IMPLEMENTACIÓN DE LA SEGURIDAD DE CLIENTES EN WINDOWS 2000

Y XP

Cap4-32.jpg

1. Requisitos previos

• Experiencia práctica con las herramientas de administración de Windows

2000 o Windows XP
• Conocimientos de Active Directory y Directiva de grupo

2. Índice del capitulo

• Introducción
• Seguridad básica de los clientes
• Protección de clientes con Active Directory
• Uso de Directiva de grupo para la protección de clientes
• Protección de aplicaciones
• Configuración de directivas de grupo locales para clientes independientes
• Directiva de restricción de software
• Programas antivirus
• Servidores de seguridad para clientes
• Asegurando el Cliente
• Practica A: Administrando seguridad de clientes
• Preguntas
• Pasos siguientes
• Para obtener más información

3. Introducción

Nos centraremos en este capÍtulo en un asunto extremadamente importante y

altamente visible: Seguridad de clientes. Vamos específicamente a exponer los
puntos proporcionados en la guía Paso-a-Paso para asegurar Windows XP
Professional en redes pequeñas y medianas. Analizaremos los esfuerzos que ha
hecho Microsoft para asegurarse de que los productos entregados a los clientes
se puedan instalar por defecto en una manera altamente segura. También
analizaremos la seguridad de acuerdo al Trustworthy Computing Initiative.
Específicamente y en profundidad, veremos nueva Windows XP Security Guide,
la cual es parte de la instalación segura como pilar del Trustworthy Computing.

1
En este tema se presentarán los fundamentos de la seguridad de los clientes.
Específicamente se tratará:

• La importancia de la seguridad
• Estructura de organización de la seguridad

3.1. La importancia de la seguridad

Cap4-01.jpg

Las infracciones de seguridad pueden afectar a numerosas partes de una

compañía, incluidos los equipos cliente de la red. La protección de estos equipos
contra ataques puede ayudar a una organización en lo siguiente:

• Proteger la información. La información es fundamental para cualquier

compañía. Durante la realización de las tareas diarias se lee, crea,
modifica, quita y transporta información. Poner en peligro la información
puede perjudicar a la reputación y el balance financiero de una compañía.
Es necesario proteger la información en todo momento. Los sistemas
servidor se han convertido en grandes almacenes de información; por
tanto, la protección de la información se basa en la seguridad del servidor.
• Proteger los canales de información. Para facilitar una mayor
productividad en la comunicación empresarial, a menudo se crean

2
 canales para una amplia variedad de ubicaciones. Estos canales deben
estar siempre seguros para mantener la confidencialidad e integridad de
la información.
• Reducir el tiempo de inactividad. Los ataques a equipos cliente, ya sean
intencionados o accidentales, pueden causar una pérdida de servicio para
los usuarios afectados. Mientras los equipos cliente no estén disponibles,
es posible que la compañía vea perjudicada su reputación, sus ingresos,
o ambos. Un entorno cliente seguro protege contra este tipo de pérdidas.
• Proteger los ingresos. La productividad de los empleados constituye la
clave para mantener los ingresos. Si los empleados no pueden ser
productivos porque sus equipos cliente han sufrido un ataque, es posible
que los ingresos se vean afectados.
• Evitar daños a la reputación. Una vez aplicado, un entorno seguro protege
la reputación de la compañía al asegurar que los equipos cliente están
disponibles y funcionan correctamente. Esto permite a los empleados
realizar sus tareas diarias en el momento oportuno, manteniéndose así la
productividad.

En la encuesta sobre seguridad y delitos informáticos realizada por CSI/FBI

en el año 2003, en la que se entrevistaron a 530 especialistas en seguridad
informática de diversas corporaciones, agencias gubernamentales,
instituciones financieras, centros médicos y universidades de EE.UU., se
informó lo siguiente:

• El robo de información propietaria fue la causa de las mayores pérdidas

económicas. (Se perdieron 70.195.900 dólares, con un promedio de
pérdidas de unos 2,7 millones de dólares.)
• Los casos de virus (82%) y el abuso interno del acceso a la red (80%)
fueron los tipos de ataques o abusos más citados.
• El segundo delito informático con mayores pérdidas económicas, según
los encuestados, fue la denegación de servicio, que supuso unas
pérdidas de 65.643.300 dólares.

Cada nueva vulnerabilidad le presenta un nuevo desafío a Microsoft y a los

profesionales de sistemas (clientes). Cada nueva vulnerabilidad se ha
comparado con una carrera. Microsoft comienza inmediatamente el trabajo
sobre un patch de manera de frustrar rápidamente los deseos de explotar esa
vulnerabilidad. Si terminamos el patch, la etapa de test, el lanzamiento es
inmediato.

Como parte de la iniciativa Trustworthy computing se han realizado guías de

seguridad para asegurar al máximo los productos Microsoft y ayudarle a
mantener un entorno seguro.

3.2. Estructura de organización de la seguridad

3
 Cap4-02.jpg

• Para reducir al mínimo la posibilidad de que un ataque contra su

organización tenga éxito, debe utilizar el mayor número posible de niveles
de defensa.
• Defender su organización a fondo implica el uso de varios niveles de
defensa. Si un nivel se ve comprometido, ello no conlleva necesariamente
que también lo esté toda la organización. Como directriz general, diseñe y
cree cada nivel de la seguridad bajo el supuesto de que se ha conseguido
infringir su seguridad. Realice los pasos necesarios para proteger el nivel
en el que esté trabajando.
• Hay muchas formas de proteger cada nivel individual mediante
herramientas, tecnologías, directivas y la aplicación de las
recomendaciones. Por ejemplo:
• Nivel de directivas, procedimientos y concientización: programas
educativos de seguridad para los usuarios
• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento
• Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y creación de redes privadas virtuales con procedimientos
de cuarentena
• Nivel de red de Internet: segmentación de la red, Seguridad IP
(IPSec) y sistemas de detección de intrusos en la red

4
 • Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de actualizaciones,
métodos seguros de autenticación y sistemas de detección de
intrusos basados en hosts
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado

Este capitulo se centra en la protección de los equipos cliente que utilizan

Microsoft® Windows®. Los métodos y prácticas de seguridad descritos en este
capítulo se refieren principalmente a los niveles de aplicación y de host. No
obstante, es importante tener en cuenta que la seguridad de los clientes debe
formar parte únicamente de la estrategia de seguridad global de la organización.

4. Seguridad básica de los clientes

En este capítulo se tratarán los temas principales relacionados con la seguridad
de los clientes. Específicamente se tratará:

• Componentes de la seguridad de los equipos cliente

• Administración de las actualizaciones de software
• Recomendaciones sobre contraseñas
• Protección de los datos
• Equipos portátiles

4.1. Componentes de la seguridad de los equipos cliente

5
 Cap4-03.jpg

La seguridad de los clientes abarca diversos temas fundamentales:

• Actualizaciones de software. Mantenga actualizados los equipos cliente

con las actualizaciones de seguridad y los Service Pack más recientes.
• Recomendaciones sobre contraseñas. Proteja el acceso a los equipos
cliente mediante contraseñas seguras y la aplicación de las
recomendaciones para el uso general de contraseñas.
• Protección de los datos. Proteja los documentos y la información
confidencial mediante la implementación de una estrategia de copia de
seguridad, con tecnologías de cifrado y con la restricción del acceso
mediante métodos de autenticación adecuados.
• Seguridad de las aplicaciones. Reduzca los puntos vulnerables de las
aplicaciones mediante tecnologías de administración de la configuración,
como directivas de restricción de software, Directiva de grupo y
herramientas de implementación.
• Herramientas de administración de clientes. Utilice tecnologías de
administración de la seguridad, como el servicio de directorio Active
Directory®, plantillas de seguridad, procedimientos de cuarentena para
red y Directiva de grupo, para simplificar la implementación y la aplicación
de directivas de seguridad.

6
 • Equipos portátiles. Implemente directivas y tecnologías que ayuden a
proteger los dispositivos móviles, como equipos portátiles y asistentes
digitales personales (PDA), y que limiten los puntos vulnerables que
puedan aparecer al conectar estos dispositivos a bienes corporativos.
• Antivirus. Instale software antivirus y mantenga actualizados los archivos
de firmas como ayuda para la protección contra código malintencionado y
ataques a software.
• Servidores de seguridad. Instale y configure un servidor de seguridad de
hardware, de software o ambos, como Servidor de seguridad de conexión
a Internet (ICF).

La guía de seguridad de Windows XP provee tres escenarios: los clientes

enterprise, los clientes de seguridad alta y los clientes stand alone.

Clientes Enterprise
Los entornos enterprise se componen de un dominio de Windows 2000 o
Windows Server 2003 con Microsoft Active Directory®. Los clientes en este
entorno son administrados con Group Policy aplicada a containers, sites,
domains y Organizational Units (OUs). Group Policy provee un método
centralizado para administrar seguridad a traves del entorno.

Clientes de seguridad alta

El ambiente de seguridad alta consiste en elevar las configuraciones de
seguridad para el cliente. Cuando se aplican configuraciones de seguridad alta,
la funcionalidad de los usuarios se limita únicamente a las tareas necesarias
para cumplir con su trabajo. El acceso es limitado a programas aprobados,
servicios y entornos de infraestructura.

Entorno Stand – Alone

Los entornos stand – alone consisten en organizaciones que tienen algunas PC
´s, pero no las agrupan en entornos de dominio o esas computadoras son
miembros de dominios Windows NT 4.0 domain. Estos clientes tienen sus
configuraciones de seguridad usando Local Policy. La administración de
computadoras stand – alone puede ser considerablemente más complicada que
usar Active Directory, debido a la utilización de políticas centralizadas en un
dominio Active Directory.

La guía de seguridad de Windows XP es similar a la guía Windows 2003 Server,

utilizando plantillas de seguridad para crear Group Policy Objects que se aplican
a Organizational Units en Active Directory para asegurar computadoras cliente.

Adicionalmente a las plantillas de seguridad, se pueden utilizar las plantillas

administrativas para agregar seguridad anexa a componentes de Windows como
Internet Explorer, Windows Messenger y Terminal Server también, a programas
como Office XP.

7
La guía también hace uso de una nueva característica de la política llamada
Software Restriction Policies. Usando Software Restriction policies, usted puede
limitar el software que se puede utilizar en una computadora o bien bloquear
programas específicos que no podrán ser ejecutados.

Se recomienda no agregar a los usuarios al grupo local de administradores.

4.2. Administración de las actualizaciones de software

Cap4-04.jpg

• El establecimiento de una solución de administración de actualizaciones,

para administrar las actualizaciones de software, puede resultar
fundamental para mantener la seguridad de los equipos cliente. Microsoft
proporciona diversas herramientas y tecnologías que ayudan a
administrar las actualizaciones de software. La solución que elija
dependerá de las necesidades de su organización.
• Usuario independiente. Windows Update es la elección lógica.
Puede configurar Actualizaciones automáticas para extraer las
actualizaciones de un servidor de Servicios de actualización de
software (SUS, Software Update Services) o de Windows Update.
Considere la posibilidad de configurar actualizaciones automáticas
para comprobar diariamente si hay actualizaciones.

8
 • Pequeña empresa. Windows Update y SUS son las opciones
lógicas. Si dispone al menos de un equipo con Microsoft Windows
Server™ y un administrador de IT cualificado, debe elegir SUS. De
lo contrario, utilice Windows Update.
• Empresas grandes o medianas. SUS y Microsoft Systems
Management Server (SMS) son las opciones lógicas. Si necesita
una solución de administración de actualizaciones sencilla, aunque
algo limitada, elija SUS. Si desea una distribución de software
completa que incluya funciones de administración de
actualizaciones, elija SMS.

Nota: SUS sólo puede actualizar Windows 2000, Windows XP y Windows

Server 2003. Para otros sistemas operativos y para aplicaciones, utilice
Windows Update o procesos manuales.

• Para obtener más información acerca de la administración de

actualizaciones, actualizaciones de seguridad y descargas, visite el sitio
Web de Microsoft en
http://www.microsoft.com/technet/security/topics/patch/secpatch
• También es posible aplicar actualizaciones de software cuando se
implementan sistemas operativos en los equipos cliente. Para obtener
más información acerca de este proceso, consulte las siguientes notas del
producto:
• New Features and Design Changes in Windows Installer 2.0,
disponible en inglés, en
http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/wni
nstlr.asp
• Update.exe Command-Line Switches for Windows 2000 Service
Packs, disponible en inglés, en
http://support.microsoft.com/default.aspx?scid=kb;en-us;262839
• How to Apply the 824146 Security Patch to Your Windows
Preinstallation Environment, disponible en inglés, en
http://support.microsoft.com/default.aspx?scid=kb;en-us;828217

4.3. Recomendaciones sobre contraseñas

9
 Cap4-05.jpg

• Una de las formas más eficaces de garantizar el uso de buenas

contraseñas es adoctrinar a los usuarios sobre cómo pueden contribuir a
la seguridad global de la infraestructura.
• Anime a los usuarios a que utilicen como contraseñas, frases en lugar de
palabras sueltas. Lo ideal sería una frase que contuviera ocho caracteres
o más, con una combinación de letras en mayúsculas y minúsculas,
símbolos y números. Los usuarios no deben:

• Utilizar palabras individuales que puedan encontrarse en el

diccionario.
• Poner en mayúscula sólo la primera letra de una palabra.
• Agregar un número sólo delante o detrás de una palabra. “2Hawaii”
y “Before5” no son contraseñas eficaces porque están basadas en
palabras del diccionario y se pueden adivinar fácilmente.

• Anime a los usuarios a que utilicen distintas contraseñas para cada sitio
Web y aplicación. Los usuarios deben guardar las listas de contraseñas
en un lugar seguro. Si es necesario, pueden almacenar estas listas en
una carpeta cifrada de un equipo que tenga una contraseña muy segura.
(Existen soluciones de software de terceros para la administración segura
de contraseñas.)

10
 • Cuando dejen de utilizar una estación de trabajo cliente, los usuarios
deben utilizar el método abreviado de teclado: Tecla del logotipo de
Windows+L para bloquearla. Los usuarios deben utilizar también
protectores de pantalla con contraseña por si olvidan bloquear sus
equipos.
• Cuando se necesite una mayor seguridad, las organizaciones pueden
emplear la autenticación mediante varios factores, que requiere que los
usuarios escriban su nombre de usuario (quiénes son) y una contraseña
(algo que sólo conocen ellos), y también que utilicen algún tipo de
autenticación física. Esta autenticación física se puede realizar con una
tarjeta inteligente, un detector de iris o un lector de huellas digitales.
• Para obtener más información acerca del uso de tarjetas inteligentes para
la autenticación, consulte el documento Use Smart Cards to Enhance
Security, en inglés, en
http://www.microsoft.com/windowsxp/pro/evaluation/overviews/smartcards
.asp
• Para obtener más información y consejos acerca de las contraseñas,
consulte las siguientes notas del producto:
• Authoritative Security Guidance for the Enterprise, disponible en
inglés, en http://www.microsoft.com/technet/security/bestprac/
• 5-Minute Security Advisor - Choosing a Good Password Policy,
disponible en inglés, en
http://www.microsoft.com/technet/columns/security/5min/5min-
302.asp

Luego de implementar esta guía, sus usuarios requerirán mantener un password

complejo de al menos 8 caracteres, y deberán cambiar el password cada 42
días. Adicionalmente al cambio de passwords frecuente, el cambio más
productivo en seguridad es la implementación de strong passwords. Las
passwords débiles son el mayor riesgo de seguridad para cualquier
organización.

4.4. Protección de los datos

11
 Cap4-06.jpg

Puede proteger sus datos si aprovecha las funciones de protección de datos,

incluidas en las aplicaciones y los sistemas operativos de Microsoft.

• EFS (sistema de archivos de cifrado). Utilice EFS para mantener la

confidencialidad de los datos almacenados. Infraestructura de claves
públicas (PKI) es una característica de los sistemas operativos Windows
que permite a los usuarios cifrar archivos y carpetas en un disco de un
volumen NTFS para protegerlos frente al acceso por parte de intrusos.
• Certificados en el correo electrónico y las aplicaciones. La firma de los
mensajes de correo electrónico y el software ayuda a asegurar la
autenticidad. Una firma digital en un archivo o una aplicación, confirma
que el archivo procede de la entidad que lo firmó y que ninguna otra
persona ha modificado el código del archivo.

Microsoft Office 2003 utiliza la tecnología Authenticode®, que emplea

certificados digitales para firmar archivos o proyectos de macros. El
certificado confirma que el documento o la macro procede del firmante. La
firma corrobora que no ha sido modificado. Cuando establece el nivel de
seguridad de macros, puede ejecutar macros firmadas digitalmente por un
desarrollador incluidas en su lista de fuentes de confianza.

12
 • Information Rights Management (IRM). IRM es una tecnología para
archivos disponible en Office Professional Edition 2003, que permite al
usuario especificar permisos para los documentos. Puede establecer
directivas para tener un mayor control sobre quién puede abrir, copiar,
imprimir o reenviar información creada en Microsoft Office Word 2003,
Microsoft Office Excel 2003, Microsoft Office PowerPoint® 2003 y
Microsoft Office Outlook® 2003.

Para las compañías que no utilizan Office Professional Edition 2003, Microsoft
proporciona un visor de IRM gratuito (complemento Rights Management para
Microsoft Internet Explorer) para leer archivos protegidos. El visor de IRM sólo
funciona si el destinatario tiene permiso para leer el archivo. Para descargar el
visor, visite el sitio Web de Microsoft en
http://www.microsoft.com/windows/ie/downloads/addon

IRM se basa en la tecnología Rights Management Service (RMS) de Windows

Server 2003. Para obtener más información acerca de IRM, visite el sitio Web de
Microsoft en
http://www.microsoft.com/office/editions/prodinfo/technologies/irm.mspx

4.5. Equipos portátiles

Cap4-07.jpg

13
El robo de un dispositivo móvil y sus datos constituye una de las principales
preocupaciones cuando un equipo portátil no se encuentra dentro de los
límites de seguridad físicos de la compañía. Si se produce el robo, el
problema inicial de la pérdida de datos puede convertirse potencialmente en
la entrada de una persona no autorizada en la red, mediante una conexión
remota de acceso telefónico o de red inalámbrica.

Aplique las siguientes medidas para aumentar la seguridad de los

dispositivos móviles:

• Contraseñas para el sistema básico de entrada y salida (BIOS, Basic

Input/Output System). Esta característica de hardware es habitual en la
mayoría de los equipos portátiles. Requiere que el usuario escriba una
contraseña antes que el dispositivo inicie el sistema operativo. Si esta
característica está habilitada, proporciona un nivel adicional de seguridad
en caso de pérdida o robo del dispositivo.
• Control de cuarentena de acceso a la red. Esta nueva característica de la
familia Windows Server 2003 retrasa el acceso remoto normal a una red
privada hasta que una secuencia de comandos proporcionada por el
administrador haya examinado y validado la configuración del equipo de
acceso remoto. Cuando un equipo de acceso remoto inicia una conexión
a un servidor de acceso remoto, se autentica al usuario y se asigna una
dirección IP al equipo y, a continuación, se pone la conexión en modo de
cuarentena con acceso limitado a la red. La secuencia de comandos
proporcionada por el administrador se ejecuta en el equipo de acceso
remoto. Cuando la secuencia de comandos notifica al servidor de acceso
remoto que el equipo de acceso remoto cumple las directivas de red
actuales, se cancela el modo de cuarentena y se concede al equipo el
acceso remoto normal.
• Protocolo de autenticación extensible protegida (PEAP, Protected
Extensible Authentication Protocol). PEAP utiliza Seguridad en el nivel de
transporte (TLS, Transport Level Security) para crear un canal cifrado, a
través del cual se transmite la información cifrada entre un cliente PEAP
que realiza la autenticación, como un equipo inalámbrico, y un
autenticador PEAP, como un Servicio de autenticación de Internet, (IAS,
Internet Authentication Service). El canal cifrado mejora los protocolos
EAP y la seguridad de la red al:
• Proteger la negociación del método EAP que tiene lugar entre el
cliente y el servidor.
• Evitar ataques de denegación de servicio al servidor IAS.
• Reducir el retardo de tiempo entre la solicitud de autenticación por
parte de un cliente y la respuesta del servidor IAS o de Servicio de
usuario de acceso telefónico de autenticación remota (RADIUS,
Remote Authentication Dial-in User Service).

14
 • Utilidad Copia de seguridad. La utilidad Copia de seguridad ayuda a
proteger los datos contra la pérdida accidental si se produce un error en el
medio de almacenamiento o en el hardware del sistema. Por ejemplo,
puede utilizar Copia de seguridad para crear un duplicado de los datos del
disco duro y archivarlos después en otro dispositivo de almacenamiento.
Si se borran o sobrescriben accidentalmente los datos originales del disco
duro o si no es posible tener acceso a ellos debido a un error de
funcionamiento del disco duro, puede restaurar fácilmente los datos.

Para obtener más información acerca de cómo proteger dispositivos móviles,

consulte los siguientes recursos:

• 5-Minute Security Advisor - The Road Warrior's Guide to Laptop

Protection, disponible en inglés, en
http://www.microsoft.com/technet/columns/security/5min/5min-205.asp
• Mobile Computing with Windows XP, disponible en inglés, en
http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblxp.as
p
• Securing Mobile Computers with Windows XP Professional, disponible en
inglés, en
http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblsecx
p.asp
• Windows XP Security Guide, disponible en inglés, en
http://go.microsoft.com/fwlink/?LinkId=14839

Los administradores que deseen configurar redes LAN inalámbricas en su

empresa pueden visitar el sitio Web de Microsoft en
http://www.microsoft.com/technet/security/prodtech/win2003/pkiwire/swlan.as
p

5. Protección de clientes con Active Directory

En este tema se describirá la función de Active Directory en la protección de los

clientes de red. Específicamente se tratará:

• Componentes de Active Directory

• Definición de una jerarquía de OU para la administración y protección de
clientes
• Cómo crear una jerarquía de OU para la administración y protección de
clientes
• Recomendaciones para implementar la seguridad con Active Directory

5.1. Definición de una jerarquía de OU para la administración y

protección de clientes

15
 Cap4-08.jpg

Puede simplificar la administración y la seguridad de los equipos cliente si

utiliza Directiva de grupo para aplicar la configuración de seguridad a estos
equipos. Puede utilizar unidades organizativas para agrupar los equipos
cliente de diversos departamentos, lo que le permitirá aplicar distintas
configuraciones de seguridad a los equipos de cada departamento.

• Con unidades organizativas puede crear contenedores en un dominio que

representen las estructuras jerárquicas lógicas de la organización. A
continuación, puede administrar la configuración y el uso de las cuentas y
los recursos según el modelo organizativo utilizado.
• Como se muestra en la diapositiva, las unidades organizativas pueden
contener a su vez otras unidades organizativas. Puede extender la
jerarquía de los contenedores según sea necesario para modelar la
jerarquía de la organización dentro de un dominio. Las unidades
organizativas ayudan a reducir el número de dominios necesarios para la
red.
• Puede utilizar unidades organizativas para crear un modelo administrativo
que se puede escalar a cualquier tamaño. Un usuario puede tener
autoridad administrativa sobre todas las unidades organizativas de un
dominio o sobre una única unidad organizativa. No es necesario que el
administrador de una unidad organizativa tenga autoridad administrativa
sobre otras unidades organizativas del dominio.

16
En la Windows XP Security Guide se presenta un modelo de jerarquía
distribuida. Como se ilustra en la diapositiva, este modelo detecta que la
configuración de los usuarios y los equipos es diferente, y divide los objetos
en unidades organizativas (OU) distintas. Este diseño coincide a menudo con
el modelo administrativo de una organización que tiene distribuido el soporte
técnico entre la administración de clientes y la administración de usuarios y
grupos. No obstante, se puede modificar este diseño como sea necesario
para adaptarlo a las necesidades de la organización.

5.2. Cómo crear una jerarquía de OU para la administración y protección

de clientes

1. Cree las OU de cada departamento

2. En cada departamento, cree las OU para los usuarios y las distintas
versiones del sistema operativo
3. En la OU de cada sistema operativo, cree una OU para cada tipo de
equipo (por ejemplo, los equipos portátiles)
4. Mueva cada objeto de equipo cliente a la OU adecuada

Estas instrucciones describen cómo crear una jerarquía de unidades

organizativas (OU) para permitir la aplicación de Directiva de grupo a equipos
cliente. A continuación se muestran los pasos generales para crear una
estructura de OU. Modifique estos pasos según sea necesario para
adaptarlos a las necesidades de su organización.

Para crear una jerarquía de unidades organizativas:

1. Cree las OU de cada departamento.

2. En cada departamento, cree OU para los usuarios y para las
distintas versiones del sistema operativo, como Windows XP y
Windows 2000. Si todos los equipos cliente ejecutan Windows XP,
no es necesario crear una OU para Windows 2000. Estas OU se
utilizarán para aplicar la configuración de directivas de grupo a los
equipos cliente. Puesto que sólo los equipos cliente con Windows
2000 y Windows XP admiten Directiva de grupo, no es necesario
crear OU para otros sistemas operativos. Como Windows 2000
Professional no admite toda la configuración de directivas de grupo
que admite Windows XP, se recomienda crear OU distintas para
cada sistema operativo con el fin de simplificar la administración de
los equipos cliente.
3. En la OU de cada sistema operativo, cree una OU para cada tipo
de equipo que necesite una configuración de seguridad individual,
como los equipos portátiles y los equipos de escritorio. Según el

17
 entorno, podrían ser necesarias más OU para los equipos cliente
agrupados por otros motivos; por ejemplo, una OU para los
equipos cliente que se conectan a la red mediante una conexión de
red privada virtual (VPN).
4. Mueva cada objeto de equipo cliente a la OU adecuada.
5. Después de mover todos los equipos a las OU adecuadas, puede
crear y configurar objetos de directiva de grupo para cada OU que
aplicarán la configuración de seguridad adecuada a los equipos
incluidos en la OU.

5.3. Recomendaciones para implementar la seguridad con Active

Directory

Cap4-09.jpg

• Diseñe una estructura de unidades organizativas (OU) para crear una

implementación de Directiva de grupo que se aplique a todas las
estaciones de trabajo incluidas en Active Directory. Asegúrese que la
implementación cumple las normas de seguridad de su organización.
• También debe diseñar una estructura de OU que proporcione la
configuración de seguridad adecuada para determinados tipos de
usuarios de la organización. Por ejemplo, es posible que se permita a los
desarrolladores realizar acciones en sus estaciones de trabajo que a los
usuarios normales no se les permite. Los usuarios de equipos portátiles
también pueden tener requisitos de seguridad ligeramente distintos a los
de los usuarios de equipos de escritorio.
• Para cada OU que contenga equipos cliente, cree y configure objetos de
directiva de grupo (GPO) con la configuración de seguridad adecuada
para los equipos cliente contenidos en dicha OU. Por ejemplo, quizás

18
 desee definir una configuración para los equipos portátiles, distinta de la
configuración para los equipos de escritorio, ya que los equipos portátiles
a menudo no se encuentran físicamente en las oficinas y pueden
conectarse a la red mediante vínculos de comunicación no seguros.

6. Uso de Directiva de grupo para la protección de clientes

En este tema se describirá el uso de directivas para la protección de clientes.

Específicamente se tratará:

• Uso de plantillas de seguridad

• Uso de plantillas administrativas
• Qué son las opciones de seguridad
• Las ocho opciones más importantes sobre la seguridad de los clientes
• Cómo aplicar plantillas de seguridad y plantillas administrativas
• Recomendaciones para la protección de clientes con Active Directory

6.1. Uso de plantillas de seguridad

• Las plantillas de seguridad son conjuntos preconfigurados de opciones de

seguridad
• Las plantillas que contiene la Windows XP Security Guide son:
• Dos plantillas de dominios con opciones para todos los equipos del
dominio
• Dos plantillas que contienen opciones para los equipos de
escritorio
• Dos plantillas que contienen opciones para los equipos portátiles
• Cada plantilla tiene una versión para equipos corporativos y otra versión
para equipos de alta seguridad
• Las opciones de una plantilla de seguridad
se pueden modificar, guardar e importar
a un GPO

La Windows XP Security Guide incluye tres tipos de plantillas:

• Plantillas de dominios. Estas plantillas contienen la configuración de

seguridad aplicada a todos los usuarios y equipos del dominio.
• Plantillas de equipos de escritorio. Estas plantillas contienen la
configuración que se puede aplicar a los equipos de escritorio conectados
directamente a una red.

19
• Plantillas de equipos portátiles. Estas plantillas contienen la configuración
destinada a afrontar los desafíos de seguridad impuestos por la
portabilidad de los equipos portátiles.

Cada plantilla se proporciona en una versión para equipos corporativos y otra

versión para equipos de alta seguridad:

• Los equipos cliente corporativos suelen residir en dominios de Active

Directory de Windows 2000 o Windows Server 2003. Estos clientes se
administran mediante la aplicación de Directiva de grupo a contenedores,
sitios, dominios y unidades organizativas.
• Los equipos cliente de alta seguridad son aquellos que requieren una
configuración de seguridad elevada. En este caso, la funcionalidad de los
usuarios está limitada a determinadas funciones que son necesarias
únicamente para las tareas que deben realizar. El acceso está limitado a
las aplicaciones, servicios y entornos de infraestructura autorizados.

Estas plantillas se pueden utilizar sin necesidad de modificarlas si la

configuración que contienen es adecuada para el entorno de red. Con el
complemento Plantillas de seguridad puede modificar una plantilla para
adaptarla a las necesidades de su organización. Después de configurar
correctamente una plantilla, puede importarla a un GPO que se aplique al
dominio o a una OU específica del dominio. Puede utilizar la Consola de
administración de directivas de grupo para modificar los GPO e importar
plantillas de seguridad a los GPO.

6.2. Uso de plantillas administrativas

20
 Cap4-10.jpg

Las plantillas administrativas contienen opciones del Registro que se pueden

aplicar a usuarios (subárbol del Registro HKEY_Current_User) y a equipos
(subárbol del Registro HKEY_Local_Machine).

• Windows Server 2003 incluye un conjunto de plantillas administrativas

que admiten equipos con Windows Server 2003, Windows XP
Professional y Windows 2000.
• Las plantillas del Service Pack 1 de Windows XP contienen más de 850
opciones.
• La Windows XP Security Guide contiene 10 plantillas administrativas para
la configuración de opciones para las aplicaciones de Office.
• Los proveedores de aplicaciones de terceros pueden incluir plantillas
adicionales en sus paquetes de software.

Es posible importar plantillas adicionales a un GPO.

6.3. Qué son las opciones de seguridad

21
 Cap4-11.jpg

Las opciones de seguridad se implementan mediante Directiva de grupo.

Algunas opciones, como la directiva de contraseñas, sólo se pueden
establecer en el nivel de dominio. Otras opciones se pueden establecer en el
nivel de dominio, de sitio o de unidad organizativa (OU). Las opciones de
seguridad forman parte de cada objeto de directiva de grupo. Algunas
opciones son:

• Directiva de contraseñas de cuentas: el uso de contraseñas complejas,

que cambian con frecuencia, reduce las posibilidades de que los ataques
a contraseñas consigan sus propósitos.
• Directiva de bloqueo de cuentas: esta directiva bloquea la cuenta de un
usuario después de un número determinado de intentos fallidos de inicio
de sesión, en el período de tiempo especificado.
• Directiva de auditoria: esta directiva determina qué sucesos de seguridad
se graban en el registro de seguridad.
• Registro de sucesos: este registro se utiliza para grabar los sucesos del
sistema. El registro de seguridad contiene sucesos de auditoria. El
contenedor Registro de sucesos de Directiva de grupo se utiliza para
definir atributos, como el tamaño máximo del registro, los derechos de
acceso para cada registro y las opciones de período de retención y los
métodos.

22
• Sistema de archivos: establece listas de control de acceso para archivos y
carpetas.
• Directivas IPSec: estas directivas permiten especificar filtros IPSec,
acciones de filtrado y reglas de filtrado para todo el tráfico TCP/IP del
equipo.
• Configuración del Registro: permite configurar determinadas opciones del
Registro para todos los equipos a los que afecta la directiva, así como
impedir que se modifiquen esas opciones.
• Grupos restringidos: permite impedir que se agreguen usuarios a
determinados grupos de seguridad de Windows 2000, Windows XP
Professional y Windows Server 2003.
• Opciones de seguridad: estas opciones permiten habilitar o deshabilitar
aspectos como la firma digital de datos, los nombres de las cuentas de
administrador y de invitado, los métodos de autenticación de control, el
comportamiento de instalación de controladores y los inicios de sesión.
• Restricción de software: las directivas de restricción de software permiten
especificar el software que se puede ejecutar y el que no se puede
ejecutar en un equipo cliente mediante diversas reglas, incluyendo reglas
de hash, de ruta, de zona y de certificado.
• Servicios del sistema: esta opción establece la configuración
predeterminada de estado de inicio y de seguridad para los servicios.
• Asignación de derechos de usuario: estas opciones determinan las
operaciones del sistema que pueden realizar los usuarios.

Importante: tenga en cuenta que cualquier servicio o aplicación constituye

un posible punto de ataque. Por tanto, deben deshabilitarse o quitarse del
entorno los servicios o los archivos ejecutables que no sean necesarios.

6.4. Las ocho opciones más importantes sobre la seguridad de los

clientes

Entre las opciones de seguridad de los equipos cliente que se modifican con
más frecuencia se incluyen:

• Permitir formatear y expulsar medios extraíbles

• No permitir enumeraciones anónimas de cuentas SAM
• Habilitar la auditoria
• Dejar que los permisos de Todos se apliquen a los usuarios anónimos
• Nivel de autenticación de LAN Manager
• Directiva de contraseñas
• No almacenar valor de hash de LAN Manager en el próximo cambio de
contraseña
• Opciones de firma SMB para los equipos cliente

23
Con el fin de asegurar un entorno de clientes de escritorio de alta seguridad,
siga estas recomendaciones para las opciones de seguridad de los equipos
cliente que se modifican con más frecuencia:

• Permitir formatear y expulsar medios extraíbles. Permita realizar esta

tarea sólo al grupo Administradores. No obstante, quizás desee cambiar
esta opción para permitir realizar esta tarea a otros usuarios, si estos no
son administradores de sus equipos.
• No permitir enumeraciones anónimas de cuentas SAM. Habilite esta
opción.
• Nivel de autenticación de LAN Manager. Esta opción ofrece, a su vez,
varias opciones. Para un entorno de clientes de escritorio de alta
seguridad, establezca la opción Enviar sólo respuesta NT Lan Manager,
versión 2\\rechazar Lan Manager y NT Lan Manager.
• Directiva de contraseñas. La configuración recomendada para la directiva
de contraseñas de un cliente de escritorio de alta seguridad es la
siguiente:

• Forzar el historial de contraseñas

24 contraseñas recordadas
• Vigencia máxima de la contraseña
42 días
• Vigencia mínima de la contraseña
2 días
• Longitud mínima de la contraseña
8 caracteres
• Las contraseñas deben cumplir los requerimientos de complejidad
Habilitada

• Habilitar la auditoría. La mayoría de los entornos implementan algún tipo

de configuración de auditoría personalizada.
• Dejar que los permisos de Todos se apliquen a los usuarios anónimos.
Deshabilite esta opción.
• No almacenar valor de hash de LAN Manager en el próximo cambio de
contraseña. Habilite esta opción.
• Opciones de firma SMB para los equipos cliente. Estas opciones ayudan
a hacer fracasar ataques con intermediario. Las opciones con su
configuración recomendada para un entorno de clientes de escritorio de
alta seguridad son las siguientes:
• Cliente de redes de Microsoft: firmar digitalmente las
comunicaciones (siempre) - Deshabilitada
• Cliente de redes de Microsoft: firmar digitalmente las
comunicaciones (si el servidor lo permite) - Habilitada
• Servidor de red Microsoft: firmar digitalmente las comunicaciones
(siempre) - Habilitada

24
 • Servidor de red Microsoft: firmar digitalmente las comunicaciones
(si el servidor lo permite) - Habilitada

6.5. Cómo aplicar plantillas de seguridad y plantillas administrativas

Cap4-12.jpg

Para aplicar plantillas de seguridad y plantillas administrativas en los clientes

mediante Directiva de grupo:

1. En la Consola de administración de directivas de grupo, abra el objeto de

directiva de grupo correspondiente al dominio o unidad organizativa (OU)
donde desea aplicar la plantilla administrativa o de seguridad.
2. Para importar una plantilla de seguridad, diríjase a Configuración de
equipo/Configuración de Windows, haga click con el botón secundario del
mouse (ratón) en el nodo Configuración de seguridad, seleccione Importar
directiva y, a continuación, busque la ubicación que contenga la plantilla
de seguridad adecuada (por ejemplo, Nivel de seguridad alto – Equipo
portátil).
3. Para importar una plantilla administrativa, diríjase al nodo Configuración
de equipo/Plantillas administrativas o el nodo Configuración de
usuario/Plantillas administrativas, haga click con el botón secundario del
mouse en Plantillas administrativas, haga click en Agregar o quitar
plantillas y, a continuación, busque la ubicación que contiene la plantilla
administrativa que desea importar.

25
4. Configure otras opciones administrativas y de seguridad adicionales para
adaptarse a las necesidades de su organización, y cierre el Editor de
objetos de directiva de grupo.

Pueden aplicarse plantillas administrativas y plantillas de seguridad en

muchos niveles dentro de la jerarquía de Active Directory, incluidos los
siguientes:

• Dominio: para las opciones de seguridad que se apliquen a todos los

usuarios y equipos del dominio de Active Directory, puede aplicar
opciones o importar la plantilla de seguridad a un GPO en el nivel de
dominio.
• OU de departamento: puesto que los requisitos de seguridad varían a
menudo dentro de una organización, puede tener sentido crear distintas
OU para los departamentos del entorno. La configuración de seguridad
departamental puede aplicarse mediante un GPO a los equipos y
usuarios en sus OU de departamento respectivas.
• OU de usuarios protegidos de Windows XP: esta OU contiene las cuentas
de los usuarios que participan tanto en el entorno de clientes corporativos
como en el entorno de alta seguridad. Las opciones que se aplican a esta
OU se describen con más detalle en la Windows XP Security Guide.
• OU de Windows XP: esta OU contiene OU secundarias para cada tipo de
cliente Windows XP del entorno. En este capitulo se proporcionan
consejos para clientes portátiles y de escritorio. (Para obtener más
información, consulte la Windows XP Security Guide.) Por este motivo se
han creado una OU de equipos de escritorio y una OU de equipos
portátiles.
• OU de equipos de escritorio: esta OU contiene los equipos de escritorio
que están conectados constantemente a la red corporativa. Las opciones
que se aplican a esta OU se describen en este capitulo. (Para obtener
más información, consulte la Windows XP Security Guide.)
• OU de equipos portátiles: esta OU contiene los equipos portátiles de
usuarios móviles que no siempre están conectados a la red corporativa.

6.6. Recomendaciones para la protección de clientes con Active

Directory

26
 Cap4-13.jpg

Tenga en cuenta las recomendaciones siguientes cuando utilice plantillas de

seguridad y plantillas administrativas para proteger los equipos cliente de la
red de su organización:

• Utilice como referencia las plantillas para clientes corporativos que se

incluyen con la Windows XP Security Guide y modifíquelas para
adaptarlas a las necesidades de su organización. Respecto a las
opciones de seguridad para la organización, es importante que tenga en
cuenta un equilibro óptimo entre la seguridad y la productividad de los
usuarios. El objetivo es proteger a los usuarios contra programas y virus
peligrosos, al tiempo que se proporciona un entorno seguro. Esto permite
a los usuarios realizar su trabajo sin que vean frustrados sus esfuerzos
debido a una seguridad demasiado restrictiva.
• Implemente directivas estrictas de cuentas y de auditoría en el nivel de
dominio. Utilice como base la plantilla Cliente corporativo - Dominio y
modifíquela según sea necesario.
• Pruebe siempre concienzudamente la configuración de las plantillas
administrativas y de seguridad antes de aplicarlas a un gran número de
usuarios y equipos de la organización. Una configuración que parece
adecuada puede no funcionar bien en su entorno.
• Consulte el sitio Web de Microsoft y póngase en contacto con los demás
proveedores de software para obtener otras plantillas administrativas.

27
 Microsoft proporciona plantillas administrativas para muchos de sus
productos, incluidos Office e Internet Explorer.

7. Protección de aplicaciones

En este tema se describirá la protección de aplicaciones. Específicamente se

tratará:

• Internet Explorer
• Zonas de Internet Explorer
• Microsoft Outlook
• Microsoft Office
• Recomendaciones para la protección de aplicaciones

7.1. Internet Explorer

Cap4-14.jpg

• Las plantillas administrativas de Internet Explorer ayudan a exigir

requisitos de seguridad para las estaciones de trabajo con Windows XP y
a evitar el intercambio de contenido no deseado mediante el explorador.

28
 Siga estos criterios para proteger Internet Explorer en las estaciones de
trabajo de su entorno:

• Asegúrese de que las solicitudes a Internet se producen

únicamente como respuesta directa a acciones de los usuarios.
• Compruebe que la información enviada a determinados sitios Web
sólo llega a éstos, a menos que se permitan acciones concretas de
los usuarios para transmitir información a otros destinos.
• Asegúrese de que se identifican claramente los canales de
confianza a servidores y sitios, así como los propietarios de los
servidores y los sitios de cada canal.
• Compruebe que cualquier secuencia de comandos o programa que
utiliza Internet Explorer se ejecuta en un entorno restringido. Los
programas transmitidos mediante canales de confianza pueden
habilitarse para su uso fuera del entorno restringido.

7.2. Zonas de Internet Explorer

Cap4-15.jpg

En Internet Explorer puede configurar opciones de seguridad para varias

zonas de seguridad integradas: Internet, Intranet local, Sitios de confianza y

29
Sitios restringidos. La configuración recomendada para mejorar la seguridad
en Internet Explorer es la siguiente:

• La zona Mi PC (a veces llamada Equipo local) no se muestra de forma

predeterminada en la interfaz de usuario. La seguridad de esta zona se
establece como Alta de forma predeterminada. Esta zona está destinada
a contenido que se encuentra en el equipo local.
• Para la zona Internet, establezca el nivel de seguridad como Alta.
• Para la zona Sitios de confianza, establezca el nivel de seguridad como
Media, que permite explorar muchos sitios de Internet.
• Para la zona Intranet local, establezca el nivel de seguridad como Media
baja, que permite la transmisión automática de las credenciales del
usuario (nombre y contraseña) a sitios y aplicaciones que las necesiten.
• Para la zona Sitios restringidos, establezca el nivel de seguridad como
Alta.

Nota: todos los sitios de Internet y de intranet se asignan a la zona Internet

de forma predeterminada. <11>.

7.3. Microsoft Outlook

• Utilice el Outlook Administrator Pack para personalizar la seguridad de

Outlook
• Utilice la plantilla administrativa de Outlook para configurar la seguridad
de Outlook
• Mejoras en la seguridad de Outlook 2003
• Avisa al usuario antes de abrir tipos de archivos potencialmente
peligrosos
• Ejecuta contenido ejecutable en la zona Sitios restringidos
• No carga automáticamente contenido HTML

Si su organización utiliza Outlook 98, Outlook 2000, Outlook 2002 u Office

Outlook 2003 con un servidor que tiene seguridad de servidor, como
Microsoft Exchange Server, puede personalizar las funciones de seguridad
para adaptarlas a las necesidades de su organización.

• Puede utilizar el Outlook Administrator Pack para controlar los tipos de

archivos adjuntos que bloquea Outlook, modificar las notificaciones de
advertencia del Modelo de objetos de Outlook y especificar niveles de
seguridad para usuarios o grupos. El Outlook Administrator Pack se
incluye en el conjunto de herramientas del Kit de recursos de Office.
Puede descargar las herramientas de
http://www.microsoft.com/office/ork/2003/tools/ddl/default.htm

30
• Utilice la plantilla administrativa de Outlook para configurar opciones de
seguridad para los equipos cliente, mediante Directiva de grupo o
Directiva de grupo local. Puede configurar varias opciones de esta
plantilla para personalizar la seguridad de Outlook para su entorno.
• Outlook 2003 ofrece varias mejoras en seguridad, entre ellas:

• Avisa al usuario antes de abrir tipos de archivos potencialmente

peligrosos.
• Ejecuta contenido ejecutable en la zona Sitios restringidos.
• Utiliza controles de correo no deseado para reducir el correo no
solicitado.
• No carga automáticamente contenido HTML.
• Impide que otras aplicaciones tengan acceso a las libretas de
direcciones.
• Proporciona interfaces de programación de aplicaciones (API) para
impedir la ejecución de software.

7.4. Microsoft Office

Cap4-16.jpg

• Antes de poder tener acceso a las opciones de las plantillas

administrativas para Office XP, debe utilizar primero el Editor de objetos
de directiva de grupo para aplicar las plantillas. Por ejemplo, para Office

31
 XP debe agregar el archivo Office10.adm a Plantillas administrativas en el
Editor de objetos de directiva de grupo, antes de configurar las opciones
correspondientes a Office XP.
• Para Office 97 y versiones posteriores, las plantillas están disponibles con
el Kit de recursos de Office. Las plantillas para Office XP se proporcionan
también con la Windows XP Security Guide.
• La siguiente lista contiene todos los archivos de plantillas administrativas
para Office XP. El archivo de plantilla Office10.adm contiene todas las
opciones para los programas y las funciones que se enumeran en la
Windows XP Security Guide. Los demás archivos de plantillas contienen
opciones de la interfaz de usuario (UI).

Access10.adm: Microsoft Access 2002

Excel10.adm: Microsoft Excel 2002
Fp10.adm: Microsoft FrontPage® 2002
Gal10.adm: Galería multimedia de Microsoft Office XP
Instlr11.adm: Windows Installer 1.1
Ppt10.adm: Microsoft PowerPoint 2002
Pub10.adm: Microsoft Publisher 2002
Office10.adm: componentes compartidos de Office XP
Outlk10.adm: Microsoft Outlook 2002
Word10.adm: Microsoft Word 2002

7.5. Recomendaciones para la protección de aplicaciones

Cap4-17.jpg

32
Tenga en cuenta las recomendaciones siguientes para proteger las aplicaciones
de los equipos cliente existentes en la red de la organización:

• Adoctrine a los usuarios sobre cómo descargar archivos de Internet y

abrir datos adjuntos de correo electrónico de forma segura. Asegúrese de
que los usuarios configuran correctamente las zonas en Outlook, de
manera que las secuencias de comandos y el contenido activo no se
ejecuten en los mensajes de correo electrónico HTML desde la zona
Internet. Los usuarios no deben abrir datos adjuntos que no estén
esperando, aunque procedan de usuarios de confianza.
• Instale únicamente las aplicaciones que necesitan los usuarios para
realizar su trabajo. Cada aplicación instalada puede suponer más puntos
vulnerables. Para limitar el número de puntos vulnerables en los equipos
cliente, instale sólo las aplicaciones que necesitan los usuarios para
realizar las tareas que requieren sus trabajos.
• Implemente una directiva para actualizar las aplicaciones. Mantener
actualizadas las aplicaciones con revisiones de seguridad, es tan
fundamental como mantener actualizado el sistema operativo.

8. Configuración de directivas de grupo locales para clientes

independientes

En este tema se tratarán los clientes de Windows independientes.

Específicamente se tratará:

• Configuración de directivas de grupo locales

• Plantillas de seguridad predefinidas
• Cómo utilizar la directiva de seguridad local para la protección de clientes
independientes
• Recomendaciones para aplicar la configuración de directivas de grupo
locales

8.1. Configuración de directivas de grupo locales

33
 Cap4-18.jpg

• La administración de equipos con Windows XP Profesional, que no sean

miembros de un dominio basado en Active Directory, supone varios
desafíos. Por ejemplo, en un dominio heredado de Microsoft Windows
NT® 4.0, los clientes de Windows XP se tratan como equipos
independientes. Este entorno sufre una mayor carga de trabajo
administrativo porque no hay ninguna ubicación central para la
administración de la configuración de seguridad.
• Los administradores pueden utilizar Directiva de grupo local para
configurar los equipos cliente independientes que ejecuten Windows XP
Professional y Windows 2000 Professional. Puede utilizar la consola
preconfigurada Gpedit.msc de Microsoft Management Console (MMC)
para modificar las directivas de grupo locales en equipos individuales o
bien puede utilizar Secedit.exe y secuencias de comandos para
automatizar el proceso de aplicar esta configuración a varios equipos.
• Los clientes de Windows XP que son independientes o pertenecen
a un entorno de dominio heredado utilizan una versión modificada
de las plantillas de seguridad.
• Cada sistema operativo Windows XP Professional cuenta con un
GPO local. La configuración se aplica manualmente al objeto de
directiva de grupo local con el Editor de objetos de directiva de

34
 grupo o mediante secuencias de comandos. Los objetos de
directiva de grupo locales contienen menos opciones que los GPO
basados en dominios, especialmente en Configuración de
seguridad.
• Windows XP Professional agrega más opciones a Directiva de grupo local
que las versiones anteriores de Windows; una ventaja que le permite
personalizar mejor la configuración de los usuarios y los equipos. Existen
cientos de opciones nuevas para Windows XP Professional, además de
las que ya estaban disponibles para Windows 2000 Professional. Esta
eficaz característica de administración permite bloquear y configurar con
precisión el equipo de escritorio, lo que ofrece la posibilidad de tener
muchos escenarios personalizados diferentes.
• Los objetos de directiva de grupo locales (LGPO) no admiten el
redireccionamiento de carpetas, el servicio de instalación remota ni la
instalación de software con Directiva de grupo cuando están configurados
como clientes independientes. Las directivas locales pueden utilizarse
para proporcionar un entorno operativo seguro en clientes
independientes. En la lista siguiente se describen las extensiones del
complemento Directiva de grupo que se abren cuando hay seleccionado
un LGPO en Directiva de grupo.

• Plantillas administrativas: Sí
• Mantenimiento de Internet Explorer: Sí
• Secuencias de comandos: Sí
• Configuración de seguridad: Sí
• Redireccionamiento de carpetas: No
• Servicio de instalación remota: No
• Instalación de software: No

8.2. Plantillas de seguridad predefinidas

35
 Cap4-19.jpg

La Windows XP Security Guide contiene varias plantillas que pueden

utilizarse para proteger clientes independientes.

• Clientes heredados. Si los clientes necesitan conectarse a un dominio

de Windows NT 4.0, no es posible utilizar las plantillas de seguridad
estándar. Para comunicarse con un controlador de dominio de
Windows NT 4.0, deshabilite las siguientes opciones para los clientes
de Windows XP: Configuración de equipo\Configuración de
Windows\Configuración de seguridad\Directivas locales\Opciones de
seguridad - Miembro de dominio: requiere clave de sesión protegida
(Windows 2000 o más reciente)
• Plantillas independientes. Puede obtener secuencias de comandos y
plantillas de ejemplo para equipos independientes en la Windows XP
Security Guide en \Windows XP Security Guide\Tools and
Templates\Security Guide\Stand Alone Clients.

8.3. Cómo utilizar la directiva de seguridad local para la protección de

clientes independientes

36
1. Cargue la MMC de Directiva de grupo local (Gpedit.msc)
2. Diríjase a Configuración de equipo/Configuración de Windows, haga click
con el botón secundario del mouse en el nodo Configuración de seguridad
y seleccione Importar directiva.
3. Diríjase a la ubicación que contenga la plantilla de seguridad adecuada
(por ejemplo, Cliente de alta seguridad heredado: escritorio)
4. Configure opciones de seguridad adicionales según los consejos
preceptivos

Para proteger equipos cliente independientes:

1. Cargue la MMC de Directiva de grupo local (Gpedit.msc).

2. Diríjase a Configuración de equipo/Configuración de Windows, haga click
con el botón secundario del mouse en el nodo Configuración de seguridad
y seleccione Importar directiva.
3. Diríjase a la ubicación que contenga la plantilla de seguridad adecuada
(por ejemplo, Cliente de alta seguridad heredado: escritorio).
4. Configure opciones de seguridad adicionales según los consejos
preceptivos.

8.4. Recomendaciones para aplicar la configuración de directivas de

grupo locales

Cap4-20.jpg

37
Cuando aplique la configuración de directivas de grupo locales a clientes
independientes, tenga en cuenta las siguientes recomendaciones:

• Utilice como referencia las plantillas independientes administrativas y

de seguridad que se incluyen con la Windows XP Security Guide, y
modifíquelas para adaptarlas a las necesidades de su organización.
• Puede automatizar la aplicación de directivas de grupo locales
mediante la ejecución de la herramienta secedit.exe desde el símbolo
del sistema, un archivo de proceso por lotes o un programador de
tareas automático. También puede ejecutar la herramienta de forma
dinámica desde el símbolo del sistema.
• La herramienta secedit.exe resulta útil cuando se debe configurar
la seguridad en varios equipos.
• Las secuencias de comandos que se proporcionan con la Windows
XP Security Guide emplean la utilidad secedit.exe para combinar y
aplicar la directiva local al cliente.
• Desarrolle y documente los procedimientos para implementar la
configuración de directivas de grupo en clientes independientes.
Asegúrese de mantener actualizados estos procedimientos.
• Desarrolle estándares y procedimientos para poder aplicar de nuevo la
configuración a clientes independientes cuando la modifique en las
plantillas.

9. Directiva de restricción de software

En este tema se tratarán las directivas de restricción de software.

Específicamente se analizará:

• Qué es una directiva de restricción de software

• Cómo funcionan las restricciones de software
• Cuatro reglas para la identificación del software
• Cómo aplicar restricciones de software
• Recomendaciones para aplicar directivas de restricción de software

9.1. Qué es una directiva de restricción de software

• Mecanismo controlado mediante directivas que identifica y controla las

aplicaciones en los equipos cliente
• El nivel de seguridad predeterminado tiene dos opciones:
• Irrestricto: se pueden ejecutar todas las aplicaciones, excepto
aquellas denegadas en forma específica
• Restringido: sólo se pueden ejecutar las aplicaciones permitidas de
forma específica

38
• Las directivas de restricción de software ofrecen a los administradores un
mecanismo, controlado mediante directivas, para identificar el software y
controlar su posibilidad de ejecución en equipos cliente. Las directivas de
restricción de software forman parte de la estrategia de administración y
seguridad de Microsoft para ayudar a las empresas a aumentar la
confiabilidad, integridad y facilidad de administración de sus equipos.
• Las directivas de restricción de software son una de las muchas
características de administración nuevas en Windows XP y Windows
Server 2003. Las directivas de restricción de software pueden utilizarse
para:
• Combatir virus.
• Regular los controles ActiveX® que se pueden descargar.
• Ejecutar sólo secuencias de comandos, firmadas digitalmente.
• Comprobar que únicamente hay instaladas aplicaciones
autorizadas en los equipos.
• Bloquear equipos.
• Las restricciones de software pueden configurarse mediante dos reglas
predeterminadas diferentes. Una directiva de restricción de software
consta de una regla predeterminada y una lista de excepciones a esa
regla. Las dos reglas son:
• Irrestricto: esta regla permite ejecutar todas las aplicaciones,
excepto aquellas identificadas de forma específica como
excepciones a la regla. Los paquetes de software identificados no
se pueden ejecutar. Esta directiva permite a los usuarios instalar
nuevos programas, pero también permite a un administrador
bloquear los programas no deseados e impedir su ejecución en los
equipos cliente. Cuando se identifica un nuevo virus u otro paquete
de software no deseado, el administrador puede actualizar
inmediatamente la directiva para incluirlo e impedir que se ejecute
en los equipos cliente. No obstante, es necesario que los usuarios
reinicien el equipo o que cierren la sesión, e inicien una nueva para
que se implemente la nueva directiva de restricción de software.
• Restringido: esta regla no permite ejecutar ninguna aplicación en el
equipo cliente, excepto aquellas identificadas de forma específica
como excepciones a la regla. Los paquetes de software
identificados son los únicos que se pueden ejecutar en los equipos
cliente a los que afecta la directiva. Esta directiva se recomienda
únicamente para entornos con un nivel de seguridad muy alto o
entornos bloqueados. Puede ser difícil de administrar, ya que se
debe identificar individualmente cada aplicación permitida y es
posible que deba actualizarse la directiva cada vez que se aplique
un Service Pack a un paquete de software.

9.2. Cómo funcionan las restricciones de software

39
 Cap4-21.jpg

Las directivas de restricción de software se integran perfectamente con

Active Directory y Directiva de grupo. También pueden utilizarse en equipos
independientes mediante Directiva de grupo local. El proceso funciona de la
siguiente manera:

1. Un administrador utiliza el complemento de MMC Directiva de grupo para

crear la directiva para un sitio, dominio o unidad organizativa de Active
Directory.
2. La directiva se descarga y se aplica a un equipo. Las directivas de usuario
se aplican la próxima vez que un usuario inicie sesión. Las directivas de
equipo se aplican cuando se inicia un equipo.
3. Cuando un usuario inicia un programa o una secuencia de comandos, el
sistema operativo o el host de secuencias de comandos comprueba la
directiva y la aplica.

9.3. Cuatro reglas para la identificación del software

40
 Cap4-22.jpg

Las reglas de una directiva de restricción de software identifican si se permite

o no la ejecución de una aplicación. Cuando se crea una regla, primero se
identifica la aplicación. A continuación, se identifica la aplicación como una
excepción a la opción predeterminada Irrestricto o Restringido. Cada regla
puede incluir comentarios para describir su finalidad. El motor de aplicación
incluido en Windows XP, consulta las reglas de la directiva de restricción de
software antes de permitir la ejecución de un programa. Una directiva de
restricción de software utiliza estas cuatro reglas para identificar aplicaciones:

• Regla de hash. Un hash es una huella que identifica de forma única un

programa o un archivo ejecutable, aunque se cambie su ubicación o su
nombre. De esta manera, los administradores pueden utilizar un hash
para hacer un seguimiento de una versión concreta de un archivo
ejecutable o un programa que no desean que ejecuten los usuarios. Éste
puede ser el caso si un programa tiene puntos vulnerables en la
seguridad o la privacidad, o puede poner en peligro la estabilidad del
sistema. Con una regla de hash, los programas siguen siendo
identificables de forma única porque la regla está basada en un cálculo
cifrado que incluye el contenido del archivo. Los únicos tipos de archivo

41
 que se ven afectados por las reglas de hash son los enumerados en la
sección Tipos de archivo designados del panel de detalles para las
directivas de restricción de software.
• Regla de certificado. Una regla de certificado especifica el certificado
firmado de una compañía de software. Por ejemplo, un administrador
puede exigir certificados firmados para todas las secuencias de
comandos y controles ActiveX. Una regla de certificado constituye una
manera segura de identificar aplicaciones, ya que utiliza los hashes
firmados, incluidos en la firma del archivo para encontrar archivos
coincidentes, independientemente de su nombre o su ubicación. Para
crear excepciones a una regla de certificado, puede utilizar una regla de
hash que las identifique.
• Regla de ruta. Una regla de ruta especifica una carpeta o una ruta de
acceso completa a un programa. Cuando la regla especifica una carpeta,
encuentra cualquier programa incluido en esa carpeta y los programas
incluidos en subcarpetas relacionadas. Las reglas de ruta admiten tanto
rutas locales como rutas UNC. El administrador debe definir en la regla de
ruta todos los directorios para iniciar una aplicación específica. Por
ejemplo, si el administrador ha creado un acceso directo en el escritorio
para iniciar una aplicación, debe tener acceso, en la regla de ruta el
usuario, a las rutas del archivo ejecutable y del acceso directo para poder
ejecutar la aplicación. Si se intenta ejecutar la aplicación con sólo una
pieza del puzzle, se desencadenará la advertencia de software
restringido. Muchas aplicaciones utilizan la variable %ProgramFiles%
para instalar archivos en la unidad de disco duro de equipos con Windows
XP Professional. Si se establece esta variable como otro directorio de una
unidad distinta, algunas aplicaciones seguirán copiando archivos al
subdirectorio C:\Archivos de programa original. Por tanto, se recomienda
mantener las reglas de ruta definidas con la ubicación predeterminada del
directorio.
• Regla de zona. Puede utilizar una regla de zona para identificar las
aplicaciones descargadas desde cualquiera de las siguientes zonas
definidas en Internet Explorer:
• Internet
• Intranet local
• Sitios restringidos
• Sitios de confianza
• Mi PC
La versión actual de la regla de zona de Internet se aplica únicamente a los
paquetes de Windows Installer (*.msi).

9.4. Cómo aplicar restricciones de software

42
1. Abra el objeto de directiva de grupo correspondiente a la unidad
organizativa (OU) en la que desea aplicar la directiva de restricción de
software
2. Diríjase al nodo Configuración de equipo/Configuración de
Windows/Configuración de seguridad
3. Haga click con el botón secundario del mouse en Directivas de restricción
de software y, a continuación, haga click en Crear nuevas directivas
4. Configure reglas de hash, de certificado, de ruta y de zona de Internet
para adaptarse a las necesidades de su organización

Para aplicar una directiva de restricción de software:

1. Abra el objeto de directiva de grupo correspondiente a la unidad

organizativa (OU) en la que desea aplicar la directiva de restricción
de software.
2. Diríjase al nodo Configuración de equipo/Configuración de
Windows/Configuración de seguridad.
3. Haga click con el botón secundario del mouse en Directivas de
restricción de software y, a continuación, haga click en Crear
nuevas directivas.
4. Configure reglas de hash, de certificado, de ruta y de zona de
Internet para adaptarse a las necesidades de su organización.

9.5. Recomendaciones para aplicar directivas de restricción de software

43
 Cap4-23.jpg

Cuando aplique la configuración de directivas de restricción de software a

equipos cliente, tenga en cuenta las siguientes recomendaciones:

• Cree un plan para deshacer cambios antes de crear una directiva de

restricción de software. Esto le permitirá volver a la configuración anterior
si la directiva de restricción de software causa problemas en el entorno.
• Administre la directiva de restricción de software mediante GPOs
independientes y la personalización posterior de cada directiva para
adaptarse a las necesidades de los diversos grupos de usuarios y
equipos de la organización. Microsoft no recomienda intentar administrar
los grupos de usuarios en un entorno independiente. Si se aplica
correctamente, la directiva de restricción de software mejorará la
integridad y la facilidad de administración y al final reducirá el costo de
propiedad y mantenimiento de los sistemas operativos en los equipos de
la organización.
• Si crea un GPO independiente para la configuración de la directiva,
puede deshabilitarlo en caso de emergencia sin que ello afecte al
resto de la configuración de seguridad.
• Si no modifica la directiva predeterminada, siempre tiene la
posibilidad de volver a aplicarla.
• Utilice directivas de restricción de software junto con permisos de NTFS
para proporcionar una defensa a fondo. Los usuarios pueden intentar
eludir las restricciones cambiando el nombre o la ubicación de los
archivos ejecutables. Puede ayudar a evitar que esto ocurra si utiliza,
para los archivos ejecutables, permisos de NTFS que sólo permitan a los
usuarios autorizados el acceso a los archivos de las aplicaciones.
• Nunca vincule un GPO a otro dominio. Esto puede perjudicar el
rendimiento.
• Pruebe exhaustivamente la configuración de nuevas directivas en
entornos de prueba antes de aplicarlas al dominio. Esta configuración
puede no funcionar como se esperaba. Las pruebas reducen las
posibilidades de que se produzcan problemas al implementar la
configuración de las directivas a través de la red.
• Puede configurar un dominio de prueba, separado del dominio de
la organización, en el que probar la configuración de nuevas
directivas.
• También puede realizar pruebas de la configuración de una
directiva si crea un GPO de prueba y lo vincula a una OU. Cuando
haya probado concienzudamente la configuración de la directiva
con usuarios de prueba, puede vincular el GPO de prueba al
dominio.
• Errores tipográficos o información escrita incorrectamente pueden
causar que la configuración de una directiva no funcione como se

44
 esperaba. Realizar pruebas de la configuración de nuevas
directivas antes de aplicarlas puede evitar un comportamiento
inesperado.
• No restrinja programas o archivos sin realizar pruebas para ver qué
efecto pueden tener. Las restricciones sobre determinados
archivos pueden afectar seriamente al funcionamiento del equipo o
de la red.

10. Programas antivirus

En este tema se tratarán los programas antivirus. Específicamente se tratará:

• El problema de los virus

• Implementación de programas antivirus
• Actualizaciones de programas antivirus
• Recomendaciones para la protección contra virus

10.1. El problema de los virus

Cap4-24.jpg

Numerosas personas del sector de la seguridad han calculado en más de

10000 millones de dólares los costos atribuidos a brotes de virus este último
año.

45
• Los costos directos del brote de un virus son los costos que supone
recuperarse del mismo. Esto puede suponer bastante trabajo para el
personal interno de informática o para proveedores externos. El trabajo
puede consistir desde eliminar los daños creados por el virus hasta
recuperar los datos a partir de copias de seguridad, pasando por
reinstalar sistemas operativos y aplicaciones.
• Los costos indirectos del brote de un virus son menos tangibles. Algunas
organizaciones se han quedado sin correo electrónico o sistemas
empresariales fundamentales durante varias semanas tras el ataque de
un virus. Es difícil calcular el costo de estas pérdidas para una compañía,
pero en muchos casos ha llegado a millones de dólares.

10.2. Implementación de programas antivirus

Cap4-25.jpg

• Implementación individual. Para usuarios individuales y organizaciones

muy pequeñas, pueden adquirirse productos antivirus independientes e
instalarlos en cada cliente de Windows XP.
• Implementación de la instalación de software con Directiva de grupo. Las
organizaciones pequeñas y medianas pueden utilizar la instalación de
software basada en Directiva de grupo para implementar programas
antivirus.
• Implementación centralizada de software. La mayoría de los proveedores
de programas antivirus disponen de productos para empresas que se

46
 pueden implementar desde una consola de administración central. Puede
instalar el software mediante Active Directory o mediante la consola de
administración del proveedor. Los proveedores utilizan métodos de
distribución propietarios para la compatibilidad con versiones anteriores
de sistemas operativos Windows y otros sistemas que no son de
Microsoft. Las organizaciones medianas pueden encontrar estas
ediciones para empresas adecuadas a sus necesidades, pero pueden ser
demasiado complejas o costosas para empresas más pequeñas.

10.3. Actualizaciones de programas antivirus

Cap4-26.jpg

El tiempo que transcurre entre la detección inicial de un virus y su distribución

generalizada suele ser breve, principalmente debido a las rápidas
capacidades de distribución del correo electrónico o la autorreplicación. Por
eso es fundamental distribuir la actualización de las definiciones de virus a
los clientes en cuanto esté disponible en el proveedor.

• Equipos de escritorio. Para los clientes que están conectados siempre a

la red corporativa, la solución ideal es descargar las actualizaciones de
las definiciones de virus a los servidores de la red local y distribuirlas a los
clientes desde allí. La mejor solución es un modelo de inserción, mediante

47
 el cual las definiciones se copian inmediatamente a los clientes. Por
desgracia, debido a la necesidad de la compatibilidad con clientes
heredados, muchos de los programas antivirus actuales se basan en un
modelo de extracción, mediante el cual los clientes comprueban si hay
actualizaciones cada varias horas.
• Equipos portátiles. También es importante tener en cuenta cómo se van a
actualizar los equipos portátiles cuando estén desconectados de la red
corporativa. Puesto que un nuevo virus puede penetrar fácilmente en un
equipo portátil mediante medios extraíbles o una conexión transitoria a
Internet, puede resultar conveniente que los equipos portátiles
descarguen las actualizaciones de los programas antivirus desde el sitio
de descarga del proveedor.

10.4. Recomendaciones para la protección contra virus

Cap4-27.jpg

Al implementar programas antivirus en la red, tenga en cuenta las siguientes

recomendaciones:
• Aplique las actualizaciones del proveedor periódicamente,
preferiblemente cada día. Los programas antivirus no actualizados no
protegerán a los equipos cliente contra virus que hayan sido identificados
después de instalar el programa. Para mantener el máximo nivel de
protección contra ataques de virus, es fundamental mantener
actualizados los programas antivirus en los equipos cliente.
• Si es posible, aplique una estrategia de implementación centralizada.
Una estrategia de implementación centralizada para los programas
antivirus ofrece muchas ventajas:

48
 • Permite implementar los programas antivirus en todos los clientes
administrados desde una ubicación central.
• Permite implementar las actualizaciones desde una ubicación
central.
• Utilice software específico para clientes en los equipos cliente. Los
programas antivirus diseñados para una versión anterior de Windows
pueden no funcionar correctamente en Windows 2000 Professional o en
Windows XP. Utilice siempre software diseñado para su ejecución en los
sistemas operativos de los equipos cliente en los que se va a
implementar.

11. Servidores de seguridad para clientes

En este tema se analizarán los servidores de seguridad para clientes.

Específicamente se tratará:

• La necesidad de utilizar servidores de seguridad

• Servidor de seguridad de conexión a Internet
• Software de servidor de seguridad de terceros
• Cómo habilitar Servidor de seguridad de conexión a Internet
• Recomendaciones

11.1. La necesidad de utilizar servidores de seguridad

49
 Cap4-28.jpg

• Clientes de LAN. Los servidores de seguridad son un elemento

fundamental para mantener protegidos los equipos conectados en red.
Todos los equipos merecen la protección de un servidor de seguridad, ya
formen parte de la red de una de las compañías incluidas en la lista
Fortune 500, se trate del equipo portátil de un agente de ventas que se
conecta a la red inalámbrica de una cafetería o del nuevo equipo de su
abuela con una conexión de acceso telefónico a Internet. Los gusanos y
los virus, que inician la mayoría de los ataques, suelen encontrar sus
objetivos aleatoriamente. Como resultado, incluso las organizaciones con
poca o ninguna información confidencial, necesitan servidores de
seguridad para proteger sus redes contra estos atacantes automatizados.
• Equipos de escritorio con conexiones mediante módem. Si no protege la
conexión de módem con un servidor de seguridad, el equipo de escritorio
será vulnerable a contenido malintencionado. Si el equipo de escritorio
está conectado en red, la amenaza se puede extender a todos los demás
equipos de la red. Los módems necesitan un servidor de seguridad ICF o
un servidor de seguridad de terceros.
• Clientes portátiles. Sin un servidor de seguridad personal o individual, los
clientes portátiles no están protegidos porque no se encuentran detrás del
servidor de seguridad.

50
11.2. Servidor de seguridad de conexión a Internet

Cap4-29.jpg

Servidor de seguridad de conexión a Internet (ICF) se considera un servidor

de seguridad eficaz. Para evitar que el tráfico no solicitado del lado público
de la conexión penetre en el lado privado. ICF mantiene una tabla de todas
las comunicaciones que se han originado en este equipo:

• Seguimiento y comparación del tráfico. Cuando se utiliza junto con

Conexión compartida a Internet (ICS), ICF realiza un seguimiento de todo
el tráfico procedente del equipo de ICF/ICS y de todo el tráfico procedente
de los equipos de la red privada. ICF compara todo el tráfico entrante de
Internet con las entradas de la tabla. ICF permite que el tráfico entrante
de Internet llegue a los equipos de la red, sólo cuando haya una entrada
coincidente en la tabla que muestre que el intercambio de comunicación
procede del equipo o de la red privada.
• Protección contra las amenazas de Internet. Para frustrar intentos de
ataque comunes (como la exploración de puertos), el servidor de
seguridad cierra las comunicaciones que proceden de Internet. En lugar
de enviar notificaciones a menudo, ICF crea un registro de seguridad para

51
 realizar un seguimiento de la actividad del servidor de seguridad. Para
obtener más información, consulte el registro de seguridad de Servidor de
seguridad de conexión a Internet.

Limitaciones de ICF

• Sin filtrado del tráfico saliente. Esto significa que ICF no protege contra
los gusanos que inician tráfico saliente. Algunos gusanos recientes han
mostrado este comportamiento como medio para replicarse a sí mismos.
• Problemas de soporte técnico y software. La implementación de ICF en
clientes que están conectados a la red corporativa, puede causar
problemas importantes de soporte técnico y software, que es necesario
evaluar cuidadosamente. Por ejemplo, la habilitación de ICF impedirá el
funcionamiento de importantes herramientas de soporte técnico como
Microsoft Baseline Security Analyzer (MBSA) y detendrá herramientas de
distribución de software como Systems Management Server.
• Opciones de configuración limitadas. ICF cuenta actualmente con un
conjunto limitado de opciones de configuración, aunque esto se mejorará
en el Service Pack 2 de Windows XP. ICF en Windows XP se atiene a
NLA (Network Location Awareness) y se puede deshabilitar mediante
Active Directory o Directiva de grupo en Windows Server 2003. Los
usuarios portátiles no tienen que acordarse de habilitar o deshabilitar ICF
cuando estén de viaje. Pueden dejar ICF habilitado y estar protegidos
mientras están en casa o de viaje. En la oficina, Directiva de grupo puede
deshabilitar ICF siempre que un equipo se conecte a la red corporativa.

11.3. Software de servidor de seguridad de terceros

52
 Cap4-30.jpg

ICF está diseñado para proporcionar la prevención básica contra intrusos. No

incluye características que a menudo se encuentran en aplicaciones de
servidor de seguridad de terceros, como la capacidad de protección contra
programas que pudieran invadir su privacidad o permitir el uso incorrecto del
equipo por parte de un atacante.

• Reglas. ICF permite toda la comunicación saliente, mientras que la

mayoría de los productos de terceros necesitan reglas para permitir un
determinado tráfico saliente. Las reglas se pueden agregar manualmente
o, en algunos casos, se pueden crear automáticamente cuando la
aplicación cliente inicia la solicitud saliente.
• Capacidad de personalización. Muchas aplicaciones de servidor de
seguridad de terceros permiten especificar las aplicaciones que pueden
tener acceso a Internet y preguntarán al usuario si desea permitir o
denegar el tráfico de aplicaciones no autorizadas anteriormente.
• Algunos productos conocidos para servidores de seguridad basados en
host son: ZoneAlarm, Tiny Personal Firewall, Agnitum Outpost Firewall,
Kerio Personal Firewall y BlackICE PC Protection de Internet Security
Systems. La mayoría de las aplicaciones de servidor de seguridad basado
en host están disponibles en versiones gratuitas o de prueba. No le

53
 costará nada descargar estos paquetes y decidir si alguno se adapta a
sus necesidades mejor que ICF.
Algunos problemas relacionados con las aplicaciones de terceros para
servidores de seguridad basados en host hacen que sean menos adecuados
para organizaciones grandes. Por ejemplo:

• Es necesario asegurarse que las reglas están configuradas

correctamente; al agregar una regla incorrecta se podría perder la ventaja
de tener instalada la aplicación.
• Puede ser necesario un gran número de reglas si un usuario tiene acceso
a un gran número de sistemas internos.
• La mayoría de los productos de terceros carecen de mecanismos de
concientyización de ubicación.

11.4. Cómo habilitar Servidor de seguridad de conexión a Internet

1. Abra el Panel de control y seleccione Conexiones de red

2. Haga click con el botón secundario del mouse en la conexión que desea
proteger y, a continuación, haga click en Propiedades
3. Haga click en la ficha Avanzadas y active la casilla de verificación
Proteger mi equipo y mi red, limitando o impidiendo el acceso
a él desde Internet
4. Configure la ficha Configuración para abrir los puertos de los servicios
que se ejecutan en el equipo (por ejemplo, Escritorio remoto)

Para habilitar el Servidor de seguridad de conexión a Internet en Windows

XP:

1. Abra el Panel de control y haga click en Conexiones de red.

2. Haga click con el botón secundario del mouse en la conexión que desea
proteger y, a continuación, haga click en Propiedades.
3. Haga click en la ficha Avanzadas y active la casilla de verificación
Proteger mi equipo y mi red, limitando o impidiendo el acceso a él desde
Internet.
4. Configure la ficha Configuración para abrir los puertos de los servicios
que se ejecutan en el equipo (por ejemplo, Escritorio remoto).

11.5. Recomendaciones

54
 Cap4-31.jpg

Tenga en cuenta estas recomendaciones cuando utilice una solución de servidor

de seguridad distribuido para la protección de los equipos cliente.

• Solicite a los usuarios que habiliten ICF en todos los equipos cliente
cuando no estén conectados a la red de la organización. Esto protegerá
los equipos cliente cuando no estén conectados a la red o protegidos por
el servidor de seguridad de la red.
• Utilice secuencias de comandos para forzar a los equipos remotos a que
utilicen ICF para las conexiones VPN. Puede utilizar la característica
Cuarentena en VPN de Windows Server 2003 para su implementación.
Cuarentena en VPN de Windows Server 2003 permite inspeccionar la
configuración de un equipo cliente después de que haya establecido una
conexión VPN, pero antes de que se le permita el acceso a los equipos
de la red interna. Si se considera que la configuración del equipo cliente
no es segura, se cierra la conexión VPN.
• No implemente ICF en los equipos cliente que estén conectados
físicamente a la red corporativa. ICF podría interferir con comunicaciones
críticas de la intranet. Puede utilizar Directiva de grupo para deshabilitar
ICF, incluso si el usuario lo ha habilitado. Esta directiva se aplicará a los
equipos cuando estén conectados a la red, pero permitirá el uso de ICF
cuando no estén conectados a la red corporativa.

12. Asegurando el Cliente

55
 Cap4-33.jpg

• Politicas de Password
• Politicas de Seguridad
• Patching
• Antivirus
• Firewall

12.1. Politicas de Password

• Mínimo 8 Caracteres
• Debe cambiarlo cada 42 días
• Ningunas palabras debe encontrarla en el diccionario
• Sugerencia: Utilice “Pass Phrases”
• 2 palabras
• Numeros y/o simbolos
• Ejemplo: Go2Win32

Deben consistir en por lo menos un carácter que resuelva 3 de estos 4 criterios:

1. Una Mayúscula
2. Una Letra Minúscula
3. Un número

56
 4. Un símbolo

Para facilitarle la tarea a sus usuarios, le puede sugerir el uso de “palabras

frase”, símbolos y números que sean fáciles de recordar pero difíciles de romper.
Como ejemplo, hace varios años cuando nos movíamos desde un ambiente de
16 Bit a un ambiente de 32 Bit, Go2Win32.

12.2. Politicas de seguridad

• Revision de las políticas (ver Capitulo 5 en Securing Windows XP

Security guide & the Threats and Countermeasures guide para
detalles)
• Revisar y/o editar archivos de políticas usando el Security Template
Snap-in.

Cap4-34.jpg

Antes de implementar las políticas de seguridad recomendadas en el capítulo 5

de la guía Securing Windows XP, todas las configuraciones de las plantillas de
seguridad contenidas en la guía deben ser analizadas y probadas en un
ambiente de prueba. Usted puede también repasar la documentación de las
configuraciones contenidas en la guía de amenazas y contramedidas.

La herramienta usada para revisar y corregir plantillas de seguridad se llama

Security Templates snap-in. Para utilizar el snap-in debe agregarlo a una
Microsoft Management Console. Usted puede iniciar una instancia vacía de la
management console, escribiendo mmc en línea de comandos o desde el
comando run del start menu.

57
 • Para importar archivos de politicas
• Start Security Configuration and Analysis Snap-in Vacio
• Crear una nueva base de datos
• Importar la plantilla seleccionada

Después de que usted haya revisado la plantilla de la política, las deberá aplicar
utilizando Configuration and Analysis Snap-in. Usted tiene que agregar este
Snap-in a una Management Console de manera similar como agregó plantillas
de seguridad al Security Template add-in.

El paso siguiente para asegurar su computadora es configurar la seguridad

built.in. Los detalles con respecto a esta tarea se incluyen en la guía de
Seguridad de Windows XP.

12.3. Patching

• Use Windows Update

• Haga Click en Start -> Windows Update
• Siga las instrucciones para instalar la herramienta de exploración.
• Instale los updates

Su sistema operativo Windows XP incluye la herramienta Automatic Updates.

Cnn ella puede descargar automáticamente las actualizaciones e instalarlas.
Para ello debe estar conectado a Internet.

• Configurar Automatic Updates

• Click Start -> Settings -> Control Panel
• Double click System
• Click the Automatic Updates tab.
• Click the box next to “Keep my Computer up to date. With this
setting enabled, Windows Update software may be automatically
updated prior to applying any other updates.”

12.4. Utilice software Antivirus

• Protege contra:
• Virus
• Gusanos
• Trojan Horses
• Otros Códigos Maliciosos
• Mantener actualizado con una suscripción

58
Un programa de software antivirus le ayudará a proteger su computadora contra
la mayoría de los virus, gusanos, Trojan horses y otros códigos maliciosos.
Muchas computadoras nuevas vienen con el software antivirus instalado. Sin
embargo, el software antivirus requiere una suscripción para mantenerlo
actualizado. Si usted no tiene una suscripción actual para estas actualizaciones,
es probable que su computadora sea vulnerable a las nuevas amenazas. Los
virus de computadora son programas que se cargan a su sistema sin su
conocimiento o aprobación. Los virus y otras formas de software malicioso han
estado apareciendo por años. Los virus de hoy pueden replicarse y utilizar los
programas de Internet y E-mail para esparcirse a través del mundo en pocas
horas.

El software Antivirus explora continuamente su computadora para detectar los

virus y removerlos. La instalación de software antivirus soluciona solamente una
parte del problema - mantener los archivos de firma del antivirus actualizados es
crítico para mantener una computadora de escritorio o una computadora portátil
seguras.

12.5. Firewall

• Evita los ataques a su computadora a través de Internet

• Configurado para permitir ciertas actividades.
• Web Browsing
• Email
• Compartir archivos
• Utilice Internet Connection Firewall para clientes.
• Utilice una solución de Software o Hardware para una red.

Un firewall de Internet puede prevenir ataques a su computadora desde Internet.

Los Firewalls vienen en dos formas, software o hardware, y proporcionan un
límite protector que ayuda de pantalla a invasores indeseados de Internet.

El firewall puede detectar trafico malicioso de Internet como hackers, gusanos, y

ciertos tipos de virus antes de que puedan causar problemas en su sistema.
Además, los firewalls pueden ayudar a que su computadora no participe en
ataques contra otros sin su conocimiento.

Usar un firewall es especialmente importante si usted está conectado siempre

con Internet, como si tiene un broadband cable o digital subscriber line (DSL o
ADSL).

La funcionalidad Microsoft Internet Connection Firewall (ICF) está incluida en

Windows XP para ayudar a proteger una su conexión de sistema o de red a

59
Internet. ICF es fácilmente configurable en el setup de red de Windows XP; el
Wizard detecta que su sistema está conectado directamente con Internet.

13. Practica A: Administrando seguridad de clientes

Ejercicio 1: Habilitando ICF

Como administrador de seguridad, usted debe asegurarse que todas las

computadoras en su red que tengan conexión directa a Internet estén protegidas
con ICF.

Paso1
a. Inicie sesión como administrador
b. Haga click en Start y click en Control Panel
c. En el Control Panel, haga doble click en Network Connections.
d. Haga click derecho en la conexión a asegurar.
e. Haga click en Properties y click en Advanced.

Paso2

a. En el tab Advanced seleccione el cuadro Internet Connection Firewall.

b. Haga click en Settings.
c. Seleccione el cuadro Remote Desktop.
d. Presione dos veces en OK.

Su conexión ha sido protegida por ICF y solamente se ha habilitado el servicio

de Escritorio Remoto. Opcionalmente, usted puede utilizar un software de scan
de puertos para comprobar el funcionamiento de ICF. Le recomendamos Retina
(http://www.eeye.com/html/Products/Retina/index.html).

14. Pasos siguientes

1) Mantenerse informado sobre la seguridad

• Suscribirse a boletines de seguridad:

http://www.microsoft.com/security/security_bulletins/alerts2.asp
(este sitio está en inglés)
• Obtener las directrices de seguridad de Microsoft
más recientes: http://www.microsoft.com/technet/security/bestprac/
(este sitio está en inglés)

2) Obtener programas adicionales de aprendizaje sobre seguridad

60
 • Buscar seminarios de aprendizaje en línea:
http://www.microsoft.com/latam/technet/evento/default.asp
• Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/mspress/latam/default.htm

15. Para obtener más información

• Sitio de seguridad de Microsoft (todos los usuarios):

http://www.microsoft.com/latam/seguridad/
• Sitio de seguridad de TechNet (profesionales de IT):
http://www.microsoft.com/latam/technet/seguridad/default.asp
• Sitio de seguridad de MSDN (desarrolladores):
http://msdn.microsoft.com/security (este sitio está en inglés)

61