Seguridad de clientes Windows XP Professional en un entorno

Anuncio
Seguridad de clientes
Windows XP Professional en
un entorno Windows Server
La información incluida en este documento representa el punto de vista actual de Microsoft Corporation acerca de los temas tratados hasta la fecha
de publicación. Dado que Microsoft debe responder a las condiciones siempre cambiantes de mercado, este proceder no se debería interpretar
como un compromiso por parte de Microsoft. Asimismo, Microsoft no puede garantizar la precisión de la información presentada tras la fecha de
publicación. La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a
modificaciones sin previo aviso.
Este documento se proporciona con propósito informativo únicamente. MICROSOFT NO OTORGA GARANTÍAS EXPRESAS NI IMPLÍCITAS EN
ESTE DOCUMENTO.
A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo
electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías,
organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. Es
responsabilidad del usuario el cumplimiento de todas las leyes de derechos de autor aplicables. Sin limitar los derechos de autor, ninguna parte de
este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea
electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los
contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor, u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft.
© 2004 Microsoft Corporation. Reservados todos los derechos.
Microsoft, Active Directory, Outlook, Visual Basic, Windows, Windows 98, Windows 2000, Windows NT, Windows Server y Windows XP son
marcas registradas o marcas comerciales de Microsoft Corporation en EE.UU. y otros países.
Los nombres de las compañías y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos
propietarios.
2
3 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Contenido
Introducción
Antes de comenzar
Descarga de las plantillas de seguridad de Windows XP
Creación de nuevos objetos de directiva de grupo e importación de plantillas de seguridad
Aplicación de las directivas a los equipos portátiles y de escritorio
Comprobación de la nueva configuración
Habilitación del Servidor de seguridad de conexión a Internet de Microsoft
Instalación de software antivirus
Mantenimiento de un nivel de revisión actualizado
Conversión de los sistemas de archivos a NTFS
Información relacionada
Introducción
Cada día es mayor el riesgo de sufrir ataques de intrusos y códigos malintencionados, tales como virus y gusanos.
Por lo tanto, resulta esencial que las empresas de todo tipo adopten con rapidez las medidas necesarias para
aumentar la seguridad de sus equipos portátiles y de escritorio. Un virus es un programa intrusivo que inserta en
los archivos del equipo copias de un código que se replica de forma automática para infectar dichos archivos.
Por otro lado, un gusano es un programa que se ejecuta de forma independiente y se desplaza entre equipos a
través de las conexiones de red. En este documento se explica cómo implementar las medidas de seguridad
recomendadas en la Guía de seguridad de Microsoft® Windows® XP en un entorno empresarial pequeño o
mediano con el servicio de directorio de Microsoft Active Directory®.
El objetivo de este documento es proporcionar una serie de instrucciones claras y concisas para la descarga de
plantillas de seguridad de Windows XP, la configuración de la infraestructura de dominios de Active Directory
en los controladores de dominio de la red y la creación de nuevos objetos de directiva de grupo (GPO) para la
importación de plantillas de seguridad que contribuyan a mejorar la seguridad de los equipos de la red. Asimismo,
se ofrece información sobre la comprobación de nuevas configuraciones, la instalación de software distribuido
antivirus o de servidor de seguridad, el mantenimiento de un nivel de revisión actualizado y la conversión de los
sistemas de archivos a NTFS. Todas las instrucciones paso a paso incluidas en este documento se han elaborado
utilizando el menú Inicio que aparece de forma predeterminada en Windows XP.
La siguiente lista muestra una descripción general de los temas y tareas contemplados en este documento:
•
Descarga de plantillas de seguridad preconfiguradas para aumentar la seguridad del sistema con la introducción
automática de cambios
•
Configuración de la infraestructura de dominios de Active Directory para administrar el nivel de seguridad
en todos los equipos Windows XP Professional de la red
•
Aplicación de políticas en los equipos portátiles y de escritorio
•
Comprobación de nuevas configuraciones
•
Instalación de software antivirus
•
Conversión de los sistemas de archivos del equipo al sistema NTFS, el cual proporciona un nivel de seguridad
más elevado que los sistemas FAT.
4 Seguridad de clientes Windows XP Professional en un entorno Windows Server
•
Configuración del sistema para el uso del Servidor de seguridad de conexión a Internet (ICF), el cual evita
que desconocidos puedan obtener acceso al equipo a través de Internet.
•
Actualización del sistema con revisiones de seguridad
Estas recomendaciones permiten aumentar la seguridad de los equipos portátiles y de escritorio del entorno en
los que se ejecuta Windows XP Professional SP1 frente a la mayoría de las amenazas actuales, al tiempo que
garantizan a los usuarios la eficacia y la productividad de dichos equipos. Además de las detalladas instrucciones
paso a paso de este documento, podrá encontrar información sobre las principales recomendaciones de seguridad
que ofrece Microsoft a todos sus clientes, desde el usuario doméstico a la gran empresa.
Nota: la aplicación de las recomendaciones de esta guía le ayudará a establecer comunicaciones más seguras
entre sus equipos portátiles y de escritorio Windows XP con otros equipos en los que se ejecute Windows XP,
Microsoft Windows® 2000 y Windows Server™ 2003. No obstante, puede que surjan problemas a la hora de
compartir archivos, carpetas o impresoras entre los equipos portátiles y de escritorio Windows XP con equipos
en los que se ejecute Microsoft Windows® 98 o Windows NT® 4.0, ya que, al tratarse de dos sistemas operativos
más antiguos, resulta más difícil protegerlos frente a las amenazas de seguridad actuales.
IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando
el menú Inicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si ha modificado
dicho menú, puede que los pasos varíen un poco.
Antes de comenzar
Al igual que las demás recomendaciones de seguridad, esta guía pretende encontrar el equilibrio adecuado entre
una seguridad mejorada y una capacidad de uso aceptable. Las recomendaciones facilitadas en este documento
se pueden aplicar sin problemas en implementaciones de Windows XP Professional en una gran variedad de
entornos. Sin embargo, antes de ello, hay una serie de puntos importantes que deberá tener en cuenta.
En este documento no se aborda el amplio abanico de requisitos y configuraciones que pueden resultar necesarios
en una gran corporación. Asimismo, puede que la guía no cubra las necesidades de seguridad específicas de
algunas organizaciones.
Cumplimiento con el requisito del Service Pack
Las recomendaciones incluidas en este documento se aplican sólo a equipos en los que se ejecute Windows XP
Professional con Service Pack 1 (SP1) o SP1 (a) que sean miembros de un dominio basado en Active Directory.
Si Service Pack 1 no se encuentra instalado en un equipo concreto o si no está seguro de ello, puede visitar la
página Microsoft Windows Update del sitio Web de Microsoft en
http://v4.windowsupdate.microsoft.com/es/default.asp para que Windows Update examine dicho equipo y busque
las actualizaciones disponibles. Si entre estas actualizaciones se encuentra Service Pack 1, instálelo antes de
continuar con los procedimientos de este documento.
Restricción del uso de cuentas con privilegios de administrador
Un problema común en numerosas organizaciones consiste en que cada vez son más los usuarios que ejecutan
sus equipos portátiles o de escritorio con credenciales administrativas. Se recomienda que todas las cuentas de
usuario pertenezcan al grupo de usuarios. Los usuarios deben carecer de autorización para iniciar sesión con
5 Seguridad de clientes Windows XP Professional en un entorno Windows Server
cuentas del grupo de administradores. Mediante este cambio, los usuarios no podrán instalar software no aprobado,
el cual puede contener virus o cualquier otro tipo de código potencialmente peligroso.
Aunque la aplicación de este requisito puede ser compleja, esta tarea resulta más sencilla si se utiliza Windows
XP Professional con aplicaciones certificadas con logotipo. Las aplicaciones sin este tipo de certificación puede
que no se ejecuten correctamente para aquellos usuarios sin privilegios de administrador. Para obtener una lista
de las aplicaciones certificadas con logotipo, busque el software que contenga la etiqueta "Designed for Windows
XP" en la página Windows Catalog del sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22382.
Aunque las configuraciones facilitadas en este documento han de ser implementadas por un administrador,
ofrecen la funcionalidad necesaria para que cualquiera que no pertenezca al grupo de administradores pueda
ejecutar el equipo portátil o de escritorio de forma habitual. Una vez implementadas las configuraciones de
seguridad recomendadas, éstas se aplicarán a todos los usuarios que inicien sesión en el equipo, incluidos los
miembros del grupo de administradores local.
Descarga de las plantillas de seguridad de Windows XP
Una plantilla de seguridad es un archivo que representa una configuración de seguridad recomendada. Para
aplicar estas plantillas a un sistema, es preciso importarlas al equipo portátil o de escritorio.
El procedimiento descrito a continuación muestra el modo de descargar las plantillas de seguridad preconfiguradas
para proteger los sistemas portátiles y de escritorio.
En este procedimiento se indica la página donde se pueden obtener las plantillas de seguridad de Windows XP
y se explica cómo guardarlas en un controlador de dominio de la red. Estas plantillas le permitirán poner en
práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en un controlador de dominio y en un equipo miembro como miembro
del grupo Admins. del dominio.
•
Herramientas: un explorador Web, el Explorador de Windows.
♦ Para descargar las plantillas de seguridad
1. En el equipo miembro, abra un explorador Web y vaya hasta la página de la Guía de seguridad de Windows
XP que podrá encontrar en el sitio Web del Centro de descarga de Microsoft en
http://go.microsoft.com/fwlink/?LinkId=14840.
2. En la sección inferior de la página, en la cual se informa sobre los archivos de la descarga, haga clic en
Windows_XP_Security_Guide.exe.
3. En el cuadro de diálogo Descarga de archivos, haga clic en Guardar.
4. Cuando se le solicite que proporcione una ubicación, expanda el cuadro de lista desplegable Guardar en,
haga clic en Escritorio y elija Guardar.
5. En el cuadro de diálogo Descarga completa, haga clic en Cerrar.
6 Seguridad de clientes Windows XP Professional en un entorno Windows Server
6. Copie el archivo descargado, Windows_XP_Security_Guide.exe, en la carpeta Mis documentos del
controlador de dominio.
Nota: las instrucciones paso a paso para copiar el archivo en el controlador de dominio desde el equipo
variarán en función de la configuración de la red. Si necesita abrir una nueva ventana del Explorador que
señale al recurso compartido C$ del controlador de dominio, haga clic en Inicio, elija Ejecutar y, a
continuación, escriba \\nombre_del_controlador_de_dominio\c$.
7. En el controlador de dominio, haga clic en Inicio, seleccione Todos los programas, luego Accesorios y,
por último, elija Explorador de Windows.
8. Utilice el Explorador de Windows para desplazarse hasta la carpeta Mis documentos y haga doble clic en
el archivo Windows_XP_Security_Guide.exe.
9. En el cuadro de diálogo WinZip Self-Extractor, haga clic en Browse.
10. Seleccione Mis documentos y haga clic en OK.
11. En el cuadro de diálogo WinZip Self-Extractor, haga clic en Unzip.
12. Una vez finalizada la extracción de todos los archivos, haga clic en Aceptar.
13. En la ventana WinZip Self-Extractor, haga clic en Close.
Configuración de la infraestructura de dominios de Active Directory
Directiva de grupo es una característica de Active Directory que facilita la introducción de cambios y la
administración de configuraciones en dominios de servidor Windows Server 2003 y Windows 2000 Server. No
obstante, es preciso realizar una serie de pasos previos en el dominio para poder aplicar Directiva de grupo a los
clientes Windows XP Professional de su entorno.
Utilice el siguiente procedimiento para configurar la infraestructura de Active Directory en su red de equipos.
Esta estructura le permitirá poner en práctica de forma efectiva las recomendaciones de este documento y mejorar
así la seguridad de sus equipos.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en el controlador de dominio como miembro del grupo Admins. del
dominio.
•
Herramientas: el complemento Usuarios y equipos de Active Directory.
♦ Para configurar la infraestructura de dominios de Active Directory
Utilice el complemento para crear una nueva rama de unidades organizativas (UO) en el dominio, tal y como se
indica a continuación:
•
UO Equipos seguros: en esta unidad se incluirán unidades organizativas secundarias para cada sistema
operativo que se ejecute en el entorno.
7 Seguridad de clientes Windows XP Professional en un entorno Windows Server
•
UO Windows XP: en esta unidad se incluirán unidades organizativas secundarias para cada tipo de cliente
Windows XP del entorno. En este documento se ofrecen instrucciones para los clientes de escritorio y de
equipos portátiles.
Nota: aunque, de acuerdo con las instrucciones de este documento, se aplican configuraciones de seguridad
prácticamente idénticas tanto a los equipos portátiles como de escritorio, se incluyen además instrucciones
que permiten crear unidades organizativas independientes para cada tipo de cliente. De este modo, resultará
más sencillo establecer configuraciones de seguridad adicionales específicas para una clase de equipo cliente
del entorno.
•
UO Escritorio: incluye los equipos de escritorio que permanecen conectados constantemente a la red
corporativa.
•
UO Equipo portátil: incluye los equipos portátiles de los usuarios móviles que no siempre están conectados
a la red corporativa.
La estructura de unidades organizativas que va a crear se encuentra resumida en la siguiente ilustración.
1. Haga clic en Inicio, seleccione Panel de control, Rendimiento y mantenimiento, haga doble clic en
Herramientas administrativas y luego en Usuarios y equipos de Active Directory.
2. Haga clic con el botón secundario en el contenedor raíz del dominio, sitúe el puntero sobre Nuevo y, a
continuación, seleccione Unidad organizativa.
8 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Nota: las capturas de pantalla de este documento reflejan un entorno de prueba y, por tanto, puede que esta
información no coincida exactamente con la que aparece en su equipo.
3. Escriba UO Equipos seguros para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar.
4. Haga clic con el botón secundario en UO Equipos seguros, sitúe el puntero sobre Nuevo y, a continuación,
seleccione Unidad organizativa.
5. Escriba UO Windows XP para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar.
6. Haga clic con el botón secundario en UO Windows XP, sitúe el puntero sobre Nuevo y, a continuación,
seleccione Unidad organizativa.
7. Escriba UO Escritorio para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar.
8. Haga clic con el botón secundario en UO Windows XP, sitúe el puntero sobre Nuevo y, a continuación,
seleccione Unidad organizativa.
9. Escriba UO Equipo portátil para asignarle el nombre a la nueva unidad organizativa y haga clic en Aceptar.
10. Arrastre todos los equipos de escritorio en los que se ejecute Windows XP desde su ubicación actual hasta
la UO Escritorio.
11. Arrastre todos los equipos portátiles en los que se ejecute Windows XP desde su ubicación actual hasta la
UO Equipo portátil.
Nota: la ubicación predeterminada de los nuevos objetos de equipo en Active Directory es el contenedor
Equipos.
9 Seguridad de clientes Windows XP Professional en un entorno Windows Server
La nueva estructura de unidades organizativas debe presentar un aspecto parecido al de la siguiente ilustración.
Creación de nuevos objetos de directiva de grupo e importación
de plantillas de seguridad
El siguiente paso para mejorar la seguridad de los equipos consiste en determinar gran parte de la configuración
de seguridad integrada. Aunque pueda parecer una tarea compleja, a continuación se proporcionan las instrucciones
paso a paso para el uso de los archivos Enterprise Client-Desktop.inf y Enterprise Client-Laptop.inf que se
incluyen con la Guía de seguridad de Windows XP.
Estas directivas establecerán la configuración necesaria para garantizar que sólo se conectan al equipo los usuarios
válidos, que sólo los administradores realizan copias de seguridad de los archivos y los restauran en el equipo,
y que únicamente los administradores agregan nuevos controladores al sistema.
Realice el siguiente procedimiento para crear los nuevos objetos de directiva de grupo (GPO) que se utilizarán
durante la configuración de las medidas de seguridad para los equipos de escritorio de la red. Estos GPO le
permitirán poner en práctica de forma efectiva las recomendaciones de este documento y mejorar así la seguridad
de sus equipos.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en el controlador de dominio como miembro del grupo Admins. del
dominio.
•
Herramientas: el complemento Usuarios y equipos de Active Directory y el símbolo del sistema.
10 Seguridad de clientes Windows XP Professional en un entorno Windows Server
♦ Para crear el GPO para los equipos de escritorio
1. Si resulta necesario volver a abrir el complemento Usuarios y equipos de Active Directory, haga clic en
Inicio, Panel de control y Rendimiento y mantenimiento, haga doble clic en Herramientas administrativas
y luego en Usuarios y equipos de Active Directory.
a. Desplácese hasta la UO Escritorio.
2. Haga clic con el botón secundario en la UO Escritorio y seleccione Propiedades.
3. En el cuadro de diálogo Propiedades de UO Escritorio, haga clic en la ficha Directiva de grupo y seleccione
Nueva.
4. Escriba Directiva de escritorio XP para asignarle el nombre al nuevo GPO y haga clic en Aceptar.
11 Seguridad de clientes Windows XP Professional en un entorno Windows Server
5. Se abrirá la herramienta Editor de objetos de directiva de grupo, en la que se mostrará el GPO que acaba
de crear en el cuadro Vínculos de objetos de directiva de grupo.
6. En Configuración del equipo, expanda la carpeta Configuración de Windows, haga clic con el botón
secundario en Configuración de seguridad y, a continuación, seleccione Importar directiva.
12 Seguridad de clientes Windows XP Professional en un entorno Windows Server
7. En el cuadro de diálogo Importar la directiva desde, expanda la carpeta Plantillas del cuadro de lista
desplegable y desplácese hasta \Mis documentos\Windows XP Security Guide\Tools and
Templates\Security Guide\Plantilla de seguridad\.
13 Seguridad de clientes Windows XP Professional en un entorno Windows Server
8. Seleccione la plantilla de seguridad Enterprise Client - Desktop.inf y haga clic en Abrir.
Nota: si no encuentra el archivo Enterprise Client - Desktop.inf, puede que lo haya guardado en una ubicación
diferente. Si es necesario, vuelva a extraer los archivos del archivo autoextraíble
Windows_XP_Security_Guide.exe.
9. Cierre la herramienta Editor de objetos de directiva de grupo.
10. Cierre el cuadro de diálogo Propiedades de UO Escritorio.
Realice el siguiente procedimiento para crear los nuevos GPO que se utilizarán durante la configuración de las
medidas de seguridad para los equipos portátiles de la red. Estos GPO le permitirán poner en práctica de forma
efectiva las recomendaciones de este documento y mejorar así la seguridad de sus equipos.
♦ Para crear el GPO para los equipos portátiles
1. Si resulta necesario volver a abrir el complemento Usuarios y equipos de Active Directory, haga clic en
Inicio, Panel de control y Rendimiento y mantenimiento, haga doble clic en Herramientas administrativas
y luego en Usuarios y equipos de Active Directory.
2. Haga clic con el botón secundario en la UO Equipo portátil y seleccione Propiedades.
3. En el cuadro de diálogo Propiedades de UO Equipo portátil, haga clic en la ficha Directiva de grupo y
seleccione Nueva.
4. Escriba Directiva de equipo portátil XP para asignarle el nombre al nuevo GPO y haga clic en Aceptar.
5. Se abrirá la herramienta Editor de objetos de directiva de grupo, en la que se mostrará el GPO que acaba
de crear en el cuadro Vínculos de objetos de directiva de grupo.
6. En Configuración del equipo, expanda la carpeta Configuración de Windows, haga clic con el botón
secundario en Configuración de seguridad y, a continuación, seleccione Importar directiva.
7. En el cuadro de diálogo Importar la directiva desde, expanda la carpeta Plantillas del cuadro de lista
desplegable y desplácese hasta \Mis documentos\Windows XP Security Guide\Tools and
Templates\Security Guide\Plantilla de seguridad\.
14 Seguridad de clientes Windows XP Professional en un entorno Windows Server
8. Seleccione la plantilla de seguridad Enterprise Client - Laptop.inf y haga clic en Abrir.
Nota: si no encuentra el archivo Enterprise Client - Laptop.inf, puede que lo haya guardado en una ubicación
diferente. Si es necesario, vuelva a extraer los archivos del archivo autoextraíble
Windows_XP_Security_Guide.exe.
9. Cierre la herramienta Editor de objetos de directiva de grupo.
10. Cierre el cuadro de diálogo Propiedades de UO Equipo portátil.
11. Espere a que se complete la réplica entre todos los controladores de dominio para que así la nueva directiva
de grupo se encuentre disponible en todos los equipos cliente, independientemente del controlador de dominio
que se utilice para iniciar sesión.
Aplicación de las directivas a los equipos portátiles y de
escritorio
Ya puede aplicar la configuración de seguridad a su equipo portátil y de escritorio. Para garantizar la aplicación
de esta configuración, utilice el comando gpupdate.exe. Puede seguir el siguiente procedimiento para que se
realice una actualización de Directiva de grupo. Una vez finalizado este procedimiento, reinicie el sistema para
que se apliquen correctamente las directivas de seguridad.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en el equipo portátil o de escritorio como miembro del grupo Admins.
del dominio.
•
Herramientas: símbolo del sistema, comando gpupdate.exe.
♦ Para ejecutar gpupdate
1. Haga clic en Inicio, seleccione Ejecutar, escriba cmd y, por último, haga clic en Aceptar.
2. En el símbolo del sistema, escriba gpupdate.exe /force y presione Entrar.
3. Cuando aparezca el mensaje ¿Reiniciar?, escriba S y presione Entrar. En ocasiones, puede que no se muestre
este mensaje si no resulta necesario reiniciar manualmente el equipo.
15 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Cuando se reinicie el sistema, ya se habrán aplicado con éxito las directivas de seguridad. Tras presionar
Ctrl+Alt+Supr para iniciar sesión, debe aparecer un cuadro de diálogo con el siguiente mensaje:
It is an offense to continue without proper authorization.
Haga clic en Aceptar e inicie sesión en el equipo de forma habitual.
4. Para comprobar en el registro de sucesos de aplicación que la directiva se ha descargado correctamente, haga
clic en Inicio, seleccione Panel de control, luego Rendimiento y mantenimiento y, por último, haga clic
en Herramientas administrativas.
5. En Herramientas administrativas, haga doble clic en el Visor de sucesos.
6. En el Visor de sucesos, haga clic en el registro Aplicación y, a continuación, busque el suceso más reciente
que se haya definido con los siguientes datos:
•
El tipo llamado Información.
•
El origen llamado SceCli.
•
El Id. de suceso número 704.
Comprobación de la nueva configuración
Compruebe que se ha aplicado la configuración de seguridad apropiada en el equipo local. Para ello, puede
utilizar el procedimiento descrito a continuación. Se recomienda llevar a cabo esta comprobación para garantizar
que la configuración correcta se encuentra vigente en el equipo.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión como miembro del grupo Admins. del dominio.
•
Herramientas: el complemento Directiva de seguridad local, el Panel de control.
♦ Para comprobar la directiva de seguridad en el equipo
1. Haga clic en Inicio, Panel de control, Rendimiento y mantenimiento, seleccione Herramientas
administrativas y, a continuación, haga doble clic en Directiva de seguridad local.
16 Seguridad de clientes Windows XP Professional en un entorno Windows Server
2. En el árbol de consola Configuración de seguridad local, expanda la carpeta Directivas locales y haga clic
en la carpeta Opciones de seguridad.
3. A la derecha, en el panel de detalles de la carpeta Opciones de seguridad, revise la configuración de la
directiva de opciones de seguridad aplicada.
4. Tan sólo es preciso comprobar que algunas de las configuraciones hayan adoptado los nuevos valores, más
seguros que los originales. Para ello, examine con atención lo siguiente:
a. Compruebe que la directiva denominada Dispositivos: permitir el desbloqueo sin tener que iniciar
sesión está definida como Deshabilitada.
b. Asegúrese de que la directiva denominada Inicio de sesión interactivo: texto del mensaje para los
usuarios que intentan iniciar una sesión incluye un mensaje con el siguiente comienzo: "This system
is restricted to..."
c. Asegúrese de que la directiva denominada Inicio de sesión interactivo: núm. de inicios de sesión
previos en la caché (en caso de que el controlador de dominio no esté disponible) está establecida
en el valor 2.
17 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Habilitación del Servidor de seguridad de conexión a Internet de
Microsoft
El Servidor de seguridad de conexión a Internet (ICF) de Microsoft es una característica que se incluye en
Windows XP para contribuir a proteger la conexión del sistema o la red a Internet. ICF se puede habilitar de
forma sencilla cuando el Asistente para configuración de red detecta que el sistema se encuentra conectado
directamente a Internet.
Utilice el siguiente procedimiento para habilitar el Servidor de seguridad de conexión a Internet en los equipos
de la red en los que se ejecute Windows XP. Este servidor se agregará a la configuración de seguridad general
de la red.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en el equipo cliente portátil o de escritorio como miembro del grupo
Admins. del dominio.
•
Herramientas: el Panel de control.
♦ Para habilitar ICF
1. En el menú Inicio, haga clic en Panel de control.
2. En el Panel de control, seleccione Conexiones de red e Internet y haga clic en Conexiones de red.
3. Haga clic con el botón secundario en la conexión para la que desee habilitar ICF y, a continuación, seleccione
Propiedades.
4. Haga clic en la ficha Opciones avanzadas, active la casilla de verificación Proteger mi equipo y mi red
limitando o impidiendo el acceso a él desde Internet y, por último, haga clic en Aceptar.
18 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Los cambios realizados se aplicarán inmediatamente, de tal modo que se evitará o prohibirá el acceso al equipo
o la red para proteger la conexión de red. Aunque se recomienda habilitar ICF, este servidor no incluye actualmente
todas las características que ofrecen otros productos de servidor de seguridad de terceros que se encuentran
disponibles en el mercado. Para obtener más información sobre ICF, consulte el documento "Protección de los
clientes contra los ataques a la red" del Kit de orientaciones sobre seguridad. Para obtener más información sobre
la protección de redes con un servidor de seguridad, visite la página Microsoft Internet Security and Acceleration
Server del sitio Web de Microsoft en http://www.microsoft.com/spain/servidores/isaserver/default.asp.
Instalación de software antivirus
Los virus informáticos son programas que se cargan en el sistema sin el conocimiento o la aprobación del usuario.
Tanto los virus como otros tipos de software malintencionado llevan existiendo durante años. Los virus actuales
se pueden replicar de forma automática y utilizar Internet y las aplicaciones de correo electrónico para propagarse
por todo el mundo en cuestión de horas.
Un software antivirus examina continuamente el equipo en busca de virus y permite eliminarlos una vez detectados.
Sin embargo, hay que tener en cuenta que la instalación de un antivirus sólo soluciona parte del problema. Para
proteger los equipos portátiles y de escritorio, resulta asimismo esencial mantener actualizados los archivos de
firma de este tipo de software.
Otra medida fundamental a la hora de prevenir los ataques de virus consiste en fomentar la educación del usuario
en lo que respecta a las prácticas de correo electrónico seguras. Conviene que los usuarios no abran un mensaje
de correo ni su adjunto si no esperaban recibir ese archivo y no pueden identificar su origen. Asimismo, se
recomienda examinar todos los archivos adjuntos con un software antivirus antes de ejecutarlos.
Para obtener más información sobre los proveedores que distribuyen software antivirus compatible con Windows
XP, consulte el artículo Lista de proveedores de software antivirus que podrá encontrar en la sección Knowledge
Base del sitio Web de Microsoft en http://support.microsoft.com/default.aspx?scid=kb;es;49500.
19 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Mantenimiento de un nivel de revisión actualizado
Para garantizar que los equipos portátiles y de escritorio están actualizados, Microsoft recomienda mantener
dichos equipos revisados con todas las revisiones de seguridad lanzadas para Windows XP. Con el sistema
operativo Windows XP, es muy sencillo llevar a cabo esta tarea cuando los equipos se encuentran conectados a
Internet. Basta con configurar los equipos para que descarguen e instalen automáticamente las últimas
actualizaciones de Microsoft.
Para ello, se puede utilizar el procedimiento descrito a continuación. Al habilitar los equipos de la red para la
recepción de actualizaciones automáticas, se contribuye a aumentar su protección frente a nuevos virus y gusanos
que podrían intentar atacarlos desde Internet.
Requisitos
Para poder completar esta tarea, deberá cumplir con los siguientes requisitos:
•
Credenciales: deberá iniciar sesión en el equipo cliente portátil o de escritorio como miembro del grupo
Admins. del dominio.
•
Herramientas: el Panel de control.
♦ Para configurar el equipo para la recepción de actualizaciones automáticas
1. En el menú Inicio, haga clic en Panel de control.
2. Seleccione Rendimiento y mantenimiento y haga doble clic en Sistema.
3. Haga clic en la ficha Actualizaciones automáticas y, a continuación, active la casilla de verificación siguiente:
Mantener mi equipo al día. Con esta configuración habilitada, el software de Windows Update se
actualiza automáticamente antes de aplicar cualquier otra actualización.
4. En Configuración, seleccione la opción Descargar automáticamente las actualizaciones e instalarlas en
la programación especificada.
5. Seleccione el día y la hora en que se producirán las actualizaciones y, a continuación haga clic en Aceptar
para cerrar la ventana Propiedades del sistema.
20 Seguridad de clientes Windows XP Professional en un entorno Windows Server
Una vez habilitada esta característica, las nuevas configuraciones se aplicarán automáticamente al equipo según
la programación especificada. Se puede definir la descarga automática para cualquier hora, ya sea del día o de
la noche. Simplemente se debe asegurar de que el equipo se encuentra encendido en la hora programada. (Para
evitar ralentizaciones, Microsoft recomienda elegir una hora en la que no se vaya a utilizar el equipo con otros
fines. No obstante, hay que tener en cuenta que es preciso tener encendido el equipo.) Si al configurar las
actualizaciones automáticas elige la opción de notificación, o si olvida dejar encendido el equipo, se mostrará
un globo de notificación. Haga clic en este globo para revisar e instalar las actualizaciones.
Conversión de los sistemas de archivos a NTFS
Un sistema de archivos determina el modo en que se organizan en el equipo los diferentes directorios y archivos.
Durante el proceso de instalación de Windows XP, los equipos se pueden configurar para que utilicen el sistema
de archivos FAT32 o NTFS.
FAT32 es una tecnología más antigua que se utiliza en las versiones anteriores de Windows. El sistema de
archivos NTFS es más rápido y más seguro que FAT32 y que muchos otros sistemas anteriores. Para asegurar
un rendimiento óptimo del sistema operativo, se recomienda proteger todas las particiones del sistema de archivos
del equipo con NTFS. Siga los dos procedimientos siguientes para comprobar, en primer lugar, el tipo de sistema
de archivos del equipo y, si resulta necesario, convertirlo a continuación a NTFS.
♦ Para comprobar el tipo de sistema de archivos del equipo
1. En el menú Inicio, haga clic en Mi PC.
2. Haga clic con el botón secundario en la letra de la unidad que desee examinar y seleccione Propiedades.
21 Seguridad de clientes Windows XP Professional en un entorno Windows Server
3. El sistema de archivos mostrado debería ser NTFS. De lo contrario, puede recurrir a la utilidad convert.exe
para convertir los sistemas FAT6 o FAT32 a NTFS.
Repita este proceso para todas las particiones ubicadas en los discos duros del equipos. Aunque el sistema de
archivos se configurara como FAT32 cuando se instaló el sistema operativo, se puede convertir fácilmente a
NTFS para incrementar la seguridad.
Para ello, apunte el nombre del disco, conocido también como la etiqueta del volumen (en la ilustración anterior
sería Unidad C), y realice los pasos descritos a continuación.
El siguiente procedimiento permitirá convertir el sistema de archivos a NTFS y obtener así un mayor nivel de
seguridad en el equipo.
♦ Para convertir el sistema de archivos a NTFS
1. En el menú Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
2. En el símbolo del sistema, escriba lo siguiente, donde letra de unidad equivale a la unidad que se va a
convertir:
a. Convert letra de unidad : /fs:ntfs
3. Se le pedirá que introduzca la etiqueta de volumen correspondiente a la unidad. Especifique la etiqueta
anotada anteriormente y presione Entrar.
22 Seguridad de clientes Windows XP Professional en un entorno Windows Server
4. Una vez finalizada la conversión, escriba EXIT y, a continuación, vuelva a presionar Entrar para cerrar el
símbolo del sistema.
Nota: si trata de realizar este procedimiento en la unidad en la que se encuentra instalado el sistema operativo,
puede que se le pregunte si desea programar la conversión para que se produzca la próxima vez que se reinicie
el sistema. En este caso, escriba S y reinicie el equipo.
Información relacionada
Para obtener más información sobre la seguridad de Windows XP, consulte lo siguiente:
•
La Guía de seguridad de Windows XP que se puede descargar desde el sitio Web de Microsoft en
http://go.microsoft.com/fwlink/?LinkID=14839.
•
La guía Guide to Securing Windows XP Professional in Small and Medium Businesses que se puede
descargar desde el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?linkid=19453.
Para obtener más información sobre temas relacionados con la seguridad de Windows XP, consulte lo siguiente:
•
La página de la guía Threats and Countermeasures Guide del sitio Web de Microsoft que podrá encontrar
en http://go.microsoft.com/fwlink/?LinkID=15159.
•
La sección "Directiva de contraseñas corporativa" del documento "Contraseñas seguras" en el Kit de
orientaciones sobre seguridad.
•
El documento "Aplicación del uso de contraseñas seguras en las organizaciones" en el Kit de orientaciones
sobre seguridad. (Este artículo contiene referencias a guías de otros productos y vínculos a sitios Web que
sólo están disponibles en inglés.)
Descargar