Seguridad de clientes Windows XP Professional en un entorno Windows Server La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha de publicación. Dado que Microsoft debe responder a las condiciones siempre cambiantes de mercado, este proceder no se debería interpretar como un compromiso por parte de Microsoft. Asimismo, Microsoft no puede garantizar la precisión de la información presentada tras la fecha de publicación. La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS NI IMPLÍCITAS EN ESTE DOCUMENTO. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. Es responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor, u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. © 2004 Microsoft Corporation. Reservados todos los derechos. Microsoft, Active Directory, Outlook, Visual Basic, Windows, Windows 98, Windows 2000, Windows NT, Windows Server y Windows XP son marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y otros países. Los nombres de las compañías y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios. 2 3 Seguridad de clientes Windows XP Professional en un entorno Windows Server Contenido Introducción Antes de comenzar Descarga de las plantillas de seguridad de Windows XP Creación de nuevos objetos de directiva de grupo e importación de plantillas de seguridad Aplicación de las directivas a los equipos portátiles y de escritorio Comprobación de la nueva configuración Habilitación del Servidor de seguridad de conexión a Internet de Microsoft Instalación de software antivirus Mantenimiento de un nivel de revisión actualizado Conversión de los sistemas de archivos a NTFS Información relacionada Introducción Cada día es mayor el riesgo de sufrir ataques de intrusos y códigos malintencionados, tales como virus y gusanos. Por lo tanto, resulta esencial que las empresas de todo tipo adopten con rapidez las medidas necesarias para aumentar la seguridad de sus equipos portátiles y de escritorio. Un virus es un programa intrusivo que inserta en los archivos del equipo copias de un código que se replica de forma automática para infectar dichos archivos. Por otro lado, un gusano es un programa que se ejecuta de forma independiente y se desplaza entre equipos a través de las conexiones de red. En este documento se explica cómo implementar las medidas de seguridad recomendadas en la Guía de seguridad de Microsoft® Windows® XP en un entorno empresarial pequeño o mediano con el servicio de directorio de Microsoft Active Directory®. El objetivo de este documento es proporcionar una serie de instrucciones claras y concisas para la descarga de plantillas de seguridad de Windows XP, la configuración de la infraestructura de dominios de Active Directory en los controladores de dominio de la red y la creación de nuevos objetos de directiva de grupo (GPO) para la importación de plantillas de seguridad que contribuyan a mejorar la seguridad de los equipos de la red. Asimismo, se ofrece información sobre la comprobación de nuevas configuraciones, la instalación de software distribuido antivirus o de servidor de seguridad, el mantenimiento de un nivel de revisión actualizado y la conversión de los sistemas de archivos a NTFS. Todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando el menú Inicio que aparece de forma predeterminada en Windows XP. La siguiente lista muestra una descripción general de los temas y tareas contemplados en este documento: • Descarga de plantillas de seguridad preconfiguradas para aumentar la seguridad del sistema con la introducción automática de cambios • Configuración de la infraestructura de dominios de Active Directory para administrar el nivel de seguridad en todos los equipos Windows XP Professional de la red • Aplicación de políticas en los equipos portátiles y de escritorio • Comprobación de nuevas configuraciones • Instalación de software antivirus • Conversión de los sistemas de archivos del equipo al sistema NTFS, el cual proporciona un nivel de seguridad más elevado que los sistemas FAT. 4 Seguridad de clientes Windows XP Professional en un entorno Windows Server • Configuración del sistema para el uso del Servidor de seguridad de conexión a Internet (ICF), el cual evita que desconocidos puedan obtener acceso al equipo a través de Internet. • Actualización del sistema con revisiones de seguridad Estas recomendaciones permiten aumentar la seguridad de los equipos portátiles y de escritorio del entorno en los que se ejecuta Windows XP Professional SP1 frente a la mayoría de las amenazas actuales, al tiempo que garantizan a los usuarios la eficacia y la productividad de dichos equipos. Además de las detalladas instrucciones paso a paso de este documento, podrá encontrar información sobre las principales recomendaciones de seguridad que ofrece Microsoft a todos sus clientes, desde el usuario doméstico a la gran empresa. Nota: la aplicación de las recomendaciones de esta guía le ayudará a establecer comunicaciones más seguras entre sus equipos portátiles y de escritorio Windows XP con otros equipos en los que se ejecute Windows XP, Microsoft Windows® 2000 y Windows Server™ 2003. No obstante, puede que surjan problemas a la hora de compartir archivos, carpetas o impresoras entre los equipos portátiles y de escritorio Windows XP con equipos en los que se ejecute Microsoft Windows® 98 o Windows NT® 4.0, ya que, al tratarse de dos sistemas operativos más antiguos, resulta más difícil protegerlos frente a las amenazas de seguridad actuales. IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando el menú Inicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si ha modificado dicho menú, puede que los pasos varíen un poco. Antes de comenzar Al igual que las demás recomendaciones de seguridad, esta guía pretende encontrar el equilibrio adecuado entre una seguridad mejorada y una capacidad de uso aceptable. Las recomendaciones facilitadas en este documento se pueden aplicar sin problemas en implementaciones de Windows XP Professional en una gran variedad de entornos. Sin embargo, antes de ello, hay una serie de puntos importantes que deberá tener en cuenta. En este documento no se aborda el amplio abanico de requisitos y configuraciones que pueden resultar necesarios en una gran corporación. Asimismo, puede que la guía no cubra las necesidades de seguridad específicas de algunas organizaciones. Cumplimiento con el requisito del Service Pack Las recomendaciones incluidas en este documento se aplican sólo a equipos en los que se ejecute Windows XP Professional con Service Pack 1 (SP1) o SP1 (a) que sean miembros de un dominio basado en Active Directory. Si Service Pack 1 no se encuentra instalado en un equipo concreto o si no está seguro de ello, puede visitar la página Microsoft Windows Update del sitio Web de Microsoft en http://v4.windowsupdate.microsoft.com/es/default.asp para que Windows Update examine dicho equipo y busque las actualizaciones disponibles. Si entre estas actualizaciones se encuentra Service Pack 1, instálelo antes de continuar con los procedimientos de este documento. Restricción del uso de cuentas con privilegios de administrador Un problema común en numerosas organizaciones consiste en que cada vez son más los usuarios que ejecutan sus equipos portátiles o de escritorio con credenciales administrativas. Se recomienda que todas las cuentas de usuario pertenezcan al grupo de usuarios. Los usuarios deben carecer de autorización para iniciar sesión con 5 Seguridad de clientes Windows XP Professional en un entorno Windows Server cuentas del grupo de administradores. Mediante este cambio, los usuarios no podrán instalar software no aprobado, el cual puede contener virus o cualquier otro tipo de código potencialmente peligroso. Aunque la aplicación de este requisito puede ser compleja, esta tarea resulta más sencilla si se utiliza Windows XP Professional con aplicaciones certificadas con logotipo. Las aplicaciones sin este tipo de certificación puede que no se ejecuten correctamente para aquellos usuarios sin privilegios de administrador. Para obtener una lista de las aplicaciones certificadas con logotipo, busque el software que contenga la etiqueta "Designed for Windows XP" en la página Windows Catalog del sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22382. Aunque las configuraciones facilitadas en este documento han de ser implementadas por un administrador, ofrecen la funcionalidad necesaria para que cualquiera que no pertenezca al grupo de administradores pueda ejecutar el equipo portátil o de escritorio de forma habitual. Una vez implementadas las configuraciones de seguridad recomendadas, éstas se aplicarán a todos los usuarios que inicien sesión en el equipo, incluidos los miembros del grupo de administradores local. Descarga de las plantillas de seguridad de Windows XP Una plantilla de seguridad es un archivo que representa una configuración de seguridad recomendada. Para aplicar estas plantillas a un sistema, es preciso importarlas al equipo portátil o de escritorio. El procedimiento descrito a continuación muestra el modo de descargar las plantillas de seguridad preconfiguradas para proteger los sistemas portátiles y de escritorio. En este procedimiento se indica la página donde se pueden obtener las plantillas de seguridad de Windows XP y se explica cómo guardarlas en un controlador de dominio de la red. Estas plantillas le permitirán poner en práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en un controlador de dominio y en un equipo miembro como miembro del grupo Admins. del dominio. • Herramientas: un explorador Web, el Explorador de Windows. ♦ Para descargar las plantillas de seguridad 1. En el equipo miembro, abra un explorador Web y vaya hasta la página de la Guía de seguridad de Windows XP que podrá encontrar en el sitio Web del Centro de descarga de Microsoft en http://go.microsoft.com/fwlink/?LinkId=14840. 2. En la sección inferior de la página, en la cual se informa sobre los archivos de la descarga, haga clic en Windows_XP_Security_Guide.exe. 3. En el cuadro de diálogo Descarga de archivos, haga clic en Guardar. 4. Cuando se le solicite que proporcione una ubicación, expanda el cuadro de lista desplegable Guardar en, haga clic en Escritorio y elija Guardar. 5. En el cuadro de diálogo Descarga completa, haga clic en Cerrar. 6 Seguridad de clientes Windows XP Professional en un entorno Windows Server 6. Copie el archivo descargado, Windows_XP_Security_Guide.exe, en la carpeta Mis documentos del controlador de dominio. Nota: las instrucciones paso a paso para copiar el archivo en el controlador de dominio desde el equipo variarán en función de la configuración de la red. Si necesita abrir una nueva ventana del Explorador que señale al recurso compartido C$ del controlador de dominio, haga clic en Inicio, elija Ejecutar y, a continuación, escriba \\nombre_del_controlador_de_dominio\c$. 7. En el controlador de dominio, haga clic en Inicio, seleccione Todos los programas, luego Accesorios y, por último, elija Explorador de Windows. 8. Utilice el Explorador de Windows para desplazarse hasta la carpeta Mis documentos y haga doble clic en el archivo Windows_XP_Security_Guide.exe. 9. En el cuadro de diálogo WinZip Self-Extractor, haga clic en Browse. 10. Seleccione Mis documentos y haga clic en OK. 11. En el cuadro de diálogo WinZip Self-Extractor, haga clic en Unzip. 12. Una vez finalizada la extracción de todos los archivos, haga clic en Aceptar. 13. En la ventana WinZip Self-Extractor, haga clic en Close. Configuración de la infraestructura de dominios de Active Directory Directiva de grupo es una característica de Active Directory que facilita la introducción de cambios y la administración de configuraciones en dominios de servidor Windows Server 2003 y Windows 2000 Server. No obstante, es preciso realizar una serie de pasos previos en el dominio para poder aplicar Directiva de grupo a los clientes Windows XP Professional de su entorno. Utilice el siguiente procedimiento para configurar la infraestructura de Active Directory en su red de equipos. Esta estructura le permitirá poner en práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en el controlador de dominio como miembro del grupo Admins. del dominio. • Herramientas: el complemento Usuarios y equipos de Active Directory. ♦ Para configurar la infraestructura de dominios de Active Directory Utilice el complemento para crear una nueva rama de unidades organizativas (UO) en el dominio, tal y como se indica a continuación: • UO Equipos seguros: en esta unidad se incluirán unidades organizativas secundarias para cada sistema operativo que se ejecute en el entorno. 7 Seguridad de clientes Windows XP Professional en un entorno Windows Server • UO Windows XP: en esta unidad se incluirán unidades organizativas secundarias para cada tipo de cliente Windows XP del entorno. En este documento se ofrecen instrucciones para los clientes de escritorio y de equipos portátiles. Nota: aunque, de acuerdo con las instrucciones de este documento, se aplican configuraciones de seguridad prácticamente idénticas tanto a los equipos portátiles como de escritorio, se incluyen además instrucciones que permiten crear unidades organizativas independientes para cada tipo de cliente. De este modo, resultará más sencillo establecer configuraciones de seguridad adicionales específicas para una clase de equipo cliente del entorno. • UO Escritorio: incluye los equipos de escritorio que permanecen conectados constantemente a la red corporativa. • UO Equipo portátil: incluye los equipos portátiles de los usuarios móviles que no siempre están conectados a la red corporativa. La estructura de unidades organizativas que va a crear se encuentra resumida en la siguiente ilustración. 1. Haga clic en Inicio, seleccione Panel de control, Rendimiento y mantenimiento, haga doble clic en Herramientas administrativas y luego en Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario en el contenedor raíz del dominio, sitúe el puntero sobre Nuevo y, a continuación, seleccione Unidad organizativa. 8 Seguridad de clientes Windows XP Professional en un entorno Windows Server Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y, por tanto, puede que esta información no coincida exactamente con la que aparece en su equipo. 3. Escriba UO Equipos seguros para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar. 4. Haga clic con el botón secundario en UO Equipos seguros, sitúe el puntero sobre Nuevo y, a continuación, seleccione Unidad organizativa. 5. Escriba UO Windows XP para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar. 6. Haga clic con el botón secundario en UO Windows XP, sitúe el puntero sobre Nuevo y, a continuación, seleccione Unidad organizativa. 7. Escriba UO Escritorio para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar. 8. Haga clic con el botón secundario en UO Windows XP, sitúe el puntero sobre Nuevo y, a continuación, seleccione Unidad organizativa. 9. Escriba UO Equipo portátil para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar. 10. Arrastre todos los equipos de escritorio en los que se ejecute Windows XP desde su ubicación actual hasta la UO Escritorio. 11. Arrastre todos los equipos portátiles en los que se ejecute Windows XP desde su ubicación actual hasta la UO Equipo portátil. Nota: la ubicación predeterminada de los nuevos objetos de equipo en Active Directory es el contenedor Equipos. 9 Seguridad de clientes Windows XP Professional en un entorno Windows Server La nueva estructura de unidades organizativas debe presentar un aspecto parecido al de la siguiente ilustración. Creación de nuevos objetos de directiva de grupo e importación de plantillas de seguridad El siguiente paso para mejorar la seguridad de los equipos consiste en determinar gran parte de la configuración de seguridad integrada. Aunque pueda parecer una tarea compleja, a continuación se proporcionan las instrucciones paso a paso para el uso de los archivos Enterprise Client-Desktop.inf y Enterprise Client-Laptop.inf que se incluyen con la Guía de seguridad de Windows XP. Estas directivas establecerán la configuración necesaria para garantizar que sólo se conectan al equipo los usuarios válidos, que sólo los administradores realizan copias de seguridad de los archivos y los restauran en el equipo, y que únicamente los administradores agregan nuevos controladores al sistema. Realice el siguiente procedimiento para crear los nuevos objetos de directiva de grupo (GPO) que se utilizarán durante la configuración de las medidas de seguridad para los equipos de escritorio de la red. Estos GPO le permitirán poner en práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en el controlador de dominio como miembro del grupo Admins. del dominio. • Herramientas: el complemento Usuarios y equipos de Active Directory y el símbolo del sistema. 10 Seguridad de clientes Windows XP Professional en un entorno Windows Server ♦ Para crear el GPO para los equipos de escritorio 1. Si resulta necesario volver a abrir el complemento Usuarios y equipos de Active Directory, haga clic en Inicio, Panel de control y Rendimiento y mantenimiento, haga doble clic en Herramientas administrativas y luego en Usuarios y equipos de Active Directory. a. Desplácese hasta la UO Escritorio. 2. Haga clic con el botón secundario en la UO Escritorio y seleccione Propiedades. 3. En el cuadro de diálogo Propiedades de UO Escritorio, haga clic en la ficha Directiva de grupo y seleccione Nueva. 4. Escriba Directiva de escritorio XP para asignarle el nombre al nuevo GPO y haga clic en Aceptar. 11 Seguridad de clientes Windows XP Professional en un entorno Windows Server 5. Se abrirá la herramienta Editor de objetos de directiva de grupo, en la que se mostrará el GPO que acaba de crear en el cuadro Vínculos de objetos de directiva de grupo. 6. En Configuración del equipo, expanda la carpeta Configuración de Windows, haga clic con el botón secundario en Configuración de seguridad y, a continuación, seleccione Importar directiva. 12 Seguridad de clientes Windows XP Professional en un entorno Windows Server 7. En el cuadro de diálogo Importar la directiva desde, expanda la carpeta Plantillas del cuadro de lista desplegable y desplácese hasta \Mis documentos\Windows XP Security Guide\Tools and Templates\Security Guide\Plantilla de seguridad\. 13 Seguridad de clientes Windows XP Professional en un entorno Windows Server 8. Seleccione la plantilla de seguridad Enterprise Client - Desktop.inf y haga clic en Abrir. Nota: si no encuentra el archivo Enterprise Client - Desktop.inf, puede que lo haya guardado en una ubicación diferente. Si es necesario, vuelva a extraer los archivos del archivo autoextraíble Windows_XP_Security_Guide.exe. 9. Cierre la herramienta Editor de objetos de directiva de grupo. 10. Cierre el cuadro de diálogo Propiedades de UO Escritorio. Realice el siguiente procedimiento para crear los nuevos GPO que se utilizarán durante la configuración de las medidas de seguridad para los equipos portátiles de la red. Estos GPO le permitirán poner en práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos. ♦ Para crear el GPO para los equipos portátiles 1. Si resulta necesario volver a abrir el complemento Usuarios y equipos de Active Directory, haga clic en Inicio, Panel de control y Rendimiento y mantenimiento, haga doble clic en Herramientas administrativas y luego en Usuarios y equipos de Active Directory. 2. Haga clic con el botón secundario en la UO Equipo portátil y seleccione Propiedades. 3. En el cuadro de diálogo Propiedades de UO Equipo portátil, haga clic en la ficha Directiva de grupo y seleccione Nueva. 4. Escriba Directiva de equipo portátil XP para asignarle el nombre al nuevo GPO y haga clic en Aceptar. 5. Se abrirá la herramienta Editor de objetos de directiva de grupo, en la que se mostrará el GPO que acaba de crear en el cuadro Vínculos de objetos de directiva de grupo. 6. En Configuración del equipo, expanda la carpeta Configuración de Windows, haga clic con el botón secundario en Configuración de seguridad y, a continuación, seleccione Importar directiva. 7. En el cuadro de diálogo Importar la directiva desde, expanda la carpeta Plantillas del cuadro de lista desplegable y desplácese hasta \Mis documentos\Windows XP Security Guide\Tools and Templates\Security Guide\Plantilla de seguridad\. 14 Seguridad de clientes Windows XP Professional en un entorno Windows Server 8. Seleccione la plantilla de seguridad Enterprise Client - Laptop.inf y haga clic en Abrir. Nota: si no encuentra el archivo Enterprise Client - Laptop.inf, puede que lo haya guardado en una ubicación diferente. Si es necesario, vuelva a extraer los archivos del archivo autoextraíble Windows_XP_Security_Guide.exe. 9. Cierre la herramienta Editor de objetos de directiva de grupo. 10. Cierre el cuadro de diálogo Propiedades de UO Equipo portátil. 11. Espere a que se complete la réplica entre todos los controladores de dominio para que así la nueva directiva de grupo se encuentre disponible en todos los equipos cliente, independientemente del controlador de dominio que se utilice para iniciar sesión. Aplicación de las directivas a los equipos portátiles y de escritorio Ya puede aplicar la configuración de seguridad a su equipo portátil y de escritorio. Para garantizar la aplicación de esta configuración, utilice el comando gpupdate.exe. Puede seguir el siguiente procedimiento para que se realice una actualización de Directiva de grupo. Una vez finalizado este procedimiento, reinicie el sistema para que se apliquen correctamente las directivas de seguridad. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en el equipo portátil o de escritorio como miembro del grupo Admins. del dominio. • Herramientas: símbolo del sistema, comando gpupdate.exe. ♦ Para ejecutar gpupdate 1. Haga clic en Inicio, seleccione Ejecutar, escriba cmd y, por último, haga clic en Aceptar. 2. En el símbolo del sistema, escriba gpupdate.exe /force y presione Entrar. 3. Cuando aparezca el mensaje ¿Reiniciar?, escriba S y presione Entrar. En ocasiones, puede que no se muestre este mensaje si no resulta necesario reiniciar manualmente el equipo. 15 Seguridad de clientes Windows XP Professional en un entorno Windows Server Cuando se reinicie el sistema, ya se habrán aplicado con éxito las directivas de seguridad. Tras presionar Ctrl+Alt+Supr para iniciar sesión, debe aparecer un cuadro de diálogo con el siguiente mensaje: It is an offense to continue without proper authorization. Haga clic en Aceptar e inicie sesión en el equipo de forma habitual. 4. Para comprobar en el registro de sucesos de aplicación que la directiva se ha descargado correctamente, haga clic en Inicio, seleccione Panel de control, luego Rendimiento y mantenimiento y, por último, haga clic en Herramientas administrativas. 5. En Herramientas administrativas, haga doble clic en el Visor de sucesos. 6. En el Visor de sucesos, haga clic en el registro Aplicación y, a continuación, busque el suceso más reciente que se haya definido con los siguientes datos: • El tipo llamado Información. • El origen llamado SceCli. • El Id. de suceso número 704. Comprobación de la nueva configuración Compruebe que se ha aplicado la configuración de seguridad apropiada en el equipo local. Para ello, puede utilizar el procedimiento descrito a continuación. Se recomienda llevar a cabo esta comprobación para garantizar que la configuración correcta se encuentra vigente en el equipo. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión como miembro del grupo Admins. del dominio. • Herramientas: el complemento Directiva de seguridad local, el Panel de control. ♦ Para comprobar la directiva de seguridad en el equipo 1. Haga clic en Inicio, Panel de control, Rendimiento y mantenimiento, seleccione Herramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local. 16 Seguridad de clientes Windows XP Professional en un entorno Windows Server 2. En el árbol de consola Configuración de seguridad local, expanda la carpeta Directivas locales y haga clic en la carpeta Opciones de seguridad. 3. A la derecha, en el panel de detalles de la carpeta Opciones de seguridad, revise la configuración de la directiva de opciones de seguridad aplicada. 4. Tan sólo es preciso comprobar que algunas de las configuraciones hayan adoptado los nuevos valores, más seguros que los originales. Para ello, examine con atención lo siguiente: a. Compruebe que la directiva denominada Dispositivos: permitir el desbloqueo sin tener que iniciar sesión está definida como Deshabilitada. b. Asegúrese de que la directiva denominada Inicio de sesión interactivo: texto del mensaje para los usuarios que intentan iniciar una sesión incluye un mensaje con el siguiente comienzo: "This system is restricted to..." c. Asegúrese de que la directiva denominada Inicio de sesión interactivo: núm. de inicios de sesión previos en la caché (en caso de que el controlador de dominio no esté disponible) está establecida en el valor 2. 17 Seguridad de clientes Windows XP Professional en un entorno Windows Server Habilitación del Servidor de seguridad de conexión a Internet de Microsoft El Servidor de seguridad de conexión a Internet (ICF) de Microsoft es una característica que se incluye en Windows XP para contribuir a proteger la conexión del sistema o la red a Internet. ICF se puede habilitar de forma sencilla cuando el Asistente para configuración de red detecta que el sistema se encuentra conectado directamente a Internet. Utilice el siguiente procedimiento para habilitar el Servidor de seguridad de conexión a Internet en los equipos de la red en los que se ejecute Windows XP. Este servidor se agregará a la configuración de seguridad general de la red. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en el equipo cliente portátil o de escritorio como miembro del grupo Admins. del dominio. • Herramientas: el Panel de control. ♦ Para habilitar ICF 1. En el menú Inicio, haga clic en Panel de control. 2. En el Panel de control, seleccione Conexiones de red e Internet y haga clic en Conexiones de red. 3. Haga clic con el botón secundario en la conexión para la que desee habilitar ICF y, a continuación, seleccione Propiedades. 4. Haga clic en la ficha Opciones avanzadas, active la casilla de verificación Proteger mi equipo y mi red limitando o impidiendo el acceso a él desde Internet y, por último, haga clic en Aceptar. 18 Seguridad de clientes Windows XP Professional en un entorno Windows Server Los cambios realizados se aplicarán inmediatamente, de tal modo que se evitará o prohibirá el acceso al equipo o la red para proteger la conexión de red. Aunque se recomienda habilitar ICF, este servidor no incluye actualmente todas las características que ofrecen otros productos de servidor de seguridad de terceros que se encuentran disponibles en el mercado. Para obtener más información sobre ICF, consulte el documento "Protección de los clientes contra los ataques a la red" del Kit de orientaciones sobre seguridad. Para obtener más información sobre la protección de redes con un servidor de seguridad, visite la página Microsoft Internet Security and Acceleration Server del sitio Web de Microsoft en http://www.microsoft.com/spain/servidores/isaserver/default.asp. Instalación de software antivirus Los virus informáticos son programas que se cargan en el sistema sin el conocimiento o la aprobación del usuario. Tanto los virus como otros tipos de software malintencionado llevan existiendo durante años. Los virus actuales se pueden replicar de forma automática y utilizar Internet y las aplicaciones de correo electrónico para propagarse por todo el mundo en cuestión de horas. Un software antivirus examina continuamente el equipo en busca de virus y permite eliminarlos una vez detectados. Sin embargo, hay que tener en cuenta que la instalación de un antivirus sólo soluciona parte del problema. Para proteger los equipos portátiles y de escritorio, resulta asimismo esencial mantener actualizados los archivos de firma de este tipo de software. Otra medida fundamental a la hora de prevenir los ataques de virus consiste en fomentar la educación del usuario en lo que respecta a las prácticas de correo electrónico seguras. Conviene que los usuarios no abran un mensaje de correo ni su adjunto si no esperaban recibir ese archivo y no pueden identificar su origen. Asimismo, se recomienda examinar todos los archivos adjuntos con un software antivirus antes de ejecutarlos. Para obtener más información sobre los proveedores que distribuyen software antivirus compatible con Windows XP, consulte el artículo Lista de proveedores de software antivirus que podrá encontrar en la sección Knowledge Base del sitio Web de Microsoft en http://support.microsoft.com/default.aspx?scid=kb;es;49500. 19 Seguridad de clientes Windows XP Professional en un entorno Windows Server Mantenimiento de un nivel de revisión actualizado Para garantizar que los equipos portátiles y de escritorio están actualizados, Microsoft recomienda mantener dichos equipos revisados con todas las revisiones de seguridad lanzadas para Windows XP. Con el sistema operativo Windows XP, es muy sencillo llevar a cabo esta tarea cuando los equipos se encuentran conectados a Internet. Basta con configurar los equipos para que descarguen e instalen automáticamente las últimas actualizaciones de Microsoft. Para ello, se puede utilizar el procedimiento descrito a continuación. Al habilitar los equipos de la red para la recepción de actualizaciones automáticas, se contribuye a aumentar su protección frente a nuevos virus y gusanos que podrían intentar atacarlos desde Internet. Requisitos Para poder completar esta tarea, deberá cumplir con los siguientes requisitos: • Credenciales: deberá iniciar sesión en el equipo cliente portátil o de escritorio como miembro del grupo Admins. del dominio. • Herramientas: el Panel de control. ♦ Para configurar el equipo para la recepción de actualizaciones automáticas 1. En el menú Inicio, haga clic en Panel de control. 2. Seleccione Rendimiento y mantenimiento y haga doble clic en Sistema. 3. Haga clic en la ficha Actualizaciones automáticas y, a continuación, active la casilla de verificación siguiente: Mantener mi equipo al día. Con esta configuración habilitada, el software de Windows Update se actualiza automáticamente antes de aplicar cualquier otra actualización. 4. En Configuración, seleccione la opción Descargar automáticamente las actualizaciones e instalarlas en la programación especificada. 5. Seleccione el día y la hora en que se producirán las actualizaciones y, a continuación haga clic en Aceptar para cerrar la ventana Propiedades del sistema. 20 Seguridad de clientes Windows XP Professional en un entorno Windows Server Una vez habilitada esta característica, las nuevas configuraciones se aplicarán automáticamente al equipo según la programación especificada. Se puede definir la descarga automática para cualquier hora, ya sea del día o de la noche. Simplemente se debe asegurar de que el equipo se encuentra encendido en la hora programada. (Para evitar ralentizaciones, Microsoft recomienda elegir una hora en la que no se vaya a utilizar el equipo con otros fines. No obstante, hay que tener en cuenta que es preciso tener encendido el equipo.) Si al configurar las actualizaciones automáticas elige la opción de notificación, o si olvida dejar encendido el equipo, se mostrará un globo de notificación. Haga clic en este globo para revisar e instalar las actualizaciones. Conversión de los sistemas de archivos a NTFS Un sistema de archivos determina el modo en que se organizan en el equipo los diferentes directorios y archivos. Durante el proceso de instalación de Windows XP, los equipos se pueden configurar para que utilicen el sistema de archivos FAT32 o NTFS. FAT32 es una tecnología más antigua que se utiliza en las versiones anteriores de Windows. El sistema de archivos NTFS es más rápido y más seguro que FAT32 y que muchos otros sistemas anteriores. Para asegurar un rendimiento óptimo del sistema operativo, se recomienda proteger todas las particiones del sistema de archivos del equipo con NTFS. Siga los dos procedimientos siguientes para comprobar, en primer lugar, el tipo de sistema de archivos del equipo y, si resulta necesario, convertirlo a continuación a NTFS. ♦ Para comprobar el tipo de sistema de archivos del equipo 1. En el menú Inicio, haga clic en Mi PC. 2. Haga clic con el botón secundario en la letra de la unidad que desee examinar y seleccione Propiedades. 21 Seguridad de clientes Windows XP Professional en un entorno Windows Server 3. El sistema de archivos mostrado debería ser NTFS. De lo contrario, puede recurrir a la utilidad convert.exe para convertir los sistemas FAT6 o FAT32 a NTFS. Repita este proceso para todas las particiones ubicadas en los discos duros del equipos. Aunque el sistema de archivos se configurara como FAT32 cuando se instaló el sistema operativo, se puede convertir fácilmente a NTFS para incrementar la seguridad. Para ello, apunte el nombre del disco, conocido también como la etiqueta del volumen (en la ilustración anterior sería Unidad C), y realice los pasos descritos a continuación. El siguiente procedimiento permitirá convertir el sistema de archivos a NTFS y obtener así un mayor nivel de seguridad en el equipo. ♦ Para convertir el sistema de archivos a NTFS 1. En el menú Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar. 2. En el símbolo del sistema, escriba lo siguiente, donde letra de unidad equivale a la unidad que se va a convertir: a. Convert letra de unidad : /fs:ntfs 3. Se le pedirá que introduzca la etiqueta de volumen correspondiente a la unidad. Especifique la etiqueta anotada anteriormente y presione Entrar. 22 Seguridad de clientes Windows XP Professional en un entorno Windows Server 4. Una vez finalizada la conversión, escriba EXIT y, a continuación, vuelva a presionar Entrar para cerrar el símbolo del sistema. Nota: si trata de realizar este procedimiento en la unidad en la que se encuentra instalado el sistema operativo, puede que se le pregunte si desea programar la conversión para que se produzca la próxima vez que se reinicie el sistema. En este caso, escriba S y reinicie el equipo. Información relacionada Para obtener más información sobre la seguridad de Windows XP, consulte lo siguiente: • La Guía de seguridad de Windows XP que se puede descargar desde el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkID=14839. • La guía Guide to Securing Windows XP Professional in Small and Medium Businesses que se puede descargar desde el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?linkid=19453. Para obtener más información sobre temas relacionados con la seguridad de Windows XP, consulte lo siguiente: • La página de la guía Threats and Countermeasures Guide del sitio Web de Microsoft que podrá encontrar en http://go.microsoft.com/fwlink/?LinkID=15159. • La sección "Directiva de contraseñas corporativa" del documento "Contraseñas seguras" en el Kit de orientaciones sobre seguridad. • El documento "Aplicación del uso de contraseñas seguras en las organizaciones" en el Kit de orientaciones sobre seguridad. (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que sólo están disponibles en inglés.)