SISTEMAS OPERATIVOS TRABAJO MONOGRÁFICO REALIZADO POR: ANITA ALEGRE LÓPEZ Y MIRIAM CAROLINA QUINTANA COMO ADSCRIPTAS A LA ASIGNATURA “SISTEMAS OPERATIVOS” OCTUBRE - 2002 CAPITULO 1: WINDOWS 2000 SERVER OPERACIONES DE RED SEGURAS CON EL USO DE LOS SERVICIOS DE SEGURIDAD DISTRIBUÍDA DE WINDOWS 2000 ....................................................................................... 8 Aspectos importantes.............................................................................................................. 9 Servicios de Seguridad Distribuída de Windows 2000 .......................................................... 10 El Directorio Activo y la Seguridad ...................................................................................... 12 Ventajas de la administración de cuentas de Directorio Activo ............................................. 13 Relación entre los servicios de directorio y la seguridad ....................................................... 14 Servicios de directorio y seguridad ....................................................................................... 14 Relaciones de confianza entre dominios ............................................................................... 15 Delegación de administración............................................................................................... 16 Derechos de acceso granulares ............................................................................................. 17 Herencia de los derechos de acceso ...................................................................................... 18 Múltiples Protocolos de Seguridad ....................................................................................... 19 Arquitectura para servicios de autenticación múltiple ........................................................... 21 Interfaz del Servidor de Soporte de Seguridad ...................................................................... 22 Protocolo de Autenticación Kerberos.................................................................................... 22 Antecedentes de Kerberos .................................................................................................... 23 Descripción general del protocolo de autenticación Kerberos ............................................... 24 Integración de Kerberos........................................................................................................ 24 Interoperabilidad Kerberos ................................................................................................... 25 Extensiones Kerberos para clave pública .............................................................................. 27 Seguridad de Internet para Windows 2000............................................................................ 27 Autenticación del cliente con SSL 3.0 .................................................................................. 29 Autenticación de usuarios externos....................................................................................... 31 Microsoft Certificate Server ................................................................................................. 31 CryptoAPI............................................................................................................................ 32 Acceso entre empresas: socios distribuídos........................................................................... 33 Credenciales NTLM ............................................................................................................. 35 Credenciales Kerberos.......................................................................................................... 35 Pares de claves privadas/públicas y certificados.................................................................... 35 Transición sin fallos ............................................................................................................. 36 INTRODUCCIÓN A LA ADMINISTRACIÓN DE CAMBIOS Y CONFIGURACIÓN DE WINDOWS 2000 ..................................................................................................................... 40 Windows 2000 y la Administración de cambios y configuración .......................................... 41 Intellimirror.......................................................................................................................... 44 Accesibilidad de los datos..................................................................................................... 45 PLANIFICAR LA MIGRACIÓN DE WINDOWS NT A WINDOWS 2000 ............................ 54 Introducción ......................................................................................................................... 54 Determinar la ruta de la migración........................................................................................ 54 Conceptos de la migración.................................................................................................... 54 Actualización del dominio .................................................................................................... 54 Consecuencias de la actualización del dominio..................................................................... 55 El Asistente de instalación de Active Directory (DCPromo.exe) ........................................... 55 PDC de Windows NT........................................................................................................... 55 El efecto de la actualización sobre el control de acceso......................................................... 55 Identificadores de seguridad (SID) ....................................................................................... 55 Autenticación y tokens de acceso.......................................................................................... 56 1 Autorización y descriptores de seguridad.............................................................................. 56 Uso de la autenticación NTLM............................................................................................. 58 Uso de la autenticación de Kerberos ..................................................................................... 58 Actualización y dominios de recursos................................................................................... 59 Actualización y administración............................................................................................. 60 Modo mixto y modo nativo .................................................................................................. 61 Modo mixto.......................................................................................................................... 61 Modo nativo ......................................................................................................................... 62 Cambiar a modo nativo......................................................................................................... 62 Grupos de Windows 2000..................................................................................................... 64 Grupos locales...................................................................................................................... 64 Grupos locales del dominio .................................................................................................. 65 Grupos globales.................................................................................................................... 65 Grupos universales ............................................................................................................... 65 Uso de los grupos universales............................................................................................... 65 Grupos universales y tokens de acceso.................................................................................. 66 Anidamiento de grupos......................................................................................................... 66 Efectos de la actualización sobre los grupos ......................................................................... 66 Tabla 2. Grupos y modo de los dominios. ......................................................................... 67 NetBIOS y Windows Internet Name Service (WINS) en Windows 2000 .............................. 67 Disponibilidad de LAN Manager Replication Service (LMRepl) .......................................... 68 El proceso LMRepl .............................................................................................................. 68 El proceso FRS..................................................................................................................... 69 Mantener los servicios de LMRepl en un entorno mixto ....................................................... 70 LMRepl y actualización........................................................................................................ 70 Usar Remote Access Services (RAS; Servicios de Acceso Remoto) en un entorno mixto ..... 70 Rutas de actualización soportadas......................................................................................... 71 Tabla 3. Rutas de actualización soportadas. ...................................................................... 71 Orden de la actualización de dominios.................................................................................. 72 Actualizar dominios de cuentas ............................................................................................ 73 Orden de los dominios de cuentas......................................................................................... 73 Orden de los dominios de recursos ....................................................................................... 73 Actualizar estaciones de trabajo y servidores ........................................................................ 73 Reestructuración de dominios............................................................................................... 73 ¿Cuándo debe reestructurar?............................................................................................. 74 ¿Por qué reestructurar? ..................................................................................................... 75 Consecuencias de la reestructuración de dominios ............................................................ 75 Efecto de mover principales de seguridad en los SID............................................................ 75 Mover los principales de seguridad....................................................................................... 76 Efectos del movimiento sobre la pertenencia de Bob al grupo global .................................... 76 Efectos del movimiento sobre las ACL que hacen referencia directamente a Bob ................. 77 SIDhistory............................................................................................................................ 77 Limitaciones del uso de MoveTree ....................................................................................... 78 Conjuntos cerrados y mover usuarios y grupos globales ....................................................... 79 Conjuntos cerrados y mover ordenadores.............................................................................. 79 Cómo trabajar con los conjuntos cerrados............................................................................. 79 Clonar principales de seguridad ............................................................................................ 80 ClonePrincipal...................................................................................................................... 80 Establecer relaciones de confianza........................................................................................ 80 Mover servidores.................................................................................................................. 80 Windows NT 3.51 y SIDhistory............................................................................................ 81 ClonePrincipal y resolución de SID ...................................................................................... 81 Perfiles y SIDhistory ............................................................................................................ 82 Migración de perfiles............................................................................................................ 82 2 Perfiles compartidos ............................................................................................................. 83 Tabla 4. Ventajas e inconvenientes de compartir perfiles. ................................................. 83 Migración de perfiles copiados ............................................................................................. 83 Tabla 5. Ventajas e inconvenientes de copiar perfiles........................................................ 83 Herramienta de Microsoft para la migración de dominios ..................................................... 83 Utilidades básicas para la migración de dominios y escenarios de la migración de dominios. 83 Escenarios de la migración de dominios ............................................................................... 84 Migrar usuarios paulatinamente de Windows NT a Windows 2000 ...................................... 84 Consolidar un dominio de recursos en una OU de Windows 2000 ........................................ 85 Fases del escenario ............................................................................................................... 85 Lista de comprobación de puntos de decisión ....................................................................... 87 Decisiones sobre la actualización.......................................................................................... 87 Decisiones sobre la reestructuración ..................................................................................... 88 Resumen .............................................................................................................................. 88 Para más información ........................................................................................................... 89 SEGURIDAD EN WINDOWS 2000 SERVER ........................................................................ 90 1. Introducción ..................................................................................................................... 90 Microsoft Operations Framework (MOF) ............................................................................. 90 Implementar y mantener la seguridad ................................................................................... 91 Implementar la seguridad ..................................................................................................... 92 Mantener la seguridad .......................................................................................................... 92 Ámbito de esta guía.............................................................................................................. 92 Esquema de los capítulos...................................................................................................... 94 Capítulo 2: Definición de riesgo de seguridad....................................................................... 94 Capítulo 3: Administrar la seguridad con la Directiva de grupo de Windows 2000 ............... 94 Capítulo 4: Asegurar servidores basándose en su función ..................................................... 94 Capítulo 5: Administrar revisiones ....................................................................................... 94 Capítulo 6: Auditoría y detección de intrusiones................................................................... 95 Capítulo 7: Responder a las incidencias ................................................................................ 95 Resumen .............................................................................................................................. 95 2. Definición de riesgo de seguridad ..................................................................................... 95 Administración de riesgos .................................................................................................... 95 Recursos............................................................................................................................... 96 Amenazas............................................................................................................................. 96 Vulnerabilidades................................................................................................................... 97 Explotación .......................................................................................................................... 97 Relación entre amenazas, vulnerabilidades y riesgo .............................................................. 98 Contramedidas ..................................................................................................................... 99 Defensa de datos................................................................................................................. 100 Defensa de aplicaciones...................................................................................................... 101 Defensa de hosts................................................................................................................. 101 Defensa de redes................................................................................................................. 102 Defensa de perímetros ........................................................................................................ 102 Seguridad física.................................................................................................................. 102 Directivas y procedimientos ............................................................................................... 103 Métodos de ataque comunes y medidas preventivas............................................................ 104 Obtención de información .................................................................................................. 104 3 . Administrar la seguridad con la Directiva de grupo de Windows 2000........................... 105 Importancia de utilizar la Directiva de grupo ...................................................................... 105 Cómo aplicar la Directiva de grupo .................................................................................... 106 Garantizar la aplicación de la Directiva de grupo................................................................ 107 Estructura de la Directiva de grupo..................................................................................... 107 Formato de las plantillas de seguridad ................................................................................ 108 Entorno de prueba .............................................................................................................. 109 3 Comprobar el entorno del dominio ..................................................................................... 109 Comprobar la configuración de DNS.................................................................................. 109 Replicación de controladores de dominio............................................................................ 110 Forzar y comprobar la replicación con Repadmin ............................................................... 110 Centralizar las plantillas de seguridad................................................................................. 111 Configuración temporal ...................................................................................................... 111 Diseño e implementación de directivas ............................................................................... 112 Funciones del servidor........................................................................................................ 113 Estructura de Active Directory para admitir las funciones del servidor ............................... 114 Directiva del nivel de dominios .......................................................................................... 115 Unidad organizativa de los servidores miembros ................................................................ 115 Unidad organizativa de los controladores de dominio ......................................................... 115 Unidades organizativas individuales de funciones del servidor ........................................... 116 Importar las plantillas de seguridad..................................................................................... 116 Importar la directiva de línea de base de controladores de dominio..................................... 116 Importar las directivas de servidores miembros .................................................................. 117 Mantener la seguridad de la configuración de la Directiva de grupo.................................... 118 Sucesos del Registro de sucesos ......................................................................................... 119 Comprobar la directiva con el MMC de la directiva de seguridad local............................... 119 Comprobar la directiva con herramientas de la línea de comandos...................................... 120 Auditar la Directiva de grupo ............................................................................................. 120 Solucionar problemas de la Directiva de grupo ................................................................... 120 Herramientas del kit de recursos ......................................................................................... 120 Errores del Registro de sucesos de la Directiva de grupo .................................................... 122 Resumen ............................................................................................................................ 123 Más información ................................................................................................................ 123 Directivas de dominio......................................................................................................... 124 Directiva de contraseñas ..................................................................................................... 124 Directiva de bloqueo de cuentas ......................................................................................... 125 Directivas de línea de base para los servidores miembros ................................................... 126 Directiva de grupo de línea de base para los servidores miembros ...................................... 126 Directiva de línea de base para la auditoría de servidores miembros ................................... 127 Directiva de línea de base para las opciones de seguridad de los servidores miembros........ 128 Restricciones adicionales para conexiones anónimas .......................................................... 131 Nivel de autenticación de LAN Manager ............................................................................ 131 Borrar el archivo de páginas de la memoria virtual al apagar el sistema .............................. 131 Firmar digitalmente la comunicación con el cliente o con el servidor.................................. 131 Otras opciones de seguridad ............................................................................................... 132 Consideraciones de seguridad para los ataques a la red ....................................................... 132 Deshabilitar la generación automática de nombres de archivo 8.3 ....................................... 133 Deshabilitar la creación de Lmhash .................................................................................... 134 Configuración de la seguridad NTLMSSP .......................................................................... 134 Deshabilitación de Autorun ................................................................................................ 135 Directiva de línea de base de listas de control de acceso al registro para servidores miembros ........................................................................................................................................... 135 Directiva de línea de base de listas de control de acceso a archivos para servidores miembros ........................................................................................................................................... 135 Directivas de línea de base de servicios para los servidores miembros ................................ 136 Servicios clave no incluidos en la línea de base de los servidores miembros ....................... 138 Servicio SNMP................................................................................................................... 138 Servicios WMI ................................................................................................................... 138 Servicios de mensajería y de alertas.................................................................................... 138 Directiva de línea de base para el controlador de dominio................................................... 139 4 Directiva de línea de base para las opciones de auditoría y seguridad del controlador de dominio.............................................................................................................................. 139 Directiva de línea de base de servicios para el controlador de dominio ............................... 139 Servicios clave no incluidos en la directiva de línea de base para los controladores de dominio ........................................................................................................................................... 140 Serv. de Prot. simple de transf. de correo (STMP) .............................................................. 140 Mensajería entre sitios........................................................................................................ 140 Servicio de administración de IIS ....................................................................................... 140 Otras tareas de seguridad de línea de base........................................................................... 141 Seguridad de la cuenta de administrador local..................................................................... 141 Seguridad de las cuentas de servicio ................................................................................... 141 Validación de la configuración de línea de base.................................................................. 142 Validación de la configuración de puertos .......................................................................... 142 Seguridad de cada función del servidor............................................................................... 143 Función de servidor de aplicaciones con Windows 2000..................................................... 143 Función de servidor de infraestructuras con Windows 2000................................................ 144 Función de servidor IIS con Windows 2000 ....................................................................... 144 La herramienta IISLockdown ............................................................................................. 145 Otros parámetros de seguridad de la función de servidor IIS............................................... 147 Configuración de restricciones para las direcciones IP y DNS ............................................ 147 Uso de una cuenta anónima local........................................................................................ 147 Implementación de filtros IPSec para servidores host múltiples .......................................... 147 Cambios al entorno recomendado ....................................................................................... 147 Cambios administrativos .................................................................................................... 148 Modificaciones de la seguridad si no se implementa HFNETCHK...................................... 148 Resumen ............................................................................................................................ 149 Más información ................................................................................................................ 149 5. Administrar revisiones.................................................................................................... 150 Terminología...................................................................................................................... 150 Service Packs ..................................................................................................................... 150 Revisiones o QFE............................................................................................................... 151 Revisiones de seguridad ..................................................................................................... 151 Administración de revisiones de la organización................................................................. 151 Evaluación del entorno actual ............................................................................................. 152 Sistemas de actualización de la seguridad ........................................................................... 152 Comunicación .................................................................................................................... 153 Administración de revisiones y de cambios ........................................................................ 153 Kit de herramientas de seguridad de Microsoft ................................................................... 153 Procesos de administración de revisiones............................................................................ 154 Análisis del entorno para detectar revisiones que faltan ...................................................... 155 Microsoft Network Security Hotfix Checker (Hfnetchk)..................................................... 155 Secuencia de comandos de administración de revisiones .................................................... 157 Para instalar y usar el archivo de comandos Hfnetchk.cmd en un Sistema de actualización de la seguridad ........................................................................................................................ 158 Uso de varias listas de servidores........................................................................................ 159 Programación de la secuencia de comandos de administración de revisiones ...................... 159 Otros métodos para determinar los niveles de revisión........................................................ 160 Plan.................................................................................................................................... 160 Clasificación de las revisiones ............................................................................................ 160 Realizar pruebas de las revisiones....................................................................................... 161 Evaluación de la revisión.................................................................................................... 162 Instalación.......................................................................................................................... 163 Operaciones del servidor .................................................................................................... 163 Operaciones de las aplicaciones.......................................................................................... 163 5 Desinstalación .................................................................................................................... 163 Creación de un plan de contingencias ................................................................................. 163 Instalación de las revisiones................................................................................................ 164 Manual ............................................................................................................................... 164 Directiva de grupo.............................................................................................................. 165 Archivos de comandos........................................................................................................ 166 Supervisión ........................................................................................................................ 166 Revisión ............................................................................................................................. 166 Administración de revisiones del lado del cliente................................................................ 166 Windows Update ................................................................................................................ 166 Windows Update Corporate Edition ................................................................................... 167 Microsoft Baseline Security Analyzer................................................................................. 167 Otras herramientas.............................................................................................................. 167 SMS ................................................................................................................................... 167 Herramientas de otros fabricantes ....................................................................................... 168 Resumen ............................................................................................................................ 168 Más información ................................................................................................................ 169 Referencias y vínculos........................................................................................................ 170 6. Auditoría y detección de intrusiones ............................................................................... 170 Auditoría ............................................................................................................................ 171 Cómo activar la auditoría.................................................................................................... 171 Definir la configuración del Registro de sucesos................................................................. 171 Para modificar la configuración del Registro de sucesos con la Directiva de grupo en una unidad organizativa ............................................................................................................ 172 Sucesos para auditar ........................................................................................................... 172 Sucesos de inicio de sesión ................................................................................................. 173 Sucesos de inicio de sesión de cuentas................................................................................ 175 Administración de cuentas.................................................................................................. 176 Acceso a objetos................................................................................................................. 178 Acceso del servicio de directorio ........................................................................................ 180 Uso de privilegios............................................................................................................... 180 Seguimiento de procesos .................................................................................................... 182 Sucesos del sistema ............................................................................................................ 183 Proteger registros de sucesos .............................................................................................. 186 Otras mejores prácticas de auditoría ................................................................................... 187 Programar revisiones regulares de los registros de sucesos ................................................. 187 Revisar otros archivos de registro de aplicaciones............................................................... 188 Supervisar los servicios y controladores instalados ............................................................. 188 Supervisar los puertos abiertos ........................................................................................... 189 Supervisar las intrusiones y los sucesos de seguridad.......................................................... 190 La importancia de la sincronización temporal ..................................................................... 191 Visor de sucesos................................................................................................................. 191 Para definir filtros en el Visor de sucesos ........................................................................... 191 La herramienta Dump Event Log (Dumpel.exe).................................................................. 192 EventCombMT................................................................................................................... 193 Instalar la herramienta ........................................................................................................ 193 Ejecutar la herramienta EventComb.................................................................................... 193 Especificar los registros de sucesos y los tipos de sucesos para la búsqueda........................ 195 Guardar búsquedas ............................................................................................................. 195 Archivos de resultados de la búsqueda................................................................................ 196 Ejemplos de uso de EventCombMT.................................................................................... 196 Para utilizar EventCombMT con el objeto de realizar búsquedas de reinicios de controladores de dominio ......................................................................................................................... 196 Para revisar las entradas del registro ................................................................................... 197 6 Para utilizar EventCombMT con el objeto de realizar búsquedas de Bloqueos de cuentas ... 198 Microsoft Operations Manager ........................................................................................... 199 Soluciones de terceros para la obtención de registros de sucesos......................................... 199 Inspeccionar el acceso HTTP con URLScan ....................................................................... 200 7. Responder a las incidencias ............................................................................................ 202 Minimizar el número y la gravedad de las incidencias de seguridad.................................... 202 Crear el equipo básico de respuesta a incidencias de seguridad informática ........................ 204 Responsable del equipo CSIRT .......................................................................................... 204 Responsable de incidencias del CSIRT ............................................................................... 204 Definir un plan de respuesta a incidencias .......................................................................... 207 Apéndices........................................................................................................................... 207 A. Achivos ......................................................................................................................... 207 B. Servicios de Windows 2000 predeterminados ................................................................ 212 C. Servicios adicionales...................................................................................................... 215 D. Instalación de una infraestructura básica ........................................................................ 216 Crear el entorno de prueba.................................................................................................. 216 Casos de prueba.................................................................................................................. 217 Ayuda de trabajo ................................................................................................................ 230 A. Tabla de análisis de amenazas y vulnerabilidades .......................................................... 230 B. Los 11 problemas de seguridad más frecuentes en el cliente........................................... 231 C. Los 8 problemas de seguridad más frecuentes en el servidor .......................................... 232 D. Ataques y contramedidas ............................................................................................... 233 E. Guía de referencia rápida de respuesta a incidencias....................................................... 238 7 OPERACIONES DE RED SEGURAS CON EL USO DE LOS SERVICIOS DE SEGURIDAD DISTRIBUÍDA DE WINDOWS 2000 En la actualidad, Microsoft® Windows NT® Server ofrece excelentes servicios de seguridad para la administración de cuentas y autenticación de red dentro de una empresa. Las grandes organizaciones requieren flexibilidad para delegar la administración de cuentas y manejar dominios complejos. La seguridad de Internet está relacionada con el manejo del desarrollo de la tecnología de seguridad de clave pública que debe estar integrada con la seguridad Windows. Para cumplir estas necesidades cada vez mayores, Microsoft ha desarrollado los Servicios de seguridad distribuída de Windows 2000. Este documento examina los componentes de los Servicios de seguridad distribuída de Windows 2000 y proporciona detalles sobre su implementación. 8 Introducción El sistema operativo Microsoft® Windows NT® cuenta con excelentes funciones de seguridad para una empresa. Un solo acceso al dominio de Windows NT permite que el usuario acceda a los recursos que se encuentran en cualquier parte de una red corporativa. Las herramientas del administrador fáciles de utilizar para la política de seguridad y administración de cuentas reducen los costes de implementación de Windows NT. El modelo de dominio Windows NT es flexible y soporta una amplia gama de configuraciones de red, desde un solo dominio en una ubicación a dominios multimaestros que hay en todo el mundo. Asimismo, Windows NT sienta las bases para una seguridad integrada para la familia BackOffice® de servicios de aplicación, incluyendo Microsoft Exchange, SQL Server™, SNA Server y Microsoft Systems Management Server. El modelo de seguridad de Windows NT proporciona un marco sólido para la instalación de aplicaciones cliente/servidor para la empresa. En la actualidad, las empresas utilizan cada vez más Internet. Los negocios necesitan interactuar con socios, proveedores y clientes, utilizando las tecnologías basadas en Internet. La seguridad es un punto muy importante para controlar el acceso a los recursos de una red empresarial, intranets y servidores basados en Internet. Cada vez más, las Intranets se están convirtiendo en la manera más eficaz de compartir información para las diversas relaciones empresariales. Ahora, el acceso a la información de negocios no pública por partes externas, se controla a través de la creación de cuentas de usuario para aquellos que forman parte de la amplia familia empresarial. Las asociaciones ayudan a definir las relaciones de confianza que alguna vez se aplicaron únicamente a los empleados que utilizaban activos corporativos, pero que ahora incluyen a más personas. Asimismo, las tecnologías de seguridad también cambian continuamente. Los certificados de clave pública y contraseñas dinámicas son dos áreas de la tecnología que van en aumento con el fin de cumplir con las necesidades de seguridad de nivel más alto del entorno actual. El acceso remoto sobre las redes públicas y el acceso a Internet para la comunicación de negocios interna están controlando la evolución de la tecnología de seguridad. La arquitectura de seguridad de Windows NT tiene una posición privilegiada para aprovechar estos y otros avances tecnológicos. Windows NT combina la facilidad de uso, excelentes herramientas de administración y una infraestructura de seguridad sólida, que soporta tanto a la empresa como a Internet. Aspectos importantes La Seguridad distribuída de Windows 2000 cuenta con varias funciones para simplificar la administración del dominio, mejorar el rendimiento, e integrar la tecnología de seguridad de Internet con base en la criptografía de clave pública. Los aspectos importantes de los Servicios de seguridad distribuída de Windows 2000 incluyen: 9 • La integración con el Directorio Activo de Windows 2000 con el fin de proporcionar una administración de cuenta escalable y flexible para grandes dominios, con control de acceso granular y delegación de administración. • Protocolo de autenticación Kerberos versión 5, un estándar de seguridad en Internet maduro, el cual ha sido implementado como el protocolo predeterminado para la autenticación de red; sienta las bases para la interoperabilidad de la autenticación. • Autenticación sólida mediante el uso de certificados de clave pública, canales seguros basados en el Secure Sockets Layer (SSL) 3.0 y CryptoAPI para proporcionar protocolos estándar en la industria para la integridad y privacidad de datos a través de redes públicas. Este documento describe la siguiente generación de seguridad distribuída de Windows, la cual proporciona las funciones para soportar las demandas empresariales basadas en Internet. La mayor parte del material que aquí se describe se proporciona en Windows 2000, aunque algunas de sus funciones ya han sido implementadas en Windows NT 4.0, como se describe en el texto. Servicios de Seguridad Distribuída de Windows 2000 Existen diversas áreas en las cuales se está adaptando la seguridad en Windows 2000 para soportar a las empresas basadas en Internet. Algunos de estos cambios reflejan los avances en el soporte que se proporciona a grandes organizaciones por medio del uso del Directorio Activo jerárquico de Windows 2000. Otros cambios aprovechan la flexibilidad de la arquitectura de seguridad de Windows para integrar la autenticación, utilizando certificados de clave pública de Internet. A continuación se presenta una lista de las nuevas funciones de seguridad Windows 2000: • El Directorio Activo proporciona almacenamiento para toda la información relativa a políticas de seguridad de dominios e información de cuentas. El Directorio Activo, el cual provee duplicación y disponibilidad de información de cuenta a múltiples Controladores de dominio, está disponible para la administración remota. • El Directorio Activo soporta un espacio de nombre jerárquico para el usuario, grupo e información de cuenta del PC. Las cuentas se pueden agrupar según las unidades organizacionales, en lugar de hacerlo según el espacio del nombre de la cuenta de dominio proporcionado en versiones anteriores de Windows NT. • Se pueden delegar derechos del administrador para crear y administrar cuentas del usuario o de grupo a nivel de unidades organizacionales. • Los derechos de acceso se pueden otorgar a propiedades individuales en objetos del usuario, con el fin de permitir, por ejemplo, que una persona o grupo específico tenga derecho a restablecer contraseñas, pero no a modificar otra información de la cuenta. 10 • La duplicación del Directorio Activo permite actualizaciones a las cuentas en cualquier controlador de dominio, y no únicamente para el controlador de dominio primario (PDC). Se actualizan y sincronizan de forma automática réplicas maestras múltiples de Directorio Activo en otros controladores de dominio, los cuales se conocen como controladores de dominio de respaldo (BDC). • Windows 2000 emplea un nuevo modelo de dominio que utiliza el Directorio Activo para soportar un árbol de dominios jerárquico de niveles múltiples. La administración de relaciones de confianza entre dominios se simplifica a través de confianzas transitorias a lo largo de los árboles que cubren todo el árbol del dominio. • La seguridad de Windows incluye nueva autenticación basada en los protocolos de seguridad estándar de Internet, incluyendo Kerberos versión 5 y Seguridad de niveles de transporte (TLS) para protocolos de seguridad distribuidos, además de soportar protocolos de autenticación del administrador LAN de Windows NT para compatibilidad. • La implementación de los protocolos de seguridad de canal seguros (SSL 3.0/TLS) soporta la autenticación sólida del cliente mediante la relación de credenciales del usuario en la forma de certificados de clave pública para las cuentas Windows NT existentes. Se utilizan herramientas de administración comunes para administrar la información de las cuentas y el control de acceso, ya sea utilizando la autenticación secreta compartida o la seguridad de clave pública. • Windows 2000 soporta el uso opcional de tarjetas inteligentes para la conexión interactiva, además de las contraseñas. Las tarjetas inteligentes soportan criptografía y almacenamiento seguro para claves y certificados privados, habilitando una autenticación sólida desde el escritorio al dominio. • Windows 2000 incluye Microsoft Certificate Server para que las organizaciones emitan certificados X.509 versión 3 a sus empleados o socios de negocios. • Esto incluye la introducción de CryptoAPI para la administración de certificados y módulos para manejar certificados de clave pública, incluyendo certificados de formato estándar emitidos por cualquier Autoridad de certificado comercial (CA), CA de terceros o Microsoft Certificate Server, incluido en Windows. Los administradores del sistema definen cuáles CAs son de confianza en su entorno y, de esta forma, cuáles certificados se aceptan para la autenticación del cliente y el acceso a los recursos. • Los usuarios externos que no tienen cuentas Windows 2000 pueden ser autenticados utilizando certificados de clave pública y relacionados a una cuenta Windows existente. Los derechos de acceso definidos para la cuenta Windows determinan los recursos que los usuarios externos pueden utilizar en el sistema. La autenticación del cliente, utilizando 11 certificados de clave pública, permite que Windows 2000 autentique usuarios externos, con base en certificados emitidos por Autoridades de certificados acreditadas. • Los usuarios de Windows 2000 cuentan con herramientas fáciles de usar y diálogos de interfaz comunes para la administración de pares de claves pública/privada y de certificados que se utilizan para acceder a los recursos basados en Internet. El almacenamiento de credenciales de seguridad personales, las cuales utilizan el almacenamiento basado en disco seguro, se transportan fácilmente con el protocolo estándar en la industria propuesto, Intercambio de información personal. Asimismo, el sistema operativo ha integrado soporte para los dispositivos de tarjeta inteligente. • La tecnología de encriptación está integrada dentro del sistema operativo en muchas formas, con el fin aprovechar el uso de firmas digitales para proporcionar flujos de datos autenticados. Además de los controles firmados ActiveX™ y Clases Java para Internet Explorer, Windows 2000 utiliza firmas digitales para la integridad de imágenes de una variedad de componentes del programa. Los desarrolladores internos también pueden crear software firmado para distribución y protección de virus. Además de estos cambios, se espera que terceros cuenten con servicios de autenticación de contraseña dinámicos en Windows 2000 Server, e integren contraseñas dinámicas con la autenticación de dominio de Windows 2000. Las API y la documentación para soportar estos productos de terceros están disponibles en SDK de la plataforma Microsoft. El Directorio Activo y la Seguridad Actualmente, la información de cuentas de Windows NT se mantiene utilizando una parte de registro segura en los controladores de dominio. Al utilizar dominio de confianza y acceso por autenticación, una jerarquía de dos niveles de dominios proporciona flexibilidad para organizar la administración de cuentas y los servidores de recursos. Sin embargo, dentro de un dominio, las cuentas se mantienen en un espacio de nombre plano, sin ninguna organización interna. Los Servicios de seguridad distribuída de Windows 2000 utilizan el Directorio Activo como el repositorio para la información de cuentas. El Directorio Activo proporciona una mejora importante sobre la implementación basada en el registro en las áreas de rendimiento y escalabilidad, y ofrece un entorno administrativo rico en funciones. El siguiente diagrama muestra la estructura jerárquica para un árbol de dominios de Windows 2000 y el contexto de nombre jerárquico dentro de cada dominio que utiliza unidades organizacionales (OU) como contenedores de objetos de directorio. Jerarquía de dominio: Árbol de dominio • Jerarquía de la unidad organizacional dentro de un dominio • Usuarios, grupos, máquinas, impresoras, etc. 12 Ventajas de la administración de cuentas de Directorio Activo Las ventajas de integrar la administración de cuentas de seguridad con el Directorio Activo son: • Cuentas para usuarios, grupos y máquinas, que pueden ser organizadas en los contenedores de directorio denominados unidades organizacionales (OU). Un dominio puede tener cualquier número de OU organizadas en espacios de nombre estructurados como un árbol. Las empresas pueden organizar el espacio de nombre para información de cuentas, con el fin de representar los departamentos y organizaciones en la compañía. Asimismo, las cuentas del usuario, al igual que las OU, son objetos de directorio que se pueden renombrar fácilmente dentro de un árbol de dominio, a medida que cambia la organización. • El Directorio Activo soporta un número mucho mayor de objetos de usuario (más de 1 millón de objetos) con un mejor rendimiento que el registro. La dimensión del dominio individual ya no estará limitada por el rendimiento del repositorio de seguridad. Un árbol de dominios conectados puede soportar estructuras organizacionales mucho más grandes y complejas. • La administración de la información de cuentas se mejora utilizando las herramientas gráficas avanzadas para la administración del Directorio Activo, así como a través del soporte OLE DS para lenguajes de script. Se pueden implementar tareas comunes utilizando scripts bach para automatizar la administración. • Los servicios de duplicación del directorio permiten realizar múltiples copias de la información de cuentas, en las cuales se pueden realizar actualizaciones en cualquier copia, no únicamente en el controlador de dominio primario designado. El The Lightweight Directory Access Protocol (LDAP) y el soporte de sincronización de directorio proporcionan los mecanismos para vincular el directorio de Windows con los demás directorios de la empresa. 13 Almacenar la información de la cuenta de seguridad en el Directorio Activo significa que los usuarios y grupos están representados como objetos en el directorio. El acceso de lectura y escritura a los objetos en el directorio se puede otorgar al objeto en su totalidad, o a propiedades individuales del mismo. Los administradores cuentan con un control granular sobre quién puede actualizar la información del usuario o grupo. Por ejemplo, se le puede otorgar a un grupo de operadores de telecomunicaciones el acceso de escritura únicamente para las propiedades de cuenta del usuario relacionadas con el equipo telefónico de oficina, sin requerir privilegios de Operador de cuenta o Administrador. Asimismo, el concepto de un grupo se simplifica, debido a que los grupos locales y globales están representados por objetos de grupo en el directorio. Las interfaces de programación existentes para los miembros de grupos locales aún siguen soportadas para compatibilidad completa hacia atrás. Sin embargo, los grupos definidos en el directorio pueden utilizarse para el control de acceso a los recursos en todo el dominio, o únicamente para fines de administración local en el controlador de dominio. Relación entre los servicios de directorio y la seguridad Existe una relación fundamental entre el Directorio Activo y los Servicios de seguridad integrados en el sistema operativo Windows 2000. El Directorio Activo almacena la información de políticas de seguridad de dominio, como son las restricciones de contraseña en todo el dominio y los privilegios de acceso al sistema, que afectan directamente el uso del sistema. Los objetos relacionados con la seguridad en el directorio deben administrarse de forma segura, con el fin de evitar cambios no autorizados que afecten la totalidad de la seguridad del sistema. El sistema operativo Windows 2000 implementa el modelo de seguridad basado en el objeto y el control de acceso a todos los objetos del Directorio Activo. Cada objeto que se encuentra en el Directorio Activo tiene un descriptor de seguridad único que define las actualizaciones de acceso que se requieren para leer o actualizar las propiedades de un objeto. El siguiente diagrama muestra la relación fundamental entre el Directorio Activo y los servicios de seguridad del sistema operativo. Servicios de directorio y seguridad 14 El Directorio Activo utiliza la personificación y verificación de acceso de Windows 2000 para determinar si un cliente del Directorio Activo puede leer o actualizar el objeto deseado. Esto significa que las solicitudes del cliente LDAP al directorio requieren que el sistema operativo aplique el control de acceso, en lugar de que el Directorio Activo mismo tome las decisiones de control de acceso. El modelo de seguridad de Windows 2000 proporciona una implementación unificada y consistente de control de acceso a todos los recursos del dominio, en base a la pertenencia al grupo. Los componentes de seguridad de Windows 2000 pueden confiar en la información relacionada con la seguridad almacenada en el directorio. Por ejemplo, el servicio de autenticación de Windows 2000 almacena la información de la contraseña encriptada en una parte segura de los objetos del usuario de directorio. El sistema operativo asegura que la información de la política de seguridad se almacene de forma segura y que las restricciones de cuenta o permisos de grupo no puedan ser cambiados por nadie sin acceso autorizado. Además, la información de política de seguridad para toda la administración del dominio se mantiene en el directorio. Esta relación fundamental de Seguridad y el Directorio Activo se logra únicamente mediante la integración completa del directorio con el sistema operativo Windows 2000 y no puede realizarse de otra manera. Relaciones de confianza entre dominios Los dominios Windows 2000 se pueden organizar en árboles de dominio jerárquicos. Las relaciones de confianza entre los dominios permiten a los usuarios con cuentas definidas en un 15 dominio que sean autenticadas por los servidores de recursos en otro dominio. En Windows NT 4.0 y versiones anteriores, las relaciones de confianza entre dominios se definen por cuentas de dominio de confianza, unidireccionales, entre los controladores de dominio. La administración de relaciones de confianza entre los dominios de cuenta y los dominios de recursos en una red grande es una tarea compleja. El Directorio Activo soporta dos formas de relaciones de confianza: • Las relaciones de confianza unidireccionales explícitas a los dominios Windows NT 4.0. • Administración transitoria bidireccional entre los dominios que forman parte del árbol de dominios de Windows 2000. El siguiente diagrama muestra los dos estilos de relaciones administrativas. Las confianzas transitorias entre los dominios simplifican la administración de cuentas de confianza entre los dominios. Los dominios que son miembros del árbol de dominio definen una relación de confianza bidireccional con el dominio predominante en el árbol. Todos los dominios confían de forma implícita en los demás dominios del árbol. Si existen dominios específicos que no participen en la confianza bidireccional, se pueden definir cuentas de confianza unidireccional explícitas. Para las organizaciones que cuentan con múltiples dominios, el número total de relaciones de confianza unidireccionales explícitas se reduce en gran medida. Delegación de administración La delegación de administración es una herramienta valiosa para que las organizaciones limiten la administración de seguridad para que se aplique únicamente a subgrupos definidos en el dominio de toda la organización. El requerimiento importante es otorgar los derechos de 16 administrar un grupo pequeño de usuarios o grupos dentro de su área de responsabilidad y, al mismo tiempo, no dar permisos para administrar cuentas en otras partes de la organización. La delegación de responsabilidad para crear nuevos usuarios o grupos se define en el nivel de una unidad organizacional (OU), o contenedor, donde se crean las cuentas. Los administradores de grupo para una unidad organizacional no tienen necesariamente la capacidad de crear y administrar cuentas para otra unidad organizacional dentro de un dominio. Sin embargo, las configuraciones de las políticas en todo el dominio y los derechos de acceso definidos en los niveles más altos en el árbol de directorio pueden aplicarse a través del árbol, utilizando la herencia de derechos de acceso. Existen tres formas de definir la delegación de las responsabilidades de administración: • Delegar permisos para cambiar propiedades en un contenedor particular, como es LocalDomainPolicies del objeto de dominio mismo. • Delegar permisos para crear y eliminar objetos hijo de un tipo específico debajo de una OU, tales como usuarios, grupos o impresoras. • Delegar permisos para actualizar propiedades específicas en objetos hijo de un tipo específico por debajo de una OU; por ejemplo, el derecho de establecer contraseñas en objetos del usuario. La interfaz de Administración de servicio de directorio facilita la visualización de la delegación de información definida para los contenedores. La suma de una nueva delegación de permisos es fácil de llevar a cabo mediante la selección de la persona a la que se desea delegarle el permiso y posteriormente asignar cuáles permisos son necesarios. Al integrar el repositorio de cuenta de seguridad con el Directorio Activo se logran beneficios reales para administrar una empresa. El resultado directo es el rendimiento, facilidad de administración y escalabilidad para grandes organizaciones. Las empresas basadas en Internet pueden utilizar árboles de dominio y OU jerárquicas para organizar cuentas para socios de negocios, clientes frecuentes o proveedores con derechos de acceso específicos al sistema. Derechos de acceso granulares Por lo regular, las grandes organizaciones dependen de varios individuos o grupos para asegurar y administrar la infraestructura de cuentas de la red. Necesitan la capacidad de otorgar derechos de acceso a operaciones específicas, como son la reconfiguración de contraseñas del usuario o la deshabilitación de cuentas para grupos específicos, sin otorgar también permisos para crear nuevas cuentas o cambiar otras propiedades de las cuentas del usuario. La arquitectura de seguridad de los objetos del Directorio Activo utiliza los descriptores de seguridad Windows 2000 para controlar el acceso a objetos. Cada objeto que se encuentra en el directorio cuenta con un descriptor de seguridad único. La Lista de control de acceso (ACL) en el descriptor de seguridad es una lista de entradas que otorgan o niegan derechos de acceso 17 específicos a individuos o grupos. Los derechos de acceso pueden ser otorgados o negados con diferentes niveles de enfoque en el objeto. Los derechos de acceso se pueden definir en cualquiera de los siguientes niveles: • Aplicar a los objetos como un todo, lo cual aplica a todas las propiedades del objeto. • Aplicar a una agrupación de propiedades definida de acuerdo con los grupos de propiedades que hay dentro de un objeto. • Aplicar a una propiedad individual del objeto. El permiso de acceso de lectura/escritura uniforme a todas las propiedades de un objeto es el permiso de acceso predeterminado para el creador del objeto. Otorgar o negar los permisos de acceso al objeto a un grupo de propiedad es una manera conveniente para definir permisos para un grupo de propiedades relacionadas. La agrupación de propiedades se define de acuerdo con el atributo del grupo de propiedad de una propiedad en el esquema. La relación de grupo de propiedad se puede personalizar cambiando el esquema. Por último, la definición de los derechos de acceso en un nivel según la propiedad, proporciona el nivel más alto de granularidad de permisos. La definición de acceso por propiedad está disponible en todos los objetos del Directorio Activo. Asimismo, los objetos del contenedor en el directorio soportan acceso granular con respecto a las personas que tienen permisos para crear objetos hijos y qué tipo de objetos hijos pueden crearse. Por ejemplo, el control de acceso definido en una unidad organizacional (OU) puede definir la persona que tiene autorización para crear objetos de Usuario (cuentas) en este contenedor. Otra entrada en el control de acceso para la OU puede definir quién tiene autorización de crear objetos de impresora. El control de acceso granular en los contenedores de directorio es una manera eficaz de mantener la organización del espacio de nombres del directorio. Una nueva implementación del Editor de Lista de control de acceso (ACL), el control de diálogo común para la visualización o cambio de autorizaciones de seguridad del objeto, proporciona una interfaz fácil de utilizar para definir derechos de acceso a los objetos de Directorio Activo, según el grupo de propiedades o propiedades individuales. De igual forma, el editor ACL soporta la definición de derechos de acceso, delegados en los objetos del contenedor que fluyen a los subobjetos que se encuentran en alguna parte del árbol del directorio. Herencia de los derechos de acceso Heredar los derechos de acceso se refiere a la manera en que la información de control de acceso definida en los niveles más altos de los contenedores del directorio fluye a los subcontenedores y ramas de objetos. Existen, por lo general, dos modelos para la implementación de derechos de acceso heredados: herencia dinámica y estática. 18 La herencia dinámica determina los derechos de acceso efectivos para un objeto mediante la evaluación de permisos definidos de forma explícita en el objeto y aquellos definidos para todos los objetos principales en el directorio. Esto permite flexibilidad para cambiar el control de acceso en algunas partes del árbol del directorio, al realizar cambios a un contenedor específico que afecta de forma automática todos los subcontenedores de los objetos de ramas. A cambio de esta flexibilidad se ofrece el coste de rendimiento para evaluar los derechos de acceso efectivos al momento en que un cliente solicita lectura/escritura a un objeto de directorio específico. Windows 2000 implementa una forma de herencia estática de los derechos de acceso, conocida como herencia Crear tiempo. Se puede definir la información de control de acceso que fluye hasta los objetos hijo del contenedor. Cuando se crea el objeto hijo, los derechos heredados de un contenedor se fusionan con los derechos de acceso predeterminados en el nuevo objeto. Cualquier cambio realizado a los derechos de acceso heredados en los niveles más altos del árbol debe propagarse hacia abajo, hasta todos los objetos hijo afectados. Los nuevos derechos de acceso heredados se propagan mediante el Directorio Activo hasta los objetos para los cuales aplican, en base con las opciones de la manera en que se definen los nuevos derechos. La verificación del rendimiento para el control de acceso es muy rápida, utilizando el modelo de herencia estático de los derechos de acceso. El sistema operativo está diseñado para optimizar las verificaciones de acceso que son operaciones frecuentes y necesarias, no sólo para el acceso del objeto de directorio, sino para el objeto del sistema de archivo y todos los demás objetos del sistema Windows 2000. Múltiples Protocolos de Seguridad Windows 2000 soporta múltiples protocolos de seguridad de red, debido a que cada protocolo proporciona ya sea compatibilidad para los clientes existentes, mecanismos de seguridad más efectivos, o funciones de interoperabilidad para redes heterogéneas como Internet. Existen varios protocolos de autenticación actualmente en uso en las redes corporativas y la arquitectura Windows 2000 no limita cuáles protocolos pueden ser soportados. Un protocolo de seguridad que se ajuste a todas las necesidades sería más simple, pero las configuraciones de red desde redes pequeñas de oficina a proveedores de contenido de Internet a gran escala no comparten los mismos requerimientos de seguridad. Los clientes necesitan tener opciones sobre cómo integrar la nueva tecnología de seguridad, como son contraseñas dinámicas o criptografía de clave pública, dentro de su entorno informático. Windows 2000 está diseñado para soportar varios protocolos de seguridad, un elemento esencial para el entorno de informática distribuída que existe en la actualidad. Al utilizar las API de seguridad Win32 para todo tipo de fines, el sistema operativo aísla las aplicaci ones soportadas de los detalles de protocolo de seguridad diferentes disponibles. La interfaz de aplicación de nivel 19 más alto proporcionada por RPC y DCOM autenticados permiten abstracciones con base en los parámetros de interfaz para utilizar los servicios de seguridad. La infraestructura de seguridad Windows 2000 soporta los siguientes protocolos de seguridad primarios: • El protocolo de autenticación Windows NT LAN Manager (NTLM) se utiliza en Windows NT 4.0 y versiones anteriores de Windows NT. NTLM seguirá recibiendo soporte y se utilizará para la autenticación de paso a través de la red, acceso de archivo remoto y conexiones RPC autenticadas para versiones anteriores de Windows NT. • El protocolo de autenticación Kerberos Versión 5 reemplaza a NTLM como el protocolo de seguridad primario para acceder a los recursos dentro o a través de los dominios Windows 2000. El protocolo de autenticación Kerberos es un estándar en la industria ya conocido, que tiene las ventajas de autenticación de red Windows. Algunos de los beneficios del protocolo Kerberos son la autenticación mutua, tanto del cliente como del servidor, carga del servidor reducida durante el establecimiento de la conexión y soporte para la delegación de autorización de clientes a servidores a través del uso de mecanismos proxy. • La Autenticación de contraseña distribuída (DPA) es el protocolo de autenticación secreta distribuída que utilizan las organizaciones que pertenecen a Internet más grandes, tales como son MSN y CompuServe. Este protocolo de autenticación forma parte de los servicios Microsoft Comercial Internet System (MCIS) y está diseñado de forma específica para que los usuarios utilicen la misma contraseña de acceso en Internet para conectarse a cualquier número de sitios en Internet que forman parte de la misma organización. Los servidores de contenido de Internet utilizan el servicio de autenticación MCIS como un servicio de Internet backend, y los usuarios pueden conectarse a múltiples sitios sin tener que volver a introducir sus contraseñas. • Los protocolos basados en clave pública proporcionan privacidad y confiabilidad sobre Internet. SSL es el estándar de facto actual para las conexiones entre los exploradores de Internet y los servidores de información en Internet. (Una definición próxima del protocolo estándar IETF basado en SSL3 se conoce actualmente como el Protocolo de seguridad de nivel de transporte o TLS). Estos protocolos, que utilizan certificados de clave pública para autenticar los clientes y servidores, dependen de una infraestructura de clave pública para uso general. Windows NT 4.0 proporciona servicios de seguridad de canal seguros que implementan los protocolos SSL/PCT. La seguridad de Windows 2000 cuenta con soporte de funciones más avanzadas para protocolos de clave pública, los cuales se describen posteriormente en este documento. La seguridad empresarial depende de tener la flexibilidad de utilizar los mecanismos de seguridad correctos, cuando sea necesario. La informática empresarial seguirá dependiendo de una amplia gama de servicios de red proporcionados por servidores de archivo e impresión 20 remotos, aplicaciones empresariales y servidores de datos, además de entornos de data warehousing y de procesamiento de transacción. El soporte para protocolos múltiples de seguridad de red permite que Windows 2000 Professional y Windows 2000 Server alojen una variedad de servicios de red, además de las tecnologías basadas en Internet. El diagrama siguiente muestra el soporte de arquitectura para múltiples protocolos de seguridad implementados en Windows 2000, utilizando la Interfaz del proveedor de soporte de seguridad (SSPI). Arquitectura para servicios de autenticación múltiple La interfaz de proveedor de soporte de seguridad es una API del sistema Win32 utilizada por varias aplicaciones y servicios del sistema, por ejemplo, Internet Explorer (IE) e Internet Information Server (IIS), para aislar los protocolos de nivel de aplicación de los protocolos de seguridad utilizados para la autenticación de red. Los proveedores de seguridad utilizan diferentes credenciales para autenticar al usuario, ya sea con certificados de secreto compartido o clave pública. Los protocolos de seguridad interactúan con diferentes servicios de autenticación y almacenes de información de cuentas. • El proveedor de seguridad NTLM utiliza el servicio de autenticación MSV1_0 y el servicio NetLogon en un controlador de dominio para autenticación del cliente e información de autorización. • El proveedor de seguridad Kerberos se conecta a un Centro de distribución de claves en línea (KDC) y la cuenta Directorio Activo se almacena para los resguardos de sesión. • DPA utiliza los servicios de seguridad MCIS para la autenticación de acceso e información de acceso específica del servidor. • Los servicios de canal seguros están basados en certificados de clave pública emitidos por autoridades certificadas de confianza; no requieren un servidor de autenticación en línea. 21 Interfaz del Servidor de Soporte de Seguridad Las APIs de seguridad de Windows para la autenticación de red están definidas a través de la Interfaz del proveedor de soporte de seguridad (SSPI), documentada en la plataforma SDK. La SSPI se comunica con una API de Win32 con base en la Interfaz del programa de aplicación de servicios de seguridad genérico (GSS-API) y proporciona una abstracción de interfaz similar para la administración de contexto de seguridad. Las aplicaciones y servicios Windows 2000 utilizan la SSPI para aislar los protocolos de nivel de aplicación de los detalles de los protocolos de seguridad de red. Windows 2000 soporta la interfaz SSPI para disminuir el código de nivel de aplicación necesario para soportar protocolos múltiples de autenticación. SSPI proporciona una abstracción genérica para soportar múltiples mecanismos de autenticación basados en protocolos de secreto compartido o clave pública. Las aplicaciones que utilizan la seguridad Windows 2000 integrada aprovechan al máximo la modularidad proporcionada por SSPI mediante la solicitud de directorios de rutina SSPI o mediante el uso de protocolos de administración de conexión de red de nivel más alto, proporcionados por RPC o DCOM autenticados. Protocolo de Autenticación Kerberos El protocolo de autenticación Kerberos define las interacciones entre un cliente y un Servicio de autenticación de red conocido como Centro de distribución de claves (KDC). Windows 2000 implementa un KDC como el servicio de autenticación en cada controlador de dominio. El dominio Windows 2000 es equivalente a un territorio Kerberos, pero continúa siendo referido como un dominio. La implementación de Kerberos en Windows 2000 está basada en la definición RFC 1510 de Internet del protocolo Kerberos. El tiempo de ejecución del cliente Kerberos se implementa como un proveedor de seguridad Windows 2000 basado en la SSPI. La autenticación inicial de Kerberos se integra con la arquitectura WinLogon de una sola firma. El servidor Kerberos (KDC), integrado con los servicios de seguridad Windows existentes que se ejecutan en el controlador de dominio, utiliza el Directorio Activo como la base de datos de cuentas para usuarios (principales) y grupos. El protocolo de autenticación Kerberos mejora las funciones de seguridad subyacentes de Windows 2000 y proporciona las funciones siguientes: • Rendimiento de autenticación de servidor más rápido durante el establecimiento de la conexión inicial. El servidor de aplicaciones no se tiene que conectar al controlador de dominio para autenticar al cliente. Esto permite a los servidores de aplicaciones escalar mejor, al manejar un mayor número de solicitudes de conexión de clientes. • Delegación de autenticación para arquitecturas de aplicación cliente/servidor de niveles múltiples. Cuando un cliente se conecta a un servidor, el servidor personifica al cliente en 22 el sistema. Sin embargo, si el servidor necesita realizar una conexión de red a otro servidor backend para completar la transacción del cliente, el protocolo Kerberos permite la delegación de autenticación para que el primer servidor se conecte con otro servidor a nombre del cliente. La delegación permite que el segundo servidor también personifique al cliente. • Relaciones de administración transitorias para la autenticación entre dominios. Los usuarios pueden autenticar los dominios en cualquier parte del árbol de dominio, ya que los servicios de autenticación (KDC) en cada dominio proporcionan confianza a los resguardos emitidos por otros KDC en el árbol. La administración transitoria simplifica la administración de dominio para grandes redes con dominios múltiples. El protocolo de autenticación Kerberos versión 5 definido en RFC 1510 ha pasado por amplios procesos de revisión en la industria y es bien conocido en los grupos de interesados en la seguridad. Antecedentes de Kerberos Kerberos es un protocolo de autenticación de secreto compartido, debido a que el usuario y el KDC conocen la contraseña del usuario o, en el caso del KDC, la contraseña encriptada unidireccional. El protocolo Kerberos define una serie de intercambios entre los clientes, el KDC y los servidores, para obtener y utilizar resguardos Kerberos. Cuando un usuario inicia una conexión a Windows, el SSP de Kerberos obtiene un resguardo Kerberos inicial (TGT) basado en un verificador encriptado de la contraseña del usuario. Windows 2000 almacena la TGT en el caché del resguardo en la estación de trabajo relacionada con el contexto de acceso del usuario. Cuando un programa del cliente trata de tener acceso a un servicio de red, el tiempo real Kerberos verifica el caché del resguardo para un resguardo de sesión válido para el servidor. Si un resguardo no está disponible, la TGT se envía en una solicitud al KDC para un resguardo de sesión que permita el acceso al servidor. El resguardo de sesión se añade al caché del resguardo y puede volver a utilizarse para conexiones futuras al mismo servidor hasta que el resguardo expire. El período de expiración del resguardo lo define la política de seguridad de dominio y por lo regular se establece para ocho horas. Si el resguardo de sesión expira en la mitad de una sesión activa, el proveedor de seguridad Kerberos regresa los valores de error adecuados que permiten que el cliente y el servidor vuelvan a generar el resguardo, generar una nueva clave de sesión y reanudar la conexión. El siguiente diagrama muestra la relación que existe entre el cliente, el KDC y el servidor de aplicaciones utilizando el protocolo de autenticación Kerberos. 23 Descripción general del protocolo de autenticación Kerberos El resguardo de sesión Kerberos se presenta al servicio remoto durante el mensaje de conexión inicial. Algunas partes del resguardo de sesión se encriptan utilizando una clave secreta compartida entre el servicio y el KDC. El servidor puede autenticar rápidamente al cliente verificando el resguardo de sesión sin ir al servicio de autenticación, ya que el tiempo real Kerberos para el servidor ha guardado una copia en la memoria de la clave secreta del servidor. La configuración de la conexión de sesión es mucho más rápida del lado del servidor que la autenticación NTLM. Con NTLM, el servidor obtendría las credenciales del usuario y después tendría que volver a autenticar al usuario a través del controlador de dominio, como parte del establecimiento de una conexión. Los resguardos de sesión Kerberos contienen una clave de sesión única creada por el KDC para que sea utilizada para la encriptación simétrica de la información de autenticación y los datos transferidos entre el cliente y el servidor. En el modelo Kerberos, se utiliza el KDC como un tercero de confianza en línea para generar una clave de sesión. Los servicios de autenticación en línea son muy eficaces para los servicios de aplicación distribuída disponibles en el entorno de red semejantes a un campus. Integración de Kerberos El protocolo Kerberos se integra totalmente con la arquitectura de seguridad Windows 2000 para la autenticación y el control de acceso. La conexión de dominio Windows inicial se proporciona con WinLogon. WinLogon utiliza el proveedor de seguridad Kerberos para obtener un resguardo Kerberos inicial. Otros componentes del sistema operativo, como son el redireccionador, utilizan la interfaz SSPI para que el proveedor de seguridad Kerberos obtenga un resguardo de sesión para conectarse al servidor SMB para acceso de archivo remoto. 24 El protocolo Kerberos versión 5 define un campo encriptado en el resguardo de sesión para portar datos de autorización, pero el uso del campo se deja a las aplicaciones. Windows 2000 utiliza los datos de autorización en los resguardos Kerberos para portar los ID de seguridad Windows que representan la pertenencia del usuario y grupo. El proveedor de seguridad Kerberos del lado del servidor de una conexión utiliza los datos de autorización para crear un registro de acceso de seguridad Windows que representa al usuario en ese sistema. El servidor sigue el modelo de personificación del cliente de seguridad Windows, utilizando el registro de acceso que representa al cliente, antes de intentar acceder a los recursos locales protegidos por las Listas de Control de Acceso (ACL). El protocolo Kerberos versión 5 soporta la delegación de autenticación utilizando los indicadores proxy y forwarding en los resguardos de sesión. Windows 2000 utiliza la función de delegación para permitir que los servidores obtengan otro resguardo de sesión para conectarse a servidores remotos a nombre del cliente. Interoperabilidad Kerberos El protocolo Kerberos versión 5 se implementa para una variedad de sistemas y se utiliza para proporcionar un servicio de autenticación único en una red distribuida. La interoperabilidad Kerberos proporciona un protocolo común que permite una base de datos de cuentas (posiblemente duplicada) para la autenticación de los usuarios en todas las plataformas informáticas de la empresa, para que puedan acceder a todos los servicios en un entorno heterogéneo. La interoperabilidad Kerberos se basa en las siguientes características: • Un protocolo de autenticación común utilizado para identificar el usuario o servicio a través del nombre principal en una conexión de red. • La capacidad de definir relaciones administrativas entre los territorios de Kerberos y de generar resguardos referentes a las solicitudes entre territorios. • Implementaciones que soportan los Requerimientos de interoperabilidad que se definen en el RFC 1510, relacionadas con las opciones de encriptar, algoritmos de revisión de suma, autenticación mutua y otras opciones de resguardo. • Soporte para los formatos token de seguridad Kerberos versión 5, para el establecimiento del contexto e intercambio por mensaje, como lo define el grupo de trabajo de Tecnología de autenticación común de IETF 3. El nombre principal en un resguardo Kerberos se utiliza para autentificar la identidad del usuario, pero la información de autorización adicional puede ser manejada en el sistema local para el control de acceso. La autenticación basada en la identidad proporciona un nivel elevado de interoperabilidad para los sistemas que soportan el protocolo Kerberos versión 5; sin embargo, no soporta la autorización del usuario. El protocolo Kerberos ofrece el transporte de 25 datos de autorización, pero el contenido en este campo se considera específico para el servicio de la aplicación. La implementación Microsoft del protocolo Kerberos soporta las características de interoperabilidad suficientes para la autenticación basada en la identidad. Además, Microsoft integra datos de autorización en forma de pertenencia al grupo Windows 2000 en los resguardos Kerberos, para transmitir la información de control de acceso a los servicios Windows 2000. La representación nativa de los datos de autorización se encuentra en los ID de seguridad Windows. Los servicios de Windows 2000 tienen cuentas de servicio definidas en el Directorio Activo, las cuales definen el secreto compartido que utiliza el KDC para encriptar los resguardos de sesión. Los clientes que intentan conectarse a los servicios Windows 2000 obtienen un resguardo de sesión para el servidor de destino del KDC que se encuentra en el dominio donde se define la cuenta de servicio. El proveedor de seguridad Kerberos que soporta un servicio Windows 2000 espera encontrar datos de autorización en los resguardos de sesión que se utilizan para crear un registro de acceso de seguridad. El servicio Windows 2000 personifica el contexto de seguridad del cliente, con base en los datos de autorización proporcionados en el resguardo de sesión. Los clientes que obtienen los resguardos TGT Kerberos iniciales del KDC en los sistemas que no son Windows 2000, utilizan el mecanismo de referencia de Kerberos para solicitar un resguardo de sesión del KDC en el dominio Windows 2000 Service. El resguardo de referencia se crea mediante relaciones de confianza entre territorios entre los KDC. Las solicitudes de resguardos que se originan a partir del servicio de autenticación Kerberos MIT en general no contienen datos de autorización. Cuando los resguardos de sesión no contienen datos de autorización, el proveedor de seguridad Kerberos en Windows 2000 trata de utilizar el nombre principal del resguardo y crear un registro de acceso de seguridad para una cuenta de usuario designado o utilizar una cuenta predeterminada definida para este fin. Actualmente Microsoft sigue investigando algunos aspectos de interoperabilidad con diferentes configuraciones Kerberos y seguirá dicho trabajo con un enfoque en la interoperabilidad total con Kerberos. Los Servicios de Seguridad DCE también están estratificados en el protocolo Kerberos. Los Servicios de Autenticación DCE utilizan la representación RPC de los mensajes de protocolo Kerberos. Además, DCE utiliza el campo de datos de autorización en los resguardos Kerberos para transmitir Certificados de atributos de privilegios extendidos (EPAC) que definen la identidad del usuario y la pertenencia al grupo. EPAC se utilizan como ID de seguridad Windows para la autorización y control de acceso del usuario. Los servicios Windows 2000 no pueden traducir los EPAC DCE en identificadores de usuario y grupo de Windows 2000. Esto no está relacionado con la interoperabilidad Kerberos, sino con la interoperabilidad que existe entre DCE y la información de control de acceso Windows 2000. Microsoft investigará las maneras de relacionar la autorización DCE con el modelo de seguridad Windows 2000. 26 Extensiones Kerberos para clave pública Asimismo, Windows 2000 implementa extensiones para que el protocolo Kerberos soporte autenticación basada en pares de clave privada/pública además de claves secretas compartidas. Las extensiones de autenticación de clave pública permiten a los clientes solicitar una TGT inicial utilizando la clave privada, al tiempo que KDC verifica la solicitud utilizando la clave pública obtenida desde un certificado X.509 almacenado en el objeto del usuario en el Directorio Activo. El certificado del usuario podría ser emitido por una Autoridad de certificados de terceros, como Digital ID de VeriSing o Microsoft Certificate Server en Windows 2000. Después de la autenticación de clave privada inicial los protocolos Kerberos estándar para la obtención de un resguardo de sesión se utilizan para conectarse a los servicios de red. Una propuesta de ampliar la especificación de protocolo Kerberos con el fin de proporcionar un método para el uso de criptografía de clave pública en la autenticación inicial ha sido presentada al grupo de trabajo IETF para su revisión. Actualmente, Microsoft participa en los procesos de estándares IETF y pretende soportar las extensiones de protocolo estándar para clave pública. Las extensiones de autenticación de clave pública para el protocolo Kerberos sientan las bases para una autenticación de red, utilizando la tecnología de tarjeta inteligente. Windows 2000 permite a los usuarios conectarse a una estación de trabajo mediante el uso de una tarjeta inteligente. Próximamente existirán varias opciones para obtener certificados para los usuarios, dependiendo de sus afiliaciones a organizaciones o requerimientos de trabajo. Windows 2000 proporciona un Certificate Server a las organizaciones que deseen emitir certificados de clave pública a sus usuarios sin depender de los servicios CA comerciales. La política del certificado es clara y directa: los certificados se emiten a los usuarios que cuentan con autenticación utilizando credenciales de cuenta de dominio válidas. En la sección siguiente se describe la forma en que dichos certificados se pueden utilizar para el acceso a los recursos de Windows 2000 a través de intranet o Internet. Seguridad de Internet para Windows 2000 Microsoft está desarrollando una infraestructura de seguridad de clave pública a fin de integrar la seguridad de clave pública con la seguridad de Windows 2000. La criptografía de clave pública es la tecnología de seguridad que permite una seguridad sólida para las comunicaciones empresariales y de Internet. Las tecnologías de seguridad de Internet de Microsoft incluyen un Certificate Server, un proveedor de seguridad de canal seguro que implementa los protocolos SSL/TLS, el protocolo de pago seguro SET para las transacciones de tarjeta de crédito y componentes CryptoAPI para la administración y manejo de certificados. 27 Los componentes de la infraestructura de seguridad de clave pública de Microsoft se muestran a continuación. La infraestructura de seguridad de Internet de Microsoft se basa en los estándares de la industria para la seguridad de clave pública, incluyendo el soporte para los formatos de certificado Publickey Cipher de RSA, X.509 y estándares PKCS. La versión 4.0 de Windows NT proporcionó los primeros componentes para la utilización de la seguridad de clave pública, entre ellos: • CryptoAPI, con soporte de programador para la generación e intercambio de claves, firmas digitales y encriptación de datos, con el uso de una arquitectura de proveedor con el fin de soportar los Proveedores de servicio criptográfico instalables. • Soporte CryptoAPI de certificados X509 y PKCS, los cuales fueron emitidos en el Service Pack 3 para Windows NT 4.0 y se utilizan en Internet Explorer 4.0 y Windows 2000. • Implementación de canal seguro de los protocolos de seguridad de clave pública Secure Socket Layer (SSL) versión 2.0, soporte del lado del cliente en la versión 3.0 y Private Communications Technology (PCT) versión 1.0. • Authenticode™, una solución estándar en la industria, que utiliza firmas digitales para verificar la integridad del software descargado de Internet y la identificación del editor de software. La infraestructura de seguridad de Internet de Microsoft se crea en estos componentes y proporciona funcionalidad adicional para soportar la seguridad de clave pública para plataformas Windows, incluyendo Windows 2000. Muchos de los componentes de seguridad de Internet se utilizan en Microsoft Internet Explorer e Internet Information Server. Las nuevas funciones de la 28 infraestructura de seguridad de Internet de Microsoft para Windows 2000 Distributed Security Services incluyen: • Autenticación del cliente con SSL 3.0 basado • Certificate Server para la emisión de en certificados de clave pública. certificados para cuentas de dominios Windows 2000. La seguridad Windows 2000 utiliza los estándares de Internet para la seguridad de clave pública con funciones incorporadas en el sistema operativo. Autenticación del cliente con SSL 3.0 Secure Socket Layer y Transport Layer Security son protocolos de seguridad basados en clave pública implementados por el proveedor de seguridad Secure Channel (Schannel). Estos protocolos de seguridad los utilizan los exploradores y servidores de Internet para autenticación mutua, integridad de mensajes y confidencialidad. La autenticación de Internet Server se realiza a través de Internet Explorer (el cliente) cuando se presenta el certificado del servidor como parte del establecimiento de canal seguro SSL/TLS. El programa del cliente acepta el certificado del servidor a través de la verificación de las firmas criptográficas en el certificado y cualquier certificado CA intermedio, para uno o más de los CA de raíz configurados o conocidos. Asimismo, la autenticación del cliente está soportada por SSL 3.0 y TLS. La autenticación del cliente que utiliza certificados de clave pública se complementa como parte de este establecimiento de sesión de canal seguro. La Figura 7 muestra los mensajes de saludo SSL 3.0 entre el cliente y servidor para el establecimiento de una conexión segura. 29 La autenticación del cliente por el servidor es el mismo proceso que se sigue con la autenticación del servidor. El servidor verifica las firmas criptográficas en el certificado del cliente y cualquier certificado CA intermedio, a un CA de origen conocido o verdadero. Sin embargo, una vez que se ha verificado la identidad del cliente a través de la verificación de certificado (autenticación del cliente), el servidor de la aplicación necesita establecer un contexto de seguridad con los derechos de acceso correspondientes definidos para el cliente. La información de control de acceso determina qué recursos se le permite utilizar al cliente en este servidor. En la arquitectura de seguridad Windows 2000, el control de acceso lo definen la pertenencia y privilegios de grupo en el registro de acceso de seguridad. La autenticación del cliente de clave pública utiliza la información que se encuentra en el certificado del mismo, para relacionarla con la información de control de acceso local. Esta relación determina qué autorización tiene el cliente para acceder a los recursos en el sistema del servidor. El soporte inicial para la autenticación del cliente a través de Microsoft Internet Information Server está disponible mediante la administración de la base de datos de autorización para relacionar al sujeto de certificado o al emisor de información con las cuentas Windows 2000. La base de datos de autorización puede ser tan simple o complicada, según sea necesario, para cumplir con los requerimientos de la aplicación. Windows 2000 proporciona soporte en el extranjero para la autenticación del cliente mediante la implementación de un servicio de seguridad que utiliza el Directorio Activo para relacionar la información de certificado con las cuentas Windows existentes. La relación se puede realizar utilizando una búsqueda del nombre del tema de certificado en el directorio Windows, o mediante la búsqueda de las propiedades de directorio que identifican el certificado del cliente. 30 El soporte Windows 2000 para la autenticación del cliente integra certificados de clave pública con la arquitectura de seguridad Windows 2000. No se requiere una base de datos separada para definir el acceso a los derechos relacionados con los certificados de clave pública. La información de control de acceso la mantienen miembros de grupo almacenados en el directorio Windows. Las herramientas de administración de servicio de directorio común de Windows se utilizan para dar derechos de acceso mediante el añadido de usuarios Windows a los grupos. Autenticación de usuarios externos El soporte para la autenticación de certificados de clave pública en Windows 2000 permite que las aplicaciones del cliente se conecten a servicios seguros a nombre de los usuarios que no tienen una cuenta de dominio en Windows 2000. Los usuarios que están autenticados con base en un certificado de clave pública emitido por una Autoridad certificada de confianza, pueden recibir acceso a los recursos Windows 2000. Las herramientas de administración de servicio de directorio permiten a los administradores o autoridades delegadas asociar a un usuario externo, o más, con una cuenta Windows 2000 existente para el control de acceso. El nombre del tema en el certificado X.509 versión 3 se utiliza para identificar al usuario externo que está relacionado con la cuenta. Las empresas pueden compartir información de forma segura con personas seleccionadas de otras organizaciones sin tener que crear varias cuentas individuales Windows 2000. La relación de muchos a uno de los certificados para los objetos de usuario Windows 2000 proporciona una autenticación sólida con base en los certificados de clave pública y las autorizaciones de control de acceso común. La autenticación de cliente de usuarios externos sigue requiriendo que el administrador del sistema configure la Autoridad de certificado para los certificados de usuarios externos como un CA de confianza. Esto evita que alguna persona que tenga un certificado emitido por una autoridad desconocida reciba autenticación en el sistema como alguien más. Microsoft Certificate Server Microsoft Certificate Server, incluido en Windows 2000 e IIS 4.0, proporciona servicios personalizables para la emisión y administración de certificados, para aplicaciones que utilizan criptografía de clave pública. Certificate Server puede desempeñar un papel central en la administración de dicho sistema para proporcionar comunicaciones seguras a través de Internet, intranets corporativas y otras redes no seguras. Microsoft Certificate Server es personalizable para soportar los requerimientos de las aplicaciones de diferentes organizaciones. Certificate Server recibe una solicitud de nuevos certificados sobre transportes, tales como RPC, HTTP o correo electrónico. Cada solicitud se verifica contra las políticas personalizadas específicas del sitio, grupos de propiedades opcionales del certificado que va a ser emitido y emisiones del certificado. De igual forma, permite que los administradores añadan elementos a la 31 lista de revocación de certificados (CRL) y publiquen una CRL firmada constantemente. Se incluyen interfaces programables para que sean utilizadas por los desarrolladores con el fin de crear soporte a transportes, políticas, propiedades de certificados y formatos adicionales. El módulo de políticas para Certificate Server utiliza la autenticación de red de solicitudes de certificado para emitir certificados a los usuarios que tengan cuentas de dominio Windows 2000. El módulo de política puede ser personalizado para satisfacer las necesidades de las publicaciones de la organización. Certificate Server genera certificados en un formato estándar X.509. Los certificados en formato X.509 se utilizan normalmente para autenticar servidores y clientes involucrados en comunicaciones seguras, utilizando ya sea los protocolos TLS o SSL. Las siguientes secciones describen los usos y algunas de las funciones clave de Certificate Server. En una intranet corporativa o en Internet, los servidores tales como Microsoft Internet Information Server pueden realizar la autenticación del cliente para comunicaciones seguras, utilizando los certificados generados por Certificate Server. De igual forma, Certificate Server genera certificados de servidor utilizados por IIS y otros servidores de Web para proporcionar la autenticación del servidor y asegurar a los clientes (exploradores) que se están comunicando con la entidad pretendida. CryptoAPI Windows NT 4.0 proporcionó el soporte de criptografía de nivel bajo y proveedores de servicio criptográfico modulares en CryptoAPI. Windows 2000 se beneficia por la introducción de la administración de certificado CryptoAPI para soportar la seguridad de clave pública. Entre algunas de las principales funciones de CryptoAPI se incluyen: • Soporte a los certificados X.509 versión 3 y CRLs X.509 versión 2.0 a través de funciones de codificación/decodificación común, análisis de certificado y verificación. • Soporte a solicitudes de certificado PKCS#10 y PKCS #7 para datos firmados y envueltos. • Añadir y recuperar certificados y CRL en los almacenes de certificados, localizar certificados por sus atributos y asociarlos con claves privadas. • Firma y verificación digital; así como soporte de encriptación de datos utilizando las funciones de nivel más alto disponibles para las aplicaciones en HTML, Java, Visual Basic® Scripting Edition (VBScript) y C/C++. Las funciones CryptoAPI se utilizan en los componentes del sistema operativo Windows 2000, como son Software Publisher Trust Provider para la verificación Authenticode. Otras aplicaciones y servicios del sistema utilizan CryptoAPI versión 2.0 para permitir que la funcionalidad común habilite la tecnología de seguridad de clave pública. 32 Acceso entre empresas: socios distribuídos Las empresas basadas en Internet ya están realizando negocios con clientes y socios a través de Internet. Los resellers, proveedores, distribuidores y cualquier persona que forme parte de un negocio amplio se puede conectar a intranets corporativas y acceder a información importante de la compañía. Los empleados y representantes en el campo utilizan cada vez más el acceso local a redes públicas y después se conectan a las fuentes de información corporativas remotas. La seguridad Windows NT está evolucionando con el fin de soportar las necesidades cambiantes de la informática distribuída a través de Internet. La informática distribuída entre empresas no está limitada a una arquitectura única y la tecnología de seguridad no deberá limitar a las compañías a una sola forma de acceder a la información. A medida que la tecnología de seguridad cambia rápidamente están disponibles muchos enfoques. Windows 2000 integra soporte para los protocolos de seguridad y modelos del usuario que se adapten mejor a las necesidades de la aplicación o de negocios. Lo que es más importante, Windows 2000 proporciona una migración de la seguridad empresarial actual con la oportunidad de utilizar totalmente la seguridad de clave pública de Internet, a medida que la infraestructura madura. A continuación se presentan algunas opciones que la seguridad Windows 2000 proporciona para la administración y soporte de relaciones entre empresas: • Un enfoque inicial que se utiliza ampliamente hoy es la creación de cuentas de usuario para que los socios de negocios puedan acceder a los servicios de información corporativa. Al integrar la seguridad Windows 2000 con el Directorio Activo se facilita la administración de estas cuentas especiales. Las unidades organizacionales que se encuentran en el directorio se pueden utilizar para agrupar cuentas relacionadas según el socio, proveedor u otras relaciones de negocios. La administración de estas cuentas se puede delegar a personas en la organización que administran tales relaciones con los socios. Las Redes Privadas Virtuales se establecen entre las organizaciones para encriptar tráfico de red a través de la red pública. Al utilizar este enfoque, los socios de negocios pueden utilizar acceso remoto a los servicios para obtener información corporativa, de la misma forma que cualquier otro empleado remoto. El acceso a las bases de datos o repositorios de información se puede controlar con un control de acceso Windows 2000. • Las relaciones administrativas de dominio son otra herramienta para el establecimiento de relaciones entre las empresas. El Directorio Activo proporciona mucho más flexibilidad para administrar un árbol de dominios jerárquicos. Con los nombres de dominio Windows 2000 integrados con la denominación DNS, el enrutamiento de Internet de la información entre dos dominios es fácil de configurar. Si así lo requiere la relación de negocios, el dominio se puede utilizar como una manera de configurar las aplicaciones cliente/servidor que también tienen las funciones de privacidad e integridad necesarias para comunicarse sobre Internet. Los usuarios 33 pueden utilizar ya sea los protocolos Kerberos o los de autenticación de clave pública para acceder a recursos compartidos en dominios remotos. • Las organizaciones pueden utilizar la infraestructura de seguridad Microsoft Internet para resolver problemas de seguridad en Internet. Las compañías pueden emitir certificados de clave pública para socios específicos que necesitan acceder a recursos de información específicos. En lugar de crear una cuenta de usuario o definir una relación de confianza de dominios, los certificados se pueden utilizar como una manera de proporcionar identificación y autorización al usuario. Los certificados de clave pública, así como la infraestructura necesaria para soportar la emisión de certificados y la verificación de revocación de certificado, son las maneras más eficaces para soportar las relaciones de empresa a empresa sobre Internet. Windows 2000 soporta certificados X.509 versión 3 emitidos por cualquier sistema de emisión de certificados. Los administradores del sistema en Windows 2000 definen qué Autoridades certificadas son de confianza. Asimismo, pueden relacionar usuarios externos autenticados a través de certificados de clave pública con cuentas de usuario Windows 2000 para definir los permisos de acceso relacionados con dichos usuarios. Registro único firma única para empresas y para Internet Windows 2000 administra las credenciales de seguridad de red del usuario de forma transparente después de un registro único satisfactorio. Al usuario no le preocupa si una conexión a un servidor de red utiliza NTLM, Kerberos o un protocolo de seguridad basado en una clave pública. Desde el punto de vista del usuario, se ha registrado en el sistema y ahora puede acceder a una amplia variedad de servicios de red. Dentro de la empresa, el acceso a los recursos se determina mediante los derechos otorgados a las cuentas del usuario, o a través de miembros del grupo. A través de Internet, un acceso del usuario se basa en su identidad probada por una operación de firma de clave privada y el certificado de clave pública correspondiente. Todos los protocolos de seguridad dependen en alguna forma de las credenciales del usuario, las cuales se presentan a un servidor cuando se establece la conexión. Windows 2000 administra esas credenciales del usuario y utiliza de forma automática el grupo de credenciales adecuado, basado en el protocolo de seguridad involucrado. El Directorio Activo de Windows 2000 soporta múltiples credenciales de seguridad como parte del uso seguro de la información de cuenta del usuario. Estas credenciales se utilizan para los servicios de autenticación empresarial que utilizan al controlador de dominio para la autenticación del usuario en línea. Los servidores de aplicaciones avanzadas pueden soportar la autenticación Windows 2000 integrada mediante el uso de la Interfaz del proveedor de servicio de seguridad para la autenticación de red. 34 Credenciales NTLM El protocolo de autenticación NTLM es utilizado por los clientes Windows 2000 para conectarse a los servidores que ejecutan versiones anteriores de Windows NT. Por ejemplo, la autenticación NTLM se utiliza para conectarse a un componente compartido de archivo remoto en Windows NT 4.0 Server, o para conectar a un cliente Windows NT 4.0 con un componente compartido de archivo Windows 2000. Las credenciales NTLM consisten en el nombre de dominio, el nombre del usuario y la contraseña encriptada introducida una vez durante el registro inicial. Los servicios de seguridad en un controlador de dominio administran una copia segura de las credenciales del usuario NTLM en el Directorio Activo que se utilizarán para la autenticación NTLM. Un cliente Windows 2000 administra las credenciales NTLM introducidas en el registro del sistema del lado del cliente, para que se utilicen cuando el cliente se conecte a los servidores Windows NT 4.0 utilizando la autenticación NTLM. El soporte para las credenciales NTLM en la seguridad Windows 2000 es el mismo que se utiliza para la compatibilidad con Windows NT 4.0. Credenciales Kerberos El protocolo de autenticación primario para el dominio Windows 2000 es la autenticación Kerberos. Las credenciales Kerberos consisten en el nombre de dominio y de su área (los cuales pueden estar en forma de sobrenombres en Internet, como son [email protected]) y contraseñas encriptadas estilo Kerberos. Cuando el usuario se registra en un sistema, Windows 2000 obtiene uno o más resguardos Kerberos para conectar a los servicios de red. Los resguardos Kerberos representan las credenciales de red del usuario en la autenticación basada en Kerberos. Windows 2000 administra de forma automática el caché del resguardo Kerberos para las conexiones con todos los servicios de red. Los resguardos tienen tiempo de expiración y tienen que ser renovados con cierta frecuencia. La expiración y renovación del resguardo lo maneja el proveedor de seguridad Kerberos y los servicios de aplicación asociados. La mayoría de los servicios, tales como el redireccionador del sistema de archivo, mantienen actualizadas automáticamente los resguardos de sesión. La renovación regular de un resguardo añade seguridad a la sesión, mediante el cambio de clave de sesión periódicamente. Pares de claves privadas/públicas y certificados El usuario es quien administra las credenciales de Internet en forma de pares de claves privadas/públicas y certificados. El Directorio Activo se utiliza para publicar los certificados de clave pública para los usuarios y los protocolos de acceso al directorio estándar se utilizan para ubicarlos. Las claves privadas y los certificados emitidos para los usuarios se mantienen en un almacén seguro, ya sea en el sistema local o en una tarjeta inteligente. El almacenamiento seguro se proporciona con la tecnologías de seguridad de Internet y se conoce como Almacén protegido. 35 La implementación del Almacén protegido se basa en la arquitectura CryptoAPI para Windows NT. CryptoAPI proporciona la funcionalidad de administración de claves así como otras capacidades criptográficas para la creación de un almacén seguro, guardando los certificados en el Almacén de certificados. La implementación de Windows 2000 de protocolos de seguridad basados en clave pública utiliza claves y certificados accedidos desde un Almacén protegido y Almacén de certificados como credenciales de usuario para el acceso a servidores basados en Internet. En muchos casos, las propiedades definidas por el usuario de los certificados en el Almacén de certificados permiten que los protocolos de seguridad seleccionen y utilicen de forma automática el certificado correcto y la clave de firma. Los avances que existen en los protocolos de seguridad de Internet (SSL3/TLS) permiten que un servidor solicite credenciales específicas a un cliente, que se utilizan de forma automática desde el Almacén de certificados en caso de que estén disponibles. La información que se encuentra en el Almacén protegido y el Almacén de certificados está disponible para los usuarios roaming, ya que han sido implementadas de forma segura como parte del perfil del usuario. Cuando un usuario se conecta por primera vez al cliente Windows, la información del perfil del usuario se copia en este PC. Si el usuario obtiene claves y certificados nuevos durante esa sesión, se actualiza el perfil del usuario en el servidor central cuando el usuario sale del sistema. Transición sin fallos La transición de una autenticación NTLM utilizada en Windows NT 4.0 (y versiones anteriores de Windows NT) a la autenticación de dominio Kerberos será muy transparente. Los servicios Windows 2000 soportan las conexiones cliente o servidor utilizando ambos protocolos de seguridad. La negociación de seguridad, ya sea mediante el nivel SSPI u otro protocolo de aplicación, proporciona otra opción para seleccionar la mejor correspondencia de las opciones de protocolo de seguridad disponibles. La transición desde los servicios basados en una empresa que utiliza la autenticación Kerberos a servicios basados en Internet que utilizan autenticación de clave privada es completamente transparente para el usuario. El soporte Windows 2000 para múltiples credenciales del usuario hace posible que se utilice la tecnología de autenticación de clave secreta para los servicios de aplicación empresarial con un rendimiento muy alto y la tecnología de seguridad de clave pública al conectarse a servidores basados en Internet. La mayoría de los protocolos de aplicación, tales como LDAP, HTTP/HTTPS o RPC, soportan la autenticación y están diseñados para soportar múltiples servicios de autenticación y seleccionar dichos servicios durante el establecimiento de una conexión. 36 En lugar de depender de una sola tecnología de autenticación y un solo protocolo de autenticación, Windows 2000 utiliza múltiples protocolos, según sea necesario, para ajustar la aplicación y los requerimientos de comunidad del usuario para una informática de red segura. Proporcionar una migración transparente a la próxima generación de dominios La migración desde un entorno Windows NT 4.0 a los dominios Windows 2000 es sencilla, debido a la compatibilidad hacia atrás con los protocolos de duplicación de seguridad y cuentas de Windows. Una migración sin problemas está disponible, ya que Windows 2000 cuenta con las siguientes funciones de interoperabilidad: • Un controlador de dominio Windows 2000 puede desempeñar el papel de Windows NT 4.0 BDC y recibir la duplicación de la cuenta de dominio desde un Windows NT 4.0 PDC existente. • Las estaciones de trabajo Windows NT 4.0 pueden enviar solicitudes de autenticación de red utilizando el protocolo de autenticación NTLM al controlador de dominio Windows 2000, actuando como un BDC en el dominio Windows NT 4.0. • Los controladores de dominio Windows 2000 pueden establecer relaciones de confianza con los dominios Windows NT 4.0 y soportar la autenticación de pase entre los dominios. Esto significa que no se requiere que todos los dominios que existen en una empresa se actualicen a la seguridad de dominio Windows 2000 al mismo tiempo. A la larga, los controladores de dominio Windows 2000 pueden reemplazar a los controladores de dominio Windows NT 4.0 en una actualización gradual de los Windows NT 4.0 BDC a los controladores de dominio Windows 2000. Las herramientas de administración de cuentas de Windows NT 4.0 se utilizan en el controlador de dominio primario siempre que PDC se ejecute en Windows NT 4.0. Finalmente, se pueden actualizar todos los controladores de dominio para utilizar el Directorio Activo para la administración de cuentas y la duplicación de cuenta multimaestra. El soporte Windows 2000 para los protocolos de autenticación múltiple significa que desde un dominio único de acceso en el escritorio, los usuarios pueden acceder a los servicios Windows 2000 en cualquier entorno de dominio mezclado, como: • Un servidor Windows 2000 en la conexión o dominio local, utilizando resguardos de sesión Kerberos emitidos por el Centro de distribución de claves (KDC) en el controlador de dominio. • Un servidor Windows 2000 en un dominio de confianza, utilizando una referencia Kerberos para el KDC en el dominio de confianza, para emitir un resguardo de sesión al servidor remoto, o 37 • Un servidor Windows NT 4.0 en un dominio utilizando una autenticación de pase NTLM entre el cliente, el servidor Windows NT 4.0 y el controlador de dominio de confianza. Debido a que Windows 2000 sigue soportando la autenticación NTLM, los clientes Windows NT 4.0, que no utilizan la autenticación Kerberos, también pueden conectarse a los servidores de aplicación Windows 2000. Estas funciones de interoperabilidad permiten flexibilidad para que las organizaciones planifiquen e implementen una estrategia de migración a servidores Windows 2000 que se ajusten mejor con sus necesidades de crecimiento empresarial. Resumen Los Servicios de Seguridad Distribuidos de Windows 2000 proporcionan soluciones flexibles para la creación de aplicaciones seguras, distribuidas y escalables. La gestión de seguridad y administración cuentan con funciones más ricas para la delegación y control de cuenta granular. El Directorio Activo soporta dominios con un mayor número de cuentas en un entorno de nomenclatura estructurado en unidades organizacionales. La administración de confianza entre dominios es más simple, ya que proporciona mayor flexibilidad para utilizar los dominios en forma que refleje las necesidades de la empresa. Las API de seguridad Windows para la autenticación de red, privacidad de datos, firmas digitales y soporte de encriptación aseguran el desarrollo de la aplicación para la empresa e Internet. Las interfaces SSPI y CryptoAPI, así como las abstracciones de interfaz COM y DCOM de nivel más alto, hacen que todas las funciones de seguridad integradas en Windows 2000 estén disponibles para su uso por todas las aplicaciones. La arquitectura sólida de seguridad de Windows NT se utiliza de forma consistente a través de todos los componentes del sistema y será ampliada para soportar la autenticación sólida y la seguridad de clave pública. Estas funciones no tienen comparación con cualquier otra plataforma de aplicación distribuída disponible en la actualidad. Windows 2000 Distributed Security integra los estándares maduros de Internet para la autenticación, al tiempo que presenta la nueva tecnología de seguridad de clave pública basada en la dirección de la industria y estándares disponibles. La gran mayoría de los estándares de seguridad de clave pública en Internet aún se están creando. Microsoft participa en el desarrollo de estos estándares, pero reconoce que tienen que cambiar con el paso del tiempo. La arquitectura de seguridad Windows 2000 está diseñada específicamente para incorporar nueva tecnología de seguridad en forma de protocolos, proveedores de servicio criptográficos o 38 tecnología de autenticación de terceros. Los clientes que implementan Windows 2000 tienen opciones sobre qué tecnología de seguridad desean utilizar, cómo integrar la seguridad en su entorno de aplicaciones con el mínimo impacto y cuándo migrar a la nueva tecnología, a medida que esté disponible. En conjunto, todo esto convierte los Servicios de Seguridad Distribuída de Windows 2000 en las mejores bases para la informática segura y distribuída sobre Internet. Para más información • Para obtener la información más reciente de Windows 2000 y Windows NT Server, visite los sitios Web en http://www.microsoft.com/ntserver y el Windows NT Server Forum en Microsoft Network (GO WORD: MSNTS). • Para obtener más información del Directorio Activo de Windows 2000, consulte el White Paper Resumen técnico del Directorio Activo de Microsoft Windows NT. • Información adicional sobre seguridad Microsoft Internet está disponible en el sitio Web http://www.microsoft.com/security. • Información adicional sobre la arquitectura de seguridad Windows NT, interfaz de proveedor de soporte de seguridad, CryptoAPI y las API de seguridad Windows NT está disponible en las referencias en línea para el SDK de la plataforma Microsoft. 39 INTRODUCCIÓN A LA ADMINISTRACIÓN DE CAMBIOS Y CONFIGURACIÓN DE WINDOWS 2000 Este documento proporciona información más detallada sobre una de estas disciplinas: administración de cambios y configuración. Explica los conceptos de la administración del cambio y configuración y presenta información para los gerentes acerca de cómo utilizar las funciones de Administración de Cambios y Configuración del sistema operativo Windows 2000 para reducir el coste total de propiedad (TCO) de la organización. Proporciona una descripción general introductoria de las funciones y productos que Microsoft proporciona para cumplir con su iniciativa de Cero Administración de Windows : • Tecnologías de administración IntelliMirror™. • Instalación remota del sistema operativo. • Systems Management Server versión 2.0. Roles de administración. Dentro de muchas organizaciones, la tarea de administrar el sistema de informática se divide normalmente entre varios grupos, en donde cada grupo realiza un rol de administración específico. Tres de los roles que normalmente se encuentran en muchas organizaciones son la administración del escritorio, administración de la red y administración del centro de datos. Disciplinas de administración. Sin importar su rol, los administradores se preocupan de las siguientes disciplinas de administración: administración de cambios y configuración, administración de la seguridad, administración del rendimiento, administración de lote y salidas, administración de eventos, administración de problemas y administración del almacenamiento. Administración de cambios y configuración Como su nombre lo indica, la disciplina de Administración de Cambios y Configuración incluye la administración de cambios continuos y problemas de configuración que surgen conforme los administradores intentan asegurar que las personas sean productivas cuando utilizan sus PCs para realizar sus labores diarias. 40 Cambio Diferentes factores introducen el cambio en una organización y uno de los problemas de administración clave es administrar el cambio. Sin importar qué factor inicia el cambio, ya sea la configuración inicial para abordar los requerimientos del negocio o adaptarse a nuevos requerimientos de negocios, el impacto de nuevas tecnologías de hardware y software o la obsolescencia de los sistemas existentes, el cambio es inevitable para una organización creciente y dinámica. Configuración La configuración se refiere a los actos para instrumentar el cambio. Todos los grupos de soporte deben manejar el cambio, por lo tanto, la Administración de cambios y configuración es una disciplina importante para todos los grupos de soporte, sin importar su rol administrativo. Las nuevas configuraciones se tienen que desarrollar, probar e implementar, y éste es un proceso continuo. Windows 2000 y la Administración de cambios y configuración Las funciones de la Administración de cambios y configuración estándar en Windows 2000 proporcionan las siguientes ventajas: • Los administradores pueden definir de forma central las configuraciones del entorno de informática tanto para grupos de personas como de PCs. Luego pueden depender del sistema para reforzar esas configuraciones. • Los administradores pueden reemplazar rápidamente un PC y luego volver a generar este entorno automáticamente, restableciendo los datos, aplicaciones, preferencias y políticas administrativas de las personas. • Los administradores pueden permitir a los usuarios finales cambiarse a cualquier PC en su red y tener el mismo entorno de informática, incluyendo acceso a los datos, aplicaciones, y configuraciones de preferencia. • Los usuarios finales pueden encontrar rápidamente todos los archivos de datos de los usuarios y acceder a los archivos de la red aún cuando trabajen fuera de línea, los archivos se introducen en la memoria caché localmente y se sincronizan automáticamente entre el servidor y la versión local. • Los administradores pueden administrar de forma central la instalación, actualización y eliminación del software. Esto elimina la necesidad de intervención del usuario durante la instalación de su software al igual que las visitas del personal de soporte de ayuda del escritorio. • Los administradores pueden definir las opciones que permiten a las estaciones de trabajo instalar automáticamente archivos del sistema operativo en la unidad de disco duro local desde un servidor remoto. 41 Un concepto clave en Administración de cambios y configuración de Windows 2000 es que después de que los administradores instalan un entorno Windows 2000 pueden utilizar el Directorio Activo y crear entornos de informática administrados basados en políticas para grupos de usuarios y PCs. De está forma, reducen de forma significativa la necesidad de visitar los escritorios de las personas para instalar aplicaciones o sistema operativo, para realizar actualizaciones o para reparar cambios de configuración no autorizados o inesperados. Como resultado, pueden reducir substancialmente el coste total de propiedad. Aplicaciones que cumplen con los requerimientos del logotipo Diseñada para Microsoft Windows. Las aplicaciones incluso se pueden autorreparar de forma automática si los usuarios eliminan por descuido los archivos clave. Se requiere de hardware cliente de PC que soporte un entorno PXE. Para detalles, consulte “Instalación Remota del Sistema Operativo”. Funciones de la administración de cambios y configuración La administración de cambios y configuración consiste en las siguientes funciones incluidas en Windows 2000: IntelliMirror e Instalación Remota del Sistema Operativo. De forma adicional se proporcionan las funciones de la administración de cambios y configuración de valor añadido en Microsoft Systems Management Server 2.0. Funciones de Administración de cambios y configuración de Windows 2000 La siguiente tabla muestra las funciones de administración de cambios y configuración estándar que se incluyen en Windows 2000 y las tecnologías subyacentes que habilitan estas funciones. Los administradores pueden utilizar algunas o todas las funciones, dependiendo de los requerimientos de su negocio en particular. 42 * IntelliMirror es un atributo de estás funciones. Soluciones de valor añadido: Microsoft Systems Management Server 2.0 Systems Management Server 2.0, ahora rediseñado para hacer uso total de los servicios de administración de Windows, complementa la funcionalidad de administración incorporada de Windows 2000. Systems Management Server cuenta con un diseño altamente modular que permite que se utilice como una solución individual o como una parte integrada de una solución de administración más grande. En los entornos previos a Windows 2000, Systems Management Server 2.0 proporciona Administración de cambios y configuración avanzada a una amplia gama de sistemas basados en Windows, incluyendo sistemas operativos Windows 95 y Windows 98, Windows NT® versiones 3.51 y 4.0 y Windows Trabajo en Grupo. En los entornos Windows 2000 Server, Systems Management Server complementará a Directorio Activo, ampliando las funciones Administración de Cambios y Configuración estándar proporcionadas por 43 IntelliMirror, para ofrecer una solución de Administración de Cambios y Configuración a escala empresarial para los entornos Windows. Intellimirror IntelliMirror es un conjunto de funciones poderosas nativas de Windows 2000 para la administración de cambios y configuración de escritorio que combina las ventajas de la informática central con el rendimiento y flexibilidad de la informática distribuida. Al aprovechar las diferentes funciones, tanto en el servidor como en el cliente, IntelliMirror permite que los datos, aplicaciones y configuraciones del usuario lo sigan a través de su entorno. Todos los usuarios cuentan con datos y configuraciones que son específicas para cada uno de ellos. IntelliMirror incrementa la disponibilidad del PC del usuario y del entorno de informática al almacenar de forma inteligente información, configuraciones y aplicaciones basadas en las definiciones de las políticas. IntelliMirror puede recuperar, restaurar o reemplazar los datos, aplicaciones y configuraciones personales de los usuarios en un entorno de Windows 2000. Por lo tanto, los usuarios tienen acceso constante a toda su información y aplicaciones, ya sea que estén conectados o no a la red, con la seguridad de que sus datos se mantienen de forma segura y están disponibles desde el servidor. Con IntelliMirror, un tema común es “¡Sígueme!”, ya que se puede configurar para permitir que los datos del usuario, sus aplicaciones y sus configuraciones personales lo sigan a cualquier escritorio en la red. En el núcleo de IntelliMirror se encuentran tres funciones: • Administración de datos del usuario. • Instalación y mantenimiento de software. • Administración de configuraciones del usuario. Los administradores pueden utilizar estas funciones de IntelliMirror, ya sea por separado o juntas, dependiendo de los requerimientos del entorno. Cuando se implementa totalmente, IntelliMirror utiliza el Directorio Activo y las políticas de grupo para proporcionar administración basada en políticas de los escritorios de los usuarios. A través de las políticas definidas de forma central con base en los roles de negocios de los usuarios, los miembros de grupo y su ubicación, los escritorios Windows 2000 Professional se reconfigurarán automáticamente para satisfacer los requerimientos específicos de los usuarios cada vez que el usuario se conecte a la red. Administración de datos del usuario 44 Las funciones de Administración de datos del usuario aseguran que los datos de las personas (como archivos y documentos personales) sean accesibles fácilmente, estén disponibles rápidamente y estén siempre protegidos, de esta manera, los usuarios pueden acceder a sus datos desde cualquier PC ya sea que se conecten, estén en línea o fuera de línea. Las funciones de Administración de datos del usuario de IntelliMirror soportan la duplicación de datos de las personas para la red y el caché local de datos de red seleccionados. Estas funciones aseguran que los datos estén protegidos, estén disponibles fuera de línea y estén disponibles a partir de cualquier PC en la red. Se debe notar que los datos siguen al usuario únicamente si los datos se almacenan en una ubicación configurada para roaming, como en una carpeta Mis Documentos. Accesibilidad de los datos Con las funciones habilitadas de IntelliMirror, los datos pueden seguir a una persona cuando la persona se mueve a otro PC en la red. Esto proporciona una mayor accesibilidad ya que las personas pueden utilizar cualquier PC en la red para acceder a sus datos. Disponibilidad de los datos Los administradores pueden permitir que las funciones de Administración de datos del usuario de IntelliMirror aseguren que las versiones más actualizadas de los datos de las personas residan tanto en el PC local como en el servidor. La memoria caché local mantiene datos en el PC local aún cuando esté desconectada de la red para que los datos estén disponibles para las personas incluso cuando trabajen fuera de línea. Protección de los datos 45 Los administradores pueden proporcionar protección mejorada de datos del usuario al asegurar que los datos del usuario, aunque aparentemente local, también se redireccionan a una parte de la red y a través del respaldo manejado por el administrador de servidores de red. Instalación y mantenimiento de software La función de instalación y mantenimiento de software de Windows 2000 está diseñada para facilitar la instrumentación y administración basada en políticas de software a través de todo el ciclo de vida del software. La instalación y mantenimiento de software de Windows 2000 proporciona instalación de software justo a tiempo y robusta así como reparación automática de las aplicaciones para grupos de usuarios y PCs. Los administradores también pueden utilizar esta función para actualizar aplicaciones, retirar y eliminar aplicaciones anteriores que ya no se requieren, herramientas tanto Service Packs como actualizaciones del sistema operativo. Los administradores utilizan las Políticas de Grupo de Windows 2000 para definir las opciones de instalación de software que especifican qué software se debe instrumentar, actualizar o eliminar de un PC. Las políticas de instalación de software se pueden aplicar tanto a grupos de usuarios como de PCs. Estas políticas se definen con base en sitios, dominios y unidades organizacionales (OUs). Cada vez que se enciende un PC se evalúa, la política de grupo de instalación de software basada en el PC se actualiza. Cada vez que un usuario se conecta a un PC se evalúa, la política de grupo de instalación de software relacionada con el usuario se actualiza y el escritorio se actualiza para ofrecer las aplicaciones que se requieren. Una tecnología clave que se utiliza para realizar la instalación de software justo a tiempo es el servicio Windows Installer. Para utilizar la función Windows 2000 Software Installation and Maintenance, el software debe incluir la autoría o estar empaquetado para hacer uso de este servicio. El servicio Windows Installer automatiza completamente el proceso de instalación y configuración de software. Al utilizar la política de grupo y la instalación de software, los administradores pueden publicar o asignar software a grupos de usuarios y de PCs. El software publicado está disponible para los usuarios según ‘se requiera’. Los administradores pueden seleccionar qué software estará disponible para los usuarios con base en los requerimientos de negocios, técnicos o geográficos de cada grupo. Los usuarios pueden instalar software que se ha publicado para ellos utilizando la herramienta del Panel de control Agregar/eliminar programas y seleccionando el software a partir de una lista de aplicaciones publicadas. De forma alternativa, los usuarios también pueden abrir un archivo o documento que requiere una aplicación publicada y el software requerido será instalado automáticamente, la aplicación iniciará y el archivo se abrirá. 46 Las herramientas de autor y empaquetado para el servicio Windows Installer están disponibles de varias compañías incluyendo InstallShield, Seagate y Wyse. Además, System Management Server Installer, una función de Systems Management Server 2.0, dará soporte a la opción de reempaque de servicio de Windows Installer. En comparación con, asignar software a los usuarios y a los PCs, los administradores ordenan que se instale el software. Cuando los administradores asignan software a un PC, el software se instala la siguiente vez que el PC se vuelve a encender. Esta función también se puede utilizar para instrumentar Service Packs, actualizaciones del controlador y demás software relacionado con el PC. Cuando los administradores asignan software a un usuario final, el software aparece en el escritorio del usuario (por ejemplo, en el menú Inicio, accesos directos de escritorio, etcétera) la siguiente vez que el usuario se conecte a la red. El software se instala la primera vez que el usuario lo activa (seleccionándolo del menú Inicio, por ejemplo). Al utilizar las funciones del servicio Windows Installer después de que las aplicaciones están instaladas, se protegen contra una eliminación inadvertida de archivos de aplicación u otros recursos requeridos. Cada vez que se lanza una aplicación, el servicio Windows Installer realiza una verificación para asegurar que todos los archivos y componentes de la aplicación requerida estén disponibles. Si falta alguno, el servicio Windows Installer recupera e instala los componentes que faltan desde un punto de distribución predeterminado ya sea en el PC local o en la red como una división del sistema de archivo compartido (Dfs). Administración de las configuraciones del usuario y del PC Las ventajas de la administración de configuraciones del usuario del PC son que los administradores pueden definir centralmente los entornos de informática para grupos de usuarios y de PCs y éstos reciben automáticamente el entorno correcto. 47 Los administradores pueden añadir nuevos usuarios y PCs, definir configuraciones para grupos de personas y PCs y aplicar cambios para grupos de personas. Además, con la función IntelliMirror habilitada, los administradores pueden restaurar configuraciones del usuario en caso de que sus PCs fallen y asegurar que las configuraciones de escritorio del usuario sigan a la persona en caso de que se cambie a otro PC. La administración de cambios y configuración de Windows 2000 incluye una funcionalidad que permite a los administradores definir de forma central los entornos de informática específicos para grupos de usuarios y PCs. Esto incluye configuraciones para políticas de software, scripts, instalación de software, configuraciones personalizadas del usuario y seguridad. Los administradores pueden utilizar la política de grupo para definir configuraciones para grupos de usuarios y PCs. Estas configuraciones incluyen configuraciones de registro en el escritorio (como componentes y aplicaciones del sistema operativo), scripts (para inicio y apagado del PC, y conexión y desconexión del usuario), opciones de instalación de software (como aplicaciones que están disponibles a usuarios y aquellas que aparecen en su escritorio) y configuraciones de seguridad (como para PC, dominio y configuraciones de seguridad de red locales). Además, los administradores pueden redireccionar cualquiera de las carpetas especiales en un perfil de usuario hacia una red compartida para que los perfiles del usuario estén disponibles siempre que el usuario se conecte. Instalación remota del sistema operativo La instalación remota del sistema operativo utiliza la nueva tecnología de inicio remoto basada en la Configuración de Host Dinámica (DHCP) del Entorno de Ejecución de Preinicio (PXE) para iniciar la instalación de un sistema operativo a partir de una fuente remota hacia una unidad de disco duro local del cliente. La fuente remota, un servidor que soporta los nuevos Servicios de Instalación Remota (RIS), proporciona el equivalente de red de una instalación basada en el CD de Windows 2000 Professional e imágenes de escritorio Sysprep preconfiguradas. 48 • Instalación basada en el CD. La opción basada en el CD es similar a configurar una estación de trabajo directamente desde el disco compacto de Windows 2000 Professional; sin embargo, los archivos fuente residen a través de la red en servidores RIS disponibles. • Formato de imagen Sysprep. La opción de imagen Sysprep permite a un administrador de red clonar una configuración de escritorio estándar completa, con configuraciones del sistema operativo y personalizaciones de escritorio. Después de haber instalado y configurado por primera vez Windows 2000, sus servicios y cualesquiera aplicaciones estándar en una estación de trabajo, el administrador de red ejecuta un asistente que prepara la imagen de instalación y la duplica para los servidores RIS disponibles. Los PCs cliente habilitados por el inicio remoto pueden solicitar después que se instale esa imagen localmente desde los servidores RIS disponibles en la red. Ya sea el BIOS del PC cliente o un disco flexible de inicio remoto especial puede iniciar un arranque de servicio de red. Cuando se requiere el arranque de servicio de red, DHCP proporciona una dirección IP para el PC cliente y el cliente puede entonces descargar el asistente de instalación de cliente. En este momento, el asistente pedirá al usuario que se conecte y, dependiendo de las credenciales o acceso del grupo de seguridad del usuario, el asistente mostrará un menú que ofrece opciones de instalación del sistema operativo sin atención personalizadas, adecuadas, (el administrador de red utiliza configuraciones de políticas para determinar qué opciones de instalación están disponibles para un usuario, con base en la política definida por ese usuario en la máquina cliente que inició la solicitud de arranque de servicio de red). Requiere hardware que soporte ROM de inicio basado en DHCP del Entorno de Ejecución de Preinicio (PXE). El hardware que cumpla con los requerimientos de Net PC o de Office PC en PC 98 satisface estos requerimientos. 49 Systems Management Server Systems Management Server 2.0 proporciona administración de cambios y configuración escalable de PCs personales basadas en Windows en una empresa. Con base en la infraestructura de administración nativa proporcionada por los servicios de administración de Windows, Systems Management Server 2.0 permite que el personal de soporte de administración de escritorio central y regional trabajen juntos utilizando un conjunto integrado de herramientas que proporcionan una colección de inventario de hardware y software, distribución e instalación de software, medición de software además de diagnósticos y resolución de problemas desde el escritorio de ayuda. Systems Management Server se puede utilizar para complementar las funciones incorporadas de Administración de cambios y configuración de Windows 2000, además de poderse utilizar en entornos previos de Windows 2000. Systems Management Server soporta todos los escritorios de 16 y 32 bits de Windows, desde Windows 3.1 hasta Windows 2000, ya sea que operen en entornos Windows NT, NetWare 3.1 o NetWare NDS. Como un sistema de administración de escritorio individual o como el componente de administración de escritorio dentro de la solución de administración empresarial integrada, Systems Management Server 2.0 incluye las siguientes facilidades: Inventario de hardware y software: Systems Management Server utiliza Windows Management Instrumentation (WMI) y la nueva versión de los escáners de software de información de recursos para cargar una gran cantidad de información de inventarios de hardware y software detallados en el deposito de SQL Server™. Esto proporciona a los administradores un mecanismo eficiente y dinámico para obtener información de hardware y software de cualquier aplicación en cada una de las PCs. Además, se ha añadido un nuevo cumplimiento de la herramienta de base de datos comparativa que puede evaluar el inventario después de que recopila y genera informes en los estados de cumplimiento. Esto es especialmente útil para identificar aplicaciones del Año 2000. Distribución e instalación de software: Al utilizar Systems Management Server 2.0, los administradores pueden implementar aplicaciones a las máquinas, usuarios y grupos de usuarios. La distribución de software ahora se basa en reglas y los objetivos de distribución se evalúan dinámicamente. También está totalmente integrado con el inventario para permitir objetivos sofisticados. Systems Management Server 2.0 primero realiza una consulta del inventario de software y recolección de información, se enfoca a un público y luego implementa el software para ese público de acuerdo con las reglas definidas por el administrador. Por ejemplo, si un usuario nuevo se une a un grupo de usuarios, el software se le enviará ahora inmediatamente de acuerdo con la política del grupo. Con Systems Management Server 2.0, los 50 administradores pueden distribuir una aplicación. La tecnología Windows Management Instrumentation (WMI) es compatible con la iniciativa de administración empresarial basada en el Web (WBEM) de Desktop Management Task Force (DMTF). Aprovecha el modelo de información común (CIM) de DMTF para representar objetos administrados en entornos basados en Windows. Medición de Software: Los administradores con frecuencia requieren herramientas para rastrear el uso de software por parte de los usuarios, grupos, estaciones de trabajo, tiempo o cuota de licencia. Systems Management Server 2.0 puede supervisar, analizar y, de ser necesario, controlar el uso de las aplicaciones en los servidores y estaciones de trabajo. Estas herramientas proporcionan a los administradores varios niveles de control, desde alarmas sencillas hasta la capacidad de evitar que se ejecuten las aplicaciones. Diagnósticos y resolución de problemas: Además de informar del estado actual de una estación de trabajo o servidor y de proporcionar facilidades de control remoto, Systems Management Server también proporciona una amplia gama de herramientas de diagnóstico avanzadas. Estas incluyen herramientas como el monitor de red con tiempo real y expertos posteriores a la captura para analizar las condiciones y el rendimiento de la red además de una herramienta HealthMon del servidor que puede rastrear información de rendimiento importante en Windows NT Server y procesos de aplicaciones de la familia BackOffice®. Documentos de administración y descripción general La siguiente tabla enumera una serie de documentos que presentan los Servicios de Administración Windows de Microsoft y la Administración de Cambios y Configuración. Estos documentos tienen la intención de que los administradores y los encargados de tomar decisiones técnicas comprendan los requerimientos de negocios y los beneficios de las funciones de administración, así como la arquitectura de administración, herramientas y soluciones de Microsoft. Le recomendamos que lea los documentos en el siguiente orden. 51 Documentos técnicos La siguiente tabla enumera los documentos técnicos adicionales que están o estarán disponibles para los administradores y gerentes de informática (IT) que están interesados en comprender los detalles de las funciones y tecnologías de los servicios de administración de Windows. 52 53 PLANIFICAR LA MIGRACIÓN DE WINDOWS NT A WINDOWS 2000 Introducción Este trabajo pretende guiarle en la planificación de la migración de Windows NT 3.51 y Windows NT 4.0 a Windows 2000 en un entorno de empresa. Se centra principalmente en planificar la implementación del espacio de nombres de Active Directory a través de la actualización de los dominios de Windows NT; la planificación del espacio de nombres de Active Directory deberá haberse hecho casi toda antes. Determinar la ruta de la migración En cualquier proceso de planificación se toman decisiones importantes. A la hora de planificar la migración esas decisiones determinarán la disponibilidad de determinadas funciones del sistema operativo. Esta sección le ayudará a establecer las prioridades, ya que se ocupa de: • Los conceptos subyacentes de la migración, para que comprenda las decisiones que toma al establecer la ruta de la migración. • Sus repercusiones sobre los objetivos de la migración. Al final de esta sección tendrá información suficiente para elaborar el mapa de la migración y para conocer algunas áreas de riesgo para su proyecto. Conceptos de la migración Hay dos formas de llegar a la infraestructura deseada: • Actualización del dominio, a la que en ocasiones se denomina actualización in situ. • Reestructuración del dominio, a la que en ocasiones se denomina consolidación del dominio o colapso del dominio. La actualización y la reestructuración no son mutuamente excluyentes: algunas organizaciones pueden actualizarse primero y después reestructurarse, mientras que otras se reestructuran al principio. Actualización del dominio La actualización a Windows 2000 Server es la ruta de migración más sencilla y de menos riesgo. Podemos definir la actualización del dominio como el proceso de actualizar el software del Primary Domain Controller (PDC; Controlador Primario del Dominio) de un dominio y de actualizar una parte o la totalidad de los Backup Domain Controllers (BDC, Controladores de Copia de Seguridad) de Windows NT 4.0 a Windows 2000 Server. Puesto que Windows 2000 está diseñado para soportar redes mixtas que contengan Windows 9x, Windows NT 4.0 y Windows 2000 con plena interoperabilidad, no es preciso actualizar todos los sistemas del dominio para poder aprovechar las funciones de Windows 2000. Una vez dicho esto, la actualización del PDC debe verse sólo como la primera fase de la actualización, ya que se obtienen nuevos beneficios paulatinamente al actualizar los Backup Domain Controllers (BDC) y después los servidores miembros. Como se trata de una actualización del sistema operativo y no de una instalación, se mantienen la estructura, los usuarios y los grupos existentes en el dominio, aunque en el proceso se activarán nuevas funciones de Windows 2000. De hecho, la principal diferencia entre actualización y consolidación es que en la actualización conservamos la estructura actual del dominio. Cuando haya terminado la actualización y tenga acceso a las avanzadas herramientas y funciones de gestión de Windows 2000, tal vez desee reestructurar los dominios. Debe tener en cuenta que la reestructuración no es una tarea trivial y que exigirá más planificación e implementación, según se explica más adelante, en la sección dedicada a la reestructuración. Si el cambio estructural es para usted uno de los principales objetivos de la migración, tal vez desee estudiar un enfoque en el que la reestructuración se produzca durante la migración. 54 Consecuencias de la actualización del dominio La actualización es la ruta de migración más sencilla y de menos riesgo porque conserva la mayor parte de la configuración, las preferencias y las instalaciones de programas del sistema. En esta sección estudiaremos los efectos reales de la actualización sobre los DC (Controladores del Dominio) y los principales de seguridad y explicaremos su importancia a la hora de tomar las decisiones de planificación. El Asistente de instalación de Active Directory (DCPromo.exe) Después de forzar una sincronización de todos los BDC del dominio, de forma que estén totalmente actualizados con todos los cambios recientes que se hayan hecho en el PDC, podemos empezar la actualización del dominio de cuentas actualizando el PDC. Después de instalar el sistema operativo básico en el PDC, el programa de configuración detecta que está actualizándose un DC y pide al administrador que instale el Active Directory en el servidor ejecutando automáticamente el programa DCPROMO. DCPROMO ofrece al administrador la opción de crear el primer árbol de un bosque nuevo, crear un árbol nuevo en un bosque existente, crear una réplica de un dominio existente o instalar un dominio hijo. La elección que haga dependerá del resultado del proceso de planificación del espacio de nombres. Nota: No se pretende dar una descripción detallada del proceso. También deberá tomar en consideración actividades como la copia de seguridad del dominio por si surgen problemas graves y necesita recuperarlo. Podría optar por añadir un BDC más al dominio antes de la sincronización y la actualización y dejar este BDC fuera de línea mientras dure la actualización. Encontrará más detalles en la Guía de Planificación de la Instalación. PDC de Windows NT Como parte del proceso de instalación de Active Directory, el contenido de la base de datos de cuentas de Windows NT y el Security Account Manager (SAM, Administrador de Cuentas de Seguridad) se copian en Active Directory. Estos objetos son los principales de seguridad (cuentas de usuario, grupos locales y globales y cuentas de ordenadores). Tan pronto como se ha actualizado el PDC y se ha instalado Active Directory, el dominio está funcionando en modo mixto de Windows 2000. Para una descripción más detallada del modo mixto y del modo nativo, consulte más adelante la sección “Modo mixto y modo nativo”. A partir de este punto, el PDC de Windows 2000 Server utiliza Active Directory para almacenar objetos. Es plenamente compatible hacia atrás porque expone los datos como almacén plano a los BDC de Windows NT durante el replicado. Esto se manifiesta de varias formas: • El PDC aparece como un DC de Windows 2000 DC ante otros ordenadores con Windows 2000 y como PDC de Windows NT ante los ordenadores que no están aún actualizados. • Puede seguir usando el PDC para crear nuevos principales de seguridad y para replicar estos cambios en los BDC de Windows NT. • Las estaciones de trabajo de Windows NT y Windows 9x pueden utilizar el PDC como posible servidor de sesiones. • Si el PDC de Windows 2000 queda fuera de línea o si no está disponible por cualquier otro motivo y no hay otros CD de Windows 2000 en el dominio, un BDC de Windows NT puede funcionar como PDC. El efecto de la actualización sobre el control de acceso Después de trasladar los principales de seguridad a Active Directory como parte del proceso de actualización del PDC, una de las grandes preocupaciones es el efecto que esto tiene sobre el acceso a los recursos. Identificadores de seguridad (SID) El Modelo de Seguridad de Windows NT (la base de la seguridad para Windows NT y Windows 2000) identifica los objetos de cuentas como usuarios, grupos, máquinas y relaciones de confianza de dominios mediante los SID. Los SID son valores de dominio únicos, incorporados 55 al crear el usuario o el grupo, o cuando se registra en el dominio la máquina o la relación de confianza. Los componentes de un SID siguen una convención jerárquica: un SID contiene partes que identifican el número de revisión, la autoridad (por ejemplo, el dominio) que emitió el SID y un número variable de subautoridad o valores de identificador relativos que identifican de forma única el principal de seguridad en relación con la autoridad emisora. Aunque existen SID bien conocidos que identifican grupos y usuarios genéricos en todos los sistemas, la mayoría de los principales de seguridad a los que nos referimos se identifican en el contexto de un dominio y, por tanto, no pueden moverse entre dominios si no se cambian sus SID. Autenticación y tokens de acceso Un componente esencial del modelo de seguridad de Windows NT es la autenticación, por la que un usuario se identifica en el dominio presentando sus credenciales, que normalmente son un nombre de usuario y una contraseña. Si estas credenciales son aceptables, el sistema crea para el usuario un token de acceso que contiene el SID del usuario (SID primario) y los SID de todos los grupos del dominio de los que el usuario es miembro. Todos los procesos que cree el usuario, por ejemplo ejecutando una aplicación, tendrán el token de acceso de ese usuario. El sistema utiliza este token de acceso para determinar si debe concederse al usuario acceso a los recursos del sistema. Autorización y descriptores de seguridad El equivalente del token de acceso del usuario es el descriptor de seguridad unido a recursos como los archivos o las impresoras. Un descriptor de seguridad contiene una Access Control List (ACL, Lista de Control de Acceso), que consiste en una lista de las Access Control Entries (ACE, Entradas de Control de Acceso). Cada ACE está formada por un SID y por un indicador de si se ha concedido o denegado al principal de seguridad identificado por el SID algún tipo de acceso al recurso. De esta descripción puede deducirse que el efecto de la actualización de los SID tiene una importancia crucial: si se alteran los SID de cualquier modo durante la actualización, se vería afectado el acceso a los recursos. En la actualización, los principales de seguridad permanecen en el mismo dominio en el que fueron creados y también quedan sin cambios los SID que los identifican. El resultado es que el acceso a los recursos no se ve afectado por la actualización. 56 Efecto de la actualización sobre las relaciones de confianza Native Mode Domain HAYBUV.TLD Mixed Mode Domain w2kpro = Windows 2000 Professional ntws = Windows NT Workstation w2ksrv = Windows 2000 Server nts = Windows NT Server HAYBUV-ACCT HAYBUV-OTHER w2ksrv w2kpro nts ntws HAYBUV-ACCT2 HAYBUV-RES1 w2ksrv nts Figura 1. Ejemplo de dominio HAYBUV.TLD DCPROMO instala también el software Kerberos. Una vez instalado se ponen en marcha el servicio de autenticación y el servicio de concesión de tickets. Si el administrador ha decidido unir un árbol existente, se establece una relación de confianza transitiva y bidireccional de Kerberos. Seguirán existiendo todas las relaciones de confianza creadas antes de actualizar el PDC, pero tendrán la forma de una relación de confianza explícita unidireccional al estilo de las de Windows NT. A la larga, el DC del dominio padre copia toda la información de esquemas y configuración al nuevo dominio hijo. Cuando se ha replicado esta información, el dominio actualizado es miembro plenamente funcional del árbol de dominios de Active Directory, aunque permanecerá en modo mixto hasta que el administrador decida trasladar el dominio al modo nativo de Windows 2000. Los clientes que reconozcan Active Directory, como las estaciones de trabajo con Windows 2000 Professional o Windows 9x y Windows NT Workstation (con software cliente Active Directory) pueden utilizar ya Active Directory y efectuar acciones como consultar catálogos globales para buscar recursos y personas. Los clientes también podrán utilizar las relaciones de confianza que existen dentro del bosque para acceder a los recursos de todo este bosque. La forma de hacerlo dependerá de si el cliente utiliza el sistema operativo Windows 2000 o uno anterior, como Windows NT o Windows 9x, y del estado de actualización del dominio de destino. Puede accederse a los recursos del bosque a través de relaciones de confianza transitivas cuando los recursos residen en: Dominios en modo nativo. • • Dominios en modo mixto en los que se han actualizado todos los DC. • Dominios en modo mixto en los que se ha actualizado el DC que gestiona la solicitud de autenticación de Kerberos o NTLM. 57 En todos los demás casos, los clientes sólo tendrán acceso a los recursos disponibles a través de relaciones de confianza explícitas unidireccionales al estilo de las de Windows NT existentes, que no se ven alteradas como resultado de la actualización. Veamos algunos ejemplos en los que se describe cómo funciona la autenticación NTLM y Kerberos para aclarar conceptos. La figura 1 anterior ilustra la situación. Uso de la autenticación NTLM Imaginemos que un usuario se conecta al dominio haybuv-acct.haybuv.tld, que es un dominio en modo mixto, desde ntws de Windows NT Workstation, que está en el mismo dominio. El usuario intenta establecer una conexión de red con una máquina de Windows NT Server, nts, en el dominio haybuv-other.haybuv.tld, que es un dominio de Windows 2000 en modo nativo. Puesto que ntws es un cliente de Windows NT, utilizará el protocolo NTLM. Nts determinará que el nombre de dominio especificado en las credenciales recibidas, haybuvacct.haybuv.tld, no hace referencia a su propia base de datos de cuentas, de modo que envía la petición de conexión a un DC de su propio dominio para su autenticación. El DC comprueba el nombre del dominio y, como no coincide con el nombre del dominio del DC, éste comprueba si el dominio es de confianza. Los dominios haybuv-acct.haybuv.tld y haybuv-other.haybuv.tld son hijos de la misma raíz —haybuv.tld— por lo que existe una relación de confianza transitiva entre ambos y el DC traslada la petición de conexión a un DC del dominio de confianza. Este DC autentica el nombre de usuario y la contraseña contra su base de datos de cuentas y, si las credenciales coinciden, devuelve la información de identificación de la cuenta al DC que se puso en contacto con él, que a su vez la devuelve al servidor. Después, el servidor crea para el usuario un token de imitación que contiene el SID del usuario y los SID de todos los grupos del dominio de los que el usuario es miembro. Luego crea un hilo de imitación en el contexto de seguridad del usuario, con el token de imitación, e intenta acceder al recurso en nombre del usuario. Podemos ver que un cliente de un nivel bajo de un dominio en modo mixto puede acceder a un servidor de nivel bajo de otro dominio del árbol utilizando NTLM, siempre que el DC del dominio de destino utilice Windows 2000 y, en consecuencia, comprenda las relaciones de confianza transitivas. Puesto que todos los árboles del mismo bosque están vinculados por relaciones de confianza transitivas, ocurriría lo mismo aunque los dos dominios estuvieran en árboles distintos. Por extensión se deduce que si intentáramos acceder a un recurso de la máquina de nts de Windows NT Server en el dominio en modo mixto haybuv-res1.haybuv-other.haybuv.tld, siempre que el DC al que ese servidor trasladó la petición de conexión utilizase Windows 2000, podríamos acceder al recurso mediante una relación de confianza transitiva en todo el bosque. Uso de la autenticación de Kerberos Imaginemos ahora que un usuario se conecta al dominio haybuv-acct.haybuv.tld igual que antes, pero esta vez desde la máquina w2kpro del mismo dominio, que utiliza Windows 2000. El usuario quiere establecer una conexión de red con una máquina con Windows 2000 Server, w2ksrv, en el dominio haybuv-other.haybuv.tld. Puesto que w2kpro es cliente de Windows 2000, intentará usar el protocolo Kerberos. Kerberos es un protocolo basado en tickets, en el que los usuarios reciben Ticket Granting Tickets (TGT, Tickets de Concesión de Tickets) del servicio de concesión de tickets del Key Distribution Center (KDC, Centro de Distribución de Claves) que se ejecuta en el DC con Windows 2000, en la conexión inicial con el dominio. Los TGT contienen información de autenticación sobre el usuario encriptada en la clave maestra del dominio, que puede volver a presentarse al DC como parte de las solicitudes de más tickets de sesión para conectarse a otros servidores del dominio. Una vez que se concede un TGT al usuario, las comprobaciones posteriores son rápidas y eficaces, porque el DC sólo tiene que desencriptar el TGT para comprobar las credenciales del usuario. Los tickets de sesión son similares a los TGT, pero están encriptados usando una clave compartida por el servidor y el DC. 58 El protocolo Kerberos, igual que NTLM, puede operar entre fronteras de dominios. Un cliente de un dominio puede autenticarse ante un servidor de otro dominio si ambos tienen establecida una relación de confianza. Cuando los dominios establecen una relación de confianza, intercambian claves interdominios. El servicio de autenticación de cada dominio usa su clave interdominios para encriptar los tickets dirigidos al servicio de concesión de tickets del otro dominio. Cuando un cliente quiere acceder a un servidor de un dominio remoto, pide al CD de su dominio de origen un ticket de derivación, un TGT que puede presentar al servicio de concesión de tickets del CD del dominio remoto. El DC local contesta enviando un TGT encriptado con la clave interdominios del DC remoto. El cliente presenta el TGT de derivación al servicio de concesión de tickets del DC remoto y pide un ticket para un servidor de su dominio. El DC remoto desencripta el TGT del cliente con su clave interdominios. Si la desencriptación tiene éxito, el CD remoto confirma que el TGT fue emitido por una autoridad de confianza y concede al cliente un ticket para el servidor solicitado. En la figura 1, como haybuv-acct.haybuv.tld y haybuv-other.haybuv.tld son hijos de la misma raíz y como existen relaciones de confianza transitivas entre ambos dominios, puede establecerse una ruta de confianza entre ellos. Al recibir el TGT de derivación, el DC del dominio de destino comprobará si tiene una clave compartida para el servidor en cuestión y, si la tiene, emitirá al cliente un ticket de sesión. Puesto que w2ksrv es una máquina con Windows 2000, existirá una clave compartida, por lo que puede emitirse un ticket para w2kpro. De ello podemos deducir que los factores importantes en esta situación son la existencia de un DC en el dominio de destino que gestiona el servicio de concesión de tickets Kerberos y la existencia de una clave compartida por el DC y el servidor. Los DC de Windows 2000 tienen instalado el servicio Kerberos como parte del proceso de instalación de Active Directory y añadir un servidor miembro a un dominio de Windows 2000 implica la creación de una clave compartida. De ello se deduce que w2kpro podría acceder a w2ksrv.haybuv-res1.haybuvother.haybuv.tld usando Kerberos siempre que hubiera un DC de Windows 2000 para emitir el ticket de sesión. Si w2kpro intentara acceder a un recurso de una máquina de Windows NT, como nts.haybuvres1.haybuv-other.haybuv.tld, la autenticación de Kerberos fracasaría y el cliente volvería a intentar la autenticación NTLM según se ha descrito en la sección anterior. Actualización y dominios de recursos Un dominio de recursos es un tipo de dominio especial, creado para almacenar las cuentas de recursos, como servidores y estaciones de trabajo. Los dominios de recursos se crearon en Windows NT en general para resolver dos situaciones principales: • Limitación de tamaño del SAM. En Windows NT el tamaño máximo recomendado para la base de datos de cuentas del SAM son 40 megabytes (MB). En una organización que tenga instalados muchos servidores y estaciones de trabajo y también muchos grupos de seguridad, esto podría equivaler a mucho menos de esa cifra de 40.000 cuentas que a veces se señala. Para que una organización supere esta cifra se recomienda almacenar las cuentas de usuario y de máquinas en dominios independientes, a los que se denomina respectivamente dominio de cuentas o maestro y dominio de recursos. Normalmente puede pensarse que los dominios de recursos están creados como dominios de segundo nivel, con relaciones de confianza unidireccionales con un único dominio de cuentas (esta topología se denomina modelo de dominio maestro) o con varios dominios de cuentas (modelo de dominio multimaestro). • Proporcionar capacidad administrativa local. En una organización descentralizada con instalaciones muy alejadas geográficamente, muchas veces es preferible autorizar al personal local a administrar los recursos. Para delegar esta clase de responsabilidad en Windows NT se recomienda crear los dominios de recursos con su propia estructura administrativa. Igual que en el caso anterior, el resultado serían estructuras de dominio maestro o multimaestro con relaciones de confianza unidireccionales con los dominios de cuentas de la organización. 59 La naturaleza unidireccional de estas relaciones de confianza garantiza que los administradores del dominio de recursos tengan sólo, por defecto, capacidad de administración sobre el dominio de recursos. Una consideración importante cuando se evalúen los efectos de la actualización sobre un dominio de recursos es en cuál de los dos enfoques se basó más el diseñador a la hora de determinar la estructura del dominio. Si el dominio se creó para resolver la segunda situación, deseará conocer las consecuencias de actualizar un dominio de recursos sobre su modelo de administración, porque simplemente actualizar el dominio de recursos e incorporarlo a un bosque se traducirá en la creación de una relación de confianza transitiva bidireccional entre el dominio de recursos hijo y el dominio padre. Si los administradores locales no están muy capacitados o si no tiene previsto ampliarles los derechos administrativos en el bosque de Windows 2000, probablemente quiera estudiar las opciones siguientes: • Actualizar el dominio dentro del bosque y utilizar las funciones de delegación de Windows. Compruebe los grupos administrativos del dominio de recursos y elimine los que no sean administradores en los dominios maestros. Si sólo tiene administradores de dominio de recursos locales, añada uno o varios administradores de dominios maestros, que podrán administrar el dominio mientras está siendo actualizado. Como precaución complementaria debería comprobar que los administradores del dominio de recursos no tienen acceso administrativo a los DC a través de las cuentas de máquinas locales. Una vez actualizado el PDC, cree un nuevo grupo local en el dominio para contener los administradores de recursos y añada los usuarios que suprimió de los grupos administrativos, así como los grupos administrativos modificados. Cuando esté actualizado el PDC, utilice la administración delegada de Windows 2000 para delegar la autoridad correspondiente en el grupo de administradores de recursos recién creado. • Actualizar el dominio en un bosque nuevo. Puede optar por actualizar el dominio de recursos como árbol nuevo en un bosque nuevo y mantener el enlace con el dominio de cuentas mediante la relación de confianza explícita preexistente, que, como relación de confianza explícita de Windows NT, es unidireccional y no transitiva. Esto reflejaría de forma efectiva la estructura previa a la actualización. • Reestructuración en unidades organizativas (OU). Otra posibilidad es volver a estudiar la estructura del dominio y valorar la fusión de los dominios de recursos en el dominio maestro actualizado como OU más adelante. Esta última opción, lógicamente, influiría en su decisión respecto al orden de la actualización del dominio. Actualización y administración Una vez actualizado el PDC a Windows 2000 Server e instalado Active Directory, el administrador puede empezar a usar las nuevas herramientas que incluye Windows 2000 Server para crear nuevos objetos que sólo existen en Active Directory, como las unidades organizativas (OU). Si crea una OU, puede empezar a organizar su dominio poniendo objetos en él. Esta estructura sólo es visible para ordenadores con software cliente de Active Directory. Sin él, las OU no aparecen y el dominio aparece inalterado. El PDC sigue presentando los objetos como un almacén plano a los clientes de nivel bajo. Un administrador que trabaje en un cliente sin Active Directory sólo puede usar las herramientas de administración antiguas. 60 Modo mixto y modo nativo Figura 2. Fases de la actualización. Terminos Usados: ************************************************* PDC no actualizado. PDC actualizado pero no todos los BDC actualizados. PDC y todos los BDC actualizados: aún no se ha pasado a modo nativo. PDC y todos los BDC actualizados: se ha pasado a modo nativo. Dominio de Windows NT 4.0. Dominio en modo mixto. Dominio en modo mixto. Dominio en modo nativo. ************************************************** Modo mixto Desde el momento en que se actualiza el PDC hasta que el administrador decide llevar el dominio al modo nativo de Windows 2000, el dominio se encuentra en modo mixto. El modo mixto ofrece máxima compatibilidad con versiones anteriores del sistema operativo. Debe subrayarse que el modo mixto sólo tiene que ver con la infraestructura de autenticación de un dominio, es decir, los controladores del dominio. Aunque un dominio sólo tenga DC de Windows 2000 y haya pasado a modo nativo, podrán existir en él clientes y servidores con versiones anteriores de Windows NT y clientes con Windows 9x. Este entorno es el que se conoce como entorno mixto. Puede dejar el dominio funcionando en modo mixto indefinidamente, aunque haya actualizado todos los BDC del dominio y también el PDC. La tabla 1 siguiente resume las funciones de Windows 2000 disponibles en modo mixto y las que sólo pueden usarse cambiando a modo nativo. Si no está seguro de pasar al modo nativo, revise lo que pretende con la migración para determinar si sus objetivos se verían amenazados en caso de permanecer en el modo mixto y si hay compensaciones aceptables. Hablando en términos generales, las únicas razones para quedarse en el modo mixto son: • No es posible actualizar los BDC. En este caso hay unos BDC que, por alguna razón, no pueden actualizarse ni degradarse a servidores miembros. Esto podría ocurrir si tiene aplicaciones que deben ejecutarse en un BDC pero que, por algún motivo, no se ejecutarán en Windows 2000. • Seguridad física inadecuada de los BDC. Al estudiar la planificación de un dominio, la seguridad es una consideración importante. Un aspecto fundamental de la seguridad es la seguridad física de la propia máquina: cualquier máquina a la que sea fácil acceder físicamente es vulnerable a los ataques. En este caso debería estudiarse la diferencia entre la actualización de un maestro único del SAM por el PDC sólo y la actualización multimaestro de Active Directory de la base de datos de cuentas por todos los DC. Dada la naturaleza de maestro único de las actualizaciones de directorios en Windows NT, tal vez se sienta cómodo con una seguridad relativamente relajada en sus BDC. Si es éste el caso, tendrá que reconsiderar cuándo actualizarlos a DC de Windows 2000. Si no puede 61 actualizar adecuadamente la seguridad del BDC, podría pensar en degradar el BDC a servidor miembro durante la actualización, añadiendo un DC de Windows 2000 nuevo en otra ubicación, o posiblemente reconsiderar incluso la estructura propuesta para el dominio. • Sigue siendo necesario el fallback (retorno) a Windows NT. Una de las características del modo mixto, como ya se habrá visto, es el grado de compatibilidad hacia atrás. El modo mixto tiene la ventaja de que permite añadir BDC de Windows NT nuevos al dominio si surge algún problema. En esta situación, una vez que el BCD se haya unido al dominio, podría forzar una sincronización de la base de datos de cuentas. Después, mientras no haya DC de Windows 2000 en el dominio, podría ascender el BDC a PDC. Debería tener previsto un fallback (retorno a la versión anterior) o una recuperación, pero en un momento dado decidirá trasladarse por completo al nuevo entorno. Modo nativo Cuando se hayan actualizado todos los DC, puede cambiar el dominio del modo mixto al modo nativo. En este paso ocurren varias cosas: • El dominio sólo utiliza replicación multimaestro de Active Directory entre los DC, por lo que se interrumpe el soporte para la replicación de Netlogon. • Puesto que está anulada la replicación de Netlogon, ya no podrá añadir más BDC de Windows NT al dominio. • Puesto que está activada la replicación multimaestro, el PDC anterior ya no es el maestro del dominio y todos los DC pueden realizar ahora actualizaciones de directorios. Un aspecto que en ocasiones crea confusión es la existencia continuada del papel emulador del PDC. Pese a la naturaleza multimaestro de Active Directory, Windows 2000 tiene una serie de papeles denominados Flexible Single-Master Operations (FSMO, Operaciones de Maestro Único Flexibles) y PDC Emulator es un papel de FSMO. Normalmente el PDC anterior seguirá como soporte para FSMO de PDC Emulator, que en un entorno en modo nativo significa que los cambios de contraseña son replicados a él de forma preferente por otros DC. • Se activan los tipos de grupos de Windows 2000, como los grupos universales y locales del dominio y el anidamiento de grupos. Este cambio a modo nativo no se realiza automáticamente ejecutando DCPROMO. El cambio debe ser iniciado por el administrador a través de la interfaz administrativa. Aunque puede conseguir grandes beneficios al actualizar el PDC y los BDC y quedarse en modo mixto, en éste no están disponibles ciertas funciones muy interesantes, como los grupos universales o el anidamiento de grupos. El cambio a modo nativo debe hacerse lo más pronto posible. Cambiar a modo nativo Cambiar el modo del dominio de mixto a nativo es algo fácil de hacer pero imposible de deshacer, de forma que deberá tener en cuenta todos los factores expuestos para determinar cuándo se hará el cambio. No cambie el modo del dominio si tiene o va a tener DC de Windows NT. Para cambiar el modo del dominio: 1. Abra el cuadro Active Directory Domains and Trusts y haga clic con el botón derecho en el dominio que desee administrar, en el panel izquierdo de la vista de árboles. 2. Aparecerá un menú contextual. Elija Propiedades para ver un cuadro de diálogo con pestañas como el que se muestra en la figura 3. En la pestaña General, haga clic en Cambiar modo. 62 Figura 3. Cuadro de diálogo para cambio del modo del dominio. Tabla 1. Disponibilidad de las funciones de Windows 2000 en modo mixto. Objetivo Más posibilidades de administración. Función Relaciones de confianza transitiva de Kerberos. Active Directory. Unidades organizativas (OU) de Active Directory. ¿Disponible en modo mixto? Sí, pero consulte la sección “Efecto de la actualización sobre las relaciones de confianza” (más arriba). Sí. Sí, pero sólo es visible con herramientas de administración de Windows 2000. No puede administrarse desde BDC de Windows NT ni servidores miembros. No, sólo hay grupos globales y locales. Nuevos grupos de seguridad de Active Directory. Instalador de Sí. Windows. 63 Tabla 1, continuación. Mayor escalabilidad Seguridad mejorada Disponibilidad mejorada Escalabilidad de Sí, pero sólo cuando se hayan Active Directory. actualizado todos los BDC y estén ejecutando Active Directory. Debe ser prudente a la hora de usar esta función, ya que pueden seguir añadiéndose BDC de Windows NT mientras el dominio está en modo mixto. Es una función que podría ser una parte importante de la planificación de fallback, por lo que no debe ponerse en peligro. Autenticación de Sí, para máquinas con Kerberos. Windows 2000. Sí. Microsoft Management Console (MMC, consola de gestión de Microsoft). Política de grupos. Sí, para DC y otras máquinas con Windows 2000 del dominio. Sí. Security Configuration Manager (SCM, administrador de configuración de seguridad). Replicación Sí, entre PDC y BDC que multimaestro de hayan sido actualizados. Active Directory. Grupos de Windows 2000 En la sección anterior hemos mencionado la nueva y mejorada funcionalidad de grupos de seguridad en Windows 2000. Windows 2000 soporta cuatro tipos de grupos de seguridad: • Locales. • Locales del dominio. • Globales. • Universales. Grupos locales Los grupos locales siempre han existido en Windows NT. Por lo que se refiere a sus miembros, pueden tener miembros de cualquier punto del bosque, de otros bosques de confianza e incluso de dominios de nivel bajo de confianza. En cuanto a los permisos para recursos, en cambio, sólo tienen el ámbito de la máquina, en el sentido de que sólo pueden usarse para conceder permisos para la máquina en la que existen. Un caso especial de los grupos locales de las versiones anteriores de Windows NT tiene que ver con los grupos locales creados en un PDC, que, por la replicación del SAM del dominio entre los BDC, hacía que estos grupos estuvieran compartidos entre el PDC y los BDC. En el modo mixto, 64 los grupos locales actúan del mismo modo en Windows NT y en Windows 2000; en el modo nativo, los grupos locales de un DC se convierten en grupos locales del dominio (que se describen en la sección siguiente). Normalmente, los grupos locales se usan para conceder acceso ad hoc a recursos de una máquina local. Grupos locales del dominio Los grupos locales del dominio son una nueva función de Windows 2000, aunque son similares en concepto y en uso a los grupos locales creados en el PDC de un dominio de Windows NT 4.0 (descritos más arriba). Los grupos locales del dominio sólo están disponibles en dominios en modo nativo. En cuanto a sus miembros, pueden tener miembros de cualquier punto del bosque, de otros bosques de confianza e incluso de dominios de nivel bajo de confianza. Los grupos locales del dominio sólo tienen el ámbito de la máquina en cuanto a permisos para recursos, por lo que sólo pueden usarse para conceder permisos dentro del dominio en el que existen. Se diferencian de los grupos locales en que pueden usarse en cualquier máquina con Windows NT dentro del dominio en el que fueron creados. Normalmente, los grupos locales del dominio se usan para englobar los principales de seguridad de todo el bosque a fin de controlar el acceso a los recursos del dominio. Grupos globales Los grupos globales de Windows 2000 son en realidad lo mismo que los grupos globales de Windows NT. En cuanto a sus miembros, tienen ámbito de dominio, pero pueden concedérseles permisos en cualquier dominio, incluso en otros bosques y dominios de nivel bajo, siempre que exista una relación de confianza. Grupos universales Los grupos universales tienen ámbito de bosque, es decir, pueden contener miembros de cualquier dominio de Windows 2000 del bosque y pueden concedérseles permisos en cualquier dominio, incluso en otros bosques, siempre que exista una relación de confianza. Aunque los grupos universales pueden tener miembros de dominios en modo mixto del mismo bosque, en el caso de los miembros de estos dominios no se añadirá el grupo universal a su token de acceso porque los grupos universales no están disponibles en modo mixto. Aunque puede añadir usuarios a un grupo universal, le recomendamos que limite los miembros a grupos globales. Los grupos universales sólo están disponibles en dominios en modo nativo. Uso de los grupos universales Los grupos universales tienen varios usos importantes. Puede usarlos para crear grupos que realicen una función común dentro de una empresa: un ejemplo podrían ser los equipos virtuales. La calidad de miembros de estos equipos en una gran empresa probablemente sería de ámbito nacional o incluso mundial y los recursos de los equipos estarían distribuidos de forma similar. Los grupos universales podrían usarse en estas circunstancias como contenedor de los grupos globales de cada filial o departamento, mientras que los recursos de los equipos estarían protegidos por una Access Control Entry (ACE, Entrada de Control de Acceso) única para el grupo universal. En el uso de grupos universales hay un factor importante que debe tenerse en cuenta: mientras que los grupos globales y los grupos locales del dominio aparecen en el Global Catalog (GC, Catálogo Global), sus miembros no aparecen, en tanto que los grupos universales y sus miembros sí aparecen, hecho que tiene consecuencias en el tráfico de replicación del GC. Como orientación, si toda su red tiene conectividad de alta velocidad, puede sencillamente usar los grupos universales para todos sus grupos y aprovecharse de no tener que molestarse en la gestión de los grupos globales y de los grupos locales del dominio. Sin embargo, si su red se extiende 65 mediante redes de área extendida (WAN), puede mejorar el rendimiento de varias maneras usando los grupos locales y los grupos locales del dominio. Si usa grupos globales y grupos locales del dominio, también puede designar los grupos de uso corriente que rara vez cambian como grupos universales. Grupos universales y tokens de acceso Al hablar de los miembros de grupos universales hemos mencionado el hecho de que pueden contener miembros de dominios en modo mixto, pero que estos miembros no tendrán SID de grupo universal en su token de acceso. Esto es consecuencia de cómo se crean los tokens de acceso en Windows 2000. Cuando un usuario inicia una sesión en un dominio en modo nativo con Windows 2000 y ha sido autenticado, la Local Security Authority (LSA, Autoridad de Seguridad Local) del DC en el que se autenticó el usuario recupera los miembros del grupo global del usuario. La LSA pasa entonces esta información a la estación de trabajo, donde se usa para crear el token de acceso del usuario. Al mismo tiempo, la LSA consulta al GC sobre los miembros del grupo universal del usuario, información que también pasa a la estación de trabajo. Si un usuario es miembro de un grupo universal, el SID de ese grupo se incluye en el token de acceso de la estación de trabajo y se añade a los datos de autorización del TGT emitido por el KDC. Los grupos universales no se añaden a los tokens de acceso en ningún otro momento, por ejemplo, cuando se crean tokens de imitación en los servidores miembros. En consecuencia, si el SID del grupo universal no está disponible cuando el usuario inicia la sesión —por ejemplo, cuando el usuario inicia una sesión en un dominio en modo mixto— no se añadirá posteriormente. Anidamiento de grupos Le recomendamos que no cree grupos de más de 5.000 miembros. Esta recomendación se basa en que las actualizaciones del almacén Active Directory deben poder hacerse en una sola transacción. Puesto que los miembros del grupo se almacenan en un único atributo multivalor, un cambio en los miembros obligaría a actualizar en una única transacción todo el atributo, es decir, toda la lista de miembros. Microsoft ha probado y soporta grupos de hasta 5.000 miembros. Puede obviar esta limitación anidando grupos para aumentar el número efectivo de miembros. Otra consecuencia es que también reducirá el tráfico de replicación provocado por la replicación de cambios en los miembros de los grupos. Las opciones de anidamiento dependen de que el dominio esté en modo nativo o en modo mixto. La lista siguiente describe lo que puede haber en un grupo que existe en un dominio en modo nativo. Estas reglas están determinadas por el ámbito del grupo: • Los grupos universales pueden contener cuentas de usuario, cuentas de ordenadores, otros grupos universales y grupos globales de cualquier dominio. • Los grupos globales pueden contener cuentas de usuario del mismo dominio y otros grupos globales del mismo dominio. • Los grupos locales del dominio pueden contener cuentas de usuario, grupos universales y grupos globales de cualquier dominio. También pueden contener otros grupos locales del dominio pertenecientes al mismo dominio. Los grupos de seguridad de un dominio en modo mixto sólo pueden contener lo siguiente: • Los grupos locales pueden contener grupos globales y cuentas de usuario de dominios de confianza. • Los grupos globales sólo pueden contener cuentas de usuario. Efectos de la actualización sobre los grupos Actualizar un PDC a Windows 2000 no tiene ningún efecto inmediato sobre los grupos. Los grupos locales de Windows NT pasan a ser grupos locales de Windows 2000 y los grupos 66 globales de Windows NT pasan a ser grupos globales de Windows 2000. El verdadero cambio se produce cuando el dominio pasa a modo nativo, momento en el que los grupos locales del PDC pasan a ser grupos locales del dominio. Como ya se ha dicho, cuando se ha autenticado un usuario se crea un token de acceso para ese usuario que contiene el SID primario y los SID de todos los grupos a los que pertenece. Hemos señalado que los grupos locales del PDC son un caso especial en Windows NT, que se refleja en cómo es el token de acceso de un usuario miembro de uno de estos grupos cuando se crea en la estación de trabajo del usuario después de un inicio de sesión interactivo o en un DC con fines de imitación del usuario y para conceder acceso a los recursos. Puesto que los grupos locales del PDC no tienen alcance fuera del PDC y de los BDC del dominio, el token de acceso del usuario en la estación de trabajo no contiene el SID de ese grupo. Cuando el usuario intenta acceder a los recursos de un DC, sin embargo, el token de imitación creado para el usuario en el DC sí contiene los SID de los grupos locales del PDC de los que sea miembro el usuario. Cuando el dominio pasa a modo nativo y puesto que los grupos locales del dominio tienen ámbito en el dominio, los SID de los grupos locales del dominio de los que sea miembro el usuario se añaden al token de acceso del usuario, aunque el usuario esté iniciando la sesión de forma interactiva en una estación de trabajo. Tabla 2. Grupos y modo de los dominios. Tipo de grupo Miembros Ámbito ¿Disponible en modo mixto? Local. Miembros: • del mismo bosque. • de otros bosques de confianza. • de dominios de confianza de nivel bajo. Miembros del dominio local. Máquina. Sí. Cualquier dominio de confianza. El dominio local. Sí. Global. Local dominio. Universal. del Miembros: • del mismo bosque. • de otros bosques de confianza. • de dominios de nivel bajo de confianza. Miembros del mismo bosque. No. Cualquier No. dominio de confianza en modo nativo. NetBIOS y Windows Internet Name Service (WINS) en Windows 2000 NetBIOS es una interfaz de programación en red de alto nivel que se utiliza en los componentes de red de Microsoft desde finales de los años 80. Los recursos de red se identifican en el espacio 67 de nombres de NetBIOS mediante nombres de NetBIOS únicos. WINS es un servicio que se ofrece como parte de Windows NT Server para el registro de asignación dinámica de nombres de NetBIOS en direcciones de IO y para proporcionar resolución de nombres de NetBIOS. Con la aparición de Windows 2000, el soporte para la interfaz de asignación de nombres de NetBIOS ya no es necesaria para ordenadores en red y esto, unido al estrecho acoplamiento de Active Directory y Domain Naming System (DNS), hará que el uso de NetBIOS disminuya con el tiempo. Hasta entonces, la actualización del dominio a Windows 2000 no evita la necesidad de soporte de NetBIOS en su red ni afecta al grado de soporte que tiene actualmente. Después de la actualización puede pensar en abandonar el uso de NetBIOS y WINS si se cumplen las siguientes condiciones: • No hay clientes como Windows for Workgroups, Windows 9x o Windows NT 4.0 ni servidores con Windows NT 4.0 que usen NetBIOS. Es posible que su red necesite aún nombres de NetBIOS para proporcionar servicios básicos de archivos e impresión y soporte para muchas aplicaciones heredadas usadas en ordenadores cliente que usen versiones anteriores de los sistemas operativos Windows. Debe valorar el impacto de las aplicaciones y servicios heredados en su plan de prueba: • Tiene una red pura de Windows 2000 y está seguro de que todos los ordenadores y aplicaciones de su red pueden funcionar usando otro servicio de nombres, como DNS. Los nombres de red son un servicio vital para localizar ordenadores y recursos de la red, incluso donde no se precisen nombres de NetBIOS. El cliente WINS de Windows 2000 pone en caché los nombres resueltos localmente y utiliza un componente llamado Caching Resolver para mirar en esta caché antes de enviar una consulta a DNS. El archivo host se pone en caché tan pronto como se pone en marcha el cliente y cualquier actualización del archivo host se refleja en la caché inmediatamente. La secuencia de resolución de nombres es la siguiente: 1. Intentar la resolución de nombres desde la caché cliente. 2. Si falla la resolución desde el cliente, éste la intenta a través de DNS. 3. Si falla la resolución de nombres de DNS, el cliente la intenta a través de WINS. En consecuencia, suponiendo que haya implementado un control del cambio suficiente en los clientes al actualizarlos y una vez que se hayan eliminado todas las condiciones heredadas, el abandono de NetBIOS y WINS debería hacerse sin dificultades. Disponibilidad de LAN Manager Replication Service (LMRepl) Windows NT Server proporcionaba una función de replicación denominada LAN Manager Replication (LMRepl). LMRepl suele usarse para replicar las secuencias de comandos de inicio de sesión desde un DC de exportación a varios DC de importación del dominio. El File Replication Service (FRS, Servicio de Replicación de Archivos) sustituye a este servicio en Windows 2000 Server. Windows 2000 Server no soporta LMRepl en modo mixto ni nativo, por lo que si ha usado LMRepl tendrá que incluir en su plan de actualización una estrategia para usar FRS y proporcionar la misma funcionalidad. El proceso LMRepl LMRepl utiliza el concepto de directorios de importación y directorios de exportación. Un administrador puede configurar LMRepl seleccionando un servidor en el que alojar un directorio de exportación y varios servidores para alojar los directorios de importación. Los servidores que alojan los directorios no tienen por qué ser DC: pueden ser servidores miembros normales. 68 Figura 4. El proceso LMRepl ******************************************** Exportación: Exportación: Importación: Directorio1 Directorio1 Directorio2 Directorio2 Directorio3 Importación: Directorio3 BDC serv. 1 BDC serv. 2 Exportación: Exportación: Directorio3 Importación: Importación: Directorio1 Directorio1 Directorio2 Directorio2 Directorio3 PDC serv. 3 Miembro serv. 4 ******************************************** El proceso FRS El FRS (File Replication Service) de Windows 2000 Server se configura automáticamente de forma que todos los controladores del dominio tienen un System Volume (SYSVOL) replicado. Cualquier cambio que haga en un guión de inicio de sesión almacenado en el SYSVOL de cualquier controlador del dominio se replica de forma multimaestro en otros controladores del dominio. A diferencia de LMRepl y del alojamiento de directorios de importación y exportación, en FRS sólo los controladores del dominio pueden alojar el SYSVOL. 69 Figura 5. El proceso FRS. ******************************************** SYSVOL SYSVOL Serv. 5 Serv. 7 Controlador del dominio Controlador del dominio Configuración de Active Directory, conocimiento y topología SYSVOL SYSVOL Serv. 6 Serv.8 Controlador del dominio Controlador del dominio ******************************************** Mantener los servicios de LMRepl en un entorno mixto Como ya hemos visto, durante una actualización puede tener un entorno mixto de BDC y servidores de Windows NT 4.0 funcionando con controladores de dominio de Windows 2000. Puesto que Windows 2000 Server no soporta LMRepl, mantener los servicios de LMRepl en un entorno mixto puede suponer un problema. Para lograr este soporte tendrá que crear un puente entre LMRepl y FRS para que funcionen ambos servicios. Esto puede hacerse seleccionando un DC de Windows 2000 DC cuyo SYSVOL se usaría para popular el directorio de exportación del BDC de Windows NT que aloja LMRepl. Microsoft facilita un guión sencillo que puede programarse periódicamente para que realice la copia de archivos necesaria. LMRepl y actualización Para mantener la disponibilidad de LMRepl durante la actualización debe comprobar que el servidor que aloja el directorio de exportación se actualiza sólo después de haber actualizado los demás servidores que alojan los directorios de importación. Si el servidor que aloja el directorio de exportación es el PDC, debe seleccionar otro servidor de exportación y reconfigurar LMRepl. Usar Remote Access Services (RAS; Servicios de Acceso Remoto) en un entorno mixto Si utiliza RAS para proporcionar a los usuarios acceso remoto a la red corporativa, tal vez le interese estudiar la actualización de su servidor RAS en las primeras fases del proceso de actualización de los servidores miembros. La razón es que Windows NT comprueba las propiedades de RAS, como la disponibilidad del acceso a RAS o dial-back para un usuario. 70 RAS es un ejemplo de un servicio de Windows NT. Un servicio es un tipo de proceso en segundo plano, diseñado para funcionar continuamente sin interfaz de usuario, normalmente realizando alguna clase de función de servidor como servidor de Web o servidor de FTP. Puesto que el servicio debe funcionar incluso cuando no hay usuarios conectados al sistema, funciona en el contexto de seguridad de una cuenta de servicios especial, normalmente la cuenta de sistema, que también se conoce como LocalSystem. La cuenta de sistema es una cuenta especial que sólo conoce la máquina local y tiene todos los privilegios disponibles en el sistema operativo. Cuando un servicio se conecta como LocalSystem, se conecta con credenciales NULL. En otras palabras, no facilita nombre de usuario ni contraseña. Esto quiere decir que esta cuenta no puede usarse para acceder a los recursos de red que se basan en la autenticación NTLM a menos que la máquina remota permita el acceso con credenciales NULL (a esto suele llamarse sesión NULL). En Windows NT, RAS usa la cuenta LocalSystem. Por defecto, Active Directory no aceptará consultas de atributos de objetos a través de sesiones NULL, por lo que en un entorno mixto de un servidor RAS de Windows NT no podrá recuperar las propiedades RAS de un usuario a menos que se cumplan las siguientes condiciones: • El dominio está en modo mixto y el servidor RAS de Windows NT es también un BDC. En este caso RAS tendrá acceso local al SAM. • El dominio está en modo mixto y el servidor RAS de Windows NT se pone en contacto con un BDC de Windows NT, lo que daría lugar a un comportamiento idéntico al comportamiento actual en Windows NT. Esto podría dar lugar a ciertas incoherencias de comportamiento. • El dominio está en modo mixto o en modo nativo y la seguridad de Active Directory se ha reducido para conceder los permisos Everyone de personalidad incorporados para leer cualquier propiedad de cualquier objeto de usuario. El asistente de instalación de Active Directory (DCPROMO) permite al usuario seleccionar esta configuración mediante una opción de reducir los permisos para determinados objetos de Active Directory. Sólo debe recurrir a esta última solución después de estudiar cuidadosamente sus repercusiones sobre la seguridad de Active Directory. Si cree que entra en conflicto con sus requisitos de seguridad, deberá adoptar el enfoque recomendado, que es actualizar el servidor RAS de Windows NT a Windows 2000 y hacerlo miembro de un dominio mixto o nativo de Windows 2000. Esto tendría también la ventaja de evitar el comportamiento incoherente mientras el dominio está en modo mixto, según se describe en la segunda condición. En su plan de actualización debe tener en cuenta estos factores, porque una de las consecuencias es que deberá estudiar primero la actualización del servidor RAS dentro del proceso de actualización de servidores. Rutas de actualización soportadas Una consideración importante en la planificación de la actualización a Windows 2000 serán los sistemas operativos que ya tiene instalados en su empresa y si es posible actualizarlos directamente a Windows 2000. La tabla 3 siguiente contiene una lista de rutas de actualización soportadas para Windows 2000. En los casos en que se precise una actualización pero no sea posible la actualización directa, tendrá que hacerla a través de otro sistema operativo, como Windows 9x, Windows NT 3.51/4.0 para estaciones de trabajo o Windows NT 3.51/4.0 para servidores. Esto debe quedar reflejado en su plan de actualización. Tabla 3. Rutas de actualización soportadas. Plataforma. Actualización a Windows 2000 Professional. Actualización a Windows 2000 Server. 71 Windows 3.x Windows NT 3.1 Windows NT 3.1 Advanced Server Windows NT 3.51 Workstation Windows NT 3.51 Server Windows 9x Windows NT 4.0 Workstation Windows NT 4.0 Server No No No No No No Sí No No Sí Sí Sí No No No Sí Orden de la actualización de dominios Hasta ahora nos hemos ocupado del orden de la actualización de los DC de un dominio. En este aspecto no hay mucho que decir: primero hay que actualizar el PDC y luego los BDC. Es más problemática la cuestión de qué dominio actualizar primero y la respuesta puede variar en cada circunstancia. Por ejemplo, si está planificando que desaparezcan determinados dominios, no tendrá mucho sentido actualizarlos primero. Aunque su situación pueda ser otra, en general recomendamos tener presente el orden siguiente para la actualización de dominios: 1. Dominios de cuentas. 2. Dominios de recursos. 72 Actualizar dominios de cuentas Por norma general le resultará más beneficioso actualizar los dominios de cuentas antes, porque en la mayoría de los casos habrá que administrar más usuarios que ordenadores. Actualizando sus dominios de cuentas a Windows 2000 se beneficiará de: • Escalabilidad mejorada de Active Directory. Muchas organizaciones están sobrepasando los límites máximos de tamaño del SAM recomendados en su cifra actual de usuarios y de grupos. • Administración delegada. Posibilidad de delegar la capacidad administrativa con granularidad muy fina, sin que sea necesario otorgar poder absoluto. Orden de los dominios de cuentas Si tiene más de un dominio de cuentas, las directrices siguientes le ayudarán a elegir en qué orden actualizarlos: • Mantener el control. Aunque haya probado su estrategia de actualización en un laboratorio o en un programa piloto, la primera migración real será la más peligrosa. Para reducir los riesgos debería actualizar los dominios donde sea más sencillo el acceso a los DC. • Reducir los riesgos y las interrupciones. Si hay varios dominios entre los que elegir en determinada situación, actualice primero el más pequeño para reducir al mínimo las interrupciones para el mayor número posible de usuarios, sobre todo mientras va conociendo el proceso. • Hacer bien el trabajo. Cuando ya tenga experiencia y confianza en el proceso, pase a dominios de cuentas más grandes. • Destinos de la reestructuración de los dominios de cuentas. Si está planificando reestructurar sus dominios, deberá actualizar los destinos probables de la reestructuración en las primeras fases del proceso. No podrá consolidar dominios en un destino que no existe. Orden de los dominios de recursos Si tiene más de un dominio de recursos, las directrices siguientes le ayudarán a elegir en qué orden actualizarlos: • Proporcionar las funciones que necesitan las aplicaciones. Primero debe actualizar los dominios en los que tenga instaladas aplicaciones que precisen infraestructura o funciones de Windows 2000, como Active Directory, que precisa Microsoft Exchange Platinum (la próxima gran versión de Microsoft Exchange). • Dominios con muchas estaciones de trabajo. Después deberá actualizar los dominios con muchas estaciones de trabajo, para poder aprovechar la infraestructura de Windows 2000, como Microsoft IntelliMirror. • Destinos de la reestructuración de los dominios de recursos. Igual que con los dominios de cuentas, si está planificando reestructurar sus dominios, deberá actualizar los destinos probables de la reestructuración bastante al principio. Actualizar estaciones de trabajo y servidores Aunque este documento se centra principalmente en la actualización y la consolidación de dominios, no debe entenderse que las instalaciones de estaciones de trabajo y servidores miembros de Windows 2000 deba posponerse hasta haber actualizado la infraestructura de dominios. Usar estaciones de trabajo y servidores de Windows 2000 en un entorno existente de Windows NT seguirá ofreciendo varios beneficios. Reestructuración de dominios La actualización de dominios es un proceso diseñado para mantener en lo posible el entorno actual, incluida la estructura de dominios. La reestructuración de dominios, por otra parte, es un proceso diseñado para que pueda rediseñar el bosque según las necesidades de su organización. Aunque la reestructuración puede producir varios resultados distintos, normalmente el resultado 73 es una cierta racionalización de la estructura actual y tal vez el cambio a menos dominios grandes. Antes había distintas herramientas de terceros para la gestión de directorios que han proporcionado soporte para la reestructuración de dominios en Windows NT. Por primera vez Windows 2000 proporciona funcionalidad nativa para habilitar escenarios de reestructuración de dominios, como son: • Los principales de seguridad pueden trasladarse de un dominio a otro manteniendo al mismo tiempo el acceso a los recursos previo a este traslado. • Los DC pueden trasladarse de un dominio a otro sin la reinstalación completa del sistema operativo. Microsoft tiene una herramientas gráfica que facilita la reestructuración de dominios, junto con algunos componentes COM aptos para secuencias de comandos y líneas de comandos para simplificar las operaciones de reestructuración. Resultarán útiles a muchos clientes que vayan a implementar los escenarios que se describen a continuación. ¿Cuándo debe reestructurar? La reestructuración resulta apropiada en tres tipos de circunstancias: • Después de actualizar. El momento más habitual para que las organizaciones reestructuren sus dominios será en la segunda fase de migración a Windows 2000, después de una actualización. La actualización habrá abarcado casos de migración “más fáciles”, como los grupos de dominios en los que la estructura de confianza es esencialmente correcta y en los que no hay consecuencias administrativas. En estas circunstancias, la reestructuración probablemente se dirigirá a remodelar otras partes de la estructura de dominios para reducir su complejidad o bien a trasladar dominios de recursos con administradores sin relación de confianza al bosque de una manera segura. • En vez de actualizar. Es posible que algunas organizaciones crean que su estructura de dominios actual es, por alguna razón, irrecuperable o que no pueden permitirse poner en peligro la estabilidad del entorno de producción actual durante la migración. En estos casos, la ruta de migración más sencilla podría ser diseñar y construir un entorno ideal o prístino de Windows 2000 independiente del entorno de producción actual. En esta situación, el nuevo bosque de Windows 2000 está pensado para convertirse, con el tiempo, en entorno de producción. Una vez construido el nuevo bosque, la reestructuración comenzará con un programa piloto en el que se migran al nuevo entorno varios usuarios, grupos y recursos para actuar como avanzadilla y garantizar que la actividad puede desarrollarse como siempre en la nueva estructura. Cuando esta fase se culmina con éxito, el programa pasa a una migración en fases al nuevo entorno. En un momento dado Windows 2000 se convertirá en el entorno de producción. La estructura de dominios anterior dejará de usarse y volverán a instalarse los recursos restantes. • Después de la migración. En este caso la reestructuración se produce como parte de un rediseño general de los dominios en un entorno de Windows 2000 exclusivamente. Esto podría producirse al cabo de varios años, cuando, por algún motivo, como un cambio organizativo o una adquisición corporativa, la estructura existente resulta inadecuada. El contenido principal de este capítulo es la migración inicial de Windows NT 4.0 a Windows 2000, esto es, los dos primeros casos. 74 Figura 6. Cuándo puede producirse la reestructuración. Upgrade Upgrade Restructure Restructure ¿Por qué reestructurar? Puede haber varias razones por las que se desee realizar una reestructuración de los dominios, aunque Migration Post-migration probablemente el motivo Pre-migration Windows 2000 principal sea aprovechar Environment Native Mode las funciones de Windows 2000 que le permiten estructurar mejor sus dominios y así reflejar los requisitos de su organización, como son las siguientes: • Mayor escalabilidad. Es posible que hubiese diseñado su estructura anterior de dominios de Windows NT con las limitaciones de tamaño de la base de datos de cuentas del SAM, lo cual le llevaría a implementar un modelo de dominio maestro o multimaestro. Con el enorme aumento de escalabilidad de Active Directory, que escala literalmente a millones de cuentas o grupos de usuarios, podría reestructurar sus dominios actuales de Windows NT en menos dominios de Windows 2000 más grandes. Restructure • Granularidad más fina de la administración. Es posible que en su modelo actual haya implementado dominios de recursos para permitir la delegación de la responsabilidad administrativa. Las OU de Windows 2000 pueden contener cualquier tipo de principal de seguridad y la administración puede delegarse como corresponda. En muchos casos, la conversión de los dominios de recursos en OU será un método más adecuado para delegar la administración. • Administración más sencilla. Para permitir la delegación del modo que se ha descrito, o tal vez como resultado de una adquisición corporativa, es posible que su estructura de dominios deba conectarse mediante una compleja malla de relaciones de confianza. Algunos de estos dominios podrían estar mejor implementados como OU, lo que simplificaría la administración. También podría rediseñar el árbol de dominios y beneficiarse de tener menos relaciones de confianza transitivas bidireccionales. Los escenarios que describiremos no presuponen que haya terminado una actualización inicial. Consecuencias de la reestructuración de dominios Los factores fundamentales que posibilitan la reestructuración de escenarios son, como ya se ha dicho, la posibilidad de mover los principales de seguridad y los DC entre dominios. En esta sección estudiaremos las consecuencias de estas características y la repercusión que tienen sobre la planificación de la reestructuración. Efecto de mover principales de seguridad en los SID Antes hemos mencionado la naturaleza de los SID, que está relacionada con el dominio. Como consecuencia de ello, cuando mueva de un dominio a otro un principal de seguridad, como un usuario o un grupo, tendrá que emitirse un nuevo SID para el nuevo dominio. Como vimos en la sección sobre actualización, para que se produzca el acceso a los recursos en el modelo de seguridad de Windows NT, el sistema operativo consulta el token de acceso del usuario y evalúa el SID primario del usuario y los SID de todos los grupos de los que sea 75 miembro el usuario y hace una comparación con la ACL del descriptor de seguridad del recurso. Las ACL están constituidas por listas de SID que indican la concesión o la denegación del acceso al recurso para los principales de seguridad identificados por los SID. Así, el cambio del SID tiene consecuencias de gran alcance. Para ilustrar estas consecuencias, basándonos en lo que sabemos de la seguridad de Windows NT, recurriremos a un ejemplo. Bob trabaja en Hay Buv Toys y tiene una cuenta en el dominio maestro de Windows NT 4.0 HAYBUV-ACCT. Bob es miembro del grupo global Finance Analysts en este mismo dominio. Hay Buv Toys usa una aplicación financiera basada en Win32 que se ejecuta en varias máquinas con Windows NT Server en el dominio de recursos HAYBUV-RES1. Para aprovechar el hecho de que los grupos locales creados en el PDC están compartidos por todos los DC del dominio, los servidores en los que se ejecuta la aplicación funcionan como BDC en el dominio. Se ha creado en el PDC un grupo local compartido llamado Financial Resources que se usa en las ACL de los archivos que utiliza la aplicación. El grupo global HAYBUV-ACCT\Finance Analysts es miembro de HAYBUV-RES1\Financial Resources. Bob tiene acceso también a un servidor de archivos, FIN_FILES1, en el dominio de recursos. FIN_FILES1 es sencillamente una máquina con Windows NT Server que actúa como servidor miembro. FIN_FILES1 utiliza un grupo local llamado Finance Files en las ACL de archivos relacionados con el grupo de Bob. HAYBUV-ACCT\Finance Analysts es miembro de FIN_FILES1\Finance Files. Bob trabaja en algunos proyectos personales y tiene un directorio en FIN_FILES1 que está protegido para que sólo él pueda acceder a los archivos que contiene. Este directorio tiene una ACL que contiene una única entrada que permite a Bob tener control pleno del directorio. RESKIT-ACCT Figura 7. Ejemplo de acceso a los recursos. Access Token User: RESKIT-ACCT\Bob Groups: RESKIT-ACCT\ Finance Analysts …. Mover los principales de seguridad ACL Como ya se ha RESKIT-RES1 señalado, mover un BDC principal de seguridad ACL Finance BDC ACL Application FIN_FILES1 de un dominio a otro Finance Application hace que cambie el SID de ese principal de seguridad. Podemos comprobar las repercusiones de mover principales de seguridad viendo qué pasaría si la cuenta de Bob se moviera a otro dominio dentro de una migración que implique una reestructuración del dominio. Para este ejemplo imaginaremos que HAYBUV-ACCT ha sido actualizado a Windows 2000 y se ha unido al nuevo bosque de Windows 2000 de la corporación como hijo del dominio raíz HAYBUV.TLD. HAYBUV-ACCT se ha cambiado a modo nativo, pero está previsto reestructurarlo y mover sus miembros a un nuevo dominio de Windows 2000, HAYBUV-ACCT2, en otro punto del bosque. FIN_FILES1\Finance Files RESKIT-RES1\Finance Resources RESKIT-ACCT\Bob Efectos del movimiento sobre la pertenencia de Bob al grupo global HAYBUV-ACCT\Bob es miembro del grupo global HAYBUV-ACCT\Finance Analysts. Como un grupo global sólo puede contener miembros de su propio dominio, el movimiento de Bob al 76 nuevo dominio supondría que su nueva cuenta no podría formar parte de este grupo, lo cual implica que perdería el acceso a los recursos disponibles para este grupo. Suponiendo que existiera una relación de confianza suficiente entre el dominio nuevo y el dominio de recursos, vemos que podríamos resolver el problema de varias formas: • Añadiendo el nuevo SID de Bob a las ACL de recursos. Podríamos mantener el acceso a los recursos añadiendo el nuevo SID de Bob a las ACL de todos los recursos a los que antes tenía acceso como miembro del grupo. Esto llevaría mucho tiempo y sería complicado por varias razones: • Muchas operaciones de reestructuración de dominios se realizarán paulatinamente a lo largo de un tiempo y durante este período de transición no podríamos garantizar que no se crearan nuevos recursos para el grupo Finance Analysts. Debido a esto, tendríamos que seguir renovando los permisos durante los períodos de la migración mientras coexistieran los dos grupos. • Microsoft recomienda usar los grupos, en vez de los individuos, en las ACL. La razón es que la pertenencia a grupos que desarrollan trabajos específicos puede cambiar con el tiempo, y es más fácil sacar a un usuario del grupo que cambiar las ACL de muchos recursos que hacen referencia al usuario. ¿Qué ocurriría si el trabajo de Bob cambiara y ya no necesitara ser miembro del grupo Finance Analysts? • Moviendo el grupo. Igual que podemos mover principales de seguridad en Windows 2000, podríamos mover el propio grupo al nuevo dominio. Sin embargo, como las ACL que hacen referencia al grupo también hacen referencia a su SID, tendríamos que hacer algo parecido a lo que ocurría en la primera opción: tendríamos que renovar los permisos para los recursos que hacen referencia al nuevo SID. • Creando un grupo paralelo en el dominio de destino. Si moviéramos el grupo se produciría un problema si el plan de migración no contemplara mover todos los miembros del grupo en una sola transacción. Esto significaría que habría que mantener el grupo en el dominio antiguo y crear un grupo paralelo en el dominio nuevo. Se mantendría el acceso a los recursos para el grupo original y sus miembros, pero tendríamos que renovar el permiso para los recursos a fin de conceder acceso al nuevo grupo. Una vez más tendríamos que seguir renovando los permisos mientras el grupo existiera en ambos dominios. Efectos del movimiento sobre las ACL que hacen referencia directamente a Bob Bob tiene igualmente acceso a algunos recursos del servidor miembro FIN_FILES directamente. Su SID aparece en las ACL de esa máquina. Es perfectamente admisible añadir usuarios a las ACL de recursos, pero una de las consecuencias del movimiento de Bob parecería a primera vista que exige renovar los permisos sobre los recursos de ese servidor, añadiendo su SID del nuevo dominio. Microsoft siempre ha aconsejado usar grupos en vez de individuos en las ACL de recursos. En muchas organizaciones, sin embargo, puede que esto no se haya hecho, lo que se traduciría en la necesidad de buscar y actualizar todas las referencias a un usuario que se ha movido en todas las ACL de los recursos de toda la organización. SIDhistory En muchos casos, las actividades que acabamos de describir resultan innecesarias gracias a un nuevo atributo de directorios de Windows 2000 llamado SIDhistory. SIDhistory es un atributo de los principales de seguridad de Active Directory que se usa para almacenar los SID antiguos de los objetos movidos, como usuarios y grupos de seguridad. Cuando se mueve un usuario o un grupo usando las nuevas API de Win32 o las utilidades básicas proporcionadas por Microsoft y se construye encima de ellos, el atributo SIDhistory del objeto que lo representa en Active Directory se actualiza con su SID anterior como parte de la operación. Cuando el usuario inicia una sesión en el sistema, así como los grupos de los que el 77 usuario es miembro, el sistema recupera las entradas de SIDhistory del usuario y las añade al token de acceso del usuario. Como los grupos pueden moverse, el sistema recupera también los atributos de SIDhistory de todos los grupos de los que es miembro el usuario y los añade al token de acceso del usuario. Estas entradas de SIDhistory del token se presentan al sistema como pertenencia normal a grupos durante las comprobaciones de autorización, por lo que pueden conceder un acceso apropiado incluso en sistemas de nivel bajo que no usan Windows 2000 ni Active Directory. Access Token HAYBUV-ACCT2\Bob User: S-1-5-21-397955417-626881126-188441444-2812048 SIDhistory HAYBUV-ACCT\Bob Groups: S-1-5-21-1645522239-1957994488-725345543-1108 HAYBUV-ACCT2\Finance Analysts S-1-5-21-397955417-626881126-188441444-101018 SIDhistory HAYBUV-ACCT\Finance Analysts S-1-5-21-1645522239-1957994488-725345543-1109 …. SIDhistory grants access for moved user ACL on FIN_FILES1 Allow RW HAYBUV-ACCT\Bob Allow RW S-1-5-21-1645522239-1957994488-725345543-1108 Figura 8. Acceso a recursos concedido a través de SIDhistory Mover usuarios y grupos mientras se actualiza SIDhistory usando MoveTree.exe MoveTree es el nombre de una utilidad básica para migración de dominios disponible en Windows 2000 Beta 3. Permite mover objetos de directorios, incluidos los principales de seguridad, entre dominios de Windows 2000 del mismo bosque. Al propio tiempo, actualiza el SIDhistory de los usuarios o los grupos movidos. MoveTree moverá objetos como OU, grupos y cuentas de usuarios y de ordenadores. Limitaciones del uso de MoveTree El uso de MoveTree tiene algunas limitaciones. Esta utilidad precisa: ü Dominio de origen en modo mixto o nativo. El dominio desde el que va a moverse el objeto (origen) debe ser un dominio de Windows 2000 en modo mixto o nativo. ü Dominio de destino en modo nativo. El dominio al que va a moverse el objeto (destino) debe ser un dominio de Windows 2000 en modo nativo. ü Dominios de origen y de destino. Deben estar en el mismo bosque. ü Grupos globales vacíos. Aunque MoveTree moverá la OU y su contenido y, con un dominio de origen en modo nativo, grupos universales y su contenido, sólo moverá grupos globales vacíos. Por ahora, para usar MoveTree es necesario dejar vacíos los grupos globales antes de moverlos y luego volver a rellenarlos en el destino. ü Conjuntos cerrados. Los objetos deben estar en conjuntos cerrados. El significado de este término depende de que estemos refiriéndonos al movimiento de usuarios y grupos 78 globales o del movimiento de ordenadores, que podrían usar grupos locales compartidos en el caso de los DC de Windows NT o grupos locales del dominio en el caso de DC, servidores y estaciones de trabajo de Windows 2000 en un dominio en modo nativo. Conjuntos cerrados y mover usuarios y grupos globales Como vimos antes, un grupo global sólo contiene miembros de su propio dominio. Para mantener el acceso a recursos protegidos por ACL que hacen referencia a grupos globales, cuando un usuario se mueve de un dominio a otro también hay que mover todos los grupos globales de los que sea miembro el usuario. De ello se deduce que si se mueve un grupo global también hay que mover sus miembros. En este caso, un conjunto cerrado de usuarios y grupos locales es un conjunto en el que, por cada usuario que se mueve, se mueven también todos sus grupos globales y, por cada grupo que se mueve, se mueven también todos sus miembros. Si el dominio de origen es un dominio en modo nativo, los grupos globales podrán contener también otros grupos locales, en cuyo caso, por cada grupo anidado, deben moverse todos sus miembros y todos los grupos globales de los que aquéllos sean miembros. Conjuntos cerrados y mover ordenadores Los grupos locales compartidos y los grupos locales del dominio sólo tienen ámbito dentro del dominio en el que fueron creados. Si se mueve uno de estos grupos, no podrían resolverse las referencias al grupo en las ACL del dominio de origen. En este caso, un conjunto cerrado de ordenadores y grupos locales compartidos o del dominio es un conjunto en el que, por cada uno de estos grupos que se mueva, se mueven también todos los ordenadores del dominio que contengan ACL que referencien el grupo. Asimismo, por cada ordenador que se mueve, se mueven también todos los grupos locales compartidos o del dominio referenciados en ACL de sus recursos. Cómo trabajar con los conjuntos cerrados Las restricciones del movimiento de grupos globales populados y conjuntos cerrados son especialmente molestas. Despopular y repopular grandes grupos globales puede llevar mucho tiempo y, en algunos casos, el conjunto cerrado más pequeño que pueda conseguirse será el dominio de origen en su totalidad. En tales casos hay tres posibles formas de resolver el problema: • Grupos paralelos. Crear grupos globales paralelos en el dominio de destino por cada grupo que vaya a moverse, después localizar todos los recursos de la empresa que contengan ACL que hagan referencia al grupo original y renovar los permisos para incluir la referencia al grupo paralelo. Si se trata de mover grupos globales, caso en el que el grupo podría estar referenciado en recursos de cualquier dominio de confianza, o grupos locales del dominio de dominios de origen en modo nativo, donde los grupos locales del dominio pueden usarse en cualquier máquina de éste, es muy posible que la tarea resulte considerable. • Grupos universales. Cambiar el dominio de origen a modo nativo y cambiar después el tipo de grupo de los grupos que van a moverse a universal. Puesto que los grupos universales tienen ámbito en todo el bosque, cambiar los grupos a grupos universales significa que podrán moverse de forma segura manteniendo al mismo tiempo el acceso a los recursos que queden atrás. Si se usa esta solución hay que tener cuidado porque, como ya vimos antes, los miembros de un grupo universal se almacenan en el GC, lo cual repercute en el tráfico de replicación del GC. Debido a esto, tal vez prefiera usar esta solución como estrategia transitoria mientras se migran los usuarios y los grupos al nuevo dominio. Después, cuando se haya terminado la migración, los grupos vuelven a ser del mismo tipo que antes. 79 • Clonación. Clonar grupos del dominio de origen en el dominio de destino y conservar al mismo tiempo el SIDhistory. Esta técnica tiene ciertas limitaciones propias: nos ocupamos de ella en la sección “Clonar principales de seguridad”. Clonar principales de seguridad Hasta ahora hemos considerado que la reestructuración se puede realizar moviendo principales de seguridad. En ciertos sentidos, mover principales de seguridad puede entenderse como una operación destructiva, porque al mover el principal de seguridad estamos impidiendo el fallback a la cuenta antigua en caso de que se produzcan problemas durante la migración. Muchos clientes han manifestado su deseo de poder hacer una migración paulatina de los usuarios a un nuevo dominio de Windows 2000 y mantener al mismo tiempo las cuentas de usuarios antiguas en el dominio de origen para la recuperación de un desastre que pudiera producirse durante la migración piloto o en masa. Esta funcionalidad se denomina clonación, una función que Microsoft ha activado en Windows 2000 Beta 3. Microsoft proporciona algunas utilidades básicas denominadas ClonePrincipal, que permite clonar un usuario o un grupo de un dominio de origen de Windows NT 4.0 o Windows 2000 a un dominio en modo nativo de Windows 2000 sin suprimir la cuenta de origen. Al mismo tiempo, esta utilidad añade el SID de la cuenta original al SIDhistory de la nueva cuenta para mantener el acceso a los recursos. ClonePrincipal ClonePrincipal es un componente apto para secuencias de comandos que permite la clonación de principales de seguridad junto con secuencias de comandos de muestra utilizables que ilustran el uso del componente. Estas secuencias de comandos podrán ser personalizadas por aquellos administradores que tengan conocimientos de Microsoft Visual Basic (VB). Puesto que la clonación es una operación de seguridad delicada, el uso de ClonePrincipal tiene algunas limitaciones: • Los dominios de origen y de destino no pueden estar en el mismo bosque. • El SID de la cuenta de origen no debe existir ya en el bosque de destino como SID primario ni en el SIDhistory de ningún principal de seguridad. • Para ejecutar ClonePrincipal el usuario debe tener privilegios de administrador de dominio tanto en el dominio de origen como en el destino. • La auditoría debe estar activada en el dominio de destino. Se recomienda activarla también en el dominio de origen. Establecer relaciones de confianza En escenarios de clonación en los que los dominios de origen y de destino están en bosques distintos, establecer las relaciones de confianza necesarias para garantizar el acceso a los recursos será uno de los primeros pasos. Netdom.exe es una herramienta que se incluye en el kit de recursos de Windows 2000 Server para llevar a cabo tareas como enumerar las relaciones de confianza de los dominios y establecer otras nuevas. Esta herramienta es también útil para crear cuentas de máquinas y actualizar los miembros del dominio de una estación de trabajo o de una máquina servidor. Mover servidores En el ejemplo anterior, Bob tiene acceso a algunos recursos del servidor miembro FIN_FILES1, mediante las ACL que referencian un grupo local de máquinas, FIN_FILES1\Finance Files, y su cuenta de dominio directamente. Ya hemos visto las consecuencias de mover los DC, como la necesidad de garantizar que se mantienen los grupos locales compartidos y los grupos locales del dominio, pero, ¿qué consecuencias tiene mover un servidor miembro como FIN_FILES1 o una estación de trabajo?. Suponiendo que el servidor se moviera a un dominio con relación de confianza con el nuevo dominio de cuenta de Bob, hemos visto que SIDhistory garantizaría que Bob tuviera acceso a los 80 recursos con ACL que lo referencien directamente. Las ACL que hacen referencia al grupo local de máquinas también seguirían funcionando porque el grupo existe en la base de datos de cuentas de la máquina local. Así pues, no se ve afectado por el movimiento y no habría que cambiar su SID. Windows NT 3.51 y SIDhistory Cuando planifique la reestructuración de su dominio debe tener presente un problema conocido, relacionado con el uso de Windows NT 3.51 en dominios de Windows 2000. Este problema afecta a la autenticación y a la autorización, concretamente a cómo se construyen los tokens de acceso en Windows NT 3.51. Cuando se autentica un usuario, sea interactivamente en una estación de trabajo de Windows NT 3.51 o a través de la red en un servidor de Windows NT 3.51, el token de acceso se construye usando sólo SID relativos al dominio de cuentas del usuario y los grupos locales del servidor o de la estación de trabajo donde se produce la autenticación. El resultado es que los tokens de acceso de Windows NT 3.51 no pueden contener grupos universales de fuera del dominio de cuentas ni grupos locales del dominio pertenecientes al dominio de recursos. Puesto que por definición las entradas del SIDhistory del usuario o el SIDhistory de los grupos de los que sea miembro el usuario procederán de dominios que no son el dominio de cuentas, quedarán igualmente excluidas del token. La consecuencia de esto es que con Windows NT 3.51 los SID de dominios que no sean el dominio de cuentas del usuario que se conecta serán omitidos cuando se evalúen para el control del acceso. En la mayoría de los casos el resultado es que se deniega el acceso, aunque no sea éste el resultado que se desea. ClonePrincipal y resolución de SID Otro problema que debe tener presente cuando elabore su plan de reestructuración del dominio tiene que ver con la forma en que los SID se resuelven en nombres de usuarios. En ciertas circunstancias, cuando un usuario intenta ver las propiedades de seguridad de un archivo o de una carpeta en una partición de Windows NT File System (NTFS), los SID de los usuarios y de los grupos que han sido clonados puede que no estén resueltos y estarán etiquetados como Usuario desconocido. Esto podría provocar problemas de gestión, porque es posible que los administradores duden sobre editar las ACL, por temor a impedir el acceso legítimo a los recursos. Para comprender este problema es útil ver cómo intenta la resolución la API utilizada para resolver los SID. La API intenta la resolución en el orden siguiente: 1. Intenta encontrar un nombre para el SID comprobando primero una lista de SID bien conocidos. 2. Si el SID no corresponde a un SID bien conocido, la función comprueba las cuentas locales incorporadas y definidas administrativamente. 3. Después, la función comprueba el dominio primario. 4. Los SID no reconocidos por el dominio primario se comprueban con los dominios de confianza que correspondan a sus prefijos de SID. 5. Después, la función intentará comprobar el SID con los SID de todas las cuentas de todos los dominios del bosque de Windows 2000, incluidos los SID que sólo aparecen en el campo SIDhistory de una cuenta del bosque. Para realizar estas comprobaciones, la función debe tener capacidad para consultar el GC del bosque. Esto tiene distintas repercusiones: • Para poder resolver el nombre sin consultar el GC, la cuenta que fue clonada debe estar en un dominio de confianza y aún debe existir. • Sin embargo, para resolver el nombre según se describe en el paso 5 anterior, el ordenador desde el que la función intenta la comprobación debe usar Windows 2000 o bien estar en un 81 dominio en modo nativo de Windows 2000. Este problema no ocurrirá si los usuarios han sido movidos usando MoveTree. Estos movimientos están limitados al mismo bosque de Windows 2000, por lo que sólo se producirá cuando los usuarios hayan sido clonados entre bosques. Para evitar este problema deberá: • Migrar todas las estaciones de trabajo al bosque de destino en cuanto sea posible después de haber migrado los usuarios. • Renovar las ACL de los recursos de toda la empresa para suprimir las referencias a los SID antiguos. • Mantener la cuenta de origen en el dominio antiguo hasta que los recursos tengan ACL nuevas y se hayan suprimido todas las referencias a los SID antiguos. Perfiles y SIDhistory Cuando prepare su plan de reestructuración del dominio deberá tener presentes las consecuencias de que los usuarios migrados tengan SID nuevos sobre el uso de perfiles. Cuando un usuario se conecta a una estación de trabajo de Windows NT, el sistema cargará un perfil para ese usuario que contendrá información de configuración específica del usuario. El sistema localiza este perfil recogiendo el SID del usuario y buscando en el registro de la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList una clave designada como la representación de string del SID del usuario. Una consecuencia de esta acción es que un usuario que se conecte a la estación de trabajo después de la migración podría perder el acceso a su perfil de inicio de sesión, porque su SID primario habrá cambiado y el perfil antiguo estará almacenado dentro del SID primario. Cuando un usuario ha sido movido entre dominios de Windows 2000 en un mismo bosque usando una herramienta como MoveTree, no habrá problemas porque MoveTree conserva el GUID del usuario. Una característica nueva del código de manipulación de perfiles en el cliente Windows 2000 aprovecha esta invariabilidad del GUID, de forma que si no se encuentra el SID de un usuario en la clave ProfileList, el sistema recuperará el GUID del usuario y buscará en el registro de la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileGuid una clave designada como la representación de la cadena del GUID del usuario. Si encuentra esta clave, buscará en ella un valor llamado SidString, que proporciona una asignación de fallback del GUID del usuario con su SID. El sistema puede buscar luego en la clave ProfileList el SID contenido en SidString y, si lo encuentra, renombrar la clave según la representación de la cadena del nuevo SID del usuario. En este caso, el sistema cambiará también el valor SidString. De esta descripción puede deducirse que puede haber un problema de pérdida de perfiles en los casos siguientes: • Se ha clonado un usuario de un dominio de Windows NT 4.0. Se ha clonado un usuario de un dominio de Windows 2000. • • Se ha clonado un usuario de un dominio de Windows 2000, pero se conecta en una estación de trabajo de Windows NT 4.0. La sección siguiente describe algunas posibilidades para resolver estas situaciones. Migración de perfiles Hay dos métodos básicos para hacer que un perfil esté disponible para el usuario migrado y al mismo tiempo permitir una ruta de fallback: Perfiles compartidos. Hacer que el mismo perfil esté disponible en la cuenta original y • en la cuenta nueva del usuario. Ambas cuentas acceden y actualizan la misma copia del perfil. • Perfiles copiados. Copiar el perfil original de su ubicación actual en la clave designada como el SID original del usuario en una clave designada como el SID nuevo del usuario. Cada cuenta está asociada con su copia propia e independiente del perfil. Las actualizaciones en una no se reflejan en la otra. 82 Ambos métodos tienen sus ventajas y sus inconvenientes. Perfiles compartidos Tabla 4. Ventajas e inconvenientes de compartir perfiles. Ventajas Inconvenientes Las actualizaciones del perfil (por ejemplo, En los cambios entre la cuenta antigua y la cambios en Mis documentos, accesos directos, etc.) durante la conexión a una cuenta son accesibles en las conexiones posteriores a la otra cuenta. nueva, los resultados son impredecibles por ahora. Un ejemplo sería un perfil de cuenta nuevo en Windows 2000 que contuviera referencias de política de grupos que se usará en el fallback a una cuenta de origen en la que se ha instalado una política de grupos distinta (o no se haya instalado ninguna). Mantiene espacio en el disco porque sólo se almacena una copia del perfil. Disponibilidad de una utilidad para activar la posibilidad de compartir perfiles. Migración de perfiles copiados Tabla 5. Ventajas e inconvenientes de copiar perfiles Ventajas Inconvenientes El resultado es más predecible y, como los datos no están compartidos entre los perfiles, no hay peligro de “contaminar” el perfil de una cuenta con datos que sólo Puede haber resultados de fallback impredecibles por la política de instalación de aplicaciones en el dominio nuevo. Aunque el perfil de la cuenta antigua no quede alterado son apropiados para otra cuenta de un por la actividad en la cuenta de destino, las aplicaciones instaladas en el escritorio por la dominio y un bosque distintos. política de grupos del dominio de destino en algunos casos pueden tratar de desinstalarse ellas mismas o hacer otras cosas que no pueden predecirse. Consume más espacio en el disco porque hay almacenados dos perfiles. Herramienta de Microsoft para la migración de dominios Microsoft está trabajando en una herramienta de migración que podrá descargarse gratuitamente de la Web. Esta herramienta dará soporte gráfico para las operaciones descritas y soportará los escenarios de migración que se describen a continuación. Utilidades básicas para la migración de dominios y escenarios de la migración de dominios Ya hemos mencionado distintas utilidades básicas para la migración de dominios. Las utilidades básicas son una serie de objetos COM y secuencias de comandos de muestra diseñados para formar la base de las utilidades de administración adaptadas al cliente y para soportar diversos escenarios de migración de dominios que Microsoft ha documentado y probado. Los escenarios se han desarrollado basándose en la información facilitada por los clientes sobre sus necesidades de migración. Los escenarios de migración de dominios que Microsoft ha documentado se centran en facilitar el primer paso hacia Windows 2000. Microsoft ha colaborado con proveedores de software independientes para garantizar que las herramientas de los proveedores soportan estos escenarios, aunque es posible que incluyan otros enfoques distintos y que ofrezcan funciones más sofisticadas. 83 Escenarios de la migración de dominios Microsoft ha documentado dos escenarios de migración para Windows 2000 que responderán a las necesidades de reestructuración de casi todos los clientes. Los escenarios pretenden facilitar el movimiento de usuarios y máquinas de dominios de origen en Windows NT a destinos en Windows 2000 y son los siguientes: • Migrar usuarios paulatinamente de Windows NT a Windows 2000. • Consolidar un dominio de recursos en una OU de Windows 2000. Migrar usuarios paulatinamente de Windows NT a Windows 2000 El objetivo de este escenario es describir las fases y las utilidades básicas para que una organización migre sus usuarios paulatinamente a un entorno Windows 2000 prístino sin que ello afecte a su entorno de producción en Windows NT. La consecuencia de no afectar al entorno de producción existente es que éste permanece invariable durante la migración. Una de las repercusiones de ello es que durante la migración el cliente puede volver en cualquier momento al dominio de producción antiguo si lo necesita. Una vez terminada la migración quedará fuera de servicio el dominio de cuentas antiguo y se reasignarán los DC. Fases del escenario Las fases del escenario son las siguientes: 1. Crear el bosque de Windows 2000 prístino. Consiste sencillamente en utilizar un procedimiento estándar para crear un bosque de destino nuevo en Windows 2000 que refleje los requisitos y la estructura identificados en las actividades de planificación del espacio de nombres del cliente. Los dominios creados en el bosque nuevo serán dominios de Windows 2000 en modo nativo. 2. Establecer las relaciones de confianza necesarias para que el bosque mantenga el acceso a los recursos. Esta actividad supone utilizar NETDOM para consultar qué relaciones de confianza existen entre todos los dominios de recursos y el dominio de origen de Windows NT. Los resultados de NETDOM pueden compararse luego con la lista de relaciones de confianza que se ha determinado que son necesarias para activar el acceso a los recursos a usuarios y grupos del dominio de destino. NETDOM puede usarse para establecer todas las relaciones de confianza que aún no existan. 3. Clonar todos los grupos globales de origen en el dominio de destino. Como ya hemos dicho, la mayor parte de los recursos se protegerán usando las ACL que hacen referencia a grupos globales, normalmente a través de grupos compartidos o locales de máquinas. Una vez establecidas las relaciones de confianza, el siguiente paso es garantizar que los grupos globales correspondientes estén disponibles en el dominio de destino. La forma más sencilla de hacerlo es clonar todos los grupos globales usando ClonePrincipal. 4. Identificar y clonar conjuntos de usuarios. Una vez clonados los grupos globales de origen en el dominio de destino, puede empezar el trabajo de migración de los usuarios. Puesto que en la mayoría de los casos el cliente deseará mover los conjuntos de usuarios paulatinamente, ésta será una tarea iterativa que implica identificar los conjuntos de usuarios que van a migrarse y luego usar ClonePrincipal para clonar los usuarios de origen en el dominio de destino. Como parte de este trabajo, cada usuario migrado deberá añadirse a la copia de destino de todos los grupos globales de los que fuera miembro en el dominio de origen. 5. Quitar del servicio el dominio de origen. Cuando todos los usuarios y grupos hayan sido movidos de forma permanente al bosque de destino, la última tarea es quitar del servicio el dominio de origen, lo cual implica desconectar y eliminar los BDC del dominio de origen 84 y, por último, el PDC del dominio de origen. Si la intención es reasignar estos DC en el bosque nuevo, pueden actualizarse a Windows 2000 y ascenderlos a DC o dejarlos como servidores miembros de la forma que se ha explicado. Cada fase del escenario debe probarse, especialmente durante la migración de usuarios. Sería prudente probar el inicio de sesión de algunos usuarios en cada migración. Si se produce un error durante cualquiera de las fases antes de quitar del servicio el dominio, podrá suspenderse el proceso y el trabajo podrá continuar en el dominio de producción de origen. 1 5 3 Clone global groups 4 Clone sets of users Create new “pristine” Windows 2000 forest Decommission source Source Target 2 Resource Domain Establish trusts needed to maintain resource access Resource Domain ************************** 1 Crear un bosque nuevo “prístino” de Windows 2000. 2 Establecer las relaciones de confianza necesarias para mantener el acceso a los recursos. 3 Clonar los grupos globales Origen Destino. 4 Clonar los conjuntos de usuarios. 5 Quitar del servicio el dominio de origen. Dominio de recursos. ************************** Migrar usuarios paulatinamente de Windows NT a Windows 2000. Consolidar un dominio de recursos en una OU de Windows 2000 El objetivo de este escenario es describir las fases y las utilidades básicas necesarias para que una organización consolide varios dominios de recursos en una OU de un dominio de Windows 2000 en modo nativo. Normalmente se busca reducir los costes de la administración de relaciones de confianza complejas. Como parte de este escenario, los servidores de aplicaciones se convertirán en servidores miembros en la OU de destino. Se supone que los servidores de aplicación de todos los dominios utilizarán grupos locales compartidos y que los dominios pueden contener algunos servidores miembros y estaciones de trabajo. Una vez conseguida la reestructuración, la organización puede quitar del servicio los dominios antiguos. Fases del escenario Las fases del escenario son las siguientes: 1. Establecer las relaciones de confianza necesarias entre el dominio de destino y los dominios de cuentas fuera del bosque. Este escenario se diferencia del anterior en que son los dominios de recursos los que se llevan al bosque de destino y los dominios de cuentas quedan fuera del bosque, al menos por el momento. El principal, sin embargo, sigue siendo el mismo, de modo 85 que habrá que establecer relaciones de confianza entre el dominio de destino y los dominios de cuentas para mantener el acceso a los recursos. 2. Esta actividad implica usar NETDOM para consultar qué relaciones de confianza existen en ese momento entre los dominios de recursos y los dominios de cuentas. 3. Los resultados de NETDOM pueden compararse luego con las relaciones de confianza que ya existen entre el dominio de destino y los dominios de cuentas. NETDOM puede usarse después para establecer todas las relaciones de confianza que aún no existan. 4. Clonar todos los grupos locales compartidos. Como ya hemos visto antes, los grupos locales compartidos sólo tienen ámbito dentro del dominio en el que fueron creados y sólo están compartidos entre los CD de ese dominio. En este escenario no es preciso mover todos los DC al dominio de destino inmediatamente, de forma que para garantizar que se mantiene el acceso a los recursos mientras los DC y los recursos están repartidos entre el dominio de origen y el de destino, será necesario clonar los grupos locales compartidos en el dominio de destino usando ClonePrincipal. 5. Degradar los servidores de aplicaciones a servidores miembros. Cuando se hayan clonado todos los grupos locales compartidos será posible iniciar el proceso de convertir los servidores de aplicaciones en servidores miembros en la OU de destino. • En estos momentos hay ciertas limitaciones en la forma de actualizar los BDC. Uno de los efectos es que no hay ningún modo sencillo de actualizar un BDC y degradarlo a servidor miembro a menos que se haya actualizado previamente el PDC. Hay dos métodos para actualizar y degradar los BDC. • Si es posible, le recomendamos actualizar el PDC del dominio de recursos a Windows 2000 y ejecutar el dominio en modo mixto durante el período de transición. Entonces podrá actualizar todos los BDC que deban ser degradados. • Durante la actualización de cada BDC se lanzará DCPROMO y se le ofrecerá la posibilidad de convertir el BDC en una réplica en el dominio de Windows 2000 o en un servidor miembro del dominio. Tendrá que seleccionar esta segunda opción, de forma que la máquina es ahora un servidor miembro del dominio de recursos. • Si no es posible actualizar el PDC o no desea hacerlo, en cada actualización tendrá que poner el BDC fuera de línea y ascenderlo a PDC. Cuando haya ascendido el BDC a PDC podrá actualizar a Windows 2000, convirtiendo efectivamente el DC fuera de línea en PDC en un dominio en modo mixto de Windows 2000 clonado. Cuando el PDC se haya actualizado fuera de línea puede ejecutar DCPROMO para degradar el PDC a servidor miembro y unirlo al dominio de destino. 6. Mover servidores miembros (incluidos antiguos BDC) y estaciones de trabajo. Durante esta fase puede usar NETDOM para crear una cuenta de ordenador en una OU del dominio de destino para el servidor miembro o la estación de trabajo que va a mover y unir el ordenador al dominio de destino. 7. Quitar del servicio el dominio de origen. Cuando todos los grupos y máquinas hayan sido movidos de forma permanente al bosque de destino, la última tarea es quitar del servicio el dominio de origen, lo cual implica desconectar y eliminar los BDC del dominio de origen y, por último, el PDC del dominio de origen. Si la intención es reasignar estos DC en el bosque nuevo, puede actualizarlos a Windows 2000 y ascenderlos a DC o dejarlos como servidores miembros de la forma que se ha explicado. Debe señalarse que en este escenario, al degradar los BDC a servidores miembros, debe moverlos al dominio de destino lo más rápidamente posible. A menos que el dominio esté en modo nativo y los grupos locales compartidos se hayan convertido en grupos locales del 86 dominio, los recursos accesibles a través de estos grupos no estarán disponibles en los servidores miembros. 1 Establish trusts needed to maintain resource access Account Domain 2 Clone shared local groups 3 4 Resource Domain Target OU Demote application servers Move machines Source 5 Decommission source domains ************************** 1 Crear un bosque nuevo “prístino” de Windows 2000. 2 Establecer las relaciones de confianza necesarias para mantener el acceso a los recursos. 3 Clonar los grupos globales Origen Destino. 4 Clonar los conjuntos de usuarios. 5 Quitar del servicio el dominio de origen. Dominio de recursos. ************************** Figura 10. Consolidar un dominio de recursos en una OU de Windows 2000. Lista de comprobación de puntos de decisión El objetivo de esta sección es guiarle en sus decisiones para determinar la ruta de la migración ahora que ya conoce los conceptos principales de la misma. Decisiones sobre la actualización 1. ¿Es adecuada para usted la actualización?. Probablemente contestará que sí, si se cumplen algunas o todas las condiciones siguientes: • Está satisfecho con su estructura de dominios actual. 2. • Está satisfecho con buena parte de su estructura de dominios y puede hacer una migración en dos fases para actualizarla a Windows 2000 y luego reestructurarla para solucionar los posibles problemas. • Cree que puede gestionar la migración sin que ésta afecte a su entorno de producción. ¿En qué orden debería hacer la actualización?. La respuesta depende de si se refiere al orden para actualizar los DC o al orden para actualizar el dominio. 87 3. ¿En qué orden debería actualizar los DC?. Dentro de un dominio, el orden de la actualización es claro: primero tiene que actualizar el PDC, pero debe estar atento a posibles complicaciones, como el uso de LMRepl en el dominio que va a actualizarse, con el PDC que aloja el directorio de exportación. En este caso deberá realojar el directorio de exportación antes de actualizar el PDC. 4. ¿En qué orden debe actualizar los dominios?. En general notará más ventajas si actualiza primero los dominios de cuentas, ya que será mayor el número de “victorias rápidas” en cuanto a administración y delegación más sencillas. Luego deberá actualizar los dominios de recursos. 5. ¿En qué orden debe actualizar el servidor y las estaciones de trabajo?. Puede actualizar los servidores y las estaciones de trabajo en cualquier momento, ya que no depende de la existencia de una infraestructura de Windows 2000. Por lo que se refiere a los servidores miembros, si cree que relajar la seguridad de Active Directory para activar el uso de servidores RAS de Windows NT pondría en peligro su política de seguridad, debería actualizar primero los servidores. Si utiliza LMRepl para replicar secuencias de comandos dentro del dominio, debería actualizar en último lugar el servidor que aloja el directorio de exportación. 6. ¿Cuándo debe cambiar a modo nativo?. Debe cambiar a modo nativo lo más pronto posible para tener acceso a toda la funcionalidad de Windows 2000, como mejor escalabilidad de los directorios, grupos universales y locales del dominio y anidamiento de grupos. No puede cambiar a modo nativo hasta que se hayan actualizado todos los DC de un dominio. Decisiones sobre la reestructuración ¿Necesita reestructurarse?. 1. Probablemente contestará que sí, si se cumplen algunas o todas las condiciones siguientes: • Está satisfecho con buena parte de su estructura de dominios y puede hacer una migración en dos fases para actualizarla a Windows 2000 y luego reestructurarla para solucionar los posibles problemas. 1. • Está insatisfecho con su estructura de dominios actual. • Cree que no puede gestionar la migración sin que ésta afecte a su entorno de producción. ¿Cuándo debería reestructurarse?. La respuesta a esta pregunta depende en gran medida de la razón por la que vaya a reestructurarse (vea la pregunta anterior). Si puede resolver sus necesidades de migración haciendo una migración en dos fases, debería reestructurarse después de la actualización. Si cree que, por alguna razón, su estructura de dominios es irrecuperable o que no puede evitar que afecte a su entorno de producción, debería reestructurarse desde el principio. Resumen La migración de Windows NT 4.0 a Windows 2000 Active Directory puede conseguirse a través de la actualización y a través de la reestructuración. Microsoft proporciona una ruta de migración sencilla y de bajo riesgo en forma de actualización de dominios. Muchos clientes descubrirán que con ello se satisfacen todas sus necesidades de migración. Microsoft ha recibido comentarios de sus clientes y tiene el compromiso de proporcionar excelentes herramientas que soporten la reestructuración de dominios, sea como parte de la migración inicial o después de la migración para soportar operaciones corporativas como adquisiciones y desinversiones. La herramienta de migración y las utilidades básicas de Microsoft representan el primer paso. 88 Las herramientas y las utilidades de Microsoft son sólo una parte. Muchos clientes habrán establecido sólidas relaciones de trabajo con vendedores de herramientas independientes en este campo y querrán seguir usando las herramientas con las que ya están familiarizados. Microsoft ha trabajado con vendedores de software independientes para garantizar que sus herramientas para la reestructuración de dominios puedan usar funciones como SIDhistory y operaciones de clonación. Para más información Si quiere la última información sobre Windows 2000 Server, visite la página Web http://www.microsoft.com/windows2000/ . 89 SEGURIDAD EN WINDOWS 2000 SERVER 1. Introducción A medida que aumenta la interconexión global del planeta, se está convirtiendo en realidad el sueño futurista de disponer de la información en cualquier lugar, en cualquier momento y en cualquier dispositivo. Las empresas y sus clientes sólo almacenarán sus datos confidenciales en un entorno de este tipo si se les garantiza la seguridad del mismo. La encuesta sobre delitos y seguridad informáticos del 2001 (Computer Crime and Security Survey) publicada por el CSI (Computer Security Institute) y el FBI (Federal Bureau of Investigation) indica que el 85 por ciento de las grandes empresas y agencias del gobierno norteamericano detectaron infracciones de seguridad. El promedio de pérdidas anuales estimadas de los encuestados fue de más de 2 millones de dólares americanos. En los meses recientes se ha producido una lluvia de ataques a entornos informáticos, muchos de ellos a través de Internet y a equipos con el sistema operativo Microsoft® Windows®. Sin embargo, éstos son sólo los problemas de seguridad más notorios a los que se enfrentan las empresas en la actualidad. En esta guía se describen las distintas amenazas de seguridad para su entorno y se explica la mejor manera de protegerse. Independientemente de cuál sea su entorno, es muy recomendable tomarse en serio la seguridad. Muchas organizaciones cometen el error de subestimar el valor del entorno de tecnología de la información (TI), generalmente porque no tienen en cuenta costos indirectos importantes. Si el ataque es suficientemente grave, las pérdidas podrían ascender al valor de la organización. Por ejemplo, un ataque que modifique sutilmente el sitio Web corporativo para anunciar malas noticias falsas podría hundir el valor en bolsa de la corporación. Al evaluar los gastos de seguridad, se deben incluir también los costos indirectos asociados a cualquier ataque, así como los costos derivados de la pérdida de funcionalidad de los sistemas de TI. Los sistemas informáticos más seguros del mundo son los que están completamente aislados de los usuarios y de otros sistemas. Sin embargo, en el mundo real normalmente necesitamos sistemas informáticos que funcionen en red, a menudo en redes públicas. Esta guía le ayudará a identificar los riegos inherentes a un entorno de red y a determinar el nivel de seguridad apropiado para su entorno; también le indicará los pasos necesarios para alcanzar ese nivel de seguridad. Aunque está dirigida a clientes empresariales, gran parte de esta guía es válida para organizaciones de cualquier tamaño. Microsoft Operations Framework (MOF) Para que las operaciones del entorno funcionen de la forma más eficaz, debe administrarlas de forma efectiva. En este sentido, Microsoft ha desarrollado Microsoft Operations Framework (MOF). MOF es, en esencia, un conjunto de prácticas recomendadas, principios y modelos que le guiarán al realizar operaciones. Las instrucciones de MOF le ayudarán a garantizar la seguridad, la confiabilidad, la disponibilidad, el soporte y la capacidad de administración de sus sistemas de producción fundamentales mediante los productos de Microsoft. El modelo de procesos MOF se divide en cuatro cuadrantes integrados de la manera siguiente: Cambio. Funcionamiento. 90 Soporte. Optimizaci ón. Juntas, las fases forman un ciclo de vida en espiral (consulte la Ilustración 1.1) que se puede aplicar a todo, desde una aplicación específica a un entorno de operaciones completo con varios centros de datos. En este caso, utilizará MOF en el contexto de las operaciones de seguridad. Ilustración 1.1. Modelo de procesos MOF. El modelo de procesos se apoya en 20 funciones de administración de servicios (SMF, Service Management Functions) y un modelo de equipos y otro de riesgos, ambos integrados. Cada cuadrante se apoya en la revisión de administración de operaciones correspondiente (también denominada hito de revisión), en la que se valora la eficacia de las funciones de administración de servicios del cuadrante. No es imprescindible ser un experto en MOF para comprender y utilizar esta guía, pero unos conocimientos adecuados de los principios de MOF le ayudarán a administrar y mantener un entorno de operaciones confiable, disponible y estable. Implementar y mantener la seguridad En octubre de 2001, Microsoft lanzó una iniciativa denominada Programa Estratégico de Protección de Tecnología (STPP, Strategic Technology Protection Program). El objetivo de este programa es integrar los productos, los servicios y el soporte de Microsoft dedicados a la seguridad. Microsoft divide el proceso de mantener un entorno seguro en dos fases relacionadas: implementar la seguridad y mantener la seguridad. 91 Implementar la seguridad La primera fase se denomina Implementar la Seguridad (Get Secure). Para ayudar a su organización a alcanzar un nivel de seguridad apropiado, siga las recomendaciones de Implementar la Seguridad, especificadas en el Microsoft Security Tool Kit, al que puede tener acceso en línea. Mantener la seguridad La segunda fase se denomina Mantener la Seguridad (Stay Secure). Una cosa es crear un entorno inicialmente seguro. Otra cosa totalmente distinta es, cuando el sistema está configurado y en funcionamiento, mantener la seguridad, adoptar medidas preventivas contra las amenazas y responder con eficacia cuando se produzcan. Ámbito de esta guía Esta guía se centra explícitamente en las operaciones requeridas para crear y mantener un entorno seguro en servidores con Windows 2000. Se examinan funciones específicas definidas para los servidores, pero no se explica con detalles la manera de ejecutar aplicaciones específicas de forma segura. Al implementar la seguridad, se debe diseñar e implementar muchas áreas. El siguiente diagrama proporciona una vista de alto nivel de las mismas. Ilustración 1.2. Áreas de seguridad. El diagrama muestra los pasos necesarios para configurar la seguridad del servidor (Implementar la Seguridad) y mantenerla (Mantener la Seguridad). También muestra cómo puede lograr estos objetivos leyendo los capítulos de esta guía. 92 Ilustración 1.3. Diagrama de flujo del proceso de seguridad. 93 Nota: en este diagrama no se muestran todas las tareas implicadas en el mantenimiento de la seguridad de los procesos operativos, como la ejecución de un software antivirus o la creación periódica de copias de seguridad. El objetivo es, más bien, mostrar las tareas que se describirán con detalle en la guía. Debe utilizar esta guía como parte de su estrategia global de seguridad, no como una referencia completa para cubrir todos los aspectos de la creación y el mantenimiento de un entorno seguro. Esquema de los capítulos Esta guía consta de los siguientes capítulos, dedicados a describir las distintas partes del proceso de operaciones de seguridad. Se ha diseñado cada capítulo para que pueda leerlo entero o parcialmente, en función de sus necesidades. Capítulo 2: Definición de riesgo de seguridad Para poder implementar la seguridad en su entorno, debe conocer las amenazas, las vulnerabilidades, las explotaciones y las contramedidas en el contexto de la seguridad de TI. En este capítulo se describen estos temas y se examinan decisiones técnicas y de negocios que le ayudarán a administrar de forma más efectiva los riesgos para la seguridad del entorno. Capítulo 3: Administrar la seguridad con la Directiva de grupo de Windows 2000 Muchos de los valores de configuración de la seguridad se definen en Windows 2000 a través de la Directiva de grupos, cuyo fin es controlar el comportamiento de los objetos en el equipo local y en el servicio de directorio Active Directory™. Es importante asegurarse de que estas directivas están correctamente configuradas y de que se supervisan para que no las modifiquen sin autorización previa. En este capítulo se analizará en detalle la administración de la seguridad mediante la Directiva de grupos. Capítulo 4: Asegurar servidores basándose en su función Es necesario utilizar configuraciones distintas para los servidores de aplicaciones, los servidores de archivos y los servidores Web para maximizar su seguridad. En este capítulo se describen los controladores de dominio y varias funciones de servidor miembro distintas, así como los pasos necesarios para asegurarse de que cada una de estas funciones es lo más segura posible. Nota: esta guía asume que los servidores realizan funciones específicas bien definidas. Si los servidores no satisfacen estas funciones o si tiene servidores multiuso, debe utilizar las configuraciones definidas en esta guía como directiva para crear plantillas de seguridad que le ofrezcan la funcionalidad que necesita. Sin embargo, debe tener en cuenta que cuantas más funciones desempeñe cada servidor individual, más vulnerable será a los ataques. Capítulo 5: Administrar revisiones Una de las principales medidas de protección contra ataques es mantener el entorno actualizado con todas las revisiones de seguridad necesarias. Las revisiones pueden ser necesarias tanto para servidores como para clientes. En este capítulo se explica la forma de obtener lo antes posible las revisiones nuevas, implementarlas rápidamente y de forma confiable en toda la organización, y confirmar que están instaladas en todos los equipos. 94 Capítulo 6: Auditoría y detección de intrusiones No todos los ataques son evidentes. A veces, los ataques más sutiles son los más peligrosos, ya que pasan desapercibidos y es difícil determinar los cambios realizados. En este capítulo se muestra la forma de auditar el entorno para aumentar las posibilidades de detectar ataques y se describen los sistemas de detección de intrusos (programas diseñados específicamente para detectar comportamientos indicativos de que se está produciendo un ataque). Capítulo 7: Responder a las incidencias Independientemente de lo seguro que sea el entorno, siempre existe el riesgo de ataque. Cualquier estrategia de seguridad razonable debe incluir detalles sobre cómo responderá la organización a los distintos tipos de ataque. En este capítulo se describen las mejores técnicas para responder a distintos tipos de ataque y se incluyen los pasos que hay que realizar para notificar las incidencias de forma efectiva. También se incluye el análisis de un escenario posible en el que se explica una respuesta típica a una incidencia. Resumen Este capítulo le ha proporcionado una introducción a la guía y un resumen de los demás capítulos. También se le ha presentado el Programa Estratégico de Protección de Tecnología (STTP, Strategic Technology Protection Program). Ahora que conoce la estructura de la guía, puede decidir si desea leerla de principio a fin o sólo partes seleccionadas. Recuerde que las operaciones de seguridad efectivas y satisfactorias requieren un esfuerzo en todas las áreas, no sólo mejoras en una de ellas; por ello, es recomendable leer todos los capítulos. 2. Definición de riesgo de seguridad A medida que evolucionan los sistemas de TI, también lo hacen las amenazas a la seguridad que estos pueden sufrir. Para proteger su entorno de forma eficaz contra los ataques, necesita conocer con detalle los peligros con los que puede encontrarse. Al identificar las amenazas a la seguridad, debe tener en cuenta dos factores principales: 1) Los tipos de ataques que seguramente sufrirá y 2) los lugares donde pueden tener lugar. Muchas organizaciones no tienen en cuenta el segundo factor, pues asumen que un ataque grave sólo puede venir del exterior (normalmente, a través de su conexión a Internet). En CSI/FBI Computer Crime and Security Survey (encuesta sobre delitos y seguridad informáticos de CSI/FBI), el 31% de los encuestados citaron sus sistemas internos como un punto de ataque frecuente. Sin embargo, muchas empresas pueden no estar al corriente de que se están dando ataques internos, básicamente porque no comprueban si existen. En este capítulo examinaremos los tipos de ataques que puede sufrir. También estudiaremos algunas medidas, tanto empresariales como técnicas, que puede adoptar para minimizar las amenazas a su entorno. Administración de riesgos No existe un entorno de TI totalmente seguro y al mismo tiempo útil. Al examinar su entorno, deberá evaluar los riesgos que sufre actualmente, determinar un nivel de riesgo aceptable y mantener el riesgo a ese nivel o por debajo del mismo. Los riesgos se reducen aumentando la seguridad de su entorno. 95 Como norma general, cuanto más alto sea el nivel de seguridad de una organización, más costosa resultará su implementación y más posibilidades habrá de que se reduzca su funcionalidad. Tras evaluar los posibles riesgos, quizá tenga que reducir el nivel de seguridad para conseguir aumentar la funcionalidad y reducir el costo. Por ejemplo, imagine una empresa de tarjetas de crédito que se está planteando la posibilidad de implementar un sistema de prevención de fraude. Si el fraude supone para la empresa un gasto de 3 millones de dólares al año y la implementación y el mantenimiento del sistema de prevención de fraude conlleva un gasto de 5 millones de dólares anuales, la instalación del sistema no supone un beneficio financiero directo. Sin embargo, la empresa puede sufrir pérdidas indirectas valoradas en mucho más de 3 millones, como pérdida de reputación o de la confianza de los consumidores. Por lo tanto, los cálculos son, en realidad, mucho más complicados. En ocasiones, los niveles adicionales de seguridad darán como resultado sistemas más complejos para los usuarios. Un banco en línea puede decidir utilizar varios niveles de autenticación para sus usuarios cada vez que estos tengan acceso a su cuenta. No obstante, si el proceso de autenticación es demasiado complicado, algunos usuarios ni siquiera se molestarán en utilizar el sistema, lo que podría llegar a resultar más costoso que los ataques que el banco puede sufrir. Para entender los principios de la administración de riesgos, es necesario entender algunos términos básicos utilizados en el proceso de administración de riesgos. Estos incluyen recursos, amenazas, vulnerabilidades, explotaciones y contramedidas. Recursos Un recurso es cualquier elemento de su entorno que intente proteger. Puede tratarse de datos, aplicaciones, servidores, enrutadores e incluso personas. El objetivo de la seguridad es evitar que sus recursos sufran ataques. Una parte importante de la administración de riesgos consiste en determinar el valor de sus recursos. No utilizaría cerraduras normales y un sistema de alarma doméstico para guardar las Joyas de la Corona. De forma similar, el valor de sus recursos determinará, por lo general, el nivel de seguridad apropiado para protegerlos. Amenazas Una amenaza es una persona, un lugar o un elemento que puede tener acceso a los recursos y dañarlos. En esta tabla se muestran distintos tipos de amenazas con ejemplos. Tabla 2.1.: Amenazas a entornos informáticos. Tipo de amenaza Ejemplos Natural y física. Fuego, agua, viento, terremoto. Corte eléctrico. No intencionada. Empleados no informados. Clientes no informados. Intencionada. Atacantes. 96 Terroristas. Espías industriales. Gobiernos. Código malicioso. Vulnerabilidades Una vulnerabilidad es un punto en el que un recurso es susceptible de ser atacado. Se puede interpretar como un punto débil. Las vulnerabilidades se dividen a menudo en las categorías que se muestran en la siguiente tabla. Tabla 2.2.: Vulnerabilidades en entornos informáticos. Tipo de vulnerabilidad Ejemplos Física. Puertas sin cerrar. Natural. Sistema antiincendios averiado. De hardware y software. Software antivirus no actualizado. De medios. Interferencia eléctrica. De comunicación. Protocolos no cifrados. Humana. Procedimientos no seguros de asistencia técnica. Nota: es posible que los ejemplos que aparecen en las listas de amenazas y vulnerabilidades no sean aplicables a su organización, puesto que cada una es distinta. Explotación Una amenaza que se aprovecha de una vulnerabilidad de su entorno puede tener acceso a un recurso. Este tipo de ataque se denomina explotación. La explotación de recursos se puede realizar de varias maneras. En la siguiente tabla se incluyen algunas de las más comunes. Tabla 2.3.: Explotaciones en entornos informáticos. Tipo de explotación Ejemplo Explotación de vulnerabilidad técnica. Ataques a fuerza bruta. Desbordamiento del búfer. Problemas de configuración. Ataques repetidos. Secuestro de sesión. Obtención de información. Identificación de dirección. 97 Identificación de sistema operativo. Exploración de puertos. Búsqueda de servicios y aplicaciones. Exploración de vulnerabilidades. Análisis de respuestas. Enumeración de usuarios. Destrucción de documentos. Fuga de dispositivos inalámbricos. Ingeniería social. Denegación de servicio. Daño físico. Eliminación de recursos. Modificación de recursos. Saturación de recursos. Cuando una amenaza utiliza una vulnerabilidad para atacar un recurso, las consecuencias pueden ser graves. En esta tabla se muestran algunos de los resultados de explotaciones que pueden producirse en su entorno y algunos ejemplos. Tabla 2.4.: Resultados de explotaciones. Resultados de una explotación Ejemplos Pérdida de confidencialidad. Acceso no autorizado. Reasignación de privilegios. Personificación o robo de identidad. Pérdida de integridad. Daños en datos. Desinformación. Pérdida de disponibilidad. Denegación de servicio. Relación entre amenazas, vulnerabilidades y riesgo Las amenazas y vulnerabilidades identificadas en su organización se deben calificar y clasificar mediante un estándar; por ejemplo: baja, media o alta. La clasificación variará entre las organizaciones y a veces incluso dentro de una misma organización. Por ejemplo, la amenaza de terremotos es sustancialmente más elevada para las oficinas cercanas a una falla que para las que se encuentran en otros lugares. De manera similar, la vulnerabilidad de daños físicos a equipos sería muy alta para una organización de productos electrónicos altamente delicados y frágiles, mientras que una empresa de construcción puede tener un nivel de vulnerabilidad más bajo. 98 Nota: Ayuda de trabajo 1: La tabla de análisis de amenazas se puede utilizar como ayuda para evaluar las amenazas y el impacto que pueden tener en su organización. El nivel de riesgo de su organización aumenta con el nivel de amenazas y vulnerabilidad. Esto se muestra en el siguiente diagrama. Ilustración 2.1. Matriz de riesgos. Contramedidas Las contramedidas se aplican para contrarrestar las amenazas y vulnerabilidades y de este modo reducir el riesgo en su entorno. Por ejemplo, una organización de productos electrónicos frágiles puede aplicar contramedidas de seguridad física como fijar la maquinaria a los cimientos del edificio o agregar mecanismos de amortiguación. Estas contramedidas reducen la posibilidad de que un terremoto pueda causar daños físicos a sus bienes. Una vez aplicadas todas las contramedidas para reducir las amenazas y vulnerabilidades, sólo quedan riesgos residuales. Defensa en profundidad Para reducir el riesgo en su entorno, debe usar una estrategia de defensa en profundidad para proteger los recursos de amenazas externas e internas. El término defensa en profundidad (en ocasiones denominada seguridad en profundidad o seguridad multicapa) procede de un término militar utilizado para describir la aplicación de contramedidas de seguridad con el fin de formar un entorno de seguridad cohesivo sin un solo punto de error. Las capas de seguridad que forman la estrategia de defensa en profundidad incluyen el despliegue de medidas de protección desde los enrutadores externos hasta la ubicación de los recursos, pasando por todos los puntos intermedios. Con el despliegue de varias capas de seguridad, ayuda a garantizar que, si se pone en peligro una capa, las otras ofrecerán la seguridad necesaria para proteger sus recursos. Por ejemplo, que el 99 servidor de seguridad de una organización esté en peligro, no debe significar que un atacante pueda tener acceso sin trabas a los datos más confidenciales de la organización. En el caso ideal, cada capa debe proporcionar diferentes formas de contramedidas para evitar que se utilice el mismo método de explotación en varias capas. En este diagrama se muestra una estrategia de defensa en profundidad eficaz: Ilustración 2.1. Estrategia de defensa en profundidad. Es importante recordar que sus recursos no son sólo datos, sino que cualquier elemento de su entorno es susceptible de ser atacado. Como parte de su estrategia de administración de riesgos, debe examinar los recursos que protege y determinar si dispone de protección suficiente para todos. Por supuesto, la cantidad de medidas de seguridad que pueda aplicar dependerá de la evaluación de riesgos y el análisis de costos y beneficios de la aplicación de contramedidas. Sin embargo, el objetivo consiste en garantizar que un atacante necesitará unos conocimientos, tiempo y recursos significativos para superar todas las contramedidas y tener acceso a sus recursos. Nota: la forma exacta en la que se aplique la defensa en profundidad dependerá de las características propias de su entorno. Asegúrese de volver a evaluar la estrategia de defensa en profundidad cuando su entorno cambie. Vale la pena examinar cada capa de una estrategia de defensa en profundidad de forma más detallada. Defensa de datos Para muchas empresas, uno de los recursos más valiosos son los datos. Si estos datos cayeran en manos de la competencia o sufrieran daños, tendrían problemas importantes. 100 A nivel de cliente, los datos almacenados localmente son especialmente vulnerables. Si se roba un equipo portátil, es posible realizar copias de seguridad, restaurar y leer los datos en otro equipo, aunque el delincuente no pueda conectarse al sistema. Los datos se pueden proteger de varias formas, incluido el cifrado de datos mediante EFS (Encrypting File Service) o sistemas de cifrado de otros fabricantes y la modificación de las listas de control de acceso discrecional en los archivos. Defensa de aplicaciones Como una capa de defensa más, el refuerzo de las aplicaciones es una parte esencial de cualquier modelo de seguridad. Muchas aplicaciones utilizan el subsistema de seguridad de Windows 2000 para proporcionar seguridad. No obstante, es responsabilidad del programador incorporar la seguridad en la aplicación para proporcionar una protección adicional a las áreas de la arquitectura a las que la aplicación puede tener acceso. Una aplicación existe en el contexto del sistema, de modo que siempre se debe tener en cuenta la seguridad de todo el entorno al considerar la seguridad de una aplicación. Se debe probar en profundidad el cumplimiento de la seguridad de cada aplicación de la organización en un entorno de prueba antes de permitir que se ejecute en una configuración de producción. Defensa de hosts Debe evaluar cada host del entorno y crear directivas que limiten cada servidor sólo a las tareas que tenga que realizar. De este modo, se crea otra barrera de seguridad que un atacante deberá superar antes de poder provocar algún daño. El capítulo 4, "Asegurar servidores basándose en su función", incluye directivas que aumentan la seguridad para cinco funciones de servidor de Windows 2000 comunes. Un modo de hacerlo consiste en crear directivas individuales en función de la clasificación y el tipo de datos que contiene cada servidor. Por ejemplo, las directivas de una organización pueden estipular que todos los servidores Web son de uso público y, por lo tanto, sólo pueden contener información pública. Sus servidores de bases de datos están designados como confidenciales de la empresa, lo que significa que la información debe protegerse a cualquier precio. De ahí las clasificaciones que se muestran en la siguiente tabla. Tabla 2.5.: Clasificación de servidores. Valor Definición De uso público. La distribución de este material no está limitada. Incluye información de marketing, materiales de venta e información seleccionada para uso público. Los datos incluidos en servidores de Internet públicos deben ser de uso público. Sólo para interno. uso La revelación de esta información es segura para la distribución interna, pero puede provocar daños considerables a la organización si se hace pública. Debe colocarse por lo menos un servidor de seguridad entre esta información e Internet. Confidencial la empresa. de La revelación de esta información puede provocar daños graves a la organización en conjunto. Esta información es del tipo más 101 confidencial y sólo se expone si es absolutamente necesario. Deben colocarse por lo menos dos servidores de seguridad entre esta información e Internet. Defensa de redes Si dispone de una serie de redes en la organización, debe evaluarlas individualmente para asegurarse de que se ha establecido una seguridad apropiada. Si un enrutador sufre un ataque eficaz, puede denegar el servicio a partes enteras de la red. Debe examinar el tráfico admisible en sus redes y bloquear el que no sea necesario. También puede considerar el uso de IPSec para cifrar los paquetes en sus redes internas y SSL para las comunicaciones externas. Asimismo, debe supervisar la existencia de detectores de paquetes en la red, que sólo deben usarse bajo controles estrictos. Defensa de perímetros La protección del perímetro de su red es el aspecto más importante para detener los ataques externos. Si su perímetro permanece seguro, la red interna estará protegida de ataques externos. La organización debe disponer de algún tipo de dispositivo de seguridad para proteger cada punto de acceso a la red. Es necesario evaluar cada dispositivo, decidir qué tipos de tráfico se permiten y desarrollar un modelo de seguridad para bloquear el resto del tráfico. Los servidores de seguridad son una parte importante de la defensa del perímetro. Necesitará uno o más servidores de seguridad para asegurarse de minimizar los ataques externos, junto con la auditoría y la detección de intrusiones para estar seguro de detectar los ataques en caso de que se produzcan. Para obtener más información sobre la auditoría y la detección de intrusiones, consulte el capítulo 6, "Auditoría y detección de intrusiones". También debe recordar que, para las redes que permiten el acceso remoto, el perímetro puede incluir los equipos portátiles del personal e incluso los equipos domésticos. Deberá asegurarse de que estos equipos cumplen con los requisitos de seguridad antes de que se conecten a la red. Seguridad física Todo entorno en el que usuarios no autorizados puedan obtener acceso físico a equipos es inherentemente inseguro. Un ataque de denegación de servicio muy eficaz puede ser simplemente quitar el sistema de alimentación de un servidor o las unidades de disco. El robo de datos (y la denegación de servicio) puede producirse si alguien roba un servidor o incluso un equipo portátil. Debe considerar la seguridad física como un elemento fundamental para su estrategia de seguridad global. Una prioridad principal será la de establecer una seguridad física para las ubicaciones de los servidores. Puede tratarse de salas de servidores del edificio o de centros de datos enteros. También debe tener en cuenta los accesos a los edificios de la organización. Si alguien puede tener acceso a un edificio, puede tener oportunidades para llevar a cabo un ataque aunque ni siquiera pueda conectarse a la red. Estos ataques pueden incluir: La denegaci ón de servicio (por ejemplo, conectar un equipo portátil a la red como servidor DHCP o desconectar la alimentación de un servidor). El robo de datos (por ejemplo, robar un equipo port átil o detectar paquetes en la red interna). 102 La ejecuci ón de código malicioso (por ejemplo, activar un gusano desde el interior de la organización). El robo de informaci ón de seguridad crítica (por ejemplo, cintas de copia de seguridad, manuales de funcionamiento y diagramas de red). Como parte de la estrategia de administración de riesgos, debe determinar el nivel de seguridad física apropiado para su entorno. A continuación se enumeran algunas de las posibles medidas de seguridad física: Establecer seguridad f ísica para todas las áreas del edificio (esto puede incluir tarjetas de acceso, dispositivos biométricos y guardias de seguridad). Requerir a los visitantes que vayan acompa ñados en todo momento. Requerir a los visitantes que firmen un registro de entrada de todos los dispositivos informáticos. R equerir a todos los empleados que registren cualquier dispositivo portátil de su propiedad. Fijar f ísicamente todos los equipos de sobremesa y portátiles a las mesas. Requerir que se registren todos los dispositivos de almacenamiento de datos antes de del edificio. sacarlos Ubicar los servidores en salas separadas a las que s ólo tengan acceso los administradores. Conexiones a Internet, alimentaci ón, sistemas antiincendios, etc. Redundantes. Protecci ón contra desastres naturales y ataques terroristas. Establecer seguridad para las áreas en las que se puede dar un ataque por denegación de servicio (por ejemplo, las áreas en las que el cableado sale del edificio principal). Directivas y procedimientos Casi todas las medidas descritas hasta ahora están destinadas a evitar el acceso no autorizado a los sistemas. No obstante, está claro que habrá personas de su entorno que necesiten acceso de alto nivel a los sistemas. Toda estrategia de seguridad será imperfecta a menos que pueda garantizar que estas personas no van a hacer un uso indebido de los derechos que se les han concedido. Antes de contratar a nuevos empleados para la organización, debe asegurarse de que se someten a un proceso de investigación de seguridad, con una investigación más rigurosa para aquellos que vayan a tener un mayor acceso a los sistemas. Respecto a los empleados existentes, resulta esencial que sean conscientes de las directivas de seguridad y de lo que está permitido y prohibido (y, preferiblemente, también por qué). Esto es importante por dos razones. En primer lugar, si los empleados no son conscientes de lo que está prohibido, pueden llevar a cabo acciones que inconscientemente pongan en peligro la seguridad del entorno. En segundo lugar, si un empleado ataca adrede su entorno de TI y no se ha prohibido explícitamente en las directivas de la empresa, puede resultar muy difícil entablar una demanda contra esta persona. 103 En un entorno basado en Windows 2000, puede controlar de forma muy precisa los derechos administrativos de los usuarios. Debe asegurarse de definir detalladamente el alcance de los derechos administrativos que debe tener cada empleado de TI. Ningún empleado debe tener más acceso administrativo del que sea estrictamente necesario para realizar su trabajo. Puede notificar a sus usuarios acerca de la seguridad mediante un programa de orientación seguido de recordatorios a intervalos regulares y actualizaciones visiblemente expuestas de los procedimientos de seguridad. Resulta esencial que los empleados se den cuenta de que cada uno de ellos desempeña un papel en el mantenimiento de la seguridad. Nota: Ayuda de trabajo 2: Los problemas de seguridad más frecuentes incluyen una lista de problemas de seguridad comunes que pueden darse en una organización. Estos errores aumentarán significativamente el riesgo de la misma. Al definir las directivas de seguridad, deberá asegurarse de minimizar la posibilidad de que ocurran estos problemas. Métodos de ataque comunes y medidas preventivas Como parte de la estrategia de defensa en profundidad, debe comprender los métodos empleados por los atacantes y defenderse contra los ataques más comunes. En este apartado se estudia una serie de tipos de ataques y se sugieren medidas para proteger su entorno contra los mismos. Nota: Ayuda de trabajo 3: Los ataques y contramedidas incluyen una tabla de explotaciones de vulnerabilidades técnicas comunes y las contramedidas que se pueden aplicar para cada una de ellas. Obtención de información Los atacantes siempre intentan conseguir información sobre su entorno. A veces la información resulta útil por sí misma y en otras ocasiones es un medio para conseguir otras informaciones y otros recursos. La clave para evitar la obtención de información es restringir el acceso no autorizado a los recursos desde el exterior. Los métodos para conseguirlo incluyen: Asegurarse de que s ólo dispositivos específicos e identificados de la red permiten la conectividad mediante acceso remoto. Una utilidad de búsqueda de módems debe comprobar todos los prefijos de empresas para buscar dispositivos no autorizados. Los dispositivos de acceso remoto también se pueden detectar activando la detección de exploración en el sistema telefónico cuando esté disponible. Deshabilitar NetBIOS sobre TCP/IP, incluidos los puertos 13 5, 137, 139 y 445 en los equipos directamente conectados a Internet a través del servidor de seguridad externo. Esto hace más difícil para las personas externas la utilización de redes estándar para conectarse a servidores. Habilitar s ólo los puertos 80 y 443 en los adaptadores de red orientados a Internet y en el servidor de seguridad para el tráfico destinado a un conjunto de servidores Web. De este modo se elimina la mayor parte de las técnicas de reconocimiento basadas en puertos. Revisar la informa ción del sitio Web público para asegurarse de que: Las direcciones de correo electr ónico utilizadas en el sitio no son cuentas de administrador. No se ha especificado la tecnolog ía de la red. 104 La informaci ón general de la empresa publicada en el sitio es apropiada y no se puede utilizar para descubrir o deducir características del sistema de seguridad. Este tipo de información incluye sucesos actuales y recientes. Por ejemplo, si en el sitio Web se anuncia que su empresa acaba de adquirir otra firma, los atacantes pueden elegir a la nueva adquisición como objetivo pensando que su red se ha conectado precipitadamente a la nueva red corporativa y que, por lo tanto, es menos segura. Revisar las publicaciones de los empleados en grupos Usenet para evaluar el tipo de información que exponen. Administrar el tipo de contenido que contiene el c ódigo fuente del sitio Web para evitar que un atacante revise este código (una técnica en ocasiones denominada criba de código fuente) para obtener información valiosa. Algunos de los elementos que el equipo de seguridad debe buscar en el código fuente son los comentarios incorrectos, las contraseñas incrustadas y las etiquetas ocultas. Revisar la información proporcionada al público en general para su dirección IP y los registros de nombre de dominio. Asegurarse de que un atacante no puede interrogar al DNS para obtener la red de referencia o conseguir que realice una transferencia de zona completa. Mediante el volcado de todos los registros en el DNS, un atacante puede ver bien los equipos más fáciles de atacar. Para evitar que se interrogue al DNS, se pueden asignar derechos al servidor DNS de Windows 2000 mediante la opción Notificar y habilitando las transferencias de zona sólo para los servidores autorizados. Otro enfoque consiste en implementar un DNS de sólo lectura. 3 . Administrar la seguridad con la Directiva de grupo de Windows 2000 Una vez determinado el nivel de riesgo apropiado para el entorno y establecida la directiva de seguridad general, deberá empezar a asegurar el entorno. En un entorno basado en Windows 2000, esto se lleva a cabo principalmente por medio de la Directiva de grupo. En este capítulo, aprenderá a configurar Objetos de Directiva de Grupo (GPO) con plantillas de seguridad para definir la configuración de seguridad del entorno basado en Windows 2000 y se explicará una estructura de Unidad Organizativa (OU) sencilla para apoyar el uso de los GPO. Advertencia: antes de implementar en un entorno de producción las plantillas de seguridad tratadas en este capítulo, deberá probarlas de forma exhaustiva en un laboratorio para garantizar que los servidores sigan funcionando correctamente. Importancia de utilizar la Directiva de grupo El objetivo de las directivas de seguridad es definir los procedimientos de configuración y administración de la seguridad del entorno. La Directiva de grupo de Windows 2000 puede ayudarle a implementar las recomendaciones técnicas de la directiva de seguridad para todas las estaciones de trabajo y los servidores de los dominios de Active Directory. Puede utilizar la Directiva de grupo junto con la estructura de la unidad organizativa para definir una configuración de seguridad específica para determinadas funciones del servidor. Si utiliza la Directiva de grupo para implementar la configuración de seguridad, puede garantizar que todos los cambios realizados en una directiva se apliquen a todos los servidores que la utilizan y que los servidores nuevos obtengan automáticamente la nueva configuración. 105 Cómo aplicar la Directiva de grupo Para utilizar la Directiva de grupo de forma segura y eficaz, es especialmente importante comprender cómo aplicarla. Un objeto de usuario o de equipo puede estar sujeto a varios GPO. Éstos se aplican de forma secuencial y la configuración se acumula, excepto cuando se produce un conflicto, en cuyo caso la configuración de las directivas posteriores prevalecerá sobre la configuración de directivas anteriores de forma predeterminada. La primera directiva que se debe aplicar es el GPO local. Todos los equipos que ejecutan Windows 2000 tienen almacenado un GPO local. De forma predeterminada, sólo se configuran los nodos de Configuración de seguridad. Las opciones de configuración de otras partes del espacio de nombres del GPO local no se activan ni desactivan. El GPO local se almacena en cada servidor en %systemroot%\System32\GroupPolicy. Tras el GPO local, se aplican los GPO posteriores en el sitio, dominio, unidad organizativa primaria y finalmente en la unidad organizativa secundaria. En el siguiente diagrama se muestra cómo se aplica cada directiva: Ilustración 3.1. Jerarquía de aplicación de GPO. Si se han definido varios GPO en cada nivel, el administrador establecerá el orden en que se aplican. El usuario o el equipo aplicará la configuración definida en una Directiva de grupo si a) la Directiva de grupo se ha aplicado a su contenedor y b) se muestra en la DACL (Lista de Control de Acceso Discrecional) del GPO con un permiso Aplicar directiva de grupos como mínimo. Nota: el grupo integrado Usuarios autenticados tiene el permiso Aplicar directiva de grupos de forma predeterminada. Este grupo contiene todos los usuarios y equipos del dominio. 106 Garantizar la aplicación de la Directiva de grupo La configuración de la Directiva de grupo se encuentra situada (en parte) en Active Directory. Esto significa que los cambios realizados en la Directiva de grupo no se aplican inmediatamente. Primero los controladores de dominio deben replicar los cambios de la Directiva de grupo en otros controladores de dominio. Este proceso puede tardar hasta 15 minutos en un sitio y mucho más tiempo si la replicación se lleva a cabo en otros sitios. Una vez replicados los cambios, debe transcurrir todavía otro período de tiempo (cinco minutos para controladores de domino y 90 minutos más o menos un margen de 30 minutos para otros equipos) para que se actualicen los cambios de la directiva en el equipo de destino. Si lo desea, puede hacer que cualquiera de estas acciones se lleve a cabo de forma inmediata. * Para forzar la replicación de controladores de dominio Abra Sitios y servicios de Active Directory, expanda Sitios, expanda el <nombre del sitio> y, a continuación, expanda Servidores. Expanda <nombre del controlador de dominio 1> y <nombre del controlador de dominio 2> y, a continuación, seleccione Configuración NTDS para cada servidor. En el panel derecho, haga clic con el botón secundario del mouse (ratón) en el nombre del objeto de conexión y seleccione Replicar ahora. Así se forzará la replicación de forma inmediata entre los dos controladores de dominio. Repita los pasos 2 y 3 para cada controlador de dominio. * Para actualizar la directiva de forma manual en un servidor En el s ímbolo del sistema del servidor, escriba Secedit /refreshpolicy machine_policy /enforce. Este comando indica al servidor que compruebe si existen actualizaciones de la directiva en Active Directory y, en caso afirmativo, que las descargue inmediatamente. * Para comprobar la configuración de directiva efectiva Inicie la Directiva de seguridad local. En Configuración de seguridad, haga clic en Directivas locales y luego en Opciones de seguridad. En el panel derecho, examine la columna Configuración vigente para comprobar que se ha aplicado la configuración de seguridad correcta. Nota: puesto que va a aplicar la configuración de seguridad por medio de la Directiva de grupo, es muy importante que comprenda a la perfección sus propiedades e interacciones. Las notas del producto de Microsoft "Windows 2000 Group Policy" (en inglés) contienen información más detallada acerca de su implementación. Para obtener más detalles, consulte el apartado "Más información" que se halla al final de este capítulo. Estructura de la Directiva de grupo Las opciones de configuración de la Directiva de grupo se almacenan en dos ubicaciones: GPO – situados en Active Directory. 107 Archivos de plantillas de seguridad – situados en el sistema de archivos local. Los cambios realizados en el GPO se guardan directamente en Active Directory, mientras que los cambios realizados en los archivos de plantillas de seguridad se deben volver a importar al GPO dentro de Active Directory para poder aplicarlos. Nota: esta guía de operaciones incluye plantillas con las que puede modificar sus GPO. Si realiza cambios y modifica directamente los GPO, éstos no estarán sincronizados con los archivos de plantillas. Por lo tanto, se recomienda que modifique los archivos de plantillas y los vuelva a importar al GPO. Windows 2000 incluye varias plantillas de seguridad. Las siguientes plantillas pueden aplicarse en un entorno de baja seguridad. • Basicwk.inf – para Windows 2000 Professional. • Basicsv.inf – para Windows 2000 Server. • Basicdc.inf – para controladores de dominio basados en Windows 2000. Se incluyen todavía más plantillas para implementar una mayor seguridad en los equipos basados en Windows 2000. Éstas proporcionan opciones de configuración de seguridad adicionales con respecto a las plantillas básicas: • Securedc.inf y Hisecdc.inf – para controladores de dominio. • Securews.inf y Hisecws.inf – para servidores y estaciones de trabajo miembros. Estas plantillas se consideran plantillas incrementales porque, para poder agregarlas, primero se deben aplicar las plantillas básicas. Para esta guía se han creado nuevas plantillas de seguridad utilizando Hisecdc.inf y Hisecws.inf como puntos de partida. El objetivo es la creación de un entorno muy restrictivo que luego podrá abrir de forma selectiva para ofrecer la funcionalidad requerida y al mismo tiempo seguir dando la máxima prioridad a la seguridad. Nota: las plantillas de seguridad predeterminadas de Windows 2000 se encuentran almacenadas como archivos .inf en la carpeta %SystemRoot%\Security\Templates. Formato de las plantillas de seguridad Las plantillas de seguridad son archivos de texto. Para modificar los archivos de plantillas, se pueden utilizar las plantillas de seguridad del complemento de MMC o un editor de texto como el Bloc de Notas. La siguiente tabla muestra la asignación de las secciones de directivas a las secciones de los archivos de plantillas. Tabla 3.1.: Correspondencia de las secciones de las plantillas de seguridad con la configuración de la Directiva de grupo. Sección Directivas Sección Plantillas Directiva de cuentas. [System Access] Directiva de auditoria. [System Log] [Security Log] [Application Log] 108 Derechos de usuario. [Privilege Rights] Opciones de seguridad. [Registry Values] Registro de sucesos. [Event Audit] Grupos restringidos. [Group Membership] Servicios del sistema. [Service General Setting] Registro. [Registry Keys] Sistema de archivos. [File Security] Algunas secciones del archivo de plantillas de seguridad, como [File Security] y [Registry Keys], contienen listas de control de acceso (ACL) específicas. Estas ACL son cadenas de texto definidas por el SDDL (Security Descriptor Definition Language). Para obtener más información acerca de SDDL y de cómo modificar plantillas de seguridad, consulte MSDN. Para obtener más detalles, consulte el apartado "Más información" que se halla al final de este capítulo. Entorno de prueba Es imprescindible que evalúe detalladamente cualquier cambio realizado en la seguridad de los sistemas de TI en un entorno de prueba antes de realizar cambios en el entorno de producción. El entorno de prueba deberá reproducir el entorno de producción lo más exactamente posible. Como mínimo, deberá incluir varios controladores de dominio y todas las funciones de servidor miembro que se tenga en el entorno de producción. Las pruebas son necesarias para determinar si el entorno es funcional después de realizar los cambios, pero también es imprescindible para verificar si se ha aumentado el nivel de seguridad tal y como se había planeado. Deberá validar al máximo todos los cambios y llevar a cabo evaluaciones de vulnerabilidad en el entorno de prueba. Nota: antes de que alguien lleve a cabo evaluaciones de vulnerabilidad en la organización, deberá asegurarse de que haya obtenido el correspondiente permiso por escrito. Comprobar el entorno del dominio Para poder implementar la Directiva de grupo en el entorno de producción, es importante que el entorno del dominio sea estable y funcione correctamente. Entre las áreas clave de Active Directory que deben comprobarse, figuran los servidores DNS, la replicación de controladores de dominio y la sincronización temporal. También deberá utilizar un entorno de prueba para garantizar un entorno de producción estable. Comprobar la configuración de DNS La resolución de nombres de DNS resulta esencial para que funcionen correctamente los servidores y los controladores de dominio. Cuando se implementan varios servidores DNS para un dominio, se deberá comprobar cada uno de ellos. Deberá realizar las siguientes pruebas: En controladores de dominio: 109 Ejecute dcdiag /v y netdiag /v con la opci ón detallada para probar el DNS en cada controlador de dominio y verificar cualquier error que se produzca. DCDIAG y NETDIAG se incluyen en el directorio Support Tools del CD de instalación de Windows 2000. Detenga e inicie el servicio Inicio de sesi ón en la red y compruebe si se produjeron errores en el Registro de sucesos. El servicio Inicio de sesión en la red registrará dinámicamente los registros de servicio en el DNS para el controlador de dominio y generará mensajes de error si no consigue registrar correctamente los registros DNS. Estos registros se servicio figuran en el archivo netlogon.dns, que se encuentra en el directorio %SystemRoot%\System32\Config. En los servidores miembros, utilice nslookup o ejecute netdiag /v para comprobar que el DNS funciona correctamente. Replicación de controladores de dominio Es importante que la replicación entre varios controladores de dominio funcione correctamente antes de implementar la Directiva de grupo. Si la replicación no funciona correctamente, los cambios realizados en la Directiva de grupo no se aplicarán a todos los controladores de dominio. Esto puede crear incoherencias entre los servidores que busquen actualizaciones de la Directiva de grupo en los controladores de dominio. Los servidores se actualizarán si apuntan al controlador de dominio en el que se realizó el cambio, mientras que los servidores que apunten a los controladores de dominio que todavía están esperando a que se replique la Directiva de grupo no se actualizarán. Forzar y comprobar la replicación con Repadmin Repadmin es una herramienta de la línea de comandos que se incluye en el directorio Support del CD de Windows 2000. Puede utilizar repadmin para determinar los socios de replicación del directorio del servidor de destino y, a continuación, emitir un comando para sincronizar el servidor de origen con el de destino. Para ello, utilice el identificador único global (GUID) del objeto del servidor de origen. * Para utilizar repadmin con el fin de forzar la replicación entre dos controladores de dominio En el símbolo del sistema de un controlador de dominio, escriba lo siguiente: repadmin /showreps <nombre_servidor_destino> En la sección In bound Neighbors del resultado, busque la partición del directorio que debe sincronizarse y el servidor de origen con el que se debe sincronizar el servidor de destino. Anote el valor del GUID del objeto del servidor de origen. Escriba el siguiente coma ndo para iniciar la replicación: repadmin /sync <nombredominio_partición_directorio> <Guidobjeto_servidor_origen> <nombre_servidor_destino> Nota: una vez tenga el GUID del objeto de cada controlador de dominio, puede crear un archivo de comandos por lotes que utilice la herramienta repadmin para iniciar la replicación entre servidores y obtener el estado acerca de si se realizó correctamente la replicación. 110 Centralizar las plantillas de seguridad Es muy importante que las plantillas de seguridad utilizadas para la producción estén almacenadas en una ubicación segura a la que sólo puedan tener acceso los administradores responsables de implementar la Directiva de grupo. De forma predeterminada, las plantillas de seguridad están almacenadas en la carpeta %SystemRoot%\security\templates de cada controlador de dominio. Esta carpeta no se replica en varios controladores de dominio. Por lo tanto, deberá seleccionar un controlador de dominio para mantener la copia original de las plantillas de seguridad, de forma que no se produzcan problemas de control de versiones con las plantillas. Configuración temporal Es muy importante que la hora del sistema sea exacta y que todos los servidores utilicen la misma fuente temporal. El servicio W32Time de Windows 2000 proporciona sincronización temporal para equipos basados en Windows 2000 que se ejecuten en un dominio de Active Directory. El servicio W32Time garantiza que los relojes de los clientes basados en Windows 2000 estén sincronizados con los controladores de dominio de un dominio. Esto es necesario para la autenticación Kerberos, pero la sincronización temporal también resulta útil para el análisis de los registros de sucesos. El servicio W32Time sincroniza los relojes por medio de SNTP (Simple Network Time Protocol), tal y como se describe en RFC 1769. En un bosque de Windows 2000, la hora se sincroniza del siguiente modo: El maestro de operaciones del emulador del Controlador de Dominio Principal (PDC) en el dominio raíz del bosque es la fuente de tiempo autoritativa de la organización. Todos los maestros de operaciones del PDC de otros dominios del bosque siguen la jer arquía de dominios cuando se selecciona un emulador del PDC con el que sincronizar la hora. Todos los controladores de dominio de un dominio sincronizan la hora con el maestro de operaciones del emulador del PDC de su dominio como su socio temporal de entrada. Todos los servidores miembros y los equipos de escritorio cliente utilizan el controlador de dominio de autenticación como su socio temporal de entrada. Para garantizar la exactitud de la hora, el emulador del PDC del dominio raíz del bosque deberá estar sincronizado con un servidor temporal SNTP externo. Para configurarlo, ejecute el siguiente comando net time, en el que <lista_servidores> es su lista de servidores: net time /setsntp:<lista_servidores> Nota: si el emulador del PDC de la raíz del bosque se encuentra detrás de un servidor de seguridad, es posible que tenga que abrir el puerto UPD 123 del servidor de seguridad para permitir que el emulador del PDC se conecte a un servidor temporal SNTP de Internet. Si su red utiliza sistemas operativos Windows anteriores en esos equipos, los relojes pueden sincronizarse con el siguiente comando en una secuencia de comandos de inicio de sesión, en el que <equipotemporal> es un controlador de dominio de la red. net time \\<equipotemporal> /set /yes 111 Nota: los equipos que ejecuten un sistema operativo distinto de Windows también deberán sincronizar sus relojes con fuentes temporales externas para permitir el análisis de los sucesos registrados en función de la hora. Para obtener más información, consulte el artículo de Microsoft Knowledge Base Q216734, "How to Configure an Authoritative Time Server in Windows" (en inglés). Diseño e implementación de directivas Para utilizar la Directiva de grupo de forma eficiente, deberá determinar cuidadosamente su aplicación. Con el fin de simplificar el proceso de aplicación y comprobación de la configuración de seguridad de la Directiva de grupo, se recomienda aplicarla en dos niveles: Nivel de dominios. Para cumplir los requisitos de seguridad comunes, como las directivas de cuentas y de auditoría que deben respetarse para todos los servidores. Nivel de unidad organizativa. Para cumplir los requisitos de seguridad específicos de servidores que no son comunes a todos los servidores de la red. Por ejemplo, los requisitos de seguridad de los servidores de infraestructuras son distintos de los requisitos de los servidores que ejecutan IIS. Las opciones de configuración de la Directiva de grupo que afectan a la seguridad se encuentran divididas en varias secciones. Tabla 3.2.: Secciones de la Directiva de grupo y su finalidad. Sección Directivas Descripción Directiva de cuentas\Directiva de contraseñas. Duración, longitud y complejidad de la contraseña configuradas. Directiva de cuentas\Directiva de bloqueo de cuentas. Duración, umbral y contador de restablecimiento de bloqueo configurados. Directiva de cuentas\Directiva de Kerberos. Vigencias de vales configuradas. Directivas auditoría. locales\Directiva de Activar/Desactivar el registro de sucesos específicos. Directivas usuario. locales\Derechos de Definir derechos tales como el inicio de sesión local, el acceso desde la red, etc. Directivas locales\Opciones seguridad. de Modificar valores del registro específicos relacionados con la seguridad. Registro de sucesos. Supervisión de aciertos y errores activada. Grupos restringidos. Los administradores pueden controlar los miembros de grupos específicos. Servicios del sistema. Controla el modo de inicio de cada servicio. Registro. Configurar los permisos de claves de registro. 112 Sistema de archivos. Configurar los permisos de carpetas, subcarpetas y archivos. Todos los equipos tienen una directiva local predefinida. Al crear un dominio de Active Directory, se crean también directivas de dominios y de controladores de dominio predeterminadas. Antes de modificar cualquier directiva predeterminada, es importante documentar la configuración que contiene, de forma que se pueda volver fácilmente al estado anterior si se produce un problema. Funciones del servidor Para esta guía, se han definido varias funciones del servidor y se han creado plantillas de seguridad para aumentar la seguridad de estas funciones. Tabla 3.3.: Funciones de Windows 2000 Server. Función del servidor Descripción Plantillas de seguridad Controlador de dominio de Windows 2000. Controlador de dominio de Active Directory. BaselineDC.inf. Servidor de aplicaciones de Windows 2000. Servidor miembro bloqueado en el que se pueden instalar servicios como Exchange 2000. Para que el servicio funcione correctamente, será necesario disminuir la seguridad. Baseline.inf. Servidor de archivos e impresión de Windows 2000. Servidor de archivos impresión bloqueado. e Baseline.inf y File and Print Incremental.inf. Servidor de infraestructuras de Windows 2000. Servidor DNS, WINS (Windows Internet Name Service) y DHCP bloqueado. Baseline.inf e Infrastructure Incremental.inf. Servidor IIS de Windows 2000. Servidor IIS bloqueado. Baseline.inf e Incremental.inf. IIS Los requisitos de seguridad de cada una de estas funciones son distintos. La configuración de seguridad apropiada para cada función se trata en mayor detalle en el capítulo 4, "Asegurar servidores basándose en su función". Nota: esta guía asume que los servidores realizan funciones específicas bien definidas. Si los servidores no coinciden con estas funciones o tiene servidores multiuso, deberá utilizar las opciones de configuración aquí definidas como pauta para crear sus propias plantillas de seguridad. No obstante, deberá tener en cuenta que cuanto mayor sea el número de funciones realizadas por los servidores, más vulnerables serán a los ataques. 113 Estructura de Active Directory para admitir las funciones del servidor Tal y como se mencionó anteriormente, se puede aplicar la Directiva de grupo de muchas formas distintas, con varios GPO y en varios niveles distintos de jerarquía. Para esta guía, hemos definido varias opciones de configuración de la Directiva de grupo que se pueden utilizar para asegurar las distintas funciones del servidor. Deberá asegurarse de que su estructura de Active Directory le permite aplicar estas opciones de configuración. Para ayudarle a asegurar su entorno basado en Windows 2000, se han predefinido algunas plantillas de seguridad que se pueden importar a los GPO. No obstante, si se van a utilizar tal y como se proporcionan, deberá comprobar que tienen la estructura de Active Directory adecuada. Los GPO definidos en esta guía se han diseñado para utilizarlos con la estructura de unidad organizativa que se muestra en el diagrama. Ilustración 3.2. Estructura de unidad organizativa para el uso con GPO definidos. Nota: en este caso, la estructura del dominio no es relevante, puesto que las Directivas de grupo de dominios y de unidad organizativa sólo afectan a los dominios en los que se definieron. La estructura del sitio tampoco tiene importancia, puesto que en esta guía no se definen los GPO en el nivel de sitios. Para crear la estructura de unidad organizativa 1. Inicie Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario del mouse en el nombre del dominio, seleccione Nuevo y, a continuación, seleccione Unidad organizativa. 3. Escriba Servidores miembros y, a continuación, haga clic en Aceptar. 4. Haga clic con el botón secundario del mouse en Servidores miembros, seleccione Nuevo y, a continuación, seleccione Unidad organizativa. 5. Escriba Servidores de aplicaciones y, a continuación, haga clic en Aceptar. 6. Repita los pasos 5 y 6 para Servidores de archivos e impresión, Servidores IIS y Servidores de infraestructuras. 114 Es importante examinar de forma más detallada la estructura de unidad organizativa. Directiva del nivel de dominios Cuando se crea un dominio de Windows 2000, se crea una directiva de dominio predeterminada. Para la configuración de seguridad que desea aplicar a todo el dominio, puede: Crear una directiva adicional y vincularla sobre la directiva predeterminada. Modificar la directiva predeterminada existente. Normalmente, resulta más sencillo modificar la directiva existente; no obstante, la ventaja de crear una directiva de dominio adicional en lugar de modificar la predeterminada es que si se producen problemas con la adicional, puede desactivarse y dejar que la predeterminada vuelva a tomar el control. Tenga en cuenta que, a menudo, los dominios contienen usuarios y equipos cliente además de servidores. Por lo tanto, si desea bloquear servidores, a menudo resultará poco práctico definir la configuración específica en el nivel de dominios. En la práctica, suele ser mejor restringir las opciones de configuración de seguridad del servidor a las que se deben establecer en el nivel de dominios. En esta guía de operaciones, no se definen opciones de configuración específicas en el nivel de dominios, puesto que muchas de ellas, como la longitud de contraseñas, se modificarán en función de la directiva de seguridad general de la organización. No obstante, la guía contiene recomendaciones generales, que pueden consultarse en el capítulo 4, "Asegurar servidores basándose en su función". Nota: la directiva de contraseñas y de cuentas SÓLO afecta a las cuentas del dominio si éstas se han configurado en el nivel de dominios (de forma que sólo se puede configurar una directiva de contraseñas y de cuentas por dominio). Si las directivas se establecen en el nivel de unidad organizativa o en cualquier otro nivel, sólo afectarán a las cuentas locales. Para obtener más información, consulte el artículo de Knowledge Base Q259576,"Group Policy Application Rules for Domain Controllers" (en inglés). Unidad organizativa de los servidores miembros Muchas de las opciones de configuración de seguridad que se definen para los servidores miembros deberán aplicarse a todas las funciones de servidores miembros. Para simplificar este proceso, se ha creado una plantilla de seguridad de línea de base denominada Baseline.inf que puede importarse a un GPO y aplicarse a la unidad organizativa de los servidores miembros. Estas opciones de configuración se aplicarán tanto a la unidad organizativa de los servidores miembros como a cualquiera de las unidades organizativas secundarias. Unidad organizativa de los controladores de dominio Windows 2000 incluye una unidad organizativa de controladores de dominio. Cuando un servidor se convierte en un controlador de dominio, se ubica automáticamente en la unidad y no se debe eliminar, puesto que puede causar problemas de inicio de sesión y de acceso a los usuarios. Con esta guía, se proporciona una plantilla de seguridad denominada BaselineDC.inf, que puede importarse a un GPO y aplicarse a la unidad organizativa de los controladores de dominio. Puede 115 aplicarla al GPO de controladores de dominio predeterminado o simplemente modificar las opciones de configuración del GPO de controladores de dominio predeterminado. Unidades organizativas individuales de funciones del servidor Las unidades organizativas individuales de funciones del servidor son unidades organizativas secundarias de la unidad organizativa del servidor miembro. Por esta razón, estos servidores adoptarán las opciones de configuración definidas en la Directiva de línea de base para los servidores miembros de forma predeterminada. Si se utiliza la directiva de línea de base para asegurar los servidores miembros, se deberá llevar a cabo modificaciones que se aplicarán a cada función del servidor. Para ello, se puede asignar GPO a cada unidad organizativa de funciones del servidor. Con esta guía, se proporcionan plantillas de seguridad que se puede importar a GPO para cada unidad organizativa de funciones del servidor. Las funciones del servidor se tratan en mayor detalle en el capítulo 4, "Asegurar servidores basándose en su función". Importar las plantillas de seguridad El siguiente procedimiento importa las plantillas de seguridad proporcionadas con esta guía a la estructura de unidad organizativa propuesta en este capítulo. Para poder implementar el siguiente procedimiento en un controlador de dominio, se deberá extraer el contenido del archivo SecurityOps.exe file que se proporciona con esta guía. Advertencia: las plantillas de seguridad de esta guía se han diseñado para aumentar la seguridad del entorno. Es posible que, al instalar las plantillas proporcionadas con la guía, se pierda alguna funcionalidad del entorno. Esto puede incluir errores de aplicaciones fundamentales. Por lo tanto, es ESENCIAL que se pruebe al máximo estas plantillas antes de instalarlas en un entorno de producción y se realicen los cambios adecuados para el entorno. Antes de aplicar nuevas opciones de configuración de seguridad, realice una copia de seguridad de cada servidor y controlador de dominio. Asegúrese de incluir el estado del sistema en la copia de seguridad, puesto que en él se guardan los datos del registro y, que respecto a los controladores de dominio, también incluye todos los objetos de Active Directory. Nota: antes de continuar, si utiliza Windows 2000 Service Pack 2, deberá aplicar la revisión descrita en el artículo de Knowledge Base Q295444, "SCE Cannot Alter a Service's SACL Entry in the Registry" (en inglés). Si no se aplica esta revisión, las plantillas de la Directiva de grupo no podrán desactivar ningún servicio. Importar la directiva de línea de base de controladores de dominio 1. En Usuarios y Equipos de Active Directory, haga clic con el botón secundario del mouse en Controladores de Dominio y, a continuación, seleccione Propiedades. 2. En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo Objeto de directiva de grupo. 3. Escriba Directiva de línea de base de controladores de dominio y presione Entrar. 4. Haga clic con el botón secundario del mouse en Directiva de línea de base de controladores de dominio y seleccione No reemplazar. 116 Nota: se requiere esta opción de configuración porque la directiva de controladores de dominio predeterminada configura todas las opciones de configuración de directivas de auditoría como Sin auditoría, con la excepción de la administración de cuentas. Puesto que la directiva de controladores de dominio predeterminada tiene mayor prioridad, la opción de configuración Sin auditoría se convertirá en la opción de configuración válida. 5. Haga clic en Modificar. 6. Expanda la Configuración de Windows, haga clic en Configuración de seguridad con el botón secundario y seleccione Importar directiva. Nota: si Importar directiva no aparece en el menú, cierre la ventana Directiva de grupo y repita los pasos 4 y 5. 7. En el cuadro de diálogo Importar la directiva desde, desplácese a C:\SecurityOps\Templates y haga doble clic en BaselineDC.inf. 8. Cierre Directiva de grupo y haga clic en Cerrar. 9. Fuerce la réplica entre los controladores de dominio a fin de que todos los controladores dispongan de la directiva. 10. Compruebe en el Registro de sucesos que se ha descargado correctamente la directiva y que el servidor puede comunicarse con los otros controladores de dominio del dominio. 11. Reinicie todos los controladores de dominio de uno en uno para garantizar un reinicio correcto. Importar las directivas de servidores miembros 1. En Usuarios y equipos de Active Directory, haga clic con el botón secundario del mouse en Servidores miembros y, a continuación, seleccione Propiedades. 2. En la ficha Directiva de grupo, haga clic en Nuevo para agregar un nuevo Objeto de directiva de grupo. 3. Escriba Directiva de línea de base y presione Entrar. 4. Haga clic en Modificar. 5. Expanda la Configuración de Windows, haga clic en Configuración de seguridad con el botón secundario y seleccione Importar directiva. Nota: si Importar directiva no aparece en el menú, cierre la ventana Directiva de grupo y repita los pasos 4 y 5. 6. En el cuadro de diálogo Importar la directiva desde, desplácese a C:\SecurityOps\Templates y haga doble clic en Baseline.inf. 7. Cierre Directiva de grupo y haga clic en Cerrar. 8. Repita los pasos 1 a 7 con la unidad organizativa y los archivos de plantillas de seguridad siguientes: 117 Unidad organizativa Plantilla de seguridad Servidores de archivos e impresión File and Print Incremental.inf Servidores IIS IIS Incremental.inf Servidores de infraestructuras Infrastructure Incremental.inf 9. Fuerce la réplica entre los controladores de dominio a fin de que todos los controladores dispongan de la directiva. 10. Mueva un servidor para cada función a la unidad organizativa correspondiente y, en el servidor, descargue la directiva por medio del comando secedit. 11. Compruebe en el Registro de sucesos que se ha descargado correctamente la directiva y que el servidor puede comunicarse con los controladores de dominio y con otros servidores del dominio. Después de realizar pruebas con resultados satisfactorios en un servidor de la unidad organizativa, mueva los servidores restantes a la unidad organizativa y, a continuación, aplique la seguridad. 12. Reinicie cada servidor para asegurarse de que se reinician correctamente. Mantener la seguridad de la configuración de la Directiva de grupo Si aplica la configuración de seguridad por medio de la Directiva de grupo, es importante garantizar que la configuración sea lo más segura posible. Para ello, se suele comprobar que los permisos de los GPO y de las unidades organizativas y los dominios en los que se aplica se hayan configurado correctamente. Las plantillas proporcionadas con esta guía no modifican los permisos predeterminados de Active Directory, por lo que necesitará modificarlos de forma manual. Puede suceder que la configuración de la Directiva de grupo definida en contenedores de nivel superior sea reemplazada por la configuración de contenedores de nivel inferior. Para evitar que se reemplace la configuración de un contenedor de nivel superior, utilice la opción No reemplazar del GPO. Nota: no establezca No reemplazar en la directiva de línea de base para los servidores miembros. Si lo hace, las directivas de funciones del servidor no podrán activar los servicios y las opciones de configuración adecuados. Además de separar las funciones del servidor en el nivel de unidad organizativa, también deberá crear las funciones de administrador correspondientes por separado y asignarles derechos administrativos sobre las unidades organizativas que les correspondan. De este modo, si un intruso consigue hacerse con los derechos administrativos del servidor IIS, no podrá tener acceso a los servidores de infraestructuras y así sucesivamente. Sólo los administradores del nivel de dominios y superiores deben tener derechos para modificar los miembros de una unidad organizativa. Si un administrador del nivel de unidad organizativa puede eliminar un servidor de la misma, podrá modificar la configuración de seguridad de los servidores. Una vez aplicada la directiva a los servidores, todavía deberán llevarse a cabo varias tareas. Deberá comprobar los servidores regularmente para asegurarse de que: 118 Se ha aplicado la directiva correcta al servidor. Ning ún administrador ha cambiado una opción de configuración de la directiva y ha disminuido el nivel de seguridad de los servidores. Se han aplicado todos los cambios o las act ualizaciones a todos los servidores. Al comprobar que la configuración del GPO se ha aplicado a los servidores de forma correcta, sabrá que los servidores se han asegurado adecuadamente. Puede utilizar varios métodos para examinar la Directiva de grupo de un servidor y comprobar si se ha configurado correctamente. Sucesos del Registro de sucesos Si se descarga correctamente la directiva, se muestra un suceso del Registro de sucesos con la siguiente información: Tipo: información Id. de origen: SceCli Id. de suceso: 1704 Cadena de mensaje: la directiva de seguridad de los objetos de directiva de grupo se ha aplicado correctamente. Puede que el mensaje tarde varios minutos en aparecer tras haber aplicado la directiva. Si no recibe el mensaje, deberá ejecutar secedit /refreshpolicy machine_policy /enforce y, a continuación, reiniciar el servidor para forzar la descarga de la directiva. Vuelva a comprobar el Registro de sucesos tras haber reiniciado para asegurarse de que se ha descargado correctamente la directiva. Nota: cuando los servicios están establecidos como Deshabilitado en un GPO y se reinicia una vez el servidor, normalmente los servicios se habrán reiniciado antes de que se aplique la configuración definida en el GPO. Si vuelve a reiniciar el servidor, se garantiza que no se inicien los servicios establecidos como Deshabilitado. Comprobar la directiva con el MMC de la directiva de seguridad local Para comprobar si se ha aplicado correctamente la directiva, también puede revisar la configuración de directiva efectiva del servidor local. u Para comprobar la configuración de directiva efectiva 1. Inicie el MMC de la Directiva de seguridad local. 2. En Configuración de seguridad, haga clic en Directivas locales y luego en Opciones de seguridad. 3. En el panel derecho, muestre la columna Configuración vigente. La columna Configuración vigente deberá mostrar las opciones configuradas en la plantilla para la función del servidor seleccionado. 119 Comprobar la directiva con herramientas de la línea de comandos Existen también dos herramientas de la línea de comandos que sirven para comprobar la configuración de la directiva. Secedit Esta herramienta está incluida en Windows 2000 y sirve para mostrar las diferencias existentes entre el archivo de plantillas y la directiva del equipo. Para comparar una plantilla con la directiva actual de un equipo, utilice la siguiente línea de comandos: secedit /analyze /db secedit.sdb /cfg <nombre de la plantilla> Nota: si aplica las plantillas proporcionadas con esta guía y, a continuación, ejecuta el comando anterior, se generará un error de acceso denegado. Esto se debe a la seguridad adicional aplicada. También se generará un archivo de registro con los resultados del análisis. Gpresult Windows 2000 Server. Kit de recursos (Microsoft Press, ISBN: 1-57231-805-8) incluye una herramienta denominada GPResult que sirve para mostrar las directivas aplicadas en la actualidad a un servidor. Para obtener una lista de las directivas aplicadas a un servidor, utilice la siguiente línea de comandos: Gpresult /c Nota: Gpresult se trata en mayor detalle en el apartado "Solucionar problemas de la Directiva de grupo" más adelante en este capítulo. Auditar la Directiva de grupo Se pueden auditar los cambios de la Directiva de grupo. La auditoría de los cambios de la directiva puede servir para realizar un seguimiento de las personas que están modificando o intentando modificar la configuración de directiva. La auditoría de los aciertos y errores de los cambios de la directiva se activa en las plantillas de seguridad de línea de base. Solucionar problemas de la Directiva de grupo Aunque la Directiva de grupo se aplica de forma automática, es posible que la Directiva de grupo resultante de un servidor no sea la que se esperaba, principalmente porque puede configurarse en varios niveles. En este apartado se proporcionan instrucciones que pueden utilizarse para solucionar problemas de la Directiva de grupo. Nota: si se produce un problema específico de la Directiva de grupo que no se menciona en este capítulo, consulte Microsoft Knowledge Base. Algunos artículos importantes de Knowledge Base acerca de la Directiva de grupo figuran en el apartado "Más información" al final de este capítulo y en las notas del producto "Troubleshooting Group Policy" (en inglés). Herramientas del kit de recursos GPResult y GpoTool son dos herramientas de Windows 2000 Server. Kit de recursos que le ayudarán a solucionar problemas de la Directiva de grupo. 120 Nota: estas herramientas también se encuentran disponibles en línea; consulte el apartado "Más información" que se halla al final de este capítulo para obtener más detalles. GPResult Esta herramienta proporciona una lista de todos los GPO que se han aplicado a un equipo, el controlador de dominio del que proceden los GPO y la fecha y la hora en la que se aplicaron los GPO la última vez. Al ejecutar GPResult en un servidor para comprobar que tiene los GPO correctos, utilice el modificador /c para mostrar únicamente información acerca de la configuración del equipo. Cuando se utiliza GPResult con el modificador /c, proporciona la siguiente información general: Sistema operativo: Tipo (Professional, Server, controlador de dominio). N úmero de versión y detalles de Service Pack. Si est á instalado Servicios de Terminal Server y, en caso afirmativo, el modo que utiliza. Informaci ón del equipo: Nombre y ubicación del equipo en Active Directory (si corresponde). Nombre y tipo de dominio (Windows NT o Windows 2000). Nombre del sitio. GPResult con el modificador /c también proporciona la siguiente información acerca de la Directiva de grupo: Última vez que se aplicó la directiva y el controlador de dominio que la aplicó, para el usuario y el equipo. Lista completa de los Objetos de directiva de grupo y sus detalles, incluido un resumen de las extensiones que contiene cada Objeto de directiva de grupo. Configuraci ón del registro aplicada y sus detalles. Carpetas redirigidas y sus detalles. Informaci ón de gestión de software, incluidas las aplicaciones asignadas y publicadas. Informaci ón de la cuota de disco. Configuraci ón de seguridad IP. Archivos de comandos. GpoTool 121 Esta herramienta de la línea de comandos le permite comprobar las condiciones de los Objetos de directiva de grupo en controladores de dominio, entre ellas: Comprobar la coherencia de los Objetos de directiva de grupo. La herramienta lee las propiedades de los servicios de directorio obligatorias y opcionales (versión, nombre descriptivo, GUID de extensiones y datos del volumen del sistema [SYSVOL] de Windows 2000 [Gpt.ini]), compara números de versión de los servicios de directorio y SYSVOL y lleva a cabo otras comprobaciones de coherencia. Si la propiedad de las extensiones contiene algún GUID, la versión de funcionalidad debe ser 2 y la versión del usuario o equipo debe ser superior a 0. Comprobar la replicación del Objeto de directiva de grupo. Lee las instancias de GPO de cada controlador de dominio y las compara (propiedades seleccionadas del contenedor de la Directiva de grupo y comparación recursiva completa de la plantilla de la Directiva de grupo). Mostrar información acerca de un GPO determinado. Incluye propiedades a las que no se puede tener acceso mediante el complemento Directiva de grupo, como la versión de funcionalidad y los GUID de extensiones. Examinar GPO. Una opción de la línea de comandos permite realizar búsquedas de directivas en función del nombre descriptivo o el GUID. Es posible realizar búsquedas parciales del nombre o el GUID. Controladores de dominio preferidos. De forma predeterminada, se utilizarán todos los controladores disponibles en el dominio, aunque se puede omitir este comportamiento si se incluye en la línea de comandos una lista de los controladores de dominio preferidos. Ejecutar en distintos dominios. Existe una opción de la línea de comandos que permite comprobar las directivas de distintos dominios. Ejecutar en modo detallado. Si todas las directivas son correctas, la herramienta muestra un mensaje de validación; si hay errores, se imprime información acerca de las directivas dañadas. Una opción de la línea de comandos permite activar la información detallada para cada una de las directivas que se procesan. Utilice la siguiente línea de comandos para obtener detalles acerca de una Directiva de grupo y de si se detectan errores en la directiva: GPOTool /gpo:<nombre de gpo> Errores del Registro de sucesos de la Directiva de grupo Algunos errores del Registro de sucesos de la Directiva de grupo indican problemas específicos del entorno. Los dos siguientes no permiten que se aplique correctamente la Directiva de grupo: En un controlador de dominio, el suceso de advertencia 1202 combinado con el suceso de error 1000. Suele indicar que se ha movido un controlador de dominio de la unidad organizativa de controladores de dominio a otra unidad organizativa que no tiene vinculado el GPO de controladores de dominio predeterminado. Cuando un administrador intenta abrir uno de los GPO predeterminados, se devuelve el siguiente error: No se puede abrir el objeto de directiva de grupo. 122 Puede que no disponga de los derechos adecuados. Detalles: error no especificado. En el registro de sucesos, aparecen los sucesos 1000, 1001 y 1004. Esto se debe a un archivo registry.pol dañado. Los errores deberían desaparecer al eliminar el archivo registry.pol de SYSVOL, reiniciar y realizar un cambio en el servidor. Resumen La Directiva de grupo de Windows 2000 es un método útil para proporcionar una configuración coherente a todo el entorno basado en Windows 2000. Para aplicarla de forma eficaz, deberá saber dónde se aplican los GPO, comprobar que todos los servidores reciben la configuración adecuada y asegurarse de haber definido una seguridad apropiada para los GPO. Más información Notas del producto de Microsoft acerca de la Directiva de grupo: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp (en inglés). Notas del producto de Microsoft acerca de la solución de problemas de la Directiva de grupo: http://www.microsoft.com/Windows2000/techinfo/howitworks/management/gptshoot.asp inglés). (en Artículos de Knowledge Base acerca de la solución de problemas de la Directiva de grupo: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q250842 (en inglés). http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q216359 (en inglés). Formato del archivo de plantillas administrativas: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/policy/policyref_17hw.asp inglés). (en Lenguaje de definición del descriptor de seguridad: http://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/accctrl_757p.asp inglés). (en Para obtener herramientas adicionales e información acerca de la Directiva de grupo, consulte: Windows 2000 Server. Kit de recursos (Microsoft Press, ISBN: 1-57231-805-8) o en línea: http://www.microsoft.com/windows2000/techinfo/reskit/default.asp (en inglés). 4. Asegurar servidores basándose en su función En el capítulo anterior, observamos cómo se puede usar una directiva de grupo para definir la configuración de seguridad en los servidores. En este capítulo, veremos aspectos más específicos, como las directivas de línea de base que se pueden definir para todos los servidores 123 miembros y controladores de dominio de la organización, y otras modificaciones que puede aplicar a funciones específicas del servidor. Este enfoque permite que los administradores bloqueen los servidores por medio de directivas de línea de base centralizadas, aplicadas de forma coherente a todos los servidores de la organización. Las directivas de línea de base sólo permiten una funcionalidad mínima, pero sí permiten que los servidores se comuniquen con otros equipos en el mismo dominio y su autenticación a través de los controladores de dominio. A partir de este estado más seguro, se pueden aplicar otras directivas incrementales más, que permiten que cada servidor realice únicamente las tareas específicas definidas por su función. Su estrategia de administración de riesgos determinará si es apropiado para su entorno que lleve a cabo estos cambios. Estas operaciones guían la implementación de las directivas de particiones de la siguiente manera: Directiva para todo el dominio . Aborda los requisitos de seguridad comunes, como las directivas de cuentas que se deben aplicar para todos los servidores y estaciones de trabajo. Directivas para el controlador de dominio . Directivas que se aplican a la OU de los controladores de dominio. En particular, la configuración afecta a las directivas de auditoría, las opciones de seguridad y la configuración de servicios. Directivas de l ínea de base para los servidores miembros. La configuración común para todos los servidores miembros, como las directivas de auditoría, la configuración de servicios, las directivas que restringen el acceso al registro, el sistema de archivos y otros parámetros de seguridad específicos, como borrar el archivo de páginas de la memoria virtual al apagar el sistema. Directivas para la función del servidor. Se definen cuatro funciones distintas de servidor: servidores de aplicaciones, servidores de archivos y de impresión, servidores de infraestructura y servidores IIS. Para cada función, se describen necesidades y configuraciones de seguridad específicas. Este capítulo trata acerca de estas directivas y de otras configuraciones que se deben definir para determinadas funciones de servidor. Para obtener más información acerca del uso de las directivas de grupo para aplicar configuraciones de seguridad, consulte el capítulo 3, "Administrar la seguridad con la Directiva de grupo de Windows 2000". Directivas de dominio En este manual de operaciones, no se aplica una configuración específica en el nivel de dominio, ya que muchos de estos parámetros, como la longitud de la contraseña, varían dependiendo de las directivas de seguridad globales de la organización. No obstante, es muy importante que defina esta configuración de manera apropiada. Directiva de contraseñas De forma predeterminada, se aplica una directiva de contraseñas estándar a todos los servidores del dominio. La tabla muestra la configuración de una directiva de contraseñas estándar y los mínimos recomendados para su entorno. Tabla 4.1.: Directiva de contraseñas: configuración predeterminada y recomendada. 124 Directiva Configuración predeterminada Configuración mínima recomendada Forzar el historial de contraseñas 1 contraseña recordada 24 contraseñas recordadas Vigencia máxima de la contraseña 42 días 42 días Vigencia mínima de la contraseña 0 días 2 días Longitud mínima de la contraseña 0 caracteres 8 caracteres Las contraseñas deben cumplir los requisitos de complejidad Deshabilitado Habilitado Almacenar contraseña usando cifrado reversible para todos los usuarios del dominio Deshabilitado Deshabilitado Requisitos de complejidad Cuando está activada la opción Las contraseñas deben cumplir los requisitos de complejidad de la directiva de grupo, es necesario que las contraseñas tengan una longitud de al menos 6 caracteres (aunque se recomienda establecerla en 8 caracteres). También se necesita que las contraseñas contengan caracteres de al menos tres de estas clases: Letras del alfabeto ingl és en mayúsculas A, B, C… Z. Letras del alfabeto ingl és en minúsculas a, b, c… z. Números arábigos 0, 1, 2… 9. Caracteres que no sean alfanum éricos, como los signos de puntuación. Nota: la directiva de contraseñas no sólo debe aplicarse en los servidores que ejecutan Windows 2000, sino en todos los dispositivos que utilicen una contraseña para la autenticación. Los dispositivos de red, como los enrutadores y los conmutadores, son muy sensibles a los ataques si utilizan contraseñas simples. Los atacantes pueden intentar controlar estos dispositivos de red para superar los servidores de seguridad. Directiva de bloqueo de cuentas Una directiva eficaz de bloqueo de cuentas puede evitar que un atacante adivine las contraseñas de sus cuentas. La siguiente tabla muestra la configuración de una directiva de bloqueo de cuentas predeterminada y los requisitos mínimos recomendados para su entorno. Tabla 4.2.: Directiva de cuentas: configuración predeterminada y recomendada. Directiva Configuración predeterminada Configuración mínima recomendada Duración del bloqueo de No definido 30 minutos 125 cuenta Umbral cuenta de bloqueo de Restablecer el bloqueo de cuenta después de 0 5 intentos incorrectos de inicio de sesión No definido 30 minutos Con los mínimos recomendados que se indican aquí, una cuenta que tenga cinco intentos incorrectos de inicio de sesión en un plazo de 30 minutos se bloquea durante 30 minutos (transcurrido este tiempo, se restablece la configuración en 0 intentos incorrectos y se puede volver a intentar iniciar una sesión). La cuenta sólo se puede activar antes de que hayan transcurrido los 30 minutos si un administrador restablece el bloqueo. Para aumentar el nivel de seguridad de su organización, debe considerar la posibilidad de aumentar la duración del bloqueo de cuenta y disminuir el umbral de bloqueo. Nota: las directivas de contraseña y de cuentas deben establecerse en el nivel de dominio. Si se establecen en el nivel de la OU o en cualquier otro lugar de Active Directory, afectarán a las cuentas locales y no a las cuentas de dominio. Sólo se puede tener una directiva de cuentas de dominio; para obtener más información, consulte el artículo de Knowledge Base Q255550, "Configuring Account Policies in Active Directory" (en inglés). Directivas de línea de base para los servidores miembros Una vez establecida la configuración en el nivel de dominio, puede definir la configuración común para todos los servidores miembros. Esto se hace a través de un GPO en la OU del servidor miembro, conocido como directiva de línea de base. Un GPO común automatiza el proceso de configuración de parámetros de seguridad específicos en cada servidor. También deberá aplicar manualmente cierta configuración de seguridad adicional que no se puede aplicar mediante directivas de grupo. Directiva de grupo de línea de base para los servidores miembros La configuración de la directiva de línea de base que se utiliza en este manual se obtiene de la directiva hisecws.inf incluida en las instalaciones del servidor y de las estaciones de trabajo. Algunas de las áreas incluidas en hisecws.inf son: Directiva de auditoría. Determina cómo se lleva a cabo la auditoría en los servidores. Opciones de seguridad. Determina la configuración de seguridad específica mediante valores de registro. Listas de control de acceso a registros. Determinan quién tiene acceso a los registros. Listas de control de acceso a archivos. Determinan quién tiene acceso al sistema de archivos. Configuración de servicios. Determina qué servicios se inician, se detienen, se deshabilitan, etc. Para este manual, hemos modificado hisecws.inf para hacerlo más seguro. La Directiva de línea de base para los servidores miembros, baseline.inf, ayuda a crear un servidor notablemente más resistente a los ataques en los entornos de producción. Hisecws.inf se ha modificado agregándole: 126 Valores del registro relacionados con la seguridad. Configuraci ón de servicios. Listas de control de acceso a archivos m ás restringidas. Una configuraci ón de auditoría mejorada. Directiva de línea de base para la auditoría de servidores miembros La configuración de los registros de sucesos del sistema, de seguridad y de las aplicaciones se establece en la directiva y se aplica a todos los servidores miembros del dominio. El tamaño de cada uno de estos registros se establece en 10 megabytes (MB) y se configura cada registro para que no sobrescriba sucesos. Por lo tanto, es importante que un administrador los revise regularmente y los archive o los borre, según sea necesario. Nota: si un sistema de administración controla regularmente los registros para detectar sucesos específicos, y extrae y reenvía los detalles a una base de datos de administración, se capturarán los datos necesarios y, por lo tanto, podrá establecer que los archivos de registro se sobrescriban. La siguiente tabla muestra la configuración definida en la Directiva de línea de base para la auditoría de servidores miembros. Tabla 4.3.: Configuración de la Directiva de línea de base para la auditoría de servidores miembros. Directiva Configuración del equipo Auditar sucesos de inicio de sesión de cuenta Acierto, error Auditar la administración de cuentas Acierto, error Auditar el acceso al servicio de directorios Error Auditar sucesos de inicio de sesión Acierto, error Auditar el acceso a objetos Acierto, error Auditar el cambio de directivas Acierto, error Auditar el uso de privilegios Error Auditar el seguimiento de procesos No auditar Auditar sucesos del sistema Acierto, error Restringir el acceso de Invitado al registro de aplicaciones Habilitado Restringir el acceso de Invitado al registro de seguridad Habilitado 127 Restringir el acceso de Invitado al registro del sistema Habilitado Método de retención del registro de la aplicación No sobrescribir sucesos (limpiar el registro manualmente) Método de retención del registro de seguridad No sobrescribir sucesos (limpiar el registro manualmente) Método de retención del registro del sistema No sobrescribir sucesos (limpiar el registro manualmente) Apagar el equipo cuando se llene el registro de auditorías de seguridad No definido Nota: se muestra la configuración de la directiva para el método de retención Manualmente, lo que significa que no se sobrescribirán los sucesos (el registro se borrará manualmente). Directiva de línea de base para las opciones de seguridad de los servidores miembros Las siguientes opciones de seguridad están configuradas en la directiva de grupo de línea de base. Tabla 4.4.: Configuración de la directiva de línea de base para las opciones de seguridad de los servidores miembros. Opción Configuración Restricciones adicionales para conexiones anónimas No obtener acceso sin permisos anónimos explícitos Permitir a los operadores de servidor programar tareas (sólo controladores de dominio) Deshabilitado Permitir apagar el sistema sin tener que iniciar sesión Deshabilitado Permitir expulsar medios NTFS extraíbles Administradores Tiempo de inactividad requerido antes de desconectar la sesión 15 minutos Auditar el acceso de objetos globales del sistema Deshabilitado Auditar el uso del privilegio de copia de seguridad y restauración Deshabilitado Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión No definido (vea la nota) 128 Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión (local) Habilitado Borrar el archivo de páginas de la memoria virtual al apagar el sistema Habilitado Firmar digitalmente la comunicación con el cliente (siempre) Habilitado Firmar digitalmente la comunicación con el cliente (cuando sea posible) Habilitado Firmar digitalmente la comunicación con el servidor (siempre) Habilitado Firmar digitalmente la comunicación con el servidor (cuando sea posible) Habilitado Deshabilitar el requisito de presionar Ctrl+Alt+Supr para iniciar la sesión Deshabilitado No mostrar el último nombre de usuario en la pantalla de inicio de sesión Habilitado Nivel de autenticación de LAN Manager Enviar sólo respuestas NTLMv2, rechazar LM y NTLM Texto del mensaje para los usuarios que intentan conectarse Título del mensaje para los usuarios que intentan conectarse Núm. de inicios de sesión previos en la caché (en caso de que el controlador de dominio no esté disponible) 0 inicios de sesión Impedir el mantenimiento de la contraseña de la cuenta de equipo Deshabilitado Impedir que los usuarios controladores de impresora Habilitado instalen Pedir al usuario cambiar la contraseña antes de que caduque 14 días Consola de recuperación: permitir el inicio de sesión administrativo automático Deshabilitado Consola de recuperación: permitir la copia de disquetes y el acceso a todas las unidades y carpetas Deshabilitado 129 Cambiar el nombre de la cuenta de administrador No definido Cambiar el nombre de la cuenta de invitado No definido Restringir el acceso a la unidad de CD-ROM sólo al usuario con sesión iniciada localmente Habilitado Restringir el acceso a la unidad de disquete sólo al usuario con sesión iniciada localmente Habilitado Canal seguro: cifrar o firmar digitalmente datos de un canal seguro (siempre) Habilitado Canal seguro: cifrar digitalmente datos de un canal seguro (cuando sea posible) Habilitado Canal seguro: firmar digitalmente datos de un canal seguro (cuando sea posible) Habilitado Canal seguro: requerir clave de sesión protegida (Windows 2000 o posterior) Habilitado Partición segura del sistema (sólo para plataformas RISC) No definido Enviar contraseña no cifrada para conectar con servidores SMB de otros fabricantes Deshabilitado Apagar el sistema de inmediato si no puede registrar auditorías de seguridad Habilitado (vea la segunda nota) Comportamiento de extracción de tarjeta inteligente Bloquear estación de trabajo Reforzar los permisos predeterminados de los objetos globales del sistema (p.e. vínculos simbólicos) Habilitado Comportamiento de controlador no firmado No permitir la instalación instalación de Comportamiento de instalación de no controlador no firmado Avisar pero permitir la instalación Nota: La directiva de dominio predeterminada configura Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión como deshabilitado. Para configurar esta opción, debe modificar la directiva de dominio predeterminada; por este motivo, no se define en las directivas de línea de base incluidas en este manual. 130 Nota: Si aumenta de manera importante el número de objetos para auditar, se corre el riesgo de que se llene el registro de seguridad y se fuerce el apagado del sistema. En este caso, no podrá usar el sistema hasta que un administrador borre el registro. Para evitar que esto ocurra, debe deshabilitar la opción de apagado del sistema que aparece en la tabla o bien, preferiblemente, aumentar el tamaño del registro de seguridad. Algunas de las opciones que se establecen aquí deben comentarse con más detalle, ya que afectan directamente a la manera en que los servidores se comunican entre sí en el dominio y también pueden afectar al rendimiento del servidor. Restricciones adicionales para conexiones anónimas De forma predeterminada, Windows 2000 permite que los usuarios anónimos realicen ciertas actividades, como enumerar los nombres de las cuentas de dominio y los recursos compartidos de la red. Esto permite que un atacante vea estas cuentas y comparta nombres en un servidor remoto sin tener que autenticarse con una cuenta de usuario. Para hacer más seguro el acceso anónimo, puede configurar No obtener acceso sin permisos anónimos explícitos. Esto hace que se elimine el grupo Todos del testigo de usuarios anónimos. No se permitirá el acceso anónimo al servidor y se necesitará un acceso explícito a todos los recursos. Nota: Para obtener más información acerca de cómo afectará esto a su entorno, consulte el artículo de Knowledge Base Q246261, "How to Use the RestrictAnonymous Registry Value in Windows 2000" (en inglés). Nivel de autenticación de LAN Manager Los sistemas operativos Microsoft Windows 9x y Windows NT® no pueden utilizar Kerberos para la autenticación y utilizan, de forma predeterminada, el protocolo NTLM para la autenticación de la red en un dominio Windows 2000. Puede utilizar un protocolo de autenticación más seguro para Windows 9x y Windows NT: NTLMv2. Para el proceso de inicio de sesión, NTLMv2 abre un canal seguro para proteger el proceso de autenticación. Nota: Si usa NTLMv2 para clientes y servidores heredados, los clientes y servidores basados en Windows 2000 seguirán autenticando con los controladores de dominio de Windows 2000 que utilizan Kerberos. Para obtener más información acerca de cómo habilitar NTLMv2, consulte el artículo de Knowledge Base Q239869, "How to Enable NTLM 2 Authentication for Windows 95/98/2000/NT" (en inglés). Windows NT 4.0 necesita el Service Pack 4 para ser compatible con NTLMv2 y las plataformas Windows 9x necesitan tener instalado el cliente del servicio de directorio para ser compatibles con NTLMv2. Borrar el archivo de páginas de la memoria virtual al apagar el sistema La información importante que se mantiene en la memoria real se puede volcar periódicamente al archivo de páginas. Esto ayuda a que Windows 2000 controle las funciones multitarea. Si habilita esta opción, Windows 2000 borra el archivo de páginas al apagar el sistema y quita toda la información almacenada en él. En función del tamaño del archivo, pueden pasar varios minutos antes de que se apague completamente el sistema. Firmar digitalmente la comunicación con el cliente o con el servidor La implementación de la firma digital en las redes de alta seguridad ayuda a evitar la suplantación de los clientes y servidores (lo que se conoce como secuestro de la sesión o ataque 131 de "alguien en medio"). La firma Bloque de mensaje de servidor (SMB) autentica tanto al usuario como al servidor que aloja los datos. Si la autenticación falla en cualquiera de los extremos, no se realiza la transmisión de datos. Cuando se implementa la firma SMB, se observa un exceso del rendimiento de hasta un 15% para firmar y verificar cada paquete entre los servidores. Para obtener más información acerca del efecto de exceso de rendimiento, consulte el artículo de Knowledge Base Q161372, "How to Enable SMB Signing in Windows NT" (en inglés). Otras opciones de seguridad Para este manual, se han agregado valores de registro adicionales al archivo de plantilla de seguridad de línea de base que no están definidos en el archivo de la plantilla administrativa (ADM). Esto significa que cuando se carga el complemento de las plantillas de seguridad MMC y se ve la plantilla baseline.inf, no se representan los valores del registro de las tablas 4.5 – 4.11. En su lugar, se puede agregar esta configuración al archivo .inf utilizando un editor de textos y se aplicará al servidor al descargar la directiva. Nota: para obtener más información acerca de la relación entre los archivos .inf y .adm, consulte el artículo de Knowledge Base Q228460, "Location of ADM (Administrative Template) Files in Windows" (en inglés). Esta configuración está incrustada en la plantilla de línea de seguridad Baseline.inf para automatizar los cambios. Si se quita la directiva, la configuración no se quita automáticamente y debe cambiarse de forma manual. Consideraciones de seguridad para los ataques a la red Algunos ataques de denegación de servicio pueden ser una amenaza para la pila de TCP/IP en los servidores basados en Windows 2000. Esta configuración del registro ayuda a aumentar la resistencia de la pila de TCP/IP de Windows 2000 a los ataques de denegación de servicio a la red de tipo estándar. Puede obtener información acerca de esta configuración en el artículo de Knowledge Base Q315669, "HOW TO: Harden the TCP/IP Stack in Windows 2000 Against Denial of Service" (en inglés). Se han agregado las siguientes claves de registro al archivo de plantilla como subclaves de HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\: Tabla 4.5.: Parámetros de TCP/IP agregados al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (decimal) EnableICMPRedirect DWORD 0 EnableSecurityFilters DWORD 1 SynAttackProtect DWORD 2 EnableDeadGWDetect DWORD 0 EnablePMTUDiscovery DWORD 0 KeepAliveTime DWORD 300.000 132 DisableIPSourceRouting DWORD 2 TcpMaxConnectResponseRetransmissions DWORD 2 TcpMaxDataRetransmissions DWORD 3 NoNameReleaseOnDemand DWORD 1 PerformRouterDiscovery DWORD 0 TCPMaxPortsExhausted DWORD 5 Afd.sys controla los intentos de conexión a las aplicaciones de Windows Sockets, como los servidores de FTP y de Web. Afd.sys se ha modificado para que admita un gran número de conexiones en estado semiabierto, sin denegar el acceso a los clientes legítimos. Esto se logra permitiendo que el administrador configure un registro dinámico. La nueva versión de Afd.sys admite cuatro nuevos parámetros del registro que se pueden usar para controlar el comportamiento del registro dinámico. Para obtener más información acerca de esta configuración, consulte el artículo de Knowledge Base Q142641, "Internet Server Unavailable Because of Malicious SYN Attacks" (en inglés). Se han agregado las siguientes claves de registro al archivo de plantilla como subclaves de HKLM\System\CurrentControlSet\Services\AFD\Parameters\: Tabla 4.6.: Configuración de Afd.sys agregada al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (decimal) DynamicBacklogGrowthDelta DWORD 10 EnableDynamicBacklog DWORD 1 MinimumDynamicBacklog DWORD 20 MaximumDynamicBacklog DWORD 20000 Deshabilitar la generación automática de nombres de archivo 8.3 Windows 2000 admite los formatos de nombre de archivo 8.3 para compatibilidad con versiones anteriores de aplicaciones de 16 bits. Esto significa que un atacante sólo necesita 8 caracteres para hacer referencia a un archivo que puede tener 20 caracteres. Si no utiliza aplicaciones de 16 bits, puede desactivar esta función. Al deshabilitar la generación de nombres cortos en una partición NTFS también aumenta el rendimiento de enumeración del directorio. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\System\CurrentControlSet\Control\FileSystem\: Tabla 4.7.: Configuración para quitar la creación de nombres de archivo 8.3 agregada al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (decimal) 133 NtfsDisable8dot3NameCreation DWORD 1 Nota: Si aplica esta configuración a un servidor existente que ya tenga archivos con nombres 8.3 generados automáticamente, estos archivos no se quitarán. Para quitar los nombres de archivo 8.3 existentes, deberá copiar esos archivos fuera del servidor, eliminarlos de su ubicación original y copiarlos de nuevo a sus ubicaciones originales. Deshabilitar la creación de Lmhash Los servidores basados en Windows 2000 pueden autenticar equipos que utilicen cualquier versión anterior de Windows. Sin embargo, las versiones anteriores de Windows no utilizan Kerberos para la autenticación; por lo tanto, Windows 2000 es compatible con Lan Manager (LM), Windows NT (NTLM) y NTLM versión 2 (NTLMv2). LM)hash es relativamente débil en comparación con el hash NTLM y, por tanto, es susceptible a los ataques rápidos mediante fuerza bruta. Si no tiene clientes que necesiten la autenticación LM, deshabilite el almacenamiento de hashes LM. Windows 2000 Service Pack 2 proporciona una configuración del registro para deshabilitar el almacenamiento de los hashes LM. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SYSTEM\CurrentControlSet\Control\Lsa\: Tabla 4.8.: Configuración para deshabilitar la creación de Lmhash agregada al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (decimal) NoLMHash DWORD 1 Nota: Para deshabilitar el almacenamiento de hashes LM con esta configuración del registro, debe estar ejecutando Windows 2000 Service Pack 2 o posterior. Para obtener más información, consulte el artículo de Microsoft Knowledge Base Q147706, "How to Disable LM Authentication on Windows NT" (en inglés). Configuración de la seguridad NTLMSSP El proveedor de servicios de seguridad NTLM (NTLMSSP) permite especificar la configuración de seguridad mínima necesaria para las conexiones de red del lado del servidor por aplicaciones. La directiva de línea de base para los servidores miembros garantiza que la conexión falle si se utiliza la confidencialidad de mensajes y no se negocia el cifrado de 128 bits. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\: Tabla 4.9.: Parámetro para configurar la seguridad NTLMSSP agregada al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (hexadecimal) 134 NtlmMinServerSec DWORD 0x20000000 Deshabilitación de Autorun Autorun comienza a leer en una unidad en cuanto se inserta un medio en ella. Como resultado, el archivo de instalación de programas y el sonido de los medios de audio se inician inmediatamente. Para evitar que se inicie un posible programa malicioso al insertar un medio, la directiva de grupo deshabilita Autorun en todas las unidades. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\: Tabla 4.10.: Configuración para deshabilitar Autorun en todas las unidades, agregada al registro por la directiva de línea de base para los servidores miembros. Clave Formato Valor (hexadecimal) NoDriveTypeAutoRun DWORD 0xFF Directiva de línea de base de listas de control de acceso al registro para servidores miembros La directiva de línea de base para los servidores miembros no cambia las ACL del registro definidas en hisecws.inf. Debe realizar una comprobación cuidadosa en su entorno antes de realizar cambios. Las ACL definidas en hisecws.inf cambian principalmente el grupo Usuarios avanzados, que se crea de forma predeterminada para la compatibilidad con versiones anteriores de entornos basados en Windows NT 4.0. La plantilla garantiza que Usuarios avanzados tenga los mismos permisos que el grupo Usuarios de Windows 2000. Nota: El grupo Usuarios avanzados no está definido en los controladores de dominio. Directiva de línea de base de listas de control de acceso a archivos para servidores miembros Para aumentar la seguridad del sistema de archivos, debe asegurarse de que se apliquen permisos más restrictivos a los directorios y archivos comunes a todos los servidores miembros del dominio. La plantilla de seguridad de línea de base de los servidores miembros incorpora todas las listas de control de acceso a archivos incluidas con la plantilla hisecws.inf y agrega la configuración de varias carpetas y archivos. Nota: Para obtener más información acerca de los permisos predeterminados para el registro y los archivos en Windows 2000, consulte el documento "Default Access Control Settings in Windows 2000" (en inglés), disponible en TechNet. En el apartado "Más información", al final de este capítulo, encontrará el vínculo a estas notas del producto. La siguiente tabla muestra las otras carpetas aseguradas por la directiva de línea de base para los servidores miembros, además de las definidas por la configuración en hisecws.inf. Tabla 4.11.: Configuración para asegurar los directorios clave definidos en la directiva de línea de base para los servidores miembros. 135 Carpetas aseguradas Permisos aplicados %systemdrive%\ Administradores: Control total Sistema: Control total Usuarios autenticados: Leer y ejecutar, Listar el contenido de la carpeta y Leer %SystemRoot%\Repair Administradores: Control total %SystemRoot%\Security Creador/Propietario: Control total %SystemRoot%\Temp Sistema: Control total %SystemRoot%\system32\Config %SystemRoot%\system32\Logfiles %systemdrive%\Inetpub Administradores: Control total Sistema: Control total Todos: Leer y ejecutar, Listar el contenido de la carpeta y Leer Nota: %SystemRoot% define la ruta de acceso y el nombre de la carpeta en las que están ubicados los archivos del sistema de Windows y %SystemDrive% define la unidad que contiene %systemroot%. También hay un gran número de archivos instalados en el servidor que deben bloquearse aún con más detalle. La directiva de línea de base para los servidores miembros modificará las ACL de los archivos de inicio predeterminados de Windows y de muchos de los ejecutables que pueden ejecutarse desde el símbolo del sistema. Los archivos afectados se indican en el apéndice A. Directivas de línea de base de servicios para los servidores miembros Al instalar Windows 2000 Server por primera vez, se crean servicios predeterminados y se configuran para que se ejecuten al iniciar el sistema. Algunos de estos servicios no necesitan ejecutarse en distintos entornos y como todos los servicios son un posible punto de ataque, debe desactivar los que sean innecesarios. La directiva de línea de base para los servidores miembros sólo habilita los servicios necesarios para que un servidor miembro con Windows 2000 participe en un dominio de Windows 2000 y proporcione servicios de administración básicos. Tabla 4.12.: Servicios habilitados por la directiva de línea de base para los servidores miembros. Servicio Tipo inicio Servicios de sucesos COM+ Manual de Motivo para incluirlo en la línea de base del servidor miembro Permite la administración de los servicios de 136 componentes Cliente DHCP Automático Se necesita para actualizar los registros del DNS dinámico Cliente de seguimiento de vínculos distribuidos Automático Se utiliza para mantener los vínculos en los volúmenes NTFS Cliente DNS Automático Permite la resolución de los nombres del DNS Registro de sucesos Automático Permite ver los mensajes del registro de sucesos en el Registro de sucesos Automático Se necesita para garantizar que la información dinámica del disco esté actualizada Servicio del administrador de discos lógicos Manual Se necesita para la administración de discos Netlogon Automático Se necesita para la participación de los dominios Conexiones de red Manual Se necesita para la comunicación en la red Manual Recoge los datos de rendimiento del equipo y los anota en el registro o dispara alertas. Plug and Play Automático Se necesita para que Windows 2000 identifique y use el hardware del sistema Almacenamiento protegido Automático Se necesita para proteger los datos confidenciales, como las claves privadas. Llamada a procedimiento remoto (RPC) Automático Se necesita para los procesos internos en Windows 2000 Servicio de registro remoto Automático Es necesario para la utilidad hfnetchk (consulte la nota) Administrador de cuentas de seguridad Automático Almacena información de las cuentas de seguridad locales Servidor Automático Es necesario para la utilidad hfnetchk (consulte la nota) Notificación de sucesos del sistema Automático Se necesita para registrar las entradas en los registros de sucesos Servicio de ayuda TCP/IP NetBIOS Automático Se necesita para la distribución de software en la directiva de grupo (se puede usar para distribuir revisiones) Controlador instrumental de administración de Windows Manual Se necesita para implementar las alertas de rendimiento utilizando los registros y las alertas de Administrador lógicos Registros y rendimiento de discos alertas de 137 rendimiento Sincronización de tiempo de Windows Automático Se necesita para que la autenticación Kerberos funcione de manera coherente Estación de trabajo Automático Se necesita para participar en un dominio Nota: Hfnetchk es una herramienta que permite comprobar las revisiones instaladas en cada servidor de la organización. El uso de esta herramienta se recomienda en el capítulo 5 "Administrar revisiones". Esta configuración supone un entorno basado en Windows 2000 puro y estándar (con excepción de la herramienta hfnetchk). Si el entorno incluye Windows NT 4.0 (o tiene otras herramientas en todos los servidores miembros) es posible que necesite otros servicios para mantener la compatibilidad. Si habilita otros servicios, estos pueden tener, a su vez, dependencias que hagan necesarios servicios adicionales. Los servicios que se necesitan para una función de servidor específica se pueden agregar a la directiva para esa función de servidor. En el apéndice B se muestran todos los servicios presentes en una instalación predeterminada de Windows 2000 y en el apéndice C, los servicios adicionales que se pueden agregar a una instalación predeterminada. Servicios clave no incluidos en la línea de base de los servidores miembros El objetivo de la directiva de línea de base para los servidores miembros es ser lo más restrictiva posible. Por este motivo, varios servicios que pueden ser necesarios en su entorno están deshabilitados. Aquí se describen algunos de los más comunes. Servicio SNMP En muchos casos, las aplicaciones de administración necesitan que se instale un agente en cada servidor. Generalmente, estos agentes usan SNMP para reenviar las alertas de vuelta a un servidor de administración centralizado. Si necesita agentes de administración, debe comprobar si necesitan que se inicie el servicio SNMP. Servicios WMI El servicio Instrumental de Administración de Windows (WMI) está deshabilitado en la directiva de línea de base para los servidores miembros. Para administrar discos lógicos a través de la administración de equipos, es necesario habilitar el servicio WMI. Muchas otras aplicaciones y herramientas también utilizan WMI. Servicios de mensajería y de alertas Aunque no dependen explícitamente uno del otro, estos servicios funcionan conjuntamente para enviar alertas administrativas. El servicio de mensajería envía las alertas disparadas por el servicio de alertas. Si utiliza Registros y alertas de rendimiento para disparar las alertas, necesitará habilitar estos servicios. 138 Directiva de línea de base para el controlador de dominio Todos los controladores de dominio creados en el dominio se asignan automáticamente a la OU de controladores de dominio. Los controladores de dominio nunca deben moverse fuera de esta OU, ya que en ella se aplican ACL de seguridad específicas. La OU de controladores de dominio es una OU de nivel superior y, por tanto, no aplica la configuración definida en la directiva de línea de base para los servidores miembros. Por este motivo, se ha creado una directiva de línea de base distinta para los controladores de dominio. La configuración implementada en la directiva de línea de base para los controladores de dominio afecta a los apartados siguientes de la directiva: Directiva de auditor ía. Opciones de seguridad. Configuraci ón de servicios. Nota: Las ACL de archivos, con excepción de los archivos System32 indicados en el apéndice A, y las ACL del registro no se incluyen en esta directiva de grupo, ya que se definen y se implementan cuando el servidor que ejecuta Windows 2000 se promueve a un controlador de dominio. Durante la promoción de un servidor basado en Windows 2000 a un controlador de dominio, se aplica una plantilla de seguridad llamada Defltdc.inf. Esta plantilla aplica ACL al sistema de archivos y a las claves del registro para los servicios adicionales creados con el fin de proporcionar compatibilidad con un controlador de dominio. Directiva de línea de base para las opciones de auditoría y seguridad del controlador de dominio Las directivas de auditoría y las opciones de seguridad configuradas para los controladores de dominio son idénticas a la directiva de línea de base (consulte los detalles de la configuración en el apartado "Directivas de línea de base para los servidores miembros"). Directiva de línea de base de servicios para el controlador de dominio Los servicios configurados para el inicio son los que se definen en la configuración de línea de base del servidor miembro, más los servicios adicionales necesarios para la compatibilidad con las funciones del controlador de dominio. Tabla 4.13.: Servicios habilitados por la directiva de línea de base de servicios para el controlador de dominio, además de los establecidos por la directiva de línea de base para los servidores miembros. Servicio Sistema de distribuido Servidor DNS archivos Tipo de inicio Motivo para incluirlo en la línea de base del controlador de dominio Automático Se necesita para los recursos compartidos Sysvol de Active Directory Automático Se necesita para el DNS integrado de Active 139 Directory Réplica de archivos Automático Se necesita para la replicación de archivos entre los controladores de dominio Centro de distribución de claves Kerberos Automático Permite a los usuarios iniciar una sesión en la red mediante Kerberos v5 Proveedor de servicios de seguridad NTLM Automático Permite que los clientes inicien una sesión utilizando la autenticación NTLM Localizador de RPC Automático Permite al controlador de dominio proporcionar el servicio de nombres RPC Servicios clave no incluidos en la directiva de línea de base para los controladores de dominio El objetivo de la directiva de línea de base para los controladores de dominio es ser lo más restrictiva posible. Por este motivo, varios servicios que pueden ser necesarios en su entorno están deshabilitados. Aquí se describen algunos de los más comunes que puede necesitar. Serv. de Prot. simple de transf. de correo (STMP) La replicación entre sitios se puede realizar utilizando RPC o SMTP. Si utiliza SMTP para la replicación en su entorno, necesitará activar el servicio SMTP. Mensajería entre sitios Este servicio se utiliza para la replicación entre sitios a través del correo. Cada transporte que se va a utilizar para la replicación se define en una biblioteca de vínculos dinámicos (DLL) complementaria distinta. Estas DLL complementarias se cargan en el servicio de mensajería entre sitios. La mensajería entre sitios dirige las solicitudes enviadas y recibidas a las DLL complementarias de transporte apropiadas que, a su vez, enrutan los mensajes a la mensajería entre sitios del equipo de destino. Si utiliza SMTP para la replicación en su entorno, necesitará activar este servicio. Servicio de administración de IIS Si inicia el servicio SMTP, también deberá iniciar el servicio de administración de IIS, ya que el servicio SMTP depende de él. Servicio de servidor de seguimiento de vínculos distribuidos Este servicio se utiliza para realizar un seguimiento de los archivos en volúmenes NTFS en un dominio completo y se contacta por medio de equipos que ejecutan el servicio de cliente de seguimiento de vínculos distribuidos. Estos equipos intentarán periódicamente establecer contacto con el servicio de servidor de seguimiento de vínculos distribuidos, aunque esté deshabilitado. Nota: Si ejecuta la utilidad dcdiag desde las Herramientas de soporte de Windows 2000, se comprobarán todos los servicios que se ejecutan normalmente en los controladores de dominio que se van a iniciar. Como algunos servicios están deshabilitados en la directiva de línea de base para los controladores de dominio, dcdiag comunicará errores. Es normal que esto ocurra y no indica ningún problema con la configuración. 140 Otras tareas de seguridad de línea de base No es posible realizar todas las tareas necesarias para aumentar la seguridad de los servidores miembros y los controladores de dominio que utilizan la directiva de grupo. Hay varios pasos más que debe seguir para aumentar el nivel de seguridad global en todos los servidores. Seguridad de las cuentas integradas Windows 2000 tiene varias cuentas de usuario integradas que no se pueden eliminar pero se les puede cambiar el nombre. Dos de las cuentas integradas más conocidas de Windows 2000 son Invitado y Administrador. De forma predeterminada, la cuenta Invitado está deshabilitada en los servidores miembros y los controladores de dominio. No debe cambiar esta configuración. Para evitar ataques que utilicen un nombre conocido y pongan en peligro al servidor remoto, debe cambiar el nombre de la cuenta Administrador integrada y modificar su descripción. Muchas secuencias de comandos maliciosas utilizan la cuenta de administrador integrada como un primer intento para atacar el servidor. Nota: El nombre de la cuenta de administrador integrada se puede cambiar utilizando la directiva de grupo. No hemos implementado esta configuración en las directivas de línea de base porque debe elegir un nombre que no sea conocido. Seguridad de la cuenta de administrador local Cada servidor miembro tiene una base de datos de cuentas locales y una cuenta de administrador local que proporciona control total sobre el servidor. Por lo tanto, esta cuenta es muy importante. Debe cambiar el nombre de la misma y asegurarse de que tenga una contraseña compleja. También debe asegurarse de que las contraseñas del administrador local no se repliquen en los servidores miembros. Si fuera así, un atacante que obtuviera acceso a un servidor miembro podría obtener acceso a todos los demás con la misma contraseña. No debe hacer que las cuentas de administrador locales formen parte del grupo de administradores de dominio, ya que esto amplía sus capacidades más de lo necesario para administrar los servidores miembros. Por el mismo motivo, es importante asegurarse de que sólo se utilicen las cuentas locales para administrar los servidores miembros. Seguridad de las cuentas de servicio Los servicios de Windows 2000 se ejecutan generalmente en la cuenta del sistema local, aunque también se pueden ejecutar bajo un usuario de dominio o en una cuenta local. Siempre que sea posible, debe usar cuentas locales en lugar de las cuentas de usuario de dominio. Un servicio se ejecuta en el contexto de seguridad de su cuenta de servicio, por lo que si un ataque pone en peligro un servicio en un servidor miembro, la cuenta de servicio podría utilizarse para atacar un controlador de dominio. Al determinar qué cuenta se utilizará como cuenta de servicio, debe asegurarse de que los privilegios asignados se limiten a los necesarios para el correcto funcionamiento del servicio. En la tabla siguiente se explican los privilegios inherentes a cada tipo de cuenta de servicio. Tabla 4.14.: Privilegios de las cuentas de Windows 2000 en diferentes entornos. Autenticación cuando se ejecutan servicios en equipos basados en Windows 2000 Dentro del bosque únicamente, todos los servidores basados en Windows 2000 Aplicación con varios bosques y confianza NTLM entre dominios 141 Cuenta de servicio usuario local de Sin recursos de la red, acceso local sólo con privilegios de la cuenta asignados Sin recursos de la red, acceso local sólo con privilegios de la cuenta asignados Cuenta de servicio usuario de dominio de Acceso a la red como usuario del dominio, acceso local con privilegios de usuario Acceso a la red como usuario del dominio, acceso local con privilegios de usuario Acceso a la red como usuario autenticado en la cuenta de la máquina, acceso local con LocalSystem No hay recursos de la red que se extiendan a los bosques, acceso local con LocalSystem LocalSystem Todos los servicios predeterminados de Windows 2000 se ejecutan en LocalSystem y no esto no debe cambiarse. Todos los servicios adicionales agregados al sistema que requieran el uso de cuentas de dominio deben evaluarse con cuidado antes de implementarse. Validación de la configuración de línea de base Una vez aplicada la seguridad por primera vez a un servidor, es conveniente comprobar que los parámetros específicos de seguridad están configurados correctamente. Microsoft Security Baseline Analyzer Tool realizará una serie de comprobaciones en los servidores y le avisará de los problemas de seguridad con los que se puede encontrar. Validación de la configuración de puertos Es importante que valide la configuración final de los puertos y que comprenda a qué puertos TCP y UDP "escuchan" los servidores que ejecutan Windows 2000. Después de aplicar las directivas de línea de base, se puede ejecutar el comando netstat para ver a qué puertos sigue escuchando el servidor para cada tarjeta de interfaz de red. La tabla muestra el resultado esperado de netstat para un servidor miembro con la directiva de línea de base para los servidores miembros aplicada: Tabla 4.15.: Puertos a los que escuchará un servidor miembro después de aplicar la directiva de línea de base para los servidores miembros. Protocolo Dirección local Dirección externa Estado TCP 0.0.0.0:135 0.0.0.0:0 ESCUCHANDO TCP 0.0.0.0:445 0.0.0.0:0 ESCUCHANDO TCP <Dirección IP>:139 0.0.0.0:0 ESCUCHANDO UDP <Dirección IP>:137 *.* N/A UDP <Dirección IP>:138 *.* N/A UDP 0.0.0.0:445 *.* N/A 142 UDP 0.0.0.0:1027 *.* N/A UDP 0.0.0.0:1045 *.* N/A Seguridad de cada función del servidor Una vez aplicadas las directivas de línea de base, los servidores estarán notablemente más seguros. En este estado, puede que deba habilitar parámetros adicionales agregando funcionalidad a la línea de base. En este manual, se definen cuatro funciones distintas de los servidores miembros: Servidor de aplicaciones con Windows 2000. Ésta es la más segura y la más restringida de las funciones de servidor. El objetivo de esta función segura de servidor de aplicaciones es proporcionar un servidor sumamente restringido en el que puede instalar una aplicación, como Exchange o SQL. Esta función de servidor está diseñada de manera que lo único que puede hacer es comunicarse con los controladores de dominio para la autenticación. Esta función es la base de las demás funciones. Servidor de archivos y de impresión con Windows 2000. Diseñado para aumentar notablemente la seguridad de los servidores de archivos y de impresión. Servidor de infraestructura con Windows 2000. Diseñado para aumentar notablemente la seguridad de los servidores DNS, DHCP y WINS. Servidor de IIS con Windows 2000. Diseñado para aumentar notablemente la seguridad de los servidores de IIS. Esta función usa una versión modificada de la directiva para servidores de aplicaciones y las herramientas IIS Lockdown y URLScan. Nota: La función de servidor de aplicaciones está deliberadamente muy restringida. Para poder instalar y ejecutar determinadas aplicaciones, es posible que tenga que modificar la configuración de seguridad que se define aquí. Nota: Se pueden modificar las plantillas incluidas en este manual para crear plantillas para otras funciones. Si hace esto, es importante que compruebe completamente la plantilla modificada para asegurarse de que proporciona el nivel de seguridad deseado. Función de servidor de aplicaciones con Windows 2000 La configuración de la función de servidor de aplicaciones depende de la aplicación que desee implementar. Por este motivo, la configuración es igual a la de la línea de base de los servidores miembros. Esto significa que la función de servidor de aplicaciones está muy restringida; para instalar y ejecutar ciertas aplicaciones, tendrá que modificar la configuración de seguridad predeterminada que se define aquí. La forma más fácil de hacerlo es crear una nueva OU para la aplicación en la OU de servidores de aplicación. Después, se crea una directiva de grupo que modifique la configuración de la línea de base y se importa la directiva a la nueva OU. Función de servidor de archivos y de impresión con Windows 2000 Generalmente, todos los usuarios de un entorno corporativo obtienen acceso a los servicios de archivo y de impresión, por lo que puede resultar difícil garantizar la máxima seguridad para esta función de servidor. La directiva para servidores de archivos y de impresión: Habilita el servicio de cola de impresi ón, que se utiliza para imprimir. 143 Deshabilita la configuraci ón de directivas de seguridad Firmar digitalmente la comunicación con el cliente (siempre). Si no está deshabilitada, los clientes pueden imprimir, pero no pueden ver la cola de impresión. Cuando intenten ver la cola de impresión, recibirán el mensaje "No se puede conectar. Acceso denegado." Nota: El servicio de cola de impresión se utiliza en todos los equipos que inician un trabajo de impresión y en los servidores de impresión. La configuración predeterminada para las líneas de base de los servidores miembros y de los controladores de dominio impide emitir trabajos de impresión desde estos equipos. Función de servidor de infraestructuras con Windows 2000 La función de servidor de infraestructuras es compatible con los servicios de red DNS, DHCP y WINS. Para que los tres servicios se ejecuten en el mismo servidor miembro, la directiva de infraestructuras habilita los servicios siguientes, además de la directiva de línea de base para los servidores miembros. Tabla 4.16.: Servicios agregados por la directiva para la función de servidor de infraestructuras. Servicio Tipo de inicio Motivo para incluirlo en la directiva para la función de servidor de infraestructuras DHCPServer Automático Para proporcionar DHCP a los clientes DNS Automático Para proporcionar servicios de DNS a los clientes NTLMSSP Automático Para proporcionar seguridad a los programas RPC que utilizan medios de transporte que no sean canalizaciones con nombre WINS Automático Para proporcionar WINS a los clientes servicios servicios Función de servidor IIS con Windows 2000 La función de servidor IIS proporciona funcionalidad de servidor Web a un servidor basado en Windows 2000. La directiva de grupo para la función de servidor IIS agrega los servicios siguientes a la directiva de línea de base para los servidores miembros. Tabla 4.16.: Servicios agregados por la directiva para la función de servidor IIS. Servicio Tipo de inicio Motivo para incluirlo en la directiva para la función de servidor IIS IISAdmin Automático Administración del servidor Web W3SVC Automático Proporciona funcionalidad 144 de de de servidor Web Además, la directiva de grupo para la función de servidor IIS configura el valor del registro SynAttackProtect en 1. La herramienta IISLockdown Los servidores IIS proporcionan un gran número de funciones. Sin embargo, para que los servidores IIS sean lo más seguros posible, debe restringir esta funcionalidad a lo estrictamente necesario. La forma más sencilla de hacerlo es utilizando la herramienta IISLockdown. IISLockdown es una utilidad que se puede configurar en gran medida y permite especificar la naturaleza del servidor Web. Después, quita todas las funciones que ese servidor Web específico no necesita. Por supuesto, es necesario comprobar exhaustivamente todos los cambios antes de implementarlos en un entorno de producción. Nota: IISLockdown está disponible como parte del Kit de herramientas del programa de seguridad de Microsoft y en el sitio Web de seguridad de Microsoft. Para obtener información más detallada, consulte el apartado "Más información", al final de este capítulo. IISLockdown puede aplicar muchas medidas para hacer más seguros los servidores Web. Puede, por ejemplo: Bloquear archivos. Deshabilitar servicios y componentes. Instalar URLScan. Quitar las asignaciones de secuencias de comandos DLL ISAPI (Internet Server API) innecesarias. Quitar los directorios innecesarios. Cambiar las ACL. Puede usar IIS Lockdown para asegurar muchos tipos de funciones de servidor IIS. Para cada servidor, debe seleccionar la función más restrictiva que satisfaga las necesidades de su servidor Web. Para asegurar un servidor Web estático con IIS Lockdown 1. Inicie IISLockd.exe. 2. Haga clic en Next. 3. Seleccione I Agree y haga clic en Next. 4. Seleccione Static Web server y haga clic en Next. 5. Asegúrese de que Install URLScan filter on the server está seleccionado y haga clic en Next. 6. Haga clic en Next. 145 7. Si aparece el cuadro de diálogo Digital Signature Not Found, haga clic en Yes. 8. Haga clic en Next. 9. Haga clic en Finish. Si configura un servidor IIS como servidor Web estático, se realizarán los siguientes cambios: Se deshabilita la asignaci ón de las secuencias de comandos de la interfaz Web de Index Server (.idq, .htw, .ida). Se deshabilita la asignaci ón de las secuencias de comandos de Internet Data Connector (.idc). Se deshabilita la asignaci ón de secuencia de comandos de los archivos de inclusión del servidor (.shtml, .shtm, .stm). Se deshabilita la asignaci ón de la secuencia de comandos .HTR(.htr)'. Se deshabilita la asignaci ón de las secuencias de comandos de páginas de Active Server (.asp). Se deshabilita la asignaci ón de las secuencias de comandos de impresión de Internet (.printer). Se quita el directorio virtual de la impresora. Se deshabilita WebDAV (Creaci ón y control de versiones distribuidos en Web). Se establecen permisos de archivos para evitar que los usuarios an ónimos de IIS escriban en los directorios de contenido. Se establecen permisos de archivos para evitar que los usuarios an ónimos de IIS ejecuten utilidades del sistema. Se instala el filtro URLScan en el servidor. Se quita el directorio virtual Secuencias de comandos. Se quita el directorio virtual MSADC. Se quita el directorio virtual IIS Samples. Se quita el directorio virtual IISAdmin. Se quita el directorio virtual IISHelp. Nota: En el capítulo 6, "Auditoría y detección de intrusiones", encontrará más información acerca de URLScan. 146 Otros parámetros de seguridad de la función de servidor IIS La herramienta IIS Lockdown aumenta notablemente la seguridad de los servidores IIS. Sin embargo, hay otras medidas que se pueden tomar para aumentar aún más la seguridad de los servidores que ejecutan el servicio de IIS de Windows 2000. Configuración de restricciones para las direcciones IP y DNS Esta configuración garantiza que sólo los sistemas con direcciones IP o nombres de DNS específicos puedan tener acceso al servidor Web. No es habitual establecer restricciones a las direcciones IP y DNS, pero es una opción disponible para restringir los sitios Web a determinados usuarios. Sin embargo, si se utilizan nombres DNS en lugar de direcciones IP en las restricciones, IIS deberá realizar una búsqueda de DNS, lo que puede tardar algún tiempo. Uso de una cuenta anónima local De forma predeterminada, la cuenta anónima que se usa para tener acceso a IIS es una cuenta de dominio llamada IUSR_nombreequipo. Para más seguridad, puede deshabilitar la cuenta predeterminada y sustituirla por una cuenta local, que cumpla directivas de contraseña estrictas. De esta manera, si un atacante obtiene acceso a la cuenta, sólo tendrá acceso al sistema local. Es importante comprobar exhaustivamente todos los servidores IIS configurados de esta manera, ya que algunas aplicaciones Web necesitan una cuenta de dominio en lugar de una cuenta local). Nota: Puede eliminar la cuenta IUSR_nombreequipo; sin embargo, si sólo la desactiva, puede dejarla como una cuenta de señuelo. Implementación de filtros IPSec para servidores host múltiples El motor de directivas IPSec incluido con Windows 2000 es una herramienta útil para aumentar la seguridad global de la arquitectura de Web, en especial la seguridad de los servidores Web. La directiva IPSec se utiliza generalmente para crear una vía de comunicación segura entre dos hosts o dos sitios remotos. Sin embargo, también se pueden aprovechar sus capacidades de filtrado de puertos y protocolos. Puede usar las listas de filtros en combinación con acciones de filtrado para controlar el tráfico de entrada y salida en el servidor Web. Por ejemplo, puede crear listas con dos filtros, uno para el tráfico de todos los destinos que llegue al puerto 80 y otro para el tráfico de todos los destinos que llegue a cualquier puerto. Después, puede definir acciones de filtrado para permitir el paso del tráfico que cumpla las condiciones de la primera lista de filtrado y bloquear el tráfico que cumpla con la segunda lista de filtrado. Las directivas IPSec se implementan a través de las directivas de grupo. No están incluidas entre las directivas que se describen en este manual, ya que se implementan de diferente manera en función de las características específicas del entorno. Cambios al entorno recomendado El objetivo de las recomendaciones incluidas en este capítulo es crear un entorno notablemente más seguro para los servidores basados en Windows 2000. Sin embargo, es posible que algunos de estos cambios no sean apropiados para su organización. Vamos a plantear dos situaciones: 1) se necesita más capacidad administrativa y 2) no se usa la utilidad Hfnetchk. 147 Cambios administrativos Las directivas de línea de base predeterminadas para los servidores miembros y los controladores de dominio eliminan parte de la funcionalidad de administración remota y local del entorno. La administración remota a través del complemento de administración de equipos Microsoft Management Console (MMC) no funciona con las directivas de línea de base predeterminadas, ya que algunos de los servicios relacionados con MMC están deshabilitados. Las directivas de línea de base habilitan los servicios de servidor y de registro remoto. Esto permite que el complemento de administración de equipos se conecte desde una ubicación remota a otros equipos y administre los siguientes elementos: Carpetas compartidas. Usuarios y grupos locales. En Administraci ón de almacenamiento, todo excepto las unidades lógicas y los medios de almacenamiento extraíbles. Administrador de dispositivos de servicios. Visor de sucesos. Registros y alertas de rendimiento. WMI no está habilitado en las directivas de línea de base. Esto impide que se administren los siguientes elementos: WMI. En Administraci ón de Almacenamiento, las unidades lógicas. Si necesita administrar estas unidades de forma local o remota, debe habilitar el servicio WMI. No se puede tener acceso remoto a los medios de almacenamiento extraíbles si sólo se inician los servicios de la directiva de línea de base para los servidores miembros. Si no se inicia el servicio de medios de almacenamiento extraíbles en el servidor remoto, éste generará un mensaje de error DCOM en el registro de sucesos, para indicar que el servicio no está disponible. Nota: Al habilitar los servicios anteriores para permitir la administración, habilítelos únicamente en las directivas de función de servidor incremental que necesitan esos servicios. Nota: Algunas herramientas de administración obligan a realizar cambios de seguridad en el cliente desde el que se ejecuta la herramienta. Por ejemplo, algunas herramientas utilizan la autenticación NTLM y la directiva de línea de base configura los servidores para que acepten únicamente NTLM v2. Consulte la información sobre esta configuración en el apartado "Nivel de autenticación de LAN Manager" de este capítulo. Modificaciones de la seguridad si no se implementa HFNETCHK Hfnetchk es una herramienta que permite comprobar las revisiones instaladas en cada servidor de la organización. Es muy conveniente que se instale una herramienta como Hfnetchk, ya que ayuda a aumentar el nivel global de seguridad en el entorno. 148 Sin embargo, si no implementa Hfnetchk, puede deshabilitar los servicios de registro remoto y de servidor en la directiva de línea de base para los servidores miembros. El servicio de registro remoto se puede deshabilitar en la directiva de línea de base para los controladores de dominio. Si deshabilita estos servicios en la directiva de línea de base para los servidores miembros, necesitará habilitarlos en algunas de las funciones de servidor: Tabla 4.17.: Servicios que deben agregarse a los GPO de función de servidor si los servicios de registro remoto y de servidor están deshabilitados en la directiva de línea de base para los servidores miembros. Función del servidor Servicio que habilitar se debe Motivo Servidor de archivos y de impresión Servidor Para poder archivos Servidor de infraestructuras Servidor Para que WINS pueda funcionar correctamente Servidor de infraestructuras Registro remoto Para que el administrador de WINS pueda ver el estado del servidor WINS compartir Si deshabilita los servicios de servidor y de registro remoto, también perderá casi todas las capacidades de administración remota. Resumen Los servidores basados en Windows 2000 proporcionan un gran número de funciones desde el momento en que se instalan. Sin embargo, no todos los servidores necesitan todas estas funciones. Al definir las tareas que realizarán los servidores, puede deshabilitar los elementos innecesarios y aumentar de esta forma la seguridad en el entorno. Si sigue los pasos sugeridos en este capítulo, hará que su entorno sea mucho más seguro. Más información Información acerca de la seguridad de la pila TCP/IP de Windows 2000: http://www.microsoft.com/technet/security/website/dosrv.asp (en inglés). Configuración de control de acceso predeterminada en las notas del producto de Windows 2000: http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/featusability/secdefs. asp (en inglés). Kit de herramientas del programa de seguridad de Microsoft. http://www.microsoft.com/security/mstpp.asp (en inglés). Glosario de servicios de Windows 2000: 149 http://www.microsoft.com/windows2000/techinfo/howitworks/management/w2kservices.asp (en inglés). 5. Administrar revisiones Los sistemas operativos y las aplicaciones pueden ser muy complejos. Están formados por millones de líneas de código y son obra de muchos programadores diferentes. Es fundamental que el software funcione de manera confiable y no ponga en peligro la seguridad ni la estabilidad del entorno de TI. Para reducir al mínimo los problemas, los programas se comprueban exhaustivamente antes de salir al mercado. Sin embargo, es imposible prever todos los ataques que pueden ocurrir en el futuro y siempre hay personas dedicadas a buscar las debilidades del software. Las compañías de software producen revisiones para resolver las debilidades del código o de la implementación que se descubren después de comercializar el producto. Cada vez más, estos problemas están relacionados con la seguridad, a medida que el número de atacantes aumenta, sus métodos se vuelven más sofisticados y se crea nuevo código malicioso para aprovechar los puntos vulnerables. No obstante, también puede haber revisiones diseñadas simplemente para agregar funcionalidad al producto. Las revisiones de seguridad suponen un reto específico para la mayoría de las organizaciones. Una vez se han detectado las debilidades del software, los atacantes generalmente difunden esta información rápidamente a toda la comunicad. Las compañías de software intentan producir una revisión de seguridad lo antes posible. Hasta que no se implemente la revisión, la seguridad que espera tener y de la que depende puede verse reducida notablemente. No importa si su organización tiene miles de equipos o sólo unos cuantos; la administración de todas las revisiones disponibles, el análisis de su relevancia para cada entorno y la evaluación de la cantidad de pruebas que puede realizar la organización antes de implementarlas pueden ser tareas difíciles, que llevan mucho tiempo. Este capítulo está diseñado para ayudarle a mantener la seguridad de los servidores basados en Windows 2000, pero los procesos que se describen aquí también pueden aplicarse a los procesos de administración de revisiones para todas las actualizaciones de software. Para obtener información acerca de cómo se actualiza un software específico, debe ponerse en contacto con el fabricante correspondiente. Terminología En este manual, se usan indistintamente los términos revisión y Service Pack para referirse a los cambios al software después de su comercialización. Esto se debe a que el proceso para implementarlos es igual en todos los casos. Sin embargo, existe una definición más específica de cada uno de estos términos: Service Packs Los Service Packs mantienen el producto actualizado, corrigen los problemas conocidos y también pueden ampliar la funcionalidad del equipo. Incluyen herramientas, controladores y actualizaciones, así como mejoras desarrolladas después de la comercialización del producto. Todo esto se agrupa en un solo paquete que puede descargarse fácilmente. Los Service Packs son específicos para cada producto y por lo tanto, existen distintos Service Packs para los diferentes productos. No obstante, generalmente se usa el mismo para distintas 150 versiones del mismo producto. Por ejemplo, se utiliza el mismo Service Pack para actualizar Windows 2000 Server y Windows 2000 Professional. También son acumulativos; cada Service Pack nuevo contiene todas las reparaciones incluidas en los anteriores, además de las nuevas reparaciones y modificaciones del sistema recomendadas desde el último. No necesita instalar el Service Pack anterior antes de instalar el más reciente. Revisiones o QFE La Ingeniería de corrección rápida (QFE) es un grupo interno de Microsoft que crea revisiones (hotfix), es decir, revisiones de código para los productos. Estas revisiones se envían a clientes específicos que experimentan problemas críticos para los que no existe una solución factible. En ocasiones, en la documentación técnica se hace referencia a las revisiones como QFE. Las revisiones no se someten a pruebas regresivas exhaustivas y son específicas para cada problema; sólo deben aplicarse si se experimenta el problema exacto que abordan y si está utilizando la versión del software actualizada con el Service Pack más reciente. Periódicamente, se incorporan grupos de revisiones a los Service Packs, se someten a comprobaciones más rigurosas y se ponen a disposición de todos los clientes. Revisiones de seguridad Las revisiones de seguridad están diseñadas para eliminar las vulnerabilidades de la seguridad. Los atacantes que desean entrar en un sistema pueden aprovechar estas vulnerabilidades. Las revisiones de seguridad son análogas a las revisiones (hotfix), pero se consideran obligatorias si las circunstancias lo justifican y deben implementarse rápidamente. Muchas de las actualizaciones que se generan son para resolver problemas del cliente (con frecuencia, relacionados con el explorador). Estos problemas pueden ser o no relevantes para una instalación de servidor concreta. Es necesario obtener la revisión del cliente para actualizar la base de clientes actual y la revisión de administración para actualizar el área de creación de clientes del servidor. Administración de revisiones de la organización La manera exacta de implementar la administración de revisiones depende en gran medida del tamaño y de la complejidad de la organización. Sin embargo, es esencial que comprenda la importancia de la administración de las revisiones y cómo ésta se integra en la estrategia global de administración de riesgos de la organización. Por ejemplo, si decide que es necesario reducir el riesgo al mínimo, cueste lo que cueste, la estrategia que debe seguir consiste en apagar todos los sistemas de producción cada vez que se detecte una nueva vulnerabilidad en el software. Puede elegir no volver a iniciar los sistemas hasta que se haya realizado una comprobación exhaustiva de la revisión de seguridad y se haya instalado en toda la organización. Este proceso es sumamente costoso en términos económicos y de tiempo, y resulta imposible de aplicar para muchas organizaciones. Durante todo el proceso de administración de revisiones, es necesario evaluar los riesgos en relación con los costos de aplicar las soluciones apropiadas. Una vez se ha detectado una vulnerabilidad en la seguridad, puede pasar cierto tiempo hasta que aparezca una revisión con la solución. Necesitará evaluar el aumento del riesgo ocasionado por la vulnerabilidad y determinar las medidas que es necesario tomar antes de comprobar e instalar una revisión. Estas medidas incluyen deshabilitar servicios, desconectar sistemas o restringir el acceso a los usuarios internos o a otros grupos, según sea necesario. Una vez está disponible la revisión, es necesario 151 determinar el riesgo de implementarla inmediatamente, teniendo en cuenta los costos de mantener los servidores inactivos o desprotegidos durante el corto tiempo necesario para probar la revisión y asegurarse de que no afecta negativamente al sistema. Si decide realizar pruebas, deberá determinar hasta qué punto son necesarias en función del riesgo de implementar o no la revisión. Nota: La organización debe instaurar un proceso de administración de cambios. MOF incluye un proceso de administración de cambios que puede utilizarse como base del proceso de organización. Consulte el vínculo a MOF en el apartado "Más información", al final de este capítulo. Evaluación del entorno actual Con frecuencia, las revisiones se instalan de forma poco coherente en una organización, sin que exista documentación que recoja por qué, cuándo y dónde se instalaron. Para poder administrar correctamente la seguridad del entorno, es necesario conocer con detalle su estado actual. Para la administración de las revisiones, se debe saber, por lo menos: Qu é sistemas hay en el entorno: El sistema operativo y su versi ón. El nivel de revisi ón (versión del Service Pack, las revisiones (hotfix) y otras modificaciones). Funci ón. Aplicaciones. Informaci ón de propiedad y de contacto. Qu é activos existen en el entorno y cuál es su valor relativo. Cu áles son las amenazas conocidas y con qué procesos se cuenta para identificar otras nuevas o los cambios en el nivel de riesgo. Cu áles son las vulnerabilidades conocidas y con qué procesos se cuenta para identificar otras nuevas o los cambios en el nivel de vulnerabilidad. Qu é soluciones se han aplicado. Es muy conveniente que mantenga esta información al alcance de todas las personas involucradas en el proceso de administración de revisiones y que se asegure que esté siempre actualizada. Cuando haya identificado los activos, las vulnerabilidades, las amenazas y la configuración del entorno, puede determinar qué amenazas y vulnerabilidades representan realmente un problema para la organización. Sistemas de actualización de la seguridad En muchos entornos, puede ser conveniente tener equipos especializados en los que se puedan llevar a cabo muchos de los pasos del proceso de administración de revisiones. Estos sistemas proporcionan ubicaciones especializadas para las herramientas de seguridad, las revisiones, los Service Packs y la documentación. Se puede usar estos sistemas para realizar el análisis, la recuperación y la instalación de las revisiones. En este manual, nos referiremos a estos sistemas como Sistemas de actualización de la seguridad. 152 Debe asegurarse de que los Sistemas de actualización de la seguridad estén en uno o varios equipos dedicados que puedan asegurarse y controlarse estrechamente, ya que son los que se utilizarán para instalar y mantener las revisiones de seguridad para todos los sistemas de su entorno. Los Sistemas de actualización de la seguridad generalmente no necesitan ser servidores muy potentes, ya que la carga que soportan suele ser bastante ligera. No obstante, la alta disponibilidad es muy importante, ya que estos equipos serán la base para mantener el entorno actualizado con las revisiones más recientes. Para poder aplicar correctamente un Sistema de actualización de la seguridad, el equipo necesita tener acceso directo o indirecto a Internet para descargar la información más reciente de las revisiones de fuentes confiables, así como acceso a todos los equipos a los que debe mantener actualizados. Más adelante en este capítulo utilizaremos ejemplos y muestras de secuencias de comandos que se deben ejecutar desde un Sistema de actualización de la seguridad. Nota: MOF trata los sistemas de actualización como parte del proceso de administración de la versión. Comunicación Si la compañía es pequeña, es posible que sea suficiente con una persona encargada de mantener las revisiones actualizadas, realizar pruebas con las mismas, instalarlas y leer los distintos archivos de registro. Sin embargo, en los entornos más grandes suele haber varias personas encargadas de los diferentes aspectos de la seguridad. Es muy importante que exista una comunicación eficaz entre todas las personas involucradas en la administración de las revisiones. Esto permite garantizar que se toman decisiones sin duplicar esfuerzos y que no se omite ningún paso del proceso. Administración de revisiones y de cambios La administración de revisiones es en realidad sólo un subconjunto de la administración de cambios. Si ya dispone de un procedimiento de administración de cambios en la organización, no es necesario crear otro proceso totalmente nuevo para la administración de revisiones. Aún así, es conveniente que lea este capítulo para conocer la información específica del proceso de administración de revisiones. Un buen procedimiento de control de cambios tiene un propietario identificado, una vía de entrada de información de los clientes, una pista de auditoría de todos los cambios, un período definido de avisos y revisión, procedimientos de pruebas y un plan de contingencias conocido. Kit de herramientas de seguridad de Microsoft El kit de herramientas de seguridad de Microsoft puede ser útil para obtener los Service Packs y las revisiones necesarios para mantener los servidores actualizados. Contiene información de seguridad importante, los Service Packs más recientes y las revisiones de seguridad críticas para Windows NT 4.0, Windows 2000, IIS e Internet Explorer. También incluye la herramienta de notificación de actualizaciones críticas. Esta herramienta tiene un vínculo al sitio de actualización de Windows que garantiza la instalación de las revisiones más recientes. El kit de herramientas de seguridad se puede obtener en TechNet. 153 Procesos de administración de revisiones Ilustración 5.1.: Proceso de administración de revisiones. Vale la pena examinar estos pasos con más detalle: Análisis. Observe el entorno actual y determine las posibles amenazas. Determine qué revisiones debe instalar para reducir estas amenazas. Plan. Determine qué revisiones debe instalar para reducir las posibles amenazas y vulnerabilidades detectadas. Identifique quién llevará a cabo las pruebas y la instalación, y cuáles son los pasos que hay que seguir. Realización de pruebas. Revise las revisiones disponibles y clasifíquelas en categorías para su entorno; compruebe todas las revisiones identificadas para asegurarse de que funcionan en su 154 entorno sin efectos secundarios negativos. Comprenda qué hace realmente la revisión y cómo afecta al entorno. Asegúrese de que tiene el efecto previsto. Instalación. Instale las revisiones adecuadas para asegurar el entorno. Control. Compruebe todos los sistemas después de instalar las revisiones para asegurarse de que no producen efectos no deseados. Revisión. Como parte del proceso, debe revisar periódicamente las nuevas revisiones que han ido apareciendo, el entorno y las revisiones que necesita la compañía. Si durante este proceso determina que se necesitan nuevas revisiones, vuelva a empezar desde el primer paso. Nota: Es muy conveniente que realice copias de seguridad de todos los sistemas de producción antes de instalar una revisión. Análisis del entorno para detectar revisiones que faltan De manera continua, debe asegurarse de que tiene instaladas las revisiones más recientes. En algunos casos, aparecerá una nueva revisión que necesitará instalar en todos los servidores. En otros, se conectará un nuevo servidor al que será necesario instalar las revisiones apropiadas. Debe analizar de manera continua todos los servidores para asegurarse de que están totalmente actualizados con las revisiones más recientes necesarias. Como ayuda en este proceso, puede utilizar varias herramientas. Microsoft Network Security Hotfix Checker (Hfnetchk) Hfnetchk es una utilidad de la línea de comandos que le permite comprobar si la configuración actual de los servidores está actualizada y si tiene las revisiones de seguridad apropiadas. Esta herramienta funciona descargando directamente de Microsoft una base de datos XML (Extensible Markup Language) que contiene una lista de las revisiones más recientes que hay que comprobar para estar seguro. Hfnetchk también utiliza una base de datos XML local si no está conectado a Internet, aunque esto puede producir resultados no actualizados. Nota: Para usar Hfnetchk, debe tener acceso de administrador (local o de dominio) al equipo en el que se están comprobando las revisiones. La herramienta incluye varios modificadores de la línea de comandos, que se indican en la tabla siguiente. Tabla 5.1.: Modificadores de Hfnetchk. Modificador Hfnetchk de Función -about Acerca de hfnetchk. -h <nombre de host> Especifica el nombre del equipo NetBIOS que se va a explorar. El nombre predeterminado es el del host local. -fh <archivo de host> Especifica el nombre de un archivo que contiene los nombres de los equipos NetBIOS que se van a explorar. Un nombre por línea, máximo 256 por archivo. 155 -i <dirección ip> Especifica la dirección IP del equipo que se va a explorar. -fip <archivo ip> Especifica el nombre de un archivo que contiene las direcciones que se van a explorar. Una dirección IP por línea, máximo 256 por archivo. -r <intervalo> Especifica el intervalo de direcciones IP que se va a explorar, comenzando con la dirección IP 1 y terminando con la dirección IP 2. El intervalo incluye ambos extremos. -d >nombre_dominio> Especifica el nombre de dominio que se va a explorar Se exploran todos los equipos del dominio. -n <red> Se exploran todos los sistemas de la red local (todos los hosts del entorno de red). -history <nivel> No se necesita para el funcionamiento normal. -t <subprocesos> El número de subprocesos utilizados para ejecutar la exploración. Los posibles valores van del 1 al 128. El valor predeterminado es 64. -o <salida> Especifica el formato de salida deseado. (tab) genera salidas en formato delimitado por tabuladores. (wrap) genera salidas en formato de ajuste de línea. La salida predeterminada es wrap. -x <origen de datos> Especifica el origen de datos xml que contiene la información de la revisión. La ubicación puede ser un nombre de archivo xml, un archivo cab xml comprimido o una URL. El origen predeterminado es mssecure.cab del sitio Web de Microsoft. -s <suprimir> Suprime los mensajes de NOTA y de ADVERTENCIA. 1 = Suprime sólo los mensajes de NOTA, 2 = Suprime los mensajes de NOTA y de ADVERTENCIA. La opción predeterminada es mostrar todos los mensajes. -z No realizar las comprobaciones del registro. -nosum No evaluar la suma de comprobación de archivos. La prueba de suma de comprobación calcula la suma de comprobación de los archivos. Esta acción puede utilizar una gran cantidad de ancho de banda. Con esta opción se puede aumentar la velocidad de la exploración, utilizando menos ancho de banda. Se sigue realizando la comprobación de la versión de los archivos. -b Muestra el estado de las revisiones necesarias para satisfacer los estándares de seguridad de línea de base mínimos. -v Muestra los detalles de los mensajes de revisión no encontrada, ADVERTENCIA y NOTA. Está habilitado de forma predeterminada en el modo tab. -f <archivo de salida> Especifica el nombre del archivo en el que se guardarán los resultados. La salida predeterminada es mostrar los resultados en la pantalla. -u <nombre de usuario> Especifica el nombre de usuario opcional para iniciar una sesión en un equipo remoto. 156 -p <contraseña> Especifica la contraseña que se debe utilizar con el nombre de usuario. -? Muestra un menú de ayuda. Si utiliza Hfnetchk para comprobar el estado de las revisiones, debe asegurarse de ejecutarlo regularmente. En la mayoría de los entornos, la mejor manera de hacer esto es programarlo para que se ejecute regularmente. Nota: Para obtener más información acerca del uso de Hfnetchk, consulte el artículo de Knowledge Base Q303215, "Microsoft Network Security Hotfix Checker (Hfnetchk.exe) Tool Is Available" (en inglés). Secuencia de comandos de administración de revisiones Este manual incluye una secuencia de comandos de administración de revisiones, hfnetchk.cmd, que comprueba varios servidores para detectar las revisiones que faltan y registra los resultados en un archivo de registro que se guarda en una carpeta basada en fechas. La secuencia de comandos utiliza Hfnetchk para explorar los servidores y otra secuencia de comandos, movelog.vbs, para mover los archivos a las carpetas adecuadas. Con el tiempo, estas carpetas forman un historial que puede revisar como parte de las fases de análisis y revisión, y que le ayuda a mantener un entorno más seguro. Nota: La secuencia de comandos que se proporciona con este manual necesita Hfnetchk.exe versión 3.32 o posterior. Después de descargar y extraer las secuencias de comandos que se proporcionan con este manual, tendrá la siguiente estructura de carpetas para la secuencia de comandos de administración de revisiones. Tabla 5.2.: Estructura de carpetas para la secuencia de comandos de administración de revisiones. Carpeta Descripción C:\SecurityOps Ésta es la carpeta raíz para todos los archivos que se proporcionan con este manual. C:\SecurityOps\PatchMgmt Esta carpeta contiene la secuencia de comandos de administración de revisiones, hfnetchk.cmd, la secuencia de comandos movelog.vbs y las subcarpetas para los archivos de soporte y los registros. En esta carpeta es donde debe colocarse el archivo mssecure.xml. C:\SecurityOps\PatchMgmt\Hfnetchk En esta carpeta es donde debe colocarse la utilidad hfnetchk.exe después de descargarla del sitio Web de Microsoft. Más adelante se proporcionan las instrucciones detalladas. C:\SecurityOps\PatchMgmt\ServerLists En esta carpeta es donde se crean y se mantienen los archivos de texto con las listas de los grupos de servidores que se van a explorar para detectar las 157 revisiones que faltan. C:\SecurityOps\PatchMgmt\Logs En esta carpeta se crean los archivos de registro después de ejecutar hfnetchk.cmd. La secuencia de comandos crea una subcarpeta con la fecha actual en la que se almacena el archivo de registro; por ejemplo, \SecurityOps\PatchMgmt\Logs\2002117. Nota: Si instala los archivos que se proporcionan con este manual en una partición que no sea C:, debe modificar las rutas de acceso del archivo hfnetchk.cmd para que utilicen la partición adecuada. Para instalar y usar el archivo de comandos Hfnetchk.cmd en un Sistema de actualización de la seguridad 1. Ejecute SecurityOps.exe para extraer los archivos de la secuencia de comandos que se proporcionan con este manual y crear la estructura de carpetas que se indica en la tabla 5.2. 2. Descargue y extraiga la utilidad Hfnetchk de http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31154 (en inglés) y coloque hfnetchk.exe en la carpeta C:\SecurityOps\PatchMgmt\Hfnetchk. Si el equipo que ejecuta la secuencia de comandos no está conectado a Internet, necesitará descargar y extraer el archivo Mssecure.xml de http://download.microsoft.com/download/xml/security/1.0/nt5/enus/mssecure.cab (en inglés). Mssecure.xml debe colocarse en la carpeta C:\SecurityOps\PatchMgmt. 3. Cree un archivo de texto de lista de servidores en C:\SecurityOps\PatchMgmt\ServerLists. Este archivo de texto contiene los nombres NetBIOS de los servidores que desea comprobar, separados por retornos de carro. Nota: Hfnetchk.exe versión 3.32 no explora ningún servidor que tenga un espacio después del nombre del mismo y antes del retorno de carro. Antes de ejecutar Hfnetchk, compruebe que no haya líneas que terminen con un espacio. 4. Inicie un símbolo del sistema, cambie a la carpeta C:\SecurityOps\PatchMgmt e inicie la secuencia de comandos con la siguiente línea de comandos. Hfnetchk.cmd listaservidores.txt En esta línea de comandos, listaservidores.txt es el nombre del archivo de texto que contiene la lista de servidores. Nota: Si aparece un cuadro de diálogo que le pregunta si desea descargar el archivo mssecure.xml, haga clic en Sí. 5. Cambie a la carpeta C:\SecurityOps\PatchMgmt\Logs, abra la carpeta con la fecha actual y abra el archivo con el mismo nombre que el archivo listaservidores.txt. 6. Examine el archivo de registro para determinar las revisiones que faltan en los servidores. Nota: Si ejecuta la secuencia de comandos de administración de revisiones dos veces en el mismo día, se sobrescribirá el archivo de registro de la primera vez que ejecutó la secuencia de comandos. 158 Uso de varias listas de servidores En una red a gran escala puede haber varios tipos de servidores distintos. Como parte del proceso de administración de riesgos, puede determinar que necesita controlar algunos servidores con mayor frecuencia que otros para detectar si faltan revisiones. Si usa varias listas de servidores, puede programar la secuencia de comandos de administración de revisiones para que explore los diferentes tipos de servidores en intervalos distintos. También resulta útil tener varias listas de servidores si hay distintos administradores responsables de los diferentes grupos de servidores. Si utiliza varias listas, puede crear informes independientes de las revisiones que faltan para cada grupo de administradores. Por ejemplo, para la red simple que se muestra en la ilustración 5.2., puede crear seis archivos de listas de servidores para proporcionar informes de las revisiones a los diferentes grupos de administradores. Ilustración 5.2.: Archivos de listas de servidores para una red simple. En este ejemplo, los archivos de lista de servidores para cada tipo de servidor sólo contienen los nombres de esos servidores. Por ejemplo, File&Print.txt sólo contiene: FP01 FP02 FP03 El sexto archivo de lista de servidores, Servers.txt, contiene todos los servidores del entorno. El equipo de seguridad puede utilizar los resultados de esta exploración para asegurarse de que cada grupo mantiene sus servidores actualizados con las revisiones más recientes. Programación de la secuencia de comandos de administración de revisiones Para asegurarse de que hfnetchk.cmd se ejecuta regularmente, puede programar la ejecución periódica de la herramienta. Esto se puede hacer con el programador de tareas o el comando AT. Si utiliza varias listas de servidores, puede hacer que se comprueben los diferentes servidores en momentos distintos. 159 Nota: De forma predeterminada, el servicio de programación está deshabilitado en las directivas de línea de base para los servidores miembros y para los controladores de dominio. Necesitará habilitarlo si desea programar la secuencia de comandos de administración de revisiones. Otros métodos para determinar los niveles de revisión Si no desea o no puede utilizar la herramienta hfnetchk en algunas partes del entorno, hay otras maneras de determinar si se han instalado revisiones. La forma más fácil es mirar el registro bajo la clave HKLM\Software\Microsoft\Windows Nt\Currentversion\hotfix. Cada revisión nueva instalada debe tener una clave con un nombre Q que corresponde al artículo de Knowledge Base que trata de la revisión. Sin embargo, esto no ocurre con algunas revisiones antiguas y con las de algunas aplicaciones. Hay otras dos herramientas gratuitas de Microsoft que pueden utilizarse para obtener esta información. Éstas son: Qfecheck.exe /v. Indica el nivel del Service Pack y las revisiones instaladas. Qfecheck también indica si la revisión no se instaló correctamente. Hotfix.exe -l. Muestra las revisiones instaladas. Plan No todas las amenazas y vulnerabilidades suponen un riesgo importante para su entorno. Cuando lea avisos de posibles nuevas vulnerabilidades de un sistema operativo o una aplicación, debe evaluar si éstas afectan a su entorno. Por ejemplo, si la vulnerabilidad afecta al servicio de FTP de Windows 2000 y usted nunca lo ha habilitado, la vulnerabilidad no le afecta. Es lo mismo que si le informan de que hay más probabilidades de que haya huracanes este año, pero su entorno de TI está en un área protegida de los huracanes: el riesgo es mínimo. Si responde a las amenazas y vulnerabilidades que no son reales para su entorno, utilizará valiosos recursos y puede incluso afectar negativamente a la estabilidad de su entorno sin llegar a obtener ningún beneficio. A medida que se descubren nuevas amenazas y vulnerabilidades, debe leer toda la información de apoyo correspondiente. Esto le permitirá tomar una decisión inteligente sobre si existe un riesgo significativo para su entorno y determinar, por lo tanto, la respuesta apropiada. Esta respuesta puede ser no hacer nada, desactivar el servicio que corre el riesgo o instalar una revisión. Nota: Al crear el plan para instalar una nueva revisión, también debe crear un plan para desinstalarla. Nota: Para asegurarse de que tiene la información actualizada acerca de las revisiones más recientes, asegúrese de que recibe regularmente los boletines de seguridad de Microsoft. Para registrarse y recibirlos, vaya al sitio Web de seguridad de Microsoft. Consulte el vínculo en el apartado "Más información", al final de este capítulo. Clasificación de las revisiones Siempre que aparece una nueva revisión, debe determinar su importancia para su entorno. Esto determinará si es urgente que la instale y la cantidad de pruebas que debe realizar. Microsoft proporciona una calificación para cada vulnerabilidad objeto de un boletín de seguridad. Los niveles de calificación se muestran en la tabla siguiente. 160 Tabla 5.3.: Calificaciones de vulnerabilidad definidas por Microsoft. Tipo de equipo Nivel de calificación Crítica Moderada Baja Servidores de Internet Distorsión del sitio Web, servicio denegado o control total Dificultad para usarlo, configuración inusual o efectos transitorios Efectos limitados, como revelación de las secuencias de comandos Servidores internos Aumento de los privilegios, difusión o modificación de datos. Problemas para realizar auditorías Difusión o modificación de los datos auditables, o servicio denegado Robo o modificación de datos indiscriminados o parciales, servicio denegado de forma limitada Sistemas cliente Ejecución de código arbitrario sin la acción del usuario, aumento remoto de los privilegios Aumento local de los privilegios, difusión de datos indiscriminada o servicio denegado; uso de las acciones del usuario Robo o modificación limitados o parciales de datos, ataques hostiles al sitio Web El sistema de calificación clasifica las vulnerabilidades según el posible efecto que pueden tener y la probabilidad de que eso ocurra. Puede usar este sistema de clasificación como una guía para clasificar las revisiones. No obstante, el sistema de calificación de Microsoft es sólo una estimación global de las posibles repercusiones en un contexto de millones de clientes en todo el mundo; las calificaciones de gravedad se basan en la experiencia previa y en criterios subjetivos, por lo que no siempre pueden predecir exactamente lo que ocurrirá en su entorno. En último término, es usted quien debe clasificar las revisiones basándose en su propio entorno. Realizar pruebas de las revisiones Como ocurre con cualquier software, es posible que las revisiones no funcionen perfectamente en todos los entornos. Lo ideal es comprobar exhaustivamente todas las revisiones que va a instalar en su entorno. Sin embargo, muchas revisiones de seguridad deben instalarse rápidamente para reparar problemas potencialmente importantes. En muchos casos, verá que el procedimiento de prueba es una solución intermedia entre la necesidad de resolver un problema de seguridad y la necesidad de garantizar que la revisión sea estable en su entorno. La cantidad de pruebas necesarias depende de cómo haya clasificado la revisión. A partir de las clasificaciones de Microsoft, la tabla siguiente muestra el nivel mínimo de pruebas que debe realizar con cada tipo de revisión. Tabla 5.4.: Pruebas mínimas para las revisiones. Tipo de revisión La comprobación debe incluir 161 Revisiones de gravedad crítica Evaluación de la revisión Evaluación de las operaciones del servidor (limitada) Revisiones de gravedad moderada Evaluación de la revisión Instalación de la revisión en un entorno de prueba Evaluación de las operaciones del servidor (completa) Comprobación del procedimiento de desinstalación Revisiones de gravedad baja Evaluación de la revisión Instalación de la revisión en un entorno de prueba Evaluación de las operaciones del servidor (completa) Evaluación de las operaciones de la aplicación Comprobación del procedimiento de desinstalación Como parte del procedimiento de administración de riesgos, debe determinar lo exhaustivo que será cada paso. Si omite algunas de estas fases debido a la urgencia, debe realizarlas después en un laboratorio de pruebas para detectar los posibles problemas antes de que ocurran en los sistemas ya instalados. Todas las pruebas deben realizarse en servidores que se parezcan lo más posible a los servidores de producción. Evaluación de la revisión Como mínimo, la evaluación de la revisión debe incluir los pasos siguientes: Identificación del propietario de la revisión. Todas las revisiones deben tener un propietario identificado que sea el responsable de la evaluación de la revisión. Revisión de toda la documentación. Antes de aplicar cualquier Service Pack, revisión o revisión de seguridad, se debe leer toda la documentación relevante y debe ser revisada por otras personas del mismo nivel. Este proceso de revisión es fundamental, ya que reduce el riesgo de que a una sola persona se le escape algún punto crítico o importante al evaluar la actualización. Verificación de la categoría de la revisión. Es posible que al evaluar con más detalle la revisión, necesite cambiar su categoría. Esto afectará a otros aspectos de la realización de pruebas. Al leer la documentación, plantéese lo siguiente: ¿Es relevante la actualización y puede resolver el problema en cuestión?. ¿La instalación de la actualización puede ocasionar otros problemas que supongan un riesgo para el sistema de producción?. 162 ¿Existen dependencias relacionadas con la actualización?. (Por ejemplo, que haya que habilitar o deshabilitar ciertas funciones para que la actualización surta efecto.). ¿Es necesario realizar acciones antes de instalar la actualización?. Además de examinar la documentación incluida con la actualización, debe buscar en el sitio Web de soporte de Microsoft información adicional sobre la actualización publicada después de su comercialización. En su sitio Web, TechNet también proporciona boletines de seguridad en una base de datos en la que se pueden realizar búsquedas por nombre de producto y Service Pack. Estos materiales proporcionan información crítica a la que hay que referirse. Instalación Debe asegurarse de que la revisión se instale tal como está previsto, saber si necesita que se reinicie el sistema, cuánto espacio ocupa (incluida la carpeta de desinstalación), comprender de qué opciones dispone, etc. Además de instalar la revisión, debe leer toda la documentación de apoyo para obtener más información. Operaciones del servidor Una vez instalada la revisión, debe asegurarse de que el servidor sigue funcionando normalmente. También es una buena idea supervisar el registro de sucesos y el Monitor de Sistema por si se producen resultados inesperados. Compruebe todas las funciones del servidor y asegúrese de que todo funciona normalmente. El riesgo que está dispuesto a asumir en un determinado servidor y para una vulnerabilidad específica determinará cuánto tiempo debe funcionar el servidor antes de determinar que todo funciona normalmente. Si hay cualquier problema, debe asegurarse de que está documentado y de que se han evaluado las ventajas y las desventajas de aplicar la revisión. Si ocurre algún problema, debe comunicarse a Microsoft lo antes posible. Nota: Puede usar Microsoft Operations Manager para obtener la información del Registro de sucesos y del Monitor de sistema. Operaciones de las aplicaciones Como parte del procedimiento de realización de pruebas, es importante que pruebe la revisión con todas las aplicaciones que coexistan en los servidores y que se asegure de identificar todos los problemas con dependencias. Después de instalar la revisión, debe comprobar que todas las aplicaciones siguen funcionando igual que antes. Desinstalación Es posible que, a pesar de haber realizado pruebas, surjan problemas que hagan necesario desinstalar la revisión. Por lo tanto, es importante comprobar que la desinstalación funciona. Después de desinstalar la revisión, debe comprobar que el servidor sigue funcionando según lo previsto y continuar vigilando los contadores del Registro de Sucesos y del Monitor de Sistema. Creación de un plan de contingencias Aunque la realización de pruebas se lleve a cabo totalmente sin ninguna incidencia, es posible que surja algún problema al instalar la revisión en toda la organización. Por este motivo, es necesario contar con un plan de acción para restaurar el sistema al estado en el que estaba antes de instalar la revisión. En algunos casos, esto se hace realizando una copia de seguridad instantánea de un servidor antes de la instalación, de manera que si surge algún problema sea 163 posible restaurar el servidor muy rápidamente. Sea cual sea el plan de contingencias, se deben realizar pruebas exhaustivas. Instalación de las revisiones Si las pruebas se llevan a cabo sin problemas, estará listo para instalar la revisión en toda la organización. Esto puede hacerse por distintos métodos, que son: Manual. Directivas de grupo. Archivos de comandos. Nota: Para obtener más información acerca de la instalación de revisiones, consulte el artículo de TechNet "Best Practices for Applying Service Packs, Hotfixes and Security Patches" (en inglés). Consulte el vínculo en el apartado "Más información", al final de este capítulo. Manual La instalación manual de revisiones es el método de instalación más común en la mayoría de las organizaciones. Consiste simplemente en ejecutar el archivo .exe que corresponde a la revisión en cada servidor. Si su organización tiene un gran número de servidores, es posible que esta opción no sea práctica. El nombre de la mayoría de las revisiones proporciona información importante acerca de la reparación. Por ejemplo, un nombre típico de revisión es Q292435_W2K_SP3_x86_en.EXE. En este caso: Q292435 es el n úmero del artículo de Knowledge Base en el que puede obtener más información acerca de la revisión. W2K es el producto para el que se ha dise ñado (Microsoft Windows 2000). SP3 es el Service Pack en el que se va a incluir. x86 es la arquitectura de procesador para la que se ha dise ñado. en es el idioma (ingl és). Nota: Las revisiones que tienen como nombre de archivo QXXXXXX.exe y no incluyen la parte de W2K_SP3_x86 son específicas para aplicaciones como Internet Explorer. Las revisiones también admiten varios modificadores de línea de comandos que se pueden utilizar para controlar el comportamiento del proceso de instalación de la revisión. Tabla 5.5.: Modificadores para ejecutables de revisión. Modificador Descripción -y Desinstalar -f Forzar el cierre de las aplicaciones al apagar 164 el sistema -n No crear un directorio de desinstalación -z No reiniciar al finalizar la actualización. -q Modo silencioso: sin interfaz de usuario -m Modo desatendido -l Indicar las revisiones instaladas Nota: Por lo general, las revisiones específicas de aplicaciones con nombres de archivo QXXXXXX.exe no admiten todos los modificadores anteriores. Si incluye una secuencia de comandos en la instalación de varias revisiones, es conveniente utilizar los modificadores -q y -z para que la revisión se instale sin interfaz de usuario y no reinicie el sistema. Normalmente, cuando se instalan varias revisiones es necesario reiniciar el equipo entre cada una. Esto se debe a que no se pueden reemplazar los archivos bloqueados o que están utilizándose, y se colocan en una cola para sustituirse al reiniciar el sistema. QChain es una herramienta que permite encadenar varias revisiones reiniciando una sola vez, en lugar de reiniciar después de cada instalación. Para utilizar QChain, ejecute el instalador de la revisión con el modificador -z para indicar al instalador que no debe reiniciar después de la instalación. Después, ejecute QChain.exe y reinicie el equipo. Nota: QChain está disponible en TechNet. Para obtener información más detallada, consulte el apartado "Más información", al final de este capítulo. Si se agregan otros componentes, como DNS, después de aplicar un Service Pack y revisiones, será necesario volver a aplicar el Service Pack y las revisiones para que el nuevo componente tenga todas las correcciones necesarias. Directiva de grupo Windows 2000 admite, de forma nativa, la distribución de software por medio de una directiva de grupo. Las revisiones no se incluyen normalmente en un paquete del instalador de Windows. Sin embargo, se puede usar el ejecutable en combinación con un archivo .zap. Las aplicaciones que no utilizan paquetes del instalador de Windows deben utilizar un archivo .zap para describir el programa de instalación existente. Un archivo .zap es un archivo de texto (similar a los archivos .ini) que proporciona información acerca de cómo instalar un programa, las propiedades de la aplicación y los puntos de entrada que debe instalar la aplicación. Un archivo .zap sólo se puede asignar a un usuario, lo que significa que una vez configurada la directiva de grupo para distribuir la revisión, necesitará iniciar una sesión en el equipo con la cuenta de usuario a la que se asignó el archivo .zap. Nota: Para obtener más información acerca de la creación de archivos .zap y su asignación por medio de directivas de grupo, consulte el artículo de Knowledge Base Q231747, "How to Publish non-MSI Programs with .zap Files" (en inglés). 165 Archivos de comandos Es posible que desee crear sus propios archivos VBScripts o por lotes para distribuir las revisiones. Estos archivos pueden tener forma de secuencias de comando de conexión o de inicio, que comprueben el estado de la revisión actual y, a continuación, si existen actualizaciones en un servidor centralizado. Las secuencias de comandos pueden incluir QChain para garantizar que sólo se reinicie una vez si es necesario instalar más de una revisión. Supervisión Después de instalar las revisiones en el entorno de producción, es necesario seguir supervisando los servidores. Asegúrese de revisar los contadores del Registro de sucesos y del Monitor de sistema para detectar cualquier problema. Si observa algún error en el equipo durante las siguientes semanas, debe realizar pruebas para asegurarse de que no está relacionado con la revisión implementada. Asimismo, si instaló una revisión sin una comprobación de laboratorio exhaustiva debido a una situación crítica, deberá comprobar posteriormente la revisión en un entorno de laboratorio para asegurarse de que no omitió nada. Además de controlar los servidores existentes, es importante que supervise el entorno completo para asegurarse de que no se han incluido en la red nuevos servidores a los que no se hayan aplicado las revisiones actuales. La versión más reciente debe estar siempre disponible para aplicarla a los servidores nuevos y debe asegurarse de que se aplique. Revisión Sólo puede estar seguro de que un proceso funciona correctamente si lo revisa. Al terminar el proceso de administración de revisiones para cada revisión, debe revisarla para asegurarse de que se instaló correctamente y de que todos los procedimientos funcionan tal como estaba previsto. Esto le permitirá estar seguro de que los procesos seguirán funcionando correctamente. Al revisar el proceso de administración de revisiones, debe seguir analizando si se han producido otros cambios al entorno que puedan iniciar de nuevo el proceso de administración de revisiones. Administración de revisiones del lado del cliente Este capítulo trata acerca del proceso de administración de revisiones del lado del servidor, pero debe recordar que, muchas veces, los virus y otras amenazas para la seguridad de la organización obtienen acceso por el lado del cliente. La mayoría de los elementos anteriores también se aplican a la administración del lado del cliente, pero existen algunas diferencias. En la mayoría de los casos, las diferencias no están tanto en lo que hace la revisión sino en cómo se determina en la organización qué revisiones se necesitan, cómo se realizan las pruebas y cómo se instalan. Hay varias herramientas que ayudan específicamente con la administración de revisiones del lado del cliente. Windows Update Si está ejecutando una base de clientes con Windows XP, una forma sencilla de comprobar y aplicar correcciones es utilizando Windows Update. Al entrar en el sitio Web de Windows Update, se explora el equipo y se muestra una lista de todas las revisiones, tanto de seguridad como de otro tipo, que no están instaladas y se pueden descargar. 166 Para ejecutar Windows Update, debe ser un administrador del equipo local. Esto puede hacer que la herramienta no sea práctica en muchos entornos. Windows Update Corporate Edition El sitio Web de Windows Update Corporate Edition proporciona un catálogo completo de las actualizaciones que se pueden distribuir a través de una red corporativa. En la misma ubicación se encuentra el contenido de Windows Update y controladores de dispositivos con el logotipo de Microsoft Windows Hardware Quality Lab (WHQL). Windows Update Corporate Edition permite: Buscar las actualizaciones m ás recientes del software y los controladores por palabras clave, sistema operativo, tipo de actualización, tipo de componente, idioma, fecha de publicación y fabricante, con el fin de encontrar las más relevantes para su organización. Descargar las actualizaciones necesarias de una en una o s eleccionar varias para descargarlas como un paquete listo para distribuirlo en toda la red. Utilizar el historial de descargas para revisar las actualizaciones descargadas previamente y dónde están ubicadas. Usar el archivo Lea esto primero suministr ado con cada descarga para obtener información detallada acerca de cada actualización antes de descargarla. Los archivos Lea esto primero se proporcionan con todos los paquetes de descarga y contienen vínculos a sitios Web relevantes que contienen más información. Microsoft Baseline Security Analyzer Esta aplicación de seguridad se puede descargar de TechNet y ayuda a garantizar que los sistemas basados en Windows 2000 y Windows XP estén seguros y actualizados. Baseline Security Analyzer explora uno o varios sistemas y devuelve un informe de problemas como: revisiones de seguridad que faltan, contraseñas débiles, configuración de seguridad de Internet Explorer y Outlook Express y configuración de protección de las macros de Office. También proporciona información acerca del problema de seguridad detectado, cómo repararlo y vínculos con información adicional acerca del problema. Otras herramientas Si sigue las recomendaciones incluidas hasta aquí en este capítulo, habrá recorrido la mayor parte del camino necesario para administrar eficazmente las revisiones en su organización. Sin embargo, aún hay varias herramientas más que puede utilizar para automatizar el proceso de administración de revisiones. SMS Si tiene Microsoft Systems Management Server (SMS) instalado en su organización, puede usarlo como ayuda en muchas de las fases descritas anteriormente. El Kit de herramientas del programa de seguridad de Microsoft contiene una herramienta de importación de SMS que puede utilizarse para automatizar la distribución y la instalación de las correcciones de seguridad de IIS recomendadas. SMS puede ayudarle a determinar qué equipos necesitan las correcciones de seguridad y a instalarlas. 167 Las funciones de instalación de software de SMS se pueden utilizar para distribuir revisiones en su entorno a todos los equipos que tengan el cliente SMS. Si crea un paquete de software para la revisión, puede llevar a cabo la actualización de todos los equipos del entorno o de un grupo determinado. Una de las ventajas principales es que puede controlar qué equipos tienen la revisión instalada. Sin embargo, en la mayoría de los casos necesitará un administrador de SMS o una persona que sepa crear paquetes SMS para distribuirlos correctamente. Herramientas de otros fabricantes Hay varias herramientas de otros fabricantes disponibles que ayudan a la administración de revisiones. Estas herramientas ofrecen algunas funciones que aún no están disponibles en las herramientas gratuitas de Microsoft, como la posibilidad de implementar correcciones y recibir un informe del estado final, crear grupos de equipos con necesidades de actualización similares, compatibilidad con productos que las herramientas antes descritas no contemplan, y áreas de comandos en la interfaz gráfica de usuario (GUI) para las tareas administrativas. Debe evaluar estas funciones y determinar si son necesarias en su entorno. Utilidad Polaris Group Hotfix/Service Pack Esta herramienta tiene una GUI fácil de usar, es compatible con todos los productos Microsoft y puede automatizar el proceso de implementación de Service Packs y revisiones para que todos los equipos funcionen de acuerdo con el estándar corporativo especificado. http://www.polarisgroup.com/solutions (sitio Web en inglés). Shavlik Hfnetchkpro Creado a partir de la tecnología Hfnetchk. Tiene una GUI y permite mantener un historial de exploraciones que no está disponible en la versión de la línea de comandos. http://www.shavlik.com/nshc.htm (sitio Web en inglés). Bindview Security Advisor La herramienta Bindview tiene una GUI que simplifica el proceso de comprobar si hay equipos que no cumplen los requisitos. También tiene un servicio de actualización que le informa cuando aparecen nuevas revisiones. http://www.bindview.com/Solutions/Security/SecAdvisor_bvCtrlW2k.cfm (sitio Web en inglés). Pedestal Software’s Security Expressions Esta herramienta permite a los administradores aplicar directivas de bloqueo de seguridad en equipos con Windows y UNIX. También puede comprobar si se han aplicado revisiones y, en caso necesario, descargarlas e instalarlas. http://www.pedestalsoftware.com/secexp/index.htm (sitio Web en inglés). Resumen La mayoría de los problemas de seguridad en TI se deben al uso de sistemas que no están plenamente actualizados con las revisiones de seguridad más recientes. Para minimizar los riesgos de seguridad, es esencial contar con una buena administración de revisiones. Si se toma 168 en serio la administración de revisiones, puede reducir notablemente los costos asociados con los problemas de seguridad. Más información Más información acerca de Hfnetchk: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215 (en inglés). Para descargar Hfnetchk: http://www.microsoft.com/downloads/release.asp?releaseid=31154 (en inglés). Descarga de mssecure.cab: http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab (en inglés). Para obtener más información acerca de cómo crear un archivo .zap para utilizarlo con una directiva de grupo, consulte: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q231747 (en inglés). o bien http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnexnt00/html/ewn0085.asp (en inglés). Información y descarga de Qfecheck.exe: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q282784 (en inglés). Información acerca de Hotfix.exe: http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q184305 (en inglés). Información acerca de Qchain y descarga del archivo ejecutable: http://support.microsoft.com/default.aspx?scid=kb;EN-US;q296861 (en inglés). Información acerca del sistema de calificación de la seguridad de Microsoft: http://www.microsoft.com/technet/security/policy/rating.asp (en inglés). Para recibir periódicamente los boletines de seguridad de Microsoft: http://www.microsoft.com/technet/security/current.asp (en inglés). Kit de herramientas del programa de seguridad de Microsoft: http://www.microsoft.com/technet/security/tools/stkintro.asp (en inglés). Microsoft Operations Framework (MOF): http://www.microsoft.com/business/services/mcsmof.asp (en inglés). 169 Mejores prácticas para aplicar Service Packs, revisiones y revisiones de seguridad: http://www.microsoft.com/technet/security/bestprac/bpsp.asp (en inglés). Referencias y vínculos Microsoft TechNet Security Site: http://www.microsoft.com/technet/itsolutions/security/bestprac/secthret.asp (en inglés). Microsoft Security Best Practices: http://www.microsoft.com/technet/itsolutions/security/bestprac/secthret.asp (en inglés). How to Publish non-MSI Programs with .zap Files (Q231747): http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q231747 (en inglés). 6. Auditoría y detección de intrusiones En cualquier entorno seguro, deberá supervisar de forma activa que no se produzcan intrusiones ni ataques. No sería sensato instalar sistemas seguros y asumir que no se va a producir ningún ataque. Existen varias razones que denotan la importancia de la auditoría y la supervisión de intrusiones. Éstas incluyen: Cualquier entorno inform ático funcional puede estar sujeto a ataques. Por muy alta que sea la seguridad, siempre existe el riesgo de que se produzca un ataque. Los ataques verdaderos suelen producirse a menudo tras varios ataques infructuosos. Si no supervisa que no se produzcan ataques, no los detectará antes de que sean efectivos. Si se produce un ataque efect ivo, cuanto antes lo detecte, más fácil le resultará contener los daños. Para recuperarse de un ataque, necesitar á conocer los daños que se han producido. La auditor ía y la detección de intrusiones le ayudan a determinar el origen del ataque. La comb inación de la auditoría y la detección de intrusiones permite establecer una correlación entre la información para identificar las pautas de los ataques. La revisi ón habitual de los registros de seguridad ayuda a identificar problemas de configuración de la seguridad desconocidos, como permisos incorrectos u opciones de configuración de bloqueo de cuentas poco estrictas. Una vez detectado un ataque, la auditor ía puede ayudar a determinar los recursos de red que se ven comprometidos. Este capítulo explica cómo auditar el entorno para mejorar al máximo la detección de ataques y trata la supervisión de intrusiones, como el uso de sistemas de detección de intrusiones (software diseñado específicamente para detectar comportamientos que indican la existencia de un ataque). 170 Auditoría Como parte de la estrategia general de seguridad, deberá determinar el nivel de auditoría que sea apropiado para el entorno. La auditoría debe identificar los ataques, tanto si son efectivos como infructuosos, que representan una amenaza para la red o ataques contra recursos que considera valiosos como parte de la evaluación de riesgos. Al decidir el nivel de auditoría, deberá tener en cuenta que cuanto más alto sea el nivel, más sucesos se generarán y más difícil resultará detectar sucesos críticos. Si lleva a cabo una auditoría exhaustiva, se recomienda considerar el uso de herramientas adicionales, como Microsoft Operations Manager, para ayudarle a filtrar los sucesos de mayor importancia. Los sucesos de auditoría pueden dividirse en dos categorías: sucesos de acierto y sucesos de error. Los sucesos de acierto indican que un usuario ha conseguido obtener acceso a un recurso, mientras que los sucesos de error indican que se produjo un intento fallido. Los sucesos de error resultan muy útiles a la hora de realizar un seguimiento de intentos de ataque en el entorno, pero los sucesos de acierto son mucho más difíciles de interpretar. Aunque la inmensa mayoría de los sucesos de auditoría de acierto son simplemente indicaciones de actividad normal, si un atacante consigue obtener acceso al sistema, también se generará un suceso de acierto. A menudo, la pauta de sucesos es tan importante como los sucesos en sí. Por ejemplo, varios errores seguidos por un acierto pueden indicar un intento de ataque que acabó teniendo éxito. Siempre que sea posible, deberá combinar sucesos de auditoría con otra información acerca de los usuarios. Por ejemplo, si los usuarios se van de vacaciones, puede desactivar las cuentas durante ese período y auditar si se activan de nuevo. Cómo activar la auditoría La auditoría se activa mediante la Directiva de grupo en el nivel de sitio, dominio, unidad organizativa o equipo local. La configuración de directivas de auditoría se encuentra ubicada en: Computer Configuration\Windows Settings\Security Settings\Local Policies\Audit Policy Normalmente, deberá implementar la auditoría en un nivel alto de la jerarquía de Active Directory, puesto que le ayudará a mantener la coherencia de la configuración de auditoría. En esta guía, se implementa la auditoría en los niveles de Servidores miembros y Unidad organizativa de controladores de dominio (consulte el capítulo 4, "Asegurar servidores basándose en su función", para obtener más información). Puede que haya decidido mantener varios servidores separados del dominio. Para configurar la auditoría en estos equipos, modifique la Directiva de grupo del equipo local o use la utilidad Auditpol.exe de Windows 2000 Server. Kit de recursos. Nota: Para obtener acceso a la Directiva de grupo de un equipo local, inicie MMC y, a continuación, agregue el complemento Directiva de grupo y haga que el equipo local sea el enfoque del complemento. Definir la configuración del Registro de sucesos Todos los sucesos generados por la auditoría aparecen en el Visor de sucesos. Debe determinar cómo almacena el Registro de sucesos los sucesos que se generan. Cada una de las opciones de configuración puede definirse directamente en el Visor de sucesos o en la Directiva de grupo. Para esta guía, se ha definido la configuración del Visor de sucesos en la Directiva de grupo. 171 Para obtener más detalles acerca de la configuración recomendada, consulte el capítulo 4, "Asegurar servidores basándose en su función". Es posible que desee modificar la configuración definida en la Directiva de grupo o aplicar la configuración en otro nivel. Por ejemplo, puede suceder que el registro de seguridad se llene con los servidores IIS y el sistema se colapse. Para evitarlo, modifique la Directiva de grupo en la unidad organizativa de servidores IIS para aumentar el tamaño del registro de seguridad o modifique la directiva de forma que el sistema no se colapse cuando se llene el registro de seguridad. Utilice el siguiente procedimiento para definir la configuración del registro de seguridad en la Directiva de grupo: Para modificar la configuración del Registro de sucesos con la Directiva de grupo en una unidad organizativa Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, Usuarios y equipos de Active Directory. En el árbol de la consola, haga clic con el botón secundario del mouse (ratón) en la unidad organizativa en la que desea definir la directiva de auditoría y, a continuación, haga clic en Propiedades. Seleccione la ficha Directiva de grupo, seleccione el Objeto de directiva de grupo que desea modificar y, a continuación, haga clic en Modificar. En el Editor de directivas de grupo, desplácese a Computer Configuration\Windows Settings\Security Settings\Event Logs\Settings for Event Logs. Modifique la configuración en función de sus necesidades. Si quita la configuración del Visor de sucesos de la Directiva de grupo, puede definirla directamente en el Visor de sucesos. No obstante, se recomienda que defina la configuración del Visor de sucesos en la Directiva de grupo para garantizar la coherencia de la configuración en todos los equipos similares. Sucesos para auditar Windows 2000 incluye varias categorías de auditoría para los sucesos de seguridad. Al diseñar la estrategia de auditoría de la empresa, deberá decidir si va a incluir las siguientes categorías de sucesos de auditoría de seguridad: Sucesos de inicio de sesi ón. Sucesos de inicio de sesi ón de cuentas. Acceso a objetos. Acceso del servicio de directorio. Uso de privilegios. Seguimient o de procesos. Sucesos del sistema. 172 Cambio de directivas. En los apartados siguientes se describen en detalle algunos de los Id. de suceso más comunes que se devuelven al activar la auditoría para categorías específicas. Nota: Las herramientas utilizadas para buscar y obtener información del registro de sucesos se tratan en el apartado "Métodos de detección pasivos" más adelante en este capítulo. Sucesos de inicio de sesión Si audita sucesos de inicio de sesión, cada vez que un usuario inicie o cierre la sesión en un equipo, se generará un suceso en el registro de seguridad del equipo en que se produce el intento de inicio de sesión. Además, cuando un usuario se conecta a un servidor remoto, se genera un suceso de inicio de sesión en el registro de seguridad del servidor remoto. Los sucesos de inicio de sesión se generan cuando se crean o destruyen respectivamente la sesión y el testigo de inicio de sesión. Los sucesos de inicio de sesión pueden resultar útiles para realizar un seguimiento de los intentos de inicio de sesión interactivo en servidores o para investigar los ataques iniciados desde un equipo determinado. Las auditorías de aciertos generan una entrada de auditoría cuando un intento de inicio de sesión es efectivo. Las auditorías de errores generan una entrada de auditoría cuando un intento de inicio de sesión es infructuoso. Nota: Los sucesos de inicio de sesión incluyen tanto sucesos de inicio de sesión de equipos como de usuarios. Comprobará que existen entradas de registro de sucesos de seguridad independientes para la cuenta del equipo y la cuenta del usuario cuando se intenta realizar una conexión a la red desde un equipo basado en Windows NT o Windows 2000. Los equipos basados en Windows 9x no tienen cuentas de equipo en el directorio y no generan entradas de registro de sucesos de inicio de sesión de equipos para sucesos de inicio de sesión de red. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de sucesos de inicio de sección se encuentra activada. Por lo tanto, verá los siguientes Id. de suceso para inicios de sesión interactivos e inicios de sesión de los Servicios de Terminal Server que se conectan a equipos que ejecutan los Servicios de Terminal Server. Tabla 6.1.: Sucesos de inicio de sesión que aparecen en el Registro de Sucesos. Id. de suceso Descripción 528 Un usuario inició la sesión correctamente en un equipo. 529 El intento de inicio de sesión se realizó con un nombre de usuario desconocido o con un nombre de usuario conocido y una contraseña incorrecta. 530 La cuenta de usuario intentó iniciar la sesión fuera del período de tiempo permitido. 531 Se produjo un intento de inicio de sesión con una cuenta desactivada 532 Se produjo un intento de inicio de sesión con una cuenta caducada 533 El usuario no tiene permiso para iniciar la sesión en este equipo. 173 534 El usuario intentó iniciar la sesión con un tipo de inicio de sesión no permitido (de red, interactivo, por lotes, de servicios o interactivo remoto). 535 La contraseña de la cuenta especificada ha caducado. 536 El servicio Inicio de sesión en la red no está activo. 537 Error del intento de inicio de sesión por otras razones 538 Un usuario cerró la sesión. 539 La cuenta se bloqueó cuando se intentó iniciar la sesión. Este suceso puede indicar un ataque de contraseñas infructuoso, lo que hace que se bloquee la cuenta. 540 Inicio de sesión en la red correcto. Este suceso indica que un usuario remoto se ha conectado correctamente de la red a un recurso local del servidor y que se ha generado un testigo para el usuario de red. 682 Un usuario se ha conectado de nuevo a una sesión de Servicios de Terminal Server desconectada. Este suceso indica la conexión a una sesión anterior de Servicios de Terminal Server. 683 Un usuario ha desconectado la sesión de Servicios de Terminal Server sin cerrarla primero. Este suceso se genera cuando un usuario está conectado a una sesión de Servicios de Terminal Server en la red. Aparece en Terminal Server. Los siguientes sucesos de seguridad pueden diagnosticarse por medio de entradas de sucesos de inicio de sesión: Intentos de inicio de sesión local infructuosos. Cualquiera de los siguientes Id. de suceso indica intentos de inicio de sesión infructuosos: 529, 530, 531, 532, 533, 534 y 537. Verá los sucesos 529 y 534 si un atacante intenta adivinar una combinación de nombre de usuario y contraseña para una cuenta local y no lo consigue. No obstante, estos sucesos también pueden producirse cuando un usuario se olvida de la contraseña o empieza a explorar la red por medio de Mis sitios de red. En un entorno de grandes dimensiones, puede resultar difícil interpretar correctamente estos sucesos. Como norma general, se deberá investigar estas pautas si se producen de forma repetida o coinciden con otros factores poco habituales. Por ejemplo, varios sucesos 529 seguidos por un suceso 528 durante la noche podrían indicar un ataque de contraseñas efectivo (aunque podría ser simplemente un administrador demasiado cansado). Uso incorrecto de cuentas. Los sucesos 530, 531, 532 y 533 pueden representar el uso incorrecto de una cuenta de usuario. Los sucesos indican que se introdujo correctamente la combinación de cuenta y contraseña, pero que otras restricciones no permiten el inicio de sesión correcto. Siempre que sea posible, deberá investigar estos sucesos para determinar si se ha utilizado incorrectamente una cuenta o si se deben modificar las restricciones actuales. Por ejemplo, es posible que necesite ampliar las horas de inicio de sesión de determinadas cuentas. Bloqueos de cuentas. El suceso 539 indica que se bloqueó una cuenta. Puede ser indicativo de un ataque de contraseñas infructuoso. Deberá buscar sucesos 529 anteriores de la misma cuenta de usuario para averiguar la pauta de intentos de inicio de sesión. Ataques de los Servicios de Terminal Server. Las sesiones de los Servicios de Terminal Server pueden dejarse conectadas de forma que los procesos puedan continuar ejecutándose tras el 174 cierre de la sesión. El Id. de suceso 683 indica cuándo un usuario no cierra la sesión de Servicios de Terminal Server y el Id. de suceso 682 indica cuándo alguien se conecta a una sesión previamente desconectada. Sucesos de inicio de sesión de cuentas Cuando un usuario inicia la sesión en un dominio, el inicio de sesión se procesa en un controlador de dominio. Si audita sucesos de inicio de sesión de cuentas en controladores de dominio, verá este intento de inicio de sesión registrado en el controlador de dominio que valida la cuenta. Los sucesos de inicio de sesión de cuentas se crean cuando un paquete de autenticación valida las credenciales de un usuario. Al utilizar credenciales de dominio, los sucesos de inicio de sesión de cuentas se generan únicamente en los registros de sucesos de los controladores de dominio. Si las credenciales presentadas son credenciales de base de datos SAM locales, entonces los sucesos de inicio de sesión de cuentas se crean en el registro de sucesos de seguridad del servidor. Puesto que el suceso de inicio de sesión de cuentas puede registrarse en cualquier controlador de dominio válido del dominio, deberá asegurarse de consolidar el registro de seguridad en todos los controladores de dominio para analizar todos los sucesos de inicio de sesión de cuentas del dominio. Nota: Al igual que los sucesos de inicio de sesión, los sucesos de inicio de sesión de cuentas incluyen tanto sucesos de inicio de sesión de equipos como de usuarios. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de sucesos de inicio de sección de cuentas se encuentra activada. Por lo tanto, verá los siguientes Id. de suceso para inicios de sesión de red y la autenticación de los Servicios de Terminal Server. Tabla 6.2.: Sucesos de inicio de sesión de cuentas que aparecen en el Registro de sucesos. Id. de suceso Descripción 672 Se emitió y validó correctamente un tíquet del servicio de autenticación (AS). 673 Se concedió un tíquet del servicio de concesión de tíquets (TGS). 674 Un principal de seguridad renovó un tíquet del AS o del TGS. 675 Error de preautenticación. 676 Error de la petición de tíquet de autenticación. 677 No se concedió un tíquet del TGS. 678 Se asignó correctamente una cuenta a una cuenta de dominio. 680 Identifica la cuenta utilizada para el intento de inicio de sección efectivo. Este suceso también indica el paquete de autenticación que se utilizó para autenticar la cuenta. 681 Se intentó llevar a cabo un inicio de sesión de cuenta de dominio. 682 Un usuario se ha conectado de nuevo a una sesión de Servicios de Terminal Server 175 desconectada. 683 Un usuario ha desconectado la sesión de Servicios de Terminal Server sin cerrarla primero. Para cada uno de estos sucesos, el registro de sucesos muestra información detallada acerca de cada inicio de sesión concreto. Los siguientes sucesos de seguridad pueden diagnosticarse por medio de entradas de sucesos de inicio de sesión de cuentas: Intentos de inicio de sesión de dominio infructuosos. Los Id. de suceso 675 y 677 indican intentos infructuosos de inicio de sesión en el dominio. Problemas de sincronización temporal. Si la hora del equipo de un cliente difiere de la del controlador de dominio de autenticación en más de cinco minutos (de forma predeterminada), aparecerá el Id. de suceso 675 en el registro de seguridad. Ataques de los Servicios de Terminal Server. Las sesiones de los Servicios de Terminal Server pueden dejarse conectadas de forma que los procesos puedan continuar ejecutándose tras el cierre de la sesión de Terminal Server. El Id. de suceso 683 indica cuándo un usuario no cierra la sesión de Servicios de Terminal Server y el Id. de suceso 682 indica cuándo alguien se conecta a una sesión previamente desconectada. Para evitar las desconexiones o cerrar las sesiones desconectadas, defina el intervalo de tiempo para finalizar la sesión desconectada en la consola de configuración de los Servicios de Terminal Server, en las propiedades del protocolo RDPTCP. Administración de cuentas La auditoría de la administración de cuentas sirve para determinar cuándo se crean, modifican o eliminan los usuarios o grupos. Esta auditoría puede utilizarse para determinar cuándo se creó un principal de seguridad y quién realizó la tarea. Como parte de las directivas de línea de base para servidores miembros y controladores de dominio, la auditoría de aciertos y errores de la administración de cuentas se encuentra activada. Por lo tanto, verá los siguientes Id. de suceso registrados en el registro de seguridad. Tabla 6.3.: Sucesos de administración de cuentas que aparecen en el Registro de Sucesos. Id. de suceso Descripción 624 Cuenta de usuario creada 625 Cambio de tipo de cuenta de usuario 626 Cuenta de usuario habilitada 627 Intento de cambio de contraseña 628 Contraseña de cuenta de usuario establecida 629 Cuenta de usuario deshabilitada 630 Cuenta de usuario eliminada 176 631 Grupo global habilitado de seguridad creado 632 Miembro de grupo global habilitado de seguridad agregado 633 Miembro de grupo global habilitado de seguridad eliminado 634 Grupo global habilitado de seguridad eliminado 635 Grupo local deshabilitado de seguridad creado 636 Miembro de grupo local habilitado de seguridad agregado 637 Miembro de grupo local habilitado de seguridad eliminado 638 Grupo local habilitado de seguridad eliminado 639 Grupo local habilitado de seguridad modificado 641 Grupo global habilitado de seguridad modificado 642 Cuenta de usuario modificada 643 Directiva de dominio cambiada 644 Cuenta de usuario bloqueada Los siguientes sucesos de administración de cuentas pueden diagnosticarse por medio de entradas del registro de seguridad: Creación de una cuenta de usuario. Los Id. de suceso 624 y 626 identifican cuándo se crean y activan las cuentas de usuario. Si la creación de cuentas se limita a determinados usuarios de la organización, puede utilizar estos sucesos para identificar cuentas de usuario creadas por personal no autorizado. Contraseña de cuenta de usuario modificada. La modificación de una contraseña por parte de alguien que no sea el usuario puede indicar que otro usuario ha tomado posesión de la cuenta. Busque los Id. de suceso 627 y 628, que indican una tentativa de modificación de la contraseña efectiva. Examine los detalles para determinar si otra cuenta realizó la modificación y si la cuenta pertenece al servicio de asistencia o a otro equipo de servicios que restablece las contraseñas de las cuentas de usuario. Estado de cuenta de usuario modificado. Un atacante puede intentar evitar dejar rastro por medio de la desactivación o eliminación de la cuenta utilizada durante un ataque. Todas las instancias de los Id. de suceso 629 y 630 deberán investigarse para comprobar que se trata de transacciones autorizadas. Busque también el Id. de suceso 626 seguido por el Id. de suceso 629 un poco más adelante. Esto puede indicar que se activó, utilizó y volvió a desactivar una cuenta desactivada. Modificación de grupos de seguridad. Deberán examinarse las modificaciones de los miembros de Administradores del dominio, Administradores o cualquiera de los grupos de operadores o de grupos globales, universales o locales de dominio personalizados a los que se les hayan delegado funciones administrativas. Para las modificaciones de los miembros de grupos 177 globales, busque los Id. de suceso 632 y 633. Para las modificaciones de los miembros de grupos locales, busque los Id. de suceso 636 y 637. Bloqueo de cuentas. Cuando se bloquea una cuenta, se registran dos sucesos en el maestro de operaciones del emulador del PDC. El suceso 644 indica que se bloqueó el nombre de cuenta y, a continuación, se registrará un suceso 642, que indica que la cuenta de usuario se ha modificado para indicar que la cuenta está ahora bloqueada. Este suceso sólo se registra en el emulador del PDC. Acceso a objetos La auditoría puede activarse para todos los objetos de una red basada en Windows 2000 con una lista de control de acceso al sistema (SACL). La SACL contiene una lista de usuarios y grupos para los que se deben auditar acciones realizadas en el objeto. Casi todos los objetos que puede manipular un usuario en Windows 2000 disponen de una SACL. Ésta incluye archivos y carpetas de unidades NTFS, impresoras y claves de registro. Está compuesta de entradas de control de acceso (ACE). Cada ACE contiene tres tipos de información: El principal de seguridad que se debe auditar Los tipos de acceso espec íficos que se deben auditar (lo que se denomina máscara de acceso) Un indicador acerca de si se deben auditar los accesos infructuosos, los accesos eficaces o ambos. Si desea que los sucesos aparezcan en el Registro de Seguridad, primero deberá activar Auditar el acceso a objetos y, a continuación, definir la SACL para cada objeto que desea auditar. Las auditorías de Windows 2000 se generan cuando se abre un identificador de objeto. Windows 2000 utiliza un subsistema de seguridad del modo de núcleo que sólo permite a los programas obtener acceso a objetos por medio del núcleo. De este modo, se impide que los programas intenten evitar el sistema de seguridad. Puesto que el espacio de memoria del núcleo se encuentra aislado de los programas en modo de usuario, los programas hacen referencia a los objetos por medio de una estructura de datos denominada identificador. A continuación, se muestra una tentativa de acceso típica: 1. Un usuario ordena a un programa que obtenga acceso a un objeto (por ejemplo, Archivo/Abrir). 2. El programa solicita al sistema un identificador y especifica el tipo de acceso deseado (lectura, escritura, etc.). 3. El subsistema de seguridad compara la DACL del objeto solicitado con el testigo del usuario y busca entradas de la DACL que coincidan con el usuario o un grupo al que pertenezca el usuario y que también tengan los derechos de acceso solicitados por el programa. 4. El sistema compara la SACL del objeto solicitado con el testigo del usuario y busca entradas de la SACL que coincidan con los derechos efectivos que se devuelven al programa, o bien con los derechos solicitados por el programa. Si una ACE de auditoría de errores coincide con un acceso que se solicitó pero no se concedió, se genera un suceso de auditoría de error. Si una ACE 178 de auditoría de aciertos coincide con un acceso que se concedió, se genera un suceso de auditoría de acierto. 5. Si se concede un acceso, el sistema devuelve un identificador al programa, que entonces puede utilizar el identificador para obtener acceso al objeto. Es importante tener en cuenta que, cuando se produce la auditoría y se genera el suceso, todavía no se ha producido ninguna modificación en el objeto. Esto resulta de importancia vital a la hora de interpretar sucesos de auditoría. Las auditorías de escritura se generan antes de que se escriba en el archivo y las auditorías de lectura se generan antes de que se lea el archivo. Al igual que en todas las auditorías, es muy importante adoptar un enfoque centrado en la auditoría de acceso a objetos. En su plan de auditoría, decida el tipo de objetos que debe auditar y, a continuación, determine el tipo de tentativas de acceso (acierto, error o ambos) que desea supervisar para cada tipo de objeto auditado. Un enfoque demasiado amplio en la auditoría tendrá un impacto considerable en el rendimiento del sistema y tendrá como consecuencia la recopilación de mucha más información de la que resulta necesaria o útil. En general, convendrá que audite todos los accesos a los objetos seleccionados, incluidos los accesos desde cuentas que no sean de confianza. Para ello, agregue el grupo Todos a la SACL de los objetos que desea auditar. Deberá ser precavido a la hora de auditar los aciertos de acceso a objetos, puesto que pueden generarse muchas entradas de auditoría en el registro de seguridad. No obstante, si por ejemplo está investigando la eliminación de un archivo crítico, deberá examinar los sucesos de auditoría de acierto para determinar la cuenta de usuario que eliminó el archivo. Las directivas directivas de línea de base para servidores miembros y controladores de dominio están configuradas para auditar tanto los aciertos como los errores de acceso a objetos. No obstante, no se configura ninguna SACL en los objetos y deberá configurarlas en función de las necesidades del entorno. Las SACL pueden definirse directamente en los objetos o mediante la Directiva de grupo. Si el objeto que requiere la auditoría existe en varios equipos, deberá definir las SACL en la Directiva de grupo. La auditoría del acceso a objetos hará que aparezcan los siguientes sucesos en el registro de seguridad. Tabla 6.4.: Sucesos de acceso a objetos que aparecen en el Registro de sucesos. Id. de suceso Descripción 560 Se concedió acceso a un objeto ya existente. 562 Se cerró un identificador de un objeto. 563 Se intentó abrir un objeto con la intención de eliminarlo (utilizado por los sistemas de archivos cuando se especifica el indicador FILE_DELETE_ON_CLOSE). 564 Se eliminó un objeto protegido. 565 Se concedió acceso a un tipo de objeto ya existente. 179 Si busca sucesos de acceso a objetos específicos, deberá investigar principalmente los sucesos con el Id. 560. La información útil se incluye con los detalles del suceso, en los que necesitará realizar búsquedas para encontrar los sucesos específicos que busca. En la tabla 6.5. se muestran algunas acciones que puede que necesite llevar a cabo y cómo realizarlas. Tabla 6.5.: Cómo llevar a cabo acciones de auditoría clave para el suceso de acceso a objetos 560. Acción de auditoría Método Buscar un archivo, carpeta u objeto específico En los detalles del suceso 560, busque la ruta de acceso completa del archivo o la carpeta para los que desea revisar las acciones. Determinar específico usuario Defina un filtro que identifique el usuario específico en un suceso 560. Determinar acciones realizadas en un equipo específico Defina un filtro que identifique la cuenta de equipo específica en la que se realizó la tarea en un suceso 560. acciones de un Acceso del servicio de directorio Los objetos de Active Directory tienen SACL asociadas y, por lo tanto, pueden auditarse. Tal y como se mencionó anteriormente, para auditar las cuentas de usuario y de grupo de Active Directory, deberá auditar la Administración de cuentas. No obstante, si desea auditar la modificación de objetos en otros contextos de nombres, como los de configuración y de esquema, deberá auditar el acceso a objetos y, a continuación, definir la SACL para los contenedores específicos que desea auditar. Las entradas de auditoría se generan cuando los usuarios que figuran en la SACL de un objeto de Active Directory intentan obtener acceso al objeto. Puede modificar la SACL de contenedores y objetos en el contexto de nombres de configuración (y en otros contextos de nombres) por medio del complemento de MMC ADSIEDIT. Para ello, muestre el contexto requerido en la consola ADSIEDIT y, a continuación, modifique la SACL del objeto en el cuadro de diálogo Configuración de seguridad avanzada. Resulta muy difícil encontrar sucesos específicos para el acceso a servicios de directorio, debido al gran volumen de sucesos (normalmente inofensivos) que se producen. Por esta razón, las directivas de línea de base para servidores miembros y controladores de dominio sólo auditan sucesos de error para el acceso a servicios de directorio. Esto le ayudará a identificar cuándo un atacante intenta obtener acceso no autorizado a Active Directory. Las tentativas de acceso al directorio aparecerán como un suceso de servicios de directorio con el Id. 565 en el registro de seguridad. Sólo podrá determinar el objeto al que corresponde el suceso al examinar los detalles del suceso de seguridad. Uso de privilegios Los usuarios que trabajan en un entorno de TI ejercitan derechos de usuario definidos. Si audita los aciertos y errores del uso de privilegios, se generará un suceso cada vez que un usuario intente ejercer un derecho de usuario. 180 Incluso si se audita el uso de privilegios, no se auditarán todos los derechos de usuario. Los siguientes derechos de usuario se excluyen de forma predeterminada: No usar comprobaci ón de desvío. Depurar programas. Crear un objeto testigo. Reemplazar un testigo a nivel de proceso. Generar auditor ías de seguridad. Realizar copias de seguridad de archivos y directorios. Restaurar archivos y directorios. Puede omitir el comportamiento predeterminado de no auditar los derechos de usuario de copia de seguridad y restauración si activa la opción de seguridad Auditar el uso del privilegio de copia de seguridad y restauración de la Directiva de grupo. La auditoría de aciertos del uso de privilegios creará un alto número de entradas en el registro de seguridad. Por esta razón, las directivas de línea de base para servidores miembros y controladores de dominio sólo auditan sucesos de error del uso de privilegios. Cuando la auditoría del uso de privilegios está activada, se generan los siguientes sucesos. Tabla 6.6.: Sucesos de uso de privilegios que aparecen en el Registro de Sucesos. Id. de suceso Descripción 576 Se agregaron privilegios específicos al testigo de acceso de un usuario (este evento se genera cuando el usuario inicia la sesión). 577 Un usuario intentó realizar una operación de servicios del sistema privilegiada. 578 Se utilizaron privilegios en un identificador ya abierto de un objeto protegido. A continuación, figuran ejemplos de algunas de las entradas del registro de suceso que pueden aparecer cuando se utilizan derechos de usuario específicos. Actuar como parte del sistema operativo. Busque el Id. de suceso 577 o 578 con el privilegio SeTcbPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de elevar los privilegios de seguridad actuando como parte del sistema operativo. Por ejemplo, el ataque GetAdmin, en el que un usuario intenta agregar su cuenta al grupo de administradores, utiliza este privilegio. Las únicas entradas de este suceso deberían referirse a la cuenta del sistema y a las cuentas de servicio a las que se haya asignado este derecho de usuario. Cambiar la hora del sistema. Busque el Id. de suceso 577 o 578 con el privilegio SeSystemtimePrivilege indicado. La cuenta de usuario que ha empleado el derecho de usuario 181 está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de modificar la hora del sistema para ocultar la hora real en la que se produce un suceso. Exigir el cierre del sistema desde un sistema remoto. Busque los Id. de suceso 577 y 578 con el derecho de usuario SeRemoteShutdownPrivilege. El identificador de seguridad (SID) específico al que está asignado el derecho de usuario y el nombre de usuario del principal de seguridad que asignó el derecho están incluidos en los detalles del suceso. Cargar y descargar controladores de dispositivos. Busque el Id. de suceso 577 o 578 con el privilegio SeLoadDriverPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar la tentativa de un usuario de cargar un controlador de dispositivos no autorizado o una versión caballo de Troya del mismo. Administrar registros de auditoría y seguridad. Busque el Id. de suceso 577 o 578 con el privilegio SeSecurityPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso se produce tanto cuando se limpia el registro como cuando se escriben los sucesos del uso de privilegios en el registro de seguridad. Apagar el sistema. Busque el Id. de suceso 577 con el privilegio SeShutdownPrivilege indicado. La cuenta de usuario que ha utilizado este derecho de usuario está identificada en los detalles del suceso. Este suceso se produce cuando se intenta apagar el equipo. Tomar posesión de archivos u otros objetos. Busque el Id. de suceso 577 o 578 con el privilegio SeTakeOwnershipPrivilege indicado. La cuenta de usuario que ha empleado el derecho de usuario está identificada en los detalles del suceso. Este suceso puede indicar que un atacante está intentando tomar posesión de un objeto para omitir la configuración de seguridad actual. Seguimiento de procesos Si audita información de seguimiento detallada de procesos que se ejecutan en equipos basados en Windows 2000, el registro de suceso mostrará intentos de creación y detención de procesos. También registrará si un proceso intenta generar un identificador para un objeto u obtener acceso indirecto a un objeto. Debido al alto número de entradas de auditoría creadas, las directivas de línea de base para servidores miembros y controladores de dominio no permiten la auditoría para el seguimiento de procesos. No obstante, si decide auditar aciertos y errores, aparecerán los siguientes Id. de suceso en el registro de sucesos. Tabla 6.7.: Sucesos de seguimiento de procesos que aparecen en el Registro de Sucesos. Id. suceso de Descripción 592 Se creó un nuevo proceso. 593 Se cerró un proceso. 594 Se duplicó un identificador de un objeto. 182 595 Se obtuvo acceso indirecto a un objeto. Sucesos del sistema Los sucesos del sistema se generan cuando un usuario o proceso modifica aspectos del entorno informático. Puede auditar los intentos de modificación del sistema, como cerrar el equipo o cambiar la hora del sistema. Si audita sucesos del sistema, también se audita cuándo se limpia el registro de seguridad. Esto es muy importante, porque a menudo los atacantes intentan borrar su rastro tras haber modificado un entorno. Las directivas de línea de base para servidores miembros y controladores de dominio auditan sucesos del sistema de aciertos y de errores. De este modo, se generarán los siguientes Id. de suceso en el registro de sucesos. Tabla 6.8.: Sucesos del sistema que aparecen en el Registro de Sucesos. Id. suceso de Descripción 512 Windows se está iniciando. 513 Windows se está cerrando. 514 La Autoridad de seguridad local cargó un paquete de autenticación. 515 La Autoridad de seguridad local ha registrado un proceso de inicio de sesión por confianza. 516 Se han agotado los recursos internos asignados a la cola de mensajes de sucesos de seguridad, lo que ha provocado la pérdida de algunos mensajes de sucesos de seguridad. 517 Se limpió el registro de seguridad. 518 El Administrador de cuentas de seguridad cargó un paquete de notificación. Puede utilizar estos Id. de suceso para localizar varios problemas de seguridad: Cierre o reinicio del equipo. El Id. de suceso 513 muestra el cierre de Windows. Es importante saber cuándo se apagan o reinician los servidores. Existen varias razones legítimas, como cuando se instala un controlador o una aplicación que requiere el reinicio o cuando se apaga o reinicia el servidor para realizar tareas de mantenimiento. No obstante, también es posible que un atacante fuerce el reinicio de un servidor para obtener acceso al sistema durante el inicio. Deberán tenerse en cuenta todos los casos en que se apaga el equipo para compararlos con el registro de sucesos. En muchos ataques se reinicia el equipo. Examinando los registros de sucesos, puede determinarse cuándo se ha reiniciado un servidor y si el reinicio se había planeado o no. El Id. de suceso 513 muestra el inicio de Windows, al igual que varios otros sucesos que se generan automáticamente en el registro del sistema. Entre ellos figura el Id. de suceso 6005, que indica el inicio del servicio Registro de Sucesos. 183 Además de esta entrada, compruebe si existen una o dos entradas del registro de sucesos distintas en el registro del sistema. Si el anterior cierre del sistema se produjo normalmente, como cuando un administrador reinicia el equipo, entonces se muestra en el registro del sistema el Id. de suceso 6006: "Se ha detenido el servicio de Registro de sucesos". Puede determinar el usuario que inició el cierre del sistema si examina los detalles de la entrada. Si el reinicio fue inesperado, se registra el Id. de suceso 6008: "El cierre anterior del sistema a las <hora> del <fecha> resultó inesperado". Esto puede indicar un ataque de denegación de servicio que provocó el cierre del equipo. Tenga en cuenta que también puede deberse a una interrupción del suministro eléctrico o a un error de controladores de dispositivos. Si el reinicio lo causó una pantalla azul, se muestra en el registro del sistema un Id. de suceso 1001, con un origen de descarga de guardado. El mensaje de error de la pantalla azul puede examinarse en los detalles del suceso. Nota: Para incluir el registro de entradas del Id. de suceso 1001, deberá estar activada la casilla de verificación Grabar un suceso en el registro del sistema en la sección de configuración de recuperación del subprograma Panel de control del sistema. Modificar o limpiar el registro de seguridad. Es posible que un atacante intente modificar los registros de seguridad, desactivar la auditoría durante un ataque o limpiar el registro de seguridad para evitar su detección. Si detecta bloques de tiempo grandes sin entradas en el registro de seguridad, deberá buscar los Id. de suceso 612 y 517 para determinar el usuario que modificó la directiva de auditoría. Todas las instancias del Id. de suceso 517 deberán compararse con un registro físico que indique todas las ocasiones en que se limpió el registro de seguridad. La limpieza no autorizada del registro de seguridad puede ser un intento de ocultar sucesos que existieron en el registro de seguridad anterior. El nombre del usuario que limpió el registro se incluye en los detalles del suceso. 608 Se asignó un derecho de usuario. 609 Se eliminó un derecho de usuario. 610 Se creó una relación de confianza con otro dominio. 611 Se eliminó una relación de confianza con otro dominio. 612 Se modificó una directiva de auditoría. 768 Se detectó una colisión entre un elemento del espacio de nombres de un bosque y un elemento del espacio de nombres de otro bosque (sucede cuando un elemento del espacio de nombres de un bosque se superpone a un elemento del espacio de nombres de otro bosque). Los dos sucesos más importantes que se deben buscar en este caso son los Id. de suceso 608 y 609. Si se producen varios intentos de ataque, es posible que se registren estos sucesos. Todos los ejemplos siguientes generarán el Id. de suceso 608 si se asigna el derecho de usuario o el Id. de suceso 609 si se elimina el derecho de usuario. En cada caso, el SID específico al que está asignado el derecho de usuario y el nombre de usuario del principal de seguridad que asignó el derecho están incluidos en los detalles del suceso: Actuar como parte del sistema operativo. Busque los Id. de suceso 608 y 609 con el derecho de usuario SeTcbPrivilege en los detalles del suceso. 184 Agregar estaciones de trabajo al dominio. Busque los sucesos con el derecho de usuario SeMachineAccountPrivilege en los detalles del suceso. Realizar copias de seguridad de archivos y directorios. Busque los sucesos con el derecho de usuario SeBackupPrivilege en los detalles del suceso. No usar comprobación de desvío. Busque los sucesos con el derecho de usuario SeChangeNotifyPrivilege en los detalles del suceso. Este derecho de usuario permite a los usuarios recorrer un árbol de directorios, incluso si el usuario no dispone de otros permisos de acceso al directorio. Cambiar la hora del sistema. Busque los sucesos con el derecho de usuario SeSystemtimePrivilege en los detalles del suceso. Este derecho de usuario permite a un principal de seguridad modificar la hora del sistema, de forma que se podría ocultar la hora en que se produce un suceso. Crear objetos permanentes compartidos. Busque los sucesos con el derecho de usuario SeCreatePermanentPrivilege en los detalles del suceso. El poseedor de este derecho de usuario puede crear recursos compartidos de archivos y de impresión. Depurar programas. Busque los sucesos con el derecho de usuario SeDebugPrivilege en los detalles del suceso. El poseedor de este derecho de usuario puede conectarse a cualquier proceso. De forma predeterminada, este derecho sólo se asigna a administradores. Exigir el cierre del sistema desde un sistema remoto. Busque los sucesos con el derecho de usuario SeRemoteShutdownPrivilege en los detalles del suceso. Aumentar la prioridad de programación. Busque los sucesos con el derecho de usuario SeIncreaseBasePriorityPrivilege en los detalles del suceso. Un usuario con este derecho puede modificar las prioridades de procesos. Cargar y descargar controladores de dispositivos. Busque los sucesos con el derecho de usuario SeLoadDriverPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede cargar una versión caballo de Troya de un controlador de dispositivos. Administrar registros de auditoría y seguridad. Busque los sucesos con el derecho de usuario SeSecurityPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede ver y limpiar el registro de seguridad. Reemplazar un testigo a nivel de proceso. Busque los sucesos con el derecho de usuario SeAssignPrimaryTokenPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede cambiar el testigo predeterminado asociado con un subproceso iniciado. Restaurar archivos y directorios. Busque los sucesos con el derecho de usuario SeRestorePrivilege en los detalles del suceso. Apagar el sistema. Busque los sucesos con el derecho de usuario SeShutdownPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede apagar el sistema para inicializar la instalación de un nuevo controlador de dispositivos. Tomar posesión de archivos u otros objetos. Busque los sucesos con el derecho de usuario SeTakeOwnershipPrivilege en los detalles del suceso. Un usuario con este derecho de usuario puede obtener acceso a cualquier objeto o archivo de un disco NTFS si toma posesión del objeto o archivo. 185 Nota: Estos sucesos de auditoría solamente identifican que se asignó el derecho de usuario a un principal de seguridad específico. No implica que el principal de seguridad haya realizado una tarea con el derecho de usuario. Los sucesos de auditoría sí que determinan cuándo se modificó la directiva de derechos de usuario. Nota: Para obtener más información acerca de cómo utilizar los derechos de usuario, consulte "Writing Secure Code" de Michael Howard y David LeBlanc (Microsoft Press, ISBN: 0-73561588-8) (en inglés). Proteger registros de sucesos Para garantizar que se mantengan las entradas de los registros de sucesos como información de referencia para el futuro, deberá adoptar varias medidas con el fin de proteger la seguridad de los registros de sucesos. Éstas incluyen: Definir una directiva para el almacenamiento, la sobrescritura y el mantenimiento de todos los registros de sucesos. La directiva deberá definir todas las opciones de configuración necesarias de registros de sucesos y la Directiva de grupo deberá hacer que se cumpla. Asegurarse de que la directiva incluya el tratamiento de registros de sucesos completos, en concreto el registro de seguridad. Se recomienda que los registros de seguridad completos requieran que se apague el servidor. Esto puede no resultar práctico en algunos entornos, pero debería tomarse en consideración. Evitar el acceso de invitado a los registros de sucesos activando la configuraci ón de la directiva de seguridad para evitar así que los invitados locales obtengan acceso a los registros del sistema, de aplicaciones y de seguridad. Asegurarse de que se auditan tanto los aciertos como los errores de los sucesos del sistema para determinar si se producen intentos de eliminación del contenido del registro de seguridad. Todos los principales de seguridad que pueden ver o modificar la configuración de auditoría deberán utilizar contraseñas complejas o métodos de autenticación de dos factores, como el inicio de sesión con tarjetas inteligentes, para evitar los ataques de estas cuentas con el objeto de obtener acceso a la información de auditoría. Todas estas opciones de seguridad se definen en los Objetos de directiva de grupo de servidores miembros y controladores de dominio que se describen en el capítulo 4, "Asegurar servidores basándose en su función". Además de estos pasos, deberá adoptar algunas medidas prácticas más para garantizar que la información de registros de sucesos sea lo más segura posible. El plan de seguridad debe incluir tambi én la seguridad física de todos los servidores para asegurarse de que ningún atacante puede obtener acceso físico al equipo en el que se está realizando la auditoría. Un atacante puede eliminar entradas de auditoría si modifica o elimina los archivos físicos *.evt del subsistema del disco local. Poner en pr áctica un método de eliminación o almacenamiento de los registros de sucesos en una ubicación independiente del servidor físico. Los métodos pueden consistir en el uso de Tareas programadas para escribir los registros de sucesos en un CDR o en un disco de una sola escritura, soportes de muchas lecturas a intervalos regulares o en otras ubicaciones de red independientes del servidor. Si las copias de seguridad se realizan en soportes externos como 186 cintas para copia de seguridad o CDR, deberán sacarse de las instalaciones si se produce un incendio u otro desastre natural. Nota: Al prohibir el acceso de invitados a los registros de sucesos, sólo se restringe el acceso a los registros de sucesos de los miembros que no pertenezcan al dominio. De forma predeterminada, todos los usuarios de un dominio pueden obtener acceso a los registros del sistema y de aplicaciones. Sólo está restringido el acceso al registro de seguridad. Los principales de seguridad a los que se les ha asignado el derecho de usuario Administrar registros de auditoría y seguridad pueden tener acceso al registro de seguridad. De forma predeterminada, este derecho sólo se asigna a los Administradores y Servidores empresariales de Exchange. Otras mejores prácticas de auditoría Además de la configuración de la auditoría, existen otras prácticas que deberán implementarse para auditar de forma eficaz la seguridad del entorno del servidor. Éstas incluyen: Programar revisiones regulares de los registros de sucesos. Revisar otros archivos de registro de aplicaciones. Supervisar los servicios y controladores instalados. Supervisar los puertos abiertos. Programar revisiones regulares de los registros de sucesos Tal y como se mencionó anteriormente, el registro de seguridad y potencialmente los otros registros de sucesos deberían escribirse en materiales extraíbles o consolidarse en una ubicación central para su revisión. La revisión de los registros es el paso de la auditoría que se suele omitir más a menudo. Deberá asegurarse de que una persona o un equipo adopte la revisión de los registros de sucesos como tarea habitual en su descripción de trabajo. La revisión de los registros de sucesos puede programarse como un suceso diario o semanal, en función de la cantidad de datos que se recojan en el registro de seguridad. Esto suele depender del nivel de auditoría aplicado en la red. Si se incluyen más sucesos en la auditoría, aumentará el volumen de entradas del registro. Si programa revisiones regulares del registro de sucesos, ayudará a conseguir lo siguiente: Detección más rápida de problemas de seguridad. Si se lleva a cabo la revisión diaria de los registros de sucesos, la antigüedad de un suceso de seguridad nunca superará las 24 horas. Esto acelera la detección y reparación de vulnerabilidades de seguridad. Definición de la responsabilidad. Si resulta necesaria la revisión regular de los registros de sucesos, la persona responsable de la tarea de revisar los archivos de registro puede ser responsable de la identificación de posibles ataques en última instancia. Reducción del riesgo de que se sobrescriban los sucesos o esté inactivo el servidor. Una vez revisado un registro de sucesos, los eventos del archivo de registro pueden almacenarse para futuras revisiones y eliminarse del registro de sucesos actual. De este modo, disminuye el riesgo de que se llenen los registros de sucesos. 187 Revisar otros archivos de registro de aplicaciones Además de revisar si existen sucesos de seguridad en los registros de sucesos de Windows 2000, deberá revisar también los registros creados por las aplicaciones. Estos registros de aplicaciones pueden contener información importante referente a posibles ataques que puede complementar la información encontrada en los registros de sucesos. En función del entorno, es posible que necesite revisar uno o varios de estos archivos de registro: Servicios de Internet Information Server (IIS). IIS crea archivos de registro que realizan un seguimiento de los intentos de conexión a los servicios Web, de FTP, del protocolo de tiempo de la red (NTP) y SMTP. Cada servicio que se ejecuta en IIS mantiene archivos de registro independientes y almacena los archivos de registro en el formato de archivo de registro extendido W3C en la carpeta %WinDir%\System32\Logfiles. Cada servicio mantiene una carpeta independiente para desglosar todavía más la información de registro. También puede configurar IIS para que almacene los registros en una base de datos compatible con ODBC, como Microsoft SQL Server. Internet Security and Acceleration (ISA) Server. ISA Server proporciona registros para filtros de paquetes, el servicio del servidor de seguridad de ISA Server y el servicio proxy Web de ISA Server. Al igual que en IIS, los registros se almacenan de forma predeterminada en el formato de archivo de registro extendido W3C, pero pueden registrarse también en una base de datos compatible con ODBC. Los archivos de registro de ISA Server están almacenados de forma predeterminada en la carpeta C:\Archivos de programa\Microsoft ISA Server\ISALogs. Servicio de autenticación de Internet (IAS). IAS proporciona autenticación y cuentas centralizadas para la autenticación de acceso remoto por medio del protocolo Servicio de usuario de acceso telefónico de autenticación remota (RADIUS). De forma predeterminada, las solicitudes de cuentas, de autenticación y de estado periódicas se registran en el archivo IASlog.log que se encuentra ubicado en la carpeta %WinDir%\System32\Logfiles. El archivo de registro también puede guardarse en un formato de archivo compatible con bases de datos en lugar del formato de IAS. Aplicaciones de terceros. Varias aplicaciones de terceros aplican funciones de registro local para proporcionar información detallada acerca de la aplicación. Para obtener más información, consulte los archivos de ayuda correspondientes a la aplicación. Nota: Todos los equipos que mantienen archivos de registro deben utilizar relojes sincronizados. Esto permite que un administrador pueda comparar sucesos entre equipos y servicios para establecer las acciones realizadas por un atacante. Para obtener más detalles acerca de la sincronización temporal, consulte el apartado "La importancia de la sincronización temporal" más adelante en este capítulo. Supervisar los servicios y controladores instalados Muchos ataques de equipos los llevan a cabo servicios de ataque instalados en el equipo de destino o se realizan reemplazando controladores válidos por versiones del controlador que incluyen un caballo de Troya y que permiten así al atacante obtener acceso al equipo de destino. Las siguientes herramientas pueden utilizarse para supervisar los servicios y controladores instalados en los equipos: La consola de servicios. La consola MMC de servicios se utiliza para supervisar los servicios de un equipo local o remoto y permite al administrador configurar, pausar, detener, iniciar y 188 reiniciar todos los servicios instalados. Con esta consola podrá determinar si no se han iniciado servicios configurados para iniciarse de forma automática. Netsvc.exe. Esta herramienta de la línea de comandos, incluida en Windows 2000 Server. Kit de recursos, permite al administrador iniciar, detener, pausar, continuar y consultar el estado de los servicios de forma remota desde la línea de comandos. SvcMon.exe. Esta herramienta supervisa los cambios de estado (inicio o detención) de servicios en equipos locales y remotos. Para detectar estos cambios, Service Monitoring Tool aplica un sistema de sondeo. Cuando se detiene o inicia un servicio supervisado, Service Monitoring Tool se lo notifica por correo electrónico. Deberá configurar los servidores, intervalos de sondeo y servicios que se van a supervisar por medio de Service Monitor Configuration Tool (smconfig.exe). Drivers.exe. Esta herramienta muestra todos los controladores de dispositivos instalados en el equipo en que se ejecuta la herramienta. La herramienta proporciona información como el nombre de archivo del controlador, el tamaño del controlador en disco y la fecha en la que se vinculó el controlador. La fecha de vinculación puede utilizarse para identificar controladores instalados recientemente. Si no se instaló recientemente un controlador actualizado, esto puede ser un indicio de que se ha reemplazado un controlador. Establezca siempre la correlación entre esta información y un suceso de reinicio del sistema del Visor de Sucesos. Nota: No se pueden detener directamente todos los servicios (como el servicio de Estación de Trabajo), aunque sí se pueden consultar. Si un usuario tiene muchas conexiones activas, no se puede forzar el cierre del servicio de forma remota, aunque se puede pausar o consultar. Algunos servicios tienen otros servicios que dependen de ellos y no podrá cerrarlos si no cierra primero los servicios dependientes. Supervisar los puertos abiertos Los ataques se inician a menudo con la detección de puertos para identificar servicios conocidos que se ejecutan en el equipo de destino. Deberá asegurarse de supervisar cuidadosamente los puertos que están abiertos en los servidores, lo que normalmente implica realizar una detección de los puertos para determinar aquellos a los que se puede tener acceso. Las detecciones de puertos deberán realizarse tanto de forma local, en el equipo de destino, como desde un equipo remoto. Si se puede obtener acceso al equipo desde una red pública, la detección de puertos deberá llevarse a cabo desde un equipo externo para garantizar que el software del servidor de seguridad permita solamente el acceso a los puertos deseados. Netstat.exe es una utilidad de la línea de comandos que puede mostrar todos los puertos abiertos tanto para TCP como para UDP. El comando Netstat utiliza la sintaxis siguiente: NETSTAT [-a] [-e] [-n] [-s] [-p proto] [-r] [intervalo] Donde: -a. Muestra todas las conexiones y puertos en escucha. -e. Muestra estadísticas Ethernet. Se puede combinar con la opción -s. -n. Muestra números de puertos y direcciones en formato numérico. 189 -p protocolo. Muestra conexiones del protocolo especificado por proto, que puede ser TCP o UDP. Si se usa con la opción -s para mostrar estadísticas por protocolo, proto puede ser TCP, UDP o IP. -r. Muestra el contenido de la tabla de rutas. -s. Muestra estadísticas por protocolo. De forma predeterminada, se pueden mostrar para TCP, UPD e IP; se puede utilizar la opción -p para especificar un subconjunto de la opción predeterminada. intervalo. Vuelve a mostrar las estadísticas seleccionadas, haciendo pausas con el intervalo de segundos especificado entre cada muestra. Presione CTRL+C para detener la muestra de estadísticas. Si se omite, netstat imprimirá la información de configuración actual una vez. Cuando se muestran los puertos TCP y UPD abiertos del equipo local, los números de puerto se convierten en nombres basados en las entradas del archivo de servicios ubicado en la carpeta \%WinDir%\System32\Drivers\Etc\. Si prefiere ver solamente los números de puerto, puede utilizar el modificador -n. Si se descubren puertos abiertos no reconocidos, deberá investigarlos para determinar si el servicio correspondiente resulta necesario en el equipo. De lo contrario, deberá desactivar o eliminar el servicio asociado para evitar que el equipo escuche en ese puerto. Se han desactivado varios servicios de las directivas de línea de base para servidores miembros y controladores de dominio incluidas en esta guía. Puesto que muchos servidores están protegidos por servidores de seguridad o enrutadores de filtrado de paquetes, se recomienda realizar además la detección de puertos desde un equipo remoto. Muchas herramientas de terceros (incluidos algunos programas freeware) pueden realizar detecciones remotas de puertos. La detección remota de puertos indica los puertos que se encuentran disponibles para usuarios externos cuando intentan conectarse al equipo. Nota: La detección de puertos también puede utilizarse para probar el sistema de detección de intrusiones y así garantizar que registra la detección de puertos mientras se está llevando a cabo. Para obtener más información acerca de los sistemas de detección de intrusiones, consulte el apartado "Métodos de detección activos" más adelante en este capítulo. Supervisar las intrusiones y los sucesos de seguridad La supervisión de intrusiones y sucesos de seguridad incluye tanto tareas activas como pasivas. Muchas intrusiones se detectan una vez se ha producido el ataque por medio de la inspección de los archivos de registro. La detección de ataques a posteriori se suele denominar detección de intrusiones pasiva. La inspección de los archivos de registro es la única forma en que se puede revisar y reconstruir el ataque en función de la información del registro. Otros intentos de intrusión pueden detectarse mientras se produce el ataque. Este método, denominado detección de intrusiones activa, busca pautas o comandos de ataque conocidos y bloquea la ejecución de esos comandos. En este apartado se explican las herramientas que pueden utilizarse para aplicar ambos tipos de detección de intrusiones y proteger a la red de ataques. 190 La importancia de la sincronización temporal Al supervisar tanto las intrusiones como los sucesos de seguridad entre varios equipos, es esencial que estén sincronizados los relojes de los equipos. La sincronización temporal permite al administrador reconstruir los ataques realizados en varios equipos. Sin sincronización temporal, resulta muy difícil determinar exactamente el momento en que se produjeron determinados sucesos y su interrelación. Para obtener más información acerca de la sincronización temporal, consulte el capítulo 3, "Administrar la seguridad con la Directiva de grupo de Windows 2000". Métodos de detección pasivos Los sistemas de detección de intrusiones pasivos implican la revisión manual de los registros de sucesos y aplicaciones. La inspección requiere el análisis y la detección de pautas de ataque en los datos de los registros de sucesos. Existen varias herramientas, utilidades y aplicaciones que pueden facilitar la revisión de los registros de sucesos. En este apartado se describe el uso de cada una de las herramientas para coordinar la información. Visor de sucesos El registro de seguridad de Windows 2000 puede examinarse por medio de la consola MMC del Visor de sucesos de Windows 2000. El Visor de sucesos le permite ver los registros de aplicaciones, de seguridad y del sistema. Puede definir filtros para encontrar sucesos específicos en el Visor de sucesos. Para definir filtros en el Visor de sucesos 1. Seleccione el registro de sucesos en cuestión en el árbol de la consola. 2. Seleccione Filtro en el menú Ver. 3. Seleccione los parámetros de filtrado. En la pestaña Filtro del cuadro de diálogo Propiedades, puede definir los siguientes atributos para filtrar entradas de sucesos: Tipos de suceso. El filtro puede limitarse a información, advertencias, errores, auditorías de aciertos, auditorías de errores o cualquier combinación de los tipos de suceso. Origen del suceso. El servicio o controlador específico que generó el suceso. Categoría. El filtro puede limitarse a categorías de sucesos específicas. Id. del suceso. Si conoce el Id. de suceso específico que está buscando, el filtro puede limitar la lista a ese Id. de suceso concreto. Usuario. Puede limitar los eventos mostrados a eventos generados por un usuario específico. Equipo. Puede limitar los eventos mostrados a eventos generados por un equipo específico. Intervalos de fechas. Puede limitar los sucesos mostrados a aquellos que se produjeron entre fechas de inicio y de finalización específicas. 191 Cuando se aplica el filtro, la lista de sucesos filtrada puede exportarse a una lista separada por comas o por tabulaciones para importarla a una aplicación de bases de datos. La herramienta Dump Event Log (Dumpel.exe) Dump Event Log es una herramienta de la línea de comandos que se incluye en Windows 2000 Server Resource Kit, Supplement One (Microsoft Press, ISBN: 0-7356-1279-X) (en inglés). Guarda un registro de sucesos de un sistema local o remoto en un archivo de texto separado por tabulaciones. Este archivo puede importarse a una hoja de cálculo o base de datos para realizar una investigación más detallada. La herramienta también sirve para filtrar determinados tipos de sucesos que se desea incluir o excluir. La herramienta dumpel.exe utiliza la sintaxis siguiente: dumpel -f archivo [-s \\servidor] [-l registro [-m origen]] [-e n1 n2 n3...] [-r] [-t] [-d x] Donde: -f archivo. Especifica el nombre de archivo del archivo de resultados. No existe ninguna opción predeterminada para -f, por lo que deberá especificar el archivo. -s servidor. Especifica el servidor para el que desea guardar el registro de sucesos. Las barras diagonales inversas del nombre de servidor son opcionales. -l registro. Especifica el registro que se debe guardar (del sistema, de aplicaciones o de seguridad). Si se especifica un nombre de registro incorrecto, se guarda el registro de aplicaciones. -m origen. Especifica el origen en que se deben guardar los registros (redirector [rdr], serie, etc.). Sólo se puede especificar un origen. Si no se utiliza este modificador, se guardan todos los sucesos. Si se utiliza un origen que no figura en el registro, se buscan los registros de este tipo en el registro de aplicaciones. -e n1 n2 n3. Realiza el filtrado por número de Id. de suceso (pueden especificarse 10 como máximo). Si no se utiliza el modificador -r, se guardan únicamente registros de estos tipos; si se utiliza -r, se guardan todos los registros excepto los registros de estos tipos. Si no se utiliza este modificador, se seleccionan todos los sucesos del nombredeorigen especificado. Este modificador no puede utilizarse sin el modificador -m. -r. Especifica si se deben incluir o excluir orígenes o registros específicos durante el filtrado. -t. Especifica que las cadenas individuales aparecen separadas por tabulaciones. Si no se utiliza -t, las cadenas se separan con espacios. -d x. Guarda sucesos de los x días anteriores. Nota: Dumpel sólo puede recuperar información de los archivos de registro del sistema, de aplicaciones y de seguridad. No se puede utilizar Dumpel para consultar contenido de registros de sucesos del Servicio de replicación de archivos, de DNS o del Servicio de directorio. 192 EventCombMT EventCombMT es una herramienta con varios subprocesos que analiza registros de sucesos de varios servidores al mismo tiempo generando un subproceso independiente de ejecución para cada servidor incluido en los criterios de búsqueda. Esta herramienta le permite: Definir un Id. de suceso único o varios Id. de suceso para su búsqueda. Puede incluir un Id. de suceso único o varios Id. de suceso separados por espacios. Definir un intervalo de Id. de suceso para su búsqueda. Los extremos son inclusivos. Por ejemplo, si desea buscar todos los sucesos entre el Id. de suceso 528 y el Id. de suceso 540 ambos inclusive, definirá el intervalo como 528 > ID < 540. Esta característica resulta útil porque la mayoría de las aplicaciones que escriben en el registro de sucesos utilizan un intervalo de sucesos secuencial. Limitar la búsqueda a registros de sucesos específicos. Puede escoger si desea buscar los registros de sucesos del sistema, de aplicaciones y de seguridad. Si se ejecuta localmente en un controlador de dominios, también puede seleccionar la búsqueda de los registros de FRS, DNS y AD. Limitar la búsqueda a tipos de mensajes de sucesos específicos. Puede limitar la búsqueda a sucesos de error, informativos, de advertencia, de auditoría de aciertos, de auditoría de errores o de aciertos. Limitar la búsqueda a orígenes de sucesos específicos. Puede limitar la búsqueda a sucesos de un origen determinado. Buscar texto específico en la descripción de un suceso. Puede buscar texto específico en cada suceso. Esta opción resulta útil a la hora de realizar un seguimiento de usuarios o grupos concretos. Nota: No se pueden utilizar los operadores lógicos de búsqueda AND, OR o NOT en el texto en cuestión. Tampoco se puede entrecomillar el texto. Definir intervalos de tiempo específicos para realizar análisis retrospectivos a partir de la fecha y hora actuales. Esta opción permite limitar la búsqueda a sucesos de la semana, el día o el mes anteriores. Instalar la herramienta Para instalar la herramienta, extraiga el contenido del archivo ejecutable SecurityOps.exe que se proporciona con esta guía. Se creará la carpeta C:\SecurityOps\EventComb. Una vez extraídos los archivos, haga doble clic en el archivo EventCombMT.exe para ejecutar la herramienta EventCombMT. Ejecutar la herramienta EventComb Para utilizar la herramienta EventComb, primero deberá definir los equipos que se van a incluir en la búsqueda de registros de sucesos. Para agregar equipos a la búsqueda 193 1. En la utilidad EventCombMT, asegúrese de que el dominio correcto se detecta automáticamente en el cuadro de dominio. Si desea buscar registros de sucesos en otro dominio, escriba el nuevo nombre de dominio en el cuadro Domain. 2. Para agregar equipos a la lista de búsqueda, haga clic con el botón secundario del mouse en el cuadro Select To Search/Right Click to Add. Aparecerá el menú emergente mostrado en la Ilustración 6.1.: Agregar equipos no detectados automáticamente a la lista de búsqueda Se encuentran disponibles las siguientes opciones: Get DCs in Domain. Agrega todos los controladores de dominio del dominio actual a la lista. Add Single Server. Le permite agregar el nombre de un servidor o de una estación de trabajo a la lista. Add all GCs in this domain. Le permite agregar todos los controladores de dominio del dominio seleccionado que se han configurado para actuar como servidores de catálogos globales. Get All Servers. Agrega todos los servidores encontrados en el dominio por medio del servicio de exploración. Los servidores excluyen todos los controladores de dominio. Get Servers from File. Le permite importar un archivo que contiene todos los servidores que se encuentran incluidos en el ámbito de la búsqueda. Cada servidor deberá figurar en una sola línea en el archivo de texto. 3. Una vez agregados los servidores a la lista, deberá seleccionar los servidores en los que se llevará a cabo la búsqueda. Al seleccionarlos, aparecerán resaltados en la lista. Puede utilizar CTRL+clic para seleccionar varios servidores a la vez. 194 Especificar los registros de sucesos y los tipos de sucesos para la búsqueda Una vez seleccionados los servidores que se van a incluir en la búsqueda de registros de sucesos, puede limitar el ámbito de la búsqueda seleccionando los registros de sucesos y los tipos de sucesos que desea incluir. En la utilidad EventCombMT, puede seleccionar los siguientes registros de sucesos para la búsqueda: Sistema. Aplicaciones. Seguridad. FRS (registro del Servicio de replicaci ón de archivos). DNS (registro del s ervidor DNS). AD (registro del Servicio de directorio). También puede seleccionar los tipos de sucesos que desea incluir en la búsqueda: Error. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Informational. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Warning. Grabado en los registros de aplicación y del sistema. También aparece en los registros del servicio de directorio, FRS y DNS. Success Audit. Se producen en el registro de seguridad o en el registro de aplicaciones si la aplicación guarda auditorías de aciertos en el registro de aplicaciones. Por ejemplo, la Herramienta de migración de Active Directory (ADMT) guarda sucesos de autoría de aciertos en el registro de aplicaciones. Failure Audit. Se producen en el registro de seguridad o en el registro de aplicaciones si la aplicación guarda auditorías de errores en el registro de aplicaciones. Por ejemplo, ADMT guarda sucesos de auditoría de error en el registro de aplicaciones. Success. Son poco comunes y se guardan en los registros de aplicaciones o del sistema. También aparecen en los registros del Servicio de directorio, FRS y DNS. En el Visor de sucesos, los sucesos de aciertos se muestran con el tipo de suceso informativo. Nota: Si conoce el registro de sucesos en que aparece un Id. de suceso y el tipo de suceso del Id. de suceso, incluya siempre esta información en los criterios de búsqueda para reducir así la duración de la búsqueda. Guardar búsquedas EventCombMT le permite guardar búsquedas y volverlas a cargar más adelante. Esta opción puede resultar útil si utiliza EventCombMT a menudo para buscar un grupo de sucesos en los servidores de IIS y otro grupo en los controladores de dominio. 195 Los criterios de búsqueda se guardan en el HKLM\Software\Microsoft\EventCombMT y se pueden modificar fácilmente. registro en: Archivos de resultados de la búsqueda Los resultados de la búsqueda se guardan en la carpeta C:\Temp de forma predeterminada. Los resultados incluyen un archivo resumen denominado EventCombMT.txt y se genera, para cada equipo incluido en la búsqueda de registros de sucesos, un archivo de texto independiente denominado NombreEquipo-NombreRegistroSucesos_LOG.txt. Estos archivos de texto independientes contienen todos los sucesos extraídos de los registros de sucesos que coinciden con los criterios de búsqueda. Ejemplos de uso de EventCombMT Para demostrar cómo se puede utilizar EventCombMT, a continuación se describe cómo configurar la herramienta para detectar reinicios y bloqueos de cuentas de los controladores de dominio. Para utilizar EventCombMT con el objeto de realizar búsquedas de reinicios de controladores de dominio 1. En la herramienta EventCombMT, asegúrese de que el dominio está configurado con el nombre correcto. 2. En el cuadro Select to Search/Right Click to Add que aparece debajo del nombre de dominio, seleccione el cuadro con el botón secundario y haga clic en Get DCs in Domain. Nota: Al buscar sucesos, como los sucesos Inicio de sesión de cuentas y Administración de cuentas, asegúrese de buscar en todos los controladores de dominio. Puesto que Windows 2000 utiliza un modelo de varios patrones para la administración de cuentas, las cuentas pueden agregarse, modificarse o eliminarse en cualquier controlador de dominio del dominio. Asimismo, la autenticación puede validarla cualquier controlador de dominio del dominio. Por esta razón, nunca se puede saber con certeza dónde se produce el intento de actualización o autenticación en cuestión. 3. Haga clic con el botón secundario del mouse en el cuadro Select to Search/Right Click to Add y otro clic en Select All Servers in List. 4. En la sección Choose Log Files to search de la herramienta, seleccione el registro System únicamente. 5. En la sección Event Types de la herramienta, seleccione Error e Informational. 6. En el cuadro Event IDs, escriba los siguientes Id. de suceso: 1001 6005 6006 6008 7. Antes de hacer clic en el botón Search, compruebe que los criterios de búsqueda se hayan definido como en la siguiente ilustración y, a continuación, haga clic en Search. 196 Los resultados de la búsqueda se pueden ver en el directorio de registro, el cual debería abrirse de forma automática una vez completada la búsqueda. Para revisar las entradas del registro 1. En el menú File, seleccione Open Log Directory. 2. En la carpeta C:\Temp, haga doble clic en el archivo de resultados de un controlador de dominio para ver los sucesos específicos registrados por la herramienta EventCombMT. Deberá obtener resultados parecidos a los que figuran a continuación: 1001,INFORMATIONAL,Save Dump,Wed Nov 28 05:45:50 2001,,The computer has rebooted from a bugcheck. The bugcheck was: 0x000000d1 (0x00000004, 0x00000002, 0x00000000, 0x84c983dc). A dump was saved in: C:\WINDOWS\MEMORY.DMP. 6005,INFORMATIONAL,EventLog,Wed Nov 28 05:45:46 2001,,The Event log service was started. 6008,ERROR,EventLog,Wed Nov 28 05:45:46 2001,,The previous system shutdown at 5:33:47 AM on 11/28/2001 was unexpected. 6005,INFORMATIONAL,EventLog,Tue Nov 27 14:10:53 2001,,The Event log service was started. 6006,INFORMATIONAL,EventLog,Tue Nov 27 14:09:26 2001,,The Event log service was stopped. 6005,INFORMATIONAL,EventLog,Tue Nov 27 10:11:37 2001,,The Event log service was started. Los sucesos 6006 indican un cierre planeado iniciado por un usuario con los derechos de usuario necesarios para cerrar el controlador de dominio. Los sucesos 6005 indican que se inició el servicio de registro de sucesos. Esto se produce durante el inicio. Los sucesos 6008 y 1001 indican que se apagó el equipo sin cerrar el sistema o que se reinició por un bloqueo o la aparición de una pantalla azul. La existencia de un suceso 1001 confirma que 197 se produjo una pantalla azul y se incluye la información de depuración asociada y una referencia al archivo de depuración. Los sucesos devueltos por la herramienta EventCombMT deberán compararse con el tiempo de inactividad real y los sucesos no coincidentes deberán investigarse para asegurarse de que el servidor no haya experimentado un ataque. EventCombMT incluye varias búsquedas preconfiguradas que pueden utilizarse para buscar sucesos de seguridad. Por ejemplo, existe una búsqueda predefinida que busca sucesos de Bloqueo de cuentas. Para utilizar EventCombMT con el objeto de realizar búsquedas de Bloqueos de cuentas 1. En la herramienta EventCombMT, asegúrese de que el dominio está configurado con el nombre correcto. 2. En el cuadro Select to Search/Right Click to Add que aparece debajo del nombre de dominio, seleccione el cuadro con el botón secundario y haga clic en Get DCs in Domain. 3. Haga clic con el botón secundario del mouse en el cuadro Select to Search/Right Click to Add y otro clic en Select All Servers in List. 4. En el menú Searches, haga clic en Built In Searches y, a continuación, en Account Lockouts. La utilidad EventCombMT se configura tal y como se muestra en la siguiente ilustración: 5. Haga clic en Search. 6. Los resultados de la búsqueda se pueden ver en el directorio de registro, el cual debería abrirse de forma automática una vez completada la búsqueda. Nota: Entre otras búsquedas predefinidas de EventCombMT, figuran las búsquedas de Servicios de replicación de archivos y búsquedas en Active Directory de SID duplicados y errores de registro de DNS de NETLOGON, errores de disco de hardware y errores de la interfaz de DNS. También puede definir y guardar sus propias búsquedas personalizadas. Obtención de sucesos Uno de los objetivos principales de la auditoría es la identificación de las acciones llevadas a cabo por los atacantes en la red. Un atacante puede intentar poner en peligro varios equipos y dispositivos de la red, por lo que, para comprender el alcance de un ataque, deberá poder coordinar y consolidar información de muchos equipos. Si la información obtenida por las utilidades de registro se puede importar a una base de datos, resultará más fácil coordinar la información de varios registros. Siempre que exista sincronización temporal entre todos los equipos, podrá organizar la información por campos de hora y facilitar el seguimiento de sucesos en función de los intervalos de tiempo. En los siguientes apartados se describen algunas de las herramientas y utilidades que puede utilizar para recopilar información de registros de sucesos en una ubicación central. Archivos de comandos Pueden escribirse archivos de comandos que obtengan información de registros de sucesos de equipos remotos y la guarden en una ubicación central. Con los archivos de comandos, puede 198 decidir cuándo ejecutar las secuencias de comandos por medio de Tareas programadas y qué acciones se deben tomar una vez que se copie correctamente el registro de sucesos en la ubicación central. Un ejemplo sencillo sería crear un archivo por lotes que utilice Dumpel.exe del Kit de recursos de Windows 2000 Server y ejecutar el archivo por lotes a intervalos regulares por medio de Tareas programadas del Panel de control. Windows 2000 Resource Kit, Supplement One incluye Eventquery.pl. Se trata de un archivo de comandos Perl que muestra sucesos de los registros del Visor de sucesos en equipos locales y remotos que ejecutan Windows 2000 y ofrece una amplia gama de filtros para ayudarle a encontrar sucesos específicos. Nota: Para utilizar este archivo de comandos, deberá instalar ActivePerl del Kit de recursos de Windows 2000 Server. Microsoft Operations Manager Microsoft Operations Manager 2000 ofrece un completo conjunto de herramientas que permiten a las empresas analizar con detalle los informes de sucesos y la supervisión de rendimiento incorporados de Windows 2000 y sus aplicaciones. Operations Manager puede obtener, almacenar y comunicar información de sucesos y rendimiento a una sola ubicación por medio del uso de Agentes inteligentes en equipos remotos, de forma que un administrador pueda revisar la información obtenida en una ubicación central. El paquete de administración principal de Operations Manager recopila sucesos que aparecen en los registros de sucesos del sistema, de aplicaciones y de seguridad y los agrupa en un depósito central de sucesos. Nota: Operations Manager almacena su información en una base de datos de SQL y proporciona varios métodos de recuperación y análisis de la información almacenada. Los administradores pueden utilizar Operations Manager Administrator Console, Web Console u Operations Manager Reporting para ver, imprimir o publicar la información. Cada vista incluye vistas predefinidas para analizar los datos almacenados y permite la definición de vistas e informes personalizados. Soluciones de terceros para la obtención de registros de sucesos Existen varios productos de terceros que permiten la obtención e inspección centralizada de registros de sucesos. Cuando evalúe productos de terceros, incluya las siguientes características en sus criterios: Compatibilidad con todos los registros de Windows 2000. Debería proporcionar compatibilidad con los registros del servidor DNS, del Servicio de directorio y del Servicio de replicación de archivos, además de los registros de aplicaciones, de seguridad y del sistema. Uso de un servidor de bases de datos. La herramienta debería permitir el almacenamiento de los registros de sucesos en una estructura de base de datos que permita la inspección de entradas de registros de sucesos anteriores para el análisis de tendencias y la correlación de sucesos entre varios servidores. Funcionalidad de búsquedas e informes. La herramienta debería permitirle buscar sucesos específicos según los criterios proporcionados. La presentación de los resultados deberá ser legible. 199 Entre los productos de terceros que permiten la recopilación de sucesos, se incluyen (sitios Web en inglés): Event Log Monitor – TNT Software (www.tntsoftware.com). Event Archiver – Dorian Software Creations (www.doriansoft.com). LogCaster – RippleTech (www.rippletech.com). Métodos de detección activos Los sistemas de detección de intrusiones activos analizan el tráfico de red entrante en el nivel de aplicaciones y buscan métodos conocidos de ataque o cargas del nivel de aplicaciones sospechosas. Si se recibe un paquete sospechoso, el sistema de detección de intrusiones normalmente lo rechaza y guarda una entrada en un archivo de registro. Algunos sistemas de detección de intrusiones también pueden alertar a un administrador si se detecta un ataque serio. Inspeccionar el acceso HTTP con URLScan Si aloja sitios Web en su organización, algunos de los servidores recibirán tráfico HTTP entrante. No obstante, no todo el tráfico será forzosamente legítimo. UrlScan es un filtro ISAPI que analiza los paquetes HTTP entrantes y puede rechazar cualquier tráfico sospechoso. UrlScan protege a los servidores de ataques al filtrar y rechazar solicitudes HTTP de características de servicios IIS seleccionados. UrlScan está configurado de forma predeterminada para aceptar solicitudes únicamente de archivos HTML estáticos (gráficos incluidos). Rechazará los siguientes tipos de solicitudes: P áginas CGI (.exe). WebDAV. Extensiones de servidor de FrontPage. Index Server. Impresi ón de Internet. Archivos de inclusi ón del servidor. UrlScan puede aplicarse como sistema de detección de intrusiones de extremos instalando el filtro ISAPI en todos los servidores IIS de la red o como sistema de detección de intrusiones de red instalando el filtro ISAPI de UrlScan en un servidor ISA ubicado en el perímetro de la red. Si utiliza el servidor ISA como servidor de seguridad, debería considerar utilizar una combinación de ambas soluciones. En el perímetro de la red, bloquee todo el tráfico general no deseado para que no entre en la red. En los servidores IIS de los extremos, pueden implementarse conjuntos de reglas específicos en función del formato del contenido proporcionado por el servidor Web. UrlScan se configura con un archivo denominado UrlScan.ini, que se encuentra ubicado en la carpeta %WinDir%\system32\inetsrv\Urlscan. Este archivo contiene varias secciones. La sección [Options] define cómo va a tratar el servidor IIS las solicitudes Web válidas y no válidas. Entre las opciones que se pueden definir, figuran: 200 UseAllowVerbs. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan lee la sección AllowVerbs de UrlScan.ini y rechaza las solicitudes que contengan un verbo HTTP que no figure explícitamente en la lista. La sección AllowVerbs distingue mayúsculas y minúsculas. Si se establece en 0, UrlScan lee la sección DenyVerbs de UrlScan.ini y rechaza las solicitudes que contengan un verbo HTTP de la lista. La sección DenyVerbs no distingue mayúsculas y minúsculas. UseAllowExtensions. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan lee la sección AllowExtensions de UrlScan.ini y rechaza las solicitudes cuya extensión de archivo asociada con la dirección URL no figure explícitamente en la lista. Si se establece en el valor predeterminado 0, UrlScan lee la sección DenyExtensions de UrlScan.ini y rechaza las solicitudes cuya extensión de archivo asociada con la solicitud figure en la lista. Las secciones AllowExtensions y DenyExtensions no distinguen mayúsculas y minúsculas. NormalizeUrlBeforeScan. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan lleva a cabo todo el análisis de las direcciones URL de las solicitudes una vez IIS las haya descodificado y normalizado. Si se establece en 0, UrlScan lleva a cabo todo el análisis de las direcciones URL sin procesar tal y como las envía el cliente. Sólo los administradores avanzados que conozcan a la perfección el análisis de direcciones URL deberían establecer esta opción en 0, puesto que es posible que se exponga el servidor IIS a ataques de canonicalización que ignoren el análisis correcto de las extensiones URL. VerifyNormalization. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan comprueba la normalización de la dirección URL. Esta acción protege de ataques de canonicalización, en los que la dirección URL contiene una cadena con codificación doble en la dirección URL (por ejemplo, la cadena "%252e" es un carácter '.' con codificación doble porque "%25" se descodifica en un carácter '%'; la primera descodificación de "%252e" da como resultado "%2e", que puede descodificarse por segunda vez en '.'). Si se establece en 0, no se lleva a cabo esta comprobación. AllowHighBitCharacters. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan permite la existencia de cualquier byte en la URL. Si se establece en el valor predeterminado 0, UrlScan rechaza las solicitudes cuya dirección URL contenga un carácter no incluido en el juego de caracteres ASCII. Esta característica puede proteger de ataques basados en Unicode o UTF-8, pero también rechazará solicitudes legítimas en servidores IIS que utilicen una página de códigos distinta de ASCII. AllowDotInPath. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan rechaza las solicitudes que contengan varias instancias del carácter de punto (.). Si se establece en 1, UrlScan no realiza esta prueba. Puesto que UrlScan opera en un nivel en el que IIS todavía no ha analizado la dirección URL, no se puede determinar en todos los casos si el carácter de punto indica la extensión o si forma parte de la ruta de acceso al directorio o del nombre de archivo de la dirección URL. Para el análisis de extensiones, UrlScan siempre asume que la extensión forma parte de la dirección URL a partir del último punto de la cadena y hasta la primera interrogación o barra diagonal que figure tras el punto o el final de la cadena. Establecer AllowDotInPath en 0 constituye un método de defensa en caso de que un atacante utilizase la información de ruta para ocultar la extensión real de la solicitud (por ejemplo, "/ruta/URLreal.asp/ParteFalsa.htm"). Nota: Si se establece AllowDotInPath en 0, UrlScan también rechazará las solicitudes que contengan un punto en los nombres de directorio. RemoveServerHeader. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan elimina el encabezado del servidor en todas las respuestas. Si se establece en el valor predeterminado 0, 201 UrlScan no realiza esta acción. Observe que esta característica sólo se encuentra disponible si se instala UrlScan en IIS 4.0 o posterior. EnableLogging. Se permiten los valores 0 ó 1. Si se establece en el valor predeterminado 1, UrlScan registra sus acciones en un archivo denominado UrlScan.log, que se crea en el mismo directorio que contiene UrlScan.dll. Si se establece en 0, no se lleva a cabo ningún registro. PerProcessLogging. Se permiten los valores 0 ó 1. Si se establece en 1, UrlScan agrega el Id. de proceso del proceso IIS que aloja UrlScan.dll al nombre del archivo de registro (por ejemplo, UrlScan.1234.log). 7. Responder a las incidencias ¿Está preparado su departamento de TI para enfrentarse a una incidencia de seguridad?. Muchas organizaciones no aprenden cómo responder a una incidencia de seguridad hasta que sufren un ataque. Y para entonces, puede ser que la incidencia haya supuesto un costo mucho más alto de lo necesario. La respuesta adecuada a las incidencias debería ser una parte integrante de la directiva de seguridad global y de la estrategia de mitigación de riesgos. La respuesta a incidencias de seguridad tiene unas ventajas directas claras. Sin embargo, puede ser que también tenga unas ventajas financieras indirectas. Por ejemplo, su compañía de seguros podría ofrecerle un descuento si puede usted demostrar que su organización suele responder a los ataques de forma rápida y económica. Por otro lado, si es usted un proveedor de servicios, un plan formal de respuesta a incidencias puede ayudarle a conseguir más clientes, pues demuestra que se toma en serio el proceso de tener una buena seguridad de la información. Minimizar el número y la gravedad de las incidencias de seguridad En general, es mejor prevenir que curar y la seguridad no es ninguna excepción. En la medida de lo posible, deberá ante todo evitar incidencias de seguridad. No obstante, ya que no es posible evitar todos las incidencias de seguridad, cuando surja uno necesitará asegurarse de que el impacto sea mínimo. Hay algunas medidas de prudencia que puede adoptar para minimizar el número y el impacto de las incidencias de seguridad. Estas incluyen: Establecer claramente todas las directivas y los procedimientos y exigir su cumplimiento. Muchas incidecias de seguridad se generan de forma accidental porque el personal del departamento de TI no ha seguido o no ha comprendido los procedimientos de administración de cambios, o bien porque ha configurado incorrectamente los dispositivos de seguridad como, por ejemplo, servidores de seguridad y sistemas de autenticación. Las directivas y los procedimientos deben probarse exhaustivamente para garantizar que son prácticos y claros, y que ofrecen el nivel de seguridad apropiado. Obtener el visto bueno de la administraci ón en lo referente a directivas de seguridad y tratamiento de incidencias. Supervisar y analizar de forma rutinaria el tr áfico de la red y el rendimiento del sistema. Comprobar todos los registros y mecanismos de registro de forma rutinaria. Estos incluyen los registros de sucesos del sistema operativo, los registros específicos de una aplicación y los registros del sistema de detección de intrusiones. Evaluar de forma rutinaria la vulnerabilidad de su entorn o. Debería realizarla un especialista en seguridad con una acreditación especial para ejecutar estas acciones. 202 Comprobar los servidores de forma rutinaria para garantizar que tienen instaladas las revisiones más recientes. Establecer programas de forma ción en seguridad para el personal del departamento de TI y para los usuarios finales. La mayor vulnerabilidad de cualquier sistema es la ingenuidad del usuario; el gusano ILOVEYOU explotó de forma eficaz esta vulnerabilidad. Publicar avisos de seguridad que recuerden a los usuarios sus responsabilidades y restricciones, junto con una advertencia de que se podrían tomar acciones legales en caso de infracción. Sin estos avisos puede ser difícil o imposible tomar acciones legales contra los infractores. Debería recibir asesoramiento jurídico para asegurarse de que el texto de los avisos de seguridad es apropiado. Desarrollar, implementar y exigir una directiva sobre la necesidad de contrase ñas complejas. Verificar los procedimientos de copia de seguridad y restauraci ón. Debería conocer el lugar donde se conservan las copias de seguridad, las personas que pueden tener acceso a ellas y los procedimientos de restauración de datos y recuperación del sistema. Compruebe regularmente las copias de seguridad y los medios restaurando datos de forma selectiva. Crear un equipo de respuesta a incidencias de seguridad inf ormática (CSIRT). Se trata de un grupo de personas encargadas de tratar cualquier incidencia de seguridad. Los miembros del CSIRT de su organización deben tener tareas claramente definidas para garantizar que ninguna área de la respuesta queda sin cubrir (más adelante en este capítulo encontrará detalles acerca de cómo crear un CSIRT). Formar a los miembros de seguridad de la informaci ón del CSIRT acerca del uso y la ubicación adecuados de las herramientas de seguridad fundamentales. Debería considerar la posibilidad de proporcionar equipos portátiles preconfigurados con estas herramientas para asegurarse de que no se pierde tiempo instalando y configurando herramientas para responder a una incidencia. Estos sistemas y las herramientas asociadas deben protegerse adecuadamente cuando no se estén utilizando. Reunir toda la informaci ón de comunicaciones relevante. Debería asegurarse de que tiene los nombres y números de teléfono de contacto de las personas de la organización que deben ser notificadas (incluidos los miembros del CSIRT, los responsables de la asistencia técnica de todos los sistemas y las personas encargadas de las relaciones con los medios de comunicación). También necesitará proporcionar detalles al proveedor de servicios de Internet (ISP) y a las fuerzas y los cuerpos de seguridad locales y nacionales. Considere la posibilidad de ponerse en contacto con las fuerzas y los cuerpos de seguridad locales antes de que ocurra una incidencia. De este modo, se asegurará de que entiende los procedimientos adecuados para comunicar incidencias y reunir pruebas. Anotar toda la infor mación del sistema de emergencia en una ubicación central sin conexión como, por ejemplo, un bloc de notas o un equipo sin conexión. Esta información de emergencia incluye las contraseñas de los sistemas, las direcciones IP, la información de configuración del enrutador, las listas del conjunto de reglas del servidor de seguridad, copias de las claves de la entidad emisora de certificados, los nombres y números de teléfono de contactos, los procedimientos para elevar la decisión de problemas a otras instancias, etc. Esta información debe guardarse en un lugar extremadamente seguro y debe poder estar disponible de inmediato. Para asegurar la información y poder disponer de ella de inmediato, se puede codificar en un equipo portátil de seguridad dedicado, custodiado en una caja fuerte con acceso limitado a personas autorizadas como, por ejemplo, el responsable del CSIRT y el responsable del departamento de información o del departamento de tecnología. 203 Crear el equipo básico de respuesta a incidencias de seguridad informática El CSIRT es el núcleo principal para tratar las incidencias de seguridad informática de su entorno. Es responsable de: Supervisar los sistemas para detectar infracciones de seguridad. Servir como n úcleo de comunicación tanto para recibir informes de incidencias de seguridad como para difundir información vital a las entidades adecuadas acerca de la incidencia. Documentar y catalogar las incidencias de seguridad. Promover la conciencia sobre la seguridad en la empresa para evitar que s e produzcan incidencias en la organización. Proporcionar asistencia a la auditor ía de la red y del sistema a través de procesos como la evaluación de la vulnerabilidad y la prueba de intrusiones. Mantenerse al d ía sobre las nuevas vulnerabilidades y estrategias de ataque que emplean los atacantes. Mantenerse al d ía sobre las nuevas revisiones de software. Analizar y desarrollar nuevas tecnolog ías para minimizar las vulnerabilidades y los riesgos de seguridad. Proporcionar servicios de consultor ía sobre seguridad. Perfeccionar y actualizar de forma continua los sistemas y procedimientos actuales. Si bien la estructura e integrantes ideales del CSIRT dependen del tipo de organización y de la estrategia de administración de riesgos, normalmente el CSIRT debería ser una parte o todo el equipo de seguridad de la organización. El núcleo central lo forman profesionales de seguridad responsables de coordinar una respuesta ante cualquier incidencia. El número de miembros del CSIRT dependerá normalmente del tamaño y la complejidad de la organización. No obstante, debe asegurarse de que hay suficientes miembros como para cubrir de forma adecuada todas las tareas del equipo en cualquier momento. Responsable del equipo CSIRT Es importante que el CSIRT tenga una persona responsable de las actividades del equipo. El responsable del equipo CSIRT normalmente se ocupará de las actividades del equipo y coordinará la revisión de las acciones del mismo. Como consecuencia, puede ser que se produzcan cambios en las directivas y los procedimientos para tratar futuras incidentcias. Responsable de incidencias del CSIRT Si se produce una incidencia, debe haber una persona responsable de coordinar la respuesta. El responsable de incidencias del CSIRT se hace cargo de una determinada incidencia o de un conjunto de incidencias de seguridad relacionados. Todas las comunicaciones acerca de la incidencia se coordinan a través del responsable de incidencias, quien representa a todo el CSIRT cuando habla con personas externas al mismo. Puede haber varios responsables de incidencias, según la naturaleza de la incidencia, y suele ser una persona distinta al responsable del equipo CSIRT. 204 Miembros asociados al CSIRT Además del equipo básico CSIRT, debería tener varias personas encargadas de responder a determinadas incidencias. Los miembros asociados procederán de diversos departamentos de la organización y estarán especializados en áreas que sufren incidencias de seguridad, de las que no se encarga directamente el equipo básico CSIRT. Los miembros asociados pueden implicarse directamente en una incidencia o pueden ser intermediarios y delegar la responsabilidad a una persona más adecuada del departamento. En esta tabla se sugieren posibles miembros asociados y sus funciones. Tabla 7.1.: Miembros asociados al CSIRT. Miembro asociado Descripción de la función Contacto TI Responsabilidad principal de coordinar las comunicaciones entre el responsable de incidencias del CSIRT y el resto del grupo de TI. Esta persona puede no tener la experiencia técnica específica para responder inmediatamente a la incidencia; sin embargo, será responsable principalmente de buscar a los miembros del grupo de TI capaces de tratar determinados sucesos de seguridad. Representante legal Suele ser un miembro del departamento jurídico de la empresa muy familiarizado con las directivas de respuesta a incidencias establecidas. El representante legal determina el modo de proceder durante una incidencia con la mínima responsabilidad jurídica y la máxima eficacia para tomar acciones legales contra los infractores. Antes de que se produzca una incidencia, el representante legal debe tener información sobre las directivas de supervisión y respuesta para garantizar que la organización no se expone a ningún tipo de riesgo jurídico durante una operación de limpieza o de contención. Resulta imperativo tener en cuenta las implicaciones legales de apagar un sistema e infringir potencialmente acuerdos de prestación de servicios o de pertenencia con los clientes, o de no apagar un sistema que ha sufrido una intromisión y ser responsable de los daños causados por ataques lanzados desde ese sistema. El representante legal también coordina las comunicaciones con las agencias de investigación o las fuerzas y cuerpos de seguridad externos. Responsable comunicaciones Administración de Suele ser un miembro del departamento de relaciones públicas y es responsable de proteger y promover la imagen de la organización. Puede que no sea quien da la cara ante los medios de comunicación y los clientes, pero es responsable de transmitir el mensaje (si bien el contenido y el objetivo del mensaje normalmente es responsabilidad de la administración). Todas las consultas de los medios de comunicación deben dirigirse al responsable de comunicaciones. La administración puede dirigirse a un solo departamento o a toda la organización. Habrá diversos responsables de administración adecuados según el impacto, la ubicación, la gravedad y el tipo de incidencia. Si su organización tiene un punto de contacto con la administración, podrá identificar rápidamente a la persona más adecuada en cada circunstancia concreta. La administración es responsable de aprobar y dirigir la directiva de seguridad. También es 205 responsable de determinar el impacto total (financiero y de otro tipo) de la incidencia en la organización. La administración dirige al responsable de comunicaciones con respecto a la información que debe revelar a los medios de comunicación y determina el nivel de interacción entre el representante legal y las fuerzas y los cuerpos de seguridad. Respuesta del CSIRT a una incidencia Si se produce una incidencia, el CSIRT coordinará una respuesta de su equipo básico y se comunicará con los miembros asociados del mismo. En la siguiente tabla se muestran las responsabilidades de estas personas durante el proceso de respuesta a una incidencia. Tabla 7.2.: Responsabilidades del CSIRT durante el proceso de respuesta a una incidencia. Funciones Responsable de incidencias del CSIRT Contacto TI Representante legal Responsable de comunicaciones Administración Evaluación inicial Propietario Sugiere Ninguna Ninguna Ninguna Respuesta inicial Propietario Implementa Actualizado Actualizado Actualizado Reunir pruebas forenses Implementa Sugiere Propietario Ninguna Ninguna Implementar una solución temporal Propietario Implementa Actualizado Actualizado Sugiere Enviar una comunicación Asesor Sugiere Sugiere Implementa Propietario Consultar a fuerzas y cuerpos de seguridad locales Actualizador Actualizado Implementa Actualizado Propietario Implementar solución definitiva Propietario Implementa Actualizado Actualizado Actualizado Determinar el impacto financiero sobre el Actualizador Actualizado Sugiere Actualizado Propietario 206 negocio Definir un plan de respuesta a incidencias Todos los miembros de su entorno de TI deberían saber qué hacer en el caso de que se produzca una incidencia. Si bien el CSIRT llevará a cabo la mayoría de las acciones de respuesta a una incidencia, todos los niveles del personal de TI deberían saber cómo comunicar las incidencias internamente. Los usuarios finales deberían comunicar la actividad sospechosa directamente al personal de TI o a través de un departamento de soporte y no directamente al CSIRT. Todos los miembros del equipo deberían revisar con detalle el plan de respuesta a incidencias, que debería ser fácilmente accesible para todo el personal de TI. De este modo, se podrá garantizar que se siguen los procedimientos adecuados cuando se produzca una incidencia. Apéndices A. Achivos Archivos asegurados mediante la Directiva de línea de base para los servidores miembros, además de las listas de control de acceso proporcionadas con la plantilla hisecws.inf. Archivo Permisos de línea de base %SystemDrive%\Boot.ini Administradores: Control total Sistema: Control total %SystemDrive%\Ntdetect.com Administradores: Control total Sistema: Control total %SystemDrive%\Ntldr Administradores: Control total Sistema: Control total %SystemDrive%\Io.sys Administradores: Control total Sistema: Control total %SystemDrive%\Autoexec.bat Administradores: Control total Sistema: Control total Usuarios autenticados: Leer y ejecutar, Listar el contenido de la carpeta y Leer %SystemDrive%\Config.sys Administradores: Control total Sistema: Control total Usuarios autenticados: Leer y ejecutar, Listar el contenido de la carpeta y Leer 207 %SystemRoot%\system32\Append.exe Administradores: Control total %SystemRoot%\system32\Arp.exe Administradores: Control total %SystemRoot%\system32\At.exe Administradores: Control total %SystemRoot%\system32\Attrib.exe Administradores: Control total %SystemRoot%\system32\Cacls.exe Administradores: Control total %SystemRoot%\system32\Change.exe Administradores: Control total %SystemRoot%\system32\Chcp.com Administradores: Control total %SystemRoot%\system32\Chglogon.exe Administradores: Control total %SystemRoot%\system32\Chgport.exe Administradores: Control total %SystemRoot%\system32\Chguser.exe Administradores: Control total %SystemRoot%\system32\Chkdsk.exe Administradores: Control total %SystemRoot%\system32\Chkntfs.exe Administradores: Control total %SystemRoot%\system32\Cipher.exe Administradores: Control total %SystemRoot%\system32\Cluster.exe Administradores: Control total %SystemRoot%\system32\Cmd.exe Administradores: Control total %SystemRoot%\system32\Compact.exe Administradores: Control total %SystemRoot%\system32\Command.com Administradores: Control total %SystemRoot%\system32\Convert.exe Administradores: Control total %SystemRoot%\system32\Cscript.exe Administradores: Control total %SystemRoot%\system32\Debug.exe Administradores: Control total %SystemRoot%\system32\Dfscmd.exe Administradores: Control total %SystemRoot%\system32\Diskcomp.com Administradores: Control total %SystemRoot%\system32\Diskcopy.com Administradores: Control total %SystemRoot%\system32\Doskey.exe Administradores: Control total %SystemRoot%\system32\Edlin.exe Administradores: Control total %SystemRoot%\system32\Exe2bin.exe Administradores: Control total 208 %SystemRoot%\system32\Expand.exe Administradores: Control total %SystemRoot%\system32\Fc.exe Administradores: Control total %SystemRoot%\system32\Find.exe Administradores: Control total %SystemRoot%\system32\Findstr.exe Administradores: Control total %SystemRoot%\system32\Finger.exe Administradores: Control total %SystemRoot%\system32\Forcedos.exe Administradores: Control total %SystemRoot%\system32\Format.com Administradores: Control total %SystemRoot%\system32\Ftp.exe Administradores: Control total %SystemRoot%\system32\Hostname.exe Administradores: Control total %SystemRoot%\system32\Iisreset.exe Administradores: Control total %SystemRoot%\system32\Ipconfig.exe Administradores: Control total %SystemRoot%\system32\Ipxroute.exe Administradores: Control total %SystemRoot%\system32\Label.exe Administradores: Control total %SystemRoot%\system32\Logoff.exe Administradores: Control total %SystemRoot%\system32\Lpq.exe Administradores: Control total %SystemRoot%\system32\Lpr.exe Administradores: Control total %SystemRoot%\system32\Makecab.exe Administradores: Control total %SystemRoot%\system32\Mem.exe Administradores: Control total %SystemRoot%\system32\Mmc.exe Administradores: Control total %SystemRoot%\system32\Mode.com Administradores: Control total %SystemRoot%\system32\More.com Administradores: Control total %SystemRoot%\system32\Mountvol.exe Administradores: Control total %SystemRoot%\system32\Msg.exe Administradores: Control total %SystemRoot%\system32\Nbtstat.exe Administradores: Control total %SystemRoot%\system32\Net.exe Administradores: Control total %SystemRoot%\system32\Net1.exe Administradores: Control total 209 %SystemRoot%\system32\Netsh.exe Administradores: Control total %SystemRoot%\system32\Netstat.exe Administradores: Control total %SystemRoot%\system32\Nslookup.exe Administradores: Control total %SystemRoot%\system32\Ntbackup.exe Administradores: Control total %SystemRoot%\system32\Ntsd.exe Administradores: Control total %SystemRoot%\system32\Pathping.exe Administradores: Control total %SystemRoot%\system32\Ping.exe Administradores: Control total %SystemRoot%\system32\Print.exe Administradores: Control total %SystemRoot%\system32\Query.exe Administradores: Control total %SystemRoot%\system32\Rasdial.exe Administradores: Control total %SystemRoot%\system32\Rcp.exe Administradores: Control total %SystemRoot%\system32\Recover.exe Administradores: Control total %SystemRoot%\system32\Regedit.exe Administradores: Control total %SystemRoot%\system32\Regedt32.exe Administradores: Control total %SystemRoot%\system32\Regini.exe Administradores: Control total %SystemRoot%\system32\Register.exe Administradores: Control total %SystemRoot%\system32\Regsvr32.exe Administradores: Control total %SystemRoot%\system32\Replace.exe Administradores: Control total %SystemRoot%\system32\Reset.exe Administradores: Control total %SystemRoot%\system32\Rexec.exe Administradores: Control total %SystemRoot%\system32\Route.exe Administradores: Control total %SystemRoot%\system32\Routemon.exe Administradores: Control total %SystemRoot%\system32\Router.exe Administradores: Control total %SystemRoot%\system32\Rsh.exe Administradores: Control total %SystemRoot%\system32\Runas.exe Administradores: Control total %SystemRoot%\system32\Runonce.exe Administradores: Control total 210 %SystemRoot%\system32\Secedit.exe Administradores: Control total %SystemRoot%\system32\Setpwd.exe Administradores: Control total %SystemRoot%\system32\Shadow.exe Administradores: Control total %SystemRoot%\system32\Share.exe Administradores: Control total %SystemRoot%\system32\Snmp.exe Administradores: Control total %SystemRoot%\system32\Snmptrap.exe Administradores: Control total %SystemRoot%\system32\Subst.exe Administradores: Control total %SystemRoot%\system32\Telnet.exe Administradores: Control total %SystemRoot%\system32\Termsrv.exe Administradores: Control total %SystemRoot%\system32\Tftp.exe Administradores: Control total %SystemRoot%\system32\Tlntadmin.exe Administradores: Control total %SystemRoot%\system32\Tlntsess.exe Administradores: Control total %SystemRoot%\system32\Tlntsvr.exe Administradores: Control total %SystemRoot%\system32\Tracert.exe Administradores: Control total %SystemRoot%\system32\Tree.com Administradores: Control total %SystemRoot%\system32\Tsadmin.exe Administradores: Control total %SystemRoot%\system32\Tscon.exe Administradores: Control total %SystemRoot%\system32\Tsdiscon.exe Administradores: Control total %SystemRoot%\system32\Tskill.exe Administradores: Control total %SystemRoot%\system32\Tsprof.exe Administradores: Control total %SystemRoot%\system32\Tsshutdn.exe Administradores: Control total %SystemRoot%\system32\Usrmgr.com Administradores: Control total %SystemRoot%\system32\Wscript.exe Administradores: Control total %SystemRoot%\system32\Xcopy.exe Administradores: Control total 211 B. Servicios de Windows 2000 predeterminados La columna Predeterminado muestra el inicio de los servicios de un servidor basado en Windows 2000. La columna Línea de base muestra la configuración de inicio de cada servicio después de aplicar la Directiva de línea de base para los servidores miembros. Servicio Nombre completo Predeterminado Línea base Alerter Servicio de alerta Automático Deshabilitado AppMgmt Administración de aplicaciones Manual Deshabilitado ClipSrv Portafolios Manual Deshabilitado EventSystem Sistema de sucesos COM+ Manual Manual Browser Examinador de equipos Automático Deshabilitado DHCP Cliente DHCP Automático Automático Dfs Sistema de archivos distribuido Automático Habilitado sólo en la función DC TrkWks Cliente de seguimiento de vínculos distribuidos Automático Automático TrkSrv Servidor de seguimiento de vínculos distribuidos Manual Deshabilitado MSDTC Coordinador distribuidas Automático Deshabilitado DNSCache Cliente DNS Automático Automático EventLog Registro de sucesos Automático Automático Fax Servicio de fax Manual Deshabilitado NtFrs Replicación de archivos Manual Deshabilitado IISADMIN Servicio de administración de IIS Automático Deshabilitado Cisvc Servicio de Index Server Manual Deshabilitado SharedAccess Conexión compartida a Internet Manual Deshabilitado IsmServ Mensajería entre sitios Deshabilitado Deshabilitado PolicyAgent Agente de directivas (servicio IPSEC) Automático Deshabilitado de transacciones IPSEC de 212 Kdc Centro de distribución de claves Kerberos Deshabilitado Habilitado sólo en la función DC LicenseService Servicio de registro de licencias Automático Deshabilitado Dmserver Administrador de discos lógicos Automático Automático Dmadmin Servicio del administrador de discos lógicos Manual Manual Messenger Mensajero Automático Deshabilitado Netlogon Inicio de sesión en red Automático* Automático Mnmsrvc Escritorio remoto compartido de NetMeeting Manual Deshabilitado Netman Conexiones de red Manual Manual NetDDE DDE de red Manual Deshabilitado NetDDEdsdm DSDM de DDE de red Manual Deshabilitado NtLmSsp Proveedor de asistencia de seguridad NTLM Manual Deshabilitado SysmonLog Registros y alertas de rendimiento Manual Manual PlugPLay Plug and Play Automático Automático Spooler Cola de impresión Automático Habilitado sólo en la función Archivo e Imprimir ProtectedStorage Almacenamiento protegido Automático Automático RSVP Control de admisión QoS (RSVP) Manual Deshabilitado RasAuto Administrador de conexión automática de acceso remoto Manual Deshabilitado RasMan Administrador acceso remoto Manual Deshabilitado RpcSs Llamada a procedimiento remoto (RPC) Automático Automático Rpclocator Localizador de llamadas procedimiento remoto (RPC) Manual Habilitado sólo en la función DC de conexión de a 213 RemoteRegistry Servicio de registro remoto Automático Automático NtmsSvc Medios extraíbles Automático Deshabilitado RemoteAccess Enrutamiento y acceso remoto Deshabilitado Deshabilitado Seclogon Servicio RunAs Automático Deshabilitado SamSs Administrador seguridad Automático Automático Lanmanserver Servidor Automático Automático SMTPSVC Protocolo simple de transferencia de correo (STMP) Automático Deshabilitado ScardSvr Tarjeta inteligente Manual Deshabilitado ScardDrv Sistema de inteligente Manual Deshabilitado SENS Notificación de sucesos del sistema Automático Automático Schedule Programador de tareas Automático Deshabilitado LmHosts Servicio de ayuda TCP/IP NetBIOS Automático Automático TapiSrv Telefonía Manual Deshabilitado TlntSvr Telnet Manual Deshabilitado TermService Servicios de Terminal Server Deshabilitado Deshabilitado UPS Sistema de ininterrumpida Manual Deshabilitado UtilMan Administrador de utilidades Manual Deshabilitado MSIServer Instalador de Windows Manual Deshabilitado WinMgmt Instrumental de administración de Windows Manual Deshabilitado WMI Extensiones del controlador del Instrumental de administración de Windows Manual Manual W32Time Sincronización Windows Automático* Automático LanmanWorkstation Estación de trabajo Automático Automático de almacenamiento de ayuda cuentas de de tarjeta alimentación de tiempo de 214 W3svc Servicio de publicación de World Wide Web Automático Habilitado sólo en la función IIS * - Automático para un servidor en el dominio. Manual si el servidor pertenece a un grupo de trabajo. C. Servicios adicionales La tabla siguiente muestra los servicios adicionales incluidos con Windows 2000 Server y Advanced Server que se pueden agregar a una instalación predeterminada. Servicio Nombre completo Línea de base BINLSVC Capa de negociación de información de inicio Deshabilitado CertSvc Servicios de Certificate Server Deshabilitado ClusSvc Servicio de clúster Deshabilitado DHCPServer Servidor de DHCP Habilitado sólo en la función Infra DNS Servidor DNS Habilitado sólo en las funciones Infra y DC MacFile Servidor de archivos para Macintosh Deshabilitado MSFTPSVC Servicio de publicación de FTP Deshabilitado NWCWorkstation Servicio de puerta de enlace para NetWare Deshabilitado IAS Servicio de autenticación de Internet Deshabilitado MSMQ Message Queue Server Deshabilitado NntpSvc Protocolo de transferencia de noticias a través de la red (NNTP) Deshabilitado NSLService Difusión de presentaciones en línea Deshabilitado MacPrint Servidor de impresión para Macintosh Deshabilitado RSVP QoS RSVP Deshabilitado Remote_Storage_ Engine Motor de almacenamiento remoto Deshabilitado Remote_Storage_ File_System_Agent Archivo de almacenamiento remoto Deshabilitado 215 Remote_Storage_ Subsystem Medios de almacenamiento remoto Deshabilitado Remote_Storage_ User_Link Notificación de almacenamiento remoto Deshabilitado NwSapAgent Agente SAP Deshabilitado SimpTcp Servicios simples de TCP/IP Deshabilitado Groveler Groveler de almacenamiento de instancia única Deshabilitado LDAPSVCX Servicio ILS de Site Server Deshabilitado SNMP Servicio SNMP Deshabilitado SNMPTRAP Servicio de captura SNMP Deshabilitado LPDSVC Servidor de impresión TCP/IP Deshabilitado TermServLicensing Licencias de Servicios de Terminal Server Deshabilitado TFTPD Demonio FTP trivial Deshabilitado WINS Servicio de nombres Internet de Windows (WINS) Habilitado sólo en la función Infra nsmonitor Servicio Monitor de Windows Media Deshabilitado nsprogram Servicio de programa de Windows Media Deshabilitado nsstation Servicio de emisoras de Windows Media Deshabilitado nsunicast Servicio de unidifusión de Windows Media Deshabilitado D. Instalación de una infraestructura básica Este apéndice explica cómo puede instalarse una infraestructura básica, descrita en la Guía de operaciones de seguridad de Windows 2000. Ofrece un método paso a paso para crear un entorno de prueba, instalar todo el sistema operativo, los servicios, las revisiones, etc. relevantes, configurar Active Directory utilizando dcpromo y comprueba la validez del mismo antes de ejecutar la prueba real. Crear el entorno de prueba 1. Instale una red o un conmutador que proporcione una topología de red plana que admita hasta 10 equipos. 216 2. Instale Windows 2000 Server en una partición NTFS en todos los servidores de prueba, utilizando la convención de nomenclatura y las direcciones IP que se muestran en el diagrama. 3. Asigne una contraseña resistente a la cuenta de administrador. 4. Configure cada equipo para que utilice 192.168.99.7 como su Servidor DNS principal. 5. Configure cada equipo para que utilice 192.168.99.7 como su Servidor WINS principal. 6. Haga que cada equipo sea miembro de un grupo de trabajo denominado Workgroup. 7. Instale DNS, DHCP y WINS en el Servidor de infraestructura. 8. Instale Windows 2000 Service Pack 2 en todos los equipos. 9. Instale la revisión descrita en el artículo Q295444 de Knowledge Base: SCE no puede modificar una Entrada SACL del servicio del Registro en todos los equipos. 10. Promueva AD01 para que sea un controlador de dominio en el dominio de prueba. 11. Una AD02 al dominio de Active Directory. 12. Una los servidores miembros al dominio de Active Directory. 13. Use los pasos del capítulo 3 de la guía para crear la estructura OU. 14. Use los pasos del capítulo 5 de la guía para instalar y ejecutar Hfnetchk. Casos de prueba Caso de prueb a Priori dad Condición que se probará Detalles de la ejecución Datos Resultado necesarios esperado: 217 1.1 Baja Ninguna Realice la copia de seguridad del estado del sistema de cada servidor en disco Ninguno Copia de seguridad correcta 1.2 Alta Importe la directiva de grupo de línea de base para los controladores de dominio y valide los pasos descritos en Win2KSOG 1. Importe la directiva de línea de base como se ha descrito en el capítulo 3, Importar la directiva de línea de base de controladores de dominio Baselinedc .inf Controlador de dominio bloqueado 2. Cambie el nombre de la cuenta del administrador de dominio (capítulo 4) 3. Cambie el nombre de la cuenta del administrador local (capítulo 4) 4. Reinicie el controlador de dominio 1.3 Alta Use utilidades como GpoTool y Gpresult para comprobar la configuración de la directiva de grupo para DC 1. Compruebe que la directiva se ha descargado correctamente en todos los controladores de dominio. Para hacerlo, busque el Id. de suceso 1704 en cada uno de ellos. Aplicada la confirmació n de controlador de dominio GPO 2. Compruebe que la directiva se aplica en todos los controladores de dominio mediante Local Policy Admin MMC 3. Compruebe que la directiva se aplica en todos los controladores de dominio mediante el comando secedit /analyze /db secedit.sdb /cfg nombre plantilla 4. Compruebe que la directiva se aplica mediante el comando gpresult /c 5. Compruebe que la directiva se aplica mediante el comando 218 gptool /gpo nombre de plantilla 1.4 Alta Pruebe la directiva de grupo de línea de base para los controladores de dominio y valide los pasos descritos en Win2KSOG 1. Confirme que los valores de directiva de auditoría están configurados para los controladores de dominio (capítulo 4) Los valores del controlador de dominio GPO coinciden con Win2KSOG 2. Confirme que los valores de directiva de seguridad están configurados para los controladores de dominio (capítulo 4) Confirme que los servicios adecuados se han iniciado y responden 3. Confirme que los valores de directiva de servicios están configurados para los controladores de dominio (capítulo 4) 4. Confirme que se ha iniciado la lista de servicios de línea de base y servicios de baselinedc. 1.5 Alta Importe la directiva de grupo de línea de base para los servidores miembros y mueva AP01 a OU; a continuación, valide los pasos descritos en Win2KSOG 1. Configure el servidor AP01 con todos los servicios disponibles 2. Deshabilite Archivo e Imprimir en AP01 3. Importe la directiva línea de base como se descrito en el capítulo Importar las directivas servidores miembros Baseline.in f RepAdmin o ReplMon Servidor miembro AP01 bloqueado de ha 3, de 4. Mueva Servidor de aplicaciones AP01 al Servidor de aplicaciones OU 5. Fuerce la réplica del controlador de dominio 6. Reinicie el servidor 1.6 Alta Use utilidades como GpoTool y Gpresult para 1. Compruebe que la directiva se ha descargado correctamente en el Muestre que se ha aplicado el 219 comprobar la configuración de la directiva de grupo para el servidor miembro AP01 servidor miembro AP01. Para hacerlo, busque el Id. de suceso 1704. servidor miembro AP01 GPO. 2. Compruebe que la directiva se aplica en el servidor miembro mediante Local Policy Admin MMC (página 16) 3. Compruebe que la directiva se aplica en el servidor miembro mediante el comando secedit /analyze /db secedit.sdb /cfg nombre plantilla 4. Compruebe que la directiva se aplica mediante el comando gpresult /c 5. Compruebe que la directiva se aplica mediante el comando gptool /gpo nombre de plantilla 1.7 Alta Pruebe la directiva de grupo de línea de base para servidores miembros y valide los pasos descritos en Win2KSOG 1. Confirme que los valores de directiva de auditoría están configurados para AP01 (capítulo 4) 2. Confirme que los valores de directiva de seguridad están configurados para AP01 (capítulo 4) 3. Confirme que se han configurado los servicios como se describe en los apéndices B y C 4. Confirme que los servicios de línea de base se han iniciado (compárelos con los de los apéndices) Los valores del servidor miembro AP01 GPO coinciden con Win2KSOG Los valores adicionales del Registro se aplican a AP01 Se han deshabilitad o todos los servicios en AP01 5. Confirme que se ha aplicado Denegación de entradas de registro de 220 servicio (capítulo 4) 6. Confirme que se ha aplicado la entrada de Registro de nombres de archivo 8.3 (capítulo 4) 7. Confirme que se ha aplicado la entrada de Registro LMHash (capítulo 4) 8. Confirme que se ha aplicado la entrada de Registro NTLMSSP (capítulo 4) 9. Confirme que se ha aplicado la entrada de Registro Autorun (capítulo 4) 10. Confirme que se ha aplicado el sistema de archivos de línea de base ACL (como en el Apéndice A, capítulo 4) 11. Confirme la autenticación de AP01 con el controlador de dominio Varios Baja Réplica entre sitios mediante SMTP 1. Cree un sitio nuevo La réplica debería funcionar con las directivas aplicadas 2. Mueva AD02 al nuevo sitio 3. Habilite SMTP 4. Compruebe si la réplica funciona Caso de prueb a Prioridad: 2.1 Alta Condición que se probará: Detalles de la ejecución: Ejecute HfNetChk en todos los Procedimientos de referencia en el capítulo 5 Datos Resultados necesarios: esperados: Para HfNetChk: ejecutar ·1 El resultado de HfNetChk 221 servidores de Win2KSOG ·1 SecurityOps.exe 1. Instalación ·2 nshc33.exe. ·1 Un único servidor denominado HF01 tendrá SecurityOps.ex e ·3 Qfecheck.exe ·2 Ejecute el archivo exe para crear la estructura de carpetas ·3 HF01 contiene Hfnetchk.exe en la carpeta C:\SecurityOps \PatchMgmt\Hf netchk debe almacenarse en un archivo de registro, en una carpeta con el nombre de la fecha actual. ·2 La revisión Q259444 no debe estar en la lista ·3 Compruebe el resultado de Qfecheck.exe ·4 Descargue mssecure.xmll y colóquelo en la misma carpeta que HfNetChk 2. Cree la lista de servidores con los nombres de todos los servidores y colóquela en la carpeta C:\SecurityOps \PatchMgmt\Se rverLists 3. Ejecute HfNetChk desde el símbolo del sistema con la lista de servidores HfNetChk.cmd 222 Server.txt 4. Ejecute Qfecheck.exe /v para comprobar los SP y HF instalados. 2.2 2.3 Alta Media Vuelva a ejecutar HfNetChk después de instalar algunas revisiones de la lista 1. Debe haber instalado algunas revisiones Ejecute HfNetChk con listas de varios servidores y pruebe la programación 1. Cree varias listas de servidores ·4 Lo mismo que arriba 2. Vuelva a ejecutar la herramienta como antes · Compruebe si existen errores en los registros de sucesos ·5 Lo mismo que arriba 2. Ejecute la herramienta como antes Priorid ad Condición que se probará Detalles ejecución de · Debería poder comprobarse el reultado de distintos servidores · Transcurridos 20 minutos, compruebe el sello horario 3. Use el programador de tareas para programar la activación de una línea de comandos dentro de 15 minutos. Caso de prueb a · El resultado no debería mostrar las revisiones instaladas (es posible que tenga que habilitar el programador para esto) la Datos necesarios Resultado esperado: 223 Procedimientos referencia en capítulo 4 Win2KSOG 1.1 DTP Alta 1 Importe la directiva de servidor individual para el servidor de archivos e impresión y valide los pasos descritos en Win2KSOG de el de ·6 El Id. de suceso 1704 debería constar en todos los DC 5. Importe la directiva ·5 Importe File&printIncre mental.inf 6. Mueva el servidor de archivos e impresión a F&P OU Plantilla File&print Incremental.inf ·7 Se ha iniciado el Servicio de cola de impresión. 7. Fuerce una réplica del DC 8. Reinicie el servidor FPOI 2. Alta Emplee utilidades como GpoTool y Gpresult para comprobar la configuració n de las directivas ·8 Confirme que se aplica las directiva 1. Compruebe que la directiva se ha descargado correctamente en todos los controladores de dominio. Para hacerlo, busque el Id. de suceso 1704 en cada uno de ellos. GpoTool y 2. Compruebe que la directiva se aplica en todos los controladores de dominio mediante Local Policy Admin MMC Gpresult 3. Compruebe que se ha aplicado la directiva al servidor de archivos e impresión 3 Alta Pruebe la configuració n adicional de la directiva individual del modo como se describe en Win2KSOG 1. Realice la configuración adicional como se describe en Win2KSOG 2. Conéctese a una impresora e imprima 3. Cree un recurso compartido de archivos ·9 El servidor debería poder imprimir ·10 El recurso compartido de archivos debería funcionar 224 y valídela y compruebe si un cliente puede conectarse Procedimientos referencia en capítulo 4 Win2KSOG de el de ·11 El Id. de suceso 1704 debería constar en todos los DC 1. Importe la directiva 1,2 DTP Alta 4 Importe la directiva de servidor individual para el servidor de infraestructur a y valide los pasos descritos en Win2KSOG ·6 Importe Infrastructure.i nf 2. Mueva el servidor de infraestructura a Infra OU Plantilla Infrastructure.i nf ·12 Se han iniciado el Servidor DHCP, el Servidor DNS, el Servicio WINS y NTLMssp. 3. Fuerce una réplica del DC 4. Reinicie el servidor INF01 5. Deshabilite Compartir archivos e impresoras 5. Alta Emplee utilidades como GpoTool y Gpresult para comprobar la configuració n de las directivas 1. Compruebe que la directiva se ha descargado correctamente en todos los controladores de dominio. Para hacerlo, busque el Id. de suceso 1704 en cada uno de ellos. 2. Compruebe que las directivas se aplican en todos los controladores de dominio mediante Local Policy Admin MMC ·13 Confirme que se aplica la directiva GpoTool y Gpresult 3. Compruebe que se ha aplicado la directiva al servidor INFRA 6 Alta Compruebe la configuració 1. Realice la configuración adicional como se describe en ·14 El servidor debería ser capaz de 225 n adicional de la directiva individual como se describe en Win2KSOG y valídela Win2KSOG ejecutar la funcionalidad básica de DHCP, DNS y WINS 2. Conéctese a un cliente de la red para comprobar si puede obtener la dirección 3. Confirme actualizaciones dinámicas seguras las 4. Compruebe si la resolución WINS y la resolución de nombres de NetBios funcionan Procedimientos referencia en capítulo 4 Win2KSOG de el de 1. Importe la directiva 1,3 DTP Alta 7 Importe la directiva de servidor individual para el servidor IIS y valide los pasos descritos en Win2KSOG ·16 IISIncremental. Inf ·17 exe IISLock. ·18 El Id. de suceso 1704 debería constar en todos los DC ·19 El servicio W3SVC y IISAdmin deberían iniciarse. ·7 Importe IISIncremental.inf 2. Mueva el servidor IIS a IIS OU 3. Fuerce una réplica en DC 4. Reinicie el servidor IIS01 5. Deshabilite Compartir archivos e impresoras 8. Alta Emplee utilidades como GpoTool y Gpresult para comprobar la configuració n de las directivas 1. Compruebe que la directiva se ha descargado correctamente en todos los controladores de dominio. Para hacerlo, busque el Id. de suceso 1704 en cada uno de ellos. ·20 Confirme que se aplica la directiva GpoTool y Gpresult 2. Compruebe que la directiva se aplica en todos los controladores de dominio mediante 226 Local Policy MMC Admin 3. Compruebe que se ha aplicado la directiva al servidor IIS 1.4 DTP Alta 9 Compruebe la configuració n adicional de la directiva individual como se describe en Win2KSOG y valídela 1. Ejecute IISLockd.exe, que también instalará URLscan.exe ·8 Compruebe los valores de URLScan como se describe en el capítulo 6. 2. Establezca páginas estáticas y compruebe si un cliente puede conectarse ·21 Pruebe los cambios realizados en la página Web estática ·22 Después de realizar la configuración adicional, IIS debería funcionar. al servidor Procedimientos referencia en capítulo 4 Win2KSOG de el de 1. Habilite el servicio WMI para APP01 2. Habilite el servicio de Almacenamiento extraíble para APP01 1,5 DTP 10. Alta Cambios al entorno recomendado para administraci ón remota 3. Para la administración remota de algunos servidores específicos ·9 Habilite el servicio de servidor para APP01 ·10 Habilite el registro remoto para el Servidor de infraestructura 4. Use Mi PC -> Administrar para conectarse a APP01 y comprobar todo lo anterior ·23 Debería poder administrar de forma remota lo siguiente: Carpeta compartida, grupos y usuarios locales en Administració n de almacenamient o, excepto unidades lógicas, Administrador de dispositivos de servicios, Visor de sucesos, Ejecutar registros y alertas ·24 La administración de discos, el desfragmentad 227 anterior or, y el almacenamient o extraíble funcionan 5. Un cliente debería poder conectarse al servidor F&P e imprimir Caso de prueba Prioridad 1.1 Alta Condición que se probará Instale y pruebe EventCombMT Detalles ejecución de ·25 Los servidores miembros deberían poder ejecutar la administración remota la 1. Instale EventcombMT 2. Agregue todos los servidores miembros y controladores de dominio como equipos en los que buscar (capítulo 6) Datos Resultado necesarios esperado: Eventcombmt Eventcomb informa el registro de sucesos correcto Los Id. de sucesos descritos son exactos 3. Especifique los registros y tipos de sucesos que se van a buscar 4. Busque el suceso específico 1704 (carga de GPO) 5. Reinicie DC 6. Configure la búsqueda para el reinicio de DC (capítulo 6) 7. Bloquee la 228 cuenta 8. Configure la búsqueda de bloqueos de cuentas (capítulo 6) 9. Compruebe los Id. de suceso de bloqueos de cuentas como se describe en Win2KSOG 1.2 Baja Prueba ad hoc con utilidades distintas, como Dcdiag, Repadmin, etc. 229 Ayuda de trabajo A. Tabla de análisis de amenazas y vulnerabilidades Debe determinar los riesgos para el entorno cada vez que surjan nuevas amenazas o vulnerabilidades. Esto le permitirá estar seguro de que se podrá actuar rápidamente para hacer frente a las amenazas más importantes. Utilice la tabla siguiente para registrar información sobre las amenazas y vulnerabilidades que debe afrontar. Amenaza: <escriba aquí el nombre de la amenaza> Amenaza <Nombre de la amenaza> Tipo de amenaza ¿De qué tipo son las amenazas a las que se enfrenta? Vulnerabilidad ¿A qué vulnerabilidad afecta? Explotación ¿Cómo podría la amenaza aprovechar la vulnerabilidad? Contramedida ¿Cómo se puede contrarrestar la amenaza al entorno? Gravedad En una escala de 1 a 10, ¿cuál es la gravedad de la amenaza? Esfuerzo En una escala de 1 a 10, ¿en qué medida se puede explotar la vulnerabilidad? Nivel de riesgo Gravedad/Esfuerzo Probabilidad ¿Qué probabilidad (porcentaje estimado) tiene la amenaza de convertirse en realidad? Amenaza total Riesgo x Probabilidad Resultado intromisión de la ¿Qué sucede cuando los atacantes aprovechan las vulnerabilidades? Riesgo de pérdidas (pérdida estimada) Pérdida financiera estimada Exposición Riesgo de pérdidas x Probabilidad Mitigación/Asignación Si tiene que dejar la vulnerabilidad abierta, ¿cómo la protege? Respuesta incidencia ¿Qué puede hacer si sufre un ataque? a la Propietario ¿Quién es responsable? Estado ¿En qué estado está actualmente la vulnerabilidad ("Cerrada", "Abierta" o "Mitigada")? Versión del software ¿A qué versión del software afecta? 230 B. Los 11 problemas de seguridad más frecuentes en el cliente 1. Errores de contraseñas a. Contraseñas no seguras. Los usuarios tienen una tendencia natural a seleccionar contraseñas fáciles de recordar (y, por tanto, fáciles de averiguar). Aunque es posible forzar el uso de contraseñas complejas mediante las Directivas de seguridad de Windows 2000, la responsabilidad última de la seguridad de las contraseñas depende de cada usuario. Las contraseñas suelen estar inspiradas en nombres de hijos o mascotas, fechas de cumpleaños o palabras relacionadas con el entorno de trabajo. Y lo que es peor, pueden estar a la vista. b. Consecuencias de compartir contraseñas entre usuarios. En concreto, en entornos en los que se comparten equipos, los usuarios tienden a revelar sus contraseñas. Esta práctica pone en peligro la seguridad y debe prohibirse. c. Consecuencias de emplear la contraseña interna de la organización en sitios Web externos. Si los usuarios exponen la contraseña fuera de su organización, ésta será más vulnerable a los ataques. Las contraseñas de los usuarios se suelen almacenar con las direcciones de correo electrónico. Con sólo utilizar esa combinación, un atacante puede determinar la organización para la que trabaja el usuario, el nombre del usuario en la red (si fuera el prefijo de la dirección SMTP) y su contraseña de usuario. 2. Consecuencias de no realizar copias de seguridad adecuadas o almacenar información vital localmente en vez de almacenarla en un servidor central. En muchas organizaciones, no se realizan copias de seguridad de los equipos cliente (especialmente de los discos de portátiles). El almacenamiento local de información en los equipos cliente, en lugar de hacerlo en servidores administrados, puede impedir la recuperación de datos después de un ataque. 3. Estaciones de trabajo abiertas y desatendidas. ¿Hay alguna directiva activa que inste a los usuarios a bloquear sus estaciones de trabajo cuando se alejen de ellas? Si no se hace esto, alguien que esté de paso podría configurar fácilmente medios para tener acceso a la estación de trabajo fuera del horario de oficina (por ejemplo, instalando un cliente de Terminal Server, PC Anywhere o ampliando los privilegios locales). 4. Consecuencias de no instalar las actualizaciones y revisiones del proveedor. Todos los productos de software y hardware tienen vulnerabilidades y suelen estar en estado de desarrollo continuo. Normalmente, se lanzarán mejoras de diseño y características, así como correcciones de errores, durante la vida útil del software. Como los productos de software y, en menor medida, los de hardware cambian constantemente, es fundamental que el personal de TI instale las revisiones, actualizaciones y correcciones de los sistemas. No mantener los equipos actualizados ofrece ventajas a los atacantes. 5. Consecuencias de no establecer la seguridad física de los equipos. Los equipos, en particular los portátiles, son con frecuencia objetivo de robo. Un portátil en manos de un atacante, especialmente si pertenece a un usuario con un nivel alto de acceso al sistema, puede convertirse en una grave amenaza de seguridad. 6. Deshabilitar o reducir los controles de seguridad existentes. Los usuarios suelen deshabilitar la protección antivirus para intentar obtener mayor velocidad de procesamiento. Además, para conseguir mayor comodidad de uso, reducen o quitan la protección de seguridad de macros de las aplicaciones de producción, como Microsoft Word, Microsoft Excel, etc. Es importante dejar claro a los usuarios la importancia de mantener los controles de seguridad. 231 7. Consecuencias de instalar software innecesario o no aprobado. Los usuarios que suelen instalar software no autorizado o no aprobado ponen a la organización en peligro al ejecutar aplicaciones que podrían contener caballos de Troya u otros vehículos que representen una amenaza para la seguridad. 8. Consecuencias de exponer más información personal de la necesaria. Si revela los nombres de los hijos, fechas de cumpleaños, etc., podría dar más oportunidades a los atacantes de adivinar contraseñas u obtener acceso no autorizado mediante ingeniería social. La información se puede revelar directamente, de forma oral hablando por teléfono con los atacantes, por correo electrónico, o de forma pasiva mediante la información visible en la zona de trabajo (fotos de los hijos, información que contiene el número de seguridad social, tarjetas sanitarias, etc.). 9. Consecuencias de propagar virus y otras trampas. Los virus inofensivos y las falsas alarmas que se suelen distribuir masivamente por correo electrónico cuestan tiempo y dinero por sí mismos. Debe asegurarse de que los usuarios envían esta información directamente al departamento de TI, en lugar de distribuirla por la organización. 10. Consecuencias de abrir archivos adjuntos de mensajes no esperados. Una de las medidas de seguridad más eficaces para prevenir incidencias de seguridad es tomar precauciones con el correo recibido y al abrir los mensajes adjuntos que contengan. 11. Consecuencias de no formar a los usuarios para detectar problemas de seguridad y tomar precauciones. Se pueden mitigar y evitar muchas incidencias si se forma a los usuarios para detectar indicios de ataque, daños en la configuración, virus u otras incidencias. También se les debe formar para tomar las medidas apropiadas cuando detecten un ataque. C. Los 8 problemas de seguridad más frecuentes en el servidor 1. Errores de contraseñas a. Contraseñas no seguras. El personal de TI suele crear puertas traseras como medida de protección antibloqueo. Las contraseñas de estas puertas traseras suelen ser más sencillas, más fáciles de recordar y, por tanto, menos seguras. Aunque esta situación se puede mitigar parcialmente aplicando y forzando las Directivas de seguridad de Windows 2000, debe asegurarse de que los usuarios con acceso de alto nivel están sujetos a la Directiva de grupo. b. Consecuencias de compartir contraseñas entre miembros del personal de TI. Por ejemplo, si se concede a más de un usuario acceso a la cuenta del Administrador, será difícil o imposible realizar la auditoría y determinar las responsabilidades en caso de que se produzca un suceso de seguridad que implique esa cuenta. Los usuarios, especialmente el personal de TI, deben tener una responsabilidad individual auditable de sus cuentas. La prohibición de compartir contraseñas debe formar parte de una directiva de seguridad firmada por los usuarios y el personal de TI. c. Consecuencias de emplear la contraseña interna de la organización en sitios Web externos. Si los usuarios exponen la contraseña fuera de su organización, ésta será más vulnerable a los ataques. Las contraseñas de los usuarios se suelen almacenar con sus direcciones de correo electrónico. Si sólo se utiliza esa combinación, un atacante podría determinar dónde trabaja un usuario, cuál es su nombre de usuario (especialmente si se trata del prefijo de la dirección SMTP) y su contraseña. 2. Consecuencias de no implementar todos los niveles de seguridad de la estrategia de defensa en profundidad. Aunque es importante instalar y configurar correctamente un servidor de seguridad y un sistema de detección de intrusos, las contramedidas de seguridad no deben 232 quedarse en esto. Por ejemplo, la estrategia de defensa en profundidad debe especificar los controles de nivel administrativo y personal. Muchas empresas no forman al personal de atención al público (por ejemplo, recepcionistas y operadores telefónicos) para que puedan reconocer y proteger los datos confidenciales. Un error común es sentirse seguro sin haber protegido realmente el sistema contra todas las posibilidades de ataque. Para obtener más información sobre la metodología de defensa en profundidad, vea el "Capítulo 2" de esta guía. 3. Consecuencias de no realizar y validar copias de seguridad del sistema de forma coherente. Muchas organizaciones, incluidas algunas grandes, no tienen un sistema apropiado de copia de seguridad de los datos del sistema. De las pocas que realmente hacen copias de seguridad, no hay muchas que dediquen tiempo a restaurar los archivos o a hacer otro tipo de validación de cada operación de copia de seguridad. Esto puede producir situaciones en las que se descubre demasiado tarde que conjuntos enteros de medios de copia de seguridad están dañados y no se pueden utilizar para restaurar los datos perdidos en caso de ataque o error grave. 4. Consecuencias de ejecutar servicios innecesarios. En general, las instalaciones predeterminadas habilitan más servicios de los necesarios. Estos servicios adicionales proporcionan más entradas para posibles ataques y deben deshabilitarse. Sólo se deben ejecutar los servicios necesarios. Hay que auditar los servicios periódicamente para comprobar si aún son necesarios. 5. Consecuencias de no reconocer amenazas de seguridad internas. La tendencia natural es centrar los esfuerzos de seguridad y los recursos en posibles ataques externos a la organización. A veces, esta tendencia hace que se olvide la mayor amenaza potencial: el personal interno de la organización. El personal interno tiene mayor nivel de acceso y, por tanto, representa la mayor amenaza potencial de ataque, ya sea de forma intencionada o no. 6. Consecuencias de no aplicar la directiva de seguridad. Una directiva de seguridad excelente, pero aplicada de forma poco estricta, no será de gran ayuda para la seguridad de la organización. Relajar la directiva de seguridad también tiene el peligroso efecto secundario de hacer que los usuarios no sean conscientes de la importancia de la seguridad. 7. Consecuencias de conceder a los servicios más privilegios de los necesarios. Los servicios necesitan un determinado nivel de acceso para poder realizar tareas específicas en el contexto del sistema. Al instalar estos servicios o solucionar los problemas que tengan, se puede sentir la tentación de concederles más acceso del necesario a fin de restablecer el funcionamiento rápidamente. Para mantener la seguridad del sistema, los servicios deben tener la menor cantidad posible de privilegios. Debe asegurarse de que los administradores del sistema que configuran los privilegios de servicios y los programadores de aplicaciones que crean dependencias de servicios tienen esto en cuenta. 8. Consecuencias de no restringir suficientemente las aplicaciones desarrolladas internamente. El control de la seguridad de las aplicaciones desarrolladas internamente debe ser igual o superior que el de las aplicaciones de otros fabricantes. D. Ataques y contramedidas 233 Contramedidas estándar Forzar el uso de contraseñas complejas Averiguación contraseñas de Desbordamientos del búfer Habilitar registro y auditoría Revisar la configur ación del sistema Desha bilitar servic ios Aplicar un sistema de detecció n de intrusos Utilice los mayores niveles de cifrado. ü ü ü Cifrado de datos Firmas digitales Instalar un servidor de seguridad ü ü Fuerce la validación en el SO y las aplicaciones del tamaño del búfer y, preferentemente, el tipo de datos que acepta. Utilice un servidor de seguridad para aplicaciones. ü ü ü Interceptación de paquetes en la red Restrinja la conectividad de red local y los controles de hardware. Utilice herramientas de detección de programas de interceptación. ü ü ü Ataques repetición de Establezca contraseñas no repetibles, evite la interceptación de paquetes ü ü Secuestro de sesión Elimine números de secuencia TCP predecibles, implemente SSL, fuerce el uso de las cookies y evite la conectividad de red local. Robo de Restrinja el acceso directo mediante un ü ü Direct ivas y proce dimie ntos de seguri dad Implementar barreras ü ü* ü ü ü ü ü ü ü Restricc iones de aplicaci ones Actualizar con revisiones de proveedore s ü ü ü ü ü ü 234 información Destrucción documentos (exploración electrónica productos) servidor de seguridad basado en proxy, implemente un sistema inteligente de detección de intrusos que pueda actualizar dispositivos de filtrado, requiera autenticación antes de permitir el acceso a las aplicaciones y aísle los dominios de seguridad mediante servidores de seguridad. de de Revise toda la información disponible públicamente para comprobar si satisface las directivas de seguridad. Por ejemplo, calcule cuántas direcciones de correo electrónico específicas se pueden averiguar a partir de un sitio Web público. Determine si estas direcciones de correo electrónico están relacionadas directamente con las cuentas de usuario. Fugas de información en comunicaciones inalámbricas Reduzca la zona de conectividad inalámbrica, implemente restricciones de hardware y utilice autenticación multifactor. Ingeniería social Aplique directivas estrictas y un programa de formación. Ataques de denegación de servicios y denegación de servicios distribuida Recopile líneas de base para definir los niveles de servicio normales. Todos los accesos deben concederse con los privilegios más bajos que sea posible. Aplique filtrado de entrada de red para reducir el número de paquetes falsos de IP. (vea los detalles en RFC 2267). Implemente filtros de enrutador, habilite sistemas de cuotas, supervise el rendimiento del sistema, supervise firmas de ataque de Denegación de servicio distribuida mediante un sistema de detección de intrusos, aplique soluciones de tolerancia a errores y equilibrio de carga. Aplique mejoras de pila TCP/IP del proveedor. ü ü ü ü ü ü ü ü ü 235 Explotación de las cookies Ataques CGI mediante Ataque a la caché de DNS Para los implementadores de cookies: hay que incluir la menor cantidad de información posible, no se debe utilizar NUNCA texto sin formato para almacenar información en cookies y se deben utilizar rutas específicas cuando sea posible. ü ü Asegúrese de que las secuencias de comandos CGI controlan dinámicamente distintos tamaños de los datos recibidos de usuarios y que nunca pasan datos de usuarios remotos sin comprobar a un comando del shell; considere la posibilidad de utilizar un encapsulador de CGI. Utilice Secure DNS (SDNS) e implemente un DNS dividido en un DNS interno confiable y un DNS externo no confiable. Los dos pueden estar en el mismo servidor de seguridad. Restrinja y autentique las transferencias de zona. ü ü Correo electrónico falsificado Utilice firmas o certificados digitales. Evite la retransmisión de correo o la suplantación de servidores SMTP. ü ü Suplantación dirección IP Aplique filtrado de entrada de red (vea los detalles en RFC 2827). ü ü Virus Gusanos de ü Forme a los usuarios finales para determinar el comportamiento de los virus y la respuesta correcta, prevenir la deshabilitación del software de detección de virus y forzar la actualización periódica de la firma de virus. Utilice sólo software de confianza. ü ü Forme a los usuarios finales para determinar el comportamiento de los virus y la respuesta correcta, prevenir la deshabilitación del software de detección de virus y forzar la actualización periódica ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü 236 de la firma de virus. Caballos de Troya Abuso de personal interno Eliminación cambio configuración servicios accidentales o de de Forme a los usuarios finales para determinar el comportamiento de los virus y la respuesta correcta, prevenir la deshabilitación del software de detección de virus y forzar la actualización periódica de la firma de virus. Utilice sólo software de confianza. La amenaza de ataque de un miembro de la plantilla es la más difícil de reducir o eliminar. Implemente directivas estrictas, divida las responsabilidades y las obligaciones, y aplique restricciones de privilegios, revisión de compañeros, rotación de puestos y un sistema de detección de intrusos. Limite el ámbito de la autoridad (sólo se debe iniciar sesión con los permisos de Administrador de empresa o Administrador de dominio cuando sea necesario). ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü ü Si se dispone de copias de seguridad actualizadas que se puedan restaurar rápidamente, se podrán mitigar los errores debidos a torpezas. Aplique un programa de formación intenso y, cuando sea necesario, un programa de revisión de compañeros. 237 E. Guía de referencia rápida de respuesta a incidencias Utilice la siguiente lista de comprobación como guía de ayuda para completar de forma efectiva los pasos necesarios de las medidas de respuesta a incidencias. Debe tener en cuenta que el orden exacto de los pasos dependerá del tipo de organización y el tipo de incidencia. Para obtener más información sobre Respuesta a incidencias, consulte el capítulo 7, "Responder a las incidencias". Instrucciones generales de respuesta a incidencias Anote todos los detalles. Considere la posibilidad de grabar sus comentarios en cinta. Anote quién llevó a cabo las acciones, cuándo y por qué. Mantenga la calma. Evite la tendencia de una reacción excesiva o de entrar en pánico. Siga meticulosamente los pasos de la directiva de seguridad. Utilice un medio de comunicación fuera de banda: teléfono, fax o comunicación cara a cara, por ejemplo. Es posible que el atacante esté a la escucha. Permanezca en comunicación constante con otros equipos o individuos afectados. No reinicie el equipo, ni inicie o cierre sesiones, ya que esto podría activar código dañino. Primer objetivo: hacer la valoración inicial de la incidencia 1.1 Póngase en contacto con el equipo técnico para comprobar que la incidecia no es una falsa alarma. 1.2 Examine los registros de auditoría para detectar si hubo actividad inusual, o desaparición de registros o fragmentos de los mismos. 1.3 Busque herramientas de hackers (programas de averiguación de contraseñas, caballos de Troya, etc.). 1.4 Compruebe si hay automáticamente. 1.5 Examine las cuentas para detectar posibles aumentos de privilegios o miembros de grupo no autorizados. 1.6 Compruebe si hay procesos no autorizados. 1.7 Piense en la forma de conservar las pruebas. 1.8 Compare el rendimiento del sistema afectado con la línea de base. 1.9 Asigne a la incidencia un nivel de prioridad inicial y un responsable. aplicaciones no autorizadas configuradas para iniciarse Segundo objetivo: comunicar la incidencia 238 2.1 Comunique la incidencia a los grupos interesados y a los miembros asociados al CSIRT pertinentes. Tercer objetivo: contener los daños y minimizar el riesgo 3.1 Determine la gravedad de la incidencia y compruebe la directiva de seguridad para decidir si tiene que desconectar de la red los sistemas afectados para aislarlos. 3.2 Cambie las contraseñas de los sistemas afectados. 3.3 Haga copias de seguridad de los sistemas para poder recuperarlos y, si fuera necesario, obtener pruebas. Cuarto objetivo: identificar el tipo y la gravedad de las intromisiones 4.1 Determine el tipo de ataque. 4.2 Determine el objetivo del ataque (ataque dirigido específicamente a la organización, automatizado o para obtener información). 4.3 Identifique todos los sistemas implicados en el ataque. Si se identifican más sistemas afectados, revise los pasos de las medidas de contención. 4.4 Evalúe de nuevo el nivel de prioridad del suceso y, si fuera necesario, asígnele otro nivel de prioridad. Quinto objetivo: conservar las pruebas 5.1 Realice lo antes posible copias de seguridad de los sistemas y guárdelas en discos de almacenamiento que no se hayan utilizado nunca en el ciclo de respuesta y recuperación. 5.2 Si es posible, realice copias de seguridad de los sistemas completos, incluidos los registros y el estado del sistema. 5.3 Mantenga una cadena de custodia comprobable de las pruebas obtenidas. 5.4 Proteja las pruebas y anote en un documento quién las obtuvo, cómo, cuándo y quién ha tenido acceso a las mismas. Sexto objetivo: notificar la incidencia a las agencias externas 6.1 Avise a las fuerzas de la ley locales o nacionales, asesorado por un consejero jurídico. 6.2 Informe del resultado a los miembros de relaciones públicas de CSIRT y proporcióneles asistencia, si fuera necesario. 6.3 Avise a otras agencias pertinentes, como CERT (Coordination Center at Carnegie Mellon University, http://www.cert.org/, sitio Web en inglés). Ésta y otras agencias similares pueden proporcionar información valiosa para recuperar datos. 239 Séptimo objetivo: recuperar los sistemas 7.1 Busque y valide las copias de seguridad más recientes que no se hayan visto afectadas. 7.2 Restaure el sistema. 7.3 Valide el funcionamiento del sistema y compare su rendimiento con líneas de base históricas. 7.4 Supervise la aparición de ataques repetidos y los cambios de configuración causados por los pasos de contención. Octavo objetivo: recopilar y organizar la documentación sobre la incidencia 8.1 Recopile todas las notas y grabaciones en un registro de actividad de la incidencia de seguridad. 8.2 Distribúyalo a los participantes en la incidencia, para que lo revisen y aprueben (incluido el consejero legal, para que determine la validez de las pruebas). 8.3 Revise la causa de la infracción de seguridad y mejore las defensas para prevenir ataques similares en el futuro. 8.4 Ayude al departamento de finanzas a evaluar las pérdidas debidas a la infracción de seguridad. 8.5 Prepare un informe para la dirección y otros grupos interesados para explicar cómo se produjo el evento e informar de las pérdidas debidas a la infracción de seguridad y las medidas de prevención que se van a adoptar. 240