Mdulo 09

Proteccin de los Servidores de Windows

mediante objetos de directiva de grupo

Copyright Octubre de 2015 por TECSUP

Revisin del Mdulo

1.
2.
3.
4.

Introduccin a la seguridad de Windows

Configuracin de la seguridad
Restriccin de Software
Configuracin de Firewall de Windows con seguridad
avanzada

Leccin 1

Leccin 1: Introduccin a la seguridad de

Windows
Discusin: Identificacin de los riesgos y costos de
seguridad
Aplicando Defense-In-Depth para aumentar la seguridad
Mejores prcticas para aumentar la seguridad

Discusin: Identificacin de los riesgos y

costos de seguridad
Cules son algunos de los riesgos y los costos asociados a
las redes basadas en Windows?

Aplicando Defense-In-Depth para aumentar la

seguridad
Defensa en profundidad utiliza un enfoque por capas de
seguridad
Reduce la posibilidad de xito de un atacante
Aumenta la deteccin de riesgo de un atacante
Policies, procedures, Security documents, user education
and awareness
Physical security

Guards, locks, tracking devices

Perimeter

Firewalls, network access quarantine control

Networks

Network segments, IPsec, Reverse proxy servers

Host

Hardening, authentication, update

management

Application

Application hardening, antivirus

Data

ACLs, EFS, BitLocker, backup and restore

procedures

Aplicando Defense-In-Depth para aumentar la

seguridad

Mejores prcticas para aumentar la seguridad

Algunas buenas prcticas para aumentar la seguridad:
Aplicar rpidamente todas las actualizaciones de seguridad
disponibles
Siga el principio de privilegios mnimos
Restringir el acceso a consola
Restringir el acceso fsico

Leccin 2

Leccin 2: Configuracin de la seguridad

Configuracin
Configuracin
Configuracin
Configuracin
Configuracin
Configuracin
Configuracin

de Plantillas de seguridad
de derechos de usuario
de opciones de seguridad
del control de cuentas de usuario
de la auditora
de grupos restringidos
de Opciones de Polticas de Cuentas

Configuracin de Plantillas de seguridad

Categoras de plantillas de seguridad:

Configuracin de Plantillas de seguridad

Cmo se distribuyen las Plantillas de seguridad:

Secedit.exe
Complemento Seguridad de Plantilla
Asistente para configuracin de seguridad
Directiva de grupo
Administrador de compatibilidad de Seguridad

Configuracin de seguridad con GPO

El uso de GPO permite configurar
comparado con Plantillas de seguridad.

ms

opciones

Configuracin de derechos de usuario

Tipos de derechos de usuario:
Privilegios
Derechos de inicio de sesin

Ejemplos:

Agregar estaciones de trabajo a un dominio

Permitir el inicio de sesin local
Realizar copia de seguridad de archivos y directorios
Cambiar la hora del sistema
Forzar el apagado desde un equipo remoto
Apagar el sistema

Configurar de Opciones de seguridad

Configuracin de opciones de seguridad:

Nombres de las cuentas de Administrador e Invitado

Acceso a disquetes y unidades de CD/DVD
Firmas de datos digitales
Caracterstica de instalacin de drivers
Indicador de ordenes para inicio de sesin
Control de cuentas de usuario

Ejemplos:

Pedir al usuario cambiar la contrasea antes de la expiracin

No mostrar el ltimo nombre de usuario
Cambiar el nombre de cuenta de administrador
Restringir el acceso al CD-ROM de usuario solo con sesin iniciada
localmente

Configuracin del Control de Cuentas de Usuario

UAC
es
una
caracterstica
de
seguridad que solicita
al
usuario
las
credenciales de un
usuario administrativo
si la tarea requiere
permisos
administrativos
UAC permite a los
usuarios realizar tareas
comunes diarias como
No administradores

Configuracin de la auditora
Cuando utiliza la auditora de seguridad para registrar
eventos relacionados con la seguridad, recuerde que:
Usted puede encontrar los registros de auditora de seguridad en el
visor de sucesos
Puede configurar la auditora de seguridad de acuerdo con las
normas de seguridad de su empresa

Configuracin de grupos restringidos

Las Directivas de grupo pueden controlar la membresa a
grupos:
Por cada grupo en un equipo local, mediante la aplicacin de un
GPO a la OU que contiene la cuenta de equipo
Por cada grupo en AD DS, mediante la aplicacin de un GPO a la
OU del controlador de dominio

Configuracin de Opciones de Directivas

de Cuentas
Las directivas de cuentas minimizan la amenaza de
adivinar contraseas de cuentas por medio de fuerza bruta
Polticas
Contrasea

Bloqueo de
cuenta

Kerberos

Opciones por defecto

Controla complejidad y la duracin de las contraseas
Edad contrasea Max: 42 Das
La edad mnima de contrasea: 1 da
Min longitud de la contrasea: 7 caracteres
Contrasea Compleja: habilitado
Almacenar contrasea usando cifrado reversible: desactivado
Controla cantidad de intentos incorrectos
Duracin del bloqueo: No definido
Umbral de bloqueo: 0 intentos de inicio de sesin no vlidos
Restablecer la cuenta de bloqueos despus de: No definido
Subconjunto de los atributos de la poltica de seguridad de
dominio
Slo se puede aplicar a nivel de dominio

Qu es Security Compliance Manager?

SCM es una herramienta gratuita de Microsoft que ayuda a
asegurar
las
computadoras
locales,
remotas
y
virtualizadas.
Ofrece:

Baselines
Guas de seguridad
Soporte para computadoras en Grupo de Trabajo
Soporte para importar GPOs

SCM se puede utilizar para:

Validar que las computadoras cumplen las polticas

Reduce el trabajo en la configuracin de computadoras
Mueve, compara y une configuraciones
Formula y actualiza las directivas de seguridad

Qu es Security Compliance Manager?

Leccin 3

Leccin 3: Restriccin de Software

Que son las polticas de restriccin de software?

Qu es AppLocker?
Reglas de AppLocker
Demostracin: Creacin de reglas de AppLocker

Qu son las directivas de restriccin de

software?
SRP (Software Restriction Policy) permite a los
administradores identificar qu aplicaciones se pueden
ejecutar en los equipos cliente
SRPs puede basarse en lo siguiente:

Hash
Certificado
Path
Zona

Qu es AppLocker?
AppLocker aplica las polticas de control de aplicaciones en
Windows Server 2012 y Windows 8
AppLocker contiene nuevas capacidades y extensiones que
reducen la sobrecarga administrativa y ayuda a los administradores
a controlar cmo los usuarios pueden acceder y utilizar los
archivos, tales como .exe, scripts, archivos de Windows Installer
(.msi y .msp) y archivos DLL

Beneficios de AppLocker :
Controla cmo los usuarios pueden acceder y ejecutar todo tipo de
aplicaciones
Permite la definicin de reglas basadas en una amplia variedad de
variables
Permite importar y exportar las polticas enteras de AppLocker

Reglas de AppLocker
AppLocker define reglas basadas en atributos de archivo,
tales como:

Nombre del Editor

Nombre del producto
Nombre del archivo
Versin del archivo

Acciones de las reglas

Permitir o Denegar condiciones
Reforzar o auditar slo polticas

Leccin 4

Leccin 4: Configuracin de Firewall de Windows

con seguridad avanzada
Qu es el Firewall de Windows con seguridad avanzada?
Discusin: Por qu es importante un cortafuegos basado
en host?
Perfiles del cortafuegos
Reglas de seguridad de conexin
Implementacin de reglas de firewall

Qu es el Firewall de Windows con seguridad

avanzada?
Windows Firewall es un cortafuegos con estado, basado en
host que permite o bloquea el trfico de red de acuerdo a
su configuracin

Qu es el Firewall de Windows con seguridad

avanzada?

Soporta filtrado para trfico entrante y saliente

Usado para configuracin avanzada
Proteccin IPsec integrada en el Firewall
Permite reglas con varios criterios
Proporciona perfiles de red basado en localizaciones
Puede importar o exportar polticas

Firewall rules
control inbound
and outbound
traffic

Windows
Server 2008

Internet

Firewall

LAN

Discusin: Por qu es importante un

cortafuegos basado en host?
Por qu es importante un cortafuegos basado en host tal
como el Firewall de Windows con seguridad avanzada?

Perfiles del cortafuegos

Los Perfiles del cortafuegos son un conjunto de opciones
de configuracin que se aplica a un tipo particular de red
Los perfiles del cortafuegos son :
Dominio
Publico
Privado

Windows Server 2012 introduce la posibilidad de tener

varios perfiles de firewall activos

Reglas de seguridad de conexin

Reglas de seguridad de conexin:
Autenticar dos equipos antes que comiencen a comunicarse
Asegurar la informacin que se enva entre dos equipos
Utilizar el intercambio de claves, autenticacin, integridad de
datos, y cifrado de datos (opcional)

Cmo estn relacionadas las reglas de firewall y las reglas

de conexin:
Las reglas de firewall permiten el paso de trfico, pero no aseguran
dicho trfico
Las Reglas de seguridad de conexin pueden asegurar el trfico,
pero slo si una regla de firewall se ha configurado previamente

Implementacin de reglas de firewall

Puede implementar reglas de Firewall de Windows:
Manualmente, usado durante la prueba
computadoras
Mediante el uso de directivas de grupo
Exportando e importando reglas de firewall

Always test firewall rules in an

isolated, nonproduction
environment before you deploy
them in production.

reparacin

de

Fin de la unidad