1 / 62

Implementación de la seguridad de clientes en Windows 2000 y Windows XP

Implementación de la seguridad de clientes en Windows 2000 y Windows XP. Nombre del presentador Puesto Compañía. Requisitos previos para la sesión. Experiencia práctica con las herramientas de administración de Windows 2000 o Windows XP Conocimientos de Active Directory y Directivas de grupo.

chiku
Download Presentation

Implementación de la seguridad de clientes en Windows 2000 y Windows XP

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ImplementacióndelaseguridaddeclientesenWindows2000yWindowsXPImplementacióndelaseguridaddeclientesenWindows2000yWindowsXP Nombredelpresentador Puesto Compañía

  2. Requisitospreviosparalasesión • ExperienciaprácticaconlasherramientasdeadministracióndeWindows2000oWindowsXP • ConocimientosdeActiveDirectoryyDirectivasdegrupo Nivel200

  3. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivas de grupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  4. Laimportanciadelaseguridad • Protegerlainformación • Protegerloscanalesdecomunicación • Reducireltiempodeinactividad • Protegerlosaccesos • Protegerlasactividadesdelosempleados EncuestasobreseguridadydelitosinformáticosdeCSI/FBI(año2003)

  5. Estructuradeorganizacióndelaseguridad • Elusodeunasoluciónenniveles: • Aumentalaposibilidaddequesedetectenlosintrusos • Disminuyelaposibilidaddequelosintrusoslogrensupropósito Directivas,procedimientosyconcienciación Seguridadfísica ACL,cifrado Datos Aplicación Refuerzodelasaplicaciones,antivirus Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Host Redinterna Segmentosdered,IPSec,NIDS Servidoresdeseguridad,sistemasdecuarentenaenVPN Perimetral Guardiasdeseguridad,bloqueos,dispositivosdeseguimiento Programasdeaprendizajeparalosusuarios

  6. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivas de grupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  7. Componentesdelaseguridaddelosequiposcliente

  8. Administracióndelasactualizacionesdesoftware • Implementeunasolucióndeadministracióndeactualizaciones paraprotegerlospuntosvulnerables • Asistaalasesiónsobrelaadministraciónderevisionesoexaminelosconsejospreceptivosmostradosen: http://www.microsoft.com/latam/technet/seguridad/

  9. Recomendacionessobrecontraseñas Adoctrinealosusuariossobreelusodebuenascontraseñas Utilicefrases(conespaciosenblanco,númerosycaracteresespeciales)enlugardepalabrassueltas Utilicecontraseñasdistintaspararecursosdiferentesyprotejalalistadecontraseñas Configurelosprotectoresdepantallaconcontraseñaybloqueelasestacionesdetrabajocuandonoseutilicen Apliquelaautenticaciónmediantevariosfactorescuandosenecesiteunamayorseguridad

  10. Proteccióndelosdatos • UsodeEFSpararestringirelaccesoalosdatos • Firmadelosmensajesdecorreoelectrónicoyelsoftwareparaasegurarlaautenticidad • UsodeInformationRightsManagementparaprotegerlainformacióndigitalcontraelusonoautorizado

  11. Equiposportátiles • Elusodedispositivosmóvilesintroduceotrasconsideracionessobrelaseguridad • Losdispositivosmóvilesextiendenelperímetrocuandoestánconectadosabienescorporativos • Senecesitannivelesadicionalesdedefensa: • ContraseñasparaelBIOS • Controldecuarentenadeaccesoalared • Protocolosdeautenticacióninalámbrica • Proteccióndelosdatos

  12. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivas de grupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  13. ComponentesdeActiveDirectory • Bosque • UnlímitedeseguridadenActiveDirectory • Dominio • Unconjuntodeobjetosdeequipo,usuarioygrupodefinidoporeladministrador • Unidadorganizativa • UnobjetocontenedordeActiveDirectoryqueseutilizaenlosdominios • Directivas de grupo • Lainfraestructuraquepermiteimplementaryadministrarlaseguridaddelared

  14. Dominioraíz OUdecontroladordedominio OUdedepartamento OUdeusuariosprotegidosdeWindowsXP OUdeWindowsXP OUdeequiposdeescritorio OUdeequiposportátiles DefinicióndeunajerarquíadeOU • Directivas de gruposimplificalaaplicacióndelaconfiguracióndeseguridaddelosclientes • Modelodejerarquíadistribuida • WindowsXPSecurityGuide • Distribucióndelosusuariosyequiposen unidadesorganizativas(OU)distintas • AplicacióndelaconfiguracióndedirectivasadecuadaacadaOU

  15. Demostración1ModificacióndeActiveDirectoryparalaseguridaddelosclientesPresentacióndeladirectivapredeterminadadedominioCreacióndeunajerarquíadeOUCreacióndeunadirectivadeOUTrasladodelequipoclienteDemostración1ModificacióndeActiveDirectoryparalaseguridaddelosclientesPresentacióndeladirectivapredeterminadadedominioCreacióndeunajerarquíadeOUCreacióndeunadirectivadeOUTrasladodelequipocliente

  16. CómocrearunajerarquíadeOU • CreelasOUdecadadepartamento • Encadadepartamento,creelasOUparalosusuariosylasdistintasversionesdelsistemaoperativo • EnlaOUdecadasistemaoperativo,creeunaOUparacadatipodeequipo(porejemplo,losequiposportátiles) • MuevacadaobjetodeequipoclientealaOUadecuada

  17. RecomendacionesparaimplementarlaseguridadconActiveDirectory CreeunaestructuradeOUparalaseguridaddelosclientes CreeunajerarquíadeOUparadividirlosobjetosdeusuarioydeequiposegúnlafunción ApliqueDirectivasdeGrupoconlaconfiguracióndeseguridadadecuadaparalafuncióndecadaequipo

  18. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivasdegrupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  19. Usodeplantillasdeseguridad • Lasplantillasdeseguridadsonconjuntospreconfiguradosdeopcionesdeseguridad • LasplantillasquecontienelaWindowsXPSecurityGuideson: • Dosplantillasdedominiosquecontienenopcionesparatodoslosequiposdeldominio • Dosplantillasquecontienenopcionesparalosequiposdeescritorio • Dosplantillasquecontienenopcionesparalosequiposportátiles • Cadaplantillatieneunaversiónparaequiposcorporativosyotraversiónparaequiposdealtaseguridad • Lasopcionesdeunaplantilladeseguridadsepuedenmodificar,guardareimportaraunGPO

  20. Usodeplantillasadministrativas • LasplantillasadministrativascontienenopcionesdelRegistroquesepuedenaplicarausuariosyaequipos • LasplantillasadministrativasdelSP1deWindowsXPcontienenmásde850opciones • LaWindowsXPSecurityGuidecontiene10plantillasadministrativasadicionales • Losproveedoresdeaplicacionesdetercerospuedenproporcionarplantillasadicionales • EsposibleimportarplantillasadicionalesalmodificarunGPO

  21. Quésonlasopcionesdeseguridad

  22. Lasochoopcionesmásimportantessobrelaseguridaddelosclientes • Entrelasopcionesdeseguridaddelosequiposclientequesemodificanconmásfrecuenciaseincluyen: • Permitirformatearyexpulsarmediosextraíbles • NopermitirenumeracionesanónimasdecuentasSAM • Habilitarlaauditoría • DejaquelospermisosdeTodosseapliquenalosusuariosanónimos • NiveldeautenticacióndeLANManager • Directivadecontraseñas • NoalmacenarvalordehashdeLANManagerenelpróximocambiodecontraseña • OpcionesdefirmaSMBparalosequiposcliente

  23. Demostración2UsodeDirectivasdegrupoVerlasopcionesdeseguridaddeWindowsXPVerlasplantillasadministrativasVerlasplantillasdeseguridaddisponiblesAplicacióndeplantillasdeseguridadImplementacióndelasplantillasdeseguridadDemostración2UsodeDirectivasdegrupoVerlasopcionesdeseguridaddeWindowsXPVerlasplantillasadministrativasVerlasplantillasdeseguridaddisponiblesAplicacióndeplantillasdeseguridadImplementacióndelasplantillasdeseguridad

  24. Dominioraíz Directivadedominio OUdecontroladordedominio OUdedepartamento Clientecorporativo Domain.inf Directivadeequiposdeescritorio Clientecorporativo Desktop.inf OUdeusuariosprotegidosdeWindowsXP OUdeWindowsXP OUdeequiposdeescritorio DirectivadeusuariosprotegidosdeWindowsXP Clientecorporativo Laptop.inf Directivadeequiposportátiles OUdeequiposportátiles Cómoaplicarplantillasdeseguridad y plantillasadministrativas

  25. RecomendacionesparalaproteccióndeclientesconDirectivasdegrupoRecomendacionesparalaproteccióndeclientesconDirectivasdegrupo Utilicecomobaselasplantillasparaclientescorporativosqueseincluyenymodifíquelassegúnsusnecesidades Implementedirectivasestrictasdecuentasydeauditoría Pruebeconcienzudamentelasplantillasantesdeimplementarlas Utiliceplantillasadministrativasadicionales

  26. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivasdegrupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  27. PlantillasadministrativasdeInternetExplorer • AplicanrequisitosdeseguridadparalasestacionesdetrabajoconWindowsXP • Impidenelintercambiodecontenidonodeseado • Utilicelasopcionesincluidasenlasplantillasparaclientescorporativos • UtiliceMantenimientodeInternetExplorer(IEM)deDirectivas degrupoparaconfigurarzonasdeseguridadparalossitiosdeconfianza

  28. ZonasdeInternetExplorer

  29. MicrosoftOutlook • UtiliceelOutlookAdministratorPackparapersonalizarlaseguridaddeOutlook • UtilicelaplantillaadministrativadeOutlookparaconfigurarlaseguridaddeOutlook • MejorasenlaseguridaddeOutlook2003 • Avisaalusuarioantesdeabrirtiposdearchivospotencialmentepeligrosos • EjecutacontenidoejecutableenlazonaSitiosrestringidos • NocargaautomáticamentecontenidoHTML

  30. PlantillasadministrativasdeMicrosoftOffice • LasplantillasparaOfficeXPseproporcionanconlaWindowsXPSecurityGuide • LasplantillasparaOffice97yversionesposterioresestándisponiblescuandosedescargalaversióncorrespondientedelKitderecursosdeOffice.

  31. Recomendacionesparalaproteccióndeaplicaciones AdoctrinealosusuariossobrecómodescargararchivosdeInternetyabrirdatosadjuntosdecorreoelectrónicodeformasegura Instaleúnicamentelasaplicacionesquenecesitanlosusuariospararealizarsutrabajo Implementeunadirectivaparaactualizarlasaplicaciones

  32. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivasdegrupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  33. Configuracióndedirectivasdegrupolocales • SilosclientesnosonmiembrosdeundominiodeActiveDirectory,utiliceDirectivasdegrupolocalparaconfigurarlosequiposclienteindependientes • LosclientesdeWindowsXPindependientes utilizanunaversiónmodificadadelasplantillasdeseguridad • CadaclientedeWindowsXPProfessional utilizaunGPOlocal yel Editordeobjetosdedirectivadegrupoo secuenciasdecomandosparaaplicarlaconfiguración

  34. Plantillasdeseguridadpredefinidas • SilosclientesseconectanaundominiodeWindowsNT4.0,utilice: • SilosclientesnoseconectanaundominiodeWindowsNT4.0,utiliceplantillasdeseguridadindependientes

  35. Demostración3ProteccióndeclientesindependientesModificacióndeunaplantilladeseguridadImplementacióndeunaplantilladeseguridadVersecuenciasdecomandosdeejemploVerlaconfiguracióndeseguridadDemostración3ProteccióndeclientesindependientesModificacióndeunaplantilladeseguridadImplementacióndeunaplantilladeseguridadVersecuenciasdecomandosdeejemploVerlaconfiguracióndeseguridad

  36. CómoutilizarladirectivadeseguridadlocalparalaproteccióndeclientesindependientesCómoutilizarladirectivadeseguridadlocalparalaproteccióndeclientesindependientes • CarguelaMMCdeDirectivasdegrupolocal(Gpedit.msc) • VayaaConfiguracióndeequipo/ConfiguracióndeWindows,hagaclicconelbotónsecundariodelmouseenelnodoConfiguracióndeseguridadyseleccioneImportardirectiva. • Vayahastalaubicaciónquecontengalaplantilladeseguridadadecuada(porejemplo,Clientedealtaseguridadheredado:escritorio) • Configureopcionesdeseguridadadicionalessegúnlosconsejospreceptivos

  37. RecomendacionesparaaplicarlaconfiguracióndedirectivasdegrupolocalesRecomendacionesparaaplicarlaconfiguracióndedirectivasdegrupolocales UtilicecomobaselasplantillasindependientesdelaWindowsXPSecurityGuide Automaticeladistribucióndelasplantillasindependientesconlaherramientasecedit Desarrolleprocedimientosparaimplementardirectivas Implementemecanismosparaactualizarlosclientes

  38. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivasdegrupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  39. Quéesunadirectivaderestriccióndesoftware • Mecanismocontroladomediantedirectivasqueidentificaycontrolalasaplicacionesenlosequiposcliente • Elniveldeseguridadpredeterminadotienedosopciones: • Irrestricto:sepuedenejecutartodaslasaplicaciones,exceptoaquellasdenegadasdeformaespecífica • Restringido:sólosepuedenejecutarlasaplicacionespermitidasdeformaespecífica

  40. Cómofuncionanlasrestriccionesdesoftware DefinaladirectivaparaeldominioconelEditordeobjetosdedirectivadegrupo 1 DescargueladirectivamedianteDirectivas de grupoenelequipo 2 Elsistemaoperativoaplicaladirectivacuandoseejecutaunaaplicación 3

  41. Regla de certificado • Comprueba la firma digital de una aplicación (por ejemplo, Authenticode) • Se utiliza cuando se desea restringir aplicaciones Win32 y contenido ActiveX Regla de hash • Compara el hash MD5 o SHA1 de un archivo con el que se está intentando ejecutar • Se utiliza cuando se desea permitir o prohibir la ejecución de una determinada versión de un archivo Regla de ruta • Compara la ruta del archivo que se ejecuta con una lista de rutas permitidas • Se utiliza cuando hay una carpeta con muchos archivos de la misma aplicación • Fundamental cuando las SRP son estrictas Regla de zona de Internet • Controla cómo se puede tener acceso a las zonas de Internet • Se utiliza en entornos de alta seguridad para controlar el acceso a aplicaciones Web Cuatro reglas para la identificación del software

  42. Demostración4Aplicacióndeunadirectivaderestricción desoftwareCreacióndeunadirectivaderestriccióndesoftwareReiniciodelamáquinavirtualConfiguracióndelasuplantacióndeadministradoresPruebadeladirectivaderestriccióndesoftware

  43. Cómoaplicarrestriccionesdesoftware • Abraelobjetodedirectivadegrupocorrespondientealaunidadorganizativa(OU)enlaquedeseaaplicarladirectivaderestriccióndesoftware • VayahastaelnodoConfiguracióndeequipo/ConfiguracióndeWindows/Configuracióndeseguridad • HagaclicconelbotónsecundariodelmouseenDirectivasderestriccióndesoftwarey,acontinuación,hagaclicenCrearnuevasdirectivas • Configurereglasdehash,decertificado,derutaydezonadeInternetparaadaptarsealasnecesidadesdesuorganización

  44. Recomendacionesparaaplicardirectivasderestriccióndesoftware Creeunplanparadeshacercambios Utiliceunobjetodedirectivadegrupoindependienteparaimplementarrestriccionesdesoftware UtiliceestasdirectivasjuntoconNTFSparaproporcionarunadefensaafondo NuncavinculeunGPOaotrodominio Pruebeconcienzudamentelaconfiguracióndenuevasdirectivas

  45. Ordendeldía • Introducción • Seguridadbásicadelosclientes • ProteccióndeclientesconActiveDirectory • UsodeDirectivas de grupoparalaproteccióndeclientes • Proteccióndeaplicaciones • Configuracióndedirectivasdegrupolocalesparaclientesindependientes • Directivaderestriccióndesoftware • Programasantivirus • Servidoresdeseguridadparaclientes

  46. Elproblemadelosvirus • Loscostosporvirussuperanyalos10.000millonesdedólares • Costosindirectos • Personaldeinformáticaoconsultores • Costosindirectoseninformática • Pérdidadeproductividad,datosobienestar

  47. Implementacióndeprogramasantivirus

  48. Actualizacionesdeprogramasantivirus • Equiposdeescritorio • Losservidoreslocalesalmacenanlasactualizacionesdelosprogramasantivirusparasudistribución • Lamejorsoluciónesunmodelodeinserción,medianteelcuallasdefinicionessecopianinmediatamentealosclientes • Noconfíeladescargadelasactualizacionesalosusuarios • Equiposportátiles • DescarguelasactualizacionesatravésdeInternetcuandoesténfueradelaoficina

  49. Recomendacionesparalaproteccióncontravirus Apliquelasactualizacionesdelproveedorperiódicamente Utiliceunaestrategiadeimplementacióncentralizada Utilicesoftwareespecíficoparaclientesenlosequiposcliente

More Related