Seguridad

corporativa
Políticas de seguridad 72
Qué son y cómo se aplican
las políticas de seguridad 72
Ejemplo de políticas
corporativas 76
Políticas avanzadas
para Windows 7 y Windows
Server 2008 81
Acceso a los centros
de cómputos 82
Seguridad física
en los centros de cómputos 82
Plan de contingencias 86
Normas de seguridad 88
Normas ISSO 9001 y 27001 89
ITIL y la norma ISO20000 91
Antivirus corporativos 94
Características de los antivirus
corporativos 94
Infraestructura de los antivirus 96
Firewalls corporativos 100
Firewalls físicos y lógicos 100
Definición de reglas
de seguridad 103
Resumen 103
Actividades 104

Capítulo 3
Ya conocemos los pasos necesarios
para la instalación de servidores,
y vimos algunas pautas para configurarlos
en el dominio con Active Directory
y con las herramientas que nombramos.
Ahora veremos cómo darles seguridad
física y lógica. Nuestra meta
es que los equipos no sean dañados
y no puedan ser modificados ni accedidos
sin los permisos correspondientes.

ADMINISTRADOR DE SERVIDORES
SERVICIO DE ATENCIÓN AL LECTOR: usershop@redusers.com

POLÍTICAS DE SEGURIDAD
La aplicación de políticas de seguridad nos ayudará a tener nuestra infraestructura
controlada y con configuraciones estándar. Debemos tener en cuenta que esta práctica
se encarga de complementar la seguridad brindada por las aplicaciones antivirus
y firewalls, pero es igualmente necesaria. Las políticas tienen una gran variedad
de configuraciones para los servidores y los usuarios. Definiremos qué son, y veremos
cómo administrarlas, aplicarlas y las nuevas características que podemos encontrar
en un dominio con Windows Server 2008.
Qué son y cómo se aplican las políticas de seguridad
Las políticas de seguridad son reglas establecidas para el dominio de nuestra empresa.
Existen políticas de usuarios y de máquinas. Las primeras restringen las acciones
de los usuarios una vez que ingresan en la red; por ejemplo, podemos evitar que se
ejecuten ciertos programas en los equipos y realizar muchas otras configuraciones.
Al aplicar políticas de máquinas, tenemos la opción de estandarizar las propiedades
de las PCs de escritorio y los servidores para que tengan una configuración general
única; es decir que cualquier usuario que use la máquina tendrá las mismas
configuraciones.
Por ejemplo, podríamos acceder a realizar la modificación de algunos
servicios para que queden funcionando en forma automática, o también instalar un
parche o aplicación al iniciar el sistema, además de cambiar los usuarios del equipo
para incluir usuarios del dominio, etc. En muchos casos, deberemos crear estas
reglas por pedido de los departamentos de Seguridad o de Recursos Humanos, pero
es importante mencionar que una gran parte de ellas son establecidas para hacer
funcionar algún sistema de la empresa en particular.
Utilizamos la herramienta denominada GPMC (Group Policy Management Console)
de Microsoft para efectuar esta tarea. Debemos saber que no viene instalada en el
sistema operativo por defecto, sino que tendremos que realizar los pasos correspondientes
para agregarla. En Windows 2003 Server podemos bajarla del sitio oficial
de Microsoft e instalarla en el sistema operativo; para Windows 2008 Server veremos
la manera de agregarla paso a paso, como una característica nueva.
3. SEGURIDAD CORPORATIVA
72 www.redusers.com
Las políticas son reglas que impone la compañía a sus empleados para que utilicen el capital de
la empresa en forma correcta, ya que restringen accesos de seguridad, configuraciones e instalaciones
de programas indebidos. Active Directory nos permite crear directorios de dominios en
los cuales administraremos toda nuestra infraestructura.
POLÍTICAS
Instalar la consola GPMC en Windows Server 2008 PASO A PASO
Conéctese al equipo que sea controlador de dominio (Active Directory), vaya al
botón Inicio y abra el Panel de control. Ingrese en la opción Activar o desactivar
las características de Windows.
Para continuar, oprima el botón derecho del mouse sobre la opción llamada
Características del árbol y elija Agregar características.
Políticas de seguridad
www.redusers.com 73
_
Éste es un sistema de alertas de Microsoft que nos avisa de manera urgente cualquier novedad
sobre vulnerabilidades y parches. En general, nos informa por e-mail, pero también tiene presencia
en distintas redes sociales. Proporciona boletines diarios, asesoramientos, herramientas,
orientación y recursos de la comunidad. www.microsoft.com/technet/security/advisory
MICROSOFT SECURITY ADVISORY
Marque la opción Administración de directivas de grupo para agregar la nueva
función que le permitirá administrar las políticas del dominio.
Oprima el botón Instalar para comenzar la instalación y espere unos minutos.
3. SEGURIDAD CORPORATIVA
74 www.redusers.com
_
Es una carpeta que se publica en el controlador de dominio de Active Directory cuando se lo instala,
y por lo tanto, pertenece al dominio correspondiente. A ella pueden acceder todas las máquinas
de la red y todos los usuarios. Lo harán con permisos de sólo lectura; los de modificación
los tendremos nosotros, los administradores.
NETLOGON
_
Luego, compruebe que la instalación se realizó correctamente expandiendo el
árbol debajo de Característica/Administración de directivas de grupo.
La consola conocida como GPMC se conectará a un controlador de dominio para
mostrar la configuración del dominio Active Directory. Podemos ver un árbol, similar
al de la herramienta denominada Usuarios y equipos, pero podremos darnos
cuenta de que presenta algunas diferencias, ya que sólo se muestran las OU y las
políticas aplicadas a cada una de ellas; por lo tanto, no será posible que veamos
los objetos que se encuentran asociados a cada una.
Figura 1. En la consola se distinguen una sección para generar
búsquedas, otra para ver dónde están aplicadas las políticas, y una tercera
que es el repositorio en donde se crean y se administran.
Políticas de seguridad
www.redusers.com 75
_
Las políticas se aplicarán a todos los objetos que estén en la OU configurada. Por
ejemplo, la OU Argentina contiene otra OU llamada Computadoras. A todos los
objetos que tengamos en la OU Argentina se les aplicará la política Default Domain
Policy, al igual que en la OU Computadoras, ya que las políticas se heredan. Decimos
que las políticas están conectadas a las OU porque hay una carpeta especial que es
el repositorio en donde se crean; luego se generan accesos directos a las OU para configurar
las políticas en un determinado lugar del dominio. La carpeta se denomina
Objetos de directiva de grupo. Una vez creada una política, se puede conectar o desconectar
de distintas OU que necesitemos. Las políticas aplicadas a una máquina
pueden chequearse desde la línea de comandos de la siguiente manera:
C:\>GPRESULT /R
Este comando muestra un listado con las configuraciones de políticas de cada
máquina y las configuraciones de políticas de usuario que tenga la PC o el servidor
en donde se ejecute. Es muy importante tenerlo en cuenta para comprobar la aplicación
certera de las políticas. En ciertos casos, deberemos reiniciar el equipo para
lograrlo. También podemos forzarlas a actualizarse usando el siguiente comando:
C:\>GPUPDATE
De todos modos, si existen políticas que necesitan un reinicio, el comando pedirá
hacerlo en el momento. Es conveniente agregar el opcional –f para forzar el reinicio.
Si estamos en duda, siempre debemos reiniciar.
Ejemplo de políticas corporativas
Existen políticas para configurar cualquier aspecto del uso de una máquina o servidor.
Encontraremos muchos sitios en Internet con recomendaciones y detalles sobre
cada configuración. Vamos a nombrar algunas de ellas y veremos un ejemplo práctico
de cómo conectar una política a una OU.
Debemos tener en cuenta que si bien hay muchas políticas, las más utilizadas son,
por ejemplo, establecer normas de longitud y detalles en la creación de contraseñas,
deshabilitar o habilitar ciertos servicios que funcionan en el sistema operativo, iniciar
una aplicación en forma automática luego de que el usuario acceda al sistema
o instalar un parche de Windows o algún software.
A continuación, aprenderemos a publicar un paquete de software para todas las
máquinas de la red y a configurarlo para que se instale al iniciar el sistema mediante
una política de seguridad. En el Netlogon podemos publicar scripts y paquetes
3. SEGURIDAD CORPORATIVA
76 www.redusers.com
de instalación para que sean accedidos por cualquier usuario de la red. Si existe más
de un controlador de dominio que pertenezca al mismo dominio, esta carpeta se
replicará con cada cambio que se haga, al igual que cualquier configuración que realicemos
en Active Directory. Para acceder al Netlogon y copiar un archivo, sólo será
necesario que escribamos el comando \\nombredominio.com\netlgon en el menú
Inicio del sistema operativo, desde la opción denominada Ejecutar. Podremos darnos
cuenta de que se abrirá la carpeta correspondiente al controlador de dominio
adecuado. Luego de realizar esta tarea, debemos proceder a crear una carpeta para
la aplicación y, posteriormente, copiar el ejecutable.
Figura 2. Una vez que creamos la carpeta, copiamos el instalador
de la aplicación deseada en ella. Nos quedará una ruta
parecida a \\nombredominio.com\netlogon\carpetaapli\aplicacion.exe.
El paquete de instalación podrá ser leído por cualquier usuario de la red. Así como
este paquete, podremos copiar el de cualquier programa. Para continuar, veremos
cómo configurar la instalación del paquete para todas las máquinas. Debemos crear
un script de instalación, guardarlo en la misma carpeta del Netlogon y, como último
paso, crear una política que corra el script al inicio del sistema desde la consola
GPMC. El script debe crearse utilizando un editor de textos.
Crear una política y conectarla a una OU PASO A PASO
Vaya al menú Inicio/Ejecutar y escriba el comando notepad.exe, para abrir el
editor de texto.
Políticas de seguridad
www.redusers.com 77
_
Para continuar, será necesario que escriba el siguiente texto en el editor de notas
del sistema operativo: @echo off. Debe tener en cuenta la necesidad de dejar un
renglón. Luego escriba (para el ejemplo que mencionamos más arriba):
\\nombredominio.com\netlogon\carpetaaplicacion\aplicacion.exe. Por último,
guarde el archivo utilizando el menú adecuado.
Renombre el archivo para cambiar su extensión .TXT por .BAT o guárdelo desde
el editor de notas con esa extensión. A continuación, muévalo para ubicarlo en la
carpeta de la aplicación en el Netlogon.
3. SEGURIDAD CORPORATIVA
78 www.redusers.com
_
_
Vaya a Inicio/Ejecutar. Escriba gpmc.msc para abrir la consola de comandos.
Posiciónese en Objetos de directiva de grupo y elija la opción Nuevo.
Escriba un nombre para la política y oprima el botón Aceptar. Deje la lista
desplegable de abajo como está por defecto.
Vaya a la política recién creada y posteriormente haga clic con el botón derecho
del mouse en ella. Elija Editar para poder configurarla.
Políticas de seguridad
www.redusers.com 79
_
_
A continuación, expanda el árbol de Configuración del equipo y luego diríjase a la
sección denominada Configuración de Windows. Expanda nuevamente el árbol y
elija la opción llamada Scripts. En el lado derecho de la pantalla haga clic derecho
sobre Inicio y escoja la opción Propiedades.
Para continuar, oprima el botón denominado Agregar y posteriormente escribir la
ruta del script; en este caso deberá copiar la que se muestra a continuación:
\\dominio.com\netlogon\aplicacion\aplicacion.bat.
En este paso deberá oprimir el botón Aceptar, luego de lo cual tendrá que cerrar
la pantalla de edición. En la consola posiciónese donde quiera conectar la
política. Para todas las computadoras de escritorio, ubíquese en la OU
denominada Computadoras. Para continuar, haga clic con el botón derecho del
mouse y elija la opción Vincular un GPO existente.
3. SEGURIDAD CORPORATIVA
80 www.redusers.com
_
_
Elija la nueva política antes creada del listado que figura en pantalla y finalmente
haga clic sobre el botón llamado Aceptar.
Una vez que se reinicie el sistema, se comenzará a instalar la aplicación con las
credenciales de un usuario administrador, se llamará al script y se ejecutará en
forma oculta. En todos los sistemas operativos Windows este tipo de tareas se
realiza con el usuario de sistema. Se trata de un usuario especial con privilegios
de administración que sólo puede ser manejado por el mismo sistema operativo.
Otro tipo de política muy utilizada, y un poco distinta de la empleada en los
procedimientos anteriores, es configurar todos los servicios de los equipos de la
empresa. Para hacerlo, debemos crear una política nueva que aplicaremos a todas
las máquinas. Abrimos la política y la editamos, luego expandimos el árbol hasta
la opción de servicios del sistema ubicada en Configuración del equipo/Directivas/
Configuración de Windows/Configuración de seguridad/Servicios del Sistema y allí
modificamos los que queremos configurar. Antes de cambiar la política, tenemos
que probarla muy bien para que no haya problemas con la compatibilidad de
distintos sistemas de la empresa.