Академический Документы
Профессиональный Документы
Культура Документы
Y XP
Cap4-32.jpg
1. Requisitos previos
• Introducción
• Seguridad básica de los clientes
• Protección de clientes con Active Directory
• Uso de Directiva de grupo para la protección de clientes
• Protección de aplicaciones
• Configuración de directivas de grupo locales para clientes independientes
• Directiva de restricción de software
• Programas antivirus
• Servidores de seguridad para clientes
• Asegurando el Cliente
• Practica A: Administrando seguridad de clientes
• Preguntas
• Pasos siguientes
• Para obtener más información
3. Introducción
1
En este tema se presentarán los fundamentos de la seguridad de los clientes.
Específicamente se tratará:
• La importancia de la seguridad
• Estructura de organización de la seguridad
Cap4-01.jpg
2
canales para una amplia variedad de ubicaciones. Estos canales deben
estar siempre seguros para mantener la confidencialidad e integridad de
la información.
• Reducir el tiempo de inactividad. Los ataques a equipos cliente, ya sean
intencionados o accidentales, pueden causar una pérdida de servicio para
los usuarios afectados. Mientras los equipos cliente no estén disponibles,
es posible que la compañía vea perjudicada su reputación, sus ingresos,
o ambos. Un entorno cliente seguro protege contra este tipo de pérdidas.
• Proteger los ingresos. La productividad de los empleados constituye la
clave para mantener los ingresos. Si los empleados no pueden ser
productivos porque sus equipos cliente han sufrido un ataque, es posible
que los ingresos se vean afectados.
• Evitar daños a la reputación. Una vez aplicado, un entorno seguro protege
la reputación de la compañía al asegurar que los equipos cliente están
disponibles y funcionan correctamente. Esto permite a los empleados
realizar sus tareas diarias en el momento oportuno, manteniéndose así la
productividad.
3
Cap4-02.jpg
4
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de actualizaciones,
métodos seguros de autenticación y sistemas de detección de
intrusos basados en hosts
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado
5
Cap4-03.jpg
6
• Equipos portátiles. Implemente directivas y tecnologías que ayuden a
proteger los dispositivos móviles, como equipos portátiles y asistentes
digitales personales (PDA), y que limiten los puntos vulnerables que
puedan aparecer al conectar estos dispositivos a bienes corporativos.
• Antivirus. Instale software antivirus y mantenga actualizados los archivos
de firmas como ayuda para la protección contra código malintencionado y
ataques a software.
• Servidores de seguridad. Instale y configure un servidor de seguridad de
hardware, de software o ambos, como Servidor de seguridad de conexión
a Internet (ICF).
Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policy aplicada a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a traves del entorno.
7
La guía también hace uso de una nueva característica de la política llamada
Software Restriction Policies. Usando Software Restriction policies, usted puede
limitar el software que se puede utilizar en una computadora o bien bloquear
programas específicos que no podrán ser ejecutados.
Cap4-04.jpg
8
• Pequeña empresa. Windows Update y SUS son las opciones
lógicas. Si dispone al menos de un equipo con Microsoft Windows
Server™ y un administrador de IT cualificado, debe elegir SUS. De
lo contrario, utilice Windows Update.
• Empresas grandes o medianas. SUS y Microsoft Systems
Management Server (SMS) son las opciones lógicas. Si necesita
una solución de administración de actualizaciones sencilla, aunque
algo limitada, elija SUS. Si desea una distribución de software
completa que incluya funciones de administración de
actualizaciones, elija SMS.
9
Cap4-05.jpg
• Anime a los usuarios a que utilicen distintas contraseñas para cada sitio
Web y aplicación. Los usuarios deben guardar las listas de contraseñas
en un lugar seguro. Si es necesario, pueden almacenar estas listas en
una carpeta cifrada de un equipo que tenga una contraseña muy segura.
(Existen soluciones de software de terceros para la administración segura
de contraseñas.)
10
• Cuando dejen de utilizar una estación de trabajo cliente, los usuarios
deben utilizar el método abreviado de teclado: Tecla del logotipo de
Windows+L para bloquearla. Los usuarios deben utilizar también
protectores de pantalla con contraseña por si olvidan bloquear sus
equipos.
• Cuando se necesite una mayor seguridad, las organizaciones pueden
emplear la autenticación mediante varios factores, que requiere que los
usuarios escriban su nombre de usuario (quiénes son) y una contraseña
(algo que sólo conocen ellos), y también que utilicen algún tipo de
autenticación física. Esta autenticación física se puede realizar con una
tarjeta inteligente, un detector de iris o un lector de huellas digitales.
• Para obtener más información acerca del uso de tarjetas inteligentes para
la autenticación, consulte el documento Use Smart Cards to Enhance
Security, en inglés, en
http://www.microsoft.com/windowsxp/pro/evaluation/overviews/smartcards
.asp
• Para obtener más información y consejos acerca de las contraseñas,
consulte las siguientes notas del producto:
• Authoritative Security Guidance for the Enterprise, disponible en
inglés, en http://www.microsoft.com/technet/security/bestprac/
• 5-Minute Security Advisor - Choosing a Good Password Policy,
disponible en inglés, en
http://www.microsoft.com/technet/columns/security/5min/5min-
302.asp
11
Cap4-06.jpg
12
• Information Rights Management (IRM). IRM es una tecnología para
archivos disponible en Office Professional Edition 2003, que permite al
usuario especificar permisos para los documentos. Puede establecer
directivas para tener un mayor control sobre quién puede abrir, copiar,
imprimir o reenviar información creada en Microsoft Office Word 2003,
Microsoft Office Excel 2003, Microsoft Office PowerPoint® 2003 y
Microsoft Office Outlook® 2003.
Para las compañías que no utilizan Office Professional Edition 2003, Microsoft
proporciona un visor de IRM gratuito (complemento Rights Management para
Microsoft Internet Explorer) para leer archivos protegidos. El visor de IRM sólo
funciona si el destinatario tiene permiso para leer el archivo. Para descargar el
visor, visite el sitio Web de Microsoft en
http://www.microsoft.com/windows/ie/downloads/addon
Cap4-07.jpg
13
El robo de un dispositivo móvil y sus datos constituye una de las principales
preocupaciones cuando un equipo portátil no se encuentra dentro de los
límites de seguridad físicos de la compañía. Si se produce el robo, el
problema inicial de la pérdida de datos puede convertirse potencialmente en
la entrada de una persona no autorizada en la red, mediante una conexión
remota de acceso telefónico o de red inalámbrica.
14
• Utilidad Copia de seguridad. La utilidad Copia de seguridad ayuda a
proteger los datos contra la pérdida accidental si se produce un error en el
medio de almacenamiento o en el hardware del sistema. Por ejemplo,
puede utilizar Copia de seguridad para crear un duplicado de los datos del
disco duro y archivarlos después en otro dispositivo de almacenamiento.
Si se borran o sobrescriben accidentalmente los datos originales del disco
duro o si no es posible tener acceso a ellos debido a un error de
funcionamiento del disco duro, puede restaurar fácilmente los datos.
15
Cap4-08.jpg
16
En la Windows XP Security Guide se presenta un modelo de jerarquía
distribuida. Como se ilustra en la diapositiva, este modelo detecta que la
configuración de los usuarios y los equipos es diferente, y divide los objetos
en unidades organizativas (OU) distintas. Este diseño coincide a menudo con
el modelo administrativo de una organización que tiene distribuido el soporte
técnico entre la administración de clientes y la administración de usuarios y
grupos. No obstante, se puede modificar este diseño como sea necesario
para adaptarlo a las necesidades de la organización.
17
entorno, podrían ser necesarias más OU para los equipos cliente
agrupados por otros motivos; por ejemplo, una OU para los
equipos cliente que se conectan a la red mediante una conexión de
red privada virtual (VPN).
4. Mueva cada objeto de equipo cliente a la OU adecuada.
5. Después de mover todos los equipos a las OU adecuadas, puede
crear y configurar objetos de directiva de grupo para cada OU que
aplicarán la configuración de seguridad adecuada a los equipos
incluidos en la OU.
Cap4-09.jpg
18
desee definir una configuración para los equipos portátiles, distinta de la
configuración para los equipos de escritorio, ya que los equipos portátiles
a menudo no se encuentran físicamente en las oficinas y pueden
conectarse a la red mediante vínculos de comunicación no seguros.
19
• Plantillas de equipos portátiles. Estas plantillas contienen la configuración
destinada a afrontar los desafíos de seguridad impuestos por la
portabilidad de los equipos portátiles.
20
Cap4-10.jpg
21
Cap4-11.jpg
22
• Sistema de archivos: establece listas de control de acceso para archivos y
carpetas.
• Directivas IPSec: estas directivas permiten especificar filtros IPSec,
acciones de filtrado y reglas de filtrado para todo el tráfico TCP/IP del
equipo.
• Configuración del Registro: permite configurar determinadas opciones del
Registro para todos los equipos a los que afecta la directiva, así como
impedir que se modifiquen esas opciones.
• Grupos restringidos: permite impedir que se agreguen usuarios a
determinados grupos de seguridad de Windows 2000, Windows XP
Professional y Windows Server 2003.
• Opciones de seguridad: estas opciones permiten habilitar o deshabilitar
aspectos como la firma digital de datos, los nombres de las cuentas de
administrador y de invitado, los métodos de autenticación de control, el
comportamiento de instalación de controladores y los inicios de sesión.
• Restricción de software: las directivas de restricción de software permiten
especificar el software que se puede ejecutar y el que no se puede
ejecutar en un equipo cliente mediante diversas reglas, incluyendo reglas
de hash, de ruta, de zona y de certificado.
• Servicios del sistema: esta opción establece la configuración
predeterminada de estado de inicio y de seguridad para los servicios.
• Asignación de derechos de usuario: estas opciones determinan las
operaciones del sistema que pueden realizar los usuarios.
Entre las opciones de seguridad de los equipos cliente que se modifican con
más frecuencia se incluyen:
23
Con el fin de asegurar un entorno de clientes de escritorio de alta seguridad,
siga estas recomendaciones para las opciones de seguridad de los equipos
cliente que se modifican con más frecuencia:
24
• Servidor de red Microsoft: firmar digitalmente las comunicaciones
(si el servidor lo permite) - Habilitada
Cap4-12.jpg
25
4. Configure otras opciones administrativas y de seguridad adicionales para
adaptarse a las necesidades de su organización, y cierre el Editor de
objetos de directiva de grupo.
26
Cap4-13.jpg
27
Microsoft proporciona plantillas administrativas para muchos de sus
productos, incluidos Office e Internet Explorer.
7. Protección de aplicaciones
• Internet Explorer
• Zonas de Internet Explorer
• Microsoft Outlook
• Microsoft Office
• Recomendaciones para la protección de aplicaciones
Cap4-14.jpg
28
Siga estos criterios para proteger Internet Explorer en las estaciones de
trabajo de su entorno:
Cap4-15.jpg
29
Sitios restringidos. La configuración recomendada para mejorar la seguridad
en Internet Explorer es la siguiente:
30
• Utilice la plantilla administrativa de Outlook para configurar opciones de
seguridad para los equipos cliente, mediante Directiva de grupo o
Directiva de grupo local. Puede configurar varias opciones de esta
plantilla para personalizar la seguridad de Outlook para su entorno.
• Outlook 2003 ofrece varias mejoras en seguridad, entre ellas:
Cap4-16.jpg
31
XP debe agregar el archivo Office10.adm a Plantillas administrativas en el
Editor de objetos de directiva de grupo, antes de configurar las opciones
correspondientes a Office XP.
• Para Office 97 y versiones posteriores, las plantillas están disponibles con
el Kit de recursos de Office. Las plantillas para Office XP se proporcionan
también con la Windows XP Security Guide.
• La siguiente lista contiene todos los archivos de plantillas administrativas
para Office XP. El archivo de plantilla Office10.adm contiene todas las
opciones para los programas y las funciones que se enumeran en la
Windows XP Security Guide. Los demás archivos de plantillas contienen
opciones de la interfaz de usuario (UI).
Cap4-17.jpg
32
Tenga en cuenta las recomendaciones siguientes para proteger las aplicaciones
de los equipos cliente existentes en la red de la organización:
33
Cap4-18.jpg
34
grupo o mediante secuencias de comandos. Los objetos de
directiva de grupo locales contienen menos opciones que los GPO
basados en dominios, especialmente en Configuración de
seguridad.
• Windows XP Professional agrega más opciones a Directiva de grupo local
que las versiones anteriores de Windows; una ventaja que le permite
personalizar mejor la configuración de los usuarios y los equipos. Existen
cientos de opciones nuevas para Windows XP Professional, además de
las que ya estaban disponibles para Windows 2000 Professional. Esta
eficaz característica de administración permite bloquear y configurar con
precisión el equipo de escritorio, lo que ofrece la posibilidad de tener
muchos escenarios personalizados diferentes.
• Los objetos de directiva de grupo locales (LGPO) no admiten el
redireccionamiento de carpetas, el servicio de instalación remota ni la
instalación de software con Directiva de grupo cuando están configurados
como clientes independientes. Las directivas locales pueden utilizarse
para proporcionar un entorno operativo seguro en clientes
independientes. En la lista siguiente se describen las extensiones del
complemento Directiva de grupo que se abren cuando hay seleccionado
un LGPO en Directiva de grupo.
• Plantillas administrativas: Sí
• Mantenimiento de Internet Explorer: Sí
• Secuencias de comandos: Sí
• Configuración de seguridad: Sí
• Redireccionamiento de carpetas: No
• Servicio de instalación remota: No
• Instalación de software: No
35
Cap4-19.jpg
36
1. Cargue la MMC de Directiva de grupo local (Gpedit.msc)
2. Diríjase a Configuración de equipo/Configuración de Windows, haga click
con el botón secundario del mouse en el nodo Configuración de seguridad
y seleccione Importar directiva.
3. Diríjase a la ubicación que contenga la plantilla de seguridad adecuada
(por ejemplo, Cliente de alta seguridad heredado: escritorio)
4. Configure opciones de seguridad adicionales según los consejos
preceptivos
Cap4-20.jpg
37
Cuando aplique la configuración de directivas de grupo locales a clientes
independientes, tenga en cuenta las siguientes recomendaciones:
38
• Las directivas de restricción de software ofrecen a los administradores un
mecanismo, controlado mediante directivas, para identificar el software y
controlar su posibilidad de ejecución en equipos cliente. Las directivas de
restricción de software forman parte de la estrategia de administración y
seguridad de Microsoft para ayudar a las empresas a aumentar la
confiabilidad, integridad y facilidad de administración de sus equipos.
• Las directivas de restricción de software son una de las muchas
características de administración nuevas en Windows XP y Windows
Server 2003. Las directivas de restricción de software pueden utilizarse
para:
• Combatir virus.
• Regular los controles ActiveX® que se pueden descargar.
• Ejecutar sólo secuencias de comandos, firmadas digitalmente.
• Comprobar que únicamente hay instaladas aplicaciones
autorizadas en los equipos.
• Bloquear equipos.
• Las restricciones de software pueden configurarse mediante dos reglas
predeterminadas diferentes. Una directiva de restricción de software
consta de una regla predeterminada y una lista de excepciones a esa
regla. Las dos reglas son:
• Irrestricto: esta regla permite ejecutar todas las aplicaciones,
excepto aquellas identificadas de forma específica como
excepciones a la regla. Los paquetes de software identificados no
se pueden ejecutar. Esta directiva permite a los usuarios instalar
nuevos programas, pero también permite a un administrador
bloquear los programas no deseados e impedir su ejecución en los
equipos cliente. Cuando se identifica un nuevo virus u otro paquete
de software no deseado, el administrador puede actualizar
inmediatamente la directiva para incluirlo e impedir que se ejecute
en los equipos cliente. No obstante, es necesario que los usuarios
reinicien el equipo o que cierren la sesión, e inicien una nueva para
que se implemente la nueva directiva de restricción de software.
• Restringido: esta regla no permite ejecutar ninguna aplicación en el
equipo cliente, excepto aquellas identificadas de forma específica
como excepciones a la regla. Los paquetes de software
identificados son los únicos que se pueden ejecutar en los equipos
cliente a los que afecta la directiva. Esta directiva se recomienda
únicamente para entornos con un nivel de seguridad muy alto o
entornos bloqueados. Puede ser difícil de administrar, ya que se
debe identificar individualmente cada aplicación permitida y es
posible que deba actualizarse la directiva cada vez que se aplique
un Service Pack a un paquete de software.
39
Cap4-21.jpg
40
Cap4-22.jpg
41
que se ven afectados por las reglas de hash son los enumerados en la
sección Tipos de archivo designados del panel de detalles para las
directivas de restricción de software.
• Regla de certificado. Una regla de certificado especifica el certificado
firmado de una compañía de software. Por ejemplo, un administrador
puede exigir certificados firmados para todas las secuencias de
comandos y controles ActiveX. Una regla de certificado constituye una
manera segura de identificar aplicaciones, ya que utiliza los hashes
firmados, incluidos en la firma del archivo para encontrar archivos
coincidentes, independientemente de su nombre o su ubicación. Para
crear excepciones a una regla de certificado, puede utilizar una regla de
hash que las identifique.
• Regla de ruta. Una regla de ruta especifica una carpeta o una ruta de
acceso completa a un programa. Cuando la regla especifica una carpeta,
encuentra cualquier programa incluido en esa carpeta y los programas
incluidos en subcarpetas relacionadas. Las reglas de ruta admiten tanto
rutas locales como rutas UNC. El administrador debe definir en la regla de
ruta todos los directorios para iniciar una aplicación específica. Por
ejemplo, si el administrador ha creado un acceso directo en el escritorio
para iniciar una aplicación, debe tener acceso, en la regla de ruta el
usuario, a las rutas del archivo ejecutable y del acceso directo para poder
ejecutar la aplicación. Si se intenta ejecutar la aplicación con sólo una
pieza del puzzle, se desencadenará la advertencia de software
restringido. Muchas aplicaciones utilizan la variable %ProgramFiles%
para instalar archivos en la unidad de disco duro de equipos con Windows
XP Professional. Si se establece esta variable como otro directorio de una
unidad distinta, algunas aplicaciones seguirán copiando archivos al
subdirectorio C:\Archivos de programa original. Por tanto, se recomienda
mantener las reglas de ruta definidas con la ubicación predeterminada del
directorio.
• Regla de zona. Puede utilizar una regla de zona para identificar las
aplicaciones descargadas desde cualquiera de las siguientes zonas
definidas en Internet Explorer:
• Internet
• Intranet local
• Sitios restringidos
• Sitios de confianza
• Mi PC
La versión actual de la regla de zona de Internet se aplica únicamente a los
paquetes de Windows Installer (*.msi).
42
1. Abra el objeto de directiva de grupo correspondiente a la unidad
organizativa (OU) en la que desea aplicar la directiva de restricción de
software
2. Diríjase al nodo Configuración de equipo/Configuración de
Windows/Configuración de seguridad
3. Haga click con el botón secundario del mouse en Directivas de restricción
de software y, a continuación, haga click en Crear nuevas directivas
4. Configure reglas de hash, de certificado, de ruta y de zona de Internet
para adaptarse a las necesidades de su organización
43
Cap4-23.jpg
44
esperaba. Realizar pruebas de la configuración de nuevas
directivas antes de aplicarlas puede evitar un comportamiento
inesperado.
• No restrinja programas o archivos sin realizar pruebas para ver qué
efecto pueden tener. Las restricciones sobre determinados
archivos pueden afectar seriamente al funcionamiento del equipo o
de la red.
Cap4-24.jpg
45
• Los costos directos del brote de un virus son los costos que supone
recuperarse del mismo. Esto puede suponer bastante trabajo para el
personal interno de informática o para proveedores externos. El trabajo
puede consistir desde eliminar los daños creados por el virus hasta
recuperar los datos a partir de copias de seguridad, pasando por
reinstalar sistemas operativos y aplicaciones.
• Los costos indirectos del brote de un virus son menos tangibles. Algunas
organizaciones se han quedado sin correo electrónico o sistemas
empresariales fundamentales durante varias semanas tras el ataque de
un virus. Es difícil calcular el costo de estas pérdidas para una compañía,
pero en muchos casos ha llegado a millones de dólares.
Cap4-25.jpg
46
pueden implementar desde una consola de administración central. Puede
instalar el software mediante Active Directory o mediante la consola de
administración del proveedor. Los proveedores utilizan métodos de
distribución propietarios para la compatibilidad con versiones anteriores
de sistemas operativos Windows y otros sistemas que no son de
Microsoft. Las organizaciones medianas pueden encontrar estas
ediciones para empresas adecuadas a sus necesidades, pero pueden ser
demasiado complejas o costosas para empresas más pequeñas.
Cap4-26.jpg
47
el cual las definiciones se copian inmediatamente a los clientes. Por
desgracia, debido a la necesidad de la compatibilidad con clientes
heredados, muchos de los programas antivirus actuales se basan en un
modelo de extracción, mediante el cual los clientes comprueban si hay
actualizaciones cada varias horas.
• Equipos portátiles. También es importante tener en cuenta cómo se van a
actualizar los equipos portátiles cuando estén desconectados de la red
corporativa. Puesto que un nuevo virus puede penetrar fácilmente en un
equipo portátil mediante medios extraíbles o una conexión transitoria a
Internet, puede resultar conveniente que los equipos portátiles
descarguen las actualizaciones de los programas antivirus desde el sitio
de descarga del proveedor.
Cap4-27.jpg
48
• Permite implementar los programas antivirus en todos los clientes
administrados desde una ubicación central.
• Permite implementar las actualizaciones desde una ubicación
central.
• Utilice software específico para clientes en los equipos cliente. Los
programas antivirus diseñados para una versión anterior de Windows
pueden no funcionar correctamente en Windows 2000 Professional o en
Windows XP. Utilice siempre software diseñado para su ejecución en los
sistemas operativos de los equipos cliente en los que se va a
implementar.
49
Cap4-28.jpg
50
11.2. Servidor de seguridad de conexión a Internet
Cap4-29.jpg
51
realizar un seguimiento de la actividad del servidor de seguridad. Para
obtener más información, consulte el registro de seguridad de Servidor de
seguridad de conexión a Internet.
Limitaciones de ICF
• Sin filtrado del tráfico saliente. Esto significa que ICF no protege contra
los gusanos que inician tráfico saliente. Algunos gusanos recientes han
mostrado este comportamiento como medio para replicarse a sí mismos.
• Problemas de soporte técnico y software. La implementación de ICF en
clientes que están conectados a la red corporativa, puede causar
problemas importantes de soporte técnico y software, que es necesario
evaluar cuidadosamente. Por ejemplo, la habilitación de ICF impedirá el
funcionamiento de importantes herramientas de soporte técnico como
Microsoft Baseline Security Analyzer (MBSA) y detendrá herramientas de
distribución de software como Systems Management Server.
• Opciones de configuración limitadas. ICF cuenta actualmente con un
conjunto limitado de opciones de configuración, aunque esto se mejorará
en el Service Pack 2 de Windows XP. ICF en Windows XP se atiene a
NLA (Network Location Awareness) y se puede deshabilitar mediante
Active Directory o Directiva de grupo en Windows Server 2003. Los
usuarios portátiles no tienen que acordarse de habilitar o deshabilitar ICF
cuando estén de viaje. Pueden dejar ICF habilitado y estar protegidos
mientras están en casa o de viaje. En la oficina, Directiva de grupo puede
deshabilitar ICF siempre que un equipo se conecte a la red corporativa.
52
Cap4-30.jpg
53
costará nada descargar estos paquetes y decidir si alguno se adapta a
sus necesidades mejor que ICF.
Algunos problemas relacionados con las aplicaciones de terceros para
servidores de seguridad basados en host hacen que sean menos adecuados
para organizaciones grandes. Por ejemplo:
11.5. Recomendaciones
54
Cap4-31.jpg
• Solicite a los usuarios que habiliten ICF en todos los equipos cliente
cuando no estén conectados a la red de la organización. Esto protegerá
los equipos cliente cuando no estén conectados a la red o protegidos por
el servidor de seguridad de la red.
• Utilice secuencias de comandos para forzar a los equipos remotos a que
utilicen ICF para las conexiones VPN. Puede utilizar la característica
Cuarentena en VPN de Windows Server 2003 para su implementación.
Cuarentena en VPN de Windows Server 2003 permite inspeccionar la
configuración de un equipo cliente después de que haya establecido una
conexión VPN, pero antes de que se le permita el acceso a los equipos
de la red interna. Si se considera que la configuración del equipo cliente
no es segura, se cierra la conexión VPN.
• No implemente ICF en los equipos cliente que estén conectados
físicamente a la red corporativa. ICF podría interferir con comunicaciones
críticas de la intranet. Puede utilizar Directiva de grupo para deshabilitar
ICF, incluso si el usuario lo ha habilitado. Esta directiva se aplicará a los
equipos cuando estén conectados a la red, pero permitirá el uso de ICF
cuando no estén conectados a la red corporativa.
55
Cap4-33.jpg
• Politicas de Password
• Politicas de Seguridad
• Patching
• Antivirus
• Firewall
• Mínimo 8 Caracteres
• Debe cambiarlo cada 42 días
• Ningunas palabras debe encontrarla en el diccionario
• Sugerencia: Utilice “Pass Phrases”
• 2 palabras
• Numeros y/o simbolos
• Ejemplo: Go2Win32
1. Una Mayúscula
2. Una Letra Minúscula
3. Un número
56
4. Un símbolo
Cap4-34.jpg
57
• Para importar archivos de politicas
• Start Security Configuration and Analysis Snap-in Vacio
• Crear una nueva base de datos
• Importar la plantilla seleccionada
Después de que usted haya revisado la plantilla de la política, las deberá aplicar
utilizando Configuration and Analysis Snap-in. Usted tiene que agregar este
Snap-in a una Management Console de manera similar como agregó plantillas
de seguridad al Security Template add-in.
12.3. Patching
• Protege contra:
• Virus
• Gusanos
• Trojan Horses
• Otros Códigos Maliciosos
• Mantener actualizado con una suscripción
58
Un programa de software antivirus le ayudará a proteger su computadora contra
la mayoría de los virus, gusanos, Trojan horses y otros códigos maliciosos.
Muchas computadoras nuevas vienen con el software antivirus instalado. Sin
embargo, el software antivirus requiere una suscripción para mantenerlo
actualizado. Si usted no tiene una suscripción actual para estas actualizaciones,
es probable que su computadora sea vulnerable a las nuevas amenazas. Los
virus de computadora son programas que se cargan a su sistema sin su
conocimiento o aprobación. Los virus y otras formas de software malicioso han
estado apareciendo por años. Los virus de hoy pueden replicarse y utilizar los
programas de Internet y E-mail para esparcirse a través del mundo en pocas
horas.
12.5. Firewall
59
Internet. ICF es fácilmente configurable en el setup de red de Windows XP; el
Wizard detecta que su sistema está conectado directamente con Internet.
Paso1
a. Inicie sesión como administrador
b. Haga click en Start y click en Control Panel
c. En el Control Panel, haga doble click en Network Connections.
d. Haga click derecho en la conexión a asegurar.
e. Haga click en Properties y click en Advanced.
Paso2
60
• Buscar seminarios de aprendizaje en línea:
http://www.microsoft.com/latam/technet/evento/default.asp
• Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm
61