1 / 52

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003. Juan Antonio Díaz Consultor de Infraestructura Microsoft Ibérica S.R.L. Requisitos previos para la sesión. Experiencia práctica con Windows Server 2000 o Windows Server 2003

vanna-stanley
Download Presentation

Implementación de la seguridad en el servidor en Windows 2000 y Windows Server 2003

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. ImplementacióndelaseguridadenelservidorenWindows2000yWindowsServer2003ImplementacióndelaseguridadenelservidorenWindows2000yWindowsServer2003 Juan Antonio Díaz Consultor de Infraestructura Microsoft Ibérica S.R.L.

  2. Requisitospreviosparalasesión • ExperienciaprácticaconWindowsServer2000oWindowsServer2003 • ExperienciaconlasherramientasdeadministracióndeWindows • ConocimientosdelosconceptosrelativosaActiveDirectoryyDirectivasdegrupo Nivel200

  3. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  4. ConsideracionessobreseguridadparalascompañíaspequeñasymedianasConsideracionessobreseguridadparalascompañíaspequeñasymedianas Servidorescondiversasfunciones Recursoslimitadosparaimplementarsolucionesseguras Utilizacióndesistemasantiguos Amenazainternaoaccidental Carenciadeexperienciaenseguridad Elaccesofísicoanulamuchosprocedimientosdeseguridad Consecuenciaslegales

  5. Confidencialidad Principiosde seguridad Integridad Disponibilidad Principiosdelaseguridaddeservidor • Laconfidencialidadgarantizalaproteccióndelaccesoalainformación • Laintegridadaseguraquelainformaciónnohayasidomodificada • Ladisponibilidadaseguraelaccesoinmediatoalainformación

  6. Defensaenprofundidad • Elusodeunasoluciónenniveles: • Aumentalaposibilidaddequesedetectenlosintrusos • Disminuyelaoportunidaddequelosintrusoslogrensupropósito Directivas,procedimientosyconcienciación Seguridadfísica ACL,cifrado Datos Refuerzodelasaplicaciones,antivirus Aplicación Refuerzodelsistemaoperativo,administraciónderevisiones,autenticación,HIDS Host Redinterna Segmentosdered,IPSec,NIDS Servidoresdeseguridad,sistemasdecuarentenaenVPN Perímetro Guardiasdeseguridad,bloqueos,dispositivosdeseguimiento Programasdeaprendizajeparalosusuarios

  7. Modelosdeamenazasyequilibriodeseguridad • Modelosdeamenazas • Documenteelentorno • Realiceunanálisisdelíneadebasedelossistemasyelsoftware • UtiliceDFDparailustrarelflujodedatos,lainteraccióndelsistemaylasamenazas • Segreguelossistemas • Segreguelossistemasenfuncióndelasaplicacionesylosrequisitosdeseguridad • Compruebequelosrequisitosdeseguridadentrelossistemasdeconfianzasonequivalentes • Compruebequelossistemasmenossensiblesdependendelosquelosonmásenloquerespectaalaseguridad • Limiteelentornoylosprivilegios • Asignecuentasconlosmínimospermisosposibles • Limiteyprotejalacomunicación • Deshabiliteoquitelosserviciosypuertosquenoseutilizan • Equilibriosrelativosalaseguridad • Laseguridadrequiereunequilibrioentrelaseguridadylafacilidaddeuso

  8. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  9. Prácticasbásicasdeseguridaddelservidor ApliquelosServicePacksmásrecientesytodaslasrevisionesdeseguridaddisponibles Utilicedirectivasdegrupoparareforzarlosservidores -Deshabilitelosserviciosquenosean necesarios -Implementedirectivasdecontraseñas seguras -Deshabilitelaautenticaciónde LANManageryNTLMv1 Restrinjaelaccesofísicoyderedalosservidores

  10. Administracióndelasactualizacionesdesoftware • Implementeunasolucióndeadministraciónderevisiones paraprotegersecontralasvulnerabilidades • Asistaaunasesióndeunprogramadeaprendizajesobreadministraciónderevisionesorepaselosconsejosdadosen: http://www.microsoft.com/latam/technet/seguridad/ default.asp

  11. Clasificacionesdelagravedaddelasrevisionesycalendarios

  12. Coherentey repetible Conocimientos,funciones yresponsabilidades Productos,herramientas yautomatización Administracióneficazderevisiones Procesos Personas Tecnología

  13. Recomendacionesparareforzarlosservidores • CambieelnombredelascuentasintegradasInvitadoyAdministrador • Restrinjaelaccesoalascuentasdeserviciointegradasylasquenoseandelsistemaoperativo • Noconfigureunservicioparaqueiniciesesiónconunacuentadedominio • UtiliceNTFSparaprotegerlosarchivosycarpetas

  14. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  15. ComponentesdeActiveDirectory • Bosque • UnbosquefuncionacomolímitedeseguridadenActiveDirectory • Dominio • Unidadorganizativa • Directivas de grupo • Unadirectivadegrupoesunaherramientaclaveparaimplementaryadministrarlaseguridaddeunared

  16. DiseñodeunplandeseguridaddeActiveDirectory • Analiceelentorno • Centrodedatosdeintranet • Sucursal • Centrodedatosdeextranet • Realiceunanálisisdelasamenazas • IdentifiquelasamenazasparaActiveDirectory • Identifiquelostiposdeamenazas • Identifiqueelorigendelasamenazas • Determinemedidasdeseguridadparalasamenazas • Establezcaplanesdecontingencia

  17. Especifiquelímitesadministrativosydeseguridad DiseñeunaestructuradeActiveDirectoryenfuncióndelosrequisitosdedelegación EstablecimientodelímitessegurosdeActiveDirectory Implementelímitesdeseguridadbasadosenlaguíaderecomendaciones

  18. Fortalecimientodelaconfiguracióndelasdirectivasdedominio RefuercelaconfiguracióndelGPODirectivadedominiopredeterminadaocreeunGPOnuevoenelniveldedominio Compruebequelasdirectivasdecuentasycontraseñassatisfacenlosrequisitosdeseguridaddesuorganización ReviselaconfiguracióndeauditoríaenlosobjetosdeActiveDirectoryimportantes

  19. Directivadedominio Diseñodedominios Dominio Controladoresdedominio Servidoresintegrantes Directivadelíneadebasedeservidorintegrante Directivadecontroladoresdedominio Administradordeoperaciones Directivadeservidoresdeimpresión Servidoresdeimpresión Administradordeoperaciones Directivadeservidoresdearchivos Servidoresdearchivos AdministradordeserviciosWeb DirectivadeservidoresIIS ServidoresWeb Establecimientodeuna jerarquíadeunidadesorganizativasbasadaenfunciones • Unajerarquíadeunidadesorganizativasbasadaenfuncionesdeservidor: • Simplificalaadministracióndelaseguridad • Aplicalaconfiguracióndedirectivasdeseguridadalosservidoresyaotrosobjetosencadaunidadorganizativa

  20. Demostración1CreacióndeunaestructuradeunidadesorganizativasyaplicacióndeunaplantilladeseguridadCreacióndeunaestructuradeunidadesorganizativasDelegacióndelcontrolaungrupoadministrativoAplicacióndelaplantilladeseguridaddedominioDemostración1CreacióndeunaestructuradeunidadesorganizativasyaplicacióndeunaplantilladeseguridadCreacióndeunaestructuradeunidadesorganizativasDelegacióndelcontrolaungrupoadministrativoAplicacióndelaplantilladeseguridaddedominio

  21. CómocrearunajerarquíadeunidadesorganizativasparaadministraryprotegerservidoresCómocrearunajerarquíadeunidadesorganizativasparaadministraryprotegerservidores • CreeunaunidadorganizativadenominadaServidoresintegrantes • CreeotrasunidadesorganizativasenServidoresintegrantesparacadafuncióndeservidor • Muevacadaobjetoservidoralaunidadorganizativaapropiadadeacuerdoconsufunción • Delegueelcontroldecadaunidadorganizativabasadaenfuncionesalgrupodeseguridadapropiado

  22. Recomendacionesdeadministración Distingaentrelasfuncionesadministrativasdedatosydeservicios Establezcarecomendacionesparaadministrardeformaseguralosdatosyserviciosdedirectorio Deleguelospermisosmínimosrequeridos

  23. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  24. Servidoresdeinfraestructuras Servidoresdeimpresiónyarchivos Aplicarladirectivade líneadebasedeservidoresintegrantes Apliqueunaconfiguracióndeseguridadincrementalbasadaenfunciones ServidoresIIS SeguridaddeActiveDirectory Procedimientosderefuerzodelaseguridad ServidoresRADIUS(IAS) ServidoresdeServiciosdeCertificateServer Hostsbastiones Informacióngeneralsobreelrefuerzodeservidores • Apliquelaconfiguracióndeseguridaddelíneadebaseatodoslosservidoresintegrantes • Apliqueopcionesdeconfiguraciónadicionalesalasfuncionesdeservidorespecíficas • UtiliceGPResultparaasegurarsedequelaconfiguraciónseaplicacorrectamente

  25. PlantilladeseguridadLíneadebasedeservidorintegrante • ModifiqueyapliquelaplantilladeseguridadLíneadebasedeservidorintegranteatodoslosservidoresintegrantes • OpcionesdellaplantilladeseguridadLíneadebasedeservidorintegrante: • Directivadeauditoría • Asignacióndederechosdeusuario • Opcionesdeseguridad • Registrodesucesos • Serviciosdelsistema

  26. Demostración2UsodeMBSAyaplicacióndeunaplantilladeseguridadUsodeMBSAparacrearuninformePresentacióndelaplantilladeseguridadLíneadebasedeservidorintegranteAplicacióndelaplantilladeseguridadLíneadebasedeservidorintegranteUsodeMBSAparacomprobarque sehaaplicado laplantilla

  27. CómoutilizarMBSA • AbraMBSAyseleccioneScanacomputer • EnlapáginaPickacomputertoscan,escribaladirecciónIPoelnombredelequipoquedeseeexaminar • Seleccionetodaslasopcionesquedesee • HagaclicenStartscan • Reviselosresultadosdeladetección

  28. Recomendacionesparautilizarplantillasdeseguridad Reviseymodifiquelasplantillasdeseguridadantesdeutilizarlas Utilicelasherramientasdeanálisisyconfiguracióndeseguridadpararevisarlaconfiguracióndelasplantillasantesdeaplicarlas Pruebelasplantillasminuciosamenteantesdeimplementarlas Almacenelasplantillasdeseguridadenunaubicaciónsegura

  29. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  30. Configuracióndeseguridaddeloscontroladoresdedominio Protejaelentornodecreacióndeloscontroladoresdedominio Establezcaprácticasparalacreacióndecontroladoresdedominioqueproporcionenseguridad Mantengalaseguridadfísica

  31. Demostración3RefuerzodecontroladoresdedominioAplicacióndelaplantilladeseguridadControladordedominioDemostración3RefuerzodecontroladoresdedominioAplicacióndelaplantilladeseguridadControladordedominio

  32. CómoaplicarlaplantilladeseguridadControladordedominio • AbralaconsoladeAdministracióndedirectivas de grupoyvayaalaunidadorganizativaControladoresdedominio • CreeunGPOyvincúleloalaunidadorganizativaControladoresdedominio • VayaaConfiguracióndelequipo\ConfiguracióndeWindows\Configuracióndeseguridad • Hagaclicconelbotónsecundariodelmouseen Configuracióndeseguridady,después,hagaclicenImportardirectiva • SeleccioneladirectivadeseguridadControlador dedominioyhagaclicenAceptar • Laconfiguracióndelanuevadirectivasurtiráefecto encadacontroladordedominiolapróximavezqueseactualiceosereinicie • TambiénpuedeejecutarGPUpdateencada controladordedominioparaactualizarladirectivadegrupo inmediatamente

  33. Recomendacionesparareforzarloscontroladoresdedominio Utilicemétodosdeseguridadapropiadosparacontrolarelaccesofísicoaloscontroladoresdedominio Implementeunaconfiguraciónapropiadaparalosregistrosdesucesosyauditoría UtilicedirectivasdegrupoparaaplicarlaplantilladeseguridadControladordedominioatodosloscontroladoresdedominio Deshabilitelosserviciosquenoseannecesarios

  34. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  35. UsodeplantillasdeseguridadparafuncionesespecíficasdeservidorUsodeplantillasdeseguridadparafuncionesespecíficasdeservidor • LosservidoresqueefectúanfuncionesespecíficassepuedenorganizarporunidadesorganizativasenlaunidadorganizativaServidoresintegrantes • Enprimerlugar,apliquelaplantillaLíneadebasedeservidorintegrantealaunidadorganizativaServidoresintegrantes • Acontinuación,apliquelaplantilladeseguridadbasadaenlafuncióncorrespondienteacadaunidadorganizativadelaunidadorganizativaServidoresintegrantes • Personalicelasplantillasdeseguridadparalosservidoresquerealizanvariasfunciones

  36. Refuerzodeservidoresdeinfraestructuras • ApliquelaconfiguracióndelaplantilladeseguridadServidordeinfraestructuras • Configuremanualmentelasopcionesadicionalesencadaservidordeinfraestructuras • ConfigureelregistroDHCP • ProtéjasefrenteaataquesDoSDHCP • UtiliceDNSintegradoenActiveDirectoryparalaszonasdeActiveDirectory • Protejalascuentasdeservicio • PermitaeltráficoúnicamenteenlospuertosnecesariosparalasaplicacionesdeservidormediantefiltrosIPSec

  37. Refuerzodeservidoresdearchivos • ApliquelaconfiguracióndelaplantilladeseguridadServidordearchivos • Configuremanualmentelasopcionesadicionalesencadaservidordearchivos • DeshabiliteDFSyFRSsinosenecesitan • Protejalosarchivosycarpetascompartidosmediante NTFSypermisoscompartidos • Habilitelaauditoríadelosarchivosesenciales • Protejalascuentasdeservicio • Permitaeltráficosólo enpuertosespecíficosmediante filtrosIPSec

  38. Refuerzodeservidoresdeimpresión • ApliquelaconfiguracióndelaplantilladeseguridadServidordeimpresión • Configuremanualmentelasopcionesadicionalesencadaservidordeimpresión • AsegúresedequeelservicioColadeimpresiónestéhabilitado • Protejalascuentasconocidas • Protejalascuentasdeservicio • PermitaeltráficosóloenpuertosespecíficosmediantefiltrosIPSec

  39. RefuerzodeservidoresIIS • ApliquelaconfiguracióndelaplantilladeseguridadServidorIIS • ConfiguremanualmentecadaservidorIIS • InstalelaherramientaBloqueodeseguridaddeIISyconfigureURLScanentodaslasinstalacionesdeIIS5.0 • HabilitesóloloscomponentesdeIISesenciales • ConfigurelospermisosNTFSparatodaslascarpetasconcontenidoWeb • InstaleIISyalmaceneelcontenidoWebenunvolumendediscodedicado • Siesposible,nohabilitelospermisosdeejecuciónydeescrituraenelmismositioWeb • EnlosservidoresIIS5.0,ejecutelasaplicacionesconproteccióndeaplicacionesmediaoalta • UtilicefiltrosIPSecparapermitirúnicamenteeltráficoenlospuertos80y443

  40. Demostración4RefuerzodefuncionesdeservidorespecíficasRevisióndelaseguridadpredeterminadadeIISAplicacióndelaplantilladeseguridadServidordearchivosDemostración4RefuerzodefuncionesdeservidorespecíficasRevisióndelaseguridadpredeterminadadeIISAplicacióndelaplantilladeseguridadServidordearchivos

  41. RecomendacionesparaelrefuerzodeservidoresdefuncionesespecíficasRecomendacionesparaelrefuerzodeservidoresdefuncionesespecíficas Protejalascuentasdeusuarioconocidas Habiliteúnicamentelosserviciosqueserequieranparaejercerlafuncióndelservidor Habiliteelregistrodeserviciosparacapturarlainformaciónrelevante UtiliceelfiltroIPSecparabloquearlospuertosespecíficosbasadosenlafuncióndeservidor Modifiquelasplantillassegúnconvengaparalosservidoresconvariasfunciones

  42. Ordendeldía • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  43. Refuerzodeservidoresindependientes • DebeaplicarmanualmentelaconfiguracióndeseguridadencadaservidorindependienteenlugardeutilizarDirectivas de grupo • Quizástengaquecrearunaplantilladeseguridadpersonalizadaparacadaservidorindependiente • UtilicelaherramientaConfiguraciónyanálisisdeseguridadoSecEditparaaplicarlaconfiguracióndelaplantilladeseguridad • Configuraciónyanálisisdeseguridad • Permitelacomparaciónyaplicacióndevariasplantillasdeseguridad • SecEdit • VersióndelíneadecomandosdelaherramientaConfiguraciónyanálisisdeseguridadquepermitelaaplicacióndeplantillasdeseguridadconsecuenciasdecomandos

  44. Demostración5RefuerzodeunservidorindependienteComparacióndeplantillasdeseguridadAplicacióndeunaplantilladeseguridadaunservidorindependienteDemostración5RefuerzodeunservidorindependienteComparacióndeplantillasdeseguridadAplicacióndeunaplantilladeseguridadaunservidorindependiente

  45. CómoutilizarSecEditparareforzar servidoresindependientes • Configureunaplantilladeseguridadpersonalizadaconlasopcionesquedeseeaplicaralservidorindependiente • Abraunsímbolodelsistemaenelservidorindependiente • Creeunabasededatosdeconfiguracióndesdelaplantilladeseguridadpersonalizada;paraelloescriba: secedit/import/dbc:\security.sdb/cfgnombredelaplantilladeseguridad • Apliquelaconfiguraciónenlabasededatosalservidorindependiente;paraello,escriba: secedit/configure/dbc:\security.sdb

  46. Recomendacionesparareforzarservidoresindependientes UtilicelaherramientaConfiguraciónyanálisisdeseguridadparaaplicarplantillasalosservidoresindependientes Configurelasopcionesdeserviciodeacuerdoconlosrequisitosdefuncionesdeservidor Habiliteelregistrodeserviciosparacapturarlainformaciónrelevante UtiliceIPSecparafiltrarlospuertossegúnlafuncióndelservidor

  47. Resumendelasesión • Introducciónalaproteccióndeservidores • Seguridadbásicadelservidor • SeguridaddeActiveDirectory • Refuerzodelosservidoresintegrantes • Refuerzodeloscontroladoresdedominio • Refuerzodeservidoresdefuncionesespecíficas • Refuerzodeservidoresindependientes

  48. Pasossiguientes • Mantenerseinformadosobrelaseguridad • Suscribirseaboletinesdeseguridad: http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp • ObtenerlasdirectricesdeseguridaddeMicrosoftmásrecientes: http://www.microsoft.com/spain/technet/seguridad/areas/desarrolladores/guias.asp • Obtenerrecursos adicionalesdeaprendizajesobreseguridad • Buscar jornadas y seminarios online: http://www.microsoft.com/spain/technet/comunidad/eventos/mapas/defaultspain2.asp • BuscarunCTEClocal e informacion sobre certificaciones Microsoft en seguridad: http://www.microsoft.com/spain/technet/formacion/default.asp

  49. Paraobtenermásinformación • SitiodeseguridaddeMicrosoft(todoslosusuarios) • http://www.microsoft.com/spain/seguridad • SitiodeseguridaddeTechNet(profesionalesdeIT) • http://www.microsoft.com/spain/technet/seguridad/ • SitiodeseguridaddeMSDN (desarrolladores) • http://msdn.microsoft.com/security(estesitioestáeninglés)

More Related