ADMINISTRADOR DE SERVIDORES Capítulo 3

Seguridad
corporativa
Ya conocemos los pasos necesarios

para la instalación de servidores,

y vimos algunas pautas para configurarlos

Políticas de seguridad 72
en el dominio con Active Directory Qué son y cómo se aplican
las políticas de seguridad 72
y con las herramientas que nombramos. Ejemplo de políticas
corporativas 76
Políticas avanzadas
Ahora veremos cómo darles seguridad
para Windows 7 y Windows
Server 2008 81
física y lógica. Nuestra meta Acceso a los centros
de cómputos 82
es que los equipos no sean dañados Seguridad física
en los centros de cómputos 82
Plan de contingencias 86
y no puedan ser modificados ni accedidos
Normas de seguridad 88
Normas ISSO 9001 y 27001 89
sin los permisos correspondientes. ITIL y la norma ISO20000 91
Antivirus corporativos 94
Características de los antivirus
corporativos 94
Infraestructura de los antivirus 96
Firewalls corporativos 100
Firewalls físicos y lógicos 100
Definición de reglas
de seguridad 103
Resumen 103
SERVICIO DE ATENCIÓN AL LECTOR: usershop@redusers.com Actividades 104
3. SEGURIDAD CORPORATIVA

POLÍTICAS DE SEGURIDAD
La aplicación de políticas de seguridad nos ayudará a tener nuestra infraestructura
controlada y con configuraciones estándar. Debemos tener en cuenta que esta prác-
tica se encarga de complementar la seguridad brindada por las aplicaciones antivi-
rus y firewalls, pero es igualmente necesaria. Las políticas tienen una gran variedad
de configuraciones para los servidores y los usuarios. Definiremos qué son, y vere-
mos cómo administrarlas, aplicarlas y las nuevas características que podemos encon-
trar en un dominio con Windows Server 2008.

Qué son y cómo se aplican las políticas de seguridad

Las políticas de seguridad son reglas establecidas para el dominio de nuestra empre-
sa. Existen políticas de usuarios y de máquinas. Las primeras restringen las acciones
de los usuarios una vez que ingresan en la red; por ejemplo, podemos evitar que se
ejecuten ciertos programas en los equipos y realizar muchas otras configuraciones.
Al aplicar políticas de máquinas, tenemos la opción de estandarizar las propiedades
de las PCs de escritorio y los servidores para que tengan una configuración general
única; es decir que cualquier usuario que use la máquina tendrá las mismas confi-
guraciones. Por ejemplo, podríamos acceder a realizar la modificación de algunos
servicios para que queden funcionando en forma automática, o también instalar un
parche o aplicación al iniciar el sistema, además de cambiar los usuarios del equipo
para incluir usuarios del dominio, etc. En muchos casos, deberemos crear estas
reglas por pedido de los departamentos de Seguridad o de Recursos Humanos, pero
es importante mencionar que una gran parte de ellas son establecidas para hacer
funcionar algún sistema de la empresa en particular.
Utilizamos la herramienta denominada GPMC (Group Policy Management Console)
de Microsoft para efectuar esta tarea. Debemos saber que no viene instalada en el
sistema operativo por defecto, sino que tendremos que realizar los pasos corres-
pondientes para agregarla. En Windows 2003 Server podemos bajarla del sitio oficial
de Microsoft e instalarla en el sistema operativo; para Windows 2008 Server veremos
la manera de agregarla paso a paso, como una característica nueva.

POLÍTICAS

Las políticas son reglas que impone la compañía a sus empleados para que utilicen el capital de
la empresa en forma correcta, ya que restringen accesos de seguridad, configuraciones e insta-
laciones de programas indebidos. Active Directory nos permite crear directorios de dominios en
los cuales administraremos toda nuestra infraestructura.

72 www.redusers.com
 Políticas de seguridad

Instalar la consola GPMC en Windows Server 2008 PASO A PASO

Conéctese al equipo que sea controlador de dominio (Active Directory), vaya al

botón Inicio y abra el Panel de control. Ingrese en la opción Activar o desactivar
las características de Windows.

Para continuar, oprima el botón derecho del mouse sobre la opción llamada
Características del árbol y elija Agregar características.

MICROSOFT SECURITY ADVISORY

Éste es un sistema de alertas de Microsoft que nos avisa de manera urgente cualquier novedad
sobre vulnerabilidades y parches. En general, nos informa por e-mail, pero también tiene pre-
sencia en distintas redes sociales. Proporciona boletines diarios, asesoramientos, herramientas,
orientación y recursos de la comunidad. www.microsoft.com/technet/security/advisory

www.redusers.com 73
3. SEGURIDAD CORPORATIVA

Marque la opción Administración de directivas de grupo para agregar la nueva

función que le permitirá administrar las políticas del dominio.

Oprima el botón Instalar para comenzar la instalación y espere unos minutos.

NETLOGON

Es una carpeta que se publica en el controlador de dominio de Active Directory cuando se lo ins-
tala, y por lo tanto, pertenece al dominio correspondiente. A ella pueden acceder todas las má-
quinas de la red y todos los usuarios. Lo harán con permisos de sólo lectura; los de modificación
los tendremos nosotros, los administradores.

74 www.redusers.com
 Políticas de seguridad

Luego, compruebe que la instalación se realizó correctamente expandiendo el

árbol debajo de Característica/Administración de directivas de grupo.

La consola conocida como GPMC se conectará a un controlador de dominio para

mostrar la configuración del dominio Active Directory. Podemos ver un árbol, simi-
lar al de la herramienta denominada Usuarios y equipos, pero podremos darnos
cuenta de que presenta algunas diferencias, ya que sólo se muestran las OU y las
políticas aplicadas a cada una de ellas; por lo tanto, no será posible que veamos
los objetos que se encuentran asociados a cada una.

Figura 1. En la consola se distinguen una sección para generar

búsquedas, otra para ver dónde están aplicadas las políticas, y una tercera
que es el repositorio en donde se crean y se administran.

www.redusers.com 75
3. SEGURIDAD CORPORATIVA

Las políticas se aplicarán a todos los objetos que estén en la OU configurada. Por
ejemplo, la OU Argentina contiene otra OU llamada Computadoras. A todos los
objetos que tengamos en la OU Argentina se les aplicará la política Default Domain
Policy, al igual que en la OU Computadoras, ya que las políticas se heredan. Decimos
que las políticas están conectadas a las OU porque hay una carpeta especial que es
el repositorio en donde se crean; luego se generan accesos directos a las OU para con-
figurar las políticas en un determinado lugar del dominio. La carpeta se denomina
Objetos de directiva de grupo. Una vez creada una política, se puede conectar o des-
conectar de distintas OU que necesitemos. Las políticas aplicadas a una máquina
pueden chequearse desde la línea de comandos de la siguiente manera:

C:\>GPRESULT /R

Este comando muestra un listado con las configuraciones de políticas de cada

máquina y las configuraciones de políticas de usuario que tenga la PC o el servidor
en donde se ejecute. Es muy importante tenerlo en cuenta para comprobar la apli-
cación certera de las políticas. En ciertos casos, deberemos reiniciar el equipo para
lograrlo. También podemos forzarlas a actualizarse usando el siguiente comando:

C:\>GPUPDATE

De todos modos, si existen políticas que necesitan un reinicio, el comando pedirá

hacerlo en el momento. Es conveniente agregar el opcional –f para forzar el reini-
cio. Si estamos en duda, siempre debemos reiniciar.

Ejemplo de políticas corporativas

Existen políticas para configurar cualquier aspecto del uso de una máquina o servi-
dor. Encontraremos muchos sitios en Internet con recomendaciones y detalles sobre
cada configuración. Vamos a nombrar algunas de ellas y veremos un ejemplo prác-
tico de cómo conectar una política a una OU.
Debemos tener en cuenta que si bien hay muchas políticas, las más utilizadas son,
por ejemplo, establecer normas de longitud y detalles en la creación de contraseñas,
deshabilitar o habilitar ciertos servicios que funcionan en el sistema operativo, ini-
ciar una aplicación en forma automática luego de que el usuario acceda al sistema
o instalar un parche de Windows o algún software.
A continuación, aprenderemos a publicar un paquete de software para todas las
máquinas de la red y a configurarlo para que se instale al iniciar el sistema median-
te una política de seguridad. En el Netlogon podemos publicar scripts y paquetes

76 www.redusers.com
 Políticas de seguridad

de instalación para que sean accedidos por cualquier usuario de la red. Si existe más
de un controlador de dominio que pertenezca al mismo dominio, esta carpeta se
replicará con cada cambio que se haga, al igual que cualquier configuración que rea-
licemos en Active Directory. Para acceder al Netlogon y copiar un archivo, sólo será
necesario que escribamos el comando \\nombredominio.com\netlgon en el menú
Inicio del sistema operativo, desde la opción denominada Ejecutar. Podremos dar-
nos cuenta de que se abrirá la carpeta correspondiente al controlador de dominio
adecuado. Luego de realizar esta tarea, debemos proceder a crear una carpeta para
la aplicación y, posteriormente, copiar el ejecutable.

Figura 2. Una vez que creamos la carpeta, copiamos el instalador

de la aplicación deseada en ella. Nos quedará una ruta
parecida a \\nombredominio.com\netlogon\carpetaapli\aplicacion.exe.

El paquete de instalación podrá ser leído por cualquier usuario de la red. Así como
este paquete, podremos copiar el de cualquier programa. Para continuar, veremos
cómo configurar la instalación del paquete para todas las máquinas. Debemos crear
un script de instalación, guardarlo en la misma carpeta del Netlogon y, como últi-
mo paso, crear una política que corra el script al inicio del sistema desde la conso-
la GPMC. El script debe crearse utilizando un editor de textos.

Crear una política y conectarla a una OU PASO A PASO

Vaya al menú Inicio/Ejecutar y escriba el comando notepad.exe, para abrir el

editor de texto.

www.redusers.com 77
3. SEGURIDAD CORPORATIVA

Para continuar, será necesario que escriba el siguiente texto en el editor de notas
del sistema operativo: @echo off. Debe tener en cuenta la necesidad de dejar un
renglón. Luego escriba (para el ejemplo que mencionamos más arriba):
\\nombredominio.com\netlogon\carpetaaplicacion\aplicacion.exe. Por último,
guarde el archivo utilizando el menú adecuado.

Renombre el archivo para cambiar su extensión .TXT por .BAT o guárdelo desde
el editor de notas con esa extensión. A continuación, muévalo para ubicarlo en la
carpeta de la aplicación en el Netlogon.

78 www.redusers.com