. La plantilla de seguridad Enterprise Client-Member Server Baseline.inf aplicará la configuración de la Directiva de Grupo de referencia a todos los servidores de la OU de Servidores miembro, así como a todos los servidores de las OUs hijas. Para simplificar, los ejemplos restantes de este capítulo usan el nivel de seguridad Cliente Empresarial. La Member Server Baseline Policy se trata en el Capítulo 3, "Creación de un Servidor Miembro de referencia".

La Directiva de Grupo de referencia debe definir las configuraciones deseadas para todos los servidores de una empresa. Haga la Directiva de Grupo de referencia tan restrictiva como sea posible y segmente todos los servidores que necesite diferenciar de esta directiva en OUs de servidor distintas.

Tipos de Rol de Servidor y Unidades Organizativas

Continuando con el ejemplo anterior, cree una directiva distinta para los cambios graduales en las directivas de servidor de infraestructura. Coloque la configuración necesaria en una plantilla de seguridad llamada Cliente Empresarial-Infrastructure Server.inf, para asegurarse de que los servicios de infraestructura son accesibles en toda la red.

24

Enlace esta plantilla de infraestructura del GPO a la OU de Infraestructura. Por último, utilice la configuración de Grupos Restringidos para añadir al grupo de Administradores Locales en "Cliente Empresarial: Directiva del Servidor de Infraestructura" los tres grupos siguientes: Administradores de Dominio, Administradores Empresariales y Administradores de Infraestructura.

La siguiente ilustración le muestra el proceso.

Figura 2.3Configurar las directivas de grupo incrementales

Como se ha dicho anteriormente, ésta es sólo una de las muchas maneras posibles de crear una estructura OU para implantar los GPOs. Para más información sobre cómo crear OUs para implementar Directivas de Grupo, vea el artículo de TechNet "Cómo Implantar Directorio Activo" en:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/ windows2000/deploy/depovg/add.asp.

Esta guía de seguridad define varios roles de servidor. La tabla siguiente contiene plantillas creadas para incrementar la seguridad de estos roles al seguir el proceso anterior.

25

Directiva de Referencia del

Servidor Miembro de Cliente

Empresarial

Raíz de dominio

OU de servidores miembro

Directiva de Dominio del

Cliente Empresarial

Infraestructura Directiva del Servidor de

Infraestructura del Cliente

Empresarial

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/%20windows2000/deploy/depovg/add.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/AD/%20windows2000/deploy/depovg/add.asp

Tabla 2.1: Roles en Windows Server 2003

Rol del servidor Descripción Plantilla de seguridad

Controladores de Dominio de

Windows Server 2003

Grupo que contiene los controladores

de dominio de Directorio Activo.

Enterprise Client–Domain

Controller.inf

Servidores Miembro de

Windows Server 2003

Todos los servidores que son

miembros del dominio y residen en la

OU de servidor miembro.

Enterprise Client–Member Server

Baseline.inf

Servidores de Archivos de

Windows Server 2003

Grupo que contiene los servidores de

archivos bloqueados.

Enterprise Client – File Server.inf

Servidores de Impresión de

Windows Server 2003


impresión bloqueados.

Enterprise Client – Print Server.inf

Servidores de Infraestructura

de Windows Server 2003

Grupo que contiene los servidores

DNS, WINS y DHCP bloqueados.

Enterprise Client – Infrastructure

Server.inf

Servidores IAS de Windows

Server 2003


IAS bloqueados.

Enterprise Client – IAS Server.inf

Servidores de Servicios de

Certificación de Windows

Server 2003


Autoridad de Certificación (CA)

bloqueados.

Enterprise Client – CA Server.inf

Bastion hosts de Windows

Server 2003


orientados a Internet.

High Securityœ Bastion Host.inf

Servidores IIS de Windows

Server 2003

Grupo que contiene los servidores IIS

bloqueados.

Enterprise Client – IIS Server.inf

Es de esperar que todos los archivos de plantillas incrementales se apliquen a las OUs por debajo de la OU de servidores miembro. Por eso, cada una de estas OUs de nivel inferior requiere que usted les aplique el archivo Cliente Empresarial – Member Server Baseline.inf y el archivo incremental concreto para definir el rol que cumplirán en la empresa.

Los requisitos de seguridad son distintos para cada uno de estos roles del servidor. Las configuraciones de seguridad adecuadas para cada rol se abordan en detalle en los capítulos siguientes.

Importante: Esta guía presupone que los ordenadores que ejecutan Windows Server 2003 desempeñarán funciones específicas bien definidas. Si los servidores de su empresa no se ajustan a esos roles o tiene servidores multiuso, use las opciones configuración aquí definidas como pauta para crear sus propias plantillas de seguridad. Sin embargo, tenga presente que, cuantas más funciones desempeñen sus servidores, más vulnerables son ante un ataque.

26

La siguiente figura muestra el diseño final de la OU para dar soporte a los roles de servidor definidos.

Figura 2.4Ejemplo del diseño de una OU

27

Enterprise Client-Member

ServerBaseline.inf

Cliente Empresarial – Member Server Baseline Policy

High Security-Bastion Host

PolicyServer.inf

Directiva de Bastion Host para el entorno

de AltaSeguridad Bastion host

Raíz del Dominio

OU deServidoresMiembro

Archivo

Impresión

Infraestructura

Directiva de Dominio del Cliente

Empresarial

Controladoresde dominio

EnterpriseClient-Domain inf.

Directiva de Controlador de

Dominio del Cliente Empresarial

EnterpriseClient-FileServer.inf

Directiva de Servidor de Archivos del Cliente

Empresarial

Directiva de Servidor de Impresión del Cliente

Empresarial

Directiva de Servidor IAS del Cliente

Empresarial

Política de ClienteEmpresarial-

ServidorCA

Directiva del Servidor IIS del Cliente

Empresarial

Directiva de Servidorde Infraestructura delCliente Empresarial

EnterpriseClient-DomainController.inf

EnterpriseClient-PrintServer.inf

EnterpriseClient-IASServer.inf

EnterpriseClient-CAServer.inf

EnterpriseClient-IISServer.inf

EnterpriseClient-Infrastructure

Server.inf

Diseño de OUs, GPOs y Grupos administrativosLas OUs y directivas de grupo recomendadas mencionadas anteriormente crean una referencia o un nuevo entorno para remodelar la estructura OU existente de una empresa para los ordenadores que ejecutan Windows Server 2003. Además, los administradores usan sus límites de administración predefinidos para crear sus grupos respectivos de administración La siguiente tabla muestra la correspondencia entre estos grupos y las OUs que administran.

Tabla 2.2: OUs y Grupos administrativos

Nombre de la OU Grupo administrativo

Controladores de Dominio Ingeniería de Dominios

Servidores Miembro Ingeniería de Dominios

Infraestructura Operaciones

Archivos Operaciones

Impresión Operaciones

IAS Ingeniería de Dominios

CA Administradores Empresariales

Web Servicios Web

Cada grupo administrativo se ha creado dentro del entorno como un Grupo Global dentro del dominio secundario.

La Ingeniería de Dominios ha añadido cada uno de estos grupos administrativos al grupo restringido adecuado mediante el GPO correspondiente. Los grupos administrativos mencionados anteriormente sólo serán miembros del grupo de Administradores Locales para los ordenadores ubicados en las OUs que contengan específicamente ordenadores relacionados con sus funciones.

De manera predeterminada, los ingenieros de dominios configuran permisos para cada GPO de modo que sólo los administradores del grupo de ingeniería de dominios puedan editarlos.

Por defecto, la nueva estructura de OU hereda muchos parámetros de seguridad de su contenedor primario. Para cada OU, desactive el cuadro de selección para Permitir la propagación de los permisos heredables del objeto primario a éste y todos los objetos secundarios.

Para desactivar la opción Permitir los permisos heredables

1. Abra Equipos y Usuarios de Directorio Activo.

2. Seleccione la vista Avanzada haciendo clic en Ver y, a continuación, en Funciones avanzadas.

3. Haga clic con el botón secundario sobre la OU adecuada y, a continuación, haga clic en Propiedades.

4. Haga clic en la pestaña Seguridad y, a continuación, haga clic en Avanzada.

5. Desactive Permitir la propagación de los permisos heredables del objeto primario a éste y todos los objetos secundarios. Incluirlos en las entradas definidas específicamente.

Elimine los grupos innecesarios añadidos anteriormente por los administradores y añada el grupo de dominio que corresponde a cada OU de rol del servidor. Mantenga el valor Control Total para el grupo de Administradores de Dominio.

28

No es necesario aplicar un orden concreto al ejecutar estas tareas, pero hay algunas dependencias obvias. Por ejemplo, los grupos de dominio deben existir antes de poder delegar en ellos el control de las distintas OUs. La siguiente lista le sugiere el orden de implementación de estas tareas:

1. Cree la estructura de OU.

2. Mueva los ordenadores a las OUs apropiadas.

3. Cree los grupos administrativos.

4. Añada las cuentas de dominio adecuadas a los grupos administrativos.

5. Delegue la administración de cada OU a los grupos de dominio correspondientes.

6. Cree las Directivas de Grupo en la OU donde se van a aplicar.

7. Enlace cada Directiva de Grupo con las OUs adicionales que necesite.

8. Importe la plantilla de seguridad adecuada a cada GPO.

9. Configure los permisos de GPO para que los grupos de dominio apropiados tengan control sobre ellos.

10. Añada los grupos de dominio apropiados a los Grupos Restringidos de cada OU.

11. Pruebe y ajuste las directivas de grupo.

29

Directivas de DominioLos parámetros de seguridad de las Directivas de Grupo se pueden aplicar a distintos niveles en una empresa. El entorno de referencia del que se habló anteriormente usa la Directiva de Grupo para aplicar la configuración en los tres niveles jerárquicos siguientes de la infraestructura de dominio:

• Nivel de Dominio: Para cumplir los requisitos comunes de seguridad, tales como directivas de cuenta y de contraseñas que deben ejecutarse en todos los servidores del dominio.

• Nivel de Referencia: Para cumplir los requisitos de seguridad específicos del servidor que son comunes a todos los servidores de la infraestructura del dominio.

• Nivel de Rol: Para cumplir los requisitos de seguridad de los roles específicos del servidor. Por ejemplo, los requisitos de seguridad de los servidores de infraestructura son distintos de los de los servidores que ejecutan Internet Information Services (IIS).

Las siguientes secciones de este capítulo sólo abordan en detalle la directiva a Nivel de Dominio. La mayoría de las configuraciones de seguridad tratadas son para contraseñas y cuentas de usuarios. Cuando revise estas configuraciones y recomendaciones, tenga presente que todas las configuraciones se aplican a todos los usuarios que están dentro de los límites del dominio.

Descripción General de la Directiva de DominioLa Directiva de Grupo es extremadamente potente porque permite a un administrador configurar una red informática estándar. Al permitir a los administradores hacer cambios de seguridad simultáneamente en todos los ordenadores del dominio, o en subconjuntos del dominio, los GPOs pueden aportar una parte significativa de la solución de gestión de configuración para cualquier empresa.

Esta sección ofrece documentación detallada sobre las configuraciones de seguridad que puede usar para incrementar la seguridad de Windows Server 2003. Se incluyen tablas que describen el objetivo de seguridad de cada parámetro y la configuración necesaria para conseguir cada objetivo. Los parámetros se dividen en categorías que se corresponden con su presentación en la interfaz de usuario del Editor de Configuraciones de Seguridad de Windows Server 2003 (SCE, Security Configuration Editor).

Los tipos de cambios de seguridad que se pueden aplicar simultáneamente mediante la Directiva de Grupo incluyen:

• Modificación de los permisos del sistema de archivos.

• Modificación de los permisos en los objetos del registro.

• Cambios en las configuraciones del registro.

• Cambios en la asignación de permisos a usuarios.

• Configuración de los servicios del sistema.

• Configuración de los registros de auditoría y eventos.

• Configuración de las directivas de cuentas y contraseñas.

30

Directivas de CuentaLas directivas de cuenta, que incluyen las configuraciones de seguridad de la Directiva de Contraseñas, la Directiva de Bloqueo de Cuentas y la Directiva Kerberos, sólo son importantes en la Directiva de Dominios para los tres entornos de los que habla esta guía. La Directiva de Contraseñas proporciona un instrumento para ajustar la complejidad y cambiar los calendarios de las contraseñas de los entornos de alta seguridad. La Directiva de Bloqueo de Cuentas permite rastrear los intentos fracasados de inicio de sesión con contraseña para iniciar el bloqueo de la cuenta si es necesario. Las Directivas Kerberos se usan para las cuentas de usuarios del dominio y determinan los parámetros relacionados con Kerberos, como la vida útil de los tickets y su cumplimiento.

31

Directiva de ContraseñasUsar contraseñas complejas y cambiarlas regularmente reduce la probabilidad de que un ataque de contraseñas tenga éxito. La configuración de la Directiva de Contraseñas controla la complejidad y la vida útil de las contraseñas. Esta sección explica la configuración de cada directiva de contraseñas concreta y cómo se relacionan sus parámetros con cada uno de los tres entornos: Cliente Heredado, Cliente Empresarial y Alta Seguridad.

La creación de requisitos estrictos acerca de la longitud y complejidad de las contraseñas no implica necesariamente que los usuarios y administradores usen contraseñas sólidas. Al activar las directivas de contraseñas, los usuarios del sistema pueden cumplir los requisitos de complejidad técnica de la contraseña definidos por el sistema, pero se necesita una fuerte directiva de seguridad corporativa adicional para erradicar los malos hábitos en cuanto a las contraseñas. Por ejemplo, Breakfast! puede cumplir todos los requisitos de complejidad de una contraseña, pero no es muy difícil de descifrar.

Conociendo a la persona que ha creado la contraseña, usted puede ser capaz de adivinarla basándose en su comida, coche o película preferidos. Una de las estrategias de un programa de seguridad corporativa para educar a sus usuarios en la elección de contraseñas sólidas es crear un cartel que describa las contraseñas débiles y colocarlo en las áreas comunes, cerca de la máquina de bebidas o de la fotocopiadora. Su empresa debe establecer unas pautas para la creación de contraseñas adecuadas que incluyan:

• Evitar el uso de palabras que figuren en el diccionario, palabras con errores ortográficos comunes o ingeniosos y palabras extranjeras.

• Evitar la adición de un dígito a la contraseña.

• Evitar colocar números al principio o al final de la contraseña.

• Evitar usar contraseñas que otros puedan adivinar fácilmente mirando su escritorio (tales como nombres de mascotas, equipos deportivos o parientes).

• Evitar el uso de palabras de la cultura popular.

• Evitar pensar en contraseñas que sean palabras propiamente dichas: piense en códigos secretos.

• Obligar a usar contraseñas que deban teclearse con las dos manos sobre el teclado.

• Obligar a usar letras mayúsculas y minúsculas, números y símbolos en todas las contraseñas.

• Obligar a usar caracteres que sólo puedan escribirse pulsando la tecla Alt.

Estas pautas deben usarse también para todas las contraseñas de cuentas de servicios de la empresa. Las secciones siguientes incluyen las recomendaciones de la Directiva de Contraseñas para los tres entornos de seguridad definidos en esta guía. Estos valores se establecen en:

Configuración del equipo \ Configuración de Windows \Configuración de seguridad \Directiva de Cuenta \Directiva de contraseña

Forzar el historial de contraseñasTabla 2.3: Valores

Valor Predeterminado del Servidor Miembro

Cliente Heredado

Cliente Empresarial

Alta Seguridad

24 contraseñas memorizadas 24 contraseñas

memorizadas

24 contraseñas

memorizadas

24 contraseñas

memorizadas

El parámetro Forzar el historial de contraseñas determina el número de contraseñas únicas nuevas que deben asociarse a la cuenta de un usuario antes de que sea posible reutilizar una contraseña antigua. Debe fijarse el valor entre 0 y 24 contraseñas. El valor por defecto para

32

Windows Server 2003 es el máximo, 24 contraseñas. Este parámetro de la directiva permite a los administradores incrementar la seguridad, garantizando que no se reutilizan continuamente las contraseñas antiguas. Para mantener la efectividad del historial de contraseñas, configure también la Vida mínima de la contraseña para evitar que las contraseñas sean cambiadas inmediatamente. Así, es difícil que los usuarios reutilicen las contraseñas, sea accidental o conscientemente.

Puesto que hay vulnerabilidades comunes asociadas a la reutilización de contraseñas, y especificar un número pequeño para este parámetro permitiría a los usuarios reciclar continuamente un escaso número de contraseñas, esta recomendación es válida para todos los entornos definidos en esta guía. Además, hay problemas desconocidos relacionados con el cambio de este valor al número máximo en los entornos que contienen clientes heredados.

Vida máxima de la contraseñaTabla 2.4: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

42 días 42 días 42 días 42 días

Puede configurar el parámetro Vida máxima de la contraseña para que las contraseñas caduquen tan a menudo como sea necesario para su entorno. Los valores por defecto de este parámetro van desde 1 a 999 días. Este parámetro de la directiva define el período durante el cual un atacante que ha obtenido una contraseña puede usarla para acceder a un equipo de la red antes de que la contraseña caduque. Cambiar regularmente las contraseñas es un modo de evitar que se pongan en peligro. El valor por defecto de este parámetro es de 42 días.

La mayor parte de las contraseñas pueden obtenerse si se tiene suficiente tiempo y potencia de cálculo; cuanto más frecuentemente cambia la contraseña, menos tiempo tiene el atacante para obtenerla antes de que se cree una nueva que inutilice sus esfuerzos para obtener la antigua. Sin embargo, cuanto menor es el valor de este parámetro, es más alta la posibilidad de que se incrementen las llamadas al servicio de soporte. Para equilibrar las necesidades de seguridad y facilidad de uso de los entornos corporativos, puede incrementar este parámetro en el Cliente Heredado y en el Cliente Empresarial. Estos valores recomendados incrementan la seguridad de las contraseñas garantizando que se cambian periódicamente. Además, los valores recomendados evitan que los usuarios tengan que cambiar su contraseña con tanta frecuencia que no puedan recordarla.

Vida mínima de la contraseñaTabla 2.5: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

1 día 2 días 2 días 2 días

33

El parámetro Vida mínima de la contraseña determina el número de días que debe usarse una contraseña antes de que el usuario la cambie. El rango de valores de este parámetro va desde 0 hasta 999 días. Fijarlo en 0 le permite cambiar la contraseña inmediatamente. El valor por defecto para este parámetro es de 1 día.

El parámetro Vida mínima de la contraseña debe ser menor que el parámetro Vida máxima de la contraseña, a menos que la Vida máxima de la contraseña se ajuste a 0, lo cual indicaría que las contraseñas nunca caducan. En este caso, la Vida mínima de la contraseña puede tomar cualquier valor entre 0 y 999.

Ajuste la Vida mínima de la contraseña a un valor mayor que 0 si quiere que Forzar el historial de contraseñas sea eficaz. Sin una vida mínima de la contraseña, los usuarios pueden rotar repetidamente sus contraseñas hasta llegar a una antigua favorita.

Cambie este valor a 2 días porque, cuando el valor se usa en conjunción con un valor pequeño similar para el parámetro Forzar el historial de contraseñas, la restricción disuade a los usuarios de reciclar una y otra vez la misma contraseña. Si la Vida mínima de la contraseña se fija en un día y Forzar el historial de contraseñas se configura para 2 contraseñas, los usuarios sólo tendrían que esperar dos días enteros antes de cambiar las contraseñas.

El valor por defecto no sigue esta recomendación, de modo que el administrador puede especificar una contraseña para un usuario y exigirle que cambie dicha contraseña al iniciar una sesión. Si el historial de contraseñas se fija en 0, el usuario no tiene que escoger una nueva contraseña. Por eso, el valor por defecto de Forzar el historial de contraseñas es 1. También evita que los usuarios eludan la restricción Configurar el historial de contraseñas configurando rápidamente 24 contraseñas nuevas.

Longitud mínima de la contraseñaTabla 2.6: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

7 caracteres 8 caracteres 8 caracteres 12 caracteres

El parámetro Longitud mínima de la contraseña garantiza que las contraseñas tengan como mínimo un cierto número de caracteres. Las contraseñas largas (ocho o más caracteres) suelen ser más sólidas que las cortas. Con esta directiva, los usuarios no pueden usar contraseñas en blanco y se ven obligados a crear contraseñas que tengan un determinado número de caracteres.

El valor por defecto para este parámetro es de 7 caracteres, pero se recomienda la contraseña de ocho caracteres porque es lo suficientemente larga para ofrecer un cierto nivel de seguridad y lo bastante corta para que los usuarios la recuerden con facilidad. Este parámetro ofrece una buena defensa contra los ataques comunes con diccionario y fuerza bruta.

Un ataque con diccionario es un método para obtener una contraseña a través de pruebas y errores en el cual el atacante usa todos los elementos de una lista de palabras. Un ataque por fuerza bruta es un método de obtener una contraseña u otro texto encriptado probando todos los valores posibles. La viabilidad de un ataque por la fuerza bruta depende de la longitud de la contraseña, el tamaño del conjunto de caracteres potenciales y la capacidad informática de la que disponga el atacante.

Esta guía recomienda que en el entorno de Alta Seguridad se fije la longitud de la contraseña en 12 caracteres.

34

Las contraseñas se almacenan en la base de datos SAM (Security Accounts Manager) o en Directorio Activo después de pasar a través de un algoritmo hash. Este tipo de algoritmo no es reversible. Por lo tanto, la única forma de saber si tiene la contraseña correcta es ejecutarla a través del mismo algoritmo hash y comparar los resultados. Los ataques con diccionario ejecutan diccionarios enteros a través del proceso de encriptación, buscando las coincidencias. Hay un enfoque simplista, pero muy efectivo, para averiguar quién ha usado palabras corrientes como “contraseña” o “invitado” en las contraseñas de sus cuentas.

Si una contraseña tiene siete caracteres o menos, la segunda parte del hash LM se resuelve como un valor concreto que informa al atacante de que la contraseña tiene menos de ocho caracteres. Exigir contraseñas de al menos ocho caracteres refuerza incluso el hash LM más débil porque las contraseñas más largas requieren que los atacantes desencripten cada contraseña en dos partes en vez de en solo una. Dado que las dos mitades del hash LM pueden atacarse en paralelo, la segunda mitad del hash LM sólo tiene un carácter; sucumbirá a un ataque por fuerza bruta en milisegundos, por lo que realmente no será muy útil a menos que sea un conjunto de caracteres ALT.

Además, cada carácter adicional de la contraseña incrementa exponencialmente su complejidad. Por ejemplo: una contraseña de siete caracteres tendría 267 o 1 x 107 combinaciones posibles. Una contraseña alfabética de siete caracteres sensible a las mayúsculas y minúsculas tiene 527 combinaciones. Una contraseña alfanumérica de siete caracteres sensible a las mayúsculas y minúsculas tiene 627 combinaciones. A razón de 1.000.000 de intentos por segundo, sólo se tardaría 48 minutos en averiguarla. Una contraseña de ocho caracteres tiene 268 o 2 x 1011 combinaciones posibles. En principio, puede parecer un número sorprendente. Sin embargo, a razón de 1.000.000 de intentos por segundo, que es la capacidad de muchas utilidades de obtención de contraseñas, sólo se tardarían 59 horas en probar todas las contraseñas posibles. Recuerde que estos plazos se incrementan en gran medida con las contraseñas que usan los caracteres ALT y otros caracteres especiales, como “!” o “@”.

Por estos motivos, no se recomienda usar contraseñas breves en lugar de otras más largas. Sin embargo, requerir contraseñas demasiado largas puede generar un gran número de errores al teclearlas, lo cual produce un incremento del número de cuentas bloqueadas y de llamadas de soporte. Además, exigir contraseñas extremadamente largas puede reducir de hecho la seguridad de una empresa, porque es probable que los usuarios anoten sus contraseñas por miedo a olvidarlas.

La contraseña debe cumplir los requisitos de complejidad Tabla 2.7: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Activado Activado Activado Activado

La opción La contraseña debe cumplir todos los requisitos de complejidad comprueba todas las nuevas contraseñas para garantizar que cumplen los requisitos de una contraseña sólida.

Los requisitos de complejidad se fuerzan cuando se crean las contraseñas. Las reglas de la directiva de Windows Server 2003 no pueden modificarse directamente. Sin embargo, usted puede crear una nueva versión de passfilt.dll para aplicar un conjunto diferente de valores. Si quiere ver el código fuente de passfilt.dll, vea el artículo 151082: "HOW TO: Password Change Filtering & Notification in Windows NT" de la Knowledge Base de Microsoft.

Se puede crear una contraseña de 20 o más caracteres que resulte más fácil de recordar para el usuario (y más segura) que una de ocho caracteres. La siguiente contraseña de 27 caracteres: I love cheap tacos for $.99, por ejemplo. Este tipo de contraseña, en realidad una frase, puede ser más fácil de recordar que una más corta como P@55w0rd.

35

Este valor recomendado, combinado con una Longitud mínima de la contraseña de 8, incluye letras mayúsculas y minúsculas y números del teclado, lo cual incrementa el número de caracteres de 26 a 62 caracteres. Una contraseña de ocho caracteres tendrá entonces 2.18 x 1014 combinaciones posibles. A razón de 1.000.000 de intentos por segundo, se tardaría 6,9 años en comprobar todas las permutaciones posibles. El uso conjunto de estos parámetros hace muy difícil un ataque por la fuerza bruta. Por estas razones, esta es la recomendación para los tres entornos definidos en esta guía.

Almacenar las contraseñas mediante la encriptación reversibleTabla 2.8: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Desactivado Desactivado Desactivado

La configuración de seguridad para Almacenar las contraseñas mediante la encriptación reversible determina si el sistema operativo almacena las contraseñas usando la encriptación reversible o no.

Esta directiva soporta que las aplicaciones usen protocolos que requieran que el usuario se autentifique mediante una contraseña. Las contraseñas almacenadas mediante la encriptación reversible se pueden recuperar más fácilmente que las contraseñas almacenadas sin esta opción, lo cual incrementa la vulnerabilidad. Por eso, no active nunca esta directiva a menos que los requerimientos de la aplicación sean más importantes que la necesidad de proteger la información de contraseñas.

El protocolo CHAP (Challenge-Handshake Authentication Protocol) a través de acceso remoto o IAS y Digest Authentication en IIS requieren esta directiva.

Cómo Evitar que los Usuarios Cambien una Contraseña Excepto Cuando Les Sea RequeridoAdemás de las directivas de contraseñas ya mencionadas, algunas empresas requieren un control centralizado sobre todos los usuarios. Esta sección describe cómo evitar que los usuarios cambien sus contraseñas excepto cuando se les pide que lo hagan.

El control centralizado de las contraseñas de los usuarios control es un principio básico de un esquema de seguridad Windows Server 2003 bien estructurado. Puede usar la Directiva de Grupo para configurar la vida mínima y máxima de las contraseñas, como se ha explicado anteriormente. Pero tenga presente que el exigir cambios frecuentes de contraseñas puede hacer que los usuarios eviten el historial de contraseñas de su entorno. Requerir contraseñas demasiado largas puede producir más llamadas al equipo de soporte, dado que los usuarios las olvidan.

Los usuarios pueden cambiar sus contraseñas durante los períodos mínimo y máximo de vida de la contraseña. Sin embargo, el diseño del entorno de Alta Seguridad requiere que los usuarios cambien sus contraseñas sólo cuando el sistema operativo se lo pida pasados 42 días, según está configurado el parámetro Vida máxima de la contraseña. Para evitar que los usuarios cambien sus contraseñas (excepto cuando se les pida), puede deshabilitar la opción Cambiar Contraseña en el cuadro de dialogo Seguridad de Windows que aparece al pulsar la combinación de teclas CTRL+ALT+SUPR.

Puede implementar esta configuración para un dominio entero usando una Directiva de Grupo, o implementarlo para uno o más usuarios concretos editando el registro. Si quiere instrucciones detalladas sobre esta configuración, vea el artículo de la Knowledge Base de Microsoft "CÓMO: Impedir que los usuarios cambien una contraseña excepto cuando se les pida en Windows Server 2003" en http://support.microsoft.com/default.aspx?scid=324744.

36

Directiva de bloqueo de cuentasLa Directiva de Bloqueo de Cuentas es una característica de seguridad de Windows Server 2003 que bloquea la cuenta de un usuario después de un número de intentos de inicio de sesión fallidos durante un cierto período de tiempo. El usuario no puede iniciar sesión en una cuenta de Windows Server 2003 bloqueada y el software servidor puede configurarse para responder a este tipo de posible ataque deshabilitando la cuenta para un número predeterminado de intentos fallidos de iniciar una sesión.

Al configurar la Directiva de Bloqueo de Cuentas en Windows Server 2003, el administrador puede fijar cualquier valor para las variables número de intentos y período de tiempo. Sin embargo, si el valor del parámetro Reiniciar el contador de bloqueo de la cuenta después de es mayor que el valor del parámetro Duración del bloqueo de la cuenta, Windows Server 2003 ajusta automáticamente el valor de la Duración del bloqueo de la cuenta al mismo valor que el parámetro Reiniciar el contador de bloqueo de la cuenta después de. Además, si el valor de la Duración del bloqueo de la cuenta es menor que el valor fijado para el parámetro Reiniciar el contador de bloqueo de la cuenta después de, Windows Server 2003 ajusta automáticamente el valor del parámetro Reiniciar el contador de bloqueo de la cuenta después de al mismo que Duración del bloqueo de la cuenta. Por lo tanto, si se define la Duración del bloqueo de la cuenta, el parámetro Reiniciar el contador de bloqueo de la cuenta después de debe ser menor o igual que la Duración del bloqueo de la cuenta.

Windows Server 2003 hace esto para evitar configuraciones conflictivas de los parámetros de la directiva de seguridad. Si el administrador configura el parámetro Reiniciar el contador de bloqueo de la cuenta después de en un valor mayor que el de la Duración del bloqueo de la cuenta, la ejecución del parámetro Duración del bloqueo de la cuenta caducará primero, haciendo así posible que el usuario vuelva a iniciar sesión en la red. Sin embargo, el parámetro Reiniciar el contador de bloqueo de la cuenta después de continuará su cuenta. Por ello, el umbral del bloqueo de la cuenta permanecerá en el máximo de tres intentos fallidos y el usuario no podrá iniciar sesión.

Para evitar esta situación, Windows Server 2003 pone automáticamente a cero el valor del parámetro Reiniciar el contador de bloqueo de la cuenta después de para igualarlo al valor del parámetro Duración del bloqueo de la cuenta.

Estos parámetros de la directiva de seguridad ayudan a evitar que los atacantes adivinen las contraseñas de un usuario y reducen la probabilidad de que un ataque contra su entorno de red tenga éxito. Se puede configurar el valor de las siguientes secciones en la Directiva de Grupo de Dominio en la siguiente ubicación:

Configuración del equipo\ Configuración de Windows\Configuración de seguridad\Directiva de cuenta\Directiva de bloqueo de cuentas

Duración del Bloqueo de la CuentaTabla 2.9: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido 30 minutos 30 minutos 15 minutos

El parámetro Duración del bloqueo de la cuenta determina el período de tiempo antes de que una cuenta se desbloquee y el usuario pueda intentar iniciar una sesión de nuevo. El parámetro hace esto especificando el número de minutos que una cuenta bloqueada permanecerá disponible. Ajustar a 0 el valor del parámetro Duración del bloqueo de la cuenta mantiene la cuenta bloqueada hasta que el administrador la desbloquee. El valor por defecto de Windows Server 2003 para este parámetro es No Definido.

37

Aunque configurar el valor de este parámetro para que la cuenta nunca se desbloquee automáticamente puede parecer una buena idea, hacerlo puede incrementar el número de llamadas de soporte en relación con cuentas bloqueadas por error. Fijar el valor de este parámetro en 30 minutos para los entornos Cliente Heredado y Cliente Empresarial y en 15 minutos para el nivel de Alta Seguridad reduce los costes operativos durante un ataque por denegación por servicio (DoS). En un ataque DoS, el atacante efectúa maliciosamente un número de intentos fallidos de inicio de sesión sobre todos los usuarios de la empresa, bloqueando sus cuentas. Este valor del parámetro da a los usuarios bloqueados la oportunidad de volver a iniciar sesión al cabo de 30 minutos, un período de tiempo que pueden aceptar sin recurrir al soporte de escritorio.

Esta guía recomienda fijar el valor en 15 minutos para el entorno de Alta Seguridad.

Umbral de Bloqueo de la CuentaTabla 2.10: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

0 intentos fallidos de inicio de

sesión

50 intentos fallidos de

inicio de sesión


inicio de sesión


inicio de sesión

El parámetro Umbral de bloqueo de la cuenta determina el número de intentos de inicio de sesión que tiene un usuario antes de que la cuenta se bloquee.

Los usuarios autorizados pueden bloquear su cuenta ellos mismos introduciendo incorrectamente su contraseña o cambiando su contraseña en un ordenador mientras tienen una sesión iniciada en otro. El ordenador con la contraseña incorrecta intenta continuamente autentificar al usuario, pero como la contraseña con la que lo intenta es incorrecta, finalmente la cuenta del usuario se bloquea. Para evitar el bloqueo de usuarios autentificados, dé al umbral de bloqueo de la cuenta un valor alto.

Dado que pueden existir vulnerabilidades tanto si este parámetro se ha configurado como si no, hay distintas contramedidas para cada una de estas posibilidades. Su empresa debe sopesar la elección basándose en las amenazas y riesgos identificados que intenta mitigar.

38

• Para evitar los bloqueos de cuentas, fije en 0 el valor del parámetro Umbral de Bloqueo de la Cuenta. Esto le ayuda a reducir el número de llamadas de soporte, porque los usuarios no pueden bloquear sus cuentas accidentalmente, y evita un ataque DoS dirigido a bloquear intencionadamente las cuentas de su empresa. Ya que no puede evitar un ataque por fuerza bruta, escoja este parámetro sólo si se cumplen explícitamente los dos criterios siguientes:

• La directiva de contraseñas obliga a todos los usuarios a tener contraseñas complejas de ocho o más caracteres.

• Un robusto mecanismo de auditoría alerta a los administradores cuando se da una serie de bloqueos de cuentas en el entorno. Por ejemplo, la solución de auditoría debe controlar el evento de seguridad 539, "Fallo de inicio de sesión. La cuenta se ha bloqueado al intentar iniciar una sesión". Este evento significa que la cuenta se ha bloqueado a la vez que se ha superado el umbral de intentos de inicio de sesión. Sin embargo, el evento 539 sólo muestra el bloqueo de una cuenta, no un intento fallido de introducir una contraseña. Por lo tanto, los administradores deben vigilar también si ha habido una serie de intentos erróneos de introducción de contraseñas.

• Si no se cumplen estos criterios, la segunda opción es configurar el parámetro Umbral de bloqueo de cuenta a un valor lo suficientemente alto para ofrecer a los usuarios la posibilidad de teclear varias veces mal su contraseña accidentalmente sin bloquear sus cuentas, garantizando al mismo tiempo que un ataque por fuerza bruta sí bloqueará la cuenta. En este caso, fijar el número de intentos no válidos de iniciar sesión en un valor alto como 50 garantiza la seguridad y una facilidad de uso aceptable. Este valor evitará los bloqueos accidentales de la cuenta y reducirá las llamadas de soporte, pero no evitará un ataque DoS, como ya se ha dicho.

Esta guía recomienda fijar en 10 el número de intentos de inicio de sesión en el entorno de Alta Seguridad.

Restablecer el contador del bloqueo de las cuentas después deTabla 2.11: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido 30 minutos 30 minutos 15 minutos

El parámetro Reiniciar el contador de bloqueo de la cuenta después de determina el período de tiempo antes de que el Umbral de bloqueo de la cuenta llegue a 0 y la cuenta se desbloquee. Si define un Umbral de bloqueo de la cuenta, el tiempo de reinicio debe ser menor o igual que el valor del parámetro Duración del bloqueo de la cuenta.

En coordinación con los demás valores configurados como parte de esta guía, dejar este parámetro con su valor por defecto o configurarlo a un intervalo demasiado largo puede hacer que su entorno sea vulnerable a un ataque DoS de bloqueo de cuentas. Sin una directiva para reiniciar el bloqueo de la cuenta, los administradores tendrían que desbloquear todas las cuentas manualmente. Al revés, si hay un valor de tiempo razonable para este parámetro, los usuarios quedarían bloqueados durante un cierto período hasta que todas las cuentas se desbloqueen automáticamente. El valor recomendado de 30 minutos define un período de tiempo que los usuarios probablemente aceptarán sin recurrir al departamento de soporte. Dejar este parámetro con su valor por defecto sólo le permite hacer frente a un bloqueo de cuenta por denegación de servicio si mantiene sus valores y cambia los demás tal como le recomendamos. Bajar el nivel reduce los costes operativos durante un ataque por denegación de servicio (DoS). En un ataque DoS, el atacante efectúa maliciosamente un número de intentos fallidos de inicio de sesión sobre todos los usuarios de la empresa, bloqueando sus cuentas.

Esta guía recomienda fijar el valor en 15 minutos para el entorno de Alta Seguridad.

39

Directiva KerberosLas directivas Kerberos se usan para las cuentas de usuarios de dominio. Estas directivas determinan los parámetros relacionados con el protocolo Kerberos versión 5, como la vida útil de los tickets y su ejecución. Las directivas Kerberos no existen en la directiva del ordenador local. Disminuir la vida útil de los tickets Kerberos reduce el riesgo de que un atacante robe las contraseñas y se haga pasar por usuarios legítimos. Sin embargo, mantener estas directivas incrementa los costes de autorización. En la mayoría de los entornos no se deben cambiar los valores por defecto para estas directivas. Los parámetros Kerberos se incluyen en la Directiva de Dominio por Defecto y se fuerzan en ella, por lo que esta guía no los incluye en las plantillas de seguridad adjuntas.

Esta guía no ofrece ningún cambio para la directiva Kerberos por defecto. Para más detalles acerca de su configuración, por favor, diríjase a la guía complementaria,”Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP“.

40

Opciones de SeguridadLa directiva de cuentas debe definirse en la Directiva de Dominio por Defecto y se ejecuta mediante los controladores de dominio que estructuran el dominio. Un controlador de dominio siempre obtiene la directiva de cuenta del GPO de Directiva de Dominio por Defecto, incluso si se aplica una directiva de cuenta diferente a la OU que contiene el controlador de dominio.

Hay dos directivas en las Opciones de Seguridad que se comportan también como directivas de cuentas y deben ser consideradas a nivel del dominio. Puede configurar los valores de la Directiva de Grupo de Dominio de la tabla siguiente en esta ubicación:

Configuración del Equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

Servidor de red de Microsoft: Desconectar a los clientes al expirar las horas de sesiónTabla 2.12: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Activado Activado Activado

El parámetro de seguridad Servidor de red de Microsoft: Desconectar a los clientes al expirar las horas de sesión determina si se desconecta a los usuarios que estén conectados al ordenador local fuera de las horas válidas de inicio de sesión de su cuenta de usuario. Este parámetro afecta al componente SMB (Server Message Block). Cuando se activa esta directiva, las sesiones clientes con el servicio SMB se desconectan a la fuerza al acabar las horas de inicio de sesión del cliente. Si se desactiva esta directiva, se permite que una sesión cliente establecida se mantenga una vez que las horas de inicio de sesión del cliente han expirado. Al activar este parámetro, también debe activar Seguridad de red: forzar la desconexión al expirar las horas de sesión

Si su empresa ha configurado horas de sesión para los usuarios, tiene sentido activar esta directiva; de lo contrario, los usuarios que se supone que son incapaces de acceder a los recursos de red fuera de sus horas de sesión pueden ser capaces de hecho de continuar usando esos recursos con sesiones establecidas durante las horas permitidas.

Si en su empresa no se usan las horas de sesión, la activación de este parámetro no tendrá impacto. Si se usan las horas de sesión, las sesiones de los usuarios existentes terminarán a la fuerza cuando acaben sus horas de sesión.

Acceso a la red: Permitir la conversión SID/NAME anónima Tabla 2.13: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Desactivado Desactivado Desactivado

El parámetro Acceso a la Red: Permitir la conversión SID/NAME anónima determina si un usuario anónimo puede solicitar el SID de otro usuario.

41

Si esta directiva está activada en un controlador de dominio, un usuario que conozca los atributos SID de un administrador podría contactar un ordenador que también tenga esta directiva activada y usar el SID para obtener el nombre del administrador. Entonces, esa persona podría usar el nombre de cuenta para iniciar un ataque intentando adivinar la contraseña. En los ordenadores miembro este parámetro está desactivado por defecto; por lo tanto, no tendrá impacto sobre ellos. Sin embargo, el valor por defecto para los controladores de dominio es Activado. La desactivación de este parámetro puede provocar que los sistemas heredados sean incapaces de comunicarse con los dominios basados en Windows Server 2003, como:

• Servidores RAS basados en Windows NT 4.0.

• Cuando una aplicación Web sobre IIS se configura para permitir la Autentificación básica y al mismo tiempo tiene desactivado el Acceso anónimo, la cuenta integrada de usuario Invitado no puede acceder a la aplicación Web. Además, si cambia el nombre de la cuenta integrada de usuario Invitado, no se puede usar el nombre nuevo para acceder a la aplicación Web.

• Los servidores RAS que se ejecutan en ordenadores basados en Windows 2000 ubicados en dominios Windows NT 3.x o Windows NT 4.0.

Seguridad de Red: Forzar la desconexión al acabar las horas de sesiónTabla 2.14: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Activado Activado Activado

El parámetro Seguridad de Red: Forzar la desconexión al acabar las horas de sesión determina si se desconecta a los usuarios que están conectados a un ordenador local fuera de las horas válidas de sesión de su cuenta de usuario. Este parámetro afecta al componente SMB.

Si se activa esta directiva, se desconectan a la fuerza las sesiones cliente del servidor SMB cuando acaban las horas de inicio de sesión del cliente; es decir, el usuario no podrá iniciar una sesión en el sistema hasta su siguiente período de acceso programado. La desactivación de esta directiva mantiene la sesión cliente establecida una vez terminadas las horas de sesión del cliente. Para afectar a las cuentas de dominio, hay que definir este parámetro en la Directiva de Dominio Predeterminada.

42

ResumenHay que tener en cuenta varias consideraciones de diseño al revisar el diseño de un bosque, un dominio y una OU (Unidad Organizativa) para proteger un entorno.

Es importante investigar y documentar todos los requerimientos concretos de autonomía y aislamiento de la empresa. La autonomía política, el aislamiento operativo y el aislamiento legal o administrativo son todas razones válidas para considerar diseños de bosque complejos.

Es importante entender cómo controlar los administradores de servicios. Los administradores de servicios maliciosos pueden suponer un gran riesgo para una empresa. A un nivel más bajo, los administradores de dominio maliciosos pueden acceder a los datos de todos los dominios del bosque.

Aunque puede no ser fácil cambiar el diseño del bosque o el dominio de una empresa, puede ser necesario para paliar algunos riesgos de seguridad de la empresa. También es importante planificar la implantación de la OU en la empresa de acuerdo con las necesidades de los administradores de servicio y los administradores de los datos. Este capítulo ha abordado en detalle la creación de un modelo de OU que soporte el uso de GPOs para la administración continua de los distintos roles del servidor de la empresa.

Por último, el capítulo pone de relieve la importancia de revisar la configuración de todos los dominios de la empresa. Sólo se puede configurar un conjunto de directivas de contraseña, bloqueo de cuenta y protocolo de autentificación Kerberos versión 5 para cada dominio. Los demás parámetros de contraseña y bloqueo de cuentas sólo afectan a las cuentas locales de los servidores miembro. Planifique la configuración de los parámetros que se aplicarán a todos los servidores miembro del dominio y asegúrese de que ofrecen un nivel adecuado de seguridad en toda la empresa.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con la creación de una infraestructura de dominio y con Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para información sobre las directivas locales y de cuenta para Windows 2000, Windows XP y Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsnetserver/proddocs/server/sag_sceacctpols.asp.

Para información sobre la seguridad y la privacidad en Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/default.asp.

Para más información sobre las Diez Leyes Inmutables de la Seguridad, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/ essays/10imlaws.asp.

Para información sobre las consideraciones de diseño para delegar la administración en Directorio Activo, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/ windows2000/plan/addeladm.asp.

Para información sobre la configuración de un Servidor Horario, vea el artículo de la Knowledge Base de Microsoft "Cómo configurar un servidor horario autorizado en Windows 2000", en: http://support.microsoft.com/default.aspx?scid=216734.

43

http://support.microsoft.com/default.aspx?scid=216734

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/%20windows2000/plan/addeladm.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ad/%20windows2000/plan/addeladm.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/%20essays/10imlaws.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/columns/security/%20essays/10imlaws.asp

http://www.microsoft.com/security

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsnetserver/proddocs/server/sag_sceacctpols.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsnetserver/proddocs/server/sag_sceacctpols.asp

Para información sobre cómo acceder a la Red y permitir la conversión SID/NAME, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp.

Para información sobre la seguridad de Red y la desconexión al expirar las horas de sesión, consulte:

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/566.asp.

No se Puede Utilizar la Cuenta de Invitado Cuando se Desactiva el Acceso Anónimo http://support.microsoft.com/default.aspx?scid=kb;en-us;251171.

44

http://support.microsoft.com/default.aspx?scid=kb;en-us;251171

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/566.asp


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/windowsserver2003/proddocs/server/623.asp

3Creación de un Servidor Miembro de Referencia

Descripción generalEste capítulo documenta los requisitos de configuración para administrar una plantilla de seguridad de referencia para todos los servidores que ejecutan Microsoft® Windows Server™ 2003. También ofrece orientación administrativa para instalar y configurar un sistema Windows Server 2003 seguro en los tres entornos empresariales. Los requisitos de configuración del capítulo conforman la base para todos los demás procedimientos de mejora que se aplican a loa roles de servidor específicos que se mencionan en los capítulos posteriores de la guía.

Las recomendaciones de configuración de este capítulo establecen una sólida base para los servidores de aplicaciones de negocio en el entorno empresarial. Sin embargo, usted debe probar exhaustivamente la coexistencia de estas configuraciones de seguridad con las aplicaciones empresariales de su empresa antes de implementarlas en entornos de producción.

Las recomendaciones de configuración de este capítulo son aplicables en la mayoría de las empresas y pueden implementarse tanto en los sistemas nuevos como en los existentes que ejecutan Windows Server 2003. Las configuraciones de seguridad por defecto de Windows Server 2003 han sido investigadas, revisadas y probadas. Si quiere información acerca de todas las configuraciones por defecto y una explicación detallada de cada uno de los parámetros tratados en este capítulo, diríjase a la guía complementaria, Amenazas y Contramedidas: Parámetros de Seguridad en Windows Server 2003 y Windows XP, disponible en http://go.microsoft.com/fwlink/?LinkId=15159. Sin embargo, la mayoría de las siguientes recomendaciones de configuración son para niveles de seguridad más altos que las configuraciones predeterminadas.

Las configuraciones de seguridad de referencia para los sistemas Windows Server 2003 de entornos empresariales tratadas en este capítulo se refieren a los tres entornos definidos a continuación. Los entornos son:

45

• Cliente Heredado: Proporciona una seguridad adecuada que no limita los entornos mixtos. El nivel Cliente Heredado es propio de los entornos con clientes heredados. Este entorno es el nivel más bajo de cierre de seguridad definido en esta guía. Para proteger más los entornos, las empresas pueden optar por migrar al siguiente nivel de seguridad, el nivel Cliente Empresarial, o comenzar en este nivel si no tienen clientes heredados que proteger. Este entorno empresarial incluye las estaciones de trabajo de Microsoft Windows® 98, Microsoft Windows NT® 4.0 Workstation, Windows 2000 Professional y Windows XP Professional. Este entorno sólo contiene controladores de dominio Windows 2000 o posteriores. No hay controladores de dominio Windows NT 4.0 en este entorno, pero pueden existir servidores miembro Windows NT.

• Cliente Empresarial: Proporciona una seguridad sólida diseñada para un nuevo entorno de sistema. Este entorno empresarial incluye los clientes que ejecutan Windows 2000 Professional y Windows XP Professional. La mayor parte del trabajo necesario para pasar del Entorno Heredado al Entorno Empresarial es la actualización de los clientes heredados, por ejemplo de Windows 98 y Windows NT 4.0 Workstation a Windows 2000 o Windows XP. Todos los controladores de dominio de este entorno son Windows 2000 Server o posteriores. Los servidores miembro de este entorno son Windows 2000 Server o posteriores.

• Alta Seguridad: Proporciona unos estándares mejorados de seguridad con respecto al nivel previo, Cliente Empresarial. La migración del Entorno Empresarial al Entorno de Alta Seguridad requiere que tanto los clientes como los servidores se adapten a unas rigurosas directivas de seguridad. Este entorno contiene clientes que ejecutan Windows 2000 Professional, Windows XP Professional y controladores de dominio que ejecutan Windows 2000 Server o posteriores. En el entorno de Alta Seguridad, la preocupación por la seguridad es tan alta que la pérdida significativa de funcionalidad y facilidad de uso se considera un inconveniente aceptable para conseguir el máximo nivel de seguridad. Los servidores miembro de este entorno son Windows 2000 Server o posteriores.

La siguiente figura muestra las tres capas de seguridad y los clientes que soporta cada una.

Figura 3.1Niveles de seguridad existentes y planeados

46

Nivel 1 – Entorno Cliente heredado Un entorno empresarial que contiene los siguientes clientes:

Windows 98Estación de trabajo Windows NT 4.0Windows 2000 Professional Windows XP Professional

Nivel 2 - Entorno Cliente EmpresarialUn entorno empresarial que contiene los siguientes clientes: Windows 2000 Professional Windows XP Professional

Nivel 3 - Entorno de Alta SeguridadUn entorno empresarial que contiene los siguientes clientes y directivas:

Windows 2000 Professional Windows XP Professional Directivas y estándares de seguridad que

contienen el nivel más alto de protección

Las empresas que quieran ofrecer una aproximación por etapas para la protección de sus entornos pueden decidir comenzar en el nivel Cliente Heredado y evolucionar gradualmente hacia los niveles más altos de seguridad conforme sus aplicaciones y ordenadores clientes se van actualizando y probando con configuraciones de seguridad más estrictas.

La siguiente figura muestra cómo se usan las plantillas de seguridad del archivo .inf como base para la MSBP (Member Server Baseline Policy) del Cliente Empresarial. La figura muestra también uno de los modos para enlazar esta directiva y aplicarla a todos los servidores de una empresa.

En Windows Server 2003 se incluyen por defecto los parámetros de configuración en un nivel seguro. En muchos casos, este capítulo prescribe configuraciones en vez de valores por defecto y fuerza valores por defecto concretos para los tres entornos definidos en esta guía. Si quiere información sobre todas las configuraciones por defecto, vea la guía complementaria, Amenazas y Contramedidas: Parámetros de Seguridad en Windows Server 2003 y Windows XP, disponible en http://go.microsoft.com/fwlink/?LinkId=15159.

Figura 3.2La plantilla de seguridad Member Server Baseline.inf para el Cliente Empresarial se importa en la MSBP, que se enlaza con los Servidores miembro o con la OU

47

EnterpriseClient-Member

ServerBaseline inf.

Directiva de referencia de

Cliente Empresarial-

Servidor miembro

OU de servidoresmiembro

Directiva de nivel de Cliente

Empresarial-Dominio

OUs de controladores de

dominio

Raíz de dominio

Archivo

Web

Infraestructura

EnterpriseClient-Domain

Level inf.

EnterpriseClient-DomainControllers. Inf.

Directiva de Cliente Empresarial-Rol de servidor de archivos

Directiva de Cliente Empresarial-Rol de

servidor IIS

Directiva de Cliente Empresarial-Rol de

servidor deinfraestructura

Directiva de Cliente Empresarial-

Controladores de dominio

EnterpriseClient-File

Server Role.inf

EnterpriseClient-IIS

Server Role.inf

EnterpriseClient-Infrastructure

Server Role.inf

En los capítulos restantes de la guía se explican los procedimientos mejorados para los roles concretos del servidor se definen. Los roles de servidor principales de la guía son:

• Controladores de dominio, que incluyen los servicios DNS.

• Roles de servidor de infraestructura que incluyen:

• Windows Internet Name Service (WINS)

• Dynamic Host Configuration Protocol (DHCP)

• Archivo

• Impresión

• Internet Information Services (IIS)

• Microsoft Internet Authentication Server (IAS)

• Servidores de Servicios de Certificación (CA)

• Bastion hosts

Muchos de los parámetros que aparecen en la MSBP del Cliente Empresarial siguiente también se aplican a los roles del servidor de los tres entornos definidos en esta guía. Las plantillas de seguridad se diseñan excepcionalmente para afrontar las necesidades de seguridad de cada entorno particular. La tabla siguiente muestra la relación entre las plantillas de seguridad de referencia y los tres entornos. Si hacen falta detalles específicos para los niveles de Cliente Heredado, Cliente Empresarial o Alta Seguridad, la plantilla de seguridad relacionada con la directiva de referencia recomendada contiene la identidad de nivel para distinguir cuál es la plantilla adecuada. Por ejemplo, el archivo Enterprise Client – Member Server Baseline.inf es la plantilla de seguridad recomendada para el entorno de Cliente Empresarial.

Tabla 3.1: Plantillas de Seguridad de Referencia para los Tres Entornos

Cliente Heredado Cliente Empresarial Alta SeguridadLegacy Client – Member Server Baseline.inf

Enterprise Client – Member Server Baseline.inf

High Security – Member Server Baseline.inf

Los parámetros de seguridad comunes a todos los entornos de las plantillas de seguridad Member Server Baseline.inf se describen en la sección posterior de la Directiva de Referencia de Windows Server 2003. Estas plantillas de seguridad de referencia son también el punto de partida para las plantillas de seguridad de los controladores de dominio definidas en el Capítulo 4, "Protección de Controladores de Dominio".

La plantilla Enterprise Client– Domain Controllers Role.inf proporciona la referencia para el GPO (Group Policy object) de la Directiva de Grupo de Controladores de Dominio y se enlaza con la OU (Organizational Unit) de Controladores de Dominio de los tres entornos. El Capítulo 2, “Configuración de la Infraestructura de Dominio”, ofrece instrucciones paso a paso para crear las OUs y las Directivas de Grupo y para importar las plantillas de seguridad adecuadas a cada GPO.

Nota: Algunos procedimientos de protección no pueden automatizarse mediante la Directiva de Grupo; éstos se describen en la sección Procedimientos Adicionales de Protección de Servidores miembro de este capítulo.

48

Directiva de Referencia de Windows Server 2003La configuración a nivel de OU de Servidor Miembro definen los parámetros comunes para todos los servidores miembro del dominio. Esto se hace creando un GPO enlazado a la OU de Servidor miembro, conocido como una directiva de referencia. El GPO automatiza el proceso de configuración de los parámetros de seguridad concretos para cada servidor. Los parámetros siguientes se describen tal como aparecen en la interfaz del usuario (UI) del complemento Configuración del Editor de Seguridad (SCE)

49

Directiva de AuditoríaLos administradores deben establecer una directiva de auditoría. Una directiva de auditoría determina los eventos de seguridad de los que hay que informar a los administradores de red para registrar la actividad del usuario o del sistema en las categorías de eventos especificadas. El administrador puede controlar la actividad relacionada con la seguridad, como por ejemplo quién accede a un objeto, si un usuario inicia o termina una sesión en un ordenador o si se han hecho cambios en la configuración de una directiva de auditoría.

Antes de implementar las directivas de auditoría, hay que decidir qué categorías de eventos es necesario auditar en el entorno corporativo. Los parámetros de auditoría que el administrador para las categorías de eventos definen la directiva corporativa de auditoría. Definiendo los parámetros de auditoría para las categorías concretas de eventos, los administradores pueden crear una directiva de auditoría que se ajuste a las necesidades de seguridad de una empresa.

Si no se configura ninguna auditoría, será difícil o imposible determinar qué ha pasado durante un incidente de seguridad. Sin embargo, si se configura la auditoría para que demasiadas actividades autorizadas generen eventos, el registro de eventos de seguridad se llenará de datos inútiles. Por lo tanto, las recomendaciones siguientes ayudan a equilibrar las decisiones acerca de qué controlar para qué los datos recopilados sean relevantes.

La tabla siguiente incluye las recomendaciones de configuración de la Directiva de Auditoría para los tres entornos definidos en esta guía. Advertirá que los valores de la mayoría de los parámetros son similares en los tres entornos.

Los valores siguientes pueden configurarse en la sección Directiva de Grupo de Dominio de Windows Server 2003 en la siguiente ubicación:

Configuración del Equipo\Configuración de Windows \Configuración de Seguridad\Directivas Locales\Directiva de Auditoría

Para leer un resumen de los parámetros prescritos en esta sección, vea la hoja de cálculo de Excel Configuraciones de la Guía de Seguridad de Windows Server 2003. Si quiere información sobre los valores por defecto y una explicación detallada de los parámetros mencionados en esta sección vea la guía complementaria, Amenazas y Contramedidas: Parámetros de Seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159

Auditar eventos de inicio de sesión en cuentaTabla 3.2: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Éxito Éxito/Fallo Éxito/Fallo Éxito/Fallo

El parámetro Auditar eventos de inicio de sesión en cuenta determina si auditar cada instancia de un usuario iniciando o terminando una sesión en otro ordenador que valide la cuenta. La autentificación de una cuenta de usuario del dominio en un controlador de dominio genera un evento de inicio de sesión en la cuenta. El evento se registra en el registro de seguridad del controlador de dominio. La autentificación de un usuario local en un ordenador local genera un evento de inicio de sesión. El evento se registra en el registro local de seguridad. No se registran los eventos de final de sesión en cuenta.

50

La tabla siguiente incluye algunos de los eventos importantes de seguridad que este parámetro registra en el registro de Eventos de Seguridad.

Tabla 3.3: Eventos de Inicio de Sesión en Cuenta

ID del Evento

Descripción del Evento

672 Se ha emitido y validado correctamente un ticket del servicio de autentificación (AS)

673

Se ha concedido un ticket del servicio de concesión de tickets (TGS). Un TGS es un

ticket emitido por el servicio de concesión de tickets de Kerberos versión 5 que permite a

un usuario autentificarse para un servicio específico del dominio

674 Un principal de seguridad ha renovado un ticket del AS o del TGS

675 Error de autentificación previa. Este evento se genera en un Centro de Distribución de

Claves (KDC) cuando el usuario introduce una contraseña incorrecta

676 Error de la petición del ticket de autentificación. Este evento no se genera en Windows

XP Professional ni en los miembros de la familia Windows Server

677 No se ha concedido un ticket del TGS. Este evento no se genera en Windows XP

Professional ni en los miembros de la familia Windows Server

678 Se ha asignado correctamente una cuenta a una cuenta de dominio

681

Fallo de inicio de sesión. Se ha intentado iniciar una sesión de cuenta de dominio. Este

evento no se genera en Windows XP Professional ni en los miembros de la familia

Windows Server

682 Un usuario se ha conectado de nuevo a una sesión de Terminal Server desconectada

683 Un usuario ha desconectado la sesión de Terminal Server sin cerrarla primero

Las IDs de evento anteriores pueden ser útiles al crear alertas personalizadas para supervisar cualquier paquete de software, por ejemplo, Microsoft Operations Manager (MOM).

Administración de la cuenta de auditoríaTabla 3.4: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sin auditoría Éxito/Fallo Éxito/Fallo Éxito/Fallo

Estas IDs de eventos pueden ser útiles en la creación de alertas personalizadas para controlar cualquier suite de software, por ejemplo, Microsoft Operations Manager (MOM):

• Se crea, modifica o elimina un grupo o la cuenta de un usuario.

• Se renombra, desactiva o activa la cuenta de un usuario.

• Se configura o modifica una contraseña.

Las empresas necesitan poder determinar quién ha creado, modificado o eliminado las cuentas locales y de dominio. Los cambios no autorizados podrían indicar cambios equivocados realizados por un administrador que no sabe cómo seguir las directivas corporativas o un ataque deliberado.

Por ejemplo, los eventos de fallos de administración de cuentas a menudo indican que un administrador de menor nivel o un atacante que ha puesto en peligro la cuenta de un administrador de menor nivel pueden estar intentando elevar sus privilegios. Desde los registros se puede ver qué cuentas ha modificado o creado un atacante.

51

Por esta razón, la contramedida para este parámetro es configurarlo para incluir los valores de Éxito y Fallo para los tres entornos. La tabla siguiente incluye algunos de los eventos de seguridad que este parámetro registra en el registro de Eventos de Seguridad.

Tabla 3.5: Eventos de Administración de Cuentas

ID del Evento


624 Se ha creado una cuenta de usuario

627 Se ha modificado una cuenta de usuario

628 Se ha configurado una cuenta de usuario

630 Se ha eliminado una cuenta de usuario

631 Se ha creado un grupo global

632 Se ha añadido un miembro a un grupo global

633 Se ha eliminado un miembro de un grupo global

634 Se ha eliminado un grupo global

635 Se ha creado un nuevo grupo local

636 Se ha añadido un miembro a un grupo local

637 Se ha eliminado un miembro de un grupo local

638 Se ha eliminado un grupo local

639 Se ha modificado una cuenta de grupo local

641 Se ha modificado una cuenta de grupo global

642 Se ha modificado una cuenta de usuario

643 Se ha modificado una directiva de dominio

644 Una cuenta de usuario ha sido bloqueada automáticamente

645 Se ha creado una cuenta de equipo

646 Se ha modificado una cuenta de equipo

647 Se ha eliminado una cuenta de equipo

648 Se ha creado una directiva de seguridad local con la seguridad desactivada.

Nota: SECURITY_DISABLED formalmente significa que este grupo no puede usarse

para conceder permisos en las comprobaciones de acceso.

649 Se ha modificado un grupo de seguridad local con la seguridad desactivada

650 Se ha añadido un miembro a un grupo de seguridad local con la seguridad desactivada

651 Se ha eliminado un miembro de un grupo de seguridad local con la seguridad

desactivada

652 Se ha eliminado un grupo local con la seguridad desactivada

653 Se ha creado un grupo local con la seguridad desactivada

654 Se ha modificado un grupo local con la seguridad desactivada

655 Se ha añadido un miembro a un grupo de seguridad global con la seguridad desactivada

656 Se ha eliminado un miembro de un grupo de seguridad global con la seguridad

desactivada

657 Se ha eliminado un grupo global con la seguridad desactivada

658 Se ha creado un grupo global con la seguridad activada

659 Se ha modificado un grupo global con la seguridad activada

660 Se ha añadido un miembro a un grupo universal con la seguridad activada

661 Se ha eliminado un miembro de un grupo universal con la seguridad activada

662 Se ha eliminado un grupo universal con la seguridad activada

663 Se ha creado un grupo universal con la seguridad desactivada

52

(continuación)

664 Se modificó un grupo universal con seguridad desactivada.

665 Se ha añadido un miembro a un grupo universal con la seguridad desactivada

666 Se ha eliminado un miembro de un grupo universal con la seguridad desactivada

667 Se ha eliminado un grupo universal con la seguridad desactivada

668 Se ha modificado el tipo de un grupo

684 Se ha configurado el descriptor de seguridad de los miembros del grupo administrativo.

Nota: En un controlador de dominio, cada 60 minutos, un thread en segundo plano

investiga todos los miembros de los grupos administrativos (como los administradores de

dominio, empresariales y del esquema) y aplica un descriptor fijo de seguridad. Este

evento queda registrado.

685 Se ha modificado el nombre de una cuenta

Las IDs de los eventos mencionadas pueden ser útiles a la hora de crear alertas personalizadas para controlar cualquier suite de software, por ejemplo, MOM. La mayoría del software de administración de operaciones se puede personalizar con scripts para capturar o marcar eventos según sus IDs.

Auditar el acceso al servicio de directorio Tabla 3.6: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No auditar Éxito/Fallo Éxito/Fallo Éxito/Fallo

El parámetro Auditar el acceso al servicio de directorios determina si se audita el hecho de que un usuario acceda a un objeto del directorio de servicios de Directorio Activo que tiene su propio SACL (system access control list, lista de control de acceso al sistema) concreto. Configurar el parámetro Auditar el acceso al servicio de directorios en No Auditar hace difícil o imposible determinar qué objetos de Directorio Activo se han visto en peligro durante un incidente de seguridad. No habrá ninguna evidencia de auditoría disponible para el análisis tras un incidente de seguridad si este parámetro no se configura con los valores Éxito y Fallo.

Configurar el parámetro Auditar el acceso al servicio de directorios en Éxito genera una entrada de auditoría cada vez que un usuario accede con éxito a un objeto de Directorio Activo con un SACL concreto. Configurar este parámetro en Fallo genera una entrada de auditoría cada vez que un usuario intenta acceder sin éxito a un objeto de Directorio Activo con un SACL concreto.

Tabla 3.7: Eventos de Acceso al Servicio de Directorios

ID del Evento


566 Ha tenido lugar una operación genérica de

objeto.

Auditar eventos de inicio de sesiónTabla 3.8: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Éxito Éxito/Fallo Éxito/Fallo Éxito/Fallo

El parámetro Auditar eventos de inicio de sesión determina si se audita cada instancia de un usuario iniciando o terminando una sesión en un ordenador. Se generan registros desde el parámetro Eventos de inicio de sesión en cuenta en los controladores de dominio para

53

controlar la actividad de las cuentas de dominio y en los ordenadores locales para controlar la actividad de las cuentas locales.

Configurar el parámetro Auditar eventos de inicio de sesión en No auditar hace difícil o imposible determinar qué usuario ha iniciado o ha intentado iniciar sesión en los ordenadores de la empresa. La activación del valor Éxito para el parámetro Auditar eventos de inicio de sesión en un miembro del dominio generará un evento cada vez que alguien inicie una sesión en el sistema, independientemente de en qué parte del sistema residan las cuentas. Si el usuario inicia una sesión en una cuenta local y el parámetro Auditar eventos de inicio de sesión en cuenta está Activado, el inicio de sesión del usuario generará dos eventos.

No habrá ninguna evidencia de auditoría disponible para el análisis tras un incidente de seguridad si este parámetro no se configura con los valores Éxito y Fallo en los tres entornos definidos en esta guía.

Tabla 3.9: Auditar eventos de inicio de sesión

ID del Evento

Auditar Eventos de Inicio de Sesión

528 Un usuario ha iniciado la sesión correctamente en un equipo.

529 Fallo en el inicio de sesión. El intento de inicio de sesión se ha realizado con un nombre

de usuario desconocido o con un nombre de usuario conocido y una contraseña

incorrecta.

530 Fallo en el inicio de sesión. El intento de inicio de sesión se ha realizado con un nombre

de usuario desconocido o con un nombre de usuario conocido y una contraseña

incorrecta.

531 Fallo en el inicio de sesión. Se ha producido un intento de inicio de sesión con una

cuenta desactivada.

532 Fallo en el inicio de sesión. Se produjo un intento de inicio de sesión con una cuenta

caducada.

533 Fallo en el inicio de sesión. El usuario no tiene permiso para iniciar la sesión en este

equipo.

534 Fallo en el inicio de sesión. El usuario ha intentado iniciar la sesión con un tipo de inicio

de sesión no permitido.

535 Fallo en el inicio de sesión. La contraseña de la cuenta especificada ha caducado.

536 Fallo en el inicio de sesión. El servicio Inicio de sesión en la red no está activo.

537 Fallo en el inicio de sesión. Error del intento de inicio de sesión por otras razones

Nota: En algunos casos, la razón del fallo puede no ser conocida.

538 Un usuario cerró la sesión.

539 Fallo en el inicio de sesión. La cuenta se bloqueó cuando se intentó iniciar la sesión.

540 Un usuario ha iniciado la sesión correctamente en la red.

541 Se ha completado la autentificación IKE (Internal Key Exchange) en modo principal entre

el ordenador local y la identidad recíproca (estableciendo una asociación de seguridad) o

el modo rápido ha establecido un canal de datos.

542 Se ha finalizado el canal de datos.

54

(Continuación)

543 Se ha finalizado el modo principal.

Nota: Esto puede ocurrir como resultado del vencimiento del límite de tiempo de la

asociación de seguridad (el valor predeterminado es de ocho horas), cambios en la

directiva o finalización recíproca.

544 La autentificación en modo principal ha fallado porque la otra parte no ha proporcionado

un certificado válido o no se ha validado la firma.

545 La autentificación en modo principal ha fallado debido a un fallo en Kerberos o a una

contraseña que no es válida.

546 El establecimiento de la asociación de seguridad IKE ha fallado porque la otra parte ha

enviado una petición que no es válida. Se ha recibido un paquete con datos que no son

válidos.

547 Ha ocurrido un fallo durante un saludo IKE.

548 Fallo en el inicio de sesión. El identificador de seguridad (SID) de un dominio fiable no

concuerda con el SID del dominio de la cuenta del cliente.

549 Fallo en el inicio de sesión. Se han filtrado todos los SIDs correspondientes a las

asignaciones de nombres no fiables durante una autentificación a través de bosques.

550 Mensaje de notificación que podría indicar un posible ataque de negación de servicio

(DoS).

551 Un usuario ha iniciado el proceso de desconexión.

552 Un usuario ha iniciado correctamente una sesión en un equipo utilizando credenciales

explícitas mientras todavía mantenía abierta una sesión como un usuario diferente.

682 Un usuario se ha conectado de nuevo a una sesión de Terminal Server desconectada.

683 Un usuario ha desconectado la sesión de Terminal Server sin cerrarla primero.

Nota: Este evento se genera cuando un usuario está conectado a una sesión de

Terminal Server en la red. Aparece en Terminal Server.

Auditar el acceso a objetosTabla 3.10: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No auditar Éxito/Fallo Éxito/Fallo Éxito/Fallo

Por sí mismo, este parámetro no provoca que se audite ningún evento. El parámetro Auditar el acceso a objetos determina si se audita el evento del acceso de un usuario a un objeto (por ejemplo, un archivo, una carpeta, una clave de registro, una impresora, etc.) que tiene especificado un SACL.

Una SACL se compone de entradas de control de acceso (ACEs). Cada ACE contiene tres informaciones:

• El usuario, ordenador o grupo principal de seguridad que se va auditar.

• El tipo de acceso concreto que se va a auditar, llamado máscara de acceso.

• Un flag para indicar si se auditan los eventos de acceso fallido, los eventos de acceso con éxito o ambos.

Configurar este parámetro en Éxito genera una entrada de auditoría cada vez que un usuario accede con éxito a un objeto con un SACL concreto. Configurar este parámetro en Fallo genera una entrada de auditoría cada vez que un usuario intenta acceder sin éxito a un objeto con un SACL concreto.

Las empresas deben definir sólo las acciones que quieren activadas al configurar los SACLs. Por ejemplo, puede que usted quiera activar el parámetro Escribir y Adjuntar la Auditoría de Datos en los archivos ejecutables para rastrear las sustituciones o cambios en estos archivos,

55

provocados generalmente por virus informáticos, gusanos y troyanos. De modo similar, puede que quiera rastrear los cambios o incluso la lectura de documentos delicados.

Por lo tanto, esta guía recomienda que se activen los valores de auditoría Éxito y Fallo para este parámetro en los tres entornos definidos en esta guía.

56

Tabla 3.11: Eventos de Acceso a Objetos

ID del Evento


560 Se ha concedido acceso a un objeto ya existente.

562 Se ha cerrado un identificador de un objeto.

563 Se ha intentado abrir un objeto con la intención de eliminarlo.

Nota: Utilizado por los sistemas de archivos cuando se especifica el indicador

FILE_DELETE_ON_CLOSE en Createfile().

564 Se ha eliminado un objeto protegido.

565 Se ha concedido acceso a un tipo de objeto ya existente.

567 Se ha utilizado un permiso asociado con un controlador.

Nota: Un controlador se crea con ciertos permisos (Lectura, Escritura, etc.). Cuando se

utiliza el controlador, se genera hasta una auditoría para cada uno de los permisos que

utilizados.

568 Se ha intentado crear un hard link a un archivo que se está auditando.

569 El administrador de recursos de la aplicación Administrador de Autorizaciones ha

intentado crear un contexto cliente.

570 Un cliente ha intentado acceder a un objeto.

Nota: Se generará un evento para cada operación que se intente sobre el objeto.

571 La aplicación Administrador de Autorizaciones ha eliminado el contexto cliente.

572 El Administrador de Autorizaciones ha iniciado la aplicación.

772 El Administrador de Certificados ha denegado una petición pendiente de certificado.

773 Los Servicios de Certificación han recibido una petición de certificado reenviada.

774 Los Servicios de Certificación han revocado un certificado.

775 Los Servicios de Certificación han recibido una petición para publicar la lista de

revocación de certificados (CRL).

776 Los Servicios de Certificación han publicado la CRL.

777 Se ha hecho una extensión a la petición de certificado.

778 Uno o más atributos de la petición de certificado han cambiado.

779 Los Servicios de Certificación han recibido una petición de cierre.

780 Se ha iniciado la copia de seguridad de los Servicios de Certificación.

781 Se ha completado la copia de seguridad de los Servicios de Certificación.

782 Se ha iniciado la restauración de los Servicios de Certificación.

783 Se ha completado la restauración de los Servicios de Certificación.

784 Se han iniciado los Servicios de Certificación.

785 Se han detenido los Servicios de Certificación.

786 Los permisos de seguridad para los Servicios de Certificación han cambiado.

787 Los Servicios de Certificación han recuperado una clave archivada.

788 Los Servicios de Certificación han importado un certificado a su base de datos.

789 El filtro de auditoría para los Servicios de Certificación ha cambiado.

790 Los Servicios de Certificación han recibido una petición de certificado.

791 Los Servicios de Certificación han aprobado una petición de certificado y han emitido un

certificado.

792 Los Servicios de Certificación han denegado una petición de certificado.

793 Los Servicios de Certificación han establecido como pendiente el estado de una petición

de certificado.

794 Las configuraciones del administrador de certificados para los Servicios de Certificación

han cambiado.

57

(Continuación)

795 Ha sido modificada una entrada de configuración en los Servicios de Certificación.

796 Ha sido modificada una propiedad de los Servicios de Certificación.

797 Los Servicios de Certificación han archivado una clave.

798 Los Servicios de Certificación han importado y archivado una clave.

799 Los Servicios de Certificación han publicado el certificado de autoridad de certificación

(CA) en Directorio Activo.

800 Se han eliminado una o más filas de la base de datos de certificados.

801 Se ha activado la separación de roles.

Auditar los cambios en la directivaTabla 3.12: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Auditar Éxito Éxito Éxito

El parámetro Auditar los cambios en la directiva determina si se auditan todos los incidentes de cambios en las directivas de asignación de permisos, directivas de auditoría y directivas de confianza. Esto incluye los cambios en la directiva de auditoría en sí misma.

Configurar este parámetro en Éxito genera una entrada de auditoría para cada cambio satisfactorio en las directivas de asignación de permisos, directivas de auditoría y directivas de confianza. Configurar este parámetro en Fallo genera una entrada de auditoría para cada cambio fallido en esas directivas.

Los valores recomendados le permiten ver si un atacante intenta elevar los privilegios de alguna cuenta (por ejemplo, añadiendo el privilegio Depurar programas o el privilegio Hacer una copia de seguridad de archivos y directorios. La auditoría de cambios en la directiva incluye también los cambios en la directiva de auditoría en sí misma, así como los cambios en las relaciones de confianza.

Nota: Esta guía recomienda que se configure en Éxito el valor de este parámetro sólo porque configurarlo en Fallo no aportará información de acceso significativa. Actualmente, la configuración de este parámetro en Fallo no captura eventos significativos.

58

Tabla 3.13: Auditar Eventos de Cambio en la Directiva

ID del Evento


608 Se ha asignado un permiso de usuario.

609 Se ha eliminado un permiso de usuario.

610 Se ha creado una relación de confianza con otro dominio.

611 Se ha eliminado una relación de confianza con otro dominio.

612 Se ha modificado una directiva de auditoría.

613 Se ha iniciado un agente de la directiva IPSec.

614 Se ha desactivado un agente de la directiva IPSec.

615 Ha cambiado un agente de la política IPSec.

616 Un agente de la política IPSec ha encontrado un fallo potencialmente grave.

617 Una directiva de Kerberos versión 5 ha cambiado.

618 Una directiva de Recuperación de Datos Encriptados ha cambiado.

620 Se modificó una relación de confianza con otro dominio.

621 Se ha otorgado a una cuenta acceso al sistema.

622 Se ha eliminado el acceso al sistema desde una cuenta.

623 La política de auditoría se ha establecido en una base por usuario

625 La política de auditoría se ha actualizado en una base por usuario.

768 Se ha detectado una colisión entre un elemento de una asignación de nombres de un

bosque y un elemento de una asignación de nombres de otro bosque.

Nota: Cuando un elemento de una asignación de nombres de un bosque coincide con un

elemento de una asignación de nombres de otro bosque, se puede generar ambigüedad

al resolver un nombre de una de las dos asignaciones. Esta coincidencia también se

conoce como colisión. No todos los parámetros son válidos para cada tipo de entrada.

Por ejemplo, campos como el nombre DNS, el nombre NetBIOS y el SID no son válidos

para una entrada del tipo 'TopLevelName.'

769 Se ha añadido información fiable del bosque.

Nota: Este mensaje de evento se genera cuando la información de confianza del bosque

se actualiza y se añaden una o más entradas. Se genera un mensaje de evento por cada

entrada añadida, borrada o modificada. Si se añaden, eliminan o modifican varias

entradas en una sola actualización de la información de confianza del bosque, se asigna

a todos los mensajes de eventos generados un identificador único conocido como una ID

de operación. Esto le permite saber que los diversos mensajes de eventos generados

son el resultado de una sola operación. No todos los parámetros son válidos para cada

tipo de entrada. Por ejemplo, el nombre DNS, el nombre NetBIOS y el SID no son válidos

para una entrada del tipo "TopLevelName."

770 Se ha eliminado información de confianza del bosque.

Nota: Consulte la descripción del evento 769.

771 Se ha modificado la información de confianza del bosque.

Nota: Consulte la descripción del evento 769.

805 El servicio de registro de eventos ha leído la configuración del registro de seguridad para

una sesión.

59

Auditar el uso de privilegiosTabla 3.14: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Auditar No Auditar Fallo Éxito/Fallo

El parámetro Auditar el uso de privilegios determina si se audita cada instancia en la que un usuario ejerce un permiso de usuario. Configurar este valor en Éxito genera una entrada de auditoría cada vez que se ejerce satisfactoriamente un permiso de usuario. Configurar este valor en Fallo genera una entrada de auditoría cada vez que un permiso de usuario no se ejerce satisfactoriamente.

No se generan auditorías cuando se ejercen los siguientes permisos de usuario, incluso si el parámetro Auditar el uso de privilegios está configurado en Éxito o Fallo. Esto es así porque la auditoría de estos permisos de usuarios genera muchos eventos en el registro de seguridad, que pueden inhibir el rendimiento de sus ordenadores. Para auditar los siguientes permisos excluidos, debe activar la opción de seguridad Auditar: Auditar el uso de los privilegios Copia de Seguridad y Restauración de la Directiva de Grupo:

• Omitir la comprobación cruzada

• Depurar programas

• Crear un objeto testigo

• Reemplazar el testigo a nivel del proceso

• Generar auditorías de seguridad

• Hacer una copia de seguridad de archivos y directorios

• Restaurar archivos y directorios

La activación de la auditoría de privilegios genera un gran número de registros de eventos. Por esta razón, cada entorno de seguridad definido en esta guía tiene recomendaciones únicas para estos parámetros. El uso fallido de un permiso de usuario indica un problema general de la red y a menudo puede ser un indicio de que se ha intentado crear una brecha de seguridad. Las empresas deben configurar el parámetro Auditar el uso de privilegios en Activado sólo si hay una razón empresarial específica para hacerlo.

Tabla 3.15: Eventos del uso de los privilegios

ID del Evento


576 Se han añadido privilegios específicos al testigo de acceso de un usuario.

Nota: Este evento se genera cuando el usuario inicia la sesión.

577 Un usuario ha intentado realizar una operación de servicios del sistema privilegiada.

578 Se han utilizado privilegios en un identificador ya abierto de un objeto protegido.

60

Auditar el seguimiento de procesosTabla 3.16: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Auditar No Auditar No Auditar No Auditar

El parámetro Auditar el seguimiento de procesos determina si se audita la información detallada de rastreo para eventos como la activación de un programa, la salida de un proceso, manejo de replicaciones y accesos indirectos a un objeto. Configurar este parámetro en Éxito genera una entrada de auditoría cada vez que el proceso rastreado tiene éxito. Configurar este parámetro en Fallo genera una entrada de auditoría cada vez que falla el proceso que se está rastreando.

La activación del parámetro Auditar el seguimiento de procesos genera un gran número de eventos, por lo que generalmente se configura en No Auditar. Sin embargo, estos parámetros pueden proporcionar grandes ventajas durante la respuesta a un incidente en el registro detallado de los procesos comenzados y la hora a la que se iniciaron.

Tabla 3.17: Eventos detallados de seguimiento

ID del Evento


592 Se ha creado un nuevo proceso.

593 Se ha cerrado un proceso.

594 Se ha replicado un identificador de un objeto.

595 Se ha obtenido acceso indirecto a un objeto.

596 Se ha hecho una copia de seguridad de una clave maestra de protección de datos.

Nota: La clave maestra es utilizada por las rutinas CryptProtectData y

CryptUnprotectData y por EFS. Se hace una copia de la clave maestra cada vez que se

crea una nueva (por defecto, cada 90 días). Generalmente, es un controlador de dominio

quien hace la copia de la clave.

597 Se ha recuperado una clave maestra de protección de datos desde un servidor de

recuperación.

598 Se han protegido los datos auditables.

599 Se han desprotegido los datos auditables.

600 Se asignó un testigo primario a un proceso.

601 Un usuario ha intentado instalar un servicio.

602 Se ha creado una tarea de planificador.

Auditar eventos del sistema Tabla 3.18: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Auditar Éxito Éxito Éxito

El parámetro Auditar eventos del sistema determina si se audita el momento en que un usuario reinicia o apaga un ordenador o cuando se produce un evento que afecta a la seguridad del sistema o al registro de seguridad. Configurar este parámetro en Éxito genera una entrada de auditoría cuando se ejecuta satisfactoriamente un evento del sistema. Configurarlo en Fallo genera una entrada de auditoría cuando se intenta sin éxito un evento del sistema.

La tabla siguiente incluye algunos de los eventos más útiles de esta categoría.

61

Tabla 3.19: Mensajes de Eventos del Sistema para los Auditar los Eventos del Sistema

ID del Evento


512 Windows se está iniciando.

513 Windows se está cerrando.

514 La Autoridad de Seguridad Local ha cargado un paquete de autentificación.

515 La Autoridad de Seguridad Local ha registrado un proceso de inicio de sesión por

confianza.

516 Se han agotado los recursos internos asignados a la cola de mensajes de eventos de

seguridad, lo que ha provocado la pérdida de algunos mensajes de eventos de

seguridad.

517 Se ha limpiado el registro de auditoría.

518 El Administrador de Cuentas de Seguridad ha cargado un paquete de notificación.

519 Un proceso está utilizando un puerto LPC inválido para hacerse pasar por un cliente y

responder, leer o escribir en un espacio de dirección de cliente.

520 Se ha modificado la hora del sistema.

Nota: Esta auditoría aparece normalmente dos veces.

62

Asignación de Permisos de UsuarioLa Asignación de Permisos de Usuario (User Rights Assignments) determina qué usuarios o grupos tienen permisos o privilegios de inicio de sesión en los ordenadores de su empresa. Los permisos o privilegios de inicio de sesión controlan los permisos que tienen los usuarios sobre el sistema de destino. Se usan para conceder el permiso para ejecutar ciertas acciones, como el inicio de sesión local o desde la red, así como tareas administrativas, por ejemplo la generación de nuevos testigos de inicio de sesión.

Nota: En la sección siguiente, "No definido" significa que los administradores continúan teniendo privilegios sobre cualquier derecho no definido.

Los administradores locales pueden hacer cambios, pero todos los parámetros de la Directiva de Grupo basados en dominios los anularán la próxima vez que las Directivas de Grupo se refresquen o se vuelvan a aplicar.

Los parámetros de asignación de permisos de usuario pueden configurarse en Windows Server 2003 en la siguiente ubicación dentro del Editor de Objetos de Directiva de Grupo:

Configuración del Equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Asignación de permisos de usuario

Las Asignaciones de Permisos de Usuario por defecto son diferentes en los distintos tipos de servidores de su empresa. Por ejemplo, Windows Server 2003 contiene las siguientes diferencias en las Asignaciones de Permisos de Usuario con los grupos integrados entre los servidores miembro y los controladores de dominio. En la lista no se documentan los grupos integrados similares entre los servidores miembro y los controladores de dominio.

Servidores Miembro

• Usuarios avanzados

Los Usuarios Avanzados poseen la mayoría de los poderes administrativos, con algunas restricciones. Así, los Usuarios Avanzados pueden ejecutar aplicaciones heredadas además de aplicaciones certificadas.

• HelpServicesGroup

Éste es el grupo para el Centro de Soporte y Ayuda. Support_388945a0 es por defecto un miembro de este grupo.

• TelnetClients

Los miembros de este grupo tienen acceso al servidor Telnet en el sistema.

Controladores de dominio

• Operadores del Servidor

Los miembros de este grupo pueden administrar servidores de dominio.

• Servicios de Licencia de Terminal Server

Los miembros de este grupo tienen acceso a los Servidores de Licencia del Servidor de Terminal del sistema.

• Grupo de Acceso de Autorización de Windows

Los miembros de este grupo tienen acceso al atributo tokenGroupsGlobalAndUniversal de los objetos de usuario.

63

El grupo Invitados y las cuentas de usuario Invitado y Support_388945a0 tienen SIDs únicos entre los diferentes dominios. Por lo tanto, puede que sea necesario modificar la Directiva de Grupo para la asignación de permisos de usuario en un sistema donde sólo existe el grupo específico de destino. Como alternativa, las plantillas de la directiva pueden editarse individualmente para incluir los grupos adecuados en los archivos .inf. Por ejemplo, debe crearse una Directiva de Grupo de controlador de dominio en un controlador de dominio de un entorno de pruebas.

Nota: Dados los SIDs únicos que existen entre Invitados, Support_388945a0 e Invitado, algunos parámetros de protección no pueden automatizarse usando las plantillas de seguridad incluidas con esta guía; éstos se describen en la sección Procedimientos Adicionales de Protección de los Servidores miembro de este capítulo.

Esta sección aporta detalles sobre las asignaciones prescritas de permisos de usuarios para los tres entornos definidos en esta guía para la MSBP. Si quiere un resumen de los parámetros prescritos en esta sección, vea la hoja de cálculo Excel Parámetros de la Guía de Seguridad de Windows Server 2003. Para más información sobre las configuraciones por defecto y explicaciones detalladas de cada uno de los parámetros que trata esta sección, vea la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Acceder a este ordenador desde la red Tabla 3.20: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores, Operadores de

Copia de Seguridad, Todos,

Usuarios Avanzados y Usuarios

No definido No definido Administradores,

Usuarios

Autentificados

El permiso de usuario Acceder a este ordenador desde la red determina a qué usuarios y grupos se les permite conectar con el ordenador a través de la red. Este permiso de usuario es requerido por varios protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS (Common Internet File System), HTTP y COM+ (Component Object Model Plus).

Aunque en Windows Server 2003 los permisos concedidos al grupo de seguridad Todos ya no dan acceso a los usuarios anónimos, los grupos y cuentas invitados todavía pueden obtener acceso a través del grupo de seguridad Todos. Por este motivo, esta guía recomienda eliminar el grupo de seguridad Todos del permiso de usuario Acceder a este ordenador desde la red en el entorno de Alta Seguridad para mejorar la protección contra ataques del acceso de los invitados al dominio.

Actuar como parte del sistema operativoTabla 3.21: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido No definido No definido Revocar todos los

grupos y cuentas de

seguridad

El permiso de usuario Actuar como parte del sistema operativo permite que un proceso asuma la identidad de cualquier usuario y, así, obtenga acceso a los recursos a los que puede acceder el usuario. Generalmente, sólo los servicios de autentificación a bajo nivel requieren este privilegio. No hay grupos de seguridad definidos por defecto; por lo tanto, este permiso de usuario es suficiente para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, en el entorno de Alta Seguridad configure este parámetro para Revocar todos los grupos y cuentas de seguridad.

64

http://go.microsoft.com/fwlink/?LinkId=15159.

Añadir estaciones de trabajo al dominio Tabla 3.22: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido No definido No definido Administradores

El permiso de usuario Añadir estaciones de trabajo al dominio permite al usuario añadir un ordenador a un dominio concreto. Para que el privilegio tenga efecto, debe asignarse al usuario como parte de la Directiva de Controladores del Dominio por Defecto para el dominio. No hay grupos de seguridad definidos por defecto; por lo tanto, el permiso de usuario es suficiente para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este parámetro, está configurado para conceder este permiso de usuario sólo al grupo de Administradores en el entorno de Alta Seguridad.

Ajustar la cuota de memoria para un procesoTabla 3.23: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores, SERVICIO DE

RED, SERVICIO LOCAL

No definido No definido Administradores,

SERVICIO DE RED,

SERVICIO LOCAL

El permiso de usuario Ajustar la cuota de memoria para un proceso permite a un usuario ajustar la memoria máxima disponible para un proceso. Este privilegio es útil para ajustar el sistema, pero se puede abusar de él. En las manos equivocadas, este permiso de usuario se puede usar para lanzar un ataque DoS. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el valor Administradores, SERVICIO DE RED, SERVICIO LOCAL sólo en el entorno de Alta Seguridad.

Permitir iniciar una sesión localmente Tabla 3.24: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


Copia de Seguridad, Usuarios

Avanzados y Usuarios

Administradores,

Operadores de Copia

de Seguridad,

Usuarios Avanzados

Administradores,

Operadores de Copia

de Seguridad,

Usuarios Avanzados

Administradores,

Operadores de Copia

de Seguridad,

Usuarios Avanzados

El permiso de usuario Permitir iniciar una sesión localmente determina qué usuarios pueden iniciar sesión de modo interactivo en un ordenador concreto. Las sesiones iniciadas mediante la combinación de teclas CTRL+ALT+SUPR requieren que el usuario inicie la sesión correctamente. Todas las cuentas con este permiso de usuario pueden usarse para iniciar una sesión en la consola local del ordenador. Restringir este privilegio a los usuarios legítimos que necesitan poder iniciar sesión en el sistema evita que los usuarios no autorizados puedan elevar sus privilegios y que se introduzcan virus en el entorno informático.

65

Permitir el inicio de sesión a través de Terminal ServicesTabla 3.25: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores y Usuarios de

Escritorio Remotos

Administradores y

Usuarios de

Escritorio Remotos

Administradores y

Usuarios de

Escritorio Remotos

Administradores

El permiso de usuario Permitir el inicio de sesión a través de Terminal Services determina qué usuarios o grupos tienen permiso para iniciar sesión como clientes de Terminal Services. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, en el entorno de Alta Seguridad sólo los Administradores deben tener la capacidad de iniciar sesión como clientes de Terminal Services.

Cambiar la hora del sistema Tabla 3.26: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores y Usuarios

Avanzados

No Definido No Definido Administradores

El permiso de usuario Cambiar la hora del sistema determina qué usuarios y grupos pueden modificar la hora y la fecha del reloj interno del ordenador. Los usuarios que tienen este permiso pueden modificar la apariencia de los registros de eventos, porque los registros reflejarán la nueva hora, no la hora real a la que se han producido los eventos. Limite el privilegio Cambiar la hora del sistema a los usuarios que tengan una necesidad legítima de cambiar la hora, como los miembros del departamento TI. Las discrepancias entre la hora del ordenador local y la de los controladores de dominio pueden provocar problemas para el protocolo de autentificación Kerberos, lo cual haría imposible que los usuarios inicien una sesión en el dominio o consigan autorización para acceder a los recursos del dominio una vez iniciada la sesión.

Depurar programas Tabla 3.27: Valores


Cliente Heredado Cliente Empresarial

Alta Seguridad

Administradores Revocar todos los

grupos y cuentas de

seguridad

Revocar todos los

grupos y cuentas de

seguridad

Revocar todos los

grupos y cuentas de

seguridad

El permiso de usuario Depurar programas determina qué usuarios pueden adjuntar un depurador a un proceso o al kernel. Este permiso de usuario proporciona un acceso completo a los componentes críticos y delicados del sistema operativo. No se deben depurar los programas en los entornos de producción excepto en circunstancias extremas, como para resolver problemas en una aplicación de negocio crítica que no se puede evaluar eficazmente en el entorno de pruebas.

Nota: En Windows Server 2003, la eliminación del permiso para depurar programas puede hacer que sea imposible usar el servicio Windows Update. Sin embargo, los parches se pueden descargar e instalar manualmente o aplicarse mediante otros medios.

66

Denegar el acceso a este ordenador desde la redTabla 3.28: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SUPPORT_388945a0 INICIO ANÓNIMO DE

SESIÓN;

Administrador

Integrado, Invitados;

Support_388945a0;

Invitado y todas las

cuentas de servicio

que no sean propias

del sistema operativo

INICIO ANÓNIMO DE

SESIÓN;

Administrador


Support_388945a0;


cuentas de servicio

que no sean propias


INICIO ANÓNIMO DE

SESIÓN;

Administrador


Support_388945a0;


cuentas de servicio

que no sean propias


Nota: La plantilla de seguridad .inf no incluye el INICIO ANÓNIMO DE SESIÓN; Administrador Integrado, Invitados; Support_388945a0; Invitado y todas las cuentas de servicio que no sean propias del sistema operativo. Estas cuentas y grupos tienen SIDs únicos para cada dominio de la empresa; por lo tanto, deben añadirse manualmente. Para más información, vea Procedimientos Manuales de Protección al final de este capítulo.

El permiso de usuario Denegar el acceso a este ordenador desde la red determina a qué usuarios se les impide acceder a un ordenador a través de la red. Este permiso de usuario denegará ciertos protocolos de red, incluidos los protocolos basados en SMB, NetBIOS, CIFS, HTTP y COM+. La configuración de esta directiva reemplaza al permiso de usuario Acceder a este ordenador desde la red cuando una cuenta de usuario está sujeta a ambas directivas. Configurar este permiso de inicio de sesión para otros grupos podría limitar las capacidades de los usuarios asignados a roles administrativos concretos en su entorno. Compruebe que las tareas delegadas no se vean afectadas negativamente.

Denegar el inicio de sesión como un proceso por lotesTabla 3.29: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Invitados;

Support_388945a0;

Invitado

Invitados;

Support_388945a0;

Invitado

Invitados;

Support_388945a0;

Invitado


El permiso de usuario Denegar el inicio de sesión como un proceso por lotes determina a qué cuentas se les impide iniciar una sesión en el sistema como un proceso por lotes. Un proceso por lotes (batch job) no es un archivo por lotes (batch file), sino una utilidad para organizar colas por lotes. Las cuentas usadas para programar tareas a través del Programador de Tareas necesitan este permiso. La configuración del permiso de usuario Denegar el inicio de sesión como un proceso por lotes anula el permiso de usuario Iniciar sesión como un trabajo por lotes. Las cuentas con este permiso de inicio de sesión pueden usarse para programar tareas que consumen una cantidad excesiva de recursos del sistema, lo cual llevaría a una situación de DoS. Por eso, no asignar el permiso de usuario Denegar el inicio de sesión como un proceso por lotes a las cuentas recomendadas puede ser un riesgo de seguridad.

67

Denegar el inicio de sesión a través de Terminal ServicesTabla 3.30: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Administrador


Support_388945a0;


cuentas de servicio

que no sean propias


Administrador


Support_388945a0;


cuentas de servicio

que no sean propias


Administrador


Support_388945a0;


cuentas de servicio

que no sean propias



El permiso de usuario Denegar el inicio de sesión a través de Terminal Services determina a qué usuarios y grupos se les prohíbe iniciar sesión como clientes de Terminal Services. Después de unirse al servidor miembro de referencia en un entorno de dominio, no hay necesidad de usar cuentas locales para acceder al servidor desde la red. Las cuentas de dominio pueden acceder al servidor para las tareas administrativas y de proceso de los usuarios finales. Recuerde que la MSBP no recibirá esta Directiva de Grupo hasta que el servidor se una al dominio y se reinicie dos veces. Por lo tanto, se prohíbe el uso de las cuentas de Administrador local.

Permitir que las cuentas de equipo y de usuario sean fiables para la delegaciónTabla 3.31: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Definido No Definido No Definido Revocar todos los

grupos y cuentas de

seguridad

El privilegio Permitir que las cuentas de equipo y de usuario sean fiables para la delegación permite al usuario cambiar el parámetro Fiable para la Delegación de un objeto de un usuario o un ordenador en Directorio Activo. El usuario u ordenador que ha obtenido este privilegio debe también tener permiso de escritura para los flags de control de la cuenta del objeto. El mal uso de este privilegio podría provocar que los usuarios no autorizados se hiciesen pasar por otros usuarios de la red.

Forzar la desconexión desde un sistema remotoTabla 3.32: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores No Definido No Definido Administradores

El privilegio de usuario Forzar la desconexión desde un sistema remoto permite que un usuario apague un ordenador desde una ubicación remota en la red. Cualquier usuario que pueda apagar un ordenador puede provocar una situación de DoS; por lo tanto, hay que restringir rigurosamente este privilegio.

68

Generar auditorías de seguridad Tabla 3.33: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SERVICIO DE RED, SERVICIO

LOCAL

No Definido No Definido SERVICIO DE RED,

SERVICIO LOCAL

El privilegio de usuario Generar auditorías de seguridad permite que un proceso genere registros de auditoría en el registro de seguridad. El registro de seguridad puede usarse para rastrear los accesos no autorizados al sistema. Las cuentas que pueden escribir en el registro de seguridad podrían ser usadas por un atacante para llenarlo de eventos absurdos. Si el ordenador está configurado para sobrescribir los eventos conforme sea necesario, el atacante podría usar este método para eliminar las evidencias de sus actividades no autorizadas. Si el ordenador está configurado para apagarse cuando no puede escribir en el registro de seguridad, se podría usar este método para crear una situación de DoS.

Personificar a un cliente tras la autentificaciónTabla 3.34: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SERVICIOS, Administradores No Definido No Definido SERVICIO LOCAL,

SERVICIO DE RED

La asignación del privilegio Personificar a un cliente tras la autentificación permite la ejecución de aplicaciones en nombre de un usuario para personificar a un cliente. Requerir este permiso de usuario para ese tipo de personificación impide que un usuario no autorizado persuada a un cliente para conectarse (por ejemplo, mediante RPC o canales con nombre) a un servicio que ha creado y, a continuación, hacerse pasar por ese cliente, que puede elevar los permisos del usuario no autorizado al nivel administrativo o del sistema. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado en Servicio Local, SERVICIO DE RED en el entorno de Alta Seguridad.

Incrementar la prioridad de planificaciónTabla 3.35: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El privilegio Incrementar la prioridad de planificación permite a un usuario incrementar la clase básica de prioridades de un proceso. Incrementar la prioridad relativa dentro de una clase de prioridad no es una operación privilegiada. Las herramientas administrativas proporcionadas con el sistema operativo no requieren este privilegio, pero puede que las herramientas de desarrollo de software sí lo requieran. Un usuario con este privilegio puede incrementar la prioridad de planificación de un proceso a Tiempo Real, dejando poco tiempo de procesamiento para todos los demás procesos, lo cual podría provocar una situación de DoS. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

Cargar y descargar los controladores de dispositivoTabla 3.36: Valores

69


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El privilegio Cargar y descargar los controladores de dispositivo determina qué usuarios pueden cargar y descargar de forma dinámica los controladores de los dispositivos. Este privilegio no se requiere si ya existe un controlador firmado para el nuevo hardware en el archivo Driver.cab del ordenador. Los controladores de dispositivos se ejecutan como código altamente privilegiado. Un usuario con el privilegio Cargar y descargar los controladores de dispositivo puede instalar involuntariamente código malicioso enmascarado como un controlador de un dispositivo. Se da por hecho que los administradores tendrán gran cuidado e instalarán sólo los controladores con firmas digitales comprobadas. Los grupos de usuarios por defecto para este permiso son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

Bloquear las páginas en memoriaTabla 3.37: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No Definido No Definido No Definido Administradores

El permiso de usuario Bloquear las páginas en memoria permite que un proceso mantenga los datos en la memoria física, lo cual evita que el sistema pida los datos a la memoria virtual del disco. Activar este permiso de usuario puede provocar una degradación significativa del rendimiento del sistema. Los usuarios con este privilegio pueden asignar memoria física a varios procesos, dejando muy poca o ninguna memoria RAM para los demás procesos. Esto podría provocar una situación de DoS. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

Iniciar una sesión como un proceso por lotesTabla 3.38: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SUPPORT_388945a0, SERVICIO

LOCAL

No Definido No Definido Revocar todos los

grupos y cuentas de

seguridad

El permiso de usuario Iniciar una sesión como un proceso por lotes permite que un usuario inicie sesión mediante una utilidad para organizar colas por lotes, como el servicio Programador de Tareas. Ésta es una vulnerabilidad de bajo riesgo, por lo que los valores por defecto para este permiso de usuario son suficientes para la mayoría de las empresas. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para Revocar todos los grupos y cuentas de seguridad en el entorno de Alta Seguridad.

70

Administrar el registro de auditoría y seguridadTabla 3.39: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El privilegio Administrar el registro de auditoría y seguridad permite que un usuario especifique opciones de auditoría de acceso a objetos para recursos individuales como archivos, objetos de Directorio Activo y claves de registro. El permiso para gestionar el registro de eventos de seguridad es un privilegio de usuario muy poderoso que hay que custodiar celosamente. Cualquiera con este permiso de usuario puede limpiar el registro de seguridad, borrando seguramente evidencias importantes de actividades no autorizadas. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar por defecto a los Administradores en el entorno de Alta Seguridad.

Modificar los valores del entorno de firmwareTabla 3.40: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores No definido No definido Administradores

El permiso de usuario Modificar los valores del entorno de firmware permite la modificación de las variables del entorno del sistema, ya sea un proceso a través de una API o un usuario a través de las Propiedades del Sistema. Cualquiera que tenga este privilegio podría configurar los parámetros de un componente de hardware para que tuviese fallos, lo cual podría provocar la corrupción de los datos o una situación de DoS. Los grupos de seguridad por defecto son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

Ejecutar tareas de mantenimiento de volúmenesTabla 3.41: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El permiso de usuario Ejecutar tareas de mantenimiento de volúmenes permite a un usuario remoto o no administrativo gestionar volúmenes o discos. Un usuario con este privilegio podría borrar un volumen, lo cual conduciría a la pérdida de datos o a una situación de DoS. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

71

Perfilar un procesoTabla 3.42: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores y usuarios

avanzados

No definido No definido Administradores

El permiso de usuario Perfilar un proceso determina qué usuarios pueden usar herramientas de control del rendimiento para controlar los procesos ajenos al sistema. Esta es una vulnerabilidad moderada; un atacante con este privilegio podría controlar el rendimiento de un ordenador para ayudar a identificar los procesos críticos que quiere atacar directamente. El atacante puede también determinar qué procesos se están ejecutando en el sistema para identificar las contramedidas a evitar (como software antivirus, un sistema de detección de intrusiones u otros usuarios que hayan iniciado una sesión en el sistema). Para proteger mejor un entorno, elimine a los Usuarios Avanzados de este permiso de usuario en el entorno de Alta Seguridad.

Perfilar el rendimiento del sistemaTabla 3.43: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El permiso de usuario Perfilar el rendimiento del sistema permite a un usuario controlar el rendimiento de los procesos del sistema. No restringir este permiso de usuario representa una vulnerabilidad moderada; un atacante con este privilegio podría controlar el rendimiento de un ordenador para ayudar a identificar los procesos críticos que quiere atacar directamente. El atacante podría también determinar qué procesos se están ejecutando en el sistema para identificar las contramedidas a evitar (como software antivirus o un sistema de detección de intrusiones). Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

Eliminar un ordenador de una estación de acoplamientoTabla 3.44: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores y Usuarios

avanzados


El permiso de usuario Eliminar un ordenador de una estación de acoplamiento permite al usuario de un ordenador portátil desacoplar el ordenador haciendo clic en Expulsar ordenador en el menú Inicio. Cualquiera que tenga este permiso de usuario puede eliminar un ordenador portátil que haya sido iniciado desde su estación de acoplamiento. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar el grupo de Administradores por defecto en el entorno de Alta Seguridad.

72

Reemplazar un testigo a nivel del procesoTabla 3.45: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SERVICIO LOCAL,

SERVICIO DE RED

No definido No definido SERVICIO LOCAL, SERVICIO DE RED

El permiso de usuario Reemplazar un testigo a nivel del proceso permite que un proceso principal reemplace el testigo de acceso asociado con un proceso secundario. Los grupos de seguridad por defecto para este permiso de usuario son suficientes para los entornos Cliente Heredado y Cliente Empresarial. Sin embargo, este permiso de usuario está configurado para forzar los grupos de SERVICIO LOCAL y SERVICIO DE RED por defecto en el entorno de Alta Seguridad.

Restaurar archivos y directorios Tabla 3.46: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores y Operadores de

Copia de Seguridad

No definido Administradores Administradores

El permiso de usuario Restaurar archivos y directorios determina qué usuarios pueden desviar archivos, directorios, registros y otros permisos de objetos persistentes al restaurar los archivos y directorios de los que se ha hecho una copia de seguridad. También determina qué usuarios pueden configurar y validar un principal de seguridad como propietario de un objeto. En un entorno Empresarial o de Alta Seguridad, sólo los Administradores deben tener permiso para restaurar archivos y directorios. La tarea de restaurar archivos suele ser realizada por los administradores o por otro grupo de seguridad delegado específicamente, especialmente en los servidores y controladores de dominio muy delicados.

Apagar el sistemaTabla 3.47: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Operadores de Copia de

Seguridad, Usuarios avanzados,

Administradores


El permiso de usuario Apagar el sistema determina qué usuarios que han iniciado una sesión localmente pueden cerrar el sistema operativo mediante el comando Apagar. El mal uso de este permiso de usuario puede provocar un ataque DoS. La capacidad de cerrar los controladores de dominio debe estar limitada a un número muy pequeño de administradores de confianza. Aunque el cierre del sistema requiere la capacidad de iniciar sesión en el sistema, hay que ser muy cuidadoso con las cuentas y grupos a los que se permite cerrar un controlador de dominio. En el entorno de Alta Seguridad, sólo los Administradores deben tener el permiso de usuario Apagar el sistema.

73

Sincronizar los datos del servicio de directorioTabla 3.48: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido No definido No definido Revocar todos los

grupos y cuentas de

seguridad

El permiso de usuario Sincronizar los datos del servicio de directorio permite a un proceso leer todos los objetos y propiedades del directorio, independientemente de la protección de los objetos y las propiedades. Este privilegio es necesario para usar los servicios de sincronización de directorio LDAP (Dirsync). El valor por defecto no especifica cuentas; sin embargo, este permiso de usuario está configurado para Revocar todos los grupos y cuentas de seguridad en el entorno de Alta Seguridad.

Tomar posesión de archivos u otros objetosTabla 3.49: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El permiso de usuario Tomar posesión de archivos u otros objetos permite a un usuario tomar propiedad de cualquier objeto alcanzable del sistema, incluidos los objetos de Directorio Activo, los archivos del sistema de archivos NTFS y carpetas, impresoras, claves de registro, servicios, procesos y threads. Asegúrese de que sólo el grupo de Administradores locales tiene el permiso de usuario Tomar posesión de archivos u otros objetos.

74

Opciones de SeguridadLa sección Opciones de Seguridad de la Directiva de Grupo se usa para configurar los parámetros de seguridad para equipos, como la firma digital de los datos, los nombres de las cuentas de invitados y administradores, el acceso a la unidad de disco flexible y al CD-ROM, el comportamiento de la instalación de controladores y los indicadores de inicio de sesión.

Los parámetros de las Opciones de Seguridad pueden configurarse en Windows Server 2003 en la siguiente ubicación dentro del Editor de Objetos de la Directiva de Grupo:

Configuración del Equipo \Configuración de Windows \ configuración de Seguridad \ Directivas locales \ Opciones de seguridad

No todos los grupos de seguridad existen en todos los tipos de sistemas. Además, muchos SIDs de grupos de seguridad son únicos en los dominios de su empresa. Por lo tanto, puede que sea necesario modificar manualmente la parte de Opciones de Seguridad de la Directiva de Grupo en un sistema donde existe el grupo de destino. Esta sección aporta detalles sobre las opciones de seguridad prescritas para los tres entornos definidos en esta guía para la MSBP. Para consultar un resumen de los parámetros prescritos en esta sección, vea la hoja de cálculo Excel de Parámetros de Seguridad de Windows Server 2003. Para información sobre los parámetros por defecto y una explicación detallada de los parámetros abordados en esta sección, vea la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Cuentas: Estado de la cuenta InvitadoTabla 3.50: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Cuentas: Estado de la cuenta Invitado determina si la cuenta Invitado se activa o desactiva. Esta cuenta permite a los usuarios no autentificados de la red obtener acceso al sistema iniciando sesión como Invitado. Por lo tanto, esta opción de seguridad se configura como Desactivado en los tres entornos.

Cuentas: Limitar el uso de contraseñas en blanco en la cuenta local al inicio de sesión en la consolaTabla 3.51: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Cuentas: Limitar el uso de contraseñas en blanco en la cuenta local al inicio de sesión en la consola determina si las cuentas locales que no están protegidas por contraseñas se pueden usar para iniciar sesión desde otras ubicaciones aparte de la consola física del ordenador. Activar este parámetro evita que una cuenta local con contraseña inicie una sesión en la red desde un cliente remoto, y las cuentas locales que no estén protegidas por contraseñas sólo podrán iniciar sesión físicamente mediante el teclado del ordenador. Por lo tanto, fuerce el valor predeterminado para esta contramedida en los tres entornos.

Auditoría: Auditar el acceso de objetos globales del sistemaTabla 3.52: Valores

75




Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Auditoría: Auditar el acceso de objetos globales del sistema audita el acceso de los objetos globales del sistema cuando está activada. Si los dos parámetros Auditoría: Auditar el acceso de objetos globales del sistema y Directiva de auditoría de acceso a objetos están activados, se generará un gran número de eventos de auditoría. Este parámetro está configurado por defecto en los tres entornos definidos en esta guía.

Nota: Los cambios en la configuración de esta opción de seguridad no tendrán efecto hasta que reinicie Windows Server 2003.

Auditoría: Auditar el uso del privilegio Copia de Seguridad y RestauraciónTabla 3.53: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Auditoría: Auditar el uso del privilegio Copia de Seguridad y Restauración determina si se audita el uso de todos los privilegios de usuarios, incluido Copia de seguridad y Restauración, cuando el parámetro de la directiva Auditar el uso de privilegios está activado. Activar esta directiva podría generar un gran número de eventos de seguridad, provocando que los servidores respondan lentamente y obligando al registro de eventos de seguridad a registrar numerosos eventos de escasa importancia. Por lo tanto, este parámetro está configurado por defecto en los tres entornos.


Auditoría: Apagar el sistema inmediatamente si no se pueden registrar las auditorías de seguridad Tabla 3.54: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Desactivado Desactivado Activado

La opción de seguridad Auditoría: Apagar el sistema inmediatamente sino se pueden registrar las auditorías de seguridad determina si el sistema se cierra inmediatamente cuando es incapaz de registrar las auditorías de seguridad. Se ha comprobado que los gastos administrativos requeridos para activar este parámetro en los entornos Cliente Heredado y Cliente Empresarial son demasiado altos; por lo tanto, la Directiva de Grupo desactiva el parámetro Apagar el sistema inmediatamente si no se pueden registrar las auditorías de seguridad. Sin embargo, este parámetro se activa en los entornos de Alta Seguridad porque la carga de este gasto administrativo adicional es aceptable para evitar que se deleguen eventos del registro de eventos de seguridad a menos que el administrador lo decida explícitamente.

Dispositivos: Permitir desacoplar sin tener que iniciar sesión

Tabla 3.55: Valores

76


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Activado Desactivado Desactivado Desactivado

La opción de seguridad Dispositivos: Permitir desacoplar sin tener que iniciar sesión determina si se puede desacoplar un ordenador portátil sin que el usuario tenga que iniciar una sesión en el sistema. Activar este parámetro elimina la exigencia de iniciar sesión y permite el uso de un botón de expulsión de un hardware externo para desacoplar el ordenador. Desactivar este parámetro significa que un usuario debe tener el permiso de usuario Eliminar el ordenador de una estación de acoplamiento (no definido en esta guía) para desacoplar el ordenador sin tener que iniciar sesión en el sistema.

Dispositivos: Permitir dar formato y expulsar los medios extraíblesTabla 3.56: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores Administradores Administradores Administradores

La opción de seguridad Dispositivos: Permitir dar formato y expulsar los medios extraíbles determina quien puede dar formato y expulsar medios extraíbles. Sólo los administradores deben poder extraer los medios extraíbles en los servidores. Por lo tanto, la contramedida para este parámetro es el valor por defecto para los tres entornos definidos en esta guía.

Dispositivos: Impedir que los usuarios instalen controladores de impresoraTabla 3.57: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


Para que un ordenador imprima en una impresora de red, debe tener el controlador para dicha impresora de red. Activar la opción de seguridad Dispositivos: Impedir que los usuarios instalen controladores de impresora sólo permite instalar un controlador de impresora, como parte de la adición de una impresora de red, a los miembros de los grupos de Administradores o Usuarios Avanzados, o aquéllos con privilegios de Operador del Servidor. La desactivación de este parámetro permite a cualquier usuario instalar un controlador de impresora como parte de la adición de una impresora de red. La contramedida para este parámetro es el valor por defecto para los tres entornos definidos en esta guía.

Dispositivos: Limitar el acceso al CD – ROM a los usuarios que inician sesión localmenteTabla 3.58: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado No definido No definido Activado

La opción de seguridad Dispositivos: Restringir el acceso al CD – ROM sólo a los usuarios que inician sesión localmente determina si un CD – ROM es accesible simultáneamente a los usuarios locales y a los remotos. Activar este parámetro permite acceder a los CD-ROM sólo a los usuarios que hayan iniciado sesión de forma interactiva. Si se activa esta directiva y nadie

77

ha iniciado una sesión de forma interactiva, se podrá acceder al CD – ROM desde la red. En los entornos Cliente Heredado y Cliente Empresarial, este valor está configurado como No Definido. En el entorno de Alta Seguridad, este valor está Activado.

Dispositivos: Limitar el acceso al disco flexible a los usuarios que inician sesión localmenteTabla 3.59: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado No definido No definido Activado

La opción de seguridad Dispositivos: Limitar el acceso al disco flexible a los usuarios que inician sesión localmente determina si los medios flexibles extraíbles son accesibles simultáneamente a los usuarios remotos y locales. Activar este parámetro permite acceder a los medios flexibles extraíbles sólo a los usuarios que han iniciado una sesión de forma interactiva. Si se activa esta directiva y nadie ha iniciado una sesión de forma interactiva, el disco flexible será accesible en la red. En los entornos Cliente Heredado y Cliente Empresarial, este valor está Desactivado. En el entorno de Alta Seguridad, este valor está Activado.

Dispositivos: Comportamiento ante la instalación de controladores no firmadosTabla 3.60: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Avisar, pero permitir la instalación Avisar, pero permitir

la instalación

Avisar, pero permitir

la instalación

Avisar, pero permitir

la instalación

La opción de seguridad Dispositivos: Comportamiento ante la instalación de controladores no firmados determina qué ocurre cuando se intenta instalar un controlador de dispositivo (mediante una API de Instalación) que no ha sido aprobado y firmado por el WHQL (Windows Hardware Quality Lab). Esta opción impide la instalación de controladores no firmados o avisa al administrador de que se va a instalar un controlador no firmado. Esto puede evitar la instalación de controladores que no han sido certificados para su ejecución en Windows Server 2003. Un problema potencial si se configura este parámetro con el valor Avisar, pero permitir la instalación es que los scripts de instalación desatendida fallarán al instalar controladores no firmados.

Controladores de dominio: Permitir a los operadores del servidor programar tareasTabla 3.61: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Controladores de dominio: Permitir a los operadores del servidor programar tareas determina si se permite a los Operadores del Servidor enviar tareas mediante la utilidad de planificación AT. Este parámetro está desactivado en los tres entornos definidos en esta guía. El impacto derivado de la desactivación de este parámetro debería ser pequeño para la mayoría de las empresas. Los usuarios, incluidos los del grupo de Operadores del Servidor, podrán crear tareas a través del Asistente del Programador de Tareas, pero se ejecutarán en el contexto de la cuenta con la que el usuario se autentifica cuando crea la tarea.

78

Nota: La Cuenta de Servicio AT se puede modificar para seleccionar una cuenta distinta de la cuenta del SISTEMA LOCAL. Para cambiar la cuenta, abra Herramientas del Sistema, haga clic en Tareas Programadas y, a continuación, haga clic en la carpeta Accesorios. Haga clic en Cuenta de Servicio AT en el menú Avanzado.

Controladores de Dominio: Requisitos de firma del servidor LDAP Tabla 3.62: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido No definido No definido Requerir la firma

La opción de seguridad Controladores de dominio: Requisitos de firma del servidor LDAP determina si el servidor LDAP requiere la firma para negociar con los clientes LDAP. El tráfico de red que no está firmado ni encriptado es susceptible de sufrir ataques “man in the middle” en los cuales un intruso captura paquetes entre el servidor y el cliente y los modifica antes de reenviarlos al cliente. En el caso de un servidor LDAP, esto significa que un atacante podría hacer que un cliente tomase decisiones basándose en registros falsos del directorio LDAP. Si todos los controladores de dominio están ejecutando Windows 2000 o sistemas operativos más recientes, configure esta opción de seguridad para Requerir la firma. En caso contrario, deje este parámetro como No Definido. Ya que todos los ordenadores del entorno de Alta Seguridad ejecutan Windows 2000 o Windows Server 2003, en este entorno el parámetro se configura para Requerir la firma.

Controladores de dominio: Rechazar los cambios de contraseña en la cuenta del equipoTabla 3.63: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Controladores de dominio: Rechazar los cambios de contraseña en la cuenta del equipo determina si los controladores de dominio rechazan las peticiones de cambio de contraseña de la cuenta los ordenadores miembro. Activar esta opción en todos los controladores de un dominio evita que las contraseñas de las cuentas de los ordenadores miembro cambien, lo cual las haría vulnerables ante un ataque. Por lo tanto, el valor de esta opción de seguridad se configura en Desactivado en los tres entornos definidos en esta guía.

Miembros del dominio: Encriptar o firmar digitalmente los datos del canal seguro (siempre)Tabla 3.64: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Activado Desactivado Desactivado Activado

La opción de seguridad Miembros de dominio: Encriptar o firmar digitalmente los datos del canal seguro (siempre) determina si todo el tráfico del canal seguro iniciado por el miembro de dominio se debe firmar o encriptar. Si un sistema se configura para encriptar o firmar siempre los datos del canal seguro, no podrá establecer un canal seguro con un controlador de dominio que no sea capaz de firmar o encriptar todo el tráfico de canal seguro, porque todos los datos del canal seguro se firman y encriptan. Esta opción de seguridad está configurada como

79

Desactivada en los entornos Cliente Heredado y Cliente Empresarial y como Activada en el entorno de Alta Seguridad.

Nota: Para poder aprovechar esta opción de seguridad en las estaciones de trabajo y los servidores miembro, todos los controladores de dominio que forman el dominio deben ejecutar Windows NT 4.0 con Service Pack 6a o posterior; esto no es soportado en los clientes Windows 98 Second Edition (a menos que tengan instalado el dsclient).

Miembros del dominio: Encriptar digitalmente los datos del canal seguro (cuando sea posible) Tabla 3.65: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Miembro de dominio: Encriptar digitalmente los datos del canal seguro (cuando sea posible) determina si un miembro del dominio puede intentar negociar la encriptación de todo el tráfico del canal seguro que inicie. Activar esta configuración hace que el miembro del dominio solicite la encriptación de todo el tráfico del canal seguro. Desactivar esta configuración evita que el miembro del dominio negocie la encriptación del canal seguro. Por lo tanto, este parámetro está Activado en los tres entornos definidos en esta guía.

Miembros del dominio: Firmar digitalmente los datos del canal seguro (cuando sea posible)Tabla 3.66: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Miembros del dominio: Firmar digitalmente los datos del canal seguro (cuando sea posible) determina si un miembro del dominio puede intentar negociar la firma de todo el tráfico del canal seguro que inicie. Firmar evita que el tráfico sea modificado por cualquier persona que capture los datos en ruta. Este parámetro está Activado en los tres entornos definidos en esta guía.

Miembros del dominio: Desactivar los cambios de contraseña de la cuenta del ordenadorTabla 3.67: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Miembros del dominio: Desactivar los cambios de la contraseña de la cuenta del ordenador determina si un miembro del dominio puede cambiar periódicamente la contraseña de la cuenta de su ordenador. Activar este parámetro evita que el miembro del dominio cambie la contraseña de la cuenta de su ordenador. Si se desactiva este parámetro, el miembro del dominio puede cambiar la contraseña según lo especificado por el parámetro Miembros del dominio: Vida máxima de la contraseña de la cuenta del equipo, que es por defecto cada 30 días. Los ordenadores que ya no pueden cambiar automáticamente sus contraseñas de cuenta están expuestos a que un atacante averigüe la contraseña de la cuenta de dominio del sistema. Por lo tanto, establezca esta contramedida como Desactivada en los tres entornos definidos en esta guía.

80

Miembros del dominio: Vida máxima de la contraseña de la cuenta del equipoTabla 3.68: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Miembros del dominio: Vida máximo de la contraseña de la cuenta de la máquina determina la edad máxima permisible para la contraseña de la cuenta de un ordenador. Este parámetro también se aplica a los ordenadores que ejecutan Windows 2000, pero no está disponible a través de las herramientas del Administrador de Configuración de Seguridad de estos ordenadores. Por defecto, los miembros del dominio cambian automáticamente sus contraseñas de dominio cada 30 días. Incrementar significativamente este intervalo o establecerlo a 0 para que los ordenadores no puedan cambiar sus contraseñas, da al atacante más tiempo para realizar un ataque de fuerza bruta para adivinar la contraseña contra una de las cuentas de equipo. Por lo tanto, este parámetro se establece en 30 días en los tres entornos definidos en esta guía.

Miembros del dominio: Requerir una clave de sesión sólida (Windows 2000 o posterior)Tabla 3.69: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Miembros del dominio: Requerir una clave de sesión sólida (Windows 2000 o posterior) determina si se requiere una clave de 128 bits para los datos encriptados del canal seguro. Activar este parámetro impide que se establezca un canal seguro sin encriptación de 128 bits. Si se desactiva este parámetro, se requiere que el miembro del dominio negocie la solidez de la clave con el controlador de dominio. Las claves de sesión que se utilizan para establecer comunicaciones de canal seguro entre los controladores de dominio y los ordenadores miembro son mucho más sólidas en Windows 2000 que en los sistemas operativos anteriores de Microsoft. Por lo tanto, dado que los tres entornos de seguridad descritos en esta guía contienen controladores de dominio Windows 2000 o posteriores, este parámetro está Activado en los tres entornos.

Nota: No podrá añadir ordenadores que ejecuten Windows 2000 con este parámetro activado a dominios de Windows NT 4.0.

Inicio interactivo de sesión: No mostrar el nombre del último usuarioTabla 3.70: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Inicio interactivo de sesión: No mostrar el nombre del último usuario determina si aparece en la pantalla de inicio de sesión de Windows el nombre del último usuario que ha iniciado una sesión en el ordenador. Activar esta configuración evita que se muestre en el cuadro de diálogo Iniciar sesión en Windows el nombre del último usuario que ha iniciado una sesión. La opción Inicio interactivo de sesión: No mostrar el nombre del

81

último usuario está activada en la directiva de referencia del servidor en los tres entornos definidos en esta guía.

Inicio interactivo de sesión: No requerir CTRL+ALT+SUPRTabla 3.71: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Inicio interactivo de sesión: No requerir CTRL+ALT+SUPR determina si es necesario presionar CTRL+ALT+SUPR para que un usuario pueda iniciar sesión. Desactivar esta configuración requiere que todos los usuarios presionen CTRL+ALT+SUPR antes de iniciar una sesión en Windows (a menos que utilicen una tarjeta inteligente para iniciar sesión en Windows). Este parámetro está Desactivado en los tres entornos definidos en esta guía para reducir la probabilidad de que un atacante intercepte las contraseñas del usuario a través de un troyano.

Inicio interactivo de sesión: Texto del mensaje para los usuarios que intentan iniciar una sesiónTabla 3.72: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Este sistema está

restringido a los

usuarios autorizados.

Se emprenderán

acciones judiciales

contra quienes

intenten acceder sin

estar autorizados. Si

no está autorizado,

finalice la sesión

ahora. Haciendo clic

en Aceptar, usted

acepta la información

en segundo plano.

Este sistema está

restringido a los


Se emprenderán

acciones judiciales

contra quienes




finalice la sesión


en Aceptar, usted


en segundo plano.

Este sistema está

restringido a los


Se emprenderán

acciones judiciales

contra quienes




finalice la sesión


en Aceptar, usted


en segundo plano.

La opción de seguridad Inicio interactivo de sesión: Texto del mensaje para los usuarios que intentan iniciar una sesión especifica el mensaje de texto que se muestra a los usuarios cuando inician una sesión. Este texto suele usarse por razones legales, por ejemplo, para advertir a los usuarios acerca de las implicaciones del mal uso de la información de la empresa o para advertirles de que sus acciones pueden ser auditadas. Se recomienda que se configure un mensaje en los tres entornos.

Nota: Los representantes del departamento jurídico y del de recursos humanos de la empresa deberán dar su aprobación a la advertencia mostrada. Además, los parámetros Inicio interactivo de sesión: Texto del mensaje para los usuarios que intentan iniciar una sesión e Inicio interactivo de sesión: Título del mensaje para los usuarios que intentan iniciar una sesión deben estar ambos activados para que cada uno funcione adecuadamente.

Inicio interactivo de sesión: Título del mensaje para los usuarios que intentan iniciar una sesiónTabla 3.73: Valores

82


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido ES UN DELITO

CONTINUAR SIN LA

DEBIDA

AUTORIZACIÓN

ES UN DELITO

CONTINUAR SIN LA

DEBIDA

AUTORIZACIÓN

ES UN DELITO

CONTINUAR SIN LA

DEBIDA

AUTORIZACIÓN

La opción de seguridad Inicio interactivo de sesión: Título del mensaje para los usuarios que intentan iniciar una sesión permite especificar un título en la barra de título de la ventana que contiene el Inicio interactivo que ven los usuarios al iniciar una sesión en el sistema. La razón de ser de este parámetro es la misma que la del parámetro Texto del mensaje para los usuarios que intentan iniciar una sesión. Las empresas que no utilizan este parámetro son más vulnerables legalmente a los atacantes. Por lo tanto, este parámetro está activado en los tres entornos definidos en esta guía.

Nota: Los representantes del departamento jurídico y del de recursos humanos de la empresa deberán dar su aprobación a la advertencia mostrada. Además, los parámetros Inicio interactivo de sesión: Texto del mensaje para los usuarios que intentan iniciar una sesión e Inicio interactivo de sesión: Título del mensaje para los usuarios que intentan iniciar una sesión deben estar ambos activados para que cada uno funcione adecuadamente.

Inicio interactivo de sesión: Número previo de inicios de sesión en la memoria caché (en caso de que el controlador de dominio no esté disponible) Tabla 3.74: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

10 1 0 0

La opción de seguridad Inicio interactivo de sesión: Número previo de inicios de sesión en la memoria caché (en caso de que el controlador de dominio no esté disponible) determina si un usuario puede iniciar una sesión en un dominio Windows utilizando información de cuenta en memoria caché. La información de inicio de sesión de las cuentas de dominio se puede colocar en la memoria caché localmente, para que un usuario pueda iniciar una sesión en caso de que no se pueda contactar con un controlador de dominio en inicios de sesión posteriores. Este parámetro determina el número de usuarios para quienes se coloca en memoria caché localmente la información de inicio de sesión. Configurar este valor a 0 desactiva la memoria caché de inicio de sesión, lo cual es la configuración recomendada para los tres entornos.

Inicio interactivo de sesión: Indicar al usuario que cambie la contraseña antes de su vencimientoTabla 3.75: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Inicio interactivo de sesión: Indicar al usuario que cambie la contraseña antes de su vencimiento determina con cuántos días de antelación hay que avisar a los usuarios de que sus contraseñas están a punto de caducar. La sección Directivas de Cuenta de esta guía recomienda configurar las contraseñas de usuario para que caduquen periódicamente. Si no se notifica a los usuarios que sus contraseñas están a punto de caducar,

83

puede que no se den cuenta hasta que las contraseñas ya hayan vencido. Esto puede confundir a los usuarios que acceden a la red de manera local o impedir la conexión a los usuarios que acceden a la red de su empresa a través de conexiones de acceso telefónico o VPN. Por lo tanto, este parámetro se establece en el valor predeterminado de 14 días en los tres entornos definidos en esta guía.

Inicio interactivo de sesión: Requerir la autentificación del controlador de dominio para desbloquear la estación de trabajoTabla 3.76: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


En las cuentas de dominio, la opción de seguridad Inicio interactivo de sesión: Requerir la autentificación del controlador de dominio para desbloquear la estación de trabajo determina si se debe contactar con un controlador de dominio para desbloquear un ordenador. Este parámetro aborda una vulnerabilidad similar a la del parámetro Inicio interactivo de sesión: Número previo de inicios de sesión en la memoria caché (en caso de que el controlador de dominio no esté disponible). Un usuario podría desconectar el cable de red del servidor y desbloquearlo con una contraseña antigua sin necesidad de autentificarse. Para evitar esto, este parámetro está Activado en los tres entornos definidos en esta guía.

Importante: Esta configuración se aplica a ordenadores que ejecutan Windows 2000 o posterior, pero no está disponible a través de las herramientas del Administrador de Configuración de Seguridad en los ordenadores que ejecutan Windows 2000, sólo Windows Server 2003.

Inicio interactivo de sesión: Comportamiento ante la eliminación de la tarjeta inteligenteTabla 3.77: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sin acción No definido Bloquear la estación

de trabajo

Bloquear la estación

de trabajo

La opción de seguridad Inicio interactivo de sesión: Comportamiento ante la eliminación de la tarjeta inteligente determina qué sucede cuando se elimina desde el lector la tarjeta inteligente de un usuario conectado. Configurar esta opción a Bloquear estación de trabajo bloquea la estación de trabajo cuando se retira la tarjeta inteligente, permitiendo a los usuarios salir del área, llevarse sus tarjetas inteligentes con ellos y bloquear automáticamente sus estaciones de trabajo. Configurar esta opción a Obligar el cierre de sesión cierra automáticamente la sesión del usuario cuando se retira la tarjeta inteligente.

Cliente de red Microsoft: Firmar digitalmente las comunicaciones (siempre) Tabla 3.78: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Desactivado Activado Activado

84

La opción de seguridad Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) determina si el componente del cliente SMB requiere la firma de paquetes. La activación de este parámetro evita que el cliente de red de Microsoft se comunique con un servidor de red de Microsoft a menos que el servidor firme el paquete SMB. En entornos mixtos con clientes heredados, deje Desactivado este parámetro, porque si no estos clientes no podrán autentificarse ni obtener acceso a los controladores de dominio. Sin embargo, puede utilizar esta configuración en entornos Windows 2000 o posteriores. Los entornos Cliente Empresarial y Alta Seguridad definidos en esta guía sólo contienen sistemas que ejecutan Windows 2000 o posterior, los cuales soportan la firma de comunicaciones digitales. Por lo tanto, para incrementar la seguridad de las comunicaciones entre los sistemas de este entorno, este parámetro se establece como Activado en los entornos Cliente Empresarial y Alta Seguridad.

85

Cliente de red Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de acuerdo) Tabla 3.79: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Cliente de red de Microsoft: Firmar digitalmente las comunicaciones (si el servidor está de acuerdo) determina si el cliente SMB intenta negociar la firma de paquetes SMB. Implementar la firma digital en las redes Windows ayuda a evitar que se usurpe la sesión. Al activar este parámetro, el cliente de red Microsoft de los servidores miembro solicitará la firma sólo si los servidores con los que se está comunicando aceptan las comunicaciones firmadas digitalmente. Este parámetro está Activado en los tres entornos definidos en esta guía.

Cliente de red Microsoft: Enviar una contraseña no encriptada a servidores SMB de tercerosTabla 3.80: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


Si la opción de seguridad Cliente de red de Microsoft: Enviar una contraseña no cifrada a servidores SMB de terceros está activada, el redireccionador SMB puede enviar contraseñas de texto plano a servidores SMB ajenos a Microsoft que no soportan la encriptación de contraseñas durante la autentificación. Por defecto, este parámetro está Desactivado en los tres entornos definidos en esta guía, a menos que los requisitos de la aplicación reemplacen la necesidad de mantener las contraseñas en secreto.

Servidor de red Microsoft: Tiempo requerido de inactividad antes de suspender la sesión Tabla 3.81: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

15 minutos 15 minutos 15 minutos 15 minutos

La opción de seguridad Servidor de red de Microsoft: Tiempo requerido de inactividad antes de suspender la sesión determina el tiempo de inactividad continua que debe transcurrir durante una sesión SMB antes de que ésta se suspenda debido a la inactividad. Los administradores pueden utilizar esta directiva para controlar cuándo suspende un ordenador una sesión SMB inactiva. Si se reanuda la actividad del cliente, la sesión se restablece automáticamente. Este valor se establece en 15 minutos en los tres entornos definidos en esta guía.

86

Servidor de red Microsoft: Firmar digitalmente las comunicaciones (siempre) Tabla 3.82: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) determina si el componente del servidor SMB requiere la firma de paquetes para permitir que continúe la comunicación con un cliente SMB. Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 y Windows XP Professional incluyen versiones de SMB que soportan la autentificación mutua, que evita los ataques de usurpación de sesión y permite la autentificación de mensajes (evitando así los ataques man-in-the-middle). La firma de SMB proporciona esta encriptación colocando una firma digital en cada paquete SMB, lo cual comprueban después tanto el cliente como el servidor. Si los equipos se configuran para ignorar todas las comunicaciones SMB no firmadas, las aplicaciones heredadas y los sistemas operativos no se podrán conectar. Desactivar totalmente todas las firmas SMB deja a los equipos expuestos a ataques de usurpación de sesión.

Servidor de red Microsoft: Firmar digitalmente las comunicaciones (si el cliente está de acuerdo) Tabla 3.83: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (si el cliente está de acuerdo) determina si el servidor SMB negocia la firma de paquetes SMB con los clientes que lo soliciten. Windows 2000 Server, Windows 2000 Professional, Windows Server 2003 y Windows XP Professional incluyen versiones de SMB que soportan la autentificación mutua, que evita los ataques de usurpación de sesión y permite la autentificación de mensajes (evitando así los ataques man-in-the-middle). La firma de SMB proporciona esta encriptación colocando una firma digital en cada paquete SMB, lo cual comprueban después tanto el cliente como el servidor. Si los equipos se configuran para ignorar todas las comunicaciones SMB no firmadas, las aplicaciones heredadas y los sistemas operativos no se podrán conectar. Desactivar totalmente todas las firmas SMB deja a los equipos expuestos a ataques de usurpación de sesión.

Servidor de red Microsoft: Desconectar clientes cuando acabe el tiempo de sesión Tabla 3.84: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Servidor de red de Microsoft: Desconectar clientes cuando acabe el tiempo de sesión determina si se desconecta a los usuarios conectados a un equipo de red fuera de las horas de inicio de sesión válidas para su cuenta de usuario. Este parámetro afecta al componente SMB. Si su empresa ha configurado horas de inicio de sesión para los usuarios, es lógico activar este parámetro; si no, los usuarios no deberán tener acceso a los recursos de la red fuera de sus horas de inicio de sesión, o podrán seguir utilizando esos recursos con

87

sesiones establecidas durante las horas permitidas. Por lo tanto, este parámetro está Activado en los tres entornos definidos en esta guía.

Acceso a la red: No permitir la enumeración anónima de las cuentas SAM Tabla 3.85: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Acceso a la red: No permitir la enumeración anónima de las cuentas SAM determina qué permisos adicionales se otorgan a las conexiones anónimas al ordenador. Este parámetro está Activado en los tres entornos definidos en esta guía.

Acceso a la red: No permitir la enumeración anónima de las cuentas y usos compartidos SAMTabla 3.86: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Acceso a la red: No permitir la enumeración anónima de las cuentas y usos compartidos SAM determina si se permite la enumeración anónima de las cuentas y usos compartidos SAM. Este parámetro está Activado en los tres entornos definidos en esta guía.

Acceso a la red: No permitir el almacenamiento de credenciales o .NET Passports para la autentificación en la redTabla 3.87: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Acceso a la red: No permitir el almacenamiento de credenciales o .NET Passports para la autentificación en la red determina si la configuración de Nombres de usuario y contraseñas almacenados guardará contraseñas, credenciales o .NET Passports para su uso después de obtener la autentificación del dominio. Este parámetro está Activado en los tres entornos definidos en esta guía.


88

Acceso a la red: Permitir que los permisos de Todos se apliquen a los usuarios anónimosTabla 3.88: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Acceso a la red: Permitir que los permisos de Todos se apliquen a los usuarios anónimos determina qué permisos adicionales se otorgan a las conexiones anónimas al equipo. Activar este parámetro permite a los usuarios anónimos de Windows realizar ciertas actividades, como enumerar los nombres de las cuentas de dominio y de los usos compartidos de red. Un usuario no autorizado podría enumerar de forma anónima los nombres de las cuentas y los recursos compartidos y utilizar la información para averiguar contraseñas o realizar ataques de ingeniería social. Por lo tanto, este parámetro está Desactivado en los tres entornos definidos en esta guía.

Nota: Los dominios con esta configuración no podrán establecer o mantener relaciones de confianza con los dominios o los controladores de dominio de Windows NT 4.0.

Acceso a la red: Canales a los que se puede acceder de manera anónimaTabla 3.89: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Ninguno Ninguno Ninguno

La opción de seguridad Acceso a la red: Tuberías nombradas a las que se puede acceder de manera anónima determina qué sesiones de comunicación (canales con nombre) tienen atributos y permisos que permiten el acceso anónimo. El parámetro Acceso a la red: Canales a los que se puede acceder de manera anónima debe configurarse como Ninguno en los entornos Cliente Empresarial y Alta Seguridad.

Importante: Si necesita activar esta configuración, asegúrese de añadir sólo los canales con nombre necesarios para dar soporte a las aplicaciones de su entorno. Como todas las configuraciones recomendadas en esta guía, debe probar esta configuración cuidadosamente en su entorno de producción.

89

Acceso a la red: Rutas de registro accesibles de manera remotaTabla 3.90: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sistema \ Conjunto actual de

controles \Control \Opciones de

producto; Sistema \Conjunto

actual de controles \Control

\Aplicaciones de servidor;

Software \Microsoft \Windows

NT \Versión actual

Sistema \ Conjunto

actual de controles

\Control \Opciones de

producto; Sistema

\Conjunto actual de

controles \Control

\Aplicaciones de

servidor; Software

\Microsoft \Windows

NT \Versión actual

Sistema \ Conjunto

actual de controles


producto; Sistema

\Conjunto actual de

controles \Control

\Aplicaciones de

servidor; Software

\Microsoft \Windows

NT \Versión actual

Sistema \ Conjunto

actual de controles


producto; Sistema

\Conjunto actual de

controles \Control

\Aplicaciones de

servidor; Software

\Microsoft \Windows

NT \Versión actual

La opción de seguridad Acceso a la red: Rutas de registro accesibles de manera remota determina las rutas de registro a las que se puede acceder sobre la red. Se recomienda aplicar la configuración predeterminada en las plantillas de seguridad de referencia para los tres entornos de seguridad definidos en esta guía.

Nota: Incluso si se configura esta opción de seguridad, también debe iniciar el servicio del sistema Registro remoto si los usuarios autorizados van a poder acceder al registro sobre la red.

90

Acceso a la red: Rutas y subrutas de registro con acceso remotoTabla 3.91: Valores


Cliente Heredado Cliente Empresarial Alta Seguridad

Sistema \Conjunto actual

de controles \Control

\Imprimir \Impresoras











de controles

\Servicios \Registro de

eventos


de controles


eventos


de controles


eventos


de controles


eventos

Software \Microsoft

\Servidor OLAP

Software \Microsoft

\Servidor OLAP

Software \Microsoft

\Servidor OLAP

Software \Microsoft

\Servidor OLAP

Software \Microsoft

\Windows NT \Versión

actual \Impresora

Software \Microsoft


actual \Impresora

Software \Microsoft


actual \Impresora

Software \Microsoft


actual \Impresora

Software \Microsoft


actual \Windows

Software \Microsoft


actual \Windows

Software \Microsoft


actual \Windows

Software \Microsoft


actual \Windows



\Índice de contenido












\Terminal Server



\Terminal Server



\Terminal Server



\Terminal Server



\Terminal Server

\UserConfig



\Terminal Server

\UserConfig



\Terminal Server

\UserConfig



\Terminal Server

\UserConfig



\Terminal Server

\Configuración

predeterminada del

usuario



\Terminal Server

\Configuración

predeterminada del

usuario



\Terminal Server

\Configuración

predeterminada del

usuario



\Terminal Server

\Configuración

predeterminada del

usuario

Software \Microsoft


actual \Perflib

Software \Microsoft


actual \Perflib

Software \Microsoft


actual \Perflib

Software \Microsoft


actual \Perflib


de controles

\Servicios \Registro

Sysmon


de controles


Sysmon


de controles


Sysmon


de controles


Sysmon

La opción de seguridad Acceso a la red: Rutas y subrutas de registro con acceso remoto determina las rutas y subrutas de registro a las que se puede acceder sobre la red. Se recomienda aplicar la configuración predeterminada en las plantillas de seguridad de referencia para los tres entornos de seguridad definidos en esta guía.

91

Acceso a la red: Restringir el acceso anónimo a los canales con nombre y usos compartidosTabla 3.92: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Acceso a la red: Restringir el acceso anónimo a los canales con nombre y usos compartidos restringe el acceso anónimo a los canales nombrados y los usos compartidos nombrados cuando se activa para los parámetros:

• Acceso a la red: Canales a los que se puede acceder de manera anónima

• Acceso a la red: Usos compartidos a los que se puede acceder de manera anónima

Este parámetro se activa por defecto en los tres entornos definidos en esta guía.

Acceso a la red: Usos compartidos a los que se puede acceder de manera anónimaTabla 3. 93: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

COMCFG;DFS$ Ninguno Ninguno Ninguno

La opción de seguridad Acceso a la red: Usos compartidos a los que se puede acceder de manera anónima determina a qué usos compartidos de la red pueden acceder los usuarios anónimos. El valor predeterminado para esta configuración tiene poco impacto, ya que todos los usuarios tienen que ser autentificados antes de poder acceder a los recursos compartidos del servidor. Por lo tanto, asegúrese de establecer este valor en Ninguno en los tres entornos definidos en esta guía.

Nota: Activar este parámetro de la Directiva de Grupo es muy peligroso; cualquier usuario de la red podría acceder a todos los usos compartidos. Esto podría provocar la exposición o corrupción de datos corporativos importantes.

Acceso a la red: Modelo de uso compartido y de seguridad para las cuentas localesTabla 3.94: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Clásico - los usuarios locales se

autentifican como ellos mismos

Clásico - los usuarios

locales se

autentifican como

ellos mismos


locales se

autentifican como

ellos mismos


locales se

autentifican como

ellos mismos

La opción de seguridad Acceso a la red: Modelo de uso compartido y de seguridad para las cuentas locales determina cómo se autentifican los inicios de sesión en la red mediante cuentas locales. La configuración Clásica ofrece un buen control del acceso a los recursos y le permite otorgar diferentes tipos de acceso a diferentes usuarios para el mismo recurso. La configuración Sólo invitado le permite tratar del mismo modo a todos los usuarios. En este

92

contexto, todos los usuarios se autentifican como Sólo invitado para recibir el mismo nivel de acceso a un recurso dado. Por lo tanto, se utiliza la configuración predeterminada Clásica para los tres entornos definidos en esta guía.

93

Seguridad en la red: No almacenar el valor hash del Administrador LAN en el siguiente cambio de contraseña Tabla 3.95: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Seguridad en la red: No almacenar el valor hash del administrador LAN en el siguiente cambio de contraseña determina si el valor hash del Administrador LAN (LM) para la nueva contraseña se almacena al cambiar la contraseña. El hash LM es relativamente débil y propenso a ataques, en comparación con el hash criptográficamente más sólido de Windows NT. Por esta razón, este parámetro está Activado en los tres entornos definidos en esta guía.

Nota: Los sistemas operativos heredados muy antiguos y algunas aplicaciones de terceros pueden fallar cuando este parámetro está activado. También necesitará cambiar las contraseñas de todas las cuentas después de activar este parámetro.

Seguridad en la red: Nivel de autentificación del Administrador LANTabla 3.96: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Enviar sólo la respuesta NTLM Enviar sólo las

respuestas NTLMv2

Enviar sólo la

respuesta NTLMv2 \

rechazar LM

Enviar sólo la

respuesta NTLMv2 \

rechazar LM y NTLM

La opción de seguridad Seguridad en la red: Nivel de autentificación del Administrador LAN determina qué protocolo de autentificación reto / respuesta se utiliza para el inicio de sesión en la red. Esta opción afecta al nivel del protocolo de autentificación que utilizan los clientes, el nivel de seguridad negociado y el nivel de autentificación aceptado por los servidores. Los siguientes números entre paréntesis indican las configuraciones reales para el valor de registro LMCompatibilityLevel. Este parámetro debe establecerse al nivel más alto que permita su entorno de acuerdo con las siguientes directrices:

En un entorno puro Windows NT 4.0 SP4 o posterior, incluyendo Windows 2000 y Windows XP Professional, establezca este parámetro como Enviar sólo respuesta NTLMv2 \ rechazar LM y NTLM en todos los clientes y, a continuación, como Enviar sólo respuesta NTLMv2 \ rechazar LM y NTLM en todos los servidores una vez configurados todos los clientes. La excepción a esta recomendación son los servidores de Enrutamiento y Acceso Remoto de Windows 2003, que no funcionarán adecuadamente si este parámetro se establece en un valor superior a Enviar sólo respuesta NTLMv2 \ rechazar LM.

Los entornos Cliente Empresarial contienen servidores de Enrutamiento y Acceso Remoto. Por eso, para este entorno el parámetro se establece en Enviar sólo respuesta NTLMv2 \ rechazar LM. El entorno de Alta Seguridad no contiene servidores de Enrutamiento y Acceso Remoto, por lo que se configura como Enviar sólo respuesta NTLMv2 \ rechazar LM y NTLM.

Si tiene clientes Windows 9x y puede instalar DSClient en todos ellos, fije este parámetro en Enviar sólo respuesta NTLMv2 \ rechazar LM y NTLM en los ordenadores que ejecuten Windows NT (Windows NT, Windows 2000 y Windows XP Professional). Si no, no configure este parámetro en un valor mayor que Enviar sólo respuestas NTLMv2 en los equipos que no ejecuten Windows 9x.

94

Si algunas aplicaciones se interrumpen al activar esta configuración, deshágala paso a paso para descubrir cuál es la causa. Como mínimo, debe establecer este parámetro en Enviar LM y NTLM – utilizar la seguridad de la sesión NTLMv2 si se negocia en todos las ordenadores; generalmente, se puede establecer en Enviar sólo respuestas NTLMv2 en todas los ordenadores en el entorno.

Seguridad en la red: Requisitos para firmar el cliente LDAPTabla 3.97: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Negociar la firma Negociar la firma Negociar la firma Negociar la firma

La opción de seguridad Seguridad en la red: Requisitos para firmar el cliente LDAP determina el nivel de firma de datos que se solicita en nombre de los clientes que emiten peticiones LDAP BIND. El tráfico no firmado de la red puede sufrir ataques “man in the middle”. En el caso de un servidor LDAP, esto significa que un atacante puede hacer que un servidor tome decisiones basándose en consultas falsas desde el cliente LDAP. Por lo tanto, este parámetro se establece en Negociar firmas en los tres entornos definidos en esta guía.

Seguridad en la red: Seguridad mínima de la sesión para los clientes basados en SSP NTLM (incluyendo RPC seguro) Tabla 3.98: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sin mínimo Sin mínimo Todas las

configuraciones

están activadas

Todas las

configuraciones

están activadas

La opción de seguridad Seguridad en la red: Seguridad mínima de la sesión para los clientes basados en SSP NTLM (incluyendo RPC seguro) permite a un cliente solicitar la negociación de la confidencialidad de mensajes (encriptación), firma del mensaje, encriptación de 128 bits o la seguridad de la sesión de NTLM versión 2 (NTLMv2). Establezca este parámetro con el mayor valor posible, permitiendo al tiempo el funcionamiento completo de las aplicaciones de la red para garantizar que el tráfico de la red de los servidores basados en SSP NTLM esté protegido contra los ataques “man in the middle” y la exposición de los datos.

95

Seguridad en la red: Seguridad mínima de la sesión para los servidores basados en SSP NTLM (incluyendo RPC seguros) Tabla 3.99: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sin mínimo Sin mínimo Todas las

configuraciones

están activadas

Todas las

configuraciones

están activadas

La opción de seguridad Seguridad en la red: Seguridad mínima de la sesión para los servidores basados en SSP NTLM (incluyendo RPC seguro) permite que un servidor requiera la negociación de la confidencialidad de mensajes (encriptación), integridad del mensaje, encriptación de 128 bits o la seguridad de la sesión NTLMv2. Establezca este parámetro con el mayor valor posible, permitiendo al tiempo el funcionamiento completo de las aplicaciones de la red para garantizar que el tráfico de la red de los servidores basados en SSP NTLM esté protegido contra los ataques “man in the middle” y la exposición de los datos.

Consola de recuperación: Permitir el inicio de sesión administrativo automáticoTabla 3.100: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Consola de recuperación: Permitir el inicio de sesión administrativo automático determina si hay que introducir la contraseña de la cuenta del Administrador antes de obtener acceso al sistema. Si esta opción está activada, la Consola de recuperación no requiere contraseña e inicia automáticamente una sesión en el sistema. La Consola de recuperación puede ser muy útil para solucionar problemas y reparar sistemas que no se pueden reiniciar normalmente. Sin embargo, activar esta configuración puede ser contraproducente, porque cualquier persona puede llegar al servidor, apagarlo desconectando la fuente de energía, reiniciarlo, seleccionar la Consola de recuperación del menú de Reinicio y hacerse con control completo del servidor. Por lo tanto, este parámetro se establece por defecto para los tres entornos definidos en esta guía. Para utilizar la Consola de recuperación cuando esta configuración está desactivada, el usuario tendrá que dar su nombre de usuario y contraseña para acceder a la cuenta de la Consola de recuperación.

Consola de recuperación: Permitir copias en el disco flexible y acceder a todos los controladores y carpetasTabla 3.101: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Activado Activado Desactivado

Activar la opción de seguridad Consola de recuperación: Permitir copia en el disco flexible y acceso a todos los controladores y carpetas habilita el comando Configurar la Consola de recuperación, lo cual le permite establecer las siguientes variables del entorno de la Consola de recuperación:

• AllowWildCards: Activa el soporte de comodines para algunos comandos (como el comando DEL).

96

• AllowAllPaths: Permite el acceso a todos los archivos y carpetas del ordenador.

• AllowRemovableMedia: Permite copiar los archivos en medios extraíbles, como un disco flexible.

• NoCopyPrompt: No avisa cuando se sobrescribe un archivo existente.

Para alcanzar la máxima seguridad, este parámetro está Desactivado en el entorno de Alta Seguridad.

Apagado: Permitir que el sistema se apague sin tener que iniciar una sesiónTabla 3.102: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Apagado: Permitir que el sistema se apague sin tener que iniciar una sesión determina si se puede apagar un ordenador sin necesidad de iniciar una sesión en el sistema operativo Windows. Los usuarios que pueden acceder a la consola podrían apagar el sistema. Un atacante o un usuario equivocado podrían conectarse al servidor a través de Terminal Services y apagarlo o reiniciarlo sin tener que identificarse. Por lo tanto, esta contramedida se debe establecer en el valor predeterminado en los tres entornos.

Apagado: Eliminar el archivo de la página de la memoria virtual Tabla 3.103: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Desactivado Desactivado Desactivado Activado

La opción de seguridad Apagado: Eliminar el archivo de la página de la memoria virtual determina si el archivo de la página de la memoria virtual se borra cuando se apaga el sistema. Si se activa esta configuración, el archivo de la página del sistema se borra cada vez que el sistema se apaga sin problemas. Si activa esta configuración de seguridad, el archivo de hibernación (hiberfil.sys) también se borra cuando se desactiva la hibernación en un ordenador portátil. Apagar y reiniciar el servidor llevará más tiempo y se notará especialmente en los servidores con grandes archivos de paginación. Por eso, este parámetro está Activado en el entorno de Alta Seguridad y Desactivado en los entornos Cliente Heredado y Cliente Empresarial.

Nota: Un atacante con acceso físico al servidor podría saltarse esta contramedida simplemente desconectando el servidor de su fuente de energía.

97

Encriptación del sistema: Forzar una protección de clave sólida para las claves del usuario almacenadas en el ordenadorTabla 3.104: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Se indica al usuario

cuando se utiliza la

clave por primera

vez

Se indica al usuario

cuando se utiliza la

clave por primera

vez

El usuario debe

registrar una

contraseña cada

vez que utiliza una

clave

La opción de seguridad Encriptación del sistema: Obligar una protección de clave sólida para las claves del usuario almacenadas en el ordenador determina se requiere una contraseña para que los usuarios puedan utilizar sus claves privadas, como las claves S-MIME. Si esta directiva se configura de manera que los usuarios deban proporcionar una contraseña (distinta a su contraseña de dominio) cada vez que utilicen una clave, entonces, aunque un atacante tome el control de su ordenador y averigüe su contraseña de inicio de sesión, é será más difícil acceder a las claves del usuario almacenadas localmente. Debido a los requisitos de facilidad de uso de los entornos Cliente Heredado y Cliente Empresarial, este parámetro se establece en Se indica al usuario cuando se utiliza por primera vez la clave. Para incrementar la seguridad, en el entorno de Alta Seguridad este valor se establece en El usuario debe registrar una contraseña cada vez que utilice una clave.

Encriptación del sistema: Utilizar los algoritmos que cumplen con FIPS para encriptación, operaciones hash y firma Tabla 3.105: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Encriptación del sistema: Utilizar los algoritmos que cumplen con FIPS para encriptación, operaciones hash y firma determina si el proveedor de seguridad TL/SSL soporta sólo el conjunto de cifrado TLS_RSA_WITH_3DES_EDE_CBC_SHA. Activar esta directiva asegura que los ordenadores de su entorno utilizarán los algoritmos más poderosos disponibles para el cifrado, operaciones hash y firma digitales. Esto minimiza el riesgo de que un usuario no autorizado ponga en peligro los datos encriptados o firmados digitalmente. Por eso, este parámetro está Desactivado en los tres entornos definidos en esta guía.

Objetos del sistema: Propietario predeterminado para los objetos creados por los miembros del grupo de AdministradoresTabla 3.106: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Grupo de administradores Creador de objetos Creador de objetos Creador de objetos

La opción de seguridad Objetos del sistema: Propietario predeterminado para los objetos creados por los miembros del grupo de Administradores determina si el grupo de Administradores o un creador de objetos es el propietario predeterminado de los objetos del

98

sistema que se crean. Cuando se crean los objetos del sistema, la propiedad reflejará la cuenta que creó el objeto en vez del grupo de Administradores más genérico.

Objetos del sistema: No requerir la distinción entre mayúsculas y minúsculas para los subsistemas ajenos a WindowsTabla 3.107: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Objetos del sistema: No requerir la distinción entre mayúsculas y minúsculas para los subsistemas que no sean de Windows determina si se aplica la distinción entre mayúsculas y minúsculas a todos los subsistemas. El subsistema de Microsoft Win32® no distingue entre mayúsculas y minúsculas. Sin embargo, el kernel soporta la distinción entre mayúsculas y minúsculas para otros subsistemas, como la Interfaz de Sistema Operativo Portátil para UNIX (POSIX). Dado que Windows no distingue entre mayúsculas y minúsculas (pero el subsistema POSIX sí), no aplicar este parámetro permite al usuario de este subsistema la creación de un archivo con el mismo nombre que otro archivo utilizando mayúsculas y minúsculas para etiquetarlo. Esto puede bloquear a otro usuario que accede a estos archivos con herramientas Win32 normales, ya que sólo uno de estos dos archivos estará disponible. Para asegurar la coherencia de los nombres de los archivos, este parámetro está Activado en los tres entornos definidos en esta guía.

Objetos del sistema: Fortalecer los permisos predeterminados de los objetos internos del sistema (por ejemplo, Vínculos simbólicos)Tabla 3.108: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Objetos del sistema: Fortalecer los permisos predeterminados de los objetos internos del sistema (por ejemplo, Vínculos simbólicos) determina la fortaleza de la lista de control de acceso discrecional (DACL) predeterminada para objetos. La configuración ayuda a proteger los objetos que se pueden localizar y compartir entre procesos. Fijar este parámetro en el valor predeterminado fortalece la DACL y permite a los usuarios que no son administradores leer los objetos compartidos, pero no modificar los que no han creado. Por lo tanto, este parámetro está Activado en los tres entornos definidos en esta guía.

99

Configuraciones del sistema: Subsistemas opcionalesTabla 3.109: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

POSIX Ninguno Ninguno Ninguno

La opción de seguridad Configuraciones del sistema: Subsistemas opcionales determina qué subsistemas se utilizan para dar soporte a las aplicaciones de su entorno. El valor predeterminado para este parámetro en Windows Server 2003 es POSIX. Para poder desactivar el subsistema POSIX, este parámetro se establece en Ninguno en los tres entornos definidos en esta guía.

100

Registro de EventosLos registros de eventos registran los eventos del sistema. El registro de seguridad registra los eventos de auditoría. El contenedor del registro de eventos de la Directiva de Grupo se utiliza para definir atributos relacionados con los registros de eventos de aplicaciones, la seguridad y el registro de eventos del sistema, como el tamaño máximo del registro, derechos de acceso para cada registro y parámetros y métodos de retención. Las configuraciones para los registros de eventos de aplicaciones, de la seguridad y del sistema se configuran en la MSBP y se aplican a todos los servidores miembro en el dominio.

Las configuraciones del Registro de eventos se pueden establecer en Windows Server 2003 en la siguiente ubicación dentro del Editor de objetos de las Políticas de grupo:

Configuración del equipo\Configuración de Windows\Configuración de seguridad\Registro de eventos

Esta sección proporciona detalles sobre las opciones obligatorias de seguridad de la MSBP para los tres entornos definidos en esta guía. Para leer un resumen de las configuraciones obligatorias en esta sección, consulte la hoja de Excel sobre Configuraciones de la guía de seguridad de Windows Server 2003. Para información sobre las configuraciones predeterminadas y una explicación detallada de cada configuración analizada en esta sección, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Tamaño máximo del registro de las aplicacionesTabla 3.110: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

16,384 KB 16,384 KB 16,384 KB 16,384 KB

La opción de seguridad Tamaño máximo del registro de las aplicaciones especifica el tamaño máximo del registro de eventos de aplicaciones, que tiene una capacidad máxima de 4 gigabytes (GB), aunque esto no se recomienda, por el riesgo de que la fragmentación de la memoria provoque un rendimiento lento y un registro de eventos poco fiable. Los requisitos de tamaño del registro de aplicaciones varían dependiendo de la función de la plataforma y la necesidad de registros históricos de los eventos relacionados con la aplicación. El valor predeterminado de 16,384 kilobytes (KB) se aplica en los tres entornos.

Tamaño máximo del registro de seguridadTabla 3.111: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

16,384 KB 81,920 KB 81,920 KB 81,920 KB

La opción de seguridad Tamaño máximo del registro de seguridad especifica el tamaño máximo del registro de eventos de seguridad, que tiene una capacidad máxima de 4 GB. Si se configura el registro de seguridad en un mínimo 80 MB en los controladores de dominio y en los servidores independientes, se almacena adecuadamente información suficiente para realizar las auditorías. La configuración de este registro a un tamaño adecuado para otros sistemas se basa en factores que incluyen la frecuencia con que se revisará el registro, espacio disponible en el disco, etc.

101

http://go.microsoft.com/fwlink/?LinkId=15159


Tamaño máximo del registro del sistemaTabla 3.112: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

16,384 KB 16,384 KB 16,384 KB 16,384 KB

La opción de seguridad Tamaño máximo del registro del sistema especifica el tamaño máximo del registro de eventos de aplicaciones, que tiene una capacidad máxima de 4 GB, aunque esto no se recomienda por el riesgo de fragmentación de la memoria, que provoca un rendimiento lento y un registro de eventos poco fiable. Los requisitos de tamaño del registro de aplicaciones varían dependiendo de la función de la plataforma y la necesidad de registros históricos de los eventos relacionados con la aplicación. El valor predeterminado de 16,384 KB se aplica en los tres entornos.

Impedir que el grupo local de invitados acceda al registro de las aplicaciones Tabla 3.113: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Impedir que el grupo local de invitados acceda al registro de las aplicaciones determina si se impide que los invitados accedan al registro de eventos de aplicaciones. Por defecto, en Windows Server 2003, se prohíbe el acceso a invitados en todos los sistemas. Por lo tanto, esta configuración no tiene un efecto real en los sistemas predeterminados. Sin embargo, se considera un parámetro de defensa en profundidad sin efectos colaterales.

Nota: Este parámetro no aparece en el objeto Directiva Local del Equipo.

Impedir que el grupo local de invitados acceda al registro de seguridadTabla 3.114: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Impedir que el grupo local de invitados acceda al registro de seguridad determina si se impide que los invitados accedan al registro de eventos de seguridad. Un usuario debe poseer el permiso de usuario Administrar el registro de auditoría y seguridad (que no se define en esta guía) para acceder al registro de seguridad. Por lo tanto, esta configuración no tiene un efecto real en los sistemas predeterminados. Sin embargo, se considera un parámetro de defensa en profundidad sin efectos colaterales.


102

Impedir que el grupo de local invitados acceda al registro del sistema Tabla 3.115: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Impedir que el grupo de local invitados acceda al registro del sistema determina si se impide que los invitados accedan al registro de eventos del sistema. Por defecto, en Windows Server 2003 se prohíbe el acceso a invitados en todos los sistemas. Por lo tanto, esta configuración no tiene un efecto real en los sistemas predeterminados. Sin embargo, se considera un parámetro de defensa en profundidad sin efectos colaterales.


Método de retención para el registro de las aplicaciones Tabla 3.116: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Según se necesite Según se necesite Según se necesite Según se necesite

La opción de seguridad Método de retención para el registro de las aplicaciones determina el método de “ajuste” del registro de aplicaciones. Es imprescindible que el registro de aplicaciones se archive regularmente si los eventos históricos son necesarios ya sea para fines del forense o la resolución de problemas. Sobrescribir eventos según se necesite asegura que el registro almacene siempre los eventos más recientes, aunque esto provoque la pérdida de datos históricos.

Método de retención para el registro de seguridadTabla 3.117: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Método de retención para el registro de seguridad determina el método de “ajuste” del registro de seguridad. Es imprescindible que el registro de seguridad se archive regularmente si se desea conservar los eventos históricos para fines legales o para resolver problemas. Sobrescribir eventos según se necesite asegura que el registro almacene siempre los eventos más recientes, aunque esto provoque la pérdida de datos históricos.

Método de retención para el registro del sistema Tabla 3.118: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Método de retención para el registro del sistema determina el método de “ajuste” para el registro del sistema. Es imprescindible que el registro de seguridad se archive regularmente si se desea conservar los eventos históricos para fines legales o para resolver problemas. Sobrescribir eventos según se necesite asegura que el registro almacene siempre los eventos más recientes, aunque esto provoque la pérdida de datos históricos.

103

Servicios del Sistema Cuando se instala por primera vez Windows Server 2003, se crean los servicios predeterminados del sistema y se configuran para ejecutarse cuando se inicia el sistema. Muchos de estos servicios del sistema no necesitan ejecutarse en los tres entornos definidos en esta guía.

Existen servicios opcionales adicionales con Windows Server 2003, como los Servicios de Certificación, que no se instalan durante la instalación predeterminada de Windows Server 2003. Los servicios opcionales se pueden añadir a un sistema existente utilizando Agregar o quitar programas o el Asistente Configure su servidor de Windows Server 2003, o al crear una instalación automatizada y personalizada de Windows Server 2003.

Cualquier servicio o aplicación es un punto potencial de ataque. Por lo tanto, todos los servicios o archivos ejecutables que no sean necesarios se desactivan o eliminan en el entorno objetivo. La MSBP sólo activa los servicios que se requieren para que un servidor miembro Windows Server 2003 participe en un dominio Windows Server 2003 proporcionando servicios básicos de administración. Los servicios específicos requeridos para cada rol de servidor también se activan. Las directivas de grupo concretas se describen en otros capítulos de esta guía, que detallan los pasos específicos que se requieren para fortalecer cada rol de servidor.

Los servicios específicos que se requieren para cada rol de servidor se activan sobre una base de rol por servidor; las Directivas de Grupo concretas para estos roles del servidor se describen en los capítulos siguientes. Si se necesitan roles adicionales para el servidor en los entornos que se detallan en esta guía, tal vez sea necesario activar servicios adicionales. Por ejemplo, si se va a utilizar SQL Server™ para almacenar datos del cliente en el back end de una aplicación Web, se necesitaría instalar SQL Server. En este caso, también se necesitará crear una Directiva de Grupo que se aplique a este nuevo rol de servidor para establecer los Servicios de SQL en Automáticos.

Nota: Si se activan servicios adicionales, éstos pueden a su vez tener dependencias que requieran servicios adicionales. Todos los servicios necesarios para un rol de servidor en específico se añaden en la directiva del rol que el servidor ejecuta en su empresa.

Las configuraciones de los servicios del sistema se pueden configurar en Windows Server 2003 en la siguiente ubicación dentro del Editor de objetos de las Directivas de Grupo:

Configuración del Equipo\Configuración de Windows\Configuración de seguridad\Servicios del sistema\

Esta sección proporciona detalles sobre las opciones obligatorias de seguridad de la MSBP para los tres entornos definidos en esta guía. Para leer un resumen de las configuraciones obligatorias en esta sección, consulte la hoja de cálculo en Excel sobre las Configuraciones de la guía de seguridad de Windows 2003. Para información sobre las configuraciones predeterminadas y una explicación detallada de cada parámetro analizado en esta sección, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

NotificadorTabla 3.119: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Notificador Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Notificador notifica a los usuarios y ordenadores seleccionados las alertas administrativas. Utilice el servicio Notificador para enviar mensajes de alerta a usuarios concretos conectados a su red. Para promover una mayor seguridad en los tres entornos definidos en esta guía, desactive este servicio. Si se detiene el servicio, los programas que utilizan alertas administrativas no las recibirán.

104



Nota: La desactivación de este servicio puede interrumpir la funcionalidad de los sistemas de mensajes de alerta UPS.

Servicio de Puerta de Enlace a Nivel de AplicaciónTabla 3.120: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ALG Manual Desactivado Desactivado Desactivado

El servicio del sistema Servicio de puerta de enlace a nivel de aplicación es un subcomponente del servicio de ICS/ICF (Internet Connection Sharing / Internet Connection Firewall) que da soporte a los proveedores independientes de software (ISVs) para escribir plug-ins de protocolo que permitan a sus protocolos de red propietarios pasar a través del servidor de seguridad y trabajar tras ICS. Para asegurar una mayor seguridad en los tres entornos definidos en esta guía y evitar que los ordenadores no autorizados actúen como puertas de enlace de Internet, desactive este servicio.

Administración de las Aplicaciones Tabla 3.121: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

AppMgmt Manual Desactivado Desactivado Desactivado

El servicio del sistema Administración de las aplicaciones suministra los servicios de instalación de software, tales como Asignar, Publicar y Eliminar. Este servicio procesa las solicitudes para enumerar, instalar y quitar programas instalados a través de una red empresarial. Cuando hace clic en Agregar o quitar programas en un ordenador unido a un dominio, el programa invoca este servicio para recuperar la lista de sus programas instalados. La mayoría de empresas no utilizan este servicio del sistema en los servidores; sin embargo, utilizan aplicaciones de entrega automatizada de software para distribuir paquetes de software. Por eso, desactive este servicio en la directiva del servidor de referencia.

Servicio del Estado de ASP .NET Tabla 3.122: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

aspnet_state No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio del estado ASP .NET da soporte a los estados de sesión fuera del proceso para ASP.NET. Este servicio está Desactivado en la directiva de referencia.

105

Actualizaciones AutomáticasTabla 3.123: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

wuauserv Automático Automático Automático Automático

El servicio del sistema Actualizaciones automáticas permite la descarga e instalación de actualizaciones críticas de Windows. Para garantizar un mayor control de la instalación de las actualizaciones de software en los tres entornos definidos en esta guía, desactive este servicio. Para buscar, descargar e instalar reparaciones críticas aplicables, los usuarios tendrán que dirigirse al sitio Web de Windows Update en http://v4.windowsupdate.microsoft.com/es/.

Servicio de Transferencia Inteligente en Segundo PlanoTabla 3.124: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

BITS Manual — automático si están

pendientes trabajos BITS

Manual Manual Manual

El servicio del sistema Servicio de transferencia inteligente en segundo plano (BITS) es un mecanismo de transferencia de archivos en segundo plano y un administrador de cola de espera. BITS se utiliza para transferir archivos asíncronamente entre un cliente y un servidor HTTP. Las peticiones al servicio BITS se envían y los archivos se transfieren utilizando el ancho de banda inactivo de la red, para que otras actividades relacionadas con la red, como la navegación, no se vean afectadas. Este servicio se configura como Manual en los tres entornos definidos en esta guía.

Servicios de CertificaciónTabla 3.125: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

CertSvc No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicios de Certificación es parte del sistema operativo central que permite a una empresa actuar como su propia autoridad de certificación (CA) y emitir y administrar certificados digitales. Éste servicio es para un rol concreto del servidor. Por lo tanto, desactive este parámetro en las directivas de servidor de referencia para los tres entornos definidos en esta guía.

Proveedor de instancias de software MSTabla 3.165: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SwPrv Manual Manual Manual Manual

El servicio del sistema Proveedor de instancias de software MS administra el software para las instancias de archivos tomadas por el servicio de Instancias de volumen. Una instancia le permite crear una copia de un volumen de disco (o copia aparente) que representa un punto coherente de sólo lectura en el tiempo para ese volumen. Este punto en el tiempo se mantiene

106

http://v4.windowsupdate.microsoft.com/en/default.asp

constante y permite que una aplicación, como Ntbackup, copie datos desde la instancia a una cinta. Si se desactiva este servicio, no se pueden administrar las instancias por volumen basadas en software.

Servicio Cliente para NetwareTabla 3.126: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NWCWorkstation No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio cliente para Netware proporciona acceso a los recursos de archivo e impresión en las redes NetWare a los usuarios conectados interactivamente a los servidores en los cuales se instaló el servicio. Con el Servicio Cliente para Netware puede acceder a los recursos de archivo e impresión de los Servidores Netware que ejecutan los Servicios de directorio Novell (NDS) o la seguridad de unión (NetWare versiones 3.x o 4.x) desde su ordenador. Para promover una mayor seguridad en los tres entornos definidos en esta guía, desactive este servicio.

Portapapeles Tabla 3.127: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ClipSrv Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Portapapeles permite al Visor del Portapapeles crear y compartir páginas de datos que pueden ser vistas por los equipos remotos. Este servicio depende del servicio de Intercambio Dinámico de Datos en Red (NetDDE) para crear los usos compartidos reales a los que otros ordenadores se pueden conectar, mientras que la aplicación y el servicio Clipbook le permiten crear las páginas de los datos que se van a compartir.

Para promover una mayor seguridad en los tres entornos definidos en esta guía, desactive este servicio. No se podrá iniciar ningún servicio que dependa explícitamente de éste. Clipbrd.exe se puede seguir utilizando para ver el Portapapeles local, donde se almacenan los datos cuando un usuario selecciona texto y luego hace clic en Copiar en el menú Editar o presiona CTRL+C.

Servicio de Clúster Tabla 3.128: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ClusSvc No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio de clúster controla las operaciones del clúster del servidor y administra la base de datos del clúster. Un clúster es una recopilación de ordenadores independientes que es tan fácil de usar como un ordenador individual, pero puede ser muy difícil de administrar. Los administradores lo ven como un sistema único, así como los programadores y los usuarios. El Servicio de clúster disemina los datos y la programación entre los nodos del clúster. Cuando un nodo falla, otros nodos proporcionan los servicios y los datos proporcionados anteriormente por el nodo que ahora falta. Cuando se añade o se repara un nodo, el software del Servicio de clúster migra algunos datos y programación a ese nodo. Para promover una mayor seguridad en los tres entornos definidos en esta guía, desactive este servicio.

Sistema de eventos COM+ Tabla 3.129: Valores

107

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

COMSysApp Manual Manual Manual Manual

El servicio Sistema de eventos COM+ otorga una distribución automática de los eventos entre los componentes COM aceptados. El servicio Eventos COM+ extiende el modelo de programación COM+ para dar soporte a los eventos o llamadas del método unidos posteriormente entre el editor o el suscriptor y el sistema de eventos. En lugar de sondear repetidamente el servidor, el sistema de eventos le avisa cuando está disponible la información. Para asegurar la capacidad de uso y una mayor seguridad en los tres entornos definidos en esta guía, este servicio se configura como Manual.

Aplicación del sistema COM+ Tabla 3.130: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

EventSystem Manual Desactivado Desactivado Desactivado

El servicio del sistema Aplicación del sistema COM+ administra la configuración y el seguimiento de los componentes basados en COM+. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Explorador del Ordenador Tabla 3.131: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Explorador Automático Automático Automático Automático

El servicio del sistema Explorador del ordenador mantiene una lista actualizada de los ordenadores de su red y la ofrece a los programas que la solicitan. El servicio Explorador del ordenador es utilizado por los ordenadores basados en Windows que necesitan ver los dominios y los recursos de la red. Para promover una mayor seguridad en los tres entornos definidos en esta guía, configure este servicio como Automático.

Servicios de EncriptaciónTabla 3.132: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

CryptSvc Automático Automático Automático Automático

El servicio del sistema Servicios de encriptación suministra servicios de administración de claves para su equipo. Para promover una mayor seguridad en los tres entornos definidos en esta guía, este servicio se configura en Automático. Si se detiene el servicio, los servicios de administración mencionados anteriormente no funcionarán adecuadamente.

108

Cliente DHCPTabla 3.133: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Dhcp Automático Automático Automático Automático

El servicio del sistema Cliente DHCP administra la configuración de la red registrando y actualizando direcciones IP y actualizando las entradas DDNS de su ordenador con los servidores DNS. No tiene que cambiar manualmente las configuraciones de IP cuando un cliente, como un usuario itinerante, recorre la red. Al cliente se le da automáticamente una nueva dirección IP sin importar la subred a la que se reconecta, siempre y cuando un servidor DHCP sea accesible desde cada una de esas subredes. Para promover una mayor seguridad en los tres entornos definidos en esta guía, establezca este parámetro en Automático. Si se detiene este servicio, su ordenador no recibirá direcciones IP dinámicas ni actualizaciones de DNS. Tenga en cuenta también que al desactivar el cliente DHCP se impedirá que los servidores se registren en DNS a través de DDNS.

Servidor DHCPTabla 3.134: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

DHCPServer No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servidor DHCP asigna direcciones IP y activa la configuración avanzada de las configuraciones de red como los servidores DNS y los servidores WINS a los clientes DHCP de manera automática. El servicio del Servidor DHCP no es necesario en los servidores miembro en los tres entornos que se definen en esta guía. Sin embargo, se requiere esta configuración y se configura en Automático para los servidores DHCP en los tres entornos.

Sistema de Archivos DistribuidoTabla 3.135: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Dfs Automático Desactivado Desactivado Desactivado

El servicio Sistema de archivos distribuido (DFS) administra los volúmenes lógicos distribuidos a través de una red LAN o WAN. DFS es un servicio distribuido que integra los usos compartidos de archivos dispares en un espacio de nombre único y lógico. DFS no es necesario en los servidores miembro en los tres entornos definidos en esta guía. Sin embargo, se requiere esta configuración y se configura como Automático para los controladores de dominio en los tres entornos.

Cliente de Seguimiento de los Vínculos DistribuidosTabla 3.136: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TrkWks Automático Desactivado Desactivado Desactivado

El servicio del sistema Cliente de seguimiento de los vínculos distribuidos mantiene vínculos entre los archivos NTFS de su ordenador o entre los ordenadores de su dominio de red. El servicio de Cliente de seguimiento de vínculos distribuidos (DLT) garantiza que los

109

accesos directos y los vínculos OLE sigan funcionando después de renombrar o mover el archivo objetivo. Para promover una mayor seguridad en los tres entornos definidos en esta guía, desactive el servicio Cliente de seguimiento de vínculos distribuidos. Si se detiene este servicio, los vínculos de su ordenador no se mantendrán ni rastrearán.

Servidor de Seguimiento de los Vínculos DistribuidosTabla 3.137: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TrkSvr Manual Desactivado Desactivado Desactivado

El servicio del sistema Servidor de seguimiento de vínculos distribuidos almacena información para que los archivos que se cambian de lugar entre los volúmenes puedan ser rastreados para cada volumen del dominio. Cuando se activa, el servicio Servidor de seguimiento de vínculos distribuidos se ejecuta en los controladores de dominio. Por lo tanto, este servicio sólo se configura como Automático en la directiva de controladores de dominio.

Coordinador de Transacciones Distribuidas Tabla 3.138: Valores

Nombre del servicio

Servidor miembro predeterminado

Cliente Heredado

Cliente Empresarial

Alta Seguridad

MSDTC Automático Desactivado Desactivado Desactivado

El servicio del sistema Coordinador de transacciones distribuidas es responsable de la coordinación de las transacciones distribuidas a través de múltiples sistemas o gerentes de recursos, como bases de datos, colas de mensajes, sistemas de archivo u otros administradores de recursos con protección de transacciones. Este servicio está Desactivado en los tres entornos definidos en esta guía.

Cliente DNSTabla 3.139: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Dnscache Automático Automático Automático Automático

El servicio del sistema Cliente DNS resuelve y coloca en la memoria caché los nombres DNS para su ordenador. El servicio de cliente DNS se debe ejecutar en todos las ordenadores que ejecutan la resolución de nombres DNS. Resolver los nombres DNS es esencial para localizar controladores de dominio en los dominios de Directorio Activo. El servicio de cliente DNS también es importante para localizar dispositivos identificados utilizando la resolución de nombres DNS. Por lo tanto, este servicio se configura como Automático en los tres entornos definidos en esta guía.

Servidor DNSTabla 3.140: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

DNS No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servidor DNS activa la resolución de nombres DNS al responder a las consultas y actualizar las peticiones de nombres DNS. La presencia de un servidor DNS es

110

esencial para localizar dispositivos identificados utilizando nombres DNS y controladores de dominio en Directorio Activo. Estas funciones no son necesarias en el servidor de referencia; sólo se requieren en los controladores de dominio. Por lo tanto, esta configuración se desactiva en la directiva de referencia para los tres entornos definidos en esta guía. Este servicio del sistema se configura como Automático sólo en los servidores DNS en los tres entornos.

Servicio de Informe de ErroresTabla 3.141: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ERSvc Automático Desactivado Desactivado Desactivado

El servicio del sistema Servicio de informe de errores recopila, almacena y envía informes de cierres inesperados de la aplicación a Microsoft y autoriza el informe de errores para los servicios y las aplicaciones que se ejecutan en entornos no estándar. Este servicio aporta a los grupos de productos de Microsoft información eficaz y efectiva para depurar los fallos de controladores y aplicaciones. Si se activa el servicio Mostrar Notificación de Errores, los usuarios seguirán obteniendo un mensaje que indicará que ha ocurrido un problema, pero no tendrán la opción de enviar esta información a Microsoft ni a un servidor de informe de errores de la red local. Por eso, este servicio se desactiva en los tres entornos definidos en esta guía.

Registro de EventosTabla 3.142: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Eventlog Automático Automático Automático Automático

El servicio del sistema Registro de eventos activa los mensajes del registro de eventos emitidos por los programas y componentes basados en Windows para su exposición en el Visor de Eventos. Los reportes del Registro de eventos contienen información que puede ser útil para diagnosticar problemas. Si se desactiva el Registro de eventos, no podrá rastrear eventos, lo cual reducirá significativamente la capacidad de diagnosticar con éxito los problemas del sistema. Por lo tanto, este servicio se establece como Automático en los tres entornos definidos en esta guía.

Servicio de FaxTabla 3.143: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Fax No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio de fax, un servicio que cumple con la API de telefonía (TAPI), proporciona a su ordenador capacidades de fax. El Servicio de fax permite a los usuarios enviar y recibir faxes desde sus aplicaciones de escritorio al utilizar un dispositivo de fax local o un dispositivo de fax compartido en la red. En un servidor de referencia, este servicio está desactivado, por lo que su ordenador no podrá enviar ni recibir faxes.

Replicación de Archivos Tabla 3.144: Valores

Nombre del servicio

Valor predeterminado del servidor

Cliente Heredado

Cliente Empresarial

Alta Seguridad

NtFrs Manual Desactivado Desactivado Desactivado

111

El Servicio de replicación de archivos (FRS) permite que los archivos sean copiados automáticamente y mantenidos simultáneamente en múltiples servidores. Si se desactiva el Servicio de replicación de archivos, no ocurrirá la replicación de archivos y los datos del servidor no se sincronizarán. En el caso de un controlador de dominio, detener el servicio FRS puede provocar un serio impacto en la capacidad de función del controlador de dominio. Por lo tanto este servicio está Desactivado en la directiva de referencia. Sin embargo, esta configuración se establece en Automático en la directiva de referencia del controlador de dominio para los tres entornos definidos en esta guía.

Servidor de Archivos para Macintosh Tabla 3.145: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

MacFile No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servidor de archivos para Macintosh permite a los usuarios de Macintosh almacenar y acceder a los archivos de un servidor Windows local. Éste no es un requisito para un entorno de servidor estándar. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Servicio de Publicación FTP Tabla 3.146: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

MSFtpsv No instalado Desactivado Desactivado Desactivado

El Servicio de publicación FTP ofrece conectividad y administración a través del complemento IIS. El Servicio de publicación FTP no es un requisito para un entorno de servidor estándar. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Ayuda y Soporte

Tabla 3.147: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

helpsvc Automático Desactivado Desactivado Desactivado

El servicio del sistema Ayuda y soporte permite al Centro de Ayuda y Soporte funcionar en su ordenador. El servicio da soporte a la aplicación del Centro de Ayuda y Soporte y permite la comunicación entre la aplicación cliente y los datos de ayuda. Si se desactiva este servicio del sistema, no estará disponible el Centro de Ayuda y Soporte. Este servicio está Desactivado en los tres entornos definidos en esta guía.

SSL HTTPTabla 3.148: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

HTTPFilter Manual Desactivado Desactivado Desactivado

El servicio del sistema SSL HTTP permite a IIS realizar funciones SSL. El servicio SSL HTTP permite las transacciones electrónicas seguras; sin embargo, para reducir la superficie de

112

ataque se recomienda configurar el servicio en Desactivado en la directiva de referencia. Este servicio sólo debe configurarse como Automático en la directiva del rol de servidor IIS.

Acceso al Dispositivo de Interfaz HumanaTabla 3.149: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

HidServ Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Acceso al dispositivo de interfaz humana permite un acceso de entrada genérico a los Dispositivos de Interfaz Humana (HID), que activan y mantienen el uso de atajos predefinidos en teclados, controles remotos y otros dispositivos multimedia. No se necesitan estas funciones en el entorno del servidor de referencia. Por eso, configure el valor para este servicio como Desactivado.

Acceso a la base de datos Jet de IAS Tabla 3.150: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

IASJet No instalado Desactivado Desactivado Desactivado

El servicio del sistema Acceso a la base de datos Jet de IAS sólo está disponible en las versiones de 64 bits de Windows Server 2003. El servicio utiliza el protocolo RADIUS para ofrecer servicios de autentificación, autorización y contabilidad. Este servicio está Desactivado.

Servicio de Administración de IISTabla 3.151: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

IISADMIN No instalado Desactivado Desactivado Desactivado

El Servicio de administración de IIS permite la administración de los componentes IIS, como FTP, grupos de aplicaciones, sitios Web, extensiones del servicio Web y los servidores virtuales NNTP y SMTP. Si este servicio está desactivado, no se pueden ejecutar sitios Web, FTP, NNTP ni SMTP. Por ello, configure este servicio como Automático en la directiva del servidor IIS. No se necesitan estas funciones en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado. Sin embargo, este servicio está configurado como Automático en la directiva del rol de IIS.

Servicio COM para grabar CDs IMAPI Tabla 3.152: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ImapiService Desactivado Desactivado Desactivado Desactivado

El Servicio COM para grabar CDs IMAPI administra la grabación de CDs a través de la interfaz COM de IMAPI y realiza escrituras CD-R cuando el usuario las solicita a través de Windows Explorer, Windows Media™ Player (WMP) o aplicaciones de terceros que utilizan esta API. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

113

Servicio de IndexaciónTabla 3.153: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

cisv Desactivado Desactivado Desactivado Desactivado

El Servicio de indexación indexa el contenido y las propiedades de los archivos en los ordenadores locales y remotos y proporciona acceso rápido a los archivos a través de un lenguaje de consulta flexible. El Servicio de indexación también permite una búsqueda rápida de documentos en los ordenadores locales y remotos y un índice de búsqueda para el contenido compartido en Web. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

Supervisor InfrarrojoTabla 3.154: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Irmon No instalado Desactivado Desactivado Desactivado

El servicio del sistema Supervisor infrarrojo activa el uso compartido de archivos e imágenes mediante un dispositivo infrarrojo. Este servicio se instala por defecto sólo si se detecta un dispositivo infrarrojo durante la instalación del sistema operativo Windows Server 2003. Este servicio no está disponible en Windows Server 2003 Web, Enterprise o Datacenter Server.

Si se desactiva este servicio, los archivos y las imágenes no se pueden compartir usando el dispositivo infrarrojo. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

Servicio de autentificación de Internet (IAS)Tabla 3.155: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

IAS No instalado Desactivado Desactivado Desactivado

El Servicio de autentificación de Internet (IAS) administra centralmente la autentificación, autorización, auditoría y contabilidad del acceso a la red. IAS es para intentos de conexión de red privada virtual (VPN), acceso telefónico, conexión inalámbrica 802.1X o conexión al conmutador Ethernet enviados por servidores de acceso compatibles con el protocolo RADIUS de IETF. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

Servidor de seguridad de conexión a Internet (ICF) / Uso compartido de la conexión a Internet (ICS) Tabla 3.156: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SharedAccess Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Servidor de seguridad de la conexión a Internet (ICF) / Uso compartido de la conexión a Internet (ICS) proporciona la conversión de direcciones de la red (NAT), direccionamiento y resolución de nombres y servicios de prevención de intrusión para

114

todos los ordenadores de su red doméstica o de PYME a través de una conexión de acceso telefónico o de banda ancha. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

Mensajes entre Sitios Tabla 3.157: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

IsmServ Desactivado (Iniciado para un

controlador de dominio)

Desactivado Desactivado Desactivado

El servicio del sistema Mensajes entre sitios permite que los ordenadores que ejecutan sitios de Windows Server intercambien mensajes. Este servicio se utiliza para la replicación basada en correo entre sitios. Directorio Activo incluye soporte para la replicación entre sitios mediante SMTP sobre IP. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado. Sin embargo, este servicio se requiere en los controladores de dominio. Por esta razón, el servicio Mensajes entre sitios se configura como Automático en los controladores de dominio de los tres entornos definidos en esta guía.

Servicio Ayudante de IP versión 6Tabla 3.158: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

6to4 No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio ayudante de IP versión 6 ofrece conectividad IPv6 sobre una red IPv4 existente. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado.

115

Agente de la Directiva IPSEC (Servicio IPSec) Tabla 3.159: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

PolicyAgent Automático Automático Automático Automático

El servicio Agente de la directiva IPSEC proporciona seguridad de extremo a extremo entre clientes y servidores en redes TCP/IP. También administra la directiva de seguridad (IPSec), inicia el Intercambio de Claves de Internet (IKE) y coordina los parámetros de la directiva IPSec con el controlador de seguridad IP. Este servicio está activado en los tres entornos definidos en esta guía.

Centro de Distribución de Claves KerberosTabla 3.160: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Kdc Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Centro de distribución de claves Kerberos permite a los usuarios iniciar una sesión en la red mediante el protocolo de autentificación Kerberos v5. Por ello, configure el valor para este servicio como Automático en la directiva de controladores de dominio.

Servicio de Registro de Licencias Tabla 3.161: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

LicenseService Desactivado Desactivado Desactivado Desactivado

El Servicio de registro de licencias supervisa y registra las licencias de acceso del cliente a las distintas partes del sistema operativo. Esto incluye IIS, Terminal Server y Archivos / Impresión, así como productos que no son parte del sistema operativo, como SQL Server y Microsoft Exchange Server. Este servicio está Desactivado en los tres entornos definidos en esta guía.

Administrador de discos lógicosTabla 3.162: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

dmserver Automático Manual Manual Manual

El servicio del sistema Administrador de los discos lógicos detecta y supervisa nuevas unidades de disco duro y envía información del volumen del disco al Servicio Administrativo del Administrador de Discos Lógicos para su configuración. Este servicio observa los eventos Plug and Play para los nuevos controladores que se detectan y transfiere la información de volúmenes y discos al Servicio Administrativo del Administrador de Discos Lógicos para su configuración. Por lo tanto, este servicio es Manual en los tres entornos definidos en esta guía.

116

Servicio Administrativo del Administrador de Discos LógicosTabla 3.163: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

dmadmin Manual Manual Manual Manual

El Servicio administrativo del administrador de discos lógicos realiza un servicio administrativo para las solicitudes de administración de discos y configura las unidades de disco duro y los volúmenes. El Servicio administrativo del administrador de discos lógicos se inicia sólo cuando configura una unidad o partición o se detecta una nueva unidad. Por lo tanto, este servicio es Manual en los tres entornos definidos en esta guía.

Cola de MensajesTabla 3.164: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

msmq No instalado Desactivado Desactivado Desactivado

El servicio del sistema Cola de mensajes es una infraestructura de mensajes y una herramienta de desarrollo para crear aplicaciones de mensajes distribuidos para Windows. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Clientes de Nivel Inferior de la Cola de MensajesTabla 3.165: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

mqds No instalado Desactivado Desactivado Desactivado

El servicio del sistema Clientes de nivel inferior de la cola de mensajes proporciona acceso a Directorio Activo para los clientes de la cola de mensajes (Windows 9x, Windows NT 4.0 y Windows 2000) en los controladores de dominio. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Disparadores de la Cola de MensajesTabla 3.166: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Mqtgsv No instalado Desactivado Desactivado Desactivado

El servicio del sistema Disparadores de la cola de mensajes ofrece supervisión basada en reglas de los mensajes que llegan a la cola y, cuando se cumplen las condiciones de una regla, llama a un componente COM o un programa ejecutable independiente para procesar el mensaje. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

117

Mensajería Tabla 3.167: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Messenger Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Mensajería transmite y envía mensajes del servicio de alertas entre clientes y servidores. Este servicio no está relacionado con Windows Messenger. Este servicio no es un requisito de la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servicio POP3 de MicrosoftTabla 3.168: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

POP3SVC No instalado Desactivado Desactivado Desactivado

El Servicio POP3 de Microsoft proporciona servicios de transferencia y recuperación de correos electrónicos. Los administradores pueden utilizar el servicio POP3 para almacenar y administrar cuentas de correo electrónico en el servidor de correo. Este servicio no es un requisito para la política del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

MSSQL$UDDI Tabla 3.170: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

MSSQL$UDDI No instalado Desactivado Desactivado Desactivado

El servicio del sistema MSSQL$UDDI, (Descripción Universal, Descubrimiento e Integración, UDDI), es una especificación de la industria para publicar y localizar información acerca de los servicios Web. La familia Windows Server 2003 incluye Servicios UDDI, un servicio Web que ofrece capacidades UDDI para su uso en una empresa o entre empresas. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

118

MSSQLServerADHelper Tabla 3.171: Valores

Nombre del servicio Valor Predeterminado del Servidor Miembro

Cliente Heredado

Cliente Empresarial

Alta Seguridad

MSSQLServerADHelper No instalado Desactivado Desactivado Desactivado

El servicio del sistema MSSQLServerADHelper permite a SQL Server y a los Servicios de análisis de SQL Server publicar información en Directorio Activo cuando los servicios no se ejecutan bajo la cuenta LocalSystem. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servicio de Soporte del Entorno de Trabajo .NETTabla 3.172: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

CORRTSvc No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio de soporte del Entorno de Trabajo .NET avisa a un cliente suscriptor cuando un proceso especificado está iniciando el Servicio de Tiempo de Ejecución del Cliente. El Servicio de soporte del Entorno de Trabajo .NET Framework ofrece un entorno de tiempo de ejecución conocido como Tiempo de ejecución de lenguaje común, que administra la ejecución del código y proporciona servicios que facilitan el proceso de desarrollo. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Netlogon Tabla 3.173: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Netlogon Automático Automático Automático Automático

El servicio del sistema Netlogon mantiene un canal seguro entre su ordenador y el controlador de dominio para autentificar usuarios y servicios. Si se desactiva, es posible que los ordenadores de la red del sistema no puedan autentificar usuarios y servicios y que el controlador de dominio no efectúe los registros DNS. Concretamente, al desactivar este servicio se podrían denegar las peticiones de autentificación NTLM y los ordenadores cliente no serían capaces de detectar los controladores de dominio. Por esto, establezca este servicio en Automático.

Uso Compartido del Escritorio Remoto NetMeetingTabla 3.174: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

mnmsrvc Desactivado Desactivado Desactivado Desactivado

119

El servicio del sistema Uso compartido del escritorio remoto NetMeeting permite a un usuario autorizado acceder a este ordenador de manera remota mediante NetMeeting sobre una intranet corporativa. El servicio debe ser activado explícitamente por NetMeeting y puede desactivarse en NetMeeting o apagarse a través de un icono de la bandeja de Windows. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Conexiones de RedTabla 3.175: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Netman Manual Manual Manual Manual

El servicio Conexiones de red administra los objetos de la carpeta Conexiones de red, en la cual puede ver tanto las conexiones de red como las remotas. Este servicio se inicia automáticamente si el tipo de inicio es Manual y se llama a la interfaz de conexiones de red. Este servicio se configura en Manual en los tres entornos definidos en esta guía.

DDE en RedTabla 3.176: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NetDDE Desactivado Desactivado Desactivado Desactivado

El servicio del sistema DDE en red proporciona transporte y seguridad en red para el intercambio dinámico de datos (DDE) en programas que se ejecutan en el mismo o en distintos equipos. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

DSDM de DDE en RedTabla 3.177: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NetDDEdsdm Desactivado Desactivado Desactivado Desactivado

El servicio del sistema DSDM de DDE en red administra los usos compartidos de la red DDE. Este servicio es utilizado sólo por el servicio DDE en red para administrar conversaciones DDE compartidas. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Conciencia de la Ubicación de la red (NLA)Tabla 3.178: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NLA Manual Manual Manual Manual

120

El servicio del sistema Conciencia de la ubicación de la red (NLA) recopila y almacena información de la configuración de la red como las direcciones IP y los cambios en los nombres de dominio, así como la información de cambio de ubicaciones, y luego notifica a los programas cuándo se han realizado dichos cambios. Al desactivar este servicio, se impide que se localicen redes y los servicios que dependan explícitamente de éste no funcionarán. Estas funciones pueden ser necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está configurado en Manual en los tres entornos definidos en esta guía.

Protocolo para la Transmisión de Noticias en Red (NNTP)Tabla 3.179: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NntpSvc No instalado Desactivado Desactivado Desactivado

El servicio del sistema Protocolo para la transmisión de noticias en red (NNTP) permite a las ordenadores que ejecutan Windows Server 2003 actuar como un servidor de noticias. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Proveedor de Soporte de Seguridad NTLM Tabla 3.180: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NtLmSsp No instalado Automático Automático Automático

El servicio del sistema Proveedor del soporte de seguridad NTLM aporta seguridad a los programas RPC que utilizan transportes distintos de los canales nombrados y permite a los usuarios iniciar una sesión en la red mediante el protocolo de autentificación NTLM. El protocolo NTLM autentifica a los clientes que no usan la autentificación Kerberos v5. Si se desactiva este servicio, los usuarios no pueden iniciar una sesión mediante el protocolo de autentificación NTLM ni acceder a los recursos de la red. Por lo tanto, este servicio es Automático en los tres entornos definidos en esta guía.

Registros y Alertas de Rendimiento Tabla 3.181: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SysmonLog Manual Manual Manual Manual

El servicio del sistema Registros y alertas de rendimiento recopila datos de rendimiento de los ordenadores locales y remotos según parámetros preconfigurados y planificados; a continuación, escribe los datos en un registro o inicia una alerta. Estas funciones son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio es Manual en los tres entornos definidos en esta guía.

Plug and PlayTabla 3.182: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

PlugPlay Automático Automático Automático Automático

El servicio del sistema Plug and Play habilita a un ordenador para reconocer y adaptarse a los cambios del hardware con poca o ninguna intervención del usuario. Si se detiene el servicio

121

utilizando la herramienta de resolución de problemas MSCONFIG, la interfaz del Administrador de dispositivos aparecerá en blanco y no aparecerá ninguno de los dispositivos de hardware. Por lo tanto, este servicio está configurado como Automático en los tres entornos definidos en esta guía.

Número de Serie de los Medios PortátilesTabla 3.183: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WmdmPmSN Manual Desactivado Desactivado Desactivado

El servicio del sistema Número de serie de los medios portátiles recupera el número de serie de cualquier reproductor de música portátil conectado a su ordenador. No se necesitan estas funciones en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servidor de Impresión para Macintosh Tabla 3.184: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

MacPrint No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servidor de impresión para Macintosh permite a los clientes de Macintosh enrutar la impresión a una cola de impresión ubicada en un ordenador que ejecute Windows Server 2003 Enterprise Server. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Gestor de Colas de Impresión Tabla 3.185: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Cola de impresión Automático Desactivado Desactivado Desactivado

El servicio del sistema Gestor de colas de impresión administra todas las colas de impresión locales y de red y controla todos los trabajos de impresión. Estas funciones no son necesarias en el entorno del servidor de referencia. Sin embargo, este servicio se configura como Automático para el rol del Servidor de impresión. Para más información sobre este rol del servidor, véase el Capítulo 7, "Fortalecimiento de los servidores de impresión".

Almacenamiento Protegido Tabla 3.186: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ProtectedStorage Automático Automático Automático Automático

El servicio del sistema Almacenamiento protegido protege el almacenamiento de información delicada, por ejemplo claves privadas, y evita el acceso por parte de los servicios, procesos o usuarios no autorizados. Si se desactiva este servicio, las claves privadas serán inaccesibles; el

122

servidor de certificados, S/MIME y SSL no funcionarán, y el registro de tarjetas inteligentes fallará. Por ello, establezca el valor de este servicio en Automático.

Administrador de Conexión Automática de Acceso Remoto Tabla 3.187: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RasAuto Manual Desactivado Desactivado Desactivado

El servicio del sistema Administrador de conexión automática de acceso remoto detecta los intentos fallidos de conexión a una red u equipo remotos y, a continuación, ofrece métodos alternativos de conexión. El servicio Administrador de conexión automática de acceso remoto ofrece el establecimiento de una conexión de acceso telefónico o de VPN a una red remota siempre que un programa falla al intentar hacer referencia a un nombre o dirección DNS o NetBIOS remotos. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Administrador de Conexión de Acceso Remoto Tabla 3.188: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RasMan Manual Desactivado Desactivado Desactivado

El servicio del sistema Administrador de conexión de acceso remoto administra conexiones de acceso telefónico y de VPN desde su ordenador a Internet u otras redes remotas. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servicio de Administración Remota Tabla 3.189: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SrvcSurg No instalado Manual Manual Manual

El servicio del sistema Servicio de administración remota es responsable de ejecutar las siguientes tareas de administración remota cuando se reinicia el servidor:

• Incrementa la cuenta de inicio del servidor

• Emite una alerta si no se han configurado la fecha y la hora del servidor

• Emite una alerta si no se ha configurado la funcionalidad de notificación por correo electrónico

Este servicio está configurado como Manual en los tres entornos definidos en esta guía.

123

Administrador de la Sesión de Ayuda del Escritorio Remoto Tabla 3.190: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RDSessMgr Manual Desactivado Desactivado Desactivado

El servicio del sistema Administrador de la sesión de ayuda del escritorio remoto administra y controla la función de Asistencia Remota de la aplicación del Centro de Ayuda y Soporte (helpctr.exe). Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Instalación Remota Tabla 3.191: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

BINLSVC No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicios de instalación remota (RIS) es una función de implantación de Windows incluida en la familia Windows Server. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Llamada a Procedimiento Remoto (RPC)Tabla 3.192: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RpcSs Automático Automático Automático Automático

El servicio del sistema Llamada a procedimiento remoto (RPC) es un mecanismo de comunicación seguro entre procesos (IPC) que permite el intercambio de datos y la llamada a la funcionalidad residente en otro diferente. Pueden producirse distintos procesos en el mismo ordenador, en la red de área local (LAN) o a través de Internet. Este servicio no debe desactivarse. Si se desactiva el servicio de Llamada a procedimiento remoto (RPC), el sistema operativo no cargará varios servicios que dependen de él. Por lo tanto, este servicio está configurado en Automático en los tres entornos definidos en esta guía.

Localizador de Llamada a Procedimiento Remoto (RPC)Tabla 3.193: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RpcLocator Manual (Automático en un

controlador de dominio)


El servicio del sistema Localizador de llamada a procedimiento remoto (RPC) permite a los clientes RPC que utilizan la familia RpcNs* de APIs localizar servidores RPC y administrar la base de datos del servicio de nombres RPC. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, está Desactivado. Sin embargo, este servicio es necesario para los controladores de dominio y se configura como Automático.

Servicio de Registro Remoto Tabla 3.194: Valores

124

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RemoteRegistry Automático Automático Automático Automático

El servicio del sistema Servicio de registro remoto permite a los usuarios remotos modificar las configuraciones de registro de su ordenador, suponiendo que los usuarios remotos ya tienen los permisos necesarios. El servicio es utilizado principalmente por los administradores remotos y los medidores de rendimiento. Si se desactiva el Servicio de registro remoto, sólo se podrá modificar el registro en el ordenador local y todos los servicios que dependan explícitamente de éste no podrán iniciarse. Por lo tanto, está configurado en Automático en los tres entornos definidos en esta guía.

Administrador del Servidor Remoto Tabla 3.195: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

AppMgr No instalado Desactivado Desactivado Desactivado

El Administrador del servidor remoto actúa como proveedor de instancias del WMI para los Objetos de alerta de administración remota y como proveedor del método WMI para las tareas de administración remota. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Supervisor del Servidor RemotoTabla 3.196: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Appmon No instalado Desactivado Desactivado Desactivado

El servicio del sistema Supervisor del servidor remoto proporciona la supervisión de recursos críticos del sistema y administra el hardware opcional de protección sobre servidores administrados de manera remota. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Notificación de Almacenamiento RemotoTabla 3.197: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Remote_Storage_U

ser_Link

No instalado Desactivado Desactivado Desactivado

El servicio del sistema Notificación del almacenamiento remoto le avisa cuando usted lee o escribe en archivos que sólo están disponibles desde un medio de almacenamiento secundario. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servidor de Almacenamiento Remoto

Tabla 3.198: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

125

Remote_Storage_S

erver


El servicio del sistema Servidor de almacenamiento remoto almacena en los medios secundarios de almacenamiento los archivos que no se utilizan con frecuencia. Este servicio permite la Notificación de Almacenamiento Remoto para avisar al usuario de que se ha accedido a un archivo offline. Estas funciones no son necesarias en el entorno del servidor de referencia. Por ello, este servicio está Desactivado en los tres entornos definidos en esta guía.

Almacenamiento ExtraíbleTabla 3.199: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

NtmsSvc Manual Desactivado Desactivado Desactivado

El servicio del sistema Almacenamiento extraíble administra y cataloga los medios extraíbles y hace funcionar los dispositivos de medios extraíbles automatizados. Este servicio mantiene un catálogo de información identificativa de los medios extraíbles utilizados por su equipo, incluyendo cintas y CDs. Estas funciones no son necesarias en el entorno del servidor de referencia. Por ello, este servicio está Desactivado en los tres entornos definidos en esta guía.

Importante: Este servicio es necesario para hacer copias de seguridad del sistema mediante Ntbackup.exe; si utiliza Ntbackup.exe, configure este servicio en Manual.

Proveedor del Conjunto Resultante de DirectivasTabla 3.200: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RsoPProv Manual Desactivado Desactivado Desactivado

El servicio del sistema Proveedor del conjunto resultante de directivas le permite conectarse a un controlador de dominio Windows Server 2003, acceder a la base de datos WMI de ese equipo y simular el Conjunto Resultante de Directivas (RSoP) para la configuración de las Directivas de Grupo que se aplicarán a un usuario o equipo ubicados en Directorio Activo en un dominio Windows 2000 o posterior. Esto se conoce como modo de planificación. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

126

Enrutamiento y Acceso RemotoTabla 3.201: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

RemoteAccess Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Enrutamiento y acceso remoto ofrece servicios de enrutamiento multiprotocolo LAN–a–LAN, LAN–a–WAN, VPN y NAT. Además, este servicio también proporciona servicios de acceso telefónico y remoto VPN. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Agente SAP Tabla 3.202: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

nwsapagent No instalado Desactivado Desactivado Desactivado

El servicio del sistema Agente SAP anuncia los servicios de la red en una red IPX mediante el protocolo SAP IPX. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Inicio de Sesión Secundaria Tabla 3.203: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

seclogon Automático Desactivado Desactivado Desactivado

El servicio del sistema Inicio de sesión secundaria permite al usuario crear procesos en el contexto de distintos principales de seguridad. Los usuarios restringidos suelen usar este servicio para iniciar una sesión como un usuario con privilegios elevados para ejecutar temporalmente programas administrativos. Este servicio permite a los usuarios iniciar procesos con otras credenciales. Estas funciones no son necesarias en el entorno del servidor de referencia. Aunque este servicio es beneficioso para los ordenadores cliente, no es adecuado para la mayoría de los servidores, porque los usuarios que inician una sesión en ellos de manera interactiva son miembros del equipo TI realizando algún tipo de tarea de mantenimiento que normalmente requiere privilegios administrativos. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Administrador de Cuentas de SeguridadTabla 3.204: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SamSs Automático Automático Automático Automático

El servicio del sistema Administrador de cuentas de seguridad (SAM) es un subsistema protegido que administra información de cuentas de usuario y de grupos. En Windows 2000 y en la familia Windows Server 2003, el SAM del registro del ordenador local almacena las cuentas de seguridad de la estación de trabajo y las cuentas de controladores de dominio se almacenan en Directorio Activo. Este servicio no debe desactivarse.

127

ServidorTabla 3.205: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Ianmanserver Automático Automático Automático Automático

El servicio del sistema Servidor ofrece soporte RPC y uso compartido de archivos, impresión y canales nombrados sobre la red. Por estas razones, se recomienda configurar el valor de este servicio como Automático en los tres entornos definidos en esta guía.

Detección de Hardware Mediante ShellTabla 3.206: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ShellHWDetection Automático Desactivado Desactivado Desactivado

El servicio del sistema Detección de hardware mediante shell supervisa y ofrece notificación de eventos de hardware AutoPlay. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Protocolo Simple para la Transferencia de Correo (SMTP)Tabla 3.207: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SMTPSVC No instalado Desactivado Desactivado Desactivado

El servicio del sistema Protocolo simple para la transferencia de correo (SMTP) transporta correo electrónico a través de la red. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Servicios Simples TCP/IP Tabla 3.208: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SimpTcp No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicios simples TCP/IP soporta los siguientes protocolos TCP/IP:

• Eco (puerto 7, RFC 862)

• Descartar (puerto 9, RFC 863)

• Generador de caracteres (puerto 19, RFC 864)

• Día (puerto 13, RFC 867)

• Cuota del día (puerto 17, RFC 865)

Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

128

Groveler de Almacenamiento de Instancia ÚnicaTabla 3.209: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Groveler No instalado Desactivado Desactivado Desactivado

El servicio del sistema Groveler de almacenamiento de instancia única (SIS) es un componente integral del Servicio de Instalación Remota (RIS) que reduce el almacenamiento total que se necesita en el volumen RIS. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Tarjeta InteligenteTabla 3.210: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

ScardSvr Manual Desactivado Desactivado Desactivado

El servicio del sistema de Tarjeta inteligente administra y controla el acceso a una tarjeta inteligente insertada en un lector de tarjeta inteligente de su ordenador. Si se desactiva este servicio está desactivado, los ordenadores de su entorno no podrán leer las tarjetas inteligentes. Además, no se podrán iniciar los servicios que dependen explícitamente de él. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Nota: Una forma de autentificación en la cual el principal que desea autentificarse verifica su identidad mediante dos factores de identificación. Esto suele implicar la necesidad de mostrar algún conocimiento relacionado con algún otro dispositivo, por ejemplo, insertar una tarjeta inteligente en un equipo e introducir el PIN de la misma. Un tercer factor comúnmente utilizado para probar la identidad de alguien es demostrar alguna cualidad personal; un ejemplo de una autentificación de dos factores es exigir a los usuarios que envíen un escáner de retina e introduzcan su contraseña antes de otorgarles acceso a recursos restringidos. Utilizar las tarjetas inteligentes para implementar la autentificación multifactor es una práctica recomendada y se emplea para todas las cuentas del administrador. Si su empresa utiliza la autentificación de tarjeta inteligente, este servicio se debe configurar en Manual.

Servicio SNMPTabla 3.211: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SNMP No instalado Desactivado Desactivado Desactivado

El Servicio SNMP permite que las solicitudes SNMP entrantes reciban servicio por parte del ordenador local. El Servicio SNMP incluye agentes que supervisan la actividad de los dispositivos de red e informan a la estación de trabajo de la consola de red. No existen requisitos o dependencias en los tres entornos para el Servidor SNMP. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

129

Servicio de Interrupción Síncrona SNMPTabla 3.212: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SNMPTRAP No instalado Desactivado Desactivado Desactivado

El Servicio de interrupción síncrona SNMP recibe mensajes de interrupción síncrona generados por los agentes SNMP locales o remotos y los envía a los programas de administración SNMP que se ejecutan en su ordenador. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Ayudante Especial de la Consola de AdministraciónTabla 3.213: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Sacsvr Manual Desactivado Desactivado Desactivado

El servicio del sistema Ayudante especial de la consola de administración (SAC) realiza las tareas de administración remota si cualquiera de los sistemas operativos de la familia Windows Server 2003 deja de funcionar debido a un mensaje de error de Detención. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

SQLAgent$* (*UDDI o WebDB) Tabla 3.214: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SQLAgent$WEB

DB


SQLAgent$* (*UDDI o WebDB) es un programador de trabajos y un servicio de supervisión. También transporta información entre ordenadores que ejecutan SQL Server y se utiliza bastante para hacer copias de seguridad y replicación. Si el servicio SQLAgent$* (* UDDI o WebDB) se detiene, no se producirá la replicación de SQL. Además, se interrumpirán todos los trabajos programados y la supervisión de las alertas / eventos y el servicio de SQL Server se reiniciará de forma automática. Si se desactiva este servicio, no se iniciará ninguno de los servicios que dependan explícitamente de él. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Notificación de los Eventos del Sistema Tabla 3.215: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SENS Automático Automático Automático Automático

El servicio del sistema Notificación de los eventos del sistema supervisa y hace un seguimiento de los eventos del sistema, como la red de inicio de sesión en Windows y eventos avanzados y, a continuación, avisa de los eventos a los suscriptores del Sistema de eventos COM+. Está configurado como Automático en los tres entornos definidos en esta guía.

130

Programador de TareasTabla 3.216: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Programa Automático Desactivado Desactivado Desactivado

El servicio del sistema Programador de tareas le permite configurar y programar tareas automatizadas en su ordenador. El servicio Programador de Tareas supervisa los criterios que usted elija y realiza la tarea cuando se cumple el criterio. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Importante: Este servicio se debe configurar en Automático si está utilizando Ntbackup.exe para las copias de seguridad programadas.

Servicio de Ayudante TCP/IP de NetBIOS Tabla 3.217: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

LMHosts Automático Automático Automático Automático

El servicio del sistema Servicio del ayudante TCP/IP de NetBIOS proporciona soporte para el servicio TCP/IP (NetBT) sobre NetBIOS y resolución de nombres NetBIOS para los clientes de su red, permitiendo así a los usuarios compartir archivos, imprimir e iniciar una sesión en la red. Este servicio está configurado en Automático en los tres entornos definidos en esta guía.

Servidor de Impresión de TCP/IP Tabla 3.218: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

LPDSVC No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servidor de impresión de TCP/IP permite la impresión basada en TCP/IP utilizando el protocolo Line Printer Daemon. Esta función no es necesaria en el entorno de servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

TelefoníaTabla 3.219: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TapiSrv Manual Desactivado Desactivado Desactivado

El servicio del sistema de Telefonía otorga soporte API (TAPI) para programas que controlan los dispositivos de telefonía y las conexiones de voz basadas en IP en el ordenador local y a través de las LANs de los servidores que también ejecutan el servicio. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

131

TelnetTabla 3.220: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TlntSvr Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Telnet para Windows proporciona sesiones de terminal ASCII a los clientes Telnet. Este servicio soporta dos tipos de autentificación y cuatro tipos de terminales: ANSI, VT–100, VT–52 y VTNT. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Terminal ServicesTabla 3.221: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TermService Manual Automático Automático Automático

El servicio del sistema Terminal Services ofrece un entorno multisesión que permite a los dispositivos cliente acceder a una sesión virtual del escritorio Windows y a los programas basados en Windows que se ejecutan en el servidor. Terminal Services permite que múltiples usuarios se conecten interactivamente a un ordenador y mostrar los escritorios y las aplicaciones en los ordenadores remotos. Por defecto, el servicio del sistema Terminal Services se instala en el modo de Administración remota. Para instalar Terminal Services en modo de Aplicación, utilice Configurar su servidor o Agregar o quitar componentes de Windows para cambiar el modo de Terminal Services. Debido a que este servicio es una herramienta muy poderosa para la administración remota de los servidores, se configura como Automático en los tres entornos definidos en esta guía.

Nota: Para evitar el uso remoto de las ordenadores de su entorno, desactive los cuadros de selección Permitir asistencia remota y Permitir escritorio remoto en la pestaña Remoto del cuadro de diálogo Propiedades del sistema.

Licencias de Terminal ServicesTabla 3.222: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

TermServLicensing No instalado Desactivado Desactivado Desactivado

El servicio del sistema Licencias de Terminal Services instala un servidor con licencia y proporciona licencias de cliente registradas cuando se conecta a un Terminal Server. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Directorio de Sesión de Terminal ServicesTabla 3.223: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Tssdis Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Directorio de sesión de Terminal Services proporciona un entorno multisesión que permite a los dispositivos cliente acceder a una sesión virtual del escritorio

132

Windows y a los programas basados en Windows que se ejecutan en Windows Server 2003. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

TemasTabla 3.224: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Temas Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Temas suministra servicios de administración sobre temas de la experiencia del usuario. El servicio del sistema Temas ofrece soporte de procesamiento para la nueva interfaz gráfica (GUI) de Windows XP Professional. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

FTP Daemon SimpleTabla 3.225: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

tftpd No instalado Desactivado Desactivado Desactivado

El servicio del sistema FTP Daemon simple (TFTP) no requiere un nombre de usuario ni una contraseña y es una parte integral de RIS. El servicio del sistema FTP Daemon simple implementa el soporte para el protocolo TFTP definido por los siguientes RFCs:

• RFC 1350 - TFTP

• RFC 2347 – Extensión de opciones

• RFC 2348 – Opción de tamaño de bloque

• RFC 2349 – Intervalo de límite de tiempo y opciones de tamaño de la transferencia

Los ordenadores cliente que solicitan RIS de este servidor no podrán efectuar la instalación si el servicio está desactivado. Sin embargo, esta función no es necesaria en el entorno de servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

Suministro Ininterrumpible de EnergíaTabla 3.226: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

UPS Manual Desactivado Desactivado Desactivado

El servicio del sistema Suministro ininterrumpible de energía administra un suministro ininterrumpible de energía (UPS) conectado a su ordenador por un puerto serial. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

133

Administrador de CargaTabla 3.227: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Uploadmgr Manual Desactivado Desactivado Desactivado

El servicio del sistema Administrador de carga administra las transferencias síncronas y asíncronas de archivos de clientes y servidores en la red. Los datos de controlador se cargan anónimamente desde los ordenadores del cliente a Microsoft y luego se utilizan para ayudar a los usuarios a encontrar los dispositivos que se requieren para sus sistemas. Este servicio no es un requisito para la política del servidor de referencia. Por lo tanto, este servicio está configurado en Desactivado en los tres entornos definidos en esta guía.

Servicio de Disco Virtual Tabla 3.228: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

VDS Manual Desactivado Desactivado Desactivado

El servicio del sistema Servicio de disco virtual (VDS) proporciona una sola interfaz para administrar el almacenamiento virtual en bloques, ya se realice en el software del sistema operativo, en los subsistemas de hardware de almacenaje RAID o en otros mecanismos. No se necesitan estas funciones en el entorno del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Instantánea por Volumen Tabla 3.229: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

VSS Manual Manual Manual Manual

El servicio del sistema Instantánea por volumen administra e implementa las instantáneas por volumen que se utilizan para copias de seguridad y otros fines. Este servicio es un requisito básico para la directiva de servidor de referencia. Por lo tanto, este servicio está configurado en Manual en los tres entornos definidos en esta guía.

WebClient Tabla 3.230: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WebClient Desactivado Desactivado Desactivado Desactivado

El servicio del sistema WebClient permite a las aplicaciones Win32 acceder a los documentos de Internet. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

134

Administrador de Elementos Web Tabla 3.231: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

elementmgr No instalado Desactivado Desactivado Desactivado

El servicio del sistema Administrador de elementos Web es responsable de servir al sitio Web de administración los elementos de la interfaz Web en el puerto 8098. Esta función no es necesaria en el entorno de servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Audio de Windows Tabla 3.232: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

AudioSrv Desactivado Desactivado Desactivado Desactivado

El servicio del sistema Audio de Windows proporciona soporte para sonido y funciones relacionadas con los eventos de Audio de Windows. No se requiere esta función en el entorno de servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Adquisición de Imágenes de Windows (WIA) Tabla 3.233: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

StiSvc Desactivado Desactivado Desactivado Desactivado

El servicio del sistema de Adquisición de imágenes de Windows (WIA) otorga los servicios de adquisición de imágenes para escáneres y cámaras. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Windows InstallerTabla 3.234: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

MSIServer Manual Automático Automático Automático

El servicio del sistema Windows Installer administra la instalación y eliminación de aplicaciones mediante un conjunto de reglas de instalación definidas de manera centralizada durante el proceso de instalación. Este servicio es necesario en el entorno del servidor de referencia; por lo tanto, se configura en Automático en los tres entornos definidos en esta guía.

Servicio de Nombres de Internet de Windows (WINS) Tabla 3.235: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WINS No instalado Desactivado Desactivado Desactivado

135

El servicio del sistema Servicio de nombres de Internet de Windows (WINS) permite la resolución de nombres NetBIOS. La presencia de servidores WINS es esencial para localizar los recursos de la red identificados mediante los nombres NetBIOS. Los servidores WINS se son necesarios a menos que todos los dominios hayan sido actualizados a Directorio Activo y todos los ordenadores de la red ejecuten Windows Server 2003. Estas funciones no son necesarias en el entorno del servidor de referencia. Por lo tanto, se recomienda configurar este servicio en Desactivado. Este servicio también se configura como Automático en la directiva del rol de Servidor de Infraestructura.

Instrumental de Administración de Windows Tabla 3.236: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

winmgmt Automático Automático Automático Automático

El servicio del sistema Instrumental de administración de Windows ofrece una interfaz común y un modelo de objeto para acceder a la información de administración sobre los sistemas operativos, dispositivos, aplicaciones y servicios. WMI es una infraestructura para crear aplicaciones de administración e instrumentación que se incluye como parte de la generación actual de los sistemas operativos Microsoft. Si se desactiva este servicio, la mayoría del software basado en Windows no funcionará adecuadamente y ninguno de los servicios que dependen explícitamente de éste podrá iniciarse. Por lo tanto, este servicio está configurado en Automático en los tres entornos definidos en esta guía.

Extensiones del Controlador del Instrumental de Administración de Windows Tabla 3.237: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Wmi Manual Manual Manual Manual

El servicio del sistema Extensiones del controlador del Instrumental de administración de Windows supervisa todos los controladores y proveedores de seguimiento de eventos que se configuran para publicar WMI o la información de seguimiento de eventos. Este servicio se configura como Manual en los tres entornos definidos en esta guía.

Windows Media ServicesTabla 3.238: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WMServer No instalado Desactivado Desactivado Desactivado

El servicio del sistema Windows Media Services proporciona servicios de medios streaming sobre las redes basadas en IP. Este servicio reemplaza los cuatro servicios independientes que componen las versiones 4.0 y 4.1Windows Media Services: Windows Media Monitor Service, Windows Media Program Service, Windows Media Station Service y Windows Media Unicast Service. No se requiere este servicio en el entorno de servidor de referencia. Por lo tanto, está Desactivado en los tres entornos definidos en esta guía.

136

Administrador de Recursos del Sistema de WindowsTabla 3.239: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WindowsSystemRe No instalado Desactivado Desactivado Desactivado

El servicio del sistema Administrador de recursos del sistema de Windows (WSRM) es una herramienta para ayudar a los clientes a implementar aplicaciones en escenarios de consolidación. Esta función no es necesaria en el entorno de servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Hora de WindowsTabla 3.240: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

W32Time Automático Automático Automático Automático

El servicio del sistema Hora de Windows mantiene la fecha y la hora sincronizadas en todos los ordenadores que se ejecutan en una red Windows. Utiliza el protocolo NTP (Network Time Protocol) para sincronizar los relojes de los ordenadores de manera que se pueda asignar un valor horario preciso o marca de tiempo a la validación de la red y a las peticiones de acceso a los recursos. Es un requisito básico para la autentificación fiable de Kerberos en los dominios de Directorio Activo. Por ello, este servicio se configura en Automático en los tres entornos definidos en esta guía.

Servicio de Autodetección del Proxy Web WinHTTPTabla 3.241: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WinHttpAutoProx

ySvc

Manual Desactivado Desactivado Desactivado

El servicio del sistema Servicio de autodetección del proxy Web WinHTTP implementa el protocolo de autodetección del proxy Web (WPAD) para los Servicios HTTP (WinHTTP) de Windows. WPAD es un protocolo que permite a un cliente HTTP detectar automáticamente una configuración proxy. Esta función no es necesaria en el entorno de servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Configuración Inalámbrica Tabla 3.242: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WZCSV Automático en el servidor

Standard, Enterprise y

Datacenter Server. Manual en

el Servidor Web


El servicio del sistema Configuración inalámbrica cero permite configurar automáticamente los adaptadores inalámbricos IEEE 802.11 para las comunicaciones inalámbricas. Este servicio

137

no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

Adaptador de Rendimiento WMI Tabla 3.243: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

WmiApSrv Manual Manual Manual Manual

El servicio del sistema Adaptador de rendimiento WMI proporciona información sobre la biblioteca de rendimiento de los proveedores HiPerf de WMI. El servicio es un servicio manual y no se ejecuta por defecto. Se ejecuta bajo petición cuando un cliente de rendimiento (por ejemplo, Sysmon) utiliza el Ayudante de Datos de Rendimiento (PDH) para consultar dichos datos. Una vez que el cliente se desconecta, el servicio se detiene. Si este servicio se desactiva, no estarán disponibles los medidores de rendimiento de WMI. Por lo tanto, este servicio está configurado en Manual en los tres entornos definidos en esta guía.

Estación de Trabajo Tabla 3.244: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Ianmanworkstation Automático Automático Automático Automático

El recurso del sistema Estación de trabajo crea y mantiene las conexiones y comunicaciones de la red del cliente. Si se desactiva este servicio, no podrá establecer conexiones con los servidores remotos ni acceder a los archivos a través de los canales nombrados. Por tanto, este servicio está configurado como Automático en los tres entornos definidos en esta guía.

Servicio de Publicación en el World Wide WebTabla 3.245: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

W3SVC No instalado Desactivado Desactivado Desactivado

El servicio del sistema Servicio de publicación en el World Wide Web ofrece conectividad y administración Web a través del complemento de IIS. Este servicio no es un requisito para la directiva del servidor de referencia. Por lo tanto, este servicio está Desactivado en los tres entornos definidos en esta guía.

138

Parámetros Adicionales de RegistroSe han creado entradas adicionales de valor del registro para los archivos de la plantilla de seguridad de referencia que no se definen en el archivo de Plantilla administrativa (.adm) para los tres entornos de seguridad definidos en esta guía. El archivo .adm define las directivas y restricciones del sistema para el escritorio, el shell y la seguridad en Windows Server 2003.

Estos parámetros están embebidos en las plantillas de seguridad, en la sección Opciones de Seguridad, para automatizar los cambios. Aunque se elimine la directiva, estos parámetros no se eliminan automáticamente, sino que se deben cambiar manualmente utilizando una herramienta de edición del registro como Regedt32.exe. Se aplican los mismos valores de registro en los tres entornos.

Esta guía incluye configuraciones adicionales agregadas al Editor de Configuración de Seguridad (SCE) modificando el archivo sceregvl.inf, ubicado en la carpeta %windir%\inf, y registrando de nuevo scecli.dll. Las configuraciones originales y adicionales de seguridad aparecen en Directivas Locales/Seguridad, en los complementos y herramientas enumeradas anteriormente en este capítulo. Debe actualizar el archivo sceregvl.inf y volver a registrar scecli.dll en todos los ordenadores donde vaya a editar las plantillas de seguridad y las Directivas de Grupo que se proporcionan con esta guía, como se describe en la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Esta sección es sólo un resumen de los parámetros adicionales de registro que se tratan en profundidad en la guía complementaria. Para información sobre las configuraciones predeterminadas y una explicación detallada de cada una de las configuraciones que se analizan en esta sección, consulte la guía complementaria: Amenazas y contramedidas: Seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Consideración de Seguridad de los Ataques a la RedTabla 3.246: Valores

Entrada del Valor de Registro de Subclaves

Formato Cliente Heredado

Cliente Empresarial

Alta Seguridad

EnableICMPRedirect DWORD 0 0 0

SynAttackProtect DWORD 1 1 1

EnableDeadGWDetect DWORD 0 0 0

EnablePMTUDiscovery DWORD 0 0 0

KeepAliveTime DWORD 300,000 300,000 300,000

DisableIPSourceRouting DWORD 2 2 2

TcpMaxConnectResponseRetransmissions DWORD 2 2 2

TcpMaxDataRetransmissions DWORD 3 3 3

PerformRouterDiscovery DWORD 0 0 0

TCPMaxPortsExhausted DWORD 5 5 5

139



Los ataques de denegación de servicio (DoS) son ataques a la red cuyo objetivo es impedir que un ordenador o un servicio en particular estén disponibles para los usuarios de la red. Puede ser difícil protegerse contra este tipo de ataques. Para ayudar a evitar estos ataques, debe mantener su equipo actualizado con las revisiones de seguridad más recientes y proteger la pila del protocolo TCP/IP de los ordenadores que ejecutan Windows Server 2003 y que están expuestos a posibles ataques. La configuración predeterminada de la pila TCP/IP está preparada para manejar el tráfico estándar de la intranet. Si conecta un equipo directamente a Internet, Microsoft le recomienda que proteja la pila TCP/IP contra los ataques DoS.

Se han añadido las siguientes entradas de valor de registros al archivo de la plantilla en la clave de registro HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Servicios\Tcpip\Parámetros\.

Parámetros AFD.SYSTabla 3.247: Valores



Cliente Empresarial

Alta Seguridad

DynamicBacklogGrowthDelta DWORD 10 10 10

EnableDynamicBacklog DWORD 1 1 1

MinimumDynamicBacklog DWORD 20 20 20

MaximumDynamicBacklog DWORD 20000 20000 20000

Los intentos de conexión de las aplicaciones de sockets de Windows, como servidores FTP y servidores Web, son manejados por Afd.sys. Afd.sys se ha modificado para soportar un gran número de conexiones en el estado semi-abierto sin denegar el acceso a los clientes legítimos. Esto se logra permitiendo al administrador configurar una copia de seguridad dinámica. La versión de Afd.sys que se incluye con Windows Server 2003 soporta cuatro parámetros de registro que se pueden utilizar para controlar el comportamiento de la copia de seguridad dinámica.

Se han añadido las siguientes entradas de valor de registros al archivo de la plantilla en la clave de registro HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Servicios\AFD\Parámetros\:

Configurar la Seguridad de Publicación de Nombres NetBIOS: (NoNameReleaseOnDemand) permitir al equipo ignorar las solicitudes de publicación de nombres Netbios excepto de los servidores WINS Tabla 3.248: Valores



Cliente Empresarial

Alta Seguridad

NonameReleaseOnDemand DWORD 1 1 1

140

Esta entrada aparece como "MSS: (NoNameReleaseOnDemand) Permitir al equipo ignorar las solicitudes de publicación de nombres NetBIOS excepto de los servidores WINS” en el SCE. NetBIOS sobre TCP/IP es un protocolo de red que, entre otras cosas, proporciona un medio para resolver fácilmente los nombres NetBIOS registrados en los sistemas basados en Windows para las direcciones IP configuradas en esos sistemas. Este valor determina si el ordenador publica su nombre NetBIOS cuando recibe una solicitud de publicación de nombre.

Se ha añadido la siguiente entrada de valor de registro al archivo de la plantilla en la clave de registro: HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Servicios\Netbt\Parámetros\.

Desactivar la Generación Automática de Nombres de Archivo 8.3: permitir al ordenador detener la generación de nombres de archivo de estilo 8.3 Tabla 3.249: Valores



Cliente Empresarial

Alta Seguridad

NtfsDisable8dot3NameCreation DWORD 1 1 1

Esta entrada aparece como "MSS: Permitir al ordenador detener la generación de nombres de archivo de estilo 8.3” en el SCE. Windows Server 2003 soporta formatos de nombre de archivo 8.3 para permitir la compatibilidad hacia atrás con aplicaciones de 16 bits. La convención de nombre de archivo 8.3 es un formato de nombre que permite nombres de archivo de hasta 8 caracteres de longitud.

Se ha añadido la siguiente entrada de valor de registro al archivo de la plantilla en la clave de registro: HKEY_LOCAL_MACHINE\Sistema\CurrentControlSet\Control\FileSystem\:

Desactivar Autoejecutar: Desactivar autoejecutar para todas las unidadesTabla 3.250: Valores



Cliente Empresarial

Alta Seguridad

NoDriveTypeAutoRun DWORD 0xFF 0xFF 0xFF

Esta entrada aparece como "MSS: Desactivar Autoejecutar para todas las unidades” en el SCE. Autoejecución empieza a leer desde una unidad de su ordenador tan pronto en cuanto se le inserta el medio. Como resultado, el archivo de instalación de los programas y el sonido de los medios de audio se inician inmediatamente.

Se ha añadido la siguiente entrada de valor de registro al archivo de la plantilla en la clave de registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Políticas\ Explorador\.

141

Hacer Inmediata la Protección con Contraseña del Protector de Pantalla: El tiempo en segundos antes de que expire el periodo de gracia del protector de pantalla (0 recomendado) Tabla 3.251: Valores



Cliente Empresarial

Alta Seguridad

ScreenSaverGracePeriod Cadena 0 0 0

Esta entrada aparece como "MSS: El tiempo en segundos antes de que expire el periodo de gracia del protector de pantalla (0 recomendado)” en el SCE. Windows incluye un periodo de gracia entre el momento en que se lanza el protector de pantalla y el momento en que la consola se asegura automáticamente cuando el bloqueo del protector de pantalla está activado.

Se han añadido las siguientes entradas de valor de registros al archivo de la plantilla en la clave de registro: HKEY_LOCAL_MACHINE\SISTEMA\Software\Microsoft\ Windows NT\CurrentVersion\Winlogon\.

Advertencia de Registro de Seguridad Cercano a su Capacidad: Umbral del porcentaje del registro de eventos de seguridad en el que el sistema generará una advertencia Tabla 3.252: Valores



Cliente Empresarial

Alta Seguridad

WarningLevel DWORD 90 90 90

Esta entrada aparece como "MSS: Umbral de porcentaje para el registro de eventos de seguridad en el cual el sistema generará una advertencia” en el SCE. Esta opción empezó a estar disponible con SP3 para Windows 2000, es una función nueva que genera una auditoría de seguridad en el registro de eventos de seguridad cuando éste alcanza un umbral definido por el usuario. Por ejemplo, si este valor se fija en 90, entonces mostrará una entrada de evento para la ID de evento 523 con el siguiente texto cuando el registro de seguridad alcance el 90% de su capacidad: “El registro de eventos de seguridad está completo al 90%“

Nota: Si los parámetros del registro se configuran en Sobrescribir eventos según sea necesario o Sobrescribir eventos con una antigüedad superior a x días, no se generará este evento.

Se han añadido las siguientes entradas de valor de registros al archivo de la plantilla en la clave de registro:

HKEY_LOCAL_MACHINE\ SISTEMA\CurrentControlSet\Servicios\Eventlog\Seguridad\.

142

Activar un Orden Seguro de Búsqueda de DLLs: Activar el modo de búsqueda seguro de DLLs (recomendado)Tabla 3.253: Valores



Cliente Empresarial

Alta Seguridad

SafeDllSearchMode DWORD 1 1 1

Esta entrada aparece como "MSS: Activar el modo de búsqueda seguro de DLLs (recomendado)” en el SCE. El orden de búsqueda de DLLs se puede configurar para buscar las DLLs solicitadas por procesos en ejecución de dos maneras:

• Buscar primero en las carpetas especificadas en la ruta del sistema y después en la carpeta de trabajo actual.

• Buscar primero en la carpeta de trabajo actual y después en las carpetas especificadas en la ruta del sistema.

El valor de registro se fija en 1. Con un valor de 1, el sistema busca primero en las carpetas que se especifican en la ruta del sistema y después en la carpeta de trabajo actual. Si el valor es 0, el sistema busca primero en la carpeta de trabajo actual y luego en las carpetas que se especifican en la ruta del sistema.

Se han añadido las siguientes entradas de valor de registros al archivo de la plantilla en la clave de registro:

HKEY_LOCAL_MACHINE\ SISTEMA\CurrentControlSet\Control\Administrador de sesiones.

143

Parámetros Adicionales de Seguridad Aunque la mayoría de las contramedidas que se utilizan para fortalecer los servidores de referencia en los tres entornos definidos en esta guía se han aplicado a través de las Directivas de Grupo, existen parámetros adicionales que son difíciles o imposibles de aplicar con las Directivas de Grupo. Para una explicación detallada de cada una de las contramedidas analizadas en esta sección, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP, disponible en: http://go.microsoft.com/fwlink/?LinkId=15159.

Procedimientos Manuales de ProtecciónEsta sección describe cómo se ha realizado la implementación manual de algunas contramedidas adicionales, por ejemplo la protección de cuentas, y cómo se han establecido otras mediante secuencias de comandos, como filtros IPSec, para proteger la MSBP en cada uno de los entornos de seguridad definidos en esta guía.

Añadir Manualmente Grupos Únicos de Seguridad a las Asignaciones de Permisos de usuarioLa mayoría de los grupos de seguridad que se recomiendan para las asignaciones de permisos de usuario se han configurado dentro de las plantillas de seguridad que acompañan a esta guía. Sin embargo, existen algunos permisos que no se pueden incluir en las plantillas de seguridad, ya que los SIDs de ciertos grupos de seguridad son únicos entre los distintos dominios de Windows 2003. El problema es que el RID (identificador relativo), que es parte del SID, es único. Estas instancias únicas se describen en la siguiente tabla.

Advertencia: La siguiente tabla contiene valores para el Administrador Integrado. El Administrador Integrado es la cuenta de usuario integrada, no el grupo de seguridad “Administradores". Si el grupo de seguridad Administradores se añade a alguno de los siguientes permisos de usuario de acceso denegado, necesitará iniciar una sesión localmente para poder corregir el error.

Además, la cuenta integrada del Administrador puede tener un nombre nuevo si la renombrar según las recomendaciones anteriores. Cuando añade esta cuenta, asegúrese de seleccionarla cuenta del administrador que acaba de renombrar.

144


Tabla 3.254: Asignaciones de permisos de usuario agregadas de manera manual

Nombre de Configuración en la Interfaz


Alta Seguridad

Denegar acceso a este

ordenador desde la red

Administrador


Support_388945a0;


cuentas de servicio que

no sean propias del

sistema operativo

Administrador


Support_388945a0;



no sean propias del

sistema operativo

Administrador


Support_388945a0;



no sean propias del

sistema operativo

Denegar el inicio de sesión

como un proceso por lotes

Support_388945a0 e

Invitado

Support_388945a0 e

Invitado

Support_388945a0 e

Invitado

Denegar el inicio de sesión

a través de Terminal

Services

Administrador


Support_388945a0;



no sean propias del

sistema operativo

Administrador


Support_388945a0;



no sean propias del

sistema operativo

Administrador


Support_388945a0;



no sean propias del

sistema operativo

Importante: Todas las cuentas de servicio que NO son del sistema operativo son cuentas de servicio para aplicaciones específicas de su empresa.

Esto no incluye las cuentas del SISTEMA LOCAL, SERVICIO LOCAL o del SERVICIO DE RED, que son cuentas integradas para el sistema operativo.

Para añadir manualmente los grupos de seguridad anteriores a la Directiva de Referencia de Cliente Empresarial - Servidor miembro, siga estos pasos:

Para añadir grupos de seguridad a las Asignaciones de Permisos de Usuario

1. En Usuarios y Equipos de Directorio Activo, haga clic con el botón secundario en la OU Servidores miembro y, a continuación, seleccione Propiedades.

2. En la pestaña Directiva de Grupo, seleccione Directiva de Referencia de Cliente Empresarial - servidor miembro para editar la GPO vinculada.

3. Seleccione Directiva de Referencia de Cliente Empresarial – Servidor miembro y haga clic en Editar.

4. En la ventana Directiva de Grupo, haga clic en Configuración del Equipo /Configuración de Windows/Configuración de Seguridad/Directivas Locales/Asignación de Permisos de Usuario para añadir los grupos de seguridad de la tabla anterior para cada permiso.

5. Cierre la Directiva de Grupo que ha sido modificada.

6. Cierre la ventana de Propiedades de la OU de los Servidores miembro.

7. Fuerce la replicación entre los controladores de dominio de forma que se aplique la directiva a todos mediante este procedimiento:

a. Abra un ventana de comandos y utilice la herramienta de línea de comando gpupdate.exe para obligar al servidor a actualizar la directiva con el comando:

gpupdate /Force.

b. Reinicie el servidor para hacer efectivos los cambios en el registro y en los servicios.

145

8. Compruebe en el Registro de eventos que la Directiva de Grupo se ha descargado con éxito y que el servidor puede comunicarse con los demás controladores de dominio del dominio.

Proteger las Cuentas Más ConocidasWindows Server 2003 tiene varias cuentas integradas de usuario que no se pueden eliminar, pero cuyo nombre se puede cambiar. Dos de las cuentas integradas más conocidas en Windows 2003 son Invitado y Administrador.

Por defecto, la cuenta Invitado está desactivada en los servidores miembro y en los controladores de dominio. No se debe cambiar esta configuración. Se puede cambiar el nombre de la cuenta integrada del Administrador y modificar su descripción para ayudar a evitar que los atacantes pongan en peligro un servidor remoto utilizando una cuenta conocida.

Muchas variaciones de código malicioso utilizan la cuenta integrada del administrador en un primer intento de poner en peligro un servidor. El valor de este cambio de configuración ha disminuido en los últimos años desde la liberación de herramientas de ataque que intentan entrar en el servidor especificando el SID de la cuenta integrada del Administrador para determinar su nombre verdadero. Un SID es el valor que define de manera única a cada usuario, grupo, cuenta de ordenador e inicio de sesión en una red. No es posible cambiar el SID de esta cuenta integrada. Cambiar el nombre de la cuenta del administrador local a un nombre único puede ayudar a sus grupos de operaciones a supervisar los intentos de ataque contra esta cuenta.

Siga los siguientes pasos para proteger las cuentas más conocidas en los dominios y servidores:

1. Cambie el nombre de las cuentas del Administrador y el Invitado y cambie sus contraseñas por un valor largo y complejo en cada dominio y servidor.

2. Use nombres y contraseñas distintos en cada servidor. Si se usan los mismos nombres de cuenta y contraseñas en todos los dominios y servidores, un atacante que logre acceder a un servidor miembro podrá tener acceso a todos los demás con el mismo nombre de cuenta y contraseña.

3. Cambie las descripciones de cuenta para que sean distintas de los valores predeterminados: ayuda a evitar una identificación fácil de las cuentas.

4. Registre estos cambios en una ubicación segura.

Nota: Se puede cambiar el nombre de la cuenta integrada del administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en la DCBP porque debe elegir un nombre único para su entorno. Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Esta configuración es parte de las Opciones de seguridad de un GPO.

Proteger las Cuentas de ServicioNo configure nunca un servicio para que se ejecute bajo el contexto de seguridad de una cuenta de dominio, a menos que sea absolutamente necesario. Si se pone en peligro físico a un servidor, se pueden obtener fácilmente las contraseñas de la cuenta de dominio al vaciar los secretos de la Autoridad de Seguridad Local (LSA).

146

NTFSLas particiones NTFS soportan ACLs en los niveles de archivo y carpeta. Este soporte no está disponible con la tabla de ubicación de archivos (FAT), FAT32 o los sistemas de archivos. FAT32 es una versión del sistema de archivos FAT que se actualizó para permitir tamaños de clúster predeterminados significativamente más pequeños y para soportar discos duros de hasta dos terabytes. FAT32 se incluye en Windows 95 OSR2, Windows 98, Microsoft Windows Me, Windows 2000, Windows XP Professional y Windows Server 2003.

Dé formato a todas las particiones de cada servidor mediante NTFS. Utilice la Utilidad de conversión para convertir las particiones FAT a NTFS, pero tenga en cuenta que la utilidad de conversión configurará en Todos: Control total las ACLs para la unidad convertida.

Para los sistemas basados en Windows 2003 Server, aplique las siguientes plantillas de seguridad de manera local para configurar las ACLs predeterminadas del sistema de archivos para las estaciones de trabajo, servidores y controladores de dominio, respectivamente:

• %windir%\inf\defltsv.inf

• %windir%\inf\defltdc.inf

Nota: Las configuraciones de seguridad predeterminadas del controlador de dominio se aplican durante la promoción de un servidor a un controlador de dominio.

A todas las particiones de los servidores en los tres entornos definidos en esta guía se les ha dado formato con particiones NTFS para poder proporcionar los medios para la administración de seguridad de archivos y directorios a través de ACLs.

Configuración de Terminal ServicesTabla 3.255 Configuraciones

Nombre de configuración en UE


Alta Seguridad

Establezca el nivel de

encriptación de la conexión

Alto Alto Alto

El parámetro Establecer el nivel de encriptación de la conexión del cliente determina el nivel de encriptación para las conexiones del cliente de Terminal Services de su entorno. La opción de configuración Nivel alto que utiliza una encriptación de 128 bits evita que un atacante escuche las sesiones de Terminal Services utilizando un analizador de paquetes. Algunas versiones anteriores del cliente Terminal Services no soportan este nivel alto de encriptación. Si su red contiene estos clientes, establezca el nivel de encriptación de la conexión para enviar y recibir datos en el nivel más alto de encriptación soportado por el cliente.

La ruta para configurar este parámetro en la Directiva de Grupo es:

Configuración del Equipo\Plantillas administrativas\Componentes de Windows\Terminal Services\Encriptación y seguridad.

147

Existen tres niveles de cifrado disponibles, como muestra la siguiente tabla.

Tabla 3.256: Niveles de encriptación de Terminal Services

Nivel de encriptación Descripción

Nivel alto Este nivel encripta los datos enviados del cliente al servidor y del

servidor al cliente utilizando una encriptación sólida de 128 bits. Utilice

este nivel cuando Terminal Server se ejecute en un entorno que

contenga sólo clientes de 128 bits (como los clientes de la Conexión

remota al escritorio). Los clientes que no soporten este nivel de

encriptación no podrán conectarse

Compatible con el cliente Este nivel encripta datos enviados entre el cliente y el servidor al nivel

máximo de solidez de claves soportado por el cliente. Utilice este nivel

cuando Terminal Server se ejecute en un entorno que contenga clientes

combinados o heredados.

Nivel bajo Este nivel encripta datos enviados del cliente al servidor utilizando una

encriptación de 56 bits.

Importante: No se encriptan los datos enviados del servidor al cliente.

Informe de ErroresTabla 3.257: Valores

Nombre de configuración en UE


Alta Seguridad

Comunicar errores Desactivado Desactivado Desactivado

El Informe de Errores ayuda a Microsoft a dar seguimiento y resolver los errores. Puede configurar el informe de errores para generar informes de los errores del sistema operativo, los errores de componentes de Windows o los errores de programa. Activar el Informe de errores hace que esos errores se comuniquen a Microsoft a través de Internet o de un uso compartido interno de archivos empresariales. Esta configuración sólo está disponible en Windows XP Professional y Windows Server 2003.

Ésta es la ruta para establecer esta configuración en el editor de las Políticas de grupo:

Configuración del Equipo\Plantillas administrativas\Sistema\Informe de errores

Los informes de errores pueden contener datos empresariales delicados o incluso confidenciales. La política de privacidad de Microsoft con respecto al informe de errores asegura que Microsoft Corporation no utilizará los datos de forma inadecuada. Sin embargo, los datos que se transmiten en HTTP con texto claro podrían ser interceptados en Internet y vistos por terceros. Por estas razones, esta guía recomienda desactivar el Informe de errores.

148

ResumenEste capítulo explica los procedimientos de protección de servidores aplicados en principio a todos los servidores en los tres entornos de seguridad definidos en esta guía. La mayoría de estos procedimientos se lograron creando una plantilla única de seguridad para cada entorno de seguridad y luego importándola a una GPO vinculada con la OU primaria para que el servidor miembro lograse el nivel deseado de seguridad.

Sin embargo, algunos de estos procedimientos de protección no se pueden aplicar a través de las Directivas de Grupo. En estos casos, se ofrecen directrices para configurar estos procedimientos de manera manual. Se han dado pasos adicionales para roles específicos del servidor para permitirles funcionar dentro de sus roles de la forma más segura posible.

Los pasos concretos de roles del servidor incluyen procedimientos de protección adicionales y procedimientos para reducir las configuraciones de seguridad en la directiva de seguridad de referencia. Estos cambios se analizan en detalle en los siguientes capítulos de esta guía

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para más información sobre las descripciones de las configuraciones de Seguridad de Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/615.asp

Para más información sobre la Seguridad en Windows Server 2003, consulte: http://www.microsoft.com/spain/technet/recursos/articulos/welcome3.asp?opcion=26110302.

Para más información sobre la Directiva de Auditoría para Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/APtopnode.asp.

Para más información sobre Microsoft Operations Manager (MOM), consulte: http://www.microsoft.com/spain/technet/productos/mom/default.asp.

Para más información sobre la asignación de permisos de usuario en Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/URAtopnode.asp.

Para más información sobre las diferencias en las configuraciones predeterminadas de seguridad en Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/datacenter/windows_security_differences.asp.

Para más información sobre cómo proteger Windows 2000 Terminal Services, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/win2kts/ maintain/optimize/secw2kts.asp.

Para más información acerca de la protección de la pila TCP/IP de Windows Server 2003, consulte el artículo Q324270 de la Knowledge Base, "Proteger la pila TCP/IP frente a ataques por denegación de servicio en la familia Windows Server 2003", en: http://support.microsoft.com/default.aspx?scid=324270.

Para más detalles sobre la configuración de las aplicaciones de sockets de Windows, consulte el artículo Q142641 de la Knowledge Base, "Internet Server no disponible debido a ataques SYN", en: http://support.microsoft.com/default.aspx?scid=142641.

149



http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/win2kts/%20maintain/optimize/secw2kts.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/win2kts/%20maintain/optimize/secw2kts.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/datacenter/windows_security_differences.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/datacenter/windows_security_differences.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/URAtopnode.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/URAtopnode.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/APtopnode.asp


http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sag_SEtopnode.asp



Para más información acerca de la ubicación de los archivos .adm, consulte el artículo Q228460 de la Knowledge Base, "Ubicación de los archivos de ADM (Plantilla administrativa) en Windows", en: http://support.microsoft.com/default.aspx?scid=228460.

Para más información sobre cómo personalizar la interfaz del Editor de Configuración de Seguridad, consulte el artículo 214752 de la Knowledge Base, “Cómo agregar configuraciones personalizadas del Registro al Editor de configuración de seguridad “, en: http://support.microsoft.com/default.aspx?scid=214752

Para más información sobre cómo crear archivos personalizados en la plantilla administrativa en Windows, consulte el artículo 323639 de la Knowledge Base, “Cómo: Crear plantillas administrativas personalizadas en Windows 2000“, en: http://support.microsoft.com/default.aspx?scid= 323639. Revise también las notas del producto sobre “Implementar directivas de grupo con base en el registro“, en: http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/management/rbppaper.asp.

Para más información sobre cómo asegurar que las configuraciones seguras del Nivel de Autentificación del Administrador LAN funcionen en redes con una mezcla de sistemas Windows 2000 y Windows NT 4.0, consulte el artículo Q305379 de la Knowledge Base, "Problemas de autentificación en Windows 2000 con NTLM 2 niveles superiores al 2 en un dominio Windows NT 4.0”, en: http://support.microsoft.com/default.aspx?scid=305379.

Para más información sobre los niveles de Compatibilidad del administrador LAN, consulte: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/regentry/76052.asp.

Para más información sobre la autentificación de NTLMv2, consulte el artículo Q239869 de la Knowledge Base, "Cómo activar la autentificación NTLM 2 para Windows 95/98/2000 y NT", en: http://support.microsoft.com/default.aspx?scid=239869.

Para más información sobre las configuraciones predeterminadas para los servicios en Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/datacenter/sys_srv_default_settings.asp.

Para más información sobre la implementación de tarjetas inteligentes, consulte el sitio Web de Tarjetas Inteligentes de Technet, en: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/ smrtcard/default.asp.

Para más información sobre la Directiva de Auditoría de Windows Server 2003, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/APtopnode.asp.

Para más información sobre cómo el valor del registro "RestrictAnonymous" puede romper la confianza para un dominio Windows 2000; consulte: http://support.microsoft.com/ default.aspx?scid=kb;en-us;296405.

Para más información sobre cómo desactivar el informe de errores, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/sysdm_advancd_exception_reporting.asp.

Para más información sobre el Informe de errores de Windows Corporate, consulte: http://www.microsoft.com/office/ork/xp/appndx/appa19.htm .

150

http://www.microsoft.com/office/ork/xp/appndx/appa19.htm

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sysdm_advancd_exception_reporting.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sysdm_advancd_exception_reporting.asp

http://support.microsoft.com/%20default.aspx?scid=kb;en-us;296405

http://support.microsoft.com/%20default.aspx?scid=kb;en-us;296405



http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/%20smrtcard/default.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/prodtech/%20smrtcard/default.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/datacenter/sys_srv_default_settings.asp




http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/regentry/76052.asp



http://www.microsoft.com/WINDOWS2000/techinfo/howitworks/management/rbppaper.asp

http://support.microsoft.com/default.aspx?scid=%20323639


4Protección de los Controladores de Dominio

Descripción GeneralEl rol del servidor de controladores de dominio es uno de los más importantes y es vital protegerlo en cualquier entorno de ordenadores que ejecuten Windows Server 2003 y utilicen Directorio Activo. La pérdida o puesta en peligro de un controlador de dominio del entorno podría ser devastadora para los clientes, servidores y aplicaciones que dependen de los controladores de dominio para autentificación, Directiva de Grupo y un directorio central LDAP.

Debido a su importancia, los controladores de dominio siempre deben estar almacenados en ubicaciones físicamente protegidas a las que sólo tenga acceso el personal administrativo cualificado. Si los controladores de dominio deben almacenarse en ubicaciones no protegidas (por ejemplo, sucursales), se pueden ajustar varios parámetros de seguridad para limitar los posibles daños causados por amenazas físicas.

Directiva de Referencia del Controlador de DominioA diferencia de otras directivas del rol del servidor que se detallan más adelante en esta guía, la Directiva de Grupo para el rol del servidor de Controladores de dominio es una directiva de referencia, lo cual la coloca en la misma clase que la Member Server Baseline Policy (MSBP) definida en el Capítulo 3, "Creación de un servidor miembro de referencia". La Directiva de Controladores de Dominio de Referencia (DCBP, Domain Controllers Baseline Policy) está vinculada a la unidad organizativa (OU) de controladores de dominio y tiene precedencia sobre la Directiva de controladores de dominio predeterminada. Las configuraciones incluidas en la DCBP fortalecerán la seguridad general en los controladores de dominio de cualquier entorno dado.

La mayor parte de la DCBP es una copia directa de la MSBP. Debido a que la DCBP se basa en la MSBP, debe revisar cuidadosamente el Capítulo 3, "Creación de un servidor miembro de referencia", para entender a fondo las distintas configuraciones que también se incluyen en la DCBP. En este capítulo sólo se documentan las configuraciones DCBP que difieren de las de la MSBP.

Las plantillas del controlador de dominio están diseñadas de manera especial para abordar las necesidades de seguridad de los tres entornos definidos en esta guía. La siguiente tabla muestra las relaciones entre los archivos y estos entornos.inf del controlador de dominio incluidos en esta guía. Por ejemplo, el archivo Enterprise Client-Domain Controller.inf es una plantilla de seguridad para el entorno de Cliente Empresarial.

151

Tabla 4.1: Plantillas de Seguridad del Controlador De Dominio de Referencia


Legacy Client – Domain

Controller.inf

Enterprise Client – Domain

Controller.inf

High Security– Domain

Controller.inf

Nota: Vincular un objeto de política de grupo (GPO) configurado de manera incorrecta a la OU de Controladores de Dominio puede impedir en gran medida el funcionamiento adecuado de un dominio. Tenga mucho cuidado al importar estas plantillas de seguridad y compruebe que todas las configuraciones importadas sean correctas antes de vincular un GPO a la OU de Controladores de Dominio.

152

Parámetros de la Directiva de Auditoría Los parámetros de la Directiva de Auditoría para los controladores de dominio son los mismos especificados en la MSBP. Para más información, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la directiva de referencia de la DCBP garantizan que toda la información de auditoría de seguridad importante se registra en los controladores de dominio.

153

Asignación de Permisos de Usuario La DCBP especifica varias asignaciones de permisos de usuario para los controladores de dominio. Además de las configuraciones predeterminadas, se han modificado otros siete permisos de usuario para fortalecer la seguridad de los controladores de dominio en los tres entornos definidos en esta guía.

Esta sección proporciona detalles sobre las configuraciones de permisos de usuario prescritas para DCBP que difieren de de la MSBP. Para leer un resumen de las configuraciones obligatorias en esta sección, consulte la hoja de Excel sobre Parámetros de la Guía de Seguridad de Windows Server 2003 incluida en esta guía.

Acceder a este equipo desde la red Tabla 4.2: Valores

Valor Predeterminado del Controlador de Dominio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Administradores, Usuarios

Autentificados,

CONTROLADORES DE DOMINIO

EMPRESARIALES, Todos,

Acceso compatible con sistemas

anteriores a Windows 2000.

No Definido No Definido Administradores,

Usuarios

Autentificados,

CONTROLADORES

DE DOMINIO

EMPRESARIALES

El permiso de usuario Acceder a este equipo desde la red determina qué usuarios y grupos pueden conectarse al ordenador desde la red. Varios protocolos de red requieren este permiso de usuario, incluyendo los protocolos basados en SMB, NetBIOS, CIFS), http y COM+.

A pesar de que los permisos otorgados al grupo de seguridad Todos ya no otorgan acceso a los usuarios anónimos en Windows Server 2003, aún se puede dar acceso a los grupos y cuentas de invitados mediante el grupo de seguridad Todos. Por esta razón, esta guía recomienda eliminar el grupo de seguridad Todos del permiso de usuario Acceder a este ordenador desde la red en el entorno de Alta Seguridad para protegerse aún más contra los ataques dirigidos al acceso de invitados al dominio.

Añadir estaciones de trabajo al dominio Tabla 4.3: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Usuarios autentificados Administradores Administradores Administradores

El permiso de usuario Añadir estaciones de trabajo al dominio permite al usuario añadir un ordenador a un dominio específico. Para que este permiso entre en vigor, deberá ser asignado al usuario como parte de la Directiva de controladores de dominio predeterminada para el dominio. Un usuario con este permiso puede añadir hasta 10 estaciones de trabajo al dominio. Los usuarios que tienen el permiso Crear objetos de Equipo para una OU o el contenedor de ordenadores en Directorio Activo también pueden añadir un ordenador al dominio. Los usuarios a los que se les ha otorgado el permiso pueden añadir un número ilimitado de ordenadores al dominio independientemente de si han recibido el permiso de usuario Añadir estaciones de trabajo al dominio o no.

Por defecto, todos los usuarios del grupo Usuarios Autentificados tienen la capacidad de añadir hasta 10 cuentas de ordenador a un dominio de Directorio Activo. Estas nuevas cuentas de ordenador se generan en el Contenedor de ordenadores.

En un dominio de Directorio Activo, cada cuenta de ordenador es un principal de seguridad completo con la capacidad de autentificar y acceder a los recursos del dominio. Algunas

154

empresas desean limitar el número de ordenadores de un entorno de Directorio Activo de para poder dar seguimiento, construir y administrarlos de manera coherente.

Permitir que los usuarios agreguen estaciones de trabajo al dominio puede dificultar esta labor. También ofrece a los usuarios métodos para realizar actividades más difíciles de rastrear, ya que pueden crear ordenadores de dominio adicionales no autorizados.

Por esto, el permiso de usuario Añadir estaciones de trabajo al dominio se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía.

Permitir iniciar una sesión localmente Tabla 4.4: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


cuenta, Operadores de Copia de

Seguridad, Operadores de

impresión y Operadores de

servidor

Administradores Administradores Administradores

El permiso de usuario Permitir iniciar una sesión localmente permite que el usuario inicie una sesión interactiva en el equipo. Los usuarios que no tengan este permiso podrán iniciar una sesión interactiva remota en el ordenador si tienen el permiso Permitir el inicio de sesión a través de Terminal Services.

Limitar las cuentas que se pueden utilizar para conectarse a las consolas de controlador de dominio de un entorno le ayudará a evitar accesos no autorizados a los sistemas de archivo del controlador de dominio y a los servicios del sistema. Un usuario que puede conectarse a la consola de un controlador de dominio puede explotar el sistema con malas intenciones y posiblemente poner en peligro la seguridad de todo el dominio o bosque.

Por defecto, los grupos Operadores de Cuenta, Operadores de Copia de Seguridad, Operadores de Impresión y Operadores de Servidor tienen permiso para iniciar una sesión localmente en los controladores de dominio. Los usuarios de estos grupos no necesitan conectarse al controlador de dominio para realizar sus tareas de administración; pueden realizar sus tareas normalmente desde otras estaciones de trabajo. Sólo los usuarios del grupo Administradores deben llevar a cabo tareas de mantenimiento de los controladores de dominio.

Otorgar este permiso sólo al grupo Administradores limita el acceso físico e interactivo a los controladores de dominio a los usuarios altamente fiables, con lo cual se mejora la seguridad. Por esta razón, el permiso de usuario Permitir iniciar una sesión localmente se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía.

155

Permitir el inicio de sesión a través de Terminal ServicesTabla 4.5: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

No definido Administradores Administradores Administradores

El permiso de usuario Permitir el inicio de sesión a través de Terminal Services permite que el usuario inicie una sesión en un ordenador utilizando la conexión de Escritorio Remoto.

Limitar las cuentas que se pueden utilizar para iniciar una sesión en las consolas del controlador de dominio a través de Terminal Services ayudará a evitar el acceso no autorizado a los sistemas de archivo del controlador de dominio y a los servicios del sistema. Un usuario que puede iniciar una sesión en una consola de un controlador de dominio a través de Terminal Services puede explotar el sistema y probablemente poner en peligro la seguridad de todo un dominio o bosque.

Otorgar este permiso sólo al grupo de Administradores limita el acceso interactivo a los controladores de dominio sólo a los usuarios más fiables, con lo cual se mejora la seguridad. Por esta razón, el permiso de usuario Permitir inicio de sesión localmente se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía. Aunque iniciar una sesión en un controlador de dominio a través de Terminal Services requiere por defecto un acceso administrativo, configurar este permiso de usuario ayuda a proteger contra acciones inadvertidas o maliciosas que pudieran poner en peligro esta restricción.

Como una medida de seguridad adicional, la DCBP deniega a la cuenta predeterminada del Administrador el permiso para iniciar una sesión en el controlador de dominio a través de Terminal Services. Esta configuración también impide que los usuarios maliciosos intenten entrar de manera remota en el controlador de dominio utilizando la cuenta predeterminada del Administrador. Para más información sobre este parámetro, consulte el Capítulo 3, "Creación de un servidor miembro de referencia".

Cambiar la hora del sistema Tabla 4.6: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


servidor


El permiso de usuario Cambiar la hora del sistema permite al usuario ajustar la hora del reloj interno de su ordenador. Este permiso no es necesario para cambiar la zona horaria u otras características de pantalla de la hora del sistema.

La sincronización de la hora del sistema es vital para el funcionamiento de Directorio Activo. La replicación adecuada de Directorio Activo y el proceso de generación de tickets de autentificación usado por el protocolo de autentificación Kerberos versión 5 dependen de que la hora esté sincronizada en todos los entornos.

Un controlador de dominio configurado con una hora del sistema que no esté sincronizada con la hora del sistema de los demás controladores de dominio del entorno puede entorpecer el funcionamiento de los servicios de dominio. Permitir modificar la hora del sistema sólo a los administradores reduce la posibilidad de que un controlador de dominio sea configurado con un tiempo de sistema incorrecto.

Por defecto, el grupo de Operadores del Servidor tiene permiso para modificar la hora del sistema en los controladores de dominio. Dadas las consecuencias que pueden derivarse de la modificación incorrecta de la hora del sistema de un controlador de dominio por parte de los miembros de este grupo, este permiso de usuario está configurado en la DCBP de manera que

156

sólo que el grupo Administradores puede modificar la hora del sistema en cualquiera de los tres entornos que se definen en esta guía.

Para más información sobre el Servicio Horario de Windows, consulte los artículos de la Knowledge Base Q224799, "Funcionamiento básico del Servicio Horario de Windows", en: http://support.microsoft.com/default.aspx?scid=224799 y Q216734, "Cómo configurar un servidor horario autorizado en Windows 2000", en: http://support.microsoft.com/default.aspx?scid=216734.

Permitir que las cuentas de equipo y de usuario sean fiables para la delegaciónTabla 4.7: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El permiso de usuario Permitir que las cuentas de equipo y usuario sean fiables para la delegación permite al usuario modificar el parámetro Fiable para la Delegación de un objeto de un usuario o un ordenador en Directorio Activo. La delegación de autentificación es una capacidad que se utiliza en aplicaciones cliente/servidor multinivel. Permite que un servicio de interfaz de usuario utilice las credenciales de un cliente al autentificar un servicio secundario. Para que esto sea posible, el cliente y el servidor deben ejecutarse bajo cuentas fiables para la delegación.

El mal uso de este permiso puede provocar que los usuarios no autorizados suplanten a otros usuarios de la red. Un atacante podría aprovechar este permiso para obtener acceso a los recursos de la red haciéndose pasar por un usuario diferente, lo cual podría hacer difícil la investigación después de un incidente de seguridad.

Esta guía recomienda asignar el permiso Permitir que las cuentas de equipo y usuario sean fiables para la delegación al grupo de Administradores de los controladores de dominio.

Nota: Aunque la Directiva de controladores de dominio predeterminada asigna al grupo de Administradores este permiso, la DCBP únicamente lo aplica en el entorno de Alta Seguridad, ya que se basa originalmente en la MSBP. La MSBP asigna al permiso el valor NULL.

Cargar y descargar los controladores de dispositivosTabla 4.8: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


impresión


El permiso de usuario Cargar y descargar los controladores de dispositivos determina qué usuarios pueden cargar y descargar controladores de dispositivos. Este permiso de usuario es necesario para cargar y descargar dispositivos Plug and Play.

Cargar o descargar de manera maliciosa un controlador de dispositivos en un controlador de dominio puede entorpecer su funcionamiento. Limitar las cuentas que pueden cargar o descargar controladores de dispositivos a los usuarios más fiables minimiza la probabilidad de que se utilicen controladores de dispositivos que puedan poner en peligro los controladores de dominio de su entorno.

157

Por defecto, el grupo Operadores de Impresión cuenta con este permiso. Como se dijo antes, no se recomienda crear usos compartidos de impresora en los controladores de dominio. Esto elimina la necesidad de que los Operadores de impresión neceisten permiso para cargar o descargar controladores de dispositivos. Por lo tanto, este permiso de usuario se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía.

Restaurar archivos y directorios Tabla 4.9: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


Copia de Seguridad, Operadores

de servidor


El permiso de usuario Restaurar archivos y directorios permite al usuario eludir los permisos de archivo y directorio al restaurar archivos y directorios de los que se ha hecho una copia de seguridad y establecer un principal de seguridad válido como propietario de un objeto.

Al permitir que una cuenta de usuario restaure archivos y directorios en el sistema de archivos de un controlador de dominio, el propietario de la cuenta obtiene la facultad de modificar fácilmente los archivos ejecutables del servicio. Los usuarios malintencionados pueden aprovechar el acceso que proporciona este permiso no sólo para inutilizar un controlador de dominio, sino para poner en peligro la seguridad de un dominio o un bosque completo.

Por defecto, los grupos Operadores de Servidor y Operadores de Copia de Seguridad tienen este permiso. Si se elimina este permiso de usuario de estos grupos y se le otorga sólo al grupo de Administradores, se reduce la posibilidad de poner en peligro el controlador de dominio debido a modificaciones inadecuadas del sistema de archivo. Por lo tanto, este permiso de usuario se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía.

Apagar el sistema Tabla 4.10: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


servidor, Operadores de

impresión, Operadores de Copia

de Seguridad


El permiso de usuario Apagar el sistema permite al usuario cerrar el ordenador local.

Los usuarios malintencionados con la capacidad de apagar controladores de dominio pueden iniciar fácilmente un ataque por denegación de servicio (DoS) que podría afectar gravemente a todo un dominio o bosque. Además, este permiso de usuario se puede aprovechar para iniciar un ataque de elevación de privilegios en una cuenta del sistema del controlador de dominio cuando está reiniciando los servicios. Un ataque de elevación de privilegios en un controlador de dominio pone en peligro la seguridad de un dominio o de un bosque completo.

Por defecto, los grupos Administradores, Operadores de Servidor, Operadores de Impresión y Operadores de Copia de Seguridad tienen permiso para apagar los controladores de dominio. En entornos seguros, ninguno de estos grupos, excepto el de Administradores, necesita este derecho para realizar tareas administrativas. Por ello, este permiso de usuario se otorga sólo al grupo Administradores en los tres entornos definidos en esta guía.

158

Opciones de SeguridadLa mayoría de los parámetros de Opciones de seguridad para los controladores de dominio son los mismos que se especifican para la MSBP. Para más información, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". En la siguiente sección se describen las diferencias entre la MSBP y la DCBP.

Seguridad de la red: No almacenar el valor hash del Administrador LAN en el siguiente cambio de contraseñaTabla 4.11: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


La opción de seguridad Seguridad de la red: No almacenar el valor hash del Administrador LAN en el siguiente cambio de contraseña determina si el valor hash del Administrador LAN (LM) para la nueva contraseña se almacena al cambiar la contraseña. El hash LM es relativamente débil y propenso a ataques, en comparación con el hash criptográficamente más sólido de Windows NT. Por esta razón, la MSBP activa este parámetro en los tres entornos de seguridad definidos en esta guía.

La DCBP activa este parámetro en los controladores de dominio de los entornos Cliente Empresarial y Alta Seguridad y lo desactiva en los controladores de dominio en el entorno Cliente Heredado. Si se activase este parámetro en los controladores de dominio del entorno Cliente Heredado, los clientes Windows 98 no podrían iniciar una sesión después de cambiar sus contraseñas.

Nota: Los sistemas operativos heredados y algunas aplicaciones de terceros pueden fallar cuando se activa este parámetro. Además, la activación de este parámetro exige que todas las cuentas cambien su contraseña.

159

Parámetros del Registro de Eventos Los parámetros del Registro de eventos para los controladores de dominio son los mismos que los especificados en la MSBP. Para más información, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de las Directivas de Grupo de referencia de la DCBP garantizan que toda la información de auditoría de seguridad relevante se registra en los controladores de dominio, incluyendo el Acceso a Servicios de Directorio.

160

Servicios del Sistema Los siguientes servicios del sistema deberán estar activados en todos los controladores de dominio de Windows Server 2003. Los parámetros de la directiva de referencia de la DCBP garantizan que todos los servicios del sistema requeridos estén configurados de manera uniforme a través de los controladores de dominio.

Esta sección proporciona detalles sobre los parámetros prescritos de los servicios del sistema para DCBP que difieren de la MSBP. Para leer un resumen de los parámetros prescritos de esta sección, consulte la hoja de Excel Parámetros de la Guía de seguridad de Windows Server 2003 incluido en esta guía.

Nota: Si ejecuta la utilidad DCDiag.exe desde las Herramientas de Soporte de Windows Server 2003, comprobará todos los servicios que se pueden ejecutar en los controladores de dominio de su entorno. DCDiag.exe informará de los errores, porque algunos servicios están desactivados en la Directiva de Referencia del Controlador de Dominio (incluyendo IISADMIN, SMTPSVC y TrkSvr). Esta información no indica un problema con su configuración.

Sistema de Archivos DistribuidoTabla 4.12: Valores


Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático Dfs Automático Automático Automático

El servicio Sistema de archivos distribuidos (DFS) distribuye e integra usos compartidos de archivo dispares en un solo espacio de nombre lógico. Este servicio administra volúmenes lógicos distribuidos a través en una red local o de área amplia (WAN), y se requiere para el uso compartido del Volumen del sistema de Directorio Activo (SYSVOL). La replicación SYSVOL depende de la operación adecuada de DFS.

Utilizar una política de grupo para asegurar y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren u operen el servicio. La política de grupo también evitará que los administradores desactiven inadvertidamente el servicio. Por estas razones, se configura el servicio para iniciar automáticamente en el DCBP en los tres entornos definidos en esta guía.

Servidor DNSTabla 4.13: Valores

Valor predeterminado del controlador de dominio

Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático Dns Automático Automático Automático

El servicio DNS Server resuelve las consultas DNS y actualiza las solicitudes para nombres de DNS. El Servidor DNS es un servicio crucial para localizar dispositivos identificados utilizando los nombres y controladores de dominio DNS en Directorio Activo.

La fiabilidad y disponibilidad de Directorio Activo depende en gran medida del correcto funcionamiento del Servidor DNS. Sin DNS, los controladores de dominio no pueden localizarse entre sí para replicar la información de directorio y los clientes no pueden contactar con los controladores de dominio para autentificarse.

El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio. Por ello, el servicio se configura para iniciarse automáticamente en la DCBP en los tres entornos definidos en esta guía.

161

Replicación de Archivos Tabla 4.14: Valores


Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático NtFrs Automático Automático Automático

El servicio Replicación de archivos permite que los archivos sean copiados y mantenidos automática y simultáneamente en múltiples servidores. El Servicio de Replicación de Archivos (FRS) es el servicio automático de replicación de archivos en Windows 2000 y la familia Windows Server™. El servicio replica SYSVOL en todos los controladores de dominio y se puede configurar para replicar archivos en otros objetivos asociados con DFS tolerante a fallos. La replicación de SYSVOL también depende del correcto funcionamiento del servicio de Replicación de Archivos.


Mensajes entre Sitios Tabla 4.15: Valores


Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático IsmServ Automático Automático Automático

El servicio Mensajes entre Sitios (ISM) permite intercambiar mensajes entre ordenadores que ejecutan sitios de Windows Server. Este servicio se utiliza para la replicación entre sitios basada en correo. Directorio Activo incluye la replicación de soporte entre sitios mediante el protocolo SMTP sobre el transporte de IP. El soporte SMTP se proporciona a través del servicio SMTP, que es un componente de Microsoft Internet Information Services (IIS).

El conjunto de transportes utilizados para la comunicación entre sitios debe ser ampliable; por lo tanto, cada transporte se define dentro de una biblioteca de vínculos dinámicos (DLL) complementaria e independiente. Estas DLLs complementarias se cargan en el servicio ISM, que se ejecuta en todos los controladores de dominio que pueden realizar la comunicación entre sitios. El servicio ISM dirige las solicitudes de mensajes de envío y recepción al DLL de transporte adecuado y, a continuación, enruta los mensajes al servicio ISM del ordenador de destino. La replicación de Directorio Activo depende de que el servicio Mensajes entre sitios se ejecute adecuadamente.


Centro de Distribución de Claves KerberosTabla 4.16: Valores


Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático Kdc Automático Automático Automático

El servicio Centro de distribución de las claves Kerberos (KDC) permite que los usuarios inicien una sesión en la red utilizando el protocolo de autentificación Kerberos v5.

162

El servicio KDC es necesario para que los usuarios inicien una sesión en la red. Al desactivar este servicio, se bloquea a los usuarios y se les impide iniciar una sesión.


Localizador de Llamada a Procedimiento Remoto (RPC)Tabla 4.17: Valores


Nombre del servicio

Cliente Heredado

Cliente Empresarial

Alta Seguridad

Automático RpcLocator Automático Automático Automático

El servicio Localizador de llamada a procedimiento remoto (RPC) permite que los clientes RPC que utilizan la familia RpcNs* de APIs localicen servidores RPC y administren la base de datos de servicio de nombre RPC.

Detener o desactivar este servicio puede impedir que los clientes RPC que utilizan APIs de RpcNs* localicen servidores o que se inicien. Además, los clientes RPC que dependen de APIs de RpcNs* del mismo ordenador pueden no encontrar los servidores RPC que dan soporte a una determinada interfaz. Detener o desactivar este servicio en su controlador de dominio puede provocar que los clientes RPC que utilizan APIs de RpcNs* y el controlador de dominio experimenten una interrupción del servicio cuando intentan localizar clientes.


163

Parámetros Adicionales de Seguridad Esta sección describe las modificaciones manuales que se deben realizar en la DCBP, al igual que los parámetros y las contramedidas adicionales que no se pueden implementar a través de las Directivas de Grupo.

Añadir Manualmente Grupos Sencillos de Seguridad a Las Asignaciones de Permisos de UsuarioLa mayoría de las Asignaciones de Permisos de Usuario que se aplican a través de la DCBP se han concretado adecuadamente en las plantillas de seguridad que acompañan a esta guía. Sin embargo, existen algunas cuentas y grupos de seguridad que no se pueden incluir en las plantillas, debido a que sus identificadores de seguridad (SIDs) son específicos para dominios individuales de Windows 2003. A continuación se especifican las asignaciones de permisos de usuario que se deben configurar manualmente.

Advertencia: La siguiente tabla contiene valores para la cuenta integrada del Administrador. Esta cuenta no debe confundirse con el grupo de seguridad integrado de Administradores. Si agrega el grupo de seguridad de Administradores a alguno de los permisos de usuario de acceso denegado que se presentan a continuación, tendrá que iniciar una sesión localmente para poder corregir el error.

Además, es posible que se haya renombrado la cuenta de Administrador integrada conforme a algunas de las recomendaciones que se describen en el Capítulo 3, "Creación de un servidor miembro de referencia". Al añadir la cuenta del Administrador, asegúrese de especificar la cuenta cuyo nombre ha cambiado.

Tabla 4.18: Asignaciones de Permisos de Usuario Añadidas Manualmente


Cliente Heredado

Cliente Empresarial

Alta Seguridad

DeDenegar el acceso a este equipo desde la

red

Administrador

integrado;

Support_388945a0;

Invitado; todas las

cuentas de servicio

que NO sean del

sistema operativo

Administrador

integrado;

Support_388945a0;

Invitado; todas las

cuentas de servicio

que NO sean del

sistema operativo

Administrador

integrado;

Support_388945a0;

Invitado; todas las

cuentas de servicio

que NO sean del

sistema operativo

Denegar el inicio de sesión como un proceso

por lotes

Support_388945a0 e

Invitado

Support_388945a0 e

Invitado

Support_388945a0 e

Invitado

Denegar el inicio de sesión a través de

Terminal Services

Administrador

Integrado, todas las

cuentas de servicio

que no sean propias


Administrador


cuentas de servicio

que no sean propias


Administrador


cuentas de servicio

que no sean propias


Importante: Todas las cuentas de servicio que NO son del sistema operativo son cuentas de servicio para aplicaciones específicas de su empresa. Esto no incluye las cuentas del SISTEMA LOCAL, SERVICIO LOCAL o del SERVICIO DE RED, que son cuentas integradas para el sistema operativo.

Servicios de DirectorioLos controladores de dominio que ejecutan Windows Server 2003 almacenan datos de directorio y administran las interacciones entre usuario y dominio, incluyendo los procesos de inicio de sesión del usuario, la autentificación y las búsquedas en el directorio.

164

Relocalización de datos: Base de datos de Directorio Activo y archivos de registro

Salvaguardar la base de datos y los archivos de registro de Directorio Activo es vital para mantener la integridad y fiabilidad del directorio.

Cambiar los archivos ntds.dit, edb.log y temp.edb de su ubicación predeterminada le ayudará a ocultarlos de un atacante si el controlador de dominio está en peligro. Además, mover los archivos fuera del volumen del sistema a un disco físico independiente también mejorará el rendimiento del controlador de dominio.

Por ello, esta guía recomienda cambiar la base de datos y los archivos de registro de Directorio Activo de su ubicación predeterminada en el volumen del sistema a un volumen de disco dividido en franjas o a un volumen de disco dividido en franjas y con mirroring que no esté en el sistema para los controladores de dominio en los tres entornos definidos en esta guía.

Redimensionar los Archivos de Registro de Directorio Activo

Garantizar que se registra y mantiene la cantidad adecuada de información para los controladores de dominio en un entorno es vital para supervisar y mantener con eficacia la integridad, confiabilidad y disponibilidad de Directorio Activo.

Incrementar el tamaño máximo de los archivos de registro para dar soporte a esta tarea ayudará a los administradores a mantener la cantidad adecuada de información necesaria para llevar a cabo auditorías significativas en caso de ataques de piratas informáticos.

Por estas razones, esta guía recomienda incrementar el tamaño máximo de los archivos de registro del Servicio de Directorio y del Servicio de Replicación de Archivos del tamaño predeterminado de 512 KB a 16 MB en los controladores de dominio en los tres entornos definidos en esta guía.

Uso de Syskey

En los controladores de dominio, la información de contraseñas se almacena en los servicios de directorio. Es común que el software para descifrar contraseñas se centre en la base de datos del Administrador de Cuentas de Seguridad (SAM) o en los servicios de directorio para acceder a las contraseñas de las cuentas de los usuarios.

La utilidad Clave del Sistema (Syskey) proporciona una línea adicional de defensa contra el software para descifrar contraseñas offline. Syskey utiliza sólidas técnicas de encriptación para proteger la información de contraseña de una cuenta almacenada en los servicios de directorio.

165

Tabla 4.19: Modos Syskey

Opción de Clave del Sistema

Nivel de seguridad

Descripción

Modo 1: Contraseña

generada por el sistema,

Almacenar clave de inicio

localmente

Seguro Utiliza una clave aleatoria generada por el

ordenador como clave del sistema y almacena una

versión encriptada de la clave en el ordenador

local. Esta opción proporciona una encriptación

sólida de la información de contraseñas del registro

y permite que el usuario reinicie el ordenador sin

que el administrador tenga que introducir una

contraseña o un disco.

Modo 2: Contraseña

generada por el

Administrador, Inicio con

contraseña

Más seguro Utiliza una clave aleatoria generada por el

ordenador como clave del sistema y almacena una

versión encriptada de la clave en el ordenador

local. La clave también está protegida por una

contraseña elegida por el administrador. Los

usuarios deben introducir la contraseña clave del

sistema cuando el ordenador se encuentra en la

secuencia de arranque inicial. La contraseña clave

del sistema no se almacena en el ordenador.

Modo 3: Contraseña

generada por el sistema,

Almacenar clave de

arranque en disco flexible

El más seguro Utiliza una clave aleatoria generada por el

ordenador y la almacena en un disco flexible. El

disco flexible que contiene la clave del sistema es

necesario para que el sistema se inicie y deberá

insertarse cuando lo indique la secuencia de

arranque. La clave del sistema no se almacena en

el ordenador.

Syskey está activado en todos los servidores Windows Server 2003 en el Modo 1 (clave ofuscada). Existen varias razones para recomendar el uso de Syskey en el Modo 2 (contraseña de la consola) o en el Modo 3 (almacenamiento en disco flexible de la contraseña Syskey) para cualquier controlador de dominio que esté expuesto a amenazas físicas de seguridad.

Desde el punto de vista de la seguridad, esto parece delicado en principio, ya que el controlador de dominio podría ser vulnerable al reinicio por parte de un atacante con acceso físico al mismo. Syskey en el Modo 1 permite que el atacante lea y altere el contenido del directorio.

Sin embargo, los requisitos operativos para asegurar que los controladores de dominio estén disponibles a través de reinicios tienden a hacer que Syskey en el Modo 2 o en el Modo 3 sean difíciles de soportar. Para aprovechar la protección añadida que proporcionan estos modos de Syskey, deberán estar implementados en su entorno los procesos operativos adecuados para satisfacer los requisitos específicos de disponibilidad para los controladores de dominio.

La logística de la administración de Syskey por contraseña o disco flexible puede ser bastante compleja, especialmente en las sucursales. Por ejemplo, que uno de los gerentes de sucursal o el personal administrativo local vaya a la oficina de madrugada para introducir las contraseñas o insertar un disco flexible para permitir que otros usuarios tengan acceso al sistema es muy caro y dificulta en gran medida la consecución de los contratos de nivel de servicio de alta disponibilidad (SLAs).

Como alternativa, permitir que el personal central de operaciones TI proporcione de manera remota las contraseñas Syskey requiere hardware adicional; algunos proveedores de hardware tienen soluciones complementarias disponibles para acceder de manera remota a consolas de servidor.

Finalmente, la pérdida de la contraseña o del disco flexible de Syskey deja a su controlador de dominio en un estado desde el que no se puede reiniciar. No existe ningún método para

166

recuperar un controlador de dominio si se pierde la contraseña o el disco flexible de Syskey. Si ocurre esto, se debe reconstruir el controlador de dominio.

No obstante, con los procedimientos operativos adecuados, Syskey puede proporcionar un mayor nivel de seguridad que puede proteger en gran medida la información delicada de directorio que se encuentra en los controladores de dominio.

Por estas razones, es recomendable Syskey en Modo 2 o Modo 3 para controladores de dominio situados en ubicaciones sin gran seguridad de almacenamiento física. Esta recomendación también se aplica a los controladores de dominio de cualquiera de los tres entornos descritos en esta guía.

Para crear o actualizar una clave del sistema:

1. Haga clic en Inicio/Ejecutar, teclee syskey y, a continuación, haga clic en Aceptar.

2. Haga clic en Activar Encriptación y, a continuación, haga clic en Actualizar.

3. Haga clic en la opción deseada y, a continuación, haga clic en Aceptar.

DNS Integrado en Directorio ActivoMicrosoft recomienda el uso del DNS integrado en Directorio Activo en los tres entornos definidos en esta guía, en parte porque la integración de las zonas en Directorio Activo simplifica el proceso de protección de la infraestructura de DNS.

Protección de los servidores DNS

Salvaguardar los servidores DNS es esencial para cualquier entorno con Directorio Activo. Las siguientes secciones proporcionan varias recomendaciones y explicaciones al respecto.

Cuando se ataca un servidor DNS, uno de los posibles objetivos del atacante es controlar la información DNS que se devuelve en respuesta a las consultas de un cliente DNS. De esta manera, los clientes pueden ser direccionados inadvertidamente a ordenadores no autorizados. La imitación de IP y el envenenamiento de caché son algunos ejemplos de este tipo de ataques.

Durante un ataque de IP simulada, la transmisión recibe la dirección IP de un usuario autorizado para obtener acceso a un ordenador o una red. El envenenamiento de la caché es un ataque en el cual un host no autorizado transmite información falsa respecto a otro host a la memoria caché del servidor DNS. El ataque provoca que los clientes sean redireccionados hacia ordenadores no autorizados.

Una vez que los clientes inician de manera inadvertida la comunicación con los ordenadores no autorizados, esos ordenadores pueden intentar obtener acceso a la información almacenada en los ordenadores del cliente.

No todos los ataques se centran en imitar servidores DNS. Algunos ataques DoS pueden alterar los registros de DNS de servidores DNS legítimos para proporcionar direcciones inválidas en respuesta a las consultas de los clientes. Al hacer que el servidor responda con direcciones inválidas, los clientes y servidores no pueden localizar los recursos que necesitan para funcionar, como los controladores de dominio, los servidores Web y los usos compartidos de archivo.

Por estas razones, esta guía recomienda configurar los enrutadores utilizados en los tres entornos para que emitan paquetes de IP simulada y garantizar que las direcciones IP de los servidores DNS no puedan ser imitadas por otros ordenadores.

Configurar Actualizaciones Dinámicas Seguras

El servicio cliente DNS de Windows Server 2003 soporta las actualizaciones DNS dinámicas, que permiten que los sistemas cliente añadan registros DNS directamente a la base de datos. Los servidores DNS dinámicos pueden recibir actualizaciones maliciosas o no autorizadas de un atacante que utilice un cliente que soporte el protocolo DDNS si el servidor está configurado para aceptar actualizaciones no aseguradas.

167

Como mínimo, un atacante puede añadir entradas fantasma a la base de datos DNS y, en el peor de los casos, el atacante puede sobrescribir o eliminar entradas legítimas de la base de datos DNS. Este ataque puede dar como resultado las siguientes situaciones:

• Dirigir a los clientes hacia controladores de dominio no autorizados: Cuando un cliente envía una consulta DNS para buscar la dirección de un controlador de dominio, se puede manipular un servidor DNS para que devuelva la dirección de un servidor no autorizado. Después, con otros ataques no relacionados con DNS, se puede engañar al cliente para que pase toda la información protegida al servidor fantasma.

• Responder a consultas DNS con direcciones inválidas: Esto hace que los clientes y servidores no puedan localizarse entre sí. Si el cliente no puede localizar el servidor, no puede acceder al directorio. Cuando los controladores de dominio no pueden localizar otros controladores de dominio, se detiene la replicación del directorio, creando una situación de DoS que puede afectar a los usuarios en el bosque.

• Crear una situación de DoS en la cual el espacio de disco del servidor puede agotarse debido a un gran archivo de zona lleno de registros ficticios o a un gran número de entradas que ralentizan el proceso de réplica.

El uso de las actualizaciones DDNS seguras garantiza que las solicitudes de registro sólo seprocesan si se envían desde clientes válidos de un bosque de Directorio Activo. Esto limita la posibilidad de que un atacante ponga en peligro la integridad de un servidor DNS.

Por estas razones, esta guía recomienda configurar los servidores DNS de Directorio Activo en los tres entornos definidos en esta guía para aceptar sólo actualizaciones dinámicas seguras.

Limitar las Transferencias de Zona a Sistemas Autorizados

Dado el importante papel que juegan las zonas en DNS, deben estar disponibles desde más de un servidor DNS en la red para proporcionar una disponibilidad y tolerancia a fallos adecuadas al resolver las consultas de nombre. De lo contrario, las consultas de nombre enviadas a un solo servidor que no responda en la zona pueden no resolverse. Para que una zona sea alojada por servidores adicionales, las transferencias de zona deben replicar y sincronizar todas las copias de la zona utilizadas en cada servidor configurado para alojar la zona.

Además, un servidor DNS que no está configurado para limitar quién puede solicitar transferencias de zona es susceptible de transferir toda la zona DNS a cualquiera que lo solicite. Esto se puede lograr fácilmente utilizando herramientas como nslookup.exe. Estas herramientas pueden exponer todo el conjunto de datos DNS del dominio, incluyendo elementos tales como qué host da servicio como controlador de dominio, los servidores Web integrados en el directorio o las bases de datos SQL Server 2000.

Por ello, esta guía recomienda configurar los servidores DNS integrados en Directorio Activo en los tres entornos que se definen en la misma para permitir transferencias de zona, pero limitar los sistemas que pueden realizar solicitudes de transferencia.

Redimensionar el Registro de Eventos y el Registro de Servicios DNS

Garantizar que se registra y mantiene la cantidad adecuada de información para los controladores de dominio en un entorno es vital para supervisar con eficacia el Servicio DNS.

Incrementar el tamaño máximo del archivo de registro del Servicio DNS ayudará a los administradores a mantener una cantidad adecuada de información para realizar auditorías significativas en caso de ataque.

Por esta razón, esta guía recomienda modificar el tamaño máximo del archivo de registro del Servicio DNS en los controladores de dominio de los tres entornos definidos en la misma a 16 MB como mínimo y asegurar que la opción del Servicio DNS Sobrescribir eventos según se necesite esté activada para maximizar la cantidad de registros que se conservan.

168

Proteger las cuentas más conocidasWindows Server 2003 tiene varias cuentas integradas de usuario que no se pueden eliminar, pero cuyo nombre se puede cambiar. Dos de las cuentas integradas más conocidas en Windows 2003 son Invitado y Administrador.



Siga los siguientes pasos para proteger las cuentas más conocidas en los dominios y servidores:





Nota: Se puede cambiar el nombre de la cuenta integrada del administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en la DCBP porque debe elegir un nombre único para su entorno. El parámetro Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Esta configuración es parte de las Opciones de seguridad de un GPO.

Proteger las Cuentas de ServicioNunca configure un servicio para que se ejecute bajo el contexto de seguridad de una cuenta de dominio a menos que sea absolutamente necesario. Si un servidor se encuentra físicamente en peligro, se pueden obtener fácilmente las contraseñas de las cuentas de dominio al vaciar los secretos de la Autoridad de Seguridad Local (LSA).

Configuración de Terminal ServicesTabla 4.20: Valores

Valor Predeterminado Cliente Heredado

Cliente Empresarial

Alta Seguridad

Establecer el nivel de encriptación de la

conexión del cliente

Alto Alto Alto

169

La configuración Establecer el nivel de encriptación de la conexión del cliente determina el nivel de encriptación para las conexiones del cliente de Terminal Services en su entorno. La opción Nivel alto utiliza una encriptación de 128 bits e impide que un atacante escuche las sesiones de Terminal Services utilizando un analizador de paquetes. Algunas versiones anteriores del cliente Terminal Services no soportan este nivel alto de encriptación. Si su red contiene estos clientes, establezca el nivel de encriptación de la conexión para enviar y recibir datos en el nivel más alto de encriptación soportado por el cliente. Por ello, esta guía recomienda fijar el parámetro Configurar el nivel de encriptación de la conexión del cliente en Activado y activar la opción de encriptación de Alto nivel de la DCBP en los tres entornos de seguridad definidos en esta guía.

La ruta para configurar este elemento en el Editor de Objetos de Directivas de Grupo es:

Configuración del Equipo\Plantillas administrativas\Componentes de Windows\Terminal Services\Encriptación y seguridad.

Existen tres niveles de encriptación disponibles:

Tabla 4.21: Niveles de encriptación de Terminal Services

Nivel de encriptación Descripción

Nivel alto Este nivel encripta los datos enviados del cliente al

servidor y del servidor al cliente utilizando una

encriptación sólida de 128 bits. Utilice este nivel cuando

Terminal Server se ejecute en un entorno que contenga

sólo clientes de 128 bits (como los clientes de la

Conexión remota al escritorio). Los clientes que no

soporten este nivel de encriptación no se podrán

conectar.

Compatible con el Cliente Este nivel encripta datos enviados entre el cliente y el

servidor al nivel máximo de solidez de claves soportado

por el cliente. Utilice este nivel cuando Terminal Server

se ejecute en un entorno que contenga clientes

combinados o heredados.

Nivel bajo Este nivel encripta datos enviados del cliente al servidor

utilizando una encriptación de 56 bits.

Importante: No se encriptan los datos enviados del

servidor al cliente.

Informe de ErroresTabla 4.22: Valores

Valor Predeterminado Cliente Heredado

Cliente Empresarial

Alta Seguridad

Comunicar los errores Desactivado Desactivado Desactivado

El servicio Informe de errores ayuda a Microsoft a dar seguimiento y resolver los errores. Puede configurar este servicio para generar informes de los errores del sistema operativo, los errores del componente Windows o los errores de programa. Activar el servicio Comunicar errores hace que dichos errores se comuniquen a Microsoft a través de Internet o de un uso compartido interno de archivos corporativos.

Este parámetro sólo está disponible en Microsoft Windows® XP Professional y Windows Server 2003. La ruta para configurar este parámetro en el Editor de Objetos de la Directiva de grupo es:

Configuraciones del equipo\Plantillas administrativas\Sistema\Informe de errores

170

Los informes de errores pueden contener datos empresariales delicados o incluso confidenciales. La política de privacidad de Microsoft con respecto al informe de errores asegura que Microsoft Corporation no utilizará los datos de forma inadecuada. Sin embargo, los datos que se transmiten en HTTP con texto claro podrían ser interceptados en Internet y vistos por terceros. Por estas razones, esta guía recomienda configurar el Informe de errores en Desactivado en la DCBP de los tres entornos de seguridad definidos en esta guía.

Bloquear puertos con los Filtros IPSecLos filtros de Seguridad IPSec proporcionan un medio efectivo para mejorar el nivel de seguridad requerido para los servidores. Esta guía recomienda esta directriz opcional para reducir aún más la superficie de ataque del servidor en el entorno de Alta Seguridad definido en este documento.

Para más información sobre el uso de los filtros IPSec, consulte el Capítulo 11: "Procedimientos adicionales para la protección de los servidores miembro" de la guía complementaria: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP.

La siguiente tabla enumera todos los filtros IPSec que pueden y deben crearse en los controladores de dominio del entorno de Alta Seguridad definido en esta guía.

Tabla 4.23: Mapa del Tráfico de la Red de los Filtros IPSec

Servicio Protocolo Puerto Fuente

Puerto de Destino

Dirección de la Fuente

Dirección de Destino

Acción Mirror

Servidor

CIFS/SMB

TCP CUALQUIERA 445 CUALQUIERA YO PERMITIR SÍ

UDP CUALQUIERA 445 CUALQUIERA YO PERMITIR SÍ

Servidor

RPC



Servidor

NetBIOS





Cliente de

Supervisión

CUAL-

QUIERA

CUALQUIERA CUAL-

QUIERA

YO Servidor

MOM

PERMITIR SÍ

Terminal

Services

Server


Servidor del

Catálogo

Global



171

Servicio Protocolo Puerto fuente

Puerto de destino

Dirección de la fuente

Dirección de destino

Acción Mirror

Servidor

DNS



Servidor

Kerberos



Servidor

LDAP





Servidor

NTP



Servidor de

Replicación

AD Estático


DC Comms CUALQUIERA CUALQUIERA CUALQUIERA YO Controlador

de dominioPERMITIR SÍ

DC Comms CUALQUIERA CUALQUIERA CUALQUIERA YO Controlador

de dominio 2 PERMITIR SÍ

ICMP ICMP CUALQUIERA CUALQUIERA YO CUALQUIERA PERMITIR SÍ

Todo el

Tráfico de

Entrada

CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA YO BLO-

QUEAR

SÍ

Se debe hacer una copia mirror de todas las reglas enumeradas en la tabla anterior cuando se implementen. Esto asegura que todo el tráfico de la red que llegue al servidor también podrá regresar al servidor de origen.

La tabla anterior representa los puertos básicos que se deben abrir para que el servidor realice las funciones propias de su rol. Estos puertos son suficientes si el servidor tiene una dirección IP estática. Puede que sea necesario abrir puertos adicionales para proporcionar más funcionalidades. La apertura de puertos adicionales hará que los controladores de dominio de su entorno sean más fáciles de administrar; sin embargo, también puede reducir en gran medida la seguridad de estos servidores.

Para dar soporte al inicio de sesión por parte del cliente, hay que designar una serie de puertos en concreto para el uso de RPC. A la hora de limitar el tráfico RPC en su entorno a un cierto número de puertos, el rango de puertos escogidos debe incluir los puertos superiores a 50.000. Esto se puede configurar mediante los siguientes parámetros de registro:

Si no existe ya, debe crearse la clave KEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet.

Se debe crear HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\Ports y configurarse como REG_MULTI_SZ con un valor que represente el rango de puertos que deben abrirse. Por ejemplo, el valor 57901-57950 abrirá 50 puertos para el uso del tráfico RPC.

Se debe crear KEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\PortsInternetAvailable y configurarse como REG_SZ con el valor Y.

Se debe crear HKEY_LOCAL_MACHINE\Software\Microsoft\RPC\Internet\UseInternetPorts y configurarse como REG_SZ con el valor Y.

172

Una vez realizados estos cambios en el Registro, debe reiniciar el servidor.

Nota: Estos cambios podrían afectar al rendimiento y deben probarse antes de implementarlos en el entorno de producción. El número exacto de puertos que se abrirán depende del entorno, así como del uso y la funcionalidad del servidor. Es necesario supervisar las horas de inicio de sesión. Si el rendimiento se degrada, puede que sea necesario abrir más puertos.

Como hemos visto anteriormente, si se implementa Microsoft Operations Manager (MOM) en el entorno, se debe permitir que todo el tráfico de la red viaje entre el servidor donde se implementan los filtros IPSec y el servidor MOM. Esto es necesario debido al volumen de interacción entre el servidor MOM y el cliente OnePoint (la aplicación cliente que reporta a la consola MOM). Otros paquetes de administración pueden tener requisitos similares. Si se desea un nivel de seguridad aún mayor, se puede configurar la acción de filtro para el cliente OnePoint para negociar IPSec con el servidor MOM.

El mapa de tráfico de red anterior supone que el entorno contiene servidores DNS con Directorio Activo activado. Si se utilizan servidores DNS independientes, es posible que se necesiten reglas adicionales.

La implementación de las políticas IPSec no debe tener un impacto importante sobre el rendimiento del servidor. Sin embargo, se deben hacer pruebas antes de implementar esos filtros para comprobar que el servidor mantiene la funcionalidad y el rendimiento necesarios. También pueden necesitarse reglas adicionales para dar soporte a otras aplicaciones.

Nota: Los controladores de dominio son extremadamente dinámicos y la implementación de filtros IPSec en ellos debe ser cuidadosamente evaluada y probada en profundidad en un entorno de laboratorio. Dado el volumen de interacción entre los controladores de dominio, se deben añadir filtros IPSec para permitir todo el tráfico entre controladores de dominio que replican información entre sí. En entornos complejos con muchos controladores de dominio, esto requiere la creación de decenas de filtros adicionales para proteger eficazmente los controladores de dominio. Esto podría dificultar bastante la implementación y administración de las directivas IPSec. No obstante, los entornos con pocos controladores de dominio pueden optimizar eficientemente las ventajas derivadas de la implementación de filtros IPSec.

En esta guía se incluye un archivo .cmd que simplifica la creación de filtros IPSec prescritos para un controlador de dominio. El archivo PacketFilters-DC.cmd utiliza el comando NETSH para crear los filtros adecuados. Se debe modificar este archivo .cmd para que incluya las direcciones IP de los demás controladores de dominio del entorno. El script contiene separadores para poder añadir dos controladores de dominio. Si lo desea, puede añadir controladores de dominio adicionales. Esta lista de direcciones IP para los controladores de dominio debe mantenerse actualizada.

Si MOM está presente en el entorno, también se debe especificar la dirección IP del servidor MOM adecuado en el script. Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de scripts más avanzados para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" de la guía anexa: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

173

ResumenEste capítulo explica los parámetros de protección del servidor requeridos para proteger los controladores de dominio en cada uno de los tres entornos definidos en esta guía. La mayoría de los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se ha vinculado un Objeto de Directiva de Grupo (GPO) diseñado para complementar la Directiva de controladores de dominio predeterminada a la Unidad Organizativa (OU) de controladores de dominio. Los parámetros incluidos en la Directiva de Referencia de Controladores de Dominio (DCBP) mejorarán la seguridad general de los controladores de dominio de cualquier entorno dado. El uso de dos GPOs para proteger los controladores de dominio permite conservar el entorno predeterminado y simplifica la resolución de problemas.

Algunos parámetros de protección del servidor no se pueden aplicar a través de la Directiva de Grupo. En estos casos, se aportan detalles para su configuración manual.

Una vez protegidos los controladores de dominio, los siguientes capítulos de esta guía se centran en la protección de otros roles concretos del servidor.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con la protección de controladores de dominio en entornos de equipos que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para información acerca de la Arquitectura de Microsoft Systems: Guías de arquitectura normativas del Centro de datos empresarial, véase: http://www.microsoft.com/technet/itsolutions/edc/default.asp.

Para información sobre cómo permitir el acceso anónimo a Directorio Activo, consulte el artículo 257988 de la Knowledge Base, "Descripción de las opciones de permisos Dcpromo", véase: http://support.microsoft.com/default.aspx?scid=257988.

Para información acerca de DNS Windows 2000, vea las "Notas del producto sobre DNS de Windows 2000" en: http://www.microsoft.com/windows2000/techinfo/howitworks/communications/ nameadrmgmt/w2kdns.asp.

Para más información acerca de DNS de Windows 2000, consulte el Capítulo 6 de la versión online de la guía "TCP/IP Core Networking" en: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp.

Para información acerca de DNS de Windows 2003, consulte "Cambios en el DNS en Windows Server 2003 en: http://www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp.

Para más información sobre los filtros IPSec, consulte "Cómo: Utilizar las Listas de filtros IP de IPSec en Windows 2000," en: http://support.microsoft.com/default.aspx?scid=313190.

Para más información sobre cómo restringir Directorio Activo, consulte "Restringir el tráfico de replicación de Directorio Activo en un puerto concreto" en: http://support.microsoft.com/default.aspx?scid=224196.

Para más información sobre cómo restringir el tráfico de replicación FRS, vea "Cómo restringir el tráfico de replicación FRS en un puerto estático específico", en: http://support.microsoft.com/default.aspx?scid=319553.

Para más información sobre el Servicio Horario de Windows, consulte “Funcionamiento básico del Servicio Horario de Windows”, en: http://support.microsoft.com/default.aspx?scid=224799.

Para más información sobre cómo configurar el Servicio Horario de Windows, consulte "Cómo configurar un servidor horario autorizado en Windows 2000", en: http://support.microsoft.com/default.aspx?scid=216734.

Para más información sobre la simulación de IP, consulte el artículo de la Sala de Lectura sobre Seguridad SANS, en: http://www.sans.org/rr/threats/intro_spoofing.php.

174

http://www.sans.org/rr/threats/intro_spoofing.php






http://www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp

http://www.microsoft.com/windows2000/techinfo/howitworks/communications/%20nameadrmgmt/w2kdns.asp

http://www.microsoft.com/windows2000/techinfo/howitworks/communications/%20nameadrmgmt/w2kdns.asp


http://www.microsoft.com/technet/itsolutions/edc/default.asp

5Proteger los Servidores de Infraestructura

Descripción GeneralEste capítulo explica los parámetros de protección de servidores para proteger los servidores de infraestructura en los tres entornos que se definen en esta guía. En esta guía, el servidor de infraestructura se refiere a un servidor que ofrece servicios DHCP o la funcionalidad WINS.

La mayoría de los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un Objeto de Directiva de Grupo (GPO) diseñado para complementar la MSBP con las Unidades Organizativas (OUs) adecuadas que contienen los servidores de infraestructura para proporcionar una mayor seguridad basada en los servicios que estos servidores proporcionan.

Algunas de los parámetros analizados no se pueden aplicar a través de la Directiva de Grupo. En estos casos, se aportan detalles para su configuración manual. También se ofrece información para crear y aplicar los filtros IPSec que controlan qué tipo de tráfico de red se puede comunicar con los dos tipos de servidor de infraestructura descritos en este capítulo.

Para mejorar la facilidad de uso de este capítulo, sólo se incluyen los parámetros modificados desde la MSBP. Para obtener información sobre los parámetros de la MSBP, consulte el Capítulo 3, “Creación de un servidor miembro de referencia“. Para información sobre todos los Parámetros predeterminados, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP.

175

Configuraciones de la directiva de auditoría Los parámetros de la Directiva de Auditoría para los servidores de infraestructura en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que toda la información importante de auditoría de seguridad importante se registra en todos los servidores de infraestructura.

176

Asignación de Permisos de Usuario Las Asignaciones de Permisos de Usuario para los servidores de infraestructura en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Asignaciones de permisos de usuario adecuadas se configuran de manera uniforme en los servidores de infraestructura.

177

Opciones de SeguridadLos parámetros de las Opciones de seguridad para los servidores de infraestructura en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Opciones de seguridad relevantes se configuran uniformemente en los servidores de infraestructura.

178

Parámetros del Registro de EventosLos parámetros del Registro de eventos para los servidores de infraestructura en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia".

179

Servicios del Sistema Esta sección sobre las configuraciones de Servicios del sistema ofrece detalles sobre el sistema prescrito que debe activarse o desactivarse en los servidores de infraestructura de su entorno. Estas configuraciones de servicio se han especificado en la Directiva Incremental del Servidor de Infraestructura. Para reducir la posibilidad de un ataque por denegación de servicio (DoS), la GPO garantiza que estos servicios se configuran para iniciarse automáticamente. Si desea leer un resumen de los parámetros prescritos en esta sección, consulta la hoja de Excel Parámetros de la Guía de seguridad de Windows Server 2003 incluida en esta guía.

Servidor DHCPTabla 5.1: Valores

Nombre del Servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

DHCP No instalado Automático Automático Automático

El servicio DHCP asigna direcciones de Protocolo de Internet (IP) y permite la configuración avanzada automática de los parámetros de la red, como servidores DNS y servidores WINS en clientes DHCP. DHCP usa un modelo cliente/servidor. El administrador de la red establece uno o más servidores DHCP que mantienen la información de configuración TCP/IP y la proporcionan a los clientes.

El servicio Servidor DHCP debe ejecutarse para que el servidor DHCP pueda asignar la configuración de dirección IP a sus clientes. El uso de la directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manipulen el servicio. La Directiva de Grupo también impide que los administradores desactiven el servicio accidentalmente.

WINSTabla 5.2: Valores

Nombre del Servicio

Valor Predeterminado del Servidor

Cliente Heredado

Cliente Empresarial

Alta Seguridad

WINS No instalado Automático Automático Automático

WINS permite la resolución de nombres NetBIOS. Los servidores WINS son vitales para localizar los recursos de red identificados mediante nombres NetBIOS. Los servidores WINS son necesarios a menos que todos los dominios hayan sido actualizados a Directorio Activo, todos los ordenadores de la red ejecuten Windows 2000 o posterior y no haya aplicaciones que dependan de la resolución de WINS para su funcionamiento.

El servicio WINS Server debe ejecutarse desde un servidor WINS para ofrecer la resolución de nombres a sus clientes. El uso de la directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manipulen el servicio. La Directiva de Grupo también impide que los administradores desactiven el servicio accidentalmente.

180

Parámetros Adicionales de SeguridadLos parámetros de seguridad aplicados a través de la MSBP proporcionan un alto nivel de seguridad mejorada para los servidores de infraestructura. No obstante, existen algunas consideraciones adicionales que se deben tomar en cuenta. Estos pasos no se pueden seguir a través de la Directiva de Grupo, por lo que deberán realizarse manualmente en todos los servidores de infraestructura.

Configurar el Registro de DHCPPor defecto, el servicio DHCP sólo registra eventos de inicio y cierre en el Visor de Eventos. Siguiendo estos pasos puede activar en el servidor DHCP un registro más detallado:

1. Haga clic en el botón secundario del ratón en el servidor DHCP de la Herramienta de Administración DHCP.

2. Seleccione Propiedades.

3. En la pestaña General del cuadro de diálogo Propiedades, haga clic en Activar Registro de Auditoría de DHCP.

Al terminar estos pasos, el servidor DHCP generará un archivo de registro en la siguiente ubicación:

%systemroot%\system32\dhcp\

Generalmente es difícil localizar a los clientes DHCP en las entradas de registro porque la única información que se almacena en la mayoría de los registros de eventos son nombres de ordenadores y no direcciones IP. Los registros de auditoría de DHCP pueden ofrecer otra herramienta para localizar las fuentes de ataques internos o actividades accidentales.

No obstante, la información de estos registros no es infalible, porque los nombres de host y las direcciones MAC se pueden falsificar o simular. La simulación consiste en hacer que una transmisión parezca provenir de un usuario distinto del que ha realizado la acción. No obstante, las ventajas de recopilar esta información superan con creces los costes en los que se incurre al activar el registro en un servidor DHCP. Tener más de una dirección IP y un nombre de equipo puede ser muy útil para determinar cómo se ha utilizado en la red una dirección IP concreta.

Por defecto, los Operadores del Servidor y los Usuarios Autentificados tienen permisos de lectura de estos archivos de registro. Para preservar mejor la integridad de la información registrada por un servidor DHCP, se recomienda que el acceso a estos registros esté limitado a los administradores del servidor. Los grupos de Operadores del Servidor y Usuarios Autentificados deberán eliminarse de la Lista de Control de Acceso (ACL) de la carpeta

%systemroot%\system32\dhcp\.

Los registros de auditoría de DHCP, en teoría, pueden llenar el disco en el que se almacenan. No obstante, la configuración predeterminada de la auditoría de registro de DHCP garantiza que el registro se detendrá si hay menos de 20 MB de espacio disponible en disco en el servidor. Esta configuración predeterminada es adecuada para los servidores de la mayoría de los entornos, pero puede modificarla para asegurarse de tener suficiente espacio en disco para otras aplicaciones de un servidor. Para más información sobre cómo modificar esta configuración, consulte el tema "DhcpLogMinSpaceOnDisk" en el Kit de recursos de Windows 2000 Server, en: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/regentry/46692.asp.

Las configuraciones del registro que se describen en este artículo también se aplican al DHCP que se ejecuta en Windows Server 2003.

181



Protección Contra los Ataques de Denegación de servicio en DHCPDado que los servidores DHCP son recursos vitales que proporcionan al cliente acceso a la red, pueden ser un objetivo principal de los ataques DoS. Si se ataca un servidor DHCP y queda incapacitado para dar servicio a las solicitudes DHCP, los clientes DHCP no podrán adquirir direcciones. Estos clientes perderán entonces su vínculo IP existente y la capacidad de acceder a los recursos de la red.

No es muy difícil escribir un script de herramienta de ataque para solicitar todas las direcciones disponibles en un servidor DHCP. Esto agotaría el grupo de direcciones IP disponibles para solicitudes legítimas posteriores de los clientes DHCP. También es posible que un usuario malicioso configure todas las direcciones IP de DHCP en el adaptador de la red de un ordenador administrado por dichas IPs, haciendo así que el servidor DHCP detecte conflictos de dirección IP en todas las direcciones de su ámbito y se niegue a asignar direcciones DHCP.

Además, al igual que ocurre en los demás servicios de red, un ataque DoS (por ejemplo, el agotamiento del CPU o saturar el búfer de solicitudes del receptor DHCP) que agota la capacidad del servidor DHCP de responder al tráfico legítimo podría impedir que los clientes solicitasen concesiones y renovaciones. Todo esto se puede evitar diseñando adecuadamente los servicios DHCP de un entorno.

Configurar servidores DHCP en parejas y seguir la Regla 80/20, es decir, dividir el alcance de los servidores DHCP entre los servidores de manera que el 80 % de las direcciones se distribuya por medio de un servidor DHCP y el 20 % por otro, ayuda a mitigar el impacto de este tipo de ataques, garantizando que los clientes pueden continuar recibiendo la configuración de direcciones IP en caso de producirse un fallo en el servidor. Para obtener más información sobre la regla 80/20 y el protocolo DHCP, consulte el tema del protocolo DHCP del Kit de recursos de Windows 2000 Server en: http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/cnet/cncb_dhc_ogjw.asp.




182

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/cnet/cncb_dhc_ogjw.asp

http://www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/cnet/cncb_dhc_ogjw.asp

Para proteger las cuentas más conocidas en el Web de servidores de infraestructura:






Proteger las Cuentas de ServicioNo configure nunca un servicio para que se ejecute bajo el contexto de seguridad de una cuenta de dominio, a menos que sea absolutamente necesario. Si se pone en peligro físico a un servidor, se pueden obtener fácilmente las contraseñas de la cuenta de dominio al vaciar los secretos de la LSA.

Bloquear Puertos con los Filtros IPSecLos filtros de Seguridad IPSec proporcionan un medio efectivo para mejorar el nivel de seguridad requerido para los servidores. Esta guía recomienda esta directriz opcional para reducir aún más la superficie de ataque del servidor en el entorno de Alta Seguridad definido en este documento.


183

La siguiente tabla enumera todos los filtros IPSec que se pueden crear en servidores DHCP en el entorno de Alta Seguridad definido en esta guía.

Tabla 5.3: Mapa de Tráfico de la Red IPSec del Servidor DHCP


Puerto de destino



Acción Mirror

Cliente

OnePoint

CUALQUIERA CUALQUIERA CUALQUIERA YO Servidor MOM PERMITIR SÍ

Terminal

Services


Miembro de

Dominio

CUALQUIERA CUALQUIERA CUALQUIERA YO Controlador de

Dominio

PERMITIR SÍ

Miembro de

Dominio


Dominio

PERMITIR SÍ

Servidor

DHCP

UDP 68 67 CUALQUIERA YO PERMITIR SÍ

Todo el

Tráfico de

Entrada

CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA YO BLOQUEAR SÍ

La siguiente tabla enumera todos los filtros IPSec que se pueden crear en servidores WINS en el entorno de Alta Seguridad definido en esta guía.

Tabla 5.4: Mapa de Tráfico de la Red IPSec del Servidor WINS


Puerto de destino



Acción Mirror

Cliente

OnePoint


Terminal

Services


Miembro de

dominio


dominio

PERMITIR SÍ

Miembro de

dominio


dominio 2

PERMITIR SÍ

Servidor de

resolución

WINS



Cliente de

replicación

WINS

TCP CUALQUIERA 42 YO Socio de

replicación

WINS

PERMITIR SÍ

UDP CUALQUIERA 42 YO Socio de

replicación

WINS

PERMITIR SÍ

184

(continuación)

Tabla 5.4: Mapa de tráfico de red IPSec de servidor WINS


Puerto de destino



Acción Mirror

Servidor de

replicación

WINS

TCP CUALQUIERA 42 Socio de

replicación

WINS

YO PERMITIR SÍ

UDP CUALQUIERA 42 Socio de

replicación

WINS

YO PERMITIR SÍ

Todo el

tráfico de

entrada




Dado el volumen de interacción entre los miembros del dominio y el controlador, en especial el tráfico RPC y de autentificación, se permiten todas las comunicaciones entre un servidor de infraestructura y todos los controladores de dominio. Se puede limitar más el tráfico, pero la mayoría de los entornos requerirían la creación de decenas de filtros para proteger eficazmente el servidor. Esto dificultaría en gran medida la implementación y administración de las directivas IPSec. Se deben crear reglas similares para cada controlador de dominio con el que interactúe un servidor de infraestructura. Esto incluirá con frecuencia la adición de reglas a todos los controladores de dominio del entorno para incrementar la fiabilidad y disponibilidad de los servidores de infraestructura.


Esta directiva IPSec bloqueará eficazmente el tráfico a través de puertos aleatorios de niveles altos, rechazando así el tráfico RPC. Esto puede dificultar la administración del servidor. Dado que se han cerrado efectivamente tantos puertos, se ha activado Terminal Services. Esto permitirá a los administradores ejecutar la administración remota.


La implementación de las directivas IPSec no debe tener un impacto importante sobre el rendimiento del servidor. Sin embargo, se deben hacer pruebas antes de implementar esos filtros para comprobar que el servidor mantiene la funcionalidad y el rendimiento necesarios. También pueden necesitarse reglas adicionales para dar soporte a otras aplicaciones.

Esta guía incluye archivos .cmd que simplifican la creación de los filtros IPSec prescritos para servidores de infraestructura. Tanto el archivo PacketFilters-DHCP.cmd como el archivo

185

PacketFilters-WINS.cmd utilizan el comando NETSH para crear los filtros apropiados. Se deben modificar estos archivos .cmd para que incluyan las direcciones IP de los controladores de dominio de su entorno. Las secuencias de comandos contienen separadores para añadir dos controladores de dominio. Si lo desea, puede añadir controladores adicionales. Debe mantener actualizada esta lista de direcciones IP para los controladores de dominio. Sólo se incluyen separadores para los socios de replicación WINS. Los socios de replicación WINS adecuados también deben estar especificados en el archivo PacketFilters-WINS.cmd para realizar la replicación WINS.

Si MOM está presente en el entorno, también se debe especificar la dirección IP del servidor MOM adecuado en el script. Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de scripts más avanzados para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" de la guía anexa: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

186

ResumenEste capítulo explica los parámetros de protección para mejorar la seguridad de los servidores DHCP y WINS en los tres entornos que se definen en esta guía. La mayoría de los parámetros para estos roles se aplican a través de la MSBP. El objetivo principal de los archivos incrementales.inf para servidores DHCP y WINS es activar los servicios necesarios para que estos roles funcionen totalmente, manteniéndolos protegidos al mismo tiempo.

Aunque la MSBP ofrece un nivel importante de seguridad, se han tenido en cuenta también otras consideraciones sobre los roles de la infraestructura. Ente ellas, la activación del registro y el uso opcional de filtros IPSec para bloquear el tráfico de red no autorizado hacia estos ordenadores.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con los servidores de infraestructura en un entorno con ordenadores que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado

Para obtener la información más reciente sobre los cambios en el registro DHCP de Windows Server 2003, consulte: http://support.microsoft.com/default.aspx?scid=328891.

Para más información sobre los servidores DHCP en un dominio de Directorio Activo, consulte "Cómo: Instalar y configurar un Servidor DHCP en un de Dominio Directorio Activo en Windows Server 2003," en: http://support.microsoft.com/default.aspx?scid=323360.

Para más información sobre DHCP, consulte: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windows2000serv/reskit/tcpip/part2/tcpch04.asp

Para más información sobre WINS, visite: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windows2000serv/evaluate/featfunc/nt5wins.asp.

Para obtener información sobre cómo instalar WINS en Windows Server 2003, consulte "Cómo: Instalar WINS en Windows Server 2003," en: http://support.microsoft.com/default.aspx?scid=323429.

187



http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windows2000serv/evaluate/featfunc/nt5wins.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windows2000serv/evaluate/featfunc/nt5wins.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windows2000serv/reskit/tcpip/part2/tcpch04.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windows2000serv/reskit/tcpip/part2/tcpch04.asp



6Protección de los Servidores de Archivos

Descripción GeneralHay algunos retos a la hora de proteger los servidores de archivos, ya que los servicios esenciales que ofrecen requieren los protocolos NetBIOS de Windows. Los protocolos SMB y CIFS pueden proporcionar información abundante a los usuarios no autentificados. Por lo tanto, generalmente se recomienda deshabilitar estos protocolos en los servidores de archivos de los entornos Windows de Alta Seguridad. Sin embargo, si se deshabilitan estos protocolos se puede dificultar el acceso a los servidores de archivos tanto para los administradores como para los usuarios de su entorno.

Las siguientes secciones de este capítulo detallan los aspectos en que los servidores de archivos pueden aprovechar los parámetros de seguridad que no aplica la MSBP. Para más información sobre la MSBP, consulte Capítulo 3: " Creación de un servidor miembro de referencia".

188

Parámetros de la Directiva de AuditoríaLos parámetros de la Directiva de Auditoría para los servidores de archivos en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que toda la información de auditoría de seguridad importante se registra en los cinco servidores.

189

Asignaciones de Permisos de Usuario Las Asignaciones de Permisos de Usuario para los servidores de archivos en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: " Creación de un servidor miembro de referencia”. Los parámetros de la MSBP garantizan que todas las Asignaciones de Permisos de Usuario adecuadas se configuran de manera uniforme.

190

Opciones de SeguridadLos parámetros de las Opciones de seguridad para los servidores de archivo en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Opciones de seguridad relevantes se configuran uniformemente en los servidores de archivos.

191

Parámetros del Registro de Eventos Los parámetros del Registro de eventos para los servidores de archivos en los tres entornos definidos en esta guía están configurados a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia".

192

Servicios del Sistema Cualquier servicio o aplicación es un punto de ataque en potencia y, por lo tanto, se deben desactivar o eliminar los servicios o archivos ejecutables innecesarios. En la MSBP, se desactivan los servicios opcionales, así como cualquier servicio innecesario.

Existen servicios adicionales, pero no son esenciales, que por lo regular están activados en servidores que ejecutan Windows Server 2003. El uso y la seguridad de esos servicios suele ser un punto de debate. Por ello, es posible que las recomendaciones para los servidores de archivos de esta guía no sean aplicables en su entorno. Ajuste las recomendaciones de la Directiva de Grupo del Servidor de Archivos según sus necesidades para satisfacer los requisitos de su empresa.

Sistema de Archivos DistribuidosTabla 6.1: Valores

Nombre del Servicio

Servidor Miembro Predeterminado

Cliente Heredado

Cliente Empresarial

Alta Seguridad

DFS Automático Desactivado Desactivado Desactivado

El servicio de Sistema de archivos distribuido (DFS) administra volúmenes lógicos distribuidos en toda la LAN o la WAN y es necesario para el SYSVOL compartido de Directorio Activo. DFS es un servicio distribuido que integra los usos compartidos de archivos distintos en un espacio de nombres único y lógico.

Este espacio de nombres es una representación lógica de los recursos de almacenaje de red disponibles para los usuarios en la red. La desactivación del servicio DFS impide que los usuarios accedan a datos de la red a través de espacios de nombres lógicos y requiere que conozcan los nombres de todos los servidores y usos compartidos del entorno para acceder a ellos.

La Directiva de Grupo Incremental del Servidor de Archivos deshabilita el servicio DFS para minimizar la superficie de ataque de los servidores de archivos de su entorno. Por ello, el parámetro Sistema de archivos distribuidos está Desactivado en todos los entornos de seguridad definidos en esta guía.

Nota: Las empresas que utilizan DFS en servidores de archivo para simplificar el acceso a los recursos distribuidos deben modificar la Directiva de Grupo Incremental del Servidor de Archivos o crear un nuevo GPO para activar este servicio.

193

Servicio de Réplica de ArchivosTabla 6.2: Valores

Nombre del Servicio

Servidor miembro Predeterminado

Cliente Heredado

Cliente Empresarial

Alta Seguridad

NTFRS Manual Desactivado Desactivado Desactivado

El Servicio de réplica de archivos (FRS) permite que los archivos se copien y conserven de manera automática y simultánea en varios servidores. FRS es el servicio automático de réplica de archivos en Windows 2000 y en la familia Windows Server 2003. El servicio replica el volumen del sistema (Sysvol) en todos los controladores del dominio. Además, este servicio se puede configurar para replicar los archivos entre los objetivos alternos asociados con el DFS tolerante a fallos. Si este servicio se desactiva, no se producirá la réplica de archivos y no se sincronizarán los datos del servidor.

La Directiva de Grupo Incremental del Servidor de Archivos deshabilita el FRS para minimizar la superficie de ataque de los servidores de archivo de su entorno. Por ello, el parámetro Servicio de réplica de archivos está Desactivado en todos los entornos de seguridad definidos en esta guía.

Nota: Las empresas que utilizan el FRS en los servidores de archivo para replicar los datos en varios servidores deben modificar la Directiva de Grupo Incremental del Servidor de Archivos o crear un nuevo GPO para activar este servicio.

194

Parámetros Adicionales de SeguridadLos parámetros de seguridad aplicadas en las MSBP ofrecen grandes mejoras en la seguridad para los servidores de archivo. No obstante, existen algunas consideraciones adicionales que se deben tomar en cuenta. Estos pasos no se pueden realizar a través de la Directiva de Grupo, por lo que deben realizarse manualmente en todos los servidores de archivos.

Proteger las cuentas más conocidasMicrosoft Windows Server™ 2003 tiene varias cuentas de usuario integradas que no se pueden eliminar, pero que pueden cambiar de nombre. Dos de las cuentas integradas más conocidas en Windows 2003 son Invitado y Administrador.



Para proteger cuentas conocidas en servidores de archivos:





Nota: Se puede cambiar el nombre de la cuenta integrada del Administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en ninguna de las plantillas de seguridad proporcionadas con esta guía porque debe elegir un nombre único para su entorno. Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Esta configuración es parte de las Opciones de seguridad de un GPO.

195




La siguiente tabla enumera todos los filtros IPSec que pueden crearse en los controladores de dominio del entorno de Alta Seguridad definido en esta guía.

Tabla 6.3: Mapa de Tráfico de Red del Servidor de Archivos IPSec

Servicio Protocolo Puerto de origen

Puerto de destino

Dirección de origen


Acción Mirror

Servidor CIFS TCP CUALQUIERA 445 CUALQUIERA YO PERMITIR SÍ


Servidor

NetBIOS TCP CUALQUIERA 137 CUALQUIERA YO PERMITIR SÍ




Cliente

OnePointCUALQUIERA CUALQUIERA CUALQUIERA YO Servidor MOM PERMITIR SÍ

Terminal

ServicesTCP CUALQUIERA 3389 CUALQUIERA YO PERMITIR SÍ

Miembro de

dominioCUALQUIERA CUALQUIERA CUALQUIERA YO

Controlador de

dominioPERMITIR SÍ

Miembro de


Controlador de

dominio 2 PERMITIR SÍ

Todo el tráfico

de entrada CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA YO BLOQUEAR SÍ



196

Dado el volumen de interacción entre los miembros del dominio y el controlador, en especial el tráfico RPC y de autentificación, se permiten todas las comunicaciones entre un servidor de infraestructura y todos los controladores de dominio. Se puede limitar más el tráfico, pero la mayoría de los entornos requerirían la creación de decenas de filtros para proteger eficazmente el servidor. Esto dificultaría en gran medida la implementación y administración de las directivas IPSec. Se deben crear reglas similares para cada controlador de dominio con el que interactúe un servidor de infraestructura. Esto incluirá con frecuencia la adición de reglas a todos los controladores de dominio del entorno para incrementar la fiabilidad y disponibilidad de los servidores de infraestructura.


Esta directiva IPSec bloqueará eficazmente el tráfico a través de puertos aleatorios de niveles altos, rechazando así el tráfico RPC. Esto puede dificultar la administración del servidor. Dado que se han cerrado efectivamente tantos puertos, se ha activado Terminal Services. Esto permitirá a los administradores ejecutar la administración remota.



En esta guía se incluye un archivo .cmd que simplifica la creación de filtros IPSec prescritos para un controlador de dominio. El archivo PacketFilters-DC.cmd utiliza el comando NETSH para crear los filtros adecuados. Se debe modificar este archivo .cmd para que incluya las direcciones IP de los demás controladores de dominio del entorno. El script contiene separadores para poder añadir dos controladores de dominio. Si lo desea, puede añadir controladores de dominio adicionales. Esta lista de direcciones IP para los controladores de dominio debe mantenerse actualizada.

Si MOM está presente en el entorno, también se debe especificar la dirección IP del servidor MOM adecuado en el script. Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de secuencias de comando más avanzadas para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" en la guía anexa: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

197

ResumenEste capítulo explica cómo configurar los parámetros del servidor para proteger los servidores de archivos en los tres entornos definidos en esta guía. La mayoría de los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un GPO diseñado para complementar la MSBP a las unidades organizativas (OUs) adecuadas contenidas en los servidores de Archivos para proporcionar una mayor seguridad en base a los servicios que ofrecen estos servidores.

Algunos de los parámetros analizados no se pueden aplicar mediante la Directiva de Grupo. En estos casos, se proporcionan detalles para su configuración manual. Se incluyen instrucciones de creación y aplicación de filtros IPSec para controlar el tipo de tráfico de red que se puede comunicar con los servidores de archivos.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con los servidores de archivos de un entorno que contiene ordenadores que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para más información sobre los servidores de archivos, consulte "Descripción general técnica de los servicios de archivos de Windows Server 2003" en: http://www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx.

Para más información sobre DFS, consulte las notas de producto de "Sistemas de archivos distribuidos", en: http://www.microsoft.com/windows2000/techinfo/howitworks/fileandprint/dfsnew.asp

Para más información sobre FRS, consulte "Servicio de réplica de archivo", en: http://www.microsoft.com/windows2000/techinfo/reskit/ en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsdh_frs_BNYR.asp.

Para más información sobre los filtros IPSec, consulte "Cómo: Utilizar las Listas del filtro IP de IPSec en Windows 2000," en: http://support.microsoft.com/default.aspx?scid=313190.

198


http://www.microsoft.com/windows2000/techinfo/reskit/%20en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsdh_frs_BNYR.asp

http://www.microsoft.com/windows2000/techinfo/reskit/%20en-us/default.asp?url=/windows2000/techinfo/reskit/en-us/distrib/dsdh_frs_BNYR.asp

http://www.microsoft.com/windows2000/techinfo/howitworks/fileandprint/dfsnew.asp

http://www.microsoft.com/windowsserver2003/techinfo/overview/file.mspx

7Protección de los Servidores de Impresión

Descripción GeneralEste capítulo se centra en el reto que supone la protección de los servidores de impresión, ya que los servicios esenciales que ofrecen requieren los protocolos NetBIOS de Windows. Los protocolos SMB y CIFS pueden proporcionar información abundante a los usuarios no autentificados. Por lo tanto, generalmente se recomienda deshabilitar estos protocolos en los servidores de archivos de los entornos Windows de Alta Seguridad. Sin embargo, si se deshabilitan estos protocolos se puede dificultar el acceso a los servidores de impresión tanto para los administradores como para los usuarios de su entorno.

Las siguientes secciones de este capítulo detallan los aspectos en que los servidores de impresión pueden aprovechar los parámetros de seguridad que no aplica la MSBP. Para más información sobre la MSBP, consulte Capítulo 3: " Creación de un servidor miembro de referencia".

199

Parámetros de la Directiva de Auditoría Parámetros de la Directiva de Auditoría para los servidores de impresión en los tres entornos definidos de esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que toda la información de auditoría de seguridad importante se registra

en todos los servidores de impresión.

200

Asignación de Permisos de Usuario Las Asignaciones de Permisos de Usuario para los servidores de impresión en los tres entornos definidos de esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Asignaciones de permisos de usuario adecuadas se configuran de manera uniforme en los servidores de impresión.

201

Opciones de SeguridadLa mayoría de los parámetros de Opciones de seguridad para los servidores de impresión en los tres entornos definidos de esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". En la siguiente sección se describen las diferencias entre la MSBP y la Directiva de Grupo Incremental de IIS.

Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) Tabla 7.1: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad


El parámetro Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) determina si se requiere la firma de paquetes por parte del componente de servidor SMB. El protocolo SMB proporciona la base para el uso compartido de archivos e impresoras de Microsoft y muchas otras operaciones de red, como la administración remota de Windows. Para evitar ataques “man in the middle”, que modifican los paquetes SMB en proceso de transmisión, el protocolo SMB soporta la firma digital de paquetes SMB. Este parámetro determina si se debe negociar la firma de paquetes SMB antes de permitir que continúe la comunicación con un cliente SMB.

Aunque este parámetro está desactivado por defecto, la MSBP lo activa para los servidores del entorno de Alta Seguridad definido en esta guía. Si no se deshabilita este parámetro en los servidores de impresión, los usuarios pueden imprimir, pero no ver la cola de impresión. Los usuarios que intentan ver la cola de impresión reciben un mensaje de acceso denegado. Por estas razones, el parámetro Servidor de red de Microsoft: Firmar digitalmente las comunicaciones (siempre) está Desactivado para los servidores de impresión en los tres entornos definidos de esta guía.

202

Parámetros del Registro de Eventos Los parámetros del Registro de eventos para los servidores de impresión en los tres entornos definidos en esta guía se configuran mediante la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia".

203

Servicios del Sistema Cualquier servicio o aplicación es un punto de ataque en potencia y, por lo tanto, se deben desactivar o eliminar los servicios o archivos ejecutables innecesarios. En la MSBP, se desactivan los servicios opcionales, así como cualquier servicio innecesario. La siguiente sección detalla los servicios que se deben activar en los servidores de impresión.

Cola de Impresión Tabla 7.2: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

Cola de Impresión Automático Automático Automático Automático

El servicio Cola de impresión administra todas las colas de impresión locales y de red y controla todos los trabajos de impresión. El servicio Cola de impresión es el centro del subsistema de impresión de Windows y se comunica con los controladores de impresión y componentes de entrada / salida (I/O).

Los servidores de impresión dependen del correcto funcionamiento del servicio Cola de impresión. Este servicio se debe configurar para que un servidor de impresión pueda procese los trabajos de impresión para los clientes. El uso de una directiva de grupo para proteger y establecer el modo de inicio del servicio Cola de impresión otorga acceso sólo a los administradores del sistema, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio. Por ello, el servicio Cola de impresión se establece como Automático en los tres entornos de seguridad definidos en esta guía.

204

Parámetros Adicionales de SeguridadLos parámetros de seguridad aplicados a través de la MSBP proporcionan un alto nivel de seguridad mejorada para los servidores de impresión. No obstante, existen algunas consideraciones adicionales que se deben tomar en cuenta. Estos pasos no se pueden llevar a cabo a través de la Directiva de Grupo, por lo que deberán realizarse manualmente en todos los servidores de impresión.




Para proteger las cuentas más conocidas en servidores de impresión:

1. Cambie el nombre de las cuentas del Administrador y del Invitado y cambie sus contraseñas por un valor largo y complejo en cada dominio y servidor.




Nota: Se puede cambiar el nombre de la cuenta integrada del Administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en ninguna de las plantillas de seguridad proporcionadas con esta guía porque debe elegir un nombre único para su entorno. El parámetro Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Este parámetro es parte de las Opciones de Seguridad de la Directiva de Grupo.

205




La siguiente tabla enumera todos los filtros IPSec que se pueden crear en los servidores de impresión del entorno de Alta Seguridad definido en esta guía.

Tabla 7.3: Mapa del Tráfico de la Red IPSec del Servidor de Impresión

Servicio Protocolo Puerto de

origen

Puerto de

destino

Dirección de

origen

Dirección de

destino

Acción Mirror

Servidor CIFS TCP CUALQUIERA 445 CUALQUIERA YO PERMITIR SÍ


Servidor

NetBIOS





Cliente

OnePoint


Terminal

Services


Miembro de

dominio


dominio

PERMITIR SÍ

Miembro de

dominio


dominio 2

PERMITIR SÍ

Todo el tráfico

de entrada



206

La tabla anterior representa los puertos básicos que se deben abrir para que el servidor realice las funciones propias de su rol. Estos puertos son suficientes si el servidor tiene una dirección IP estática. Puede que sea necesario abrir puertos adicionales para proporcionar más funcionalidades. Por ejemplo, puede ser necesario abrir el puerto 515 en los servidores de impresión que albergan impresoras LPR. La apertura de puertos adicionales hará que los controladores de dominio de su entorno sean más fáciles de administrar; sin embargo, también puede reducir en gran medida la seguridad de estos servidores.

Dado el volumen de interacción entre los miembros del dominio y el controlador, en especial el tráfico RPC y de autentificación, se permiten todas las comunicaciones entre un servidor de impresión y todos los controladores de dominio. Se puede limitar más el tráfico, pero la mayoría de los entornos requerirían la creación de decenas de filtros para proteger eficazmente el servidor. Esto dificultaría en gran medida la implementación y administración de las directivas IPSec. Se deben crear reglas similares para cada controlador de dominio con el que interactúe un servidor de impresión. Esto incluirá con frecuencia la adición de reglas a todos los controladores de dominio del entorno para incrementar la fiabilidad y disponibilidad de los servidores de impresión.


Esta política IPSec bloqueará efectivamente el tráfico a través de los puertos aleatorios con niveles altos, desactivando así el tráfico de llamadas de procedimiento remoto (RPC). Esto puede hacer difícil la administración del servidor. Debido a que se han cerrado efectivamente tantos puertos, se ha activado Terminal Services. Esto permitirá a los administradores realizar una administración remota.



En esta guía se incluye un archivo .cmd que simplifica la creación de filtros IPSec prescritos para un servidor de impresión. El archivo PacketFilters-Print.cmd utiliza el comando NETSH para crear los filtros adecuados. Se debe modificar este archivo .cmd para que incluya las direcciones IP de los demás controladores de dominio del entorno. El script contiene separadores para poder añadir dos controladores de dominio. Si lo desea, puede añadir controladores de dominio adicionales. Esta lista de direcciones IP para los controladores de dominio debe mantenerse actualizada.

Si MOM está presente en el entorno, también se debe especificar la dirección IP del servidor MOM adecuado en el script. Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de secuencias de comando más avanzadas para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" de la guía anexa: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

207

ResumenEste capítulo explica cómo se lleva pueden reforzar los parámetros del servidor para proteger los servidores de impresión en los tres entornos cliente definidos en esta guía. La mayoría de los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un GPO diseñado para complementar la MSBP a las unidades organizativas (OUs) adecuadas contenidas en los servidores de impresión para proporcionar una mayor seguridad en base a los servicios que ofrecen estos servidores.

Algunos de los parámetros analizados no se pueden aplicar mediante la Directiva de Grupo. En estos casos, se proporcionan detalles para su configuración manual. Se incluyen instrucciones de creación y aplicación de filtros IPSec para controlar el tipo de tráfico de red que se puede comunicar con los servidores de impresión.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con los servidores de impresión en un entorno de ordenadores que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para leer una descripción general de los servidores de impresión, consulte la "Descripción general técnica de los Servicios de impresión de Windows Server 2003", en: http://www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx.

Para más información sobre los servidores de impresión, consulte "Novedades en los Servicios de archivo e impresión", en: http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/ fileandprint.mspx.


208


http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/%20fileandprint.mspx

http://www.microsoft.com/windowsserver2003/evaluation/overview/technologies/%20fileandprint.mspx

http://www.microsoft.com/windowsserver2003/techinfo/overview/print.mspx

8Protección de los Servidores IIS

Descripción GeneralEste capítulo se centra en los procedimientos necesarios para proteger los servidores IIS de su entorno. Para ofrecer una seguridad completa para los servidores Web y las aplicaciones de la Intranet corporativa de una empresa, cada servidor Internet Information Services (IIS y los sitios Web y las aplicaciones que se ejecutan en estos servidores se deben proteger de los ordenadores cliente que puedan conectarse a ellos. También se deben proteger de los sitios Web y aplicaciones que se ejecuten en otros servidores IIS dentro de una Intranet corporativa.

Para tomar una posición proactiva contra los usuarios maliciosos y atacantes, IIS no está instalado por defecto en los miembros de la familia Windows Server 2003. En principio, IIS se instala en un modo "bloqueado", muy seguro. Por ejemplo, en principio ofrecerá por defecto sólo contenido estático. Funciones como Active Server Pages (ASP), ASP.NET, SSI, WebDAV y las Extensiones del Servidor de FrontPage no funcionarán hasta que un administrador las habilite. Estas funciones y servicios se pueden activar a través del nodo Extensiones de Servicio Web del Administrador de Internet Information Services (Administrador de IIS).

El Administrador de IIS es una interfaz gráfica (GUI) diseñada para facilitar la administración de IIS. Incluye los recursos para la administración de archivos y directorios y la configuración de los grupos de aplicaciones, así como las funciones de seguridad, rendimiento y fiabilidad.

Las siguientes secciones de este capítulo detallan varias configuraciones que se deben implementar para mejorar la seguridad de los servidores IIS que albergan el contenido HTML de una Intranet corporativa. Sin embargo, para garantizar que los servidores IIS permanezcan protegidos, también se deben implementar procedimientos de supervisión, detección y respuesta.

209

Parámetros de la Directiva de Auditoría Los parámetros de la Directiva de Auditoría para los servidores IIS en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que toda la información de auditoría de seguridad importante se registra en todos los servidores IIS.

210

Asignación de Permisos de UsuarioLa mayoría de las Asignaciones de Permisos de Usuario para los servidores IIS en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". La siguiente sección describe las diferencias entre la MSBP y la Directiva de Grupo Incremental de IIS.

Denegar el acceso a este equipo desde la redTabla 8.1: Valores


Cliente Heredado

Cliente Empresarial

Alta Seguridad

SUPPORT_388945a0 INICIO ANÓNIMO

DE SESIÓN;

Administrador

integrado;

Support_388945a0;

Invitado; todas la

cuentas de servicio

que NO sean del

sistema operativo

INICIO ANÓNIMO

DE SESIÓN;

Administrador

integrado;

Support_388945a0;

Invitado; todas la

cuentas de servicio

que NO sean del

sistema operativo

INICIO ANÓNIMO

DE SESIÓN;

Administrador

integrado;

Support_388945a0;

Invitado; todas la

cuentas de servicio

que NO sean del

sistema operativo

Nota: INICIO ANÓNIMO DE SESIÓN, Administrador integrado, Support_388945a0; Invitado y todas las cuentas de servicio que NO SON de sistema operativo no están incluidas en la plantilla de seguridad. Estas cuentas y grupos tienen identificadores (SIDs) de seguridad únicos para cada dominio de su empresa. Por lo tanto, se deben añadir manualmente.

La opción Denegar el acceso a este ordenador desde la red determina qué usuarios no pueden acceder a un ordenador desde la red. Este parámetro denegará varios protocolos de red, incluyendo los protocolos basados en SMB, NetBIOS, CIFS, HTTP y COM+. Este parámetro anula la opción Acceder a este ordenador desde la red si la cuenta de un usuario está sujeta a ambas políticas. Configurar este permiso de usuario para otros grupos puede limitar la capacidad de los usuarios para realizar las tareas administrativas delegadas en su entorno.

En el Capítulo 3: "Creación de un servidor miembro de referencia”, esta guía recomienda incluir el grupo Invitados en la lista de usuarios y grupos asignados a este permiso para proporcionar el nivel más alto posible de seguridad. No obstante, la cuenta IUSR utilizada para el acceso anónimo a IIS es miembro del grupo Invitados por defecto. Esta guía recomienda eliminar el grupo Invitados de la Directiva de Grupo Incremental de IIS para garantizar que el acceso anónimo a los servidores IIS se podrá configurar cuando sea necesario. Por estas razones, el parámetro Denegar el acceso a este equipo desde la red se configura para incluir INICIO ANÓNIMO DE SESIÓN; Administrador integrado; Support_388945a0; Invitado; cuentas de servicio que NO son del sistema operativo para los servidores IIS en los tres entornos definidos en esta guía.

211

Opciones de SeguridadLos parámetros de las Opciones de seguridad para los servidores IIS en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Opciones de seguridad relevantes se configuran uniformemente en los servidores IIS.

212

Parámetros del Registro de Eventos Los parámetros del Registro de eventos para servidores IIS en los tres entornos definidos en esta guía se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3: "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que los parámetros adecuados del Registro de eventos se configuren de manera uniforme en todos los servidores IIS de una empresa.

213

Servicios del Sistema Para que IIS añada a Windows Server 2003 la funcionalidad de servidor Web, se deben activar los tres servicios siguientes. La Directiva de Grupo Incremental de incremental garantiza que estos servicios se configuran para iniciarse automáticamente.

Nota: La MSBP desactiva otros servicios relacionados con IIS. Algunos de ellos son FTP, SMTP y NNTP. Debe modificar la Directiva de Grupo Incremental de IIS si va a habilitar alguno de estos servicios en los servidores IIS en cualquiera de los tres entornos definidos en esta guía.

SSL HTTP Tabla 8.2: Valores

Nombre del Servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

HTTPFilter Manual Automático Automático Automático

El servicio SSL HTTP permite a IIS realizar funciones SSL (Secure Socket Layer). SSL es un estándar abierto para el establecimiento de un canal seguro de comunicaciones, evitando así la intercepción de información crítica, como los números de tarjetas de crédito. Principalmente, permite realizar transacciones económicas seguras en el World Wide Web, aunque está diseñado para funcionar también con otros servicios de Internet.

Si se detiene el servicio SSL HTTP, IIS no realizará las funciones SSL. Desactivar este servicio provoca que falle cualquier servicio que dependa explícitamente de él. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio. Por ello, el parámetro SSL HTTP es Automático para los servidores IIS en los tres entornos definidos en esta guía.

Servicio de Administración de IISTabla 8.3: Valores

Nombre del Servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

IISADMIN No instalado Automático Automático Automático

El Servicio de Administración de IIS permite administrar los componentes IIS como el Protocolo de Transferencia de Archivos (FTP), Grupos de Aplicaciones, sitios Web, extensiones de servicio Web y tanto NNTP como SMTP.

El Servicio de Administración de IIS debe estar ejecutándose en un servidor IIS para proporcionar los servicios Web, FTP, NNTP y SMTP. Si este servicio está desactivado, no se puede configurar IIS y no se podrán satisfacer las solicitudes de ningún servicio Web. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio. Por esto, el Servicio de Administración de IIS es Automático para los servidores IIS en los tres entornos definidos en esta guía.

214

Servicio de publicación en el World Wide WebTabla 8.4: Valores

Nombre del servicio


Cliente Heredado

Cliente Empresarial

Alta Seguridad

W3SVC No instalado Automático Automático Automático

El Servicio de publicación en el World Wide Web proporciona conectividad y capacidad de administración de sitios Web a través del complemento IIS.

El Servicio de publicación en el World Wide Web debe estar ejecutándose para que el servidor IIS proporcione la conectividad y capacidad de administración Web a través del Administrador de IIS. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio. Por estas razones, el Servicio de publicación en el World Wide Web es Automático para los servidores IIS en los tres entornos definidos en esta guía.

215

Parámetros Adicionales de SeguridadDespués de instalar IIS y Windows Server 2003, IIS transmite sólo el contenido Web estático por defecto. Cuando los sitios Web y las aplicaciones incluyen contenido dinámico, o requieren uno o más componentes IIS adicionales, cada función adicional de IIS se debe activar individualmente. Sin embargo, debe tener cuidado durante el proceso para asegurar que se minimiza la superficie de ataque de cada servidor IIS de su entorno. Si los sitios Web de su empresa se componen de contenido estático y no requieren ningún otro componente IIS, la configuración IIS predeterminada es suficiente para minimizar la superficie de ataque de los servidores IIS de su entorno.

Los parámetros de seguridad aplicados a través de la MSBP proporcionan un alto nivel de seguridad en los servidores IIS. No obstante, existen algunas consideraciones adicionales que se deben tomar en cuenta. Estos pasos no se pueden llevar a cabo a través de la Directiva de Grupo, por lo que deberán realizarse manualmente en todos los servidores IIS.

Instalar Sólo los Componentes IIS Necesarios IIS 6.0 incluye otros componentes y servicios además del Servicio de publicación en el World Wide Web, como los servicios para FTP y SMTP. Los componentes y servicios IIS se instalan y activan utilizando Windows Components Wizard Application Server, que se activa al hacer doble clic en Agregar o quitar programas en el Panel de control. Después de instalar IIS, se deben activar todos los componentes y servicios IIS que requieren los sitios Web y las aplicaciones.

Para Instalar Internet Information Services (IIS) 6.0:

1. En el Panel de control, haga doble clic en Agregar o quitar programas.

2. Haga clic en Agregar/Eliminar Componentes de Windows para iniciar el Asistente de componentes de Windows.

3. En la lista de Componentes, haga clic en el Servidor de Aplicaciones y, a continuación, en Detalles.

4. En el cuadro de diálogo Servidor de Aplicaciones, debajo de Subcomponentes del servidor de aplicaciones, haga clic en Internet Information Services (IIS) y, a continuación, en Detalles.

5. En el cuadro de dialogo Internet Information Services (IIS), en la lista de los Subcomponentes de Internet Information Services (IIS), siga uno de estos dos pasos:

• Para añadir componentes adicionales, seleccione el cuadro del componente que desea instalar.

• Para eliminar componentes opcionales, desactive el cuadro junto del componente que desea quitar.

6. Haga clic en Aceptar hasta volver al Asistente de componentes de Windows.

7. Haga clic en Siguiente y, a continuación, en Finalizar.

Sólo se deben activar los componentes y servicios IIS esenciales requeridos por los sitios Web y aplicaciones. Activar componentes y servicios innecesarios aumenta la superficie de ataque de un servidor IIS.

Las siguientes ilustraciones y tablas muestran la ubicación y las configuraciones sugeridas para los componentes IIS.

216

Los subcomponentes aparecen así en el cuadro de diálogo Servidor de Aplicaciones:

Figura 8.1Subcomponentes del Servidor de Aplicaciones

La siguiente tabla describe brevemente los subcomponentes del Servidor de Aplicaciones y ofrece recomendaciones para saber cuándo activarlos.

Tabla 8.5: Subcomponentes del Servidor de Aplicaciones

Nombre de Componente en la Interfaz

Configu-ración

Lógica de la configuración

Consola del Servidor de

Aplicaciones

Desactivado Proporciona un complemento de Microsoft Management

Console (MMC) que permite administrar todos los

componentes del Servidor de Aplicaciones Web. Este

componente no se requiere en un servidor IIS dedicado,

ya que se puede utilizar el Administrador del Servidor IIS.

ASP.NET Desactivado Proporciona soporte para las aplicaciones ASP.NET.

Active este componente cuando un servidor IIS ejecute

aplicaciones ASP.NET.

Activar el acceso COM+ de red Activado Permite que un servidor IIS albergue los componentes

COM+ para las aplicaciones distribuidas. Se requiere

para FTP, extensión de servidor BITS, Servicio de World

Wide Web y el Administrador IIS, entre otros.

Activar acceso DTC de red Desactivado Permite que un servidor IIS albergue las aplicaciones que

participan en las transacciones de red a través del

coordinador de transacciones distribuidas (DTC).

Desactive este componente a menos que lo requieran las

aplicaciones que se ejecutan en el servidor IIS.

Internet Information Services (IIS) Activado Ofrece servicios Web y FTP básicos. Este componente

se requiere para los servidores IIS dedicados.

Colas de espera de mensajes Desactivado Nota: Si no está activado este componente, se

desactivan todos los subcomponentes.

217

Los subcomponentes aparecen de la siguiente manera en el cuadro de diálogo Internet Information Services (IIS):

Figura 8.2Subcomponentes de IIS

La siguiente tabla describe brevemente los subcomponentes IIS y proporciona recomendaciones para activarlos.

Tabla 8.6: Subcomponentes de IIS


Configu-ración


Extensión del servidor Servicio de

transferencia inteligente en

segundo plano (BITS)

Activado BITS es un mecanismo de transferencia de archivos en

segundo plano que utiliza Windows Update y Automatic

Update. Este componente se requiere cuando Windows

se actualiza o se utilizan actualizaciones Automáticas

para aplicar automáticamente los service packs y las

actualizaciones críticas en un servidor IIS.

Archivos comunes Activado IIS requiere que estos archivos siempre estén activados

en los servidores IIS.

Servicio del Protocolo de

transferencia de archivos (FTP)

Desactivado Permite a los servidores IIS suministrar los servicios FTP.

Este servicio no se requiere para los servidores IIS

dedicados.

Extensiones de FrontPage 2002

Server

Desactivado Ofrece soporte FrontPage para administrar y publicar los

sitios Web. Desactive los servidores IIS dedicados

cuando ningún sitio Web utilice las extensiones

FrontPage.

Administrador de Internet

Information Services

Activado Interfaz de administración para IIS.

Impresión en Internet Desactivado Proporciona una administración de impresión basada en

el Web y permite que las impresoras se compartan sobre

HTTP. Esto no se requiere en los servidores IIS

dedicados.

218


Configuración

Lógica de la Configuración

No se requiere en los servidores IIS dedicados.

Servicio NNTP Desactivado Distribuye, consulta, recupera y publica artículos de

noticias Usenet en Internet. No se requiere este

componente en los servidores IIS dedicados.

Servicio SMTP Desactivado Soporta la transferencia de correo electrónico. No se

requiere este componente en servidores IIS dedicados.

Servicio del World Wide Web Activado Ofrece servicios Web y contenido estático y dinámico a

clientes. Se requiere este componente en los servidores

IIS dedicados.

Los subcomponentes aparecen de la siguiente manera en el cuadro de diálogo Cola de mensajes:

Figura 8.3Subcomponentes de la Cola de Mensajes

219

La siguiente tabla describe brevemente los subcomponentes de la Cola de mensajes y ofrece recomendaciones para activarlos.

Tabla 8.7: Subcomponentes de la Cola de mensajes


Opción de Instalación


Integración con Directorio Activo Desactivado Proporciona una integración con Directorio

Activo cuando un servidor IIS pertenece a un

dominio. Este componente se requiere cuando

los sitios Web y las aplicaciones que se

ejecutan en los servidores IIS utilizan MSMQ.

Común Desactivado Requerido por MSMQ. Se requiere este

componente cuando los sitios y aplicaciones

Web que se ejecuten en los servidores IIS

utilizan MSMQ.

Soporte de cliente de nivel inferior Desactivado Proporciona acceso a Directorio Activo y

reconocimiento de sitios para clientes. Se

requiere este componente cuando los sitios y

aplicaciones Web de un servidor IIS utilicen

MSMQ.

Soporte HTTP de MSMQ Desactivado Suministra el envío y la recepción de mensajes

sobre el transporte HTTP. Se requiere este

componente cuando los sitios y aplicaciones

Web de un servidor IIS utilizan MSMQ.

Soporte de enrutamiento Desactivado Proporciona mensajes de almacenar y reenviar,

así como servicios de enrutamiento eficientes

para MSMQ. Se requiere este componente

cuando los sitios y aplicaciones Web que se

ejecutan en los servidores IIS utilizan MSMQ.

220

Los subcomponentes aparecen de la siguiente manera en el cuadro de diálogo Servidor de los servicios de transferencia inteligente en segundo plano (BITS):

Figura 8.4Subcomponentes de las Extensiones de Servidor BITS

La siguiente tabla describe brevemente los subcomponentes de las extensiones del Servidor de transferencia inteligente en segundo plano (BITS) y ofrece recomendaciones para activarlos.

Tabla 8.8: Subcomponentes de las Extensiones de servidor BITS


Opción de Instalación


Complemento de la consola de

administración BITS

Activado Instala un complemento MMC para administrar

BITS. Active este componente cuando la

extensión de servidor BITS para una Interfaz de

programación de las aplicaciones del servidor

de Internet (ISAPI) esté activada.

ISAPI de extensión de BITS Activado Instala la ISAPI de BITS de manera que un

servidor IIS pueda transferir datos utilizando

BITS. Este componente se requiere cuando se

utiliza Windows Update o Automatic Update

para aplicar automáticamente los service packs

o las actualizaciones críticas en los servidores

IIS. Desactívelo si no se está utilizando

Windows Update o Automatic Update.

221

Los subcomponentes aparecen de la siguiente manera en el cuadro de diálogo Servicio del World Wide Web:

Figura 8.5Subcomponentes del Servicio del World Wide Web

La siguiente tabla describe brevemente los subcomponentes del Servicio del World Wide Web y proporciona recomendaciones para activarlos.

Tabla 8.9: Subcomponentes del Servicio del World Wide Web

Nombre de componente en la interfaz

Opción de instalación


Active Server Pages Desactivado Ofrece soporte para ASP. Desactive este

componente si ningún sitio Web ni las

aplicaciones de los servidores IIS utilizan ASP,

o desactívelo mediante las extensiones del

servicio Web. Para más información, consulte

la sección: “Permitir sólo las extensiones

esenciales del servicio Web" en este capítulo.

Conector de datos de Internet Desactivado Provee soporte para el contenido dinámico

proporcionado a través de los archivos con

extensiones .idc. Desactive este componente si

ningún sitio Web o aplicación que se ejecute en

los servidores IIS incluye los archivos con

extensiones .idc o desactívelo utilizando las

extensiones del servicio Web. Para más

información, consulte la sección: “Permitir sólo

las extensiones esenciales del servicio Web" en

este capítulo.

222

(continuación)

Administración remota (HTML) Desactivado Ofrece una interfaz HTML para administrar IIS.

Utilice el Administrador de IIS para facilitar la

administración y reducir la superficie de ataque

del servidor IIS. No se requiere esta función en

los servidores IIS dedicados.

Conexión Web de escritorio

remota

Desactivado Incluye el control ActiveX y páginas de muestra

para albergar conexiones del cliente Terminal

Services. Utilice el Administrador de para

facilitar la administración y reducir la superficie

de ataque del servidor IIS. No se requiere esta

función en los servidores IIS dedicados.

Inclusión del servidor Desactivado Proporciona el soporte para los archivos

.shtm, .shtml y .stm. Desactive este

componente si ninguno de los sitios Web o

aplicaciones que se ejecutan en un servidor IIS

incluyan archivos con estas extensiones.

WebDAV Desactivado WebDAV amplía el protocolo HTTP/1.1 para

permitir a los clientes publicar, bloquear y

administrar recursos en el Web. Desactive este

componente en los servidores IIS dedicados o

deshabilítelo utilizado las extensiones del

servicio Web. Para más información, consulte

la sección: “Permitir sólo las extensiones

esenciales del servicio Web" en este capítulo.

Servicio del World Wide Web Activado Proporciona los servicios Web, así como el

contenido estático y dinámico a los clientes. Se

requiere este componente en los servidores IIS

dedicados.

Activar Sólo las Extensiones Esenciales del Servicio Web Muchos sitios Web y aplicaciones que se ejecutan en los servidores IIS cuentan con una funcionalidad ampliada que va más allá de las páginas estáticas e incluye la capacidad de generar contenido dinámico. Cualquier contenido dinámico que se proporciona o amplía a través de estas funciones proporcionadas por un servidor IIS se logra mediante las extensiones del servicio Web.

Las funciones de seguridad mejoradas de IIS 6.0 permiten que se activen o desactiven las extensiones individuales del servicio Web. Después de una nueva instalación, los servidores IIS sólo transmitirán el contenido estático. Se pueden activar las capacidades del contenido dinámico a través del nodo de Extensiones de servicio Web del Administrador de IIS. Estas extensiones incluyen ASP.NET, SSI, WebDAV y FrontPage Server Extensions.

La activación de todas las extensiones del servicio Web asegura la compatibilidad más alta con las aplicaciones existentes; sin embargo, esto también supone un riesgo para la seguridad, ya que cuando están activadas todas las extensiones, la superficie de ataque de IIS aumenta, habilitando funcionalidades que puede no ser necesarias para los servidores IIS de su entorno.

223

Para reducir lo más posible la superficie de ataque de servidores IIS, sólo se deben activar las extensiones del servicio Web necesarias en los servidores IIS en los tres entornos definidos en esta guía.

Activar sólo las Extensiones del servicio Web que requieren los sitios Web y las aplicaciones que se ejecutan en los servidores IIS de su entorno mejora la seguridad, minimizando la funcionalidad del servidor y, por lo tanto, reduciendo la superficie de ataque.

La siguiente tabla enumera las Extensiones del servicio Web predefinidas y proporciona los detalles sobre cuándo activar cada extensión.

Tabla 8.10: Activar las Extensiones del Servicio Web

Extensión del Servicio Web Activar la extensión Cuando…

Active Server Pages Uno o más de los sitios Web y aplicaciones que se

ejecutan en los servidores IIS tienen contenido ASP.

ASP.NET v1.1.4322 Uno o más de los sitios Web y aplicaciones que se

ejecutan en los servidores IIS tienen el contenido

ASP.NET.

FrontPage Server Extensions 2002 Uno o más de los sitios Web que se ejecutan en

servidores IIS utilizan FrontPage Extensions.

Internet Data Connector (IDC) Uno o más de los sitios Web y aplicaciones que se

ejecutan en los servidores IIS utilizan IDC para mostrar la

información de la base de datos (este contenido incluye

archivos .idc e .idx).

(SSI Uno o más de los sitios Web que se ejecutan en los

servidores IIS utilizan las directrices SSI para instruir a

los servidores IIS para que inserten contenidos

reutilizables (por ejemplo, una barra de navegación, un

encabezado o pie de página) en diferentes páginas Web.

WebDAV Se requiere soporte WebDAV en los servidores IIS para

que los clientes publiquen y administren

transparentemente los recursos del Web.

Colocar Contenido en un Volumen de Disco Dedicado IIS almacena los archivos de su sitio Web predeterminado en la ubicación <systemroot>\inetpub\wwwroot, donde <systemroot> es la unidad en la que se instala el sistema operativo Windows Server 2003.

Coloque todos los archivos y carpetas que integran los sitios y aplicaciones Web en los volúmenes de discos dedicados en los servidores IIS para los tres entornos definidos en esta guía. Colocar estos archivos y carpetas en un volumen de disco dedicado (que no contenga el sistema operativo) en un servidor IIS ayuda a evitar ataques cruzados de directorio. Los ataques cruzados del directorio son aquéllos en los que un atacante envía peticiones de un archivo ubicado fuera de la estructura de directorio de un servidor IIS.

Por ejemplo, cmd.exe está en la carpeta <systemroot>\System32. Un atacante podría enviar una petición a la siguiente ubicación:

..\..\Windows\system\cmd.exe en un intento por llamar al indicador de comandos

Si el contenido del sitio Web está en un volumen de disco distinto, un ataque cruzado de directorio de este tipo no funcionará por dos razones. En primer lugar, se han restablecido los permisos sobre cmd.exe como parte de la construcción básica de Windows Server 2003, restringiendo su acceso a un grupo muy limitado de usuarios. En segundo lugar, después de realizar este cambio, cmd.exe no está en el mismo volumen de disco que la raíz Web y actualmente no existen métodos conocidos para acceder a comandos de una unidad diferente utilizando un ataque de este tipo.

224

Aparte de los problemas de seguridad, colocar los archivos del sitio y las aplicaciones Web en las carpetas en un volumen de disco dedicado facilita tareas como la copia de seguridad y la restauración. Además, colocar este tipo de contenido en una unidad física separada y dedicada puede ayudar a reducir la contención del disco en el volumen del sistema y mejorar el rendimiento general del acceso al disco.

Establecer los Permisos NTFS Windows Server 2003 examina los permisos del sistema de archivos NTFS para determinar qué tipos de acceso tiene un usuario o un proceso sobre un archivo o carpeta concretos.

Los permisos NTFS deben asignarse para otorgar o denegar el acceso a usuarios concretos para los sitios Web en los servidores IIS en los tres entornos definidos en la guía.

Los permisos NTFS se deben utilizar junto con los permisos Web, no en su lugar. Los permisos NTFS afectan sólo a las cuentas a las que se ha otorgado o denegado el acceso al contenido del sitio y de la aplicación Web. Los permisos del sitio Web afectan a todos los usuarios que acceden al sitio o la aplicación Web. Si los permisos entran en conflicto con los permisos NTFS por un directorio o archivo, se aplican configuraciones más restrictivas.

Debe denegarse explícitamente el acceso a las cuentas anónimas en los sitios y las aplicaciones Web para los que no se desea un acceso anónimo. El acceso anónimo se produce cuando un usuario sin credenciales autentificadas accede a los recursos del sistema. Las cuentas anónimas incluyen la cuenta Invitado integrada, el grupo Invitados y la cuenta Anónima IIS. Además, elimine cualquier permiso de acceso de escritura para todos los usuarios, excepto para aquéllos que son administradores de IIS.

La siguiente tabla proporciona algunas recomendaciones sobre los permisos NTFS que se deben aplicar a los distintos tipos de archivos de un servidor IIS. Los distintos tipos de archivos se pueden agrupar en carpetas separadas para simplificar el proceso de aplicación de los permisos NTFS.

Tabla 8.11: Permisos NTFS

Tipo de Archivo Permisos NTFS Recomendados

Archivos CGI (.exe, .dll, .cmd, .pl) Todos (ejecutar)

Administradores (control completo)

Sistema (control completo)

Archivos de script (.asp) Todos (ejecutar)



Archivos Include (.inc, .shtm, .shtml) Todos (ejecutar)



Contenido estático (.txt, .gif, .jpg,

.htm, .html)

Todos (sólo lectura)



225

Establecer los Permisos del Sitio Web IIS IIS examina los permisos del sitio Web para determinar qué tipo de acciones se pueden producir dentro de un sitio Web, como permitir el acceso a la fuente de script o la exploración del directorio. Se deben asignar los permisos del sitio Web para proteger mejor los sitios Web de los servidores IIS en los tres entornos definidos en esta guía.

Se pueden utilizar los permisos del sitio Web junto con los permisos NTFS. Se pueden configurar para sitios, directorios y archivos concretos. A diferencia de los permisos NTFS, los permisos del sitio Web afectan a cualquier persona que intente acceder a un sitio Web que se ejecuta en un servidor IIS. Los permisos del sitio Web pueden aplicarse con el complemento del Administrador de IIS.

La tabla siguiente enumera los permisos del sitio Web que soporta IIS 6.0 y proporciona una explicación breve de cómo asignar un permiso dado a un sitio Web.

Tabla 8.12: Permisos del Sitio Web IIS 6.0

Permiso del Sitio Web: Permiso Otorgado:

Lectura Los usuarios pueden ver el contenido y las propiedades de los

directorios o archivos. Este servicio está seleccionado por defecto.

Escritura Los usuarios pueden modificar el contenido y las propiedades de

los directorios o archivos.

Acceso a la Fuente de Script Los usuarios pueden acceder a los archivos fuente. Si está

activado Lectura, se puede leer la fuente; si está activado

Escritura, se puede cambiar el código de la fuente de script. El

Acceso a la Fuente de Script incluye el código fuente para los

scripts. Si no está activado Lectura ni Escritura, esta opción no

está disponible.

Importante: Cuando el Acceso a la Fuente de Script está activado,

es posible que los usuarios puedan ver información delicada, por

ejemplo el nombre de usuario y su contraseña. Es posible que

también puedan cambiar el código fuente que se ejecuta en un

servidor IIS y perjudicar seriamente la seguridad y el rendimiento

del servidor.

Exploración del directorio Los usuarios pueden ver listas y recopilaciones de archivos.

Visitas al registro Se crea una entrada en el registro para cada visita al sitio Web.

Indexar este recurso Permite que el Servicio de indexación ordene los recursos. Esto

permite que se realicen búsquedas en los recursos.

Ejecutar Las siguientes opciones determinan el nivel de ejecución de scripts

para los usuarios:

• Ninguno—No permite que los ejecutables ni

los scripts se ejecuten en el servidor.

• Sólo scripts—Sólo permite que se ejecuten

en el servidor los scripts.

• Scripts y ejecutables—Permite que se ejecuten los scripts y

los ejecutables en el servidor.

226

Configurar el Registro de IIS Esta guía recomienda activar el inicio de sesión en IIS en los servidores IIS en los tres entornos definidos en esta guía.

Se pueden crear registros separados para cada sitio o aplicación Web. IIS registra información más allá del alcance de las funciones de registro de eventos o la supervisión de rendimiento proporcionados por Windows. Los registros de IIS pueden incluir información como quién ha visitado un sitio, qué ha visto el visitante y cuándo se ha visto por última vez la información. Se puede utilizar el registro de IIS para evaluar la popularidad del contenido, identificar cuellos de botella o como recurso para ayudar a investigar ataques.

El complemento del Administrador de IIS se puede utilizar para configurar el formato de los archivos de registro, la planificación de registros y la información exacta que se va a registrar. Para limitar el tamaño de los registros, se debe planificar cuidadosamente qué campos se van a registrar.

Cuando se activa el registro de IIS, éste utiliza el Formato de Archivos de Registro Ampliado de W3C para crear los registros de actividad diaria, que se almacenan en el directorio especificado para el sitio Web en el Administrador de IIS. Para mejorar el rendimiento del servidor, se deben almacenar los registros en un volumen de disco seleccionado o seleccionado / reflejado que no sea de sistema.

Además, se pueden escribir registros en una partición remota sobre una red que utilice una ruta completa UNC. El registro remoto permite a los administradores centralizar el almacenaje y la copia de seguridad de los registros. Sin embargo, escribir el archivo de registro sobre la red podría afectar negativamente al servidor.

Se puede configurar el registro de IIS para que utilice otros formatos de archivo de registro ASCII u ODBC. El registro ODBC permite a IIS almacenar la información de actividad en una base de datos SQL. Sin embargo, tenga en cuenta que cuando está activado el registro ODBC, IIS desactiva la memoria caché del modo kernel. Por esta razón, implementar el registro ODBC puede degradar el rendimiento general del servidor.

Los servidores IIS que alojan una gran cantidad de sitios pueden mejorar el rendimiento del registro habilitando un registro binario centralizado. El registro binario centralizado permite que todos los sitios Web en un servidor IIS escriban información de actividad en un solo archivo de registro. Esto aumenta en gran medida la capacidad de uso y la escalabilidad del proceso de registro de IIS, reduciendo el número de registros que hay que almacenar y analizar individualmente. Para más información sobre el registro binario centralizado, consulte el tema de TechNet "Registro binario centralizado ", en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/log_b inary.asp.

Cuando se almacenan los registros de IIS en los servidores IIS, por defecto sólo los administradores del servidor tienen permiso para acceder a ellos. Si un directorio de archivo de registro o un propietario de archivos no está en el grupo de Administradores locales, HTTP.sys (el controlador en modo kernel de IIS 6.0) publica un error en el Registro de Eventos NT. Este error indica que el propietario de directorio o archivo no está en el grupo de Administradores locales y que se ha suspendido el registro para este sitio hasta que se agregue el propietario al grupo de Administradores locales o se elimine el directorio o archivo de registro existente.

227

Añadir Manualmente los Grupos de Seguridad Sencillos a las Asignaciones de Permisos de UsuarioLa mayoría de las Asignaciones de Permisos de Usuario que se aplican a través de la MSBP especifican los grupos de seguridad adecuados en las plantillas de seguridad que acompañan a esta guía. Sin embargo, existen algunas cuentas y grupos de seguridad que no se pueden incluir en las plantillas debido a que sus identificadores de seguridad (SIDs) son específicos para los dominios Windows 2003 individuales. A continuación se especifican las asignaciones de permisos de usuario que se deben configurar manualmente.

Advertencia: La siguiente tabla contiene los valores para la cuenta integrada del Administrador. Tenga cuidado de no confundir la cuenta del Administrador con el grupo de seguridad integrado de Administradores. Si se agrega el grupo de seguridad Administradores a cualquiera de los permisos de usuario de acceso denegado que aparecen a continuación, deberá iniciar una sesión localmente para corregir el error.

Además, la cuenta integrada del Administrador puede haber cambiado de nombre conforme a alguna de las recomendaciones descritas en el Capítulo 3: "Creación de un servidor miembro de referencia". Al añadir la cuenta del Administrador, asegúrese de especificar la cuenta que ha cambiado de nombre.

Tabla 8.13: Añadir Manualmente las Asignaciones de Permisos de Usuario



Denegar el acceso a este equipo

desde la red

Administrador integrado;

Support_388945a0;

Invitado; todas la cuentas

de servicio que NO sean



Support_388945a0;





Support_388945a0;




Advertencia: En todas las cuentas de servicio que no son del sistema operativo se incluyen las cuentas de servicio utilizadas para aplicaciones concretas en una empresa. Esto NO incluye el SISTEMA LOCAL, el SERVICIO LOCAL o las cuentas de SERVICIO DE RED, que son cuentas integradas que utiliza el sistema operativo.




228

Para proteger las cuentas más conocidas en los servidores IIS:





Nota: Se puede cambiar el nombre de la cuenta integrada del administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en ninguna de las plantillas de seguridad proporcionadas con esta guía porque debe elegir un nombre único para su entorno. El parámetro Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Esta configuración es parte de Opciones de seguridad de las Directivas de Grupo.


Bloquear los Puertos con los Filtros IPSecLos filtros de Seguridad IPSec proporcionan un medio efectivo para mejorar el nivel de seguridad requerido para los servidores. Esta guía recomienda esta directriz opcional para reducir aún más la superficie de ataque del servidor en el entorno de Alta Seguridad definido en este documento.


La siguiente tabla enumera todos los filtros IPSec que se pueden crear en los servidores IIS del entorno de Alta Seguridad definido en esta guía.

229

Tabla 8.14: Mapa de Tráfico de Red IPSec del Servidor IIS

Servicio Protocolo Puerto de

origen

Puerto de

destino

Dirección de

origen

Dirección de

destino

Acción Mirror

Cliente en un

punto


Terminal

ServicesTCP CUALQUIERA 3389 CUALQUIERA YO PERMITIR SÍ

Miembro de


Controlador de

dominioPERMITIR SÍ

Miembro de


Controlador de

dominio 2 PERMITIR SÍ

HTTP Server TCP CUALQUIERA 80 CUALQUIERA YO PERMITIR SÍ

HTTP Server TCP CUALQUIERA 443 CUALQUIERA YO PERMITIR SÍ

Todo el tráfico

de entrada CUALQUIERA CUALQUIERA CUALQUIERA CUALQUIERA YO BLOQUEAR SÍ



Dado el volumen de interacción entre los miembros del dominio y el controlador, en especial el tráfico RPC y de autentificación, se permiten todas las comunicaciones entre un servidor IIS y todos los controladores de dominio. Se puede limitar más el tráfico, pero la mayoría de los entornos requerirían la creación de decenas de filtros para proteger eficazmente el servidor. Esto dificultaría en gran medida la implementación y administración de las directivas IPSec. Se deben crear reglas similares para cada controlador de dominio con el que interactúe un servidor IIS. Esto incluirá con frecuencia la adición de reglas a todos los controladores de dominio del entorno para incrementar la fiabilidad y disponibilidad de los servidores IIS.


Esta política IPSec bloqueará efectivamente el tráfico a través de los puertos aleatorios con niveles altos, desactivando así el tráfico de llamadas de procedimiento remoto (RPC). Esto puede hacer difícil la administración del servidor. Debido a que se han cerrado efectivamente tantos puertos, se ha activado Terminal Services. Esto permitirá a los administradores realizar una administración remota.

230



En esta guía se incluye un archivo .cmd que simplifica la creación de filtros IPSec prescritos para un servidor IIS. El archivo PacketFilters-DC.cmd utiliza el comando NETSH para crear los filtros adecuados. Se debe modificar este archivo .cmd para que incluya las direcciones IP de los demás controladores de dominio del entorno. El script contiene separadores para poder añadir dos controladores de dominio. Si lo desea, puede añadir controladores de dominio adicionales. Esta lista de direcciones IP para los controladores de dominio debe mantenerse actualizada.

Si MOM está presente en el entorno, también se debe especificar la dirección IP del servidor MOM adecuado en el script. Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de secuencias de comando más avanzadas para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" de la guía anexa: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

231

ResumenEste capítulo explica cómo configurar los parámetros del servidor para proteger los servidores IIS en los tres entornos definidos en esta guía. La mayoría de los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un GPO diseñado para complementar la MSBP a las unidades organizativas (OUs) adecuadas contenidas en los servidores IIS para proporcionar una mayor seguridad en base a los servicios que ofrecen estos servidores.

Algunos de los parámetros analizados no se pueden aplicar mediante la Directiva de Grupo. En estos casos, se proporcionan detalles para su configuración manual. Se incluyen instrucciones de creación y aplicación de filtros IPSec para controlar el tipo de tráfico de red que se puede comunicar con los servidores IIS.

Más informaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con los servidores IIS en un entorno de ordenadores que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para más información sobre cómo habilitar el registro en IIS 5.0, consulte "COMO: Habilitar el registro en IIS 5.0", en: http://support.microsoft.com/default.aspx?scid=313437.

Para más información sobre este tema, consulte "Activar el registro", en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ log_enablelogging.asp.

Para información sobre el registro de la "Actividad de sitio”, en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ log_aboutlogging.asp.

Para información sobre el registro ampliado, consulte "Personalizar el registro ampliado W3C", en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ log_customw3c.asp.

Para información sobre el registro binario centralizado, consulte "Registro binario centralizado", en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ log_binary.asp.

Para información sobre el registro remoto, consulte "Registro remoto", en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ log_remote.asp.

Para información sobre generar, ver o entender los registros de seguridad (auditorías), visite el sitio Microsoft TechNet sobre seguridad en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/ sec_security.asp.

Para más información sobre IIS 6.0, visite TechNet en: http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/ iiswelcome.asp.


232


http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/%20iiswelcome.asp

http://www.microsoft.com/technet/prodtechnol/windowsnetserver/proddocs/server/%20iiswelcome.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20sec_security.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20sec_security.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_remote.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_remote.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_binary.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_binary.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_customw3c.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_customw3c.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_aboutlogging.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_aboutlogging.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_enablelogging.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/server/%20log_enablelogging.asp


9Protección de los Servidores IAS

Descripción GeneralEste capítulo proporciona recomendaciones y recursos para proteger los servidores del Servicio de Autentificación de Internet (IAS) que ejecutan Windows Server 2003. IAS es un servidor RADIUS que permite administrar de forma centralizada la autentificación, la autorización y el recuento de usuarios. Se puede utilizar IAS para autentificar usuarios de bases de datos de los controladores de dominio de Windows Server 2003, Windows NT 4.0 o Windows 2000. Además, IAS soporta una gran variedad de servidores de acceso a la red (NAS), incluyendo RRAS.

El mecanismo de ocultación de RADIUS utiliza el secreto compartido RADIUS, el Autentificador de Solicitudes y el algoritmo de operaciones hash MD5 para encriptar la Contraseña del usuario y otros atributos, como la Contraseña Tunelizada y las claves MS–CHAP–MPPE. RFC 2865 contempla la necesidad potencial de evaluar el entorno de amenaza y determinar si se deben utilizar otros recursos de seguridad adicionales.

Puede conseguir una mayor protección para los atributos ocultos mediante IPSec con ESP y un algoritmo de encriptación, como Triple DES (3DES) para garantizar la confidencialidad de los datos para todo el mensaje RADIUS.

Windows Server 2003 incluye valores predeterminados establecidos en un estado seguro. Para mejorar la facilidad de uso de este capítulo, sólo se incluyen aquí las configuraciones modificadas desde la Directiva de Referencia de Servidores Miembro (MSBP). Para mayor información sobre los parámetros de la MSBP, consulte el Capítulo 3, “Creación de un servidor miembro de referencia”. Para obtener información sobre todos los parámetros predeterminados, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP.

Nota: Los parámetros prescritos para el rol del servidor IAS se han probado sólo en el entorno Cliente Empresarial. Por ello, no se incluye aquí la información sobre filtros IPSec y ataques DoS especificada para la mayoría de los demás roles de servidor en esta guía.

233

Directiva de Auditoría Los parámetros de la Directiva de Auditoría para los servidores IAS en los tres entornos definidos en esta guía se establecen a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que se registra toda la información relevante sobre la auditoría de seguridad en todos los Servidores IAS.

234

Asignación de permisos de usuario Las Asignaciones de Permisos de Usuario para los servidores IAS en los tres entornos definidos en esta guía también se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que todas las Asignaciones de permisos de usuario adecuadas se configuran de manera uniforme en los servidores IAS de toda la empresa.

235

Opciones de SeguridadLos parámetros de las Opciones de seguridad para los servidores IAS en los tres entornos definidos en esta guía también se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que el acceso adecuado a los servidores IAS se configure uniformemente en toda la empresa.

236

Registro de EventosLos parámetros del Registro de eventos para los servidores IAS en los tres entornos definidos en esta guía se han configurado a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia".

237


Por esta razón, es posible que las recomendaciones sobre el rol del servidor IAS de esta guía no sean aplicables en su entorno. Ajuste las recomendaciones de la Directiva de Grupo del Servidor IAS según sus necesidades para satisfacer los requisitos de su empresa.

Servicio IASTabla 9.1: Configuración

Nombre del Servicio


Cliente Empresarial

IAS No instalado Automático

La configuración del Servicio IAS implementa el estándar IETF para el protocolo RADIUS, lo cual permite el uso de equipos heterogéneos para acceder a la red. Desactivar este servicio hace que las peticiones de autentificación se transfieran a un servidor IAS, si hay alguno disponible. Si no hay ningún servidor IAS de respaldo disponible, los usuarios no pueden conectarse a la red. La desactivación de este servicio también hace que fallen los servicios que dependen de él.

Es necesario configurar el Servicio IAS para el rol del servidor IAS. Se debe ejecutar este servicio para que un servidor IAS responda a las peticiones de autentificación del cliente. El uso de una directiva de grupo para proteger y establecer el modo de inicio de este servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. La directiva de grupo también impide que los administradores desactiven accidentalmente el servicio.

238

Parámetros Adicionales de SeguridadLos parámetros de seguridad aplicados a través de la MSBP proporcionan un alto nivel de seguridad mejorada para los servidores IAS. No obstante, existen algunas consideraciones adicionales que se deben tomar en cuenta. Estos pasos no se pueden llevar a cabo a través de la Directiva de Grupo, por lo que deberán realizarse manualmente en todos los servidores IAS.

Proteger las Cuentas Más ConocidasWindows Server 2003 tiene varias cuentas de usuario integradas que no se pueden eliminar, pero cuyo nombre se puede cambiar. Dos de las cuentas integradas más conocidas en Windows 2003 son Invitado y Administrador.



Para proteger las cuentas conocidas en servidores IAS:





Nota: Se puede cambiar el nombre de la cuenta integrada del administrador a través de las Directivas de Grupo. Esta configuración no se ha implementado en ninguna de las plantillas de seguridad proporcionadas con esta guía porque debe elegir un nombre único para su entorno. El parámetro Cuentas: Cambiar el nombre de la cuenta del administrador se puede configurar para cambiar el nombre de las cuentas del administrador en los tres entornos definidos en esta guía. Esta configuración es parte de las opciones de seguridad de las Directivas de Grupo.


239

ResumenEste capítulo explica cómo configurar los parámetros del servidor para proteger los servidores IAS en el entorno Cliente Empresarial definido en esta guía. Es posible que estos parámetros también funcionen en los demás entornos definidos en esta guía, pero no se han probado ni validado. Los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un GPO diseñado para complementar la MSBP a las unidades organizativas (OUs) adecuadas contenidas en los servidores IAS para proporcionar una mayor seguridad en base a los servicios que ofrecen estos servidores.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con Windows Server 2003 y el rol del servidor IAS explicado en esta guía en el momento en que este producto se lanzó al mercado.

Para más información sobre IAS, consulte "Cómo funciona IAS en Windows Server 2003", en: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/sag_ias_understanding.asp.

Para más información sobre IAS y la seguridad, consulte el artículo de TechNet “Información de seguridad para IAS“, en: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/ prodtechnol/windowsserver2003/proddocs/server/sag_ias_security_issues.asp.

Para obtener información sobre IAS y los Servidores de seguridad en Windows Server 2003, consulte "IAS y servidores de seguridad", en: http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/ windowsserver2003/proddocs/server/sag_ias_firewall.asp.

Para obtener información sobre RADIUS, consulte “Servicio de usuario de marcación con autentificación remota (RADIUS)", en: http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2865.html.

240

http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2865.html

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sag_ias_firewall.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sag_ias_firewall.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/%20prodtechnol/windowsserver2003/proddocs/server/sag_ias_security_issues.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/%20prodtechnol/windowsserver2003/proddocs/server/sag_ias_security_issues.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sag_ias_understanding.asp

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/prodtechnol/%20windowsserver2003/proddocs/server/sag_ias_understanding.asp

10Proteger los Servidores de Servicios de Certificación

Descripción GeneralEste capítulo le proporciona una orientación completa para la protección del sistema operativo en los servidores de Servicios de Certificación de Microsoft de su entorno. Aunque este capítulo incluye toda la información que necesita para llevar a cabo esta tarea, las directrices no aportan detalles sobre cómo crear una infraestructura segura de Servicios de Certificación en su entorno o cómo implementar una autoridad de certificación. Estos temas se tratan en profundidad en la documentación del producto Windows Server 2003, el Kit de recursos de Windows Server 2003 y los white papers sobre el tema disponibles en el sitio Web de Microsoft. Puede encontrar información adicional en la guía complementaria: Protección de las LANs Inalámbricas: una Solución de Servicios de Certificación de Windows Server 2003, disponible en http://go.microsoft.com/fwlink/?LinkId=14843.

Windows Server 2003 incluye valores predeterminados establecidos en un estado seguro. Para mejorar la facilidad de uso de este capítulo, sólo se incluyen aquí las configuraciones modificadas desde la Directiva de Referencia de Servidores Miembro (MSBP). Para mayor información sobre los parámetros de la MSBP, consulte el Capítulo 3, “Creación de un servidor miembro de referencia”. Para obtener información sobre todos los parámetros predeterminados, consulte la guía complementaria, Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP

Debe instalar Microsoft Internet Information Services (IIS) en algunos de los servidores de Servicios de Certificación de su entorno para que distribuyan los certificados de la Autoridad de Certificación (CA) y las Listas de Revocación de Certificados (CRLs). IIS también se utiliza para alojar las páginas Web de registro de servidores de Servicios de Certificación, las cuales permiten a los clientes ajenos a Windows registrar certificados. Comprender los procedimientos para instalar de manera segura IIS, tratados en el Capítulo 8, "Protección de los servidores IIS", es un prerrequisito para seguir las directrices de este capítulo.

Además, si instala IIS en sus CAs, debe aplicar a sus servidores de Servicios de Certificación la plantilla de configuración de seguridad desarrollada para el Capítulo 8 se antes de configurar las configuraciones que se detallan en este capítulo para este rol del servidor.

Nota: En entornos simplificados, el servidor de publicación de la CA puede utilizarse para alojar el servidor Web, el certificado CA y los puntos de descarga de las CRLs. Sin embargo, plantéese utilizar un servidor Web independiente de su propio entorno para mejorar la seguridad de sus CAs.

IIS se utiliza para alojar las páginas de registro del servidor de certificados, así como para distribuir certificados CA y puntos de descarga de CRLs para clientes que no son de Windows. Microsoft recomienda no instalar IIS en el servidor raíz de la autoridad de certificación (CA). Si

241


es posible, tampoco debe ejecutar IIS en sus CAs de publicación y todas las CAs intermedias de su entorno. Es más seguro alojar los puntos de descarga Web para los certificados CA y CRLs en un servidor distinto del servidor CA. Es posible que haya diversos usuarios certificados (internos o externos) que necesiten recuperar información en cadena de CRLs o CA, a quienes no necesariamente se les debe permitir el acceso al CA. Es imposible imponer esta restricción si los puntos de descarga están alojados en la propia CA.

Nota: Los parámetros prescritos para el rol del servidor de Servicios de Certificación sólo se han probado en el entorno Cliente Empresarial. Por esta razón, no se incluye aquí la información sobre filtros IPSec y denegación de servicio (DoS) especificada para la mayoría del resto de los roles del servidor de esta guía.

242

Parámetros de la Directiva de Auditoría Los parámetros de la Directiva de Auditoría para los servidores de Servicios de Certificación en el entorno Cliente Empresarial definidos en esta guía se establecen a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que toda la información de auditoría de seguridad importante se registra en todos los servidores de Servicios de Certificación.

243

Asignación de permisos de usuario Las Asignaciones de Permisos de Usuario para los servidores de Servicios de Certificación en el entorno Cliente Empresarial definidos en esta guía también se configuran a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la MSBP garantizan que el acceso adecuado a los servidores de Servicios de Certificación se configure uniformemente en toda la empresa.

244

Opciones de SeguridadLa sección de Opciones de seguridad de la Directiva de Grupo se utiliza para activar o desactivar los parámetros de seguridad de los ordenadores, como la firma digital de datos, los nombres de las cuentas de Administrador e Invitado, el acceso a la unidad de disco duro y de CD–ROM, el uso compartido de la información de controladores y los indicadores de inicio de sesión.

Los parámetros de las Opciones de Seguridad de Windows Server 2003 se pueden establecer en la siguiente ubicación dentro del Editor de Objetos de la Directiva de Grupo:

Configuración del Equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad

Las siguientes tablas de esta sección incluyen los parámetros de Opciones de Seguridad para el servidor de Servicios de Certificación del entorno Cliente Empresarial definido en esta guía.

Dispositivos: Restringir el Acceso al CD-ROM Sólo a los Usuarios que Han Iniciado Sesión Localmente Tabla 10.1: Valores

Miembros del dominio Cliente Empresarial

Desactivado Activado

El parámetro Dispositivos: Restringir el acceso al CD–ROM sólo a los usuarios que han iniciado sesión localmente determina si una unidad de CD–ROM es accesible simultáneamente para los usuarios locales y para los remotos. Si se activa este parámetro, sólo los usuarios que han iniciado una sesión de manera interactiva pueden acceder al CD–ROM. Sin embargo, si este parámetro está activado y nadie ha iniciado una sesión de manera interactiva, los usuarios pueden acceder al CD-ROM a través de la red.

Los usuarios conectados al servidor de Servicios de Certificación a través de la red no pueden utilizar ninguna unidad de CD–ROM del servidor si alguien ha iniciado una sesión en la consola local del servidor. No se recomienda activar este parámetro en un sistema que actúe como un lector múltiple de CD para los usuarios de la red. Sin embargo, activando este parámetro impedirá que los atacantes ejecuten programas maliciosos desde la unidad de CD–ROM de los servidores. En una CA, es posible que el administrador utilice la unidad de CD-ROM para copiar la información delicada del servidor o en el servidor; este parámetro impide acceder a estos datos a cualquier persona, excepto a los administradores que inician una sesión localmente. Por esta razón, este parámetro está Activado en el entorno Cliente Empresarial definido en esta guía.

Dispositivos: Restringir el Acceso al Disco Flexible Sólo a los Usuarios que Han Iniciado Sesión LocalmenteTabla 10.2: Valores

Miembros del Dominio Cliente Empresarial


245

El parámetro Dispositivos: Restringir el acceso al disco flexible sólo a los usuarios que han iniciado sesión localmente determina si los discos flexibles son accesibles simultáneamente para los usuarios locales y para los remotos. Si se activa este parámetro, sólo los usuarios que han iniciado una sesión de manera interactiva pueden acceder a los discos flexibles. Sin embargo, si este parámetro está activado y nadie ha iniciado una sesión de manera interactiva, los usuarios pueden acceder al disco flexible a través de la red.

Los usuarios conectados al servidor de Servicios de Certificación a través de la red no pueden utilizar ninguna unidad de disco flexible instalada en el servidor si alguien ha iniciado una sesión en la consola local del servidor. Sin embargo, activando este parámetro impedirá que los atacantes ejecuten programas maliciosos desde la unidad de disco flexible de los servidores. En una CA, es posible que el administrador utilice la unidad de disco flexible para copiar la información delicada del servidor o en el servidor; este parámetro impide acceder a estos datos a cualquier persona, excepto a los administradores que inician una sesión localmente. Por esta razón, este parámetro está Activado en el entorno Cliente Empresarial definido en esta guía

Encriptación del Sistema: Utilizar los Algoritmos que Cumplen con FIPS para Encriptación, Operaciones Hash y Firmas Tabla 10.3: Valores

Miembros del Dominio Cliente Empresarial


El parámetro Criptografía del sistema: Utilizar los algoritmos que cumplen con FIPS para encriptación, operaciones hash y firmas determina si el Proveedor de Seguridad TLS/SSL soporta sólo la suite de encriptación TLS_RSA_WITH_3DES_EDE_CBC_SHA. De hecho, esto significa que el proveedor sólo soporta el protocolo TLS como cliente y servidor (si es aplicable).

El Proveedor de Seguridad TLS/SSL utiliza:

• El algoritmo de encriptación estándar triple (DES) para encriptar el tráfico TLS.

• El algoritmo de clave pública Rivest, Shamir y Adelman (RSA) para el intercambio y autentificación de claves TLS. (RSA es una tecnología de encriptación de clave pública desarrollada por RSA Data Security, Inc.)

• El algoritmo de operaciones hash SHA–1 para los requisitos de operaciones hash TLS.

Para el Servicio EFS, el Proveedor de seguridad TLS/SSL soporta únicamente el algoritmo de encriptación triple DES para encriptar los datos de archivos soportados por el sistema de archivo NTFS de Windows. Por defecto, EFS utiliza el algoritmo DESX para encriptar los datos de archivos.

246

La activación de este parámetro garantiza que los ordenadores que realizan este rol de servidor en su entorno utilizarán los algoritmos más potentes disponibles para la encriptación, las operaciones hash y las firmas digitales. Esto reduce el riesgo de que un usuario no autorizado ponga en peligro los datos encriptados o firmados digitalmente. Por estas razones, este parámetro está Activado en el entorno Cliente Empresarial definido en esta guía.

Nota: Los clientes con este parámetro activado no podrán comunicarse con los servidores que no soporten estos algoritmos a través de protocolos encriptados o firmados digitalmente. Los clientes de red que no soporten estos algoritmos no podrán utilizar los servidores que los requieran para las comunicaciones de red. Por ejemplo, muchos servidores Web basados en Apache no están configurados para soportar TLS. Si activa este parámetro también tendrá que configurar Internet Explorer para utilizar TLS al abrir el cuadro de diálogo Opciones de Internet desde el menú Herramientas de Internet Explorer. Haga clic en la pestaña Avanzado en el cuadro de diálogo Opciones de Internet, desplácese hasta el final de la lista de Configuraciones y haga clic en el cuadro de selección Utilizar TLS 1.0. También es posible configurar esta función a través de la directiva de grupo o mediante el Kit para Administradores de Internet Explorer.

247

Parámetros del Registro de Eventos Los parámetros del Registro de eventos para los servidores de Servicios de Certificación en el entorno Cliente Empresarial definidos en esta guía también están configurados a través de la MSBP. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia".

248


Existen servicios adicionales que por lo regular están activados en los ordenadores que ejecutan Windows Server 2003 y que funcionan como servidores de Servicios de Certificación, pero no son esenciales. El uso y la seguridad de esos servicios suele ser un punto de debate. Por ello, es posible que las recomendaciones para los servidores de archivos de esta guía no sean aplicables en su entorno. Ajuste las recomendaciones de la Directiva de Grupo del Servidor Servicios de Certificación según sus necesidades para satisfacer los requisitos de su empresa.

Los parámetros de Servicios del sistema se pueden establecer en Windows Server 2003 en la siguiente ubicación dentro del Editor de objetos de las Directivas de Grupo:

Configuración del Equipo\Configuración de Windows\Configuración de seguridad\Servicios del sistema\

La siguiente tabla incluye los parámetros del servicio de directiva incremental para el rol del servidor del Servicio de certificados del entorno Cliente Empresarial definido en esta guía.

Servicios de CertificaciónTabla 10.4: Valores

Nombre del Servicio

Valor Predeterminado del Servidor

Cliente Empresarial

CertSvc No definido Automático

Los Servicios de certificación forman parte del sistema operativo central de Windows Server 2003 que permite a una empresa actuar como su propia CA. Este servicio es necesario para que los servidores de Servicios de Certificación funcionen adecuadamente. Estos servicios se utilizan para emitir y administrar certificados digitales para aplicaciones, como S/MIME, SSL, EFS, IPSec e inicio de sesión mediante tarjeta inteligente. Windows Server 2003 soporta diversos niveles de jerarquía de CAs, así como una red de confianza cruzada certificada, incluyendo CAs online y offline.

Desactivar estos servicios provoca que las solicitudes de certificados no sean aceptadas y que las CRLs y CRLs delta tampoco se publiquen. Si el servicio se detiene durante un período suficientemente amplio provocará que las CRLs caduquen y que falle el proceso de validación para los certificados existentes. Por estas razones, estos servicios se establecen en Automático en el entorno Cliente Empresarial definido en esta guía.

Explorador del EquipoTabla 10.5: Valores

Nombre del servicio


Cliente Empresarial

Explorador Automático Desactivado

El servicio Explorador del equipo mantiene actualizada la lista de ordenadores de su red y proporciona la lista a los programas que la solicitan. Los ordenadores basados en Windows utilizan el servicio Explorador del equipo para ver los dominios y recursos de red.

249

Los ordenadores diseñados como exploradores conservan las listas del explorador que contienen todos los recursos compartidos utilizados en la red. Las versiones anteriores de las aplicaciones Windows, como Mis sitios de red, el comando NET VIEW y el explorador de Windows NT requieren habilidades de exploración. Por ejemplo, cuando se abre Mis sitios de red en un ordenador que ejecuta Windows 95 se muestra una lista de dominios y ordenadores, que el ordenador realiza después de obtener una copia de la lista del explorador desde un ordenador designado como explorador.

Existen diferentes roles que puede llevar a cabo un ordenador en un entorno de exploración. En algunas condiciones, como el fallo o el cierre de un ordenador designado para el rol de explorador, es posible que los exploradores (o exploradores potenciales) cambien a un rol de funcionamiento distinto.

Desactivar el servicio Explorador del equipo provoca que la lista del explorador no se actualice o conserve y que los servicios que dependen explícitamente de éste no se inicien. Sin embargo, los servidores CA no requieren este servicio. Por esta razón, este parámetro está Desactivado en el entorno Cliente Empresarial definido en esta guía.

250

Parámetros Adicionales del RegistroSe han creado entradas de registro adicionales para los archivos de la plantilla de seguridad del servidor de Servicios de Certificación que no están definidos dentro de los archivos de Plantilla administrativa (.adm) para el entorno Cliente Empresarial definido en esta guía. Los archivos .adm definen las directivas y restricciones del sistema para el escritorio, el shell y los parámetros de seguridad para Windows Server 2003.

Estos parámetros adicionales del registro están configurados dentro de las plantillas de seguridad para automatizar estos cambios. Si se elimina la directiva para el entorno correspondiente, sus parámetros no se eliminan de manera automáticamente, sino que deben modificarse manualmente mediante una herramienta de edición del registro como Regedt32.exe.

Los parámetros del registro se pueden establecer en Windows Server 2003 en la siguiente ubicación dentro del Editor de Objetos de la Directiva de Grupo:

MÁQUINA\SISTEMA\CurrentControlSet\Servicios\CertSvc\Configuración

La siguiente tabla incluye la ruta del registro para las claves y subclaves, para auditar cualquier cambio en la configuración del rol del servidor de Servicios de Certificación definida para el entorno Cliente Empresarial esta guía.

Tabla 10.6: SACLs de Auditoría del Registro

Ruta de la Auditoría en la Interfaz Cliente Empresarial

MAQUINA\SISTEMA\CurrentlControlSet\Servicios\

Certsvc\

Configuración (y todas las subclaves)

Error; Todos control completo; <no

heredado> Especial

MAQUINA\SISTEMA\CurrentControlSet\Servicios\

Certsvc\

Configuración (y todas las subclaves)

Éxito; Todos; Especial: Valor establecido,

Crear subclave, Crear vínculo, Eliminar,

Cambiar permisos, Tomar la propiedad; <no

heredado> Especial

251

Parámetros Adicionales de Seguridad Los parámetros siguientes se pueden asignar a través de la Directiva de Grupo. Sin embargo, esta guía no los incluye, ya que la instalación de la base de datos y los registros puede diferir de un servidor a otro. Por ejemplo, su Servidor de Certificación puede tener unidades C:\, D:\ y E:\. En la siguiente sección. le ofrecemos detalles sobre cómo implementar manualmente estos parámetros.

ACLs del Sistema de ArchivosLos archivos que las listas de control de acceso (ACLs) no pueden proteger pueden ser vistos, modificados o eliminados por usuarios no autorizados que pueden acceder a ellos localmente o a través de la red. Las ACLs ayudan a protegerlos. La encriptación proporciona una mayor protección y es una opción viable para los archivos que necesitan ser accesibles sólo a un usuario.

La siguiente tabla incluye las ACLs de sistemas de archivos para los sistemas basados en Windows Server 2003 que ejecutan servidores de Servicios de Certificación en el entorno Cliente Empresarial definido en esta guía. En este entorno, los servidores de Servicios de Certificación tienen instalado el directorio de la base de datos de certificados en la unidad D:\ para D:\CertSrv y los registros de bases de datos almacenados en la carpeta predeterminada %SystemRoot%\system32\CertLog. También es posible mover los registros de la unidad del sistema a una unidad mirror físicamente independiente, por ejemplo, E:\ - en la carpeta E:\CertLog. Separar la base de datos y los registros en diferentes unidades no es un requisito de seguridad, pero se recomienda para obtener una protección adicional contra fallos de los discos y para mejorar el rendimiento al colocar estos artículos en dispositivos de disco físicamente independientes. Las carpetas de instalación predeterminadas de los Servicios de Certificación %SystemRoot%\system32\CertLog y %SystemRoot%\system32\CertSrv cuentan con las ACLs correctas por defecto. Se lo mostramos en la tabla siguiente.

Tabla 10.7: ACLs del Sistema de Archivos

Ruta de la ACL en la Interfaz Cliente Empresarial

%SystemRoot%\system32\CertLog

(propagar a todas las subcarpetas)

Administradores (Control total)

SISTEMA (Control total)

%SystemRoot%\system32\CertSrv

(propagar a todas las subcarpetas)

Administradores (Control total)


Usuarios (Leer y Ejecutar, Enumerar el

Contenido de las Carpetas y Lectura)

D:\CertLog Administradores (Control total)


D:\CertSrv Administradores (Control total)


Usuarios (Leer y Ejecutar, Enumerar el

Contenido de las Carpetas y Lectura)

252

Debido a la naturaleza sensible a la seguridad de las CAs, la auditoría de archivos está habilitada en las carpetas de Servicios de Certificación enumeradas en la siguiente tabla. Las entradas de auditoría se configuran del modo siguiente:

Tabla 10.8: Auditoría de los Archivos y el Registro de los Servicios de Certificación

Ruta del Archivo o Ruta del Registro

Tipo de Auditoría Configuración de la Auditoría

%SystemRoot%\system32\

CertLog

Error Todos (Control total)

%SystemRoot%\system32\

CertSrv

Éxito Todos (Modificar)

D:\CertSrv Éxito Todos (Modificar)

D:\CertLog Éxito Todos (Modificar)

El objetivo de estos parámetros es auditar cualquier tipo de acceso fallido (lectura o modificar) por parte de cualquier usuario, así como auditar cualquier modificación satisfactoria realizada por cualquier usuario.




253

Siga los siguientes pasos para asegurar las cuentas más conocidas en los dominios y servidores:







254

ResumenEste capítulo explica cómo configurar los parámetros del servidor para proteger los servidores de Servicios de Certificación en el entorno Cliente Empresarial definido en esta guía. Los parámetros analizados se configuran y aplican utilizando la Directiva de Grupo. Se puede vincular un GPO diseñado para complementar la MSBP a las unidades organizativas (OUs) adecuadas contenidas en los servidores de Servicios de Certificación para proporcionar una mayor seguridad en base a los servicios que ofrecen estos servidores.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con Windows Server 2003 y el rol del servidor de Servicios de Certificación explicado en esta guía en el momento en que este producto se lanzó al mercado.

Para leer una buena introducción a los conceptos de Infraestructura de clave pública (PKI) y las funciones de los Servicios de Certificación de Windows 2000, consulte "Introducción a la infraestructura de clave pública de Windows 2000", en: http://www.microsoft.com/technet/prodtechnol/windows2000serv/evaluate/featfunc/ pkiintro.asp.

Para obtener información más detallada sobre la funcionalidad de PKI en Windows Server 2003 y Windows XP, consulte "Mejoras de la PKI en Windows XP Professional y Windows Server 2003", en: http://www.microsoft.com/windowsxp/pro/techinfo/planning/pkiwinxp/default.asp

Para obtener más información sobre los conceptos clave de PKI, consulte la información de TechNet en "Infraestructura de clave pública" en: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/ SE_PKI.asp.

255

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/%20SE_PKI.asp

http://www.microsoft.com/technet/prodtechnol/windowsserver2003/proddocs/entserver/%20SE_PKI.asp

http://www.microsoft.com/windowsxp/pro/techinfo/planning/pkiwinxp/default.asp

http://www.microsoft.com/technet/prodtechnol/windows2000serv/evaluate/featfunc/%20pkiintro.asp

11Protección de los Bastion Hosts

Descripción GeneralEste capítulo se centra en la protección de los bastion hosts de su entorno. Un bastion host es un ordenador seguro pero públicamente accesible. Los bastion hosts se sitúan en el lado público de la red perimetral (también conocida como DMZ, zona desmilitarizada y subred supervisada). Los bastion hosts no están protegidos por medio de un cortafuegos o un router, por lo que están totalmente expuestos a un ataque. Por ello, se debe realizar un gran esfuerzo durante el diseño y la configuración de los bastion hosts para minimizar la probabilidad de que uno de ellos pueda estar en peligro.

Los bastion hosts se usan generalmente como servidores Web, servidores DNS, servidores FTP, servidores SMTP y servidores NNTP. En el caso ideal, los bastion hosts estarían dedicados únicamente a una de esas funciones, ya que cuantos más se asigne a un host, mayor será la probabilidad de pasar por alto un fallo de seguridad. Es más fácil asegurar un solo servicio en cada bastion host. Las empresas que pueden permitirse los gastos asociados con la implantación de múltiples bastion hosts pueden obtener grandes ventajas de este tipo de arquitectura de red.

La configuración de los bastion hosts seguros es muy distinta de la de los hosts comunes. Todos los servicios, protocolos, programas e interfaces de red innecesarios se desactivan o eliminan y, a continuación, cada bastion host se configura normalmente para desempeñar un rol específico. Protegiendo así los bastion hosts se limitan los métodos potenciales de ataque.

Las siguientes secciones de este capítulo explican en detalle varias configuraciones para reforzar la seguridad y proteger con mayor eficacia los bastion hosts de cualquier entorno.

Directiva Local de Bastion HostsA diferencia de las otras directivas de grupo del rol de servidor explicadas anteriormente en esta guía, la Directiva de Grupo no se puede aplicar a los servidores bastion hosts, ya que están configurados como hosts independientes que no pertenecen a un dominio de Directorio Activo. Debido a su nivel de exposición, sólo se prescribe un grado de orientación para los servidores bastion hosts en los tres entornos definidos de esta guía. Las configuraciones de seguridad descritas a continuación están basadas en la Directiva de Referencia de Servidores Miembro (MSBP) para el entorno de Alta Seguridad que se define en el Capítulo 3, "Creación de un servidor miembro de referencia". Están incluidas en una plantilla de seguridad que se debe aplicar a la Directiva Local de Bastion Hosts (BHLP) de cada bastion host.

Aplicación de la Directiva Local de Bastion Hosts

Puede utilizar el archivo High Security – Bastion Host.inf que se incluye con esta guía para configurar la BHLP. Habilitará los servicios requeridos para que un servidor bastion host SMTP funcione correctamente. La aplicación del archivo High Security – Bastion Host.inf mejora la seguridad del servidor, reduciendo en gran medida la superficie de ataque de un bastion host, pero impide la administración remota del bastion host. Debe modificar la BHLP para activar otras funcionalidades o para incrementar la capacidad de administración de un bastion host.

256

Para poder aplicar todos los parámetros de seguridad que incluye la plantilla de seguridad, es necesario utilizar el complemento Configuración y Análisis de Seguridad en lugar del complemento Directiva Local del Ordenador. No es posible importar la plantilla de seguridad mediante el complemento Directiva Local del Ordenador porque los parámetros de seguridad para los Servicios del Sistema no se pueden aplicar utilizando este complemento.

Los siguientes pasos explican el proceso para importar y aplicar la plantilla de seguridad BHLP utilizando el complemento Configuración y Análisis de Seguridad.

Advertencia: Microsoft le recomienda encarecidamente que haga una copia de seguridad completa del servidor bastion host antes de aplicar el archivo High Security – Bastion Host.inf. Devolver un bastion host a su configuración original después de aplicar la plantilla de seguridad High Security – Bastion Host.inf, es muy difícil. Asegúrese de que la plantilla de seguridad esté configurada para habilitar la funcionalidad del bastion host que requiere su entorno.

Para importar la plantilla de seguridad:

1. Abra el complemento Configuración y Análisis de Seguridad.

2. Haga clic con el botón secundario del ratón en el objeto Configuración y Análisis de Seguridad.

3. Haga clic en Abrir Base De datos.

4. Escriba un nuevo nombre para la base de datos y haga clic en Abrir.

5. Seleccione la plantilla de seguridad High Security – Bastion Host.inf y, a continuación, haga clic en Abrir.

Se importarán todas las configuraciones del bastion host serán importadas, que usted podrá revisar y aplicar a continuación.

Para aplicar las configuraciones de seguridad:

1. Haga clic con el botón secundario del ratón en el objeto Configuración y Análisis de Seguridad.

2. Seleccione Configurar el Equipo Ahora.

3. En el cuadro de diálogo Configurar el Equipo Ahora, escriba el nombre del archivo de registro que desea ver y haga clic en Aceptar.

Mediante estos pasos, se aplicarán todos los parámetros pertinentes de la plantilla de seguridad a la directiva local del bastion host de su entorno. Debe reiniciar el bastion host para que todas las configuraciones surtan efecto.

Las siguientes secciones describen los parámetros de seguridad que se aplican utilizando la BHLP. Sólo se documentan en este capítulo los parámetros que difieren de los de la MSBP.

257

Parámetros de la Directiva de Auditoría Los parámetros de la Directiva de Auditoría de la BHLP para los bastion hosts son los mismos especificados en el archivo High Security – Member Server Baseline.inf. Para más información sobre la MSBP, consulte el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la BHLP garantizan que toda la información de auditoría de seguridad importante se registra en todos los servidores bastion hosts.

258

Asignación de los Permisos de Usuario Las Asignaciones de Permisos de Usuario de la BHLP para los bastion hosts se basan en las especificadas en el archivo High Security – Member Server Baseline.inf en el Capítulo 3, "Creación de un servidor miembro de referencia”. Las diferencias entre la BHLP y la MSBP se describen a continuación.

Permitir el inicio local de sesiónTabla 11.1: Configuración


Configuración

Permitir el inicio local de sesión Administradores

El permiso de usuario Permitir el inicio local de sesión permite a un usuario iniciar una sesión interactiva en el ordenador. Limitar las cuentas que se pueden utilizar para conectarse a una consola del servidor bastion host ayudará a evitar el acceso no autorizado al sistema de archivos y a los servicios del sistema de un servidor. Un usuario con capacidad para conectarse a la consola de un servidor puede explotar el sistema para poner en peligro su seguridad.

A los grupos Operadores de Cuenta, Operadores de Copia de Seguridad, Operadores de Impresión y Usuarios Avanzados se les da permiso por defecto para iniciar la sesión de manera local. Otorgar este derecho sólo al grupo de Administradores limita el acceso administrativo a los servidores bastion hosts sólo a los usuarios fiables y ofrece un mayor nivel de seguridad.

Denegar el acceso a este equipo desde la redTabla 11.2: Configuración


Configuración

SUPPORT_388945a0 INICIO ANÓNIMO DE SESIÓN;


Support_388945a0; Invitado; todas la

cuentas de servicio que NO sean del

sistema operativo

Nota: INICIO ANÓNIMO DE SESIÓN, Administrador integrado, Support_388945a0, Invitado y todas las cuentas de servicio que NO sean del sistema operativo no se incluyen en la plantilla de seguridad. Estas cuentas y grupos tienen identificadores únicos de seguridad (SIDs). Por lo tanto, se deben añadir manualmente a la BHLP.

259

El permiso de usuario Denegar el acceso a este equipo desde la red determina qué usuarios no pueden acceder a un ordenador en la red. Esta configuración denegará varios protocolos de red, incluyendo SMB, NetBIOS, CIFS, HTTP y COM+. Este parámetro anula el parámetro Acceder a este ordenador desde la red si una cuenta de usuario está sujeta a ambas directivas. Configurar este permiso de usuario para otros grupos puede limitar la capacidad de los usuarios de realizar las tareas administrativas delegadas en su entorno.

En el Capítulo 3, "Creación de un servidor miembro de referencia”, esta guía recomienda incluir el grupo Invitados en la lista de usuarios y grupos asignados a este permiso para proporcionar el nivel de seguridad más alto posible. No obstante, la cuenta IUSR que se utiliza para el acceso anónimo a IIS es por defecto miembro del grupo Invitados. Por estas razones, el parámetro Denegar el acceso a este equipo desde la red está configurado para incluir INICIO ANÓNIMO DE SESIÓN, Administrador integrado, Support_388945a0, Invitado, todas las cuentas de Servicio que NO sean del sistema operativo para los bastion hosts en el entorno de Alta Seguridad que se define en esta guía.

260

Opciones de SeguridadLos parámetros de las Opciones de seguridad de la BHLP para los bastion hosts son los mismos que se especifican en el archivo High Security – Member Server Baseline.inf en el Capítulo 3, "Creación de un servidor miembro de referencia". Los parámetros de la BHLP garantizan que todas las Opciones de seguridad relevantes se configuran uniformemente en los servidores bastion hosts.

261

Parámetros del Registro de EventosLos parámetros del Registro de eventos de la BHLP para los bastion hosts son los mismos que los especificados en el archivo High Security – Member Server Baseline.inf en el Capítulo 3, “Creación de un servidor miembro de referencia". La configuración de la BHLP garantiza que todos los parámetros relevantes del Registro de eventos se configuren de manera uniforme en todos los bastion hosts.

262

Servicios del Sistema Los servidores bastion hosts están expuestos por naturaleza a los ataques externos. Por esta razón, debe minimizar la superficie de ataque de cada bastion host. Para proteger adecuadamente un servidor bastion host, debe desactivar todos los servicios que no sean requeridos por el sistema operativo, así como aquellos que no sean esenciales para el correcto funcionamiento del bastion host. La Plantilla de seguridad High Security – Bastion Host.inf que se incluye con esta guía configura la BHLP para habilitar los servicios que requiere un servidor bastion host SMTP para funcionar adecuadamente. La BHLP activa el servicio del Administrador de Servicios de Información de Internet, el servicio SSL HTTP y el servicio SMTP. Sin embargo, debe modificar la BHLP para activar cualquier otra funcionalidad.

Si se desactiva un gran número de servicios, pueden generarse numerosas advertencias en el Registro de Eventos que se pueden ignorar. En algunos casos, la activación de algunos de estos servicios reducirá los mensajes de advertencia y error del Registro de Eventos e incrementará la capacidad de administración de los bastion hosts. Sin embargo, esto también hará aumentar la superficie de ataque del bastion host.

Las siguientes secciones analizan los servicios que se deben desactivar en los servidores bastion hosts para reducir su superficie de ataque y mantener su funcionalidad. Sólo se incluyen en estas secciones los servicios que todavía no están desactivados en el archivo High Security – Member Server Baseline.inf.

Automatic UpdatesTabla 11.3: Configuración

Nombre del servicio Configuración

Wuauserv Desactivada

El servicio Automatic Updates permite a los bastion hosts descargar e instalar las actualizaciones críticas de Windows®. Este servicio proporciona automáticamente a los bastion hosts las actualizaciones, controladores y mejoras más recientes. Ya no tiene que buscar manualmente la información y las actualizaciones críticas; el sistema operativo las entrega directamente a los bastion hosts. El sistema operativo reconoce cuándo está usted online y utiliza su conexión a Internet para buscar las actualizaciones aplicables desde el servicio Windows Update. En función de su configuración, el servicio le avisará antes de iniciar la descarga, la instalación o instalará automáticamente las actualizaciones por usted.

Detener o desactivar el servicio Actualizaciones automáticas impedirá que las actualizaciones críticas se descarguen automáticamente al ordenador. En este caso, tendrá que ir directamente al sitio Web Windows Update, en http://v4.windowsupdate.microsoft.com/es/ para buscar, descargar e instalar todas las revisiones críticas aplicables.

Este servicio no es esencial para el correcto funcionamiento de un bastion host. El uso de una directiva local para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el parámetro Actualizaciones automáticas está Desactivado en la BHLP.

263

http://www.windowsupdate.microsoft.com/

Servicio de Transferencia Inteligente en Segundo PlanoTabla 11.4: Configuración


BITS Desactivada

El Servicio de Transferencia Inteligente en Segundo Plano (BITS. Background Intelligent Transfer Service) es un mecanismo de transferencia de archivos en segundo plano y un administrador de colas. BITS transfiere archivos de manera asíncrona entre un cliente y un servidor HTTP. BITS acepta solicitudes para transferir archivos utilizando ancho de banda de red que, de otro modo, estaría inactivo para que las otras actividades relacionadas con la red, como la exploración, no se vean afectadas.

Si se detiene este servicio, las funciones como Automatic Updates no descargarán programas y otra información automáticamente hasta que el servicio esté de nuevo en funcionamiento. Esto significa que el ordenador no recibirá actualizaciones automáticas de los Servicios de Actualización de Software (SUS), si este servicio se ha configurado a través de la Directiva de Grupo. Desactivar este servicio provoca que todos los servicios que dependen de él no transfieran archivos, a menos que usted haya instalado un mecanismo a prueba de fallos para transferir archivos directamente a través de otros métodos como Internet Explorer.

Este servicio no es esencial para el correcto funcionamiento de un bastion host. El uso de una directiva local para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, este servicio está desactivado en la BHLP.

Explorador del EquipoTabla 11.5: Configuración

Nombre del Servicio Configuración

Explorador Desactivada

El servicio Explorador del equipo mantiene actualizada la lista de ordenadores de su red y proporciona la lista a los programas que la solicitan. Los ordenadores basados en Windows utilizan el servicio Explorador del equipo para ver los dominios y recursos de red. Los ordenadores diseñados como exploradores conservan las listas del explorador que contienen todos los recursos compartidos utilizados en la red. Las versiones anteriores de las aplicaciones Windows, como Mis sitios de red, el comando NET VIEW y el explorador de Windows NT requieren habilidades de exploración. Por ejemplo, cuando se abre Mis sitios de red en un ordenador que ejecuta Windows 95 se muestra una lista de dominios y ordenadores, que el ordenador realiza después de obtener una copia de la lista del explorador desde un ordenador designado como explorador.

Desactivar el servicio Explorador del equipo provoca que la lista del explorador no se actualice o conserve y que los servicios que dependen explícitamente de éste no se inicien. Sin embargo, los servidores CA no requieren este servicio. Por esta razón, este parámetro está Desactivado en el entorno Cliente Empresarial definido en esta guía.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, la configuración Explorador del equipo está Desactivado en la BHLP.

264

Cliente DHCPTabla 11.6: Configuración


Dhcp Desactivada

El servicio Cliente DHCP administra la configuración de la red registrando y actualizando las direcciones del Protocolo de Internet (IP) y los nombres DNS para su ordenador. Este servicio evita que usted tenga que cambiar manualmente las configuraciones IP cuando un cliente, como un usuario itinerante, navega por la red. El cliente recibe automáticamente una nueva dirección IP sin importar la subred a la que se vuelva a conectar, siempre y cuando el servidor DHCP esté accesible desde cada una de estas subredes. No es necesario configurar manualmente los parámetros para DNS ni para el Servicio de Nombres de Internet de Windows (WINS). El servidor DHCP aplica estas configuraciones de servicio al cliente, siempre y cuando el servidor DHCP haya sido configurado para emitir esa información. Para activar esta opción en el cliente, simplemente seleccione la opción Obtener la Dirección del Servidor DNS Automáticamente. Activar esta opción no provocará conflictos de replicación de direcciones IP.

Si se detiene el servicio de Cliente DHCP, su ordenador no recibirá direcciones IP dinámicas y las actualizaciones automáticas de DNS Dinámico no se registrarán en el servidor DNS. Desactivar este servicio también hace que fallen los servicios que dependen del mismo.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Cliente DHCP está Desactivado en la BHLP.

Conciencia de la Ubicación de la Red (NLA)Tabla 11.7: Configuración


Ianmanserver Desactivada

El servicio Conciencia de la ubicación de la red (NLA) recopila y almacena información de la configuración de la red como las direcciones IP y los cambios en los nombres de dominio, así como la información de cambio de ubicaciones, y luego notifica a los programas cuándo se han realizado dichos cambios.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, la Conciencia de la ubicación de la red (NLA) está Desactivada en la BHLP.

265

Proveedor de Soporte de Seguridad NTLM Tabla 11.8: Configuración


NtLmSsp Desactivada

El servicio Proveedor de soporte de seguridad NTLM proporciona seguridad a los programas RPC que utilizan transportes distintos de los canales nombrados y permite a los usuarios iniciar una sesión en la red mediante el protocolo de autentificación NTLM. El protocolo NTLM autentifica los clientes que no utilizan la autentificación de Kerberos versión 5.

Detener o desactivar el servicio Proveedor de soporte de seguridad NTLM impedirá a los clientes iniciar una sesión utilizando el protocolo de autentificación NTLM y acceder a los recursos de la red. Microsoft Operations Manager (MOM) y Telnet se basan en este servicio.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Proveedor de soporte de seguridad NTLM está Desactivado en la BHLP.

Registros y Alertas de Rendimiento Tabla 11.9: Configuración


SysmonLog Desactivada

El servicio Registros y alertas de rendimiento recopila datos de rendimiento de los ordenadores locales y remotos según parámetros preconfigurados y planificados; a continuación, escribe los datos en un registro o inicia una alerta. El servicio de Registros y alertas de rendimiento inicia y detiene la recopilación de datos de rendimiento nombrados según la información contenida en la configuración de recopilación del registro nombrado. Este servicio sólo se ejecuta si se programa como mínimo una recopilación.

Detener o desactivar el servicio Registros y alertas de rendimiento provoca que no se recopile la información sobre el rendimiento, que se detengan las recopilaciones de datos que se estén ejecutando en ese momento y que no se produzcan las recopilaciones programadas para el futuro.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el parámetro Registros y alertas de rendimiento está Desactivado en la BHLP.

266

Servicio de Administración Remota Tabla 11.10: Configuración


SrvcSurg Desactivada

El Servicio de administración remota ejecuta las siguientes tareas de Administración remota cuando se reinicia el servidor:

• Incrementa la cuenta de inicio del servidor.

• Genera un certificado auto-firmado.

• Emite una alerta si no se han configurado la fecha y la hora del servidor.

• Emite una alerta si no se ha configurado la funcionalidad de notificación por correo electrónico.

Detener el Servicio de administración remota puede provocar que algunas funciones de las Herramientas de Administración Remota del Servidor no funcionen adecuadamente, como la interfaz Web para administración remota. Desactivar este servicio provoca que falle cualquier servicio que dependa explícitamente del mismo.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Servicio de administración remota está Desactivado en la BHLP.

Servicio de Registro Remoto Tabla 11.11: Configuración


RemoteRegistry Desactivada

El Servicio de registro remoto permite a los usuarios remotos modificar las configuraciones del registro en el controlador de dominio, siempre y cuando los usuarios remotos tengan los permisos requeridos. Por defecto, sólo los usuarios de los grupos de Administradores y Operadores de Copia de Seguridad pueden acceder remotamente al registro. Este servicio es necesario para la utilidad Microsoft Baseline Security Analyzer (MBSA). MBSA es una herramienta que le permite comprobar qué parches están instalados en los servidores de su empresa.

Detener el Servicio de registro remoto le permite modificar el registro sólo en el ordenador local. Desactivar este servicio provoca que fallen los servicios que dependan explícitamente de él, pero no afectará a las operaciones del registro de su ordenador local. Los demás ordenadores y dispositivos tampoco se conectarán al registro de su ordenador local.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Servicio de registro remoto está Desactivado en la BHLP.

267

ServidorTabla 11.12: Configuración


Ianmanserver Desactivado

El servicio Servidor proporciona soporte RPC, uso compartido de archivos, impresión y canales nombrados sobre la red. Este servicio permite el uso compartido de recursos locales, como discos e impresoras, para que otros usuarios en la red puedan acceder a los mismos. También permite la comunicación de canales nombradas entre las aplicaciones que se ejecutan en otros ordenadores y su ordenador, lo cual se utiliza para RPC. La comunicación de canales nombrados es memoria reservada para la salida de un proceso que se utilizará como entrada para otro proceso. No es necesario que el proceso de aceptación de entrada sea local para el ordenador.

Detener el servicio Servidor le impide compartir archivos e impresoras en el ordenador con otros individuos de la red y tampoco satisfará las solicitudes RPC. Desactivar este servicio también hace que fallen los servicios que dependen del mismo.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el servicio Servidor está Desactivado en la BHLP.

Servicio de Ayudante NetBIOS TCP/IP Tabla 11.13: Configuración


LMHosts Desactivada

El Servicio de ayudante NetBIOS TCP/IP proporciona soporte para NetBIOS sobre el servicio TCP/IP (NetBT) y la resolución de nombres NetBIOS para los clientes de su red, permitiendo así a los usuarios compartir archivos e impresoras e iniciar una sesión en la red. El servicio de Ayudante NetBIOS TCP/IP ofrece soporte para el servicio NetBT ejecutando la resolución de nombres DNS.

La detención del Servicio de ayudante NetBIOS TCP/IP puede impedir que los clientes de los servicios NetBT, Redirector (RDR), Server (SRV), Netlogon y Messenger compartan archivos e impresoras y que los usuarios inicien una sesión. Por ejemplo, la Directiva de Grupo basada en el dominio ya no funcionará. Desactivar este servicio provoca que fallen todos los servicios que dependan explícitamente del mismo.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Servicio de ayudante NetBIOS TCP/IP está Desactivado en la BHLP.

268

Terminal ServicesTabla 11.14: Configuración


TermService Desactivada

Terminal Services proporciona un entorno multisesión que permite a los dispositivos cliente acceder a una sesión virtual de escritorio de Windows y a los programas basados en Windows que se ejecutan en el servidor. Terminal Services permite a los usuarios administrar de manera remota un servidor.

Detener o desactivar Terminal Services impide administrar un ordenador de manera remota, lo que hace que el ordenador sea difícil de administrar y actualizar.

Este servicio no es esencial para el funcionamiento adecuado de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, la desactivación de este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, Terminal Services está Desactivado en la BHLP.

Windows InstallerTabla 11.15: Configuración


MSIServer Desactivada

El servicio Windows Installer administra la instalación y eliminación de aplicaciones, aplicando un conjunto de reglas de instalación definidas de forma centralizada durante el proceso de instalación. Estas reglas de instalación definen la instalación y configuración de la aplicación instalada. Además, este servicio se utiliza para modificar, reparar o eliminar una aplicación existente. La tecnología de este servicio consta del servicio Windows Installer para los sistemas operativos Windows y el formato de archivo de paquete (.msi) que se utiliza para contener información referente a la configuración y a las instalaciones de la aplicación.

Windows Installer no es sólo un programa de instalación; también es un sistema de administración de software extensible. El servicio administra la instalación, adición y eliminación de componentes de software, supervisa la resistencia de los archivos y mantiene un mecanismo básico de recuperación tras desastres de archivos utilizando rollbacks. Además, Windows Installer soporta la instalación y ejecución de software de múltiples fuentes y puede ser personalizado por los desarrolladores que deseen instalar aplicaciones personalizadas.

Si Windows Installer se configura en manual, las aplicaciones que utilizan el instalador inician este servicio.

Detener este servicio provoca que falle la instalación, eliminación, reparación y modificación de las aplicaciones que dependen de este programa. Además, varias aplicaciones que hacen uso de este servicio mientras se ejecutan pueden no funcionar. Desactivar este servicio provoca que falle cualquier servicio que dependa explícitamente del mismo.

Este servicio no es esencial para el correcto funcionamiento de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, desactivar este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, Windows Installer está Desactivado en la BHLP.

269

Extensiones del Controlador del Instrumental de Administración de Windows Tabla 11.16: Configuración


Ianmanserver Desactivada

El servicio Extensiones del controlador del Instrumental de administración de Windows supervisa todos los controladores y proveedores de seguimiento de eventos configurados para publicar WMI o información de seguimiento de eventos.

Este servicio no es esencial para el buen funcionamiento de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o manejen el servicio. Además, desactivar este servicio reduce eficazmente la superficie de ataque de un servidor bastion host. Por ello, el parámetro Extensiones del controlador del Instrumental de administración de Windows está Desactivado en la BHLP.

Adaptador de Rendimiento de WMI Tabla 11.17: Configuración


Ianmanserver Desactivado

El servicio Adaptador de rendimiento de WMI proporciona información de la biblioteca de rendimiento de los proveedores HiPerf de WMI. Las aplicaciones y los servicios que necesitan proporcionar medidores de rendimiento pueden hacerlo de dos modos actualmente: escribiendo un proveedor de alto rendimiento de WMI o escribiendo una biblioteca de rendimiento.

El servicio Adaptador de rendimiento de WMI transforma los medidores de rendimiento proporcionados por los proveedores HiPerf de WMI en medidores que pueden ser utilizados por el Asistente de Datos de Rendimiento (PDH) a través de la Biblioteca de Rendimiento de Adaptadores Inversos. De esta manera, los clientes PDH, por ejemplo Sysmon, pueden utilizar los medidores de rendimiento que se crean a partir de los proveedores HiPerf de WMI en el equipo.

Si se detiene el servicio Adaptador de rendimiento de WMI, no estarán disponibles los medidores de rendimiento de WMI. Desactivar este servicio provoca que falle cualquier servicio que dependa explícitamente del mismo.

Este servicio no es esencial para el correcto funcionamiento de un bastion host. El uso de una directiva de grupo para proteger y establecer el modo de inicio de un servicio otorga acceso sólo a los administradores del servidor, evitando así que usuarios no autorizados o maliciosos configuren o utilicen el servicio. Además, desactivar este servicio reduce efectivamente la superficie de ataque de un servidor bastion host. Por estas razones, el Adaptador de rendimiento WMI está Desactivado en la BHLP.

270

Parámetros Adicionales de Seguridad Los parámetros de seguridad que se aplican a través de la BHLP proporcionan grandes mejoras en la seguridad de los servidores bastion hosts. No obstante, existen algunas consideraciones y procedimientos adicionales que se deben tomar en cuenta. Esos pasos no se pueden realizar a través de la directiva local, por lo que deben llevarse a cabo manualmente en todos los servidores bastion hosts.

Añadir Manualmente Grupos Sencillos de Seguridad a las Asignaciones de Permisos de UsuarioLa mayoría de los grupos de seguridad apropiados para las Asignaciones de Permisos de Usuario que se aplican a través de la MSBP se han concretado adecuadamente en las plantillas de seguridad que acompañan a esta guía. Sin embargo, existen algunas cuentas y grupos de seguridad que no se pueden incluir en las plantillas, debido a que sus identificadores de seguridad (SIDs) son específicos para dominios individuales de Windows 2003. A continuación se especifican las asignaciones de permisos de usuario que se deben configurar manualmente.

Advertencia: La siguiente tabla contiene valores para la cuenta integrada del Administrador. Esta cuenta no se debe confundir con el grupo de seguridad integrado de Administradores. Si agrega el grupo de seguridad de Administradores a alguno de los permisos de usuario de acceso denegado que se presentan a continuación, tendrá que iniciar una sesión localmente para poder corregir el error.

Además, es posible que se haya renombrado la cuenta de Administrador integrada conforme a algunas de las recomendaciones que se describen en el Capítulo 3, "Creación de un servidor miembro de referencia". Al añadir la cuenta del Administrador, asegúrese de especificar la cuenta cuyo nombre ha cambiado.

Tabla 11.18: Asignaciones de Permisos de Usuario Añadidas Manualmente



Denegar el acceso a este equipo

desde la red


Support_388945a0;





Support_388945a0; Invitado;

todas la cuentas de servicio

que NO sean del sistema

operativo

Administrador

integrado;

Support_388945a0;

Invitado; todas la

cuentas de servicio

que NO sean del

sistema operativo

Importante: Todas las cuentas de servicio que no sean del sistema operativo incluyen cuentas de servicio utilizadas para aplicaciones específicas en una empresa. Esto NO incluye las cuentas del SISTEMA LOCAL, el SERVICIO LOCAL o el SERVICIO DE RED, que son cuentas integradas que utiliza el sistema operativo.

Eliminar Enlaces y Protocolos de Red InnecesariosEn los servidores que son accesibles directamente desde Internet, y en concreto los servidores bastion hosts, deben desactivarse todos los protocolos innecesarios para contrarrestar la amenaza de enumeración de usuarios. La enumeración de usuarios es un tipo de vulnerabilidad de recopilación de información en la que un atacante intenta obtener información específica del sistema para planear futuros ataques.

El protocolo SMB devolverá información abundante acerca de un ordenador incluso a los usuarios no autentificados que utilizan sesiones "nulas". Esta información incluye usos compartidos, información del usuario (incluyendo derechos de grupos y usuarios), claves de registro y más.

271

Desactivar SMB y NetBIOS sobre TCP/IP protege un bastion host, reduciendo en gran medida la superficie de ataque del servidor. Aunque los servidores que funcionan con esta configuración son más difíciles de administrar y no pueden acceder a las carpetas compartidas en la red, estas medidas protegen eficazmente al servidor para que no pueda ser puesto en peligro fácilmente. Por lo tanto, esta guía recomienda desactivar SMB y NetBIOS sobre TCP/IP para las conexiones de red en los servidores bastion hosts accesibles desde Internet.

Para desactivar SMB:

1. En el Panel de Control, haga doble clic en Conexiones de Red.

2. Haga clic con el botón secundario del ratón en una conexión a Internet y, a continuación, haga clic en Propiedades.

3. En el cuadro de diálogo Propiedades, seleccione Cliente para Redes de Microsoft y, a continuación, haga clic en Desinstalar.

4. Siga los pasos de la desinstalación.

5. Seleccione Uso Compartido de Archivos e Impresoras para Redes de Microsoft y, a continuación, clic en Desinstalar.

6. Siga los pasos de la desinstalación.

Para desactivar NetBIOS sobre TCP/IP:

1. En el Panel de Control, haga doble clic en Sistema, haga clic en la pestaña Hardware y, a continuación, en el botón Administrador de Dispositivos.

2. En el menú Ver, haga clic en Mostrar dispositivos ocultos.

3. Expanda Controladores que no son Plug and Play.

4. Haga clic con el botón secundario del ratón en NetBIOS sobre Tcpip y, a continuación, haga clic en Desactivar.

Este procedimiento provoca la desactivación del escucha del host directo de SMB en TCP/445 y UDP 445.

Nota: Este procedimiento desactiva el controlador nbt.sys. La pestaña WINS del cuadro de diálogo Configuraciones avanzadas de TCP/IP contiene la opción Desactivar NetBIOS sobre TCP/IP. Al seleccionar esta opción, sólo desactiva el Servicio de la sesión NetBIOS (que escucha en el puerto 139 de TCP). No desactiva SMB completamente. Para hacer esto, siga los pasos anteriores.



Muchas variaciones de código malicioso utilizan la cuenta integrada del administrador en un primer intento de poner en peligro un servidor. El valor de este cambio de configuración ha disminuido en los últimos años desde la liberación de herramientas de ataque que intentan entrar en el servidor especificando el SID de la cuenta integrada del Administrador para determinar su nombre verdadero. Un SID es el valor que define de manera única a cada usuario, grupo, cuenta de ordenador e inicio de sesión en una red. No es posible cambiar el SID de esta cuenta integrada. Cambiar el nombre de la cuenta del administrador local a un nombre

272

único puede ayudar a sus grupos de operaciones a supervisar los intentos de ataque contra esta cuenta.

Para proteger cuentas conocidas en servidores hosts bastion:

1. Cambie el nombre de las cuentas del Administrador y del Invitado y cambie sus contraseñas por un valor largo y complejo en cada servidor.




Informe de ErroresTabla 11.19: Configuración

Predeterminada Cliente Heredado

Cliente Empresarial Alta Seguridad

Comunicar errores Desactivado Desactivado Desactivado

El Informe de Errores ayuda a Microsoft a dar seguimiento y resolver los errores. Puede configurar el informe de errores para generar informes de los errores del sistema operativo, los errores de componentes de Windows o los errores de programa. Activar el Informe de errores hace que esos errores se comuniquen a Microsoft a través de Internet o de un uso compartido interno de archivos empresariales. Esta configuración sólo está disponible en Windows XP Professional y Windows Server 2003.

Ésta es la ruta para establecer esta configuración en el editor de las Políticas de grupo:

Configuración del Equipo\Plantillas administrativas\Sistema\Informe de errores

Los informes de errores pueden contener datos empresariales delicados o incluso confidenciales. La política de privacidad de Microsoft con respecto al informe de errores asegura que Microsoft Corporation no utilizará los datos de forma inadecuada. Sin embargo, los datos que se transmiten en HTTP con texto claro podrían ser interceptados en Internet y vistos por terceros. Por estas razones, esta guía recomienda establecer el Informe de errores como Desactivado en la BHLP de los tres entornos de seguridad definidos en esta guía.

Bloquear puertos con los Filtros IPSecLos filtros de Seguridad IPSec proporcionan un medio efectivo para mejorar el nivel de seguridad requerido para los servidores. Esta guía recomienda esta directriz opcional para reducir aún más la superficie de ataque del servidor en el entorno de Alta Seguridad definido en este documento.


La siguiente tabla enumera todos los filtros IPSec que se deben crear en un bastion host SMTP en el entorno de Alta Seguridad que se define en esta guía.

273

Tabla 11.20: Mapa del Tráfico de la Red IPSec del Bastion Host SMTP

Servicio Protocolo Puerto de origen

Puerto de destino

Dirección de origen


Acción Mirror

Servidor

SMTP:


Cliente DNS TCP CUALQUIERA 53 YO Servidor DNS PERMITIR SÍ

Cliente DNS UDP CUALQUIERA 53 YO Servidor DNS PERMITIR SÍ

Todo el

tráfico de

entrada



La tabla anterior representa los puertos básicos que se deben abrir para que el servidor realice las funciones propias de su rol. Estos puertos son suficientes si el servidor tiene una dirección IP estática.

Advertencia: Estos filtros IPSec son extremadamente restrictivos y reducirán significativamente la capacidad de administración de estos servidores. Necesitará abrir puertos adicionales para permitir la supervisión, la administración de parches y la administración de software.


En esta guía se incluye un archivo .cmd que simplifica la creación de filtros IPSec prescritos para un bastion host. El archivo PacketFilters-SMTPBastionHost.cmd utiliza el comando NETSH para crear los filtros apropiados.

Este script no crea filtros persistentes. Por lo tanto, el servidor no estará protegido hasta que se inicie el Agente de directivas IPSec. Para más información sobre la construcción de filtros persistentes o la creación de scripts más avanzados para filtros, consulte el Capítulo 11, "Procedimientos adicionales para la protección de servidores miembro" de la guía complementaria: Amenazas y Contramedidas: Parámetros de seguridad en Windows Server 2003 y Windows XP. Por último, este script está configurado para no asignar la directiva IPSec creada. Se puede usar el complemento de Administración de Directivas de Seguridad IP para examinar los filtros IPSec creados y para asignar la directiva IPSec para su entrada en vigor.

274

ResumenLos servidores bastion host están altamente expuestos a los ataques externos. Debe protegerlos tanto como sea posible para maximizar su disponibilidad y para minimizar el impacto en caso de que un servidor bastion host se vea en peligro. Los servidores bastion host más seguros son los que limitan el acceso sólo a las cuentas más fiables y activan los menos servicios posibles para realizar eficazmente sus funciones.

Este capítulo explica las configuraciones y procedimientos de protección del servidor que se utilizan para mantener seguros los servidores bastion host. Muchos parámetros se pueden aplicar a través de la Directiva de Grupo local. También se explican los pasos para la configuración y aplicación manual de los parámetros.

También se proporcionan detalles sobre cómo crear y aplicar filtros IPSec para controlar el tipo de tráfico de red que se puede comunicar con un servidor bastion host. Estos filtros se pueden modificar para bloquear tipos concretos de tráfico de red conforme a los roles personalizados que los servidores bastion host realizan en su entorno.

Más informaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con los servidores bastion host en un entorno de ordenadores que ejecutan Windows Server 2003 en el momento en que este producto se lanzó al mercado.

Para más información sobre los bastion hosts, consulte "Crear un Bastion host utilizando HP-UX 11", por Kevin Steves, en: http://people.hp.se/stevesk/bastion11.html.

Para más información sobre cómo crear redes privadas, consulte "Servidores de seguridad y redes privadas virtuales" por Elizabeth D. Zwicky, Simon Cooper y Brent D. Chapman en: http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf.

Para más información sobre los Servidores de seguridad y la seguridad, consulte "Servidores de seguridad y la seguridad: descripción general de la tecnología" por Chuck Semeria en: http://www.linuxsecurity.com/resource_files/firewalls/nsc/500619.html#Bastion%20Host.

Para información sobre el modelo de defensa en profundidad, consulte "El ejército de EE.UU. con Rod Powers", en: http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm.

Para información sobre la protección contra intrusos, consulte "Lista de comprobación para la detección de intrusos" por Jay Beale en: http://www.cert.org/tech_tips/intruder_detection_checklist.html.

Para información sobre cómo proteger los bastion hosts, consulte el artículo de Sala de lectura de la sección de información SANS sobre "Protección de los bastion hosts", en: http://www.sans.org/rr/securitybasics/hard_bastion.php.

Para más información sobre los bastion hosts consulte "Cómo funcionan los bastion hosts", en: http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm.

Para más información sobre cómo desactivar el Servidor de seguridad de la conexión a Internet en Windows Server 2003, consulte el artículo de la Knowledge Base, "Cómo: Activar la función Servidor de seguridad de conexión a Internet en Windows Server 2003”, en: http://support.microsoft.com/default.aspx?scid=317530.

Para información sobre cómo resolver problemas de la Herramienta de configuración y análisis de seguridad, consulte el artículo de la Knowledge Base, "Problemas después de importar múltiples plantillas a la herramienta de configuración y análisis de seguridad", en: http://support.microsoft.com/default.aspx?scid=279125.

Para información sobre la seguridad del sitio, consulte “Manual de seguridad del sitio", en: http://www.theinternetbook.net/rfc/rfc2196.html.

275

http://www.theinternetbook.net/rfc/rfc2196.html



http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm

http://www.sans.org/rr/securitybasics/hard_bastion.php

http://www.cert.org/tech_tips/intruder_detection_checklist.html

http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm

http://www.linuxsecurity.com/resource_files/firewalls/nsc/500619.html#Bastion%20Host

http://www.wiley.com/legacy/compbooks/press/0471348201_09.pdf

http://people.hp.se/stevesk/bastion11.html

12Conclusión

¡Felicidades! Ahora que ha concluido esta guía, debe tener mucho más claro cómo evaluar los riesgos que pueden afectar a la seguridad de los ordenadores que ejecutan Windows Server 2003 en su empresa. Ahora sabe cómo planificar y diseñar la seguridad de su infraestructura, cuando esto es posible. Esta guía incluye elementos normativos que se pueden aplicar a cualquier empresa.

También incluye material recopilado de los consultores e ingenieros de sistemas que trabajan en el sector y que han implementado soluciones Windows Server 2003, Windows XP y Windows 2000 en diversas configuraciones empresariales para ofrecerle el conjunto de las mejores prácticas actuales para llevar a cabo esta compleja tarea.

Independientemente de cuál sea el entorno de su empresa, debe tomarse en serio la seguridad. Sin embargo, muchas organizaciones siguen poniendo poco énfasis en la seguridad, considerándola erróneamente algo que limita la agilidad y la flexibilidad de su empresa. Cuando la seguridad bien diseñada se convierte en un requisito central de la empresa y se incluye una planificación en la fase inicial de cada proyecto TI, una estrategia de seguridad correctamente implementada puede ayudar a mejorar la disponibilidad y el rendimiento de sus sistemas informáticos. Por otro lado, cuando la seguridad se integra a posteriori en un proyecto, puede tener efectos negativos sobre la capacidad de uso, la estabilidad y la flexibilidad de administración, razones importantes por las que toda empresa debe considerar la seguridad una prioridad.

Esta guía le ha mostrado cómo atajar eficazmente los riesgos de seguridad en tres entornos distintos con equipos que ejecutan Windows Server 2003; ha documentado los métodos para planificar y diseñar la seguridad de la infraestructura de red de su empresa y le ha ofrecido instrucciones detalladas acerca de cómo corregir las vulnerabilidades específicas que se pueden encontrar en los equipos que ejecutan Windows Server 2003.

La razón de ser de estas opciones se ha explicado en función de las ventajas e inconvenientes de la decisión de implementar o no cada una de las contramedidas para los tres entornos detallados en esta guía. Se han dado detalles acerca de los efectos que las contramedidas pueden tener sobre la funcionalidad, la capacidad de administración, el rendimiento y la fiabilidad de los ordenadores, de modo que usted pueda elegir razonadamente qué contramedidas debe implementar en su propio entorno.

Por último, es importante comprender que la protección los servidores de su red no es un proyecto que se realice solamente una vez, sino que es un proceso constante que las empresas deben incluir en sus presupuestos y agendas. La implementación de todas las contramedidas discutidas en esta guía mejorará la seguridad en la mayoría de las empresas que funcionan con Windows Server 2003.

No obstante, cuando se descubran las siguientes vulnerabilidades serias, estos entornos pueden volver a ser susceptibles a un ataque. Por ello, es imprescindible supervisar diversos recursos para mantenerse al día en cuanto a la seguridad y los temas relacionados con los sistemas operativos, las aplicaciones y los dispositivos presentes en su entorno.

276

Todos los miembros del equipo que ha producido esta guía esperan que los temas tratados le hayan resultado útiles, informativos y fáciles de entender.

Más InformaciónLos siguientes recursos informativos eran los más recientes acerca de los temas relacionados con Windows Server 2003 en el momento en que este producto y esta guía se pusieron a disposición del público.

Para más información sobre la seguridad en Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/default.asp.

Para más detalles sobre cómo puede ayudar MOF a su empresa, consulte: http://www.microsoft.com/business/services/mcsmof.asp.

Para obtener información sobre el Microsoft Strategic Technology Protection Program, consulte: http://microsoft.com/security/mstpp.asp.

Para información sobre el Servicio de notificación de seguridad de Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp.

277

http://microsoft.com/security/mstpp.asp

http://microsoft.com/security/mstpp.asp

http://www.microsoft.com/business/services/mcsmof.asp

Documents

Windows Server 2003 Security Guide 1