Captulo 8 | Pgina 1 |

Captulo 8 Seguridad: Nuevas funcionalidades en Windows Server 200

Durante este captulo Usted ir asimilando conocimientos acerca de las mejoras de seguridad introducidas en Windows Server 2003. Al finalizar este captulo podr: Describir las funcionalidades de seguridad mplementar ! verificar las funcionalidades de seguridad Nota: Dada la cantidad de informaci"n acerca de temas referentes a seguridad ! tratndose este captulo de un resumen de las nuevas funcionalidades# sugerimos repasar los conocimientos ad$uiridos en Windows 2000# como as tambi%n las publicaciones de &ec'net. Si Usted desea recibir el boletn de seguridad (icrosoft# suscrbase al mismo mediante esta direcci"n# $ue adems de ser gratuito# le ser de muc'a utilidad en sus tareas diarias. 'ttp)**register.microsoft.com*subscription*subscribeme.asp+id,-..

1! "ntroducci#n

/as empresas 'an ampliado sus redes tradicionales de rea local 0/123 mediante la combinaci"n de sitios de nternet# intranets ! e4tranets. 5omo resultado# una ma!or seguridad de los sistemas resulta a'ora ms importante $ue nunca. 6ara proporcionar un entorno informtico seguro# el sistema operativo Windows Server 2003 aporta muc'as caractersticas nuevas e importantes de seguridad sobre a$uellas incluidas originalmente en Windows 2000 Server.

www.microsoft.com*latam*tec'net 7 2003 (icrosoft 5orporation. &odos los derec'os reservados. &erminos de Uso

Captulo 8 | Pgina 2 |

1!1! "nfor$tica de confian%a

/os virus e4isten ! por ello $ue la seguridad del software es un reto constante. 6ara 'acer frente a %stos# (icrosoft 'a convertido la informtica de confian8a en una iniciativa clave para todos sus productos. /a informtica de confian8a es un marco para desarrollar dispositivos basados en e$uipos ! software seguros ! confiables# como los dispositivos ! aparatos dom%sticos $ue utili8amos diariamente. 1un$ue en la actualidad no e4ista ninguna plataforma de informtica de confian8a# el nuevo dise9o bsico de Windows Server 2003 es un paso s"lido 'acia la conversi"n de este concepto en realidad.

1!2! &engua'e co$(n en tie$po de e'ecuci#n

:l motor de software del lenguaje com;n en tiempo de ejecuci"n es un elemento clave de Windows Server 2003 $ue mejora la confiabilidad ! facilita un entorno informtico seguro. 1simismo reduce el n;mero de errores ! los agujeros de seguridad causados por errores comunes de programaci"n# posibilitando $ue e4istan menos vulnerabilidades $ue los atacantes puedan e4plotar. :l lenguaje com;n en tiempo de ejecuci"n verifica $ue las aplicaciones puedan reali8arse sin errores# ! a la ve8 comprueba los permisos de seguridad adecuados# asegurando $ue el c"digo realice e4clusivamente las operaciones correctas. :sto se lleva a cabo comprobando aspectos como los siguientes) la ubicaci"n desde la cual se 'a descargado o instalado el c"digo# si el c"digo tiene una firma digital de un desarrollador de confian8a# ! si el c"digo 'a sido alterado desde su firma digital.

1! ! )enta'as
Windows Server 2003 proporcionar una plataforma ms segura ! econ"mica para la reali8aci"n de actividades empresariales.

)enta'a Disminucin de costos Implementacin de estndares abiertos

*escripci#n :sto conlleva procesos de administraci"n de seguridad simplificados# como las listas de control de acceso ! el 1dministrador de credenciales. :l protocolo ::: <02.-= facilita la seguridad de las /12 inalmbricas ante el peligro de espionaje dentro del entorno empresarial. /as caractersticas de seguridad como el Sistema de arc'ivos de cifrado 0:>S3# los servicios de certificado ! la inscripci"n automtica de tarjetas inteligentes# facilitan la seguridad de una amplia gama de dispositivos. :l :>S es la tecnologa bsica para cifrar ! descifrar arc'ivos almacenados en vol;menes 2&>S. ?nicamente el usuario $ue cifra un arc'ivo protegido puede abrirlo ! trabajar con %l. /os servicios de certificado son una parte del sistema operativo bsico $ue permite $ue una empresa act;e como si fuera una entidad emisora de certificados 0513 ! emita ! administre certificados digitales. /a inscripci"n automtica de tarjetas inteligentes ! las caractersticas de entidad de registro automtico proporcionan seguridad a los usuarios empresariales# agregando otro nivel de autenticaci"n. :sto se reali8a de forma adicional a los procesos de seguridad simplificada# en organi8aciones preocupadas por su seguridad.

Proteccin para equipos mviles y otros dispositivos nuevos

1!+! ,e'oras - caractersticas nuevas

La familia de Windo s !erver "##$ proporciona las si%uientes caractersticas: Una plataforma ms segura para reali8ar actividades empresariales /a mejor plataforma para la infraestructura de claves p;blicas Una e4tensi"n segura de sus actividades empresariales en nternet

www.microsoft.com*latam*tec'net 7 2003 (icrosoft 5orporation. &odos los derec'os reservados. &erminos de Uso

Captulo 8 | Pgina

&na plataforma ms se%ura para llevar a cabo actividades empresariales Windows Server 2003 proporciona muc'as caractersticas nuevas ! mejoradas $ue se combinan para crear una plataforma ms segura para llevar a cabo actividades empresariales.

Caracterstica

*escripci#n Windows Server 2003 proporciona seguridad de nternet mediante el uso de un servidor de seguridad basado en software# llamado Servidor de seguridad de cone4i"n a nternet 0 5>3. :l 5> proporciona protecci"n a los e$uipos conectados directamente a nternet o a los e$uipos ubicados detrs de un e$uipo 'ost de cone4i"n compartida a nternet 0 5S3 ! $ue ejecute un 5>. :l Servidor de autenticaci"n de nternet 0 1S3 es un Servidor de usuario de acceso telef"nico de autenticaci"n remota 0@1D US3 $ue administra la autori8aci"n ! la autenticaci"n del usuario. &ambi%n administra cone4iones con la red mediante el uso de diversas tecnologas de conectividad# como el acceso telef"nico# las redes privadas virtuales 0A623 ! los servidores de seguridad. Windows Server 2003 permite la autenticaci"n ! la autori8aci"n de usuarios ! e$uipos $ue se conectan a redes /12 :t'ernet e inalmbricas. :sto es posible por la compatibilidad de Windows Server 2003 con los protocolos ::: <02.-=. 0/os estndares ::: <02 definen m%todos para obtener acceso a redes /12 ! controlarlas.3 Windows Server 2003 permitir $ue un administrador de sistemas utilice la e4igencia de directivas o ejecuci"n para prevenir $ue se lleven a cabo en un e$uipo programas ejecutables. 6or ejemplo# aplicaciones especficas de mbito corporativo pueden ver su ejecuci"n restringida a menos $ue se ejecuten desde un directorio especfico. /as directivas de restricci"n de software tambi%n pueden configurarse para prevenir la ejecuci"n de c"digo mal intencionado o infectado por virus. Windows Server 2003 proporciona seguridad para redes /12 :t'ernet e inalmbricas basadas en las especificaciones ::: <02.-- ! $ue sean compatibles con certificados p;blicos implementados mediante la inscripci"n automtica o las tarjetas inteligentes. :stas mejoras en la seguridad permiten el control de la obtenci"n de acceso a redes :t'ernet en lugares p;blicos# como centros comerciales o aeropuertos. /a autenticaci"n de e$uipos tambi%n se admite en un entorno operativo de protocolo de autenticaci"n e4tensible 0:163. /a seguridad de la informaci"n es un problema de vital importancia para las organi8aciones de todo el mundo. 6ara aumentar la seguridad de los servidores Web# los Servicios de nternet nformation Server ..0 0 S ..03 se configuran para obtener la m4ima seguridad. Su instalaci"n predeterminada es el estado Bblo$ueadoB. /as caractersticas de seguridad avan8ada de S ..0 inclu!en) servicios criptogrficos $ue se pueden seleccionar# autenticaci"n de sntesis avan8ada ! control configurable de la obtenci"n de acceso a los procesos. :stas son s"lo algunas de las tantas caractersticas de seguridad $ue le permitirn reali8ar negocios de forma segura en la Web. /a opci"n para cifrar la base de datos de arc'ivos sin cone4i"n# a'ora se encuentra disponible. :sto es una mejora sobre Windows 2000# donde los arc'ivos de la cac'% no podan cifrarse. :sta caracterstica es compatible con el cifrado ! descifrado de toda la base de datos sin cone4i"n. Se re$uieren privilegios administrativos para configurar la forma en $ue se cifrarn los arc'ivos sin cone4i"n.

!ervidor de se%uridad de cone'in a Internet

!ervidor IA!()ADI&! se%uro

)edes LA* +t,ernet e inalmbricas se%uras

Directivas de restriccin de soft are

-e.oras de la se%uridad para servidores en redes LA* +t,ernet e inalmbricas

!e%uridad aumentada para servidores Web

/ifrado de la base de datos de arc,ivos sin cone'in

/ompatible con 0IP!1 :ste m"dulo criptogrfico se ejecuta como un controlador en modo de n;cleo modo de n2cleo1 mdulo e implementa algoritmos criptogrficos aprobados por el :stndar >ederal de

www.microsoft.com*latam*tec'net 7 2003 (icrosoft 5orporation. &odos los derec'os reservados. &erminos de Uso

Captulo 8 | Pgina + |
6rocesamiento de nformaci"n 0> 6S3. :ntre estos algoritmos cabe incluir) SC1D-# D:S# 3D:S ! un generador de n;mero aleatorio aprobado. :l m"dulo criptogrfico# compatible con > 6S de modo de n;cleo# permite $ue las organi8aciones gubernamentales implementen Seguridad de 6rotocolo nternet 0 6Sec3 compatible con > 6S -E0D-. 6ara ello debern utili8ar) Servidor ! cliente de A62 /2&6 06rotocolo de t;nel de capa 23* 6Sec. &;neles /2&6* 6Sec para cone4iones A62 entre puertas de enlace. &;neles 6Sec para cone4iones A62 entre puertas de enlace. &rfico de red de e4tremo a e4tremo# cifrado mediante 6Sec# entre cliente ! servidor# ! de servidor a servidor. :l nuevo pa$uete de seguridad de sntesis es compatible con el protocolo de autenticaci"n de sntesis# junto con @>5 2.-F ! @>5 2222. :stos protocolos son compatibles con (icrosoft nternet nformation Server 0 S3 ! el servicio 1ctive Director!G. (ejoras en la seguridad de los sistemas Se 'an reali8ado importantes mejoras para garanti8ar una seguridad general de los sistemas# inclu!endo) *uevo paquete de se%uridad de sntesis (ejoras del rendimiento en un 3H por ciento# al utili8ar la capa de socIets segura 0SS/3. S no se instala de forma predeterminada. 6ara implementar S# primero debe instalarsemediante la opci"n 1gregar o $uitar programas del 6anel de control. 5apacidad de comprobaci"n del b;fer de (icrosoft Aisual StudioG. 0/os piratas informticos utili8an 'abitualmente las saturaciones del b;fer para e4plotar un sistema.3 :l administrador de credenciales de Windows Server 2003 proporcionar un almac%n seguro para las credenciales del usuario# inclu!endo contrase9as ! certificados =.H0J. :stas credenciales proporcionan una e4periencia s"lida de inicios de sesi"n ;nicos para los usuarios# incluidos los usuarios m"viles. Una 16 de Win32G se encuentra disponible para permitir $ue las aplicaciones basadas en cliente o en servidor obtengan credenciales del usuario. :n Windows Server 2003# la cac'% de sesi"n SS/ puede compartirse mediante m;ltiples procesos. :sto reduce el n;mero de veces $ue un usuario tiene $ue volver a autenticarse en las aplicaciones# ! asimismo reduce los ciclos de 56U en el servidor de aplicaciones.

cripto%rfico

Administrador de credenciales

-e.oras en la autenticacin de clientes !!L

www.microsoft.com*latam*tec'net 7 2003 (icrosoft 5orporation. &odos los derec'os reservados. &erminos de Uso

Captulo 8 | Pgina . |

La me.or plataforma para la infraestructura de claves p2blicas Windows Server 2003 facilitar la implementaci"n de una infraestructura de claves p;blicas# junto con tecnologas asociadas como las tarjetas inteligentes.

Caracterstica

*escripci#n :stas nuevas caractersticas importantes reducen de forma drstica la cantidad de recursos necesarios para administrar certificados =.H0J. Windows Server 2003 posibilita la inscripci"n e implementaci"n automtica de certificados para los usuarios. 1simismo cuando el certificado cadu$ue# podr renovarse en forma automtica. /a renovaci"n automtica e inscripci"n automtica de certificados facilita la implementaci"n ms rpida de tarjetas inteligentes ! mejora la seguridad de las cone4iones inalmbricas 0 ::: <02.-=3 mediante la caducidad ! renovaci"n automtica de certificados. /a compatibilidad con la firma digital permite $ue los pa$uetes ! contenedores e4ternos de Windows nstaller se firmen digitalmente. :sto proporciona a los administradores de tecnologas de la informaci"n# unos pa$uetes de Windows nstaller ms seguros# resultando de suma importancia si el pa$uete se enva a trav%s de nternet. :l servidor de certificados incluido en Windows Server 2003 a'ora es compatible con las 5@/ delta. Una 5@/ 'ace $ue la publicaci"n de certificados =.H0J revocados sea ms efica8# ! facilita $ue un usuario pueda recuperar un certificado nuevo. K como a'ora se puede especificar la ubicaci"n en la cual se encuentra almacenada la 5@/# resulta ms fcil moverla para albergar las necesidades de seguridad ! empresariales especficas.

)enovacin automtica e inscripcin automtica de certificados

/ompatibilidad de Windo s Installer con la firma di%ital

-e.oras en las listas de revocacin de certificados 3/)L4

+'tensin se%ura de las actividades empresariales en Internet Una empresa necesita establecer una forma segura de comunicarse con sus empleados# clientes ! asociados $ue no se encuentren dentro de su intranet. Windows Server 2003 facilitar este aspecto# ampliando de forma segura la obtenci"n de acceso a la red para personas ! otras empresas $ue necesitan trabajar con datos o recursos del usuario.

Caracterstica

*escripci#n 6uede asignarse una identidad de 6assport a una identidad de 1ctive Director! en Windows Server 2003. 6or ejemplo# la asociaci"n de una identidad de 6assport con una identidad de 1ctive Director! permite $ue una empresa asociada pueda ser autori8ada para obtener acceso a los recursos a trav%s de S# en lugar de tener $ue iniciar sesi"n directamente en una red de Windows. /a integraci"n con 6assport proporcionar una e4periencia de inicio de sesi"n ;nica# mediante el uso de S. Si trabaja con un asociado o una empresa $ue 'a implementado un bos$ue de 1ctive Director!# puede utili8ar Windows Server 2003 para configurar una relaci"n de confian8a entre los bos$ues del asociado o la empresa ! sus propios bos$ues. :sto le permite confiar de forma e4plcita en algunos usuarios# en grupos o en todos# los $ue pertene8can a otro bos$ue. &ambi%n tiene la capacidad de establecer permisos en base a los usuarios o grupos $ue residen en el otro bos$ue. /as relaciones de confian8a entre bos$ues facilitan la direcci"n de negocios con otras empresas mediante 1ctive Director!.

Inte%racin con Passport

)elaciones de confianza entre bosques

www.microsoft.com*latam*tec'net 7 2003 (icrosoft 5orporation. &odos los derec'os reservados. &erminos de Uso

2! Personal /irewall 0"C/1

:l nternet 5onnection >irewall 0 5>3 es una nueva caracterstica en Windows Server 2003# $ue le permite proteger su cone4i"n a nternet. Utili8ando esta 'erramienta Usted puede determinar $u% servicios estarn disponibles desde nternet 'acia el Servidor corriendo Windows Server 2003 ! $u% servicios estarn disponibles desde su servidor 'acia nternet. :sta nueva caracterstica le permite proteger sus cone4iones# !a sean las $ue utili8an adaptadores de red como as tambi%n las $ue utili8an cone4iones telef"nicas. Nota: Usted puede utili8ar 5> para proteger cone4iones e4clusivamente en el servidor corriendo Windows Server 2003. Si necesitase 'abilitar acceso a nternet seguro para clientes internos deber anali8ar una implementaci"n de nternet Securit! and 1cceleration Server 2000 0 S1 Server3.

Para obtener mas informacin acerca de I/0: 'ttp)**support.microsoft.com*default.asp4+scid,IbLenDusL3-FH30

2!1! Prctica 1: 2a3ilitando "C/

Para realizar esta prctica &sted deber tener dos instalaciones de Windo s !erver "##$5 -. 2. 3. E. H. Desde el men; !tart# 'acer clicI en *et or6 /onnections. Seleccionar el adaptador de red# 'acer clicI derec'o ! despu%s 'acer clicI en Properties. Cacer clicI en la lengMeta Advanced. (arcar el cuadro Internet /onnection 0ire all. Cacer clicI en 78.

Para comprobar la confi%uracin: Desde la computadora N# intentar una cone4i"n del tipo 44no$3redeserver Aerificar si la cone4i"n pudo reali8arse.

! 5sando Securit- 6e$plates para asegurar Co$putadoras

Usted puede usar Securit! &emplates para crear ! alterar Securit! 6olicies $ue cumplan con las necesidades de su compa9a. Securit! 6olicies se puede implementar de diferentes maneras. :l m%todo $ue Usted usar depender del tama9o ! las necesidades de seguridad de la organi8aci"n. De esta manera# llas organi8aciones pe$ue9as# $ue no poseen una implementaci"n de 1ctive Director!# tendrn $ue configurar la seguridad manualmente# mientras $ue las organi8aciones grandes re$uerirn niveles de seguridad altos. 6ara ello Usted puede considerar el uso de Oroup 6olic! Pbjects 0O6PS3 para instalar polticas de seguridad.

!1! 78u9 es un Securit- Polic-:

/os Securit! 6olicies son una combinaci"n de configuraciones de seguridad $ue afectan la seguridad de una computadora. Usted puede usar Securit! 6olic! para establecer) 1ccount 6olicies ! /ocal 6olicies en la computadora local ! en 1ctive Director!. /os siguientes Securit! &emplates son una colecci"n de configuraciones de seguridad predeterminadas. Usted puede usar el Securit! &emplates SnapDin para modificar los &emplates predefinidos o crear nuevos &emplates $ue cumplan con sus necesidades. /uego# en la creaci"n o modificaci"n# se podrn utili8ar las siguientes 'erramientas para aplicar las configuraciones de seguridad) Securit! 5onfiguration and 1nal!sis SnapDin# la 'erramienta de lnea de comando Secedit o /ocal Securit! 6olic! * Oroup 6olic! para importar ! e4portar Securit! &emplates. Windows Server 200 provee los siguientes 6e$plates predefinidos:

Default !ecurity 3!etup !ecurity5inf4 :ste &emplate es creado durante la instalaci"n del sistema operativo ! representa la configuraci"n bsica aplicada durante la instalaci"n# inclu!endo permisos de arc'ivos para el @oot del S!stem Drive.

Domain /ontroller !ecurity 3D/ security5inf4 :ste &emplate es creado cuando un Server es promovido a Domain 5ontroller. 5ontiene configuraciones de seguridad necesarias sobre arc'ivos# registr! ! servicios. Usted puede aplicar este &emplate usando Securit! 5onfiguration and 1nal!sis SnapDin o con la 'erramienta Secedit. /ompatible 3/ompat s5inf4 :ste &emplate aplica configuraciones de seguridad necesarias para todas a$uellas aplicaciones $ue no est%n certificadas por el Windows /ogo 6rogram. !ecure 3!ecure95inf4 :ste &emplate aplica configuraciones de seguridad con alto nivel# afectando la compatibilidad de aplicaciones. 6or ejemplo# Stronger 6assword# /ocIout# ! configuraciones de auditoria. :i%,ly !ecure 3:icec95inf4 :ste &emplate aplica las configuraciones de seguridad ms elevadas posibles. 6ara ello impone restricciones sobre los niveles de encripci"n ! el firmado de pa$uetes de datos sobre canales seguros ! entre clientes ! servidores sobre los pa$uetes Server (essage NlocI 0S(N3. 6ara ms informaci"n acerca de secedit 'ttp)**www.microsoft.com*tec'net*treeview*default.asp+url,*tec'net* prodtec'nol*windowsserver2003*proddocs*datacenter*seceditQcmds.asp+frame,true

!2! 78u9 es la ;erra$ienta Securit- Configuration and <nal-sis:

/a 'erramienta Securit! 5onfiguration and 1nal!sis compara la configuraci"n de seguridad entre la computadora local a una configuraci"n alterna $ue es importada del template 0arc'ivo .inf 3 ! la almacenada en una base de datos separada 0arc'ivo .sdb3. 5uando el anlisis se completa# Usted puede anali8ar los ajustes de la seguridad en rbol de la consola para ver los resultados. /as discrepancias estn marcadas con una bandera roja# las consistencias estn marcadas con una marca verde ! los ajustes $ue no estn marcados con una bandera roja o una marca verde# no se configuran en la base de datos. Despu;s de analizar los resultados usando la ,erramienta !ecurity /onfi%uration and Analysis1 &sted puede realizar varias tareas1 incluyendo: :liminar las discrepancias configurando los ajustes en la base de datos a los ajustes actuales de la computadora. 6ara configurar ajustes de la base de datos# 'aga dobleDclicI en la configuraci"n del panel de detalles.

mportar otro template# combinando sus ajustes ! sobrescribiendo ajustes donde 'a! un conflicto. 6ara importar otro template# 'aga clicI derec'o en !ecurity /onfi%uration and Analysis# ! despu%s 'aga clicI en Import <emplate . :4portar los ajustes actuales de la base de datos a un template. 6ara e4portar otro template# 'aga clicI derec'o en !ecurity /onfi%uration and Analysis # ! despu%s 'aga clicI en +'port <emplate. Para mas informacin acerca de !ecurity <ools: !ecurity /onfi%uration -ana%er: 'ttp)**www.microsoft.com*tec'net*treeview*default.asp+url,* tec'net*prodtec'nol*windowsserver2003*proddocs*server*S:conceptsQS5(.asp =est Practices for Securit- Configuration and <nal-sis! 'ttp)**www.microsoft.com*tec'net*treeview*default.asp+url,* tec'net*prodtec'nol*windowsserver2003*proddocs*server*sagQS5(bp.asp Informacion adicional sobre se%uridad: "ntroducci#n 69cnica a seguridad! 'ttp)**www.microsoft.com*windowsserver2003*tec'info*overview*securit!.msp4 >ua de seguridad en Windows Server 200 ! 'ttp)**www.microsoft.com*tec'net*treeview*default.asp+url,* tec'net*securit!*prodtec'*Windows*Win2003*W2003CO*SO5C00.asp "Psec en Windows Server 200 ! 'ttp)**support.microsoft.com*default.asp4+scid,IbLenDusL3233E2 'ttp)**support.microsoft.com*default.asp4+scid,IbLenDusL32E2.J Pu3lic ?e- @ncr-ption 'ttp)**support.microsoft.com*default.asp4+scid,IbLenDusL2<-HHF 'ttp)**support.microsoft.com*default.asp4+scid,IbLenDusL2J0F.0