Upload
eduarda-meno
View
22
Download
0
Embed Size (px)
Citation preview
EstrategiasEstrategias dede seguridadseguridad aplicadaaplicada
NombreNombre
PuestoPuesto
CompañíaCompañía
RequisitosRequisitos previosprevios parapara lala sesiónsesión ComprenderComprender loslos desafíosdesafíos dede seguridadseguridad
a losa los queque sese enfrentaenfrenta lala compañíacompañía Saber cómo proteger los equipos Saber cómo proteger los equipos
mediante la Directiva de grupomediante la Directiva de grupo Conocer los conceptos básicos Conocer los conceptos básicos
del acceso remotodel acceso remoto Saber cómo aplicar revisiones de Saber cómo aplicar revisiones de
seguridadseguridad
NivelNivel 300300
OrdenOrden deldel díadía
IntroducciónIntroducción Estrategias reales de administración Estrategias reales de administración
de revisionesde revisiones Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de
configuraciones de seguridadconfiguraciones de seguridad
DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:
Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos
Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito
Directivas, procedimientos y concienciación
Directivas, procedimientos y concienciación
RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS
ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPN
GuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento
SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS
RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus
ACL,ACL, cifradocifrado
ProgramasProgramas dede aprendizajeaprendizaje para lospara los usuariosusuarios
Seguridad físicaSeguridad física
PerímetroPerímetro
Red internaRed interna
HostHost
AplicaciónAplicación
DatosDatos
DesafíosDesafíos comunescomunes dede seguridadseguridad
AdministraciónAdministración dede revisiones:revisiones: enen profundidadprofundidad
Seguridad de acceso remotoSeguridad de acceso remoto Solución de problemas de directivas Solución de problemas de directivas
de seguridadde seguridad
OrdenOrden deldel díadía
IntroducciónIntroducción Estrategias reales de administración Estrategias reales de administración
de revisionesde revisiones Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de
configuraciones de seguridadconfiguraciones de seguridad
ImportanciaImportancia dede lala administraciónadministración dede revisionesrevisiones proactivaproactiva
Nombre del ataque
Fecha en que se hizo
público
Gravedad según MSRC
Boletín de MSRC
Fecha del boletín
de MSRC
Días disponibles
antes del ataque
Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49
SQL Slammer 24-ene-03 Crítico MS02-039 24-jul-02 184
Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294
Nimda 18-sep-01 N/D MS01-078 17-oct-00 336
Code Red 16-jul-01 N/D MS01-033 18-jun-01 28
ProcesoProceso dede administraciónadministración dede revisionesrevisiones1.1. EvaluarEvaluar elel entornoentorno enen elel queque aplicaránaplicarán
laslas revisionesrevisiones
Tareas periódicasTareas periódicasA. Crear y mantener la línea de base A. Crear y mantener la línea de base de los sistemas de los sistemasB. Evaluar la arquitectura deB. Evaluar la arquitectura de administración de revisiones administración de revisionesC. Revisar la configuraciónC. Revisar la configuración y la infraestructura y la infraestructura
Tareas continuadasTareas continuadasA.A. Determinar los activosDeterminar los activosB.B. Crear un inventario Crear un inventario
de clientesde clientes
1.1. ActivosActivos 2.2. IdentificarIdentificar
4.4. ImplementarImplementar
3.3. EvaluarEvaluar yy planearplanear
2.2. IdentificarIdentificar laslas revisionesrevisiones nuevasnuevas
TareasTareasA. Identificar las revisiones A. Identificar las revisiones
nuevasnuevas
B. Determinar la importancia B. Determinar la importancia de la revisiónde la revisión
C. Comprobar la autenticidad y C. Comprobar la autenticidad y la integridad de la revisiónla integridad de la revisión
3.3. EvaluarEvaluar yy planearplanear lala implementaciónimplementación dede revisionesrevisiones
TareasTareasA. Obtener el consentimiento A. Obtener el consentimiento
para implementar la revisiónpara implementar la revisión
B. Realizar la evaluación B. Realizar la evaluación de riesgosde riesgos
C. Planear el proceso de C. Planear el proceso de publicación de la revisiónpublicación de la revisión
D. Completar las pruebas de D. Completar las pruebas de aceptación de la revisiónaceptación de la revisión
4.4. ImplementarImplementar lala revisiónrevisión
TareasTareasA. Distribuir e instalar la revisiónA. Distribuir e instalar la revisiónB. Informar del progresoB. Informar del progresoC. Tratar las excepcionesC. Tratar las excepciones
D. Revisar la implementaciónD. Revisar la implementación
SupervisiónSupervisión deldel estadoestado dede laslas revisionesrevisiones SuscribirseSuscribirse aa serviciosservicios dede notificaciónnotificación
Servicio de notificación de Microsoft SecurityServicio de notificación de Microsoft Security Listas de distribución de correo de tercerosListas de distribución de correo de terceros
Visitar sitios WebVisitar sitios Web http://www.microsoft.com/latam/technet/seguridad/default.asphttp://www.microsoft.com/latam/technet/seguridad/default.asp http://www.microsoft.com/spain/technet/seguridad/default.asphttp://www.microsoft.com/spain/technet/seguridad/default.asp Páginas específicas de productosPáginas específicas de productos Sitios de otros fabricantesSitios de otros fabricantes
Implementar una programación de revisiones e Implementar una programación de revisiones e implementacionesimplementaciones Programación de publicación de revisiones de Microsoft: Programación de publicación de revisiones de Microsoft:
segundo martes de cada messegundo martes de cada mes Excepción: los clientes corren un riesgo inmediatoExcepción: los clientes corren un riesgo inmediato Configurar herramientas automatizadas que comprueben Configurar herramientas automatizadas que comprueben
diariamente si existen nuevas actualizacionesdiariamente si existen nuevas actualizaciones
CuándoCuándo aplicaraplicar revisionesrevisiones AplíquelasAplíquelas lolo antesantes posibleposible Aplíquelas sólo después de probarlasAplíquelas sólo después de probarlas Implemente medidas atenuantesImplemente medidas atenuantes Aplíquelas de acuerdo con la clasificación de gravedadAplíquelas de acuerdo con la clasificación de gravedad
Clasifica-ción de la gravedad
DefiniciónCalendarios
recomendados para la aplicación de revisiones
CríticoSu aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario
En 24 horas
Importante
Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento
En un mes
Moderada
Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación
Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses
Baja Su aprovechamiento es extremadamente difícil o sus efectos son mínimos
Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de un 1 año
HerramientasHerramientas dede MicrosoftMicrosoft parapara lala administraciónadministración dede revisionesrevisiones
HerramientasHerramientas de análisisde análisis
Microsoft Baseline Security Analyzer (MBSA) Herramienta Inventario de Office
ServiciosServicios dede actualizaciónactualización enen línealínea
Windows Update Office Update
RepositoriosRepositorios dede contenidocontenido
Catálogo de Windows Update Catálogo de descargas de Office Centro de descarga de Microsoft
HerramientasHerramientas dede administraciónadministración
Característica Actualizaciones automáticas (AU) de Windows
Servicios de actualización de software (SUS) Systems Management Server (SMS)
DirectricesDirectricespreceptivaspreceptivas
Administración de revisiones mediante SUS Guía de Microsoft para la administración de
revisiones de seguridad Administración de revisiones mediante SMS
Ventajas de Microsoft Baseline Ventajas de Microsoft Baseline Security Analyzer (MBSA)Security Analyzer (MBSA) AutomatizaAutomatiza lala identificaciónidentificación dede laslas
revisionesrevisiones dede seguridadseguridad queque faltanfaltan yy de losde los problemasproblemas dede lala configuraciónconfiguración de seguridadde seguridad
Permite a los administradores examinar, Permite a los administradores examinar, a la vez, muchos sistemas de forma a la vez, muchos sistemas de forma centralizadacentralizada
Trabaja con una amplia variedad de Trabaja con una amplia variedad de software de Microsoft (no sólo con software de Microsoft (no sólo con Windows y Office)Windows y Office)
Funcionamiento de MBSAFuncionamiento de MBSAEl archivo MSSecure.xml contiene Nombres de los boletines de
seguridad Actualizaciones específicas de
productos Información de versiones y suma
de comprobación Claves del Registro que han
cambiado Números de artículos de
Knowledge Base (Base de conocimiento)
El archivo MSSecure.xml contiene Nombres de los boletines de
seguridad Actualizaciones específicas de
productos Información de versiones y suma
de comprobación Claves del Registro que han
cambiado Números de artículos de
Knowledge Base (Base de conocimiento)
Centro de descarga de Microsoft
MSSecure.xml
2.2. DescargaDescarga elel archivoarchivo CABCAB concon MSSecure.xmlMSSecure.xml yy compruebacomprueba lala firmafirma digitaldigital
1.1. MBSAMBSA sese ejecutaejecuta enen elel sistemasistema Admin,Admin, concon destinosdestinos específicosespecíficos
3.3. ExaminaExamina loslos sistemassistemas dede destinodestino parapara detectardetectar loslos sistemassistemas operativos,operativos, sussus componentescomponentes yy laslas aplicacionesaplicaciones
4.4. AnalizaAnaliza MSSecureMSSecure parapara comprobarcomprobar sisi hayhay actualizacionesactualizaciones disponiblesdisponibles
5.5. CompruebaComprueba sisi faltafalta algunaalguna actualizaciónactualización necesarianecesaria
6.6. GeneraGenera unun informeinforme concon marcasmarcas dede tiempotiempo dede laslas actualizacionesactualizaciones queque faltanfaltan
EquipoMBSA
AutomatizaciónAutomatización dede lala deteccióndetección concon MBSAMBSA DetecciónDetección dede MBSAMBSA (interfaz(interfaz gráficagráfica dede usuario)usuario)
Funciona bien en redes pequeñas y medianasFunciona bien en redes pequeñas y medianas Detección de MBSA (mbsacli.exe)Detección de MBSA (mbsacli.exe)
Realiza detecciones automatizadas mediante Realiza detecciones automatizadas mediante parámetros de la línea de comandosparámetros de la línea de comandos Por ejemplo: mbsacli /d Por ejemplo: mbsacli /d miDominiomiDominio /f informe.txt /f informe.txt
Detección de MBSA en modo HFNetChk Detección de MBSA en modo HFNetChk (mbsacli.exe /hf)(mbsacli.exe /hf) Realiza detecciones automatizadas mediante Realiza detecciones automatizadas mediante
parámetros de la línea de comandosparámetros de la línea de comandos Sólo comprueba las revisiones que faltanSólo comprueba las revisiones que faltan
Por ejemplo: mbssacli -hf -o tab –f informe.txtPor ejemplo: mbssacli -hf -o tab –f informe.txt MBSA y Windows Update pueden mostrar MBSA y Windows Update pueden mostrar
resultados diferentesresultados diferentes
EjemplosEjemplos dede línealínea dede comandoscomandos dede MBSAMBSA ParaPara analizaranalizar todostodos loslos equiposequipos dede unauna
oficinaoficina remota:remota: Mbsacli /r “192.168.1.2-192.168.1.254” /sus Mbsacli /r “192.168.1.2-192.168.1.254” /sus
“http://” /n “SQL” /f “\\server\share\“http://” /n “SQL” /f “\\server\share\SUSScan.txt”SUSScan.txt”
Para analizar un grupo de servidores para Para analizar un grupo de servidores para comprobar si se ha aplicado algún hotfix:comprobar si se ha aplicado algún hotfix: Mbsacli -hf –fh d:\ListaDeServidores.txt –o Mbsacli -hf –fh d:\ListaDeServidores.txt –o
tab –v –f D:\HFScan.txttab –v –f D:\HFScan.txt
DemostraciónDemostración 11 UsoUso dede MBSAMBSA
UsoUso dede MBSAMBSA concon modificadoresmodificadores dede lala línealínea
dede comandoscomandosRevisiónRevisión dede loslos archivosarchivos dede registroregistro dede MBSAMBSA
UsoUso dede loslos resultadosresultados dede MBSAMBSA parapara crearcrear entradasentradas parapara archivosarchivos dede comandoscomandos
AutomatizaciónAutomatización dede lala distribucióndistribución yy supervisiónsupervisión dede revisionesrevisiones concon SUSSUS RealizaRealiza instalacionesinstalaciones dede extracciónextracción dede ServiceService
Packs,Packs, paquetespaquetes dede continuidadcontinuidad dede seguridadseguridad y actualizacionesy actualizaciones críticascríticas
Otorga control sobre las actualizaciones de Otorga control sobre las actualizaciones de software a los administradoressoftware a los administradores
Impide las instalaciones no autorizadas cuando Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticasse utiliza con Actualizaciones automáticas
Permite realizar pruebas y ensayosPermite realizar pruebas y ensayos Sólo funciona con Windows 2000 y versiones Sólo funciona con Windows 2000 y versiones
posterioresposteriores
EscenariosEscenarios dede implementaciónimplementación dede ServiciosServicios dede actualizaciónactualización dede softwaresoftware (SUS)(SUS)1.1. UtiliceUtilice SUSSUS parapara administraradministrar lala
distribucióndistribución dede revisionesrevisiones descargadasdescargadas dede WindowsWindows UpdateUpdate
2.2. Utilice SUS para administrar y distribuir Utilice SUS para administrar y distribuir revisionesrevisiones
3.3. Utilice SUS para administrar y distribuir Utilice SUS para administrar y distribuir revisiones en un entorno empresarialrevisiones en un entorno empresarial
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 11 dede implementaciónimplementación dede SUSSUS
Servidor SUS
1.1. ElEl servidorservidor SUSSUS descargadescarga laslas actualizacionesactualizaciones yy loslos metadatosmetadatos
3.3. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala lista delista de actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS
4.4. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas dede WindowsWindows UpdateUpdate
Servicio Windows Update
2.2. ElEl administradoradministrador revisa,revisa, evalúaevalúa yy apruebaaprueba laslas actualizacionesactualizaciones
Servidor de seguridad
Servicio Windows Update
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 11 dede implementaciónimplementación dede SUSSUS UtiliceUtilice esteeste escenarioescenario dede implementaciónimplementación
En una oficina pequeña con un servidor SUS En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internety suficiente ancho de banda de Internet
En un entorno con varias oficinas y un En un entorno con varias oficinas y un servidor SUS, en el que cada oficina dispone servidor SUS, en el que cada oficina dispone de una conexión directa a Internetde una conexión directa a Internet
No utilice este escenario de No utilice este escenario de implementaciónimplementación Si necesita conservar ancho de banda Si necesita conservar ancho de banda
de Internetde Internet En un entorno con varias ubicaciones y una En un entorno con varias ubicaciones y una
sola conexión a Internetsola conexión a Internet
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 22 dede implementaciónimplementación dede SUSSUS
Servidor SUS
1.1. ElEl servidorservidor SUSSUS descargadescarga las actualizacioneslas actualizaciones yy loslos metadatosmetadatos
3.3. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala listalista dede actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS
4.4. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS
Servicio Windows Update
2.2. ElEl administradoradministrador revisa,revisa, evalúaevalúa yy apruebaaprueba laslas actualizacionesactualizaciones
Servidor de seguridad
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 22 dede implementaciónimplementación dede SUSSUS UtiliceUtilice estaesta opciónopción dede implementación:implementación:
Para administrar revisiones en una única Para administrar revisiones en una única oficina con uno o varios servidores SUSoficina con uno o varios servidores SUS
En un entorno con varias ubicaciones y un En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda único servidor SUS, y ancho de banda suficiente entre las distintas oficinassuficiente entre las distintas oficinas
No utilice esta opción de implementación:No utilice esta opción de implementación: En un entorno con varias ubicaciones y En un entorno con varias ubicaciones y
ancho de banda limitado entre las distintas ancho de banda limitado entre las distintas oficinasoficinas
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 33 dede implementaciónimplementación dede SUSSUS
Servidor SUSprimario
1.1. ElEl servidorservidor SUSSUS descargadescarga las actualizacioneslas actualizaciones
3.3. SeSe sincronizansincronizan laslas aprobacionesaprobaciones yy actualizacionesactualizaciones concon loslos servidoresservidores SUSSUS secundariossecundarios
4.4. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala listalista dede actualizacionesactualizaciones aprobadasaprobadas del servidordel servidor SUSSUS
6.6. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas dede WindowsWindows UpdateUpdate
5.5. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS
Servicio Windows Update
Servidor SUSsecundario
Servidor SUSsecundario
Servicio Windows Update
2.2. ElEl administradoradministrador revisa,revisa, evalúaevalúa yy apruebaaprueba laslas actualizacionesactualizaciones
Servidor de seguridad
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 33 dede implementaciónimplementación dede SUSSUS UtiliceUtilice esteeste escenarioescenario dede implementación:implementación:
En un entorno con varias ubicaciones y ancho En un entorno con varias ubicaciones y ancho de banda limitado entre las ubicacionesde banda limitado entre las ubicaciones
En un entorno con muchos clientes y una En un entorno con muchos clientes y una sola oficinasola oficina Utilice equilibrio de carga de redUtilice equilibrio de carga de red
En un entorno con varias oficinas y una mezcla En un entorno con varias oficinas y una mezcla de conexiones WAN e Internetde conexiones WAN e Internet
No utilice este escenario de implementaciónNo utilice este escenario de implementación En un entorno con pocos clientes y una sola En un entorno con pocos clientes y una sola
oficinaoficina
AdministraciónAdministración dede unun entornoentorno SUSSUS complejocomplejo AdministreAdministre lala descargadescarga
y aprobacióny aprobación dede actualizacionesactualizaciones dede forma centralizadaforma centralizada
Dominio
GPO
Servidor
integranteServidores integrantes
Prueba SUS
GPO
Prueba SUS
GPO OR1
GPO OC
GPO OR2
Estaciones de trabajo de OC
Estaciones de trabajo de OR1
Estaciones de trabajo de OR2
UseUse lala estructuraestructura dede unidadesunidades organizativasorganizativas yy loslos GPOGPO parapara administraradministrar lala distribucióndistribución dede actualizacionesactualizaciones dede SUSSUS Use el archivo de plantilla Use el archivo de plantilla
WUAU.ADM para configurar WUAU.ADM para configurar las opciones de cliente de las opciones de cliente de Actualizaciones automáticasActualizaciones automáticas
Asigne los GPO a las Asigne los GPO a las unidades organizativasunidades organizativas
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareRecomendacionesRecomendaciones dede implementaciónimplementación (1)(1) AnaliceAnalice cadacada revisiónrevisión dede seguridadseguridad Descargue e instale la revisiónDescargue e instale la revisión Pruebe cada revisión de seguridad antes Pruebe cada revisión de seguridad antes
de implementarlade implementarla Prepare un laboratorio de pruebasPrepare un laboratorio de pruebas Utilice un servidor SUS de pruebaUtilice un servidor SUS de prueba Considere la posibilidad de utilizar equipos Considere la posibilidad de utilizar equipos
virtuales en el laboratorio de pruebavirtuales en el laboratorio de prueba Utilice un procedimiento de pruebas de Utilice un procedimiento de pruebas de
aceptación estándaraceptación estándar
ServiciosServicios dede actualizaciónactualización dede softwaresoftwareRecomendacionesRecomendaciones dede implementaciónimplementación (2)(2) RealiceRealice unauna implementaciónimplementación pilotopiloto
Configure un servidor SUS secundario para Configure un servidor SUS secundario para aprobar actualizacionesaprobar actualizaciones
Configure un GPO de forma que sólo las Configure un GPO de forma que sólo las estaciones de trabajo especificadas estaciones de trabajo especificadas descarguen la revisión del servidor SUS pilotodescarguen la revisión del servidor SUS piloto
Si la implementación piloto fracasa, anule la Si la implementación piloto fracasa, anule la aprobación del servidor SUS y desinstale aprobación del servidor SUS y desinstale manualmente la revisiónmanualmente la revisión
Realice la implementaciónRealice la implementación
UsoUso dede softwaresoftware dede administraciónadministración parapara distribuirdistribuir yy aplicaraplicar revisionesrevisiones SystemsSystems ManagementManagement ServerServer (SMS)(SMS) 20032003
Permite que los administradores controlen la Permite que los administradores controlen la administración de las revisionesadministración de las revisiones
Automatiza el proceso de administración Automatiza el proceso de administración de revisionesde revisiones
Actualiza un amplia variedad de productos Actualiza un amplia variedad de productos de Microsoftde Microsoft
Actualiza software de tercerosActualiza software de terceros Proporciona flexibilidad mediante el uso de Proporciona flexibilidad mediante el uso de
archivos de comandosarchivos de comandos Soluciones de tercerosSoluciones de terceros
Se integra con soluciones de terceros mediante Se integra con soluciones de terceros mediante archivos de comandosarchivos de comandos
Funcionamiento de SMSFuncionamiento de SMS
2.2. LosLos componentescomponentes dede deteccióndetección sese replicanreplican enen loslos clientesclientes SMSSMS
1.1. Configuración:Configuración: descargardescargar laslas herramientasherramientas InventarioInventario dede actualizacionesactualizaciones dede seguridadseguridad ee InventarioInventario dede Office;Office; ejecutarejecutar elel programaprograma dede instalacióninstalación dede herramientasherramientas dede inventarioinventario
3.3. SeSe examinanexaminan loslos clientes;clientes; loslos resultadosresultados dede lala deteccióndetección sese combinancombinan enen loslos datosdatos deldel inventarioinventario dede hardwarehardware dede SMSSMS
4.4. ElEl administradoradministrador utilizautiliza elel AsistenteAsistente parapara distribuirdistribuir actualizacionesactualizaciones dede softwaresoftware aa finfin dede autorizarautorizar laslas actualizacionesactualizaciones
6.6. ElEl AgenteAgente dede instalacióninstalación dede actualizacionesactualizaciones dede softwaresoftware implementaimplementa laslas actualizacionesactualizaciones enen loslos clientesclientes
7.7. Periódicamente:Periódicamente: SeSe sincronizansincronizan laslas comprobacionescomprobaciones dede loslos componentescomponentes parapara laslas nuevasnuevas actualizaciones,actualizaciones, sese examinanexaminan loslos clientesclientes yy sese implementanimplementan laslas actualizacionesactualizaciones necesariasnecesarias
5.5. SeSe descargandescargan loslos archivosarchivos actualizados;actualizados; sese creancrean oo actualizanactualizan loslos paquetes,paquetes, programasprogramas yy anuncios;anuncios; sese replicanreplican loslos paquetespaquetes yy sese anunciananuncian loslos programasprogramas enen loslos clientesclientes SMSSMS
Centro de descarga de
Microsoft
Servidor de seguridad
Servidor del sitio SMS
Punto de distribuciónde SMS
Clientes SMS
Clientes SMS
Clientes SMS
DemostraciónDemostración 22Utilizar SMSUtilizar SMS
ImplementaciónImplementación dede revisionesrevisiones mediantemediante elel AsistenteAsistente parapara distribuirdistribuir
actualizacionesactualizaciones dede softwaresoftware
SolucionesSoluciones dede tercerosterceros
Nombre de la compañía Nombre del producto URL de la compañía
Altiris, Inc. Administración de revisiones de Altiris http://www.altiris.com
BigFix, Inc. BigFix Patch Manager http://www.bigfix.com
Configuresoft, Inc. Security Update Manager http://www.configuresoft.com
Ecora, Inc. Ecora Patch Manager http://www.ecora.com
GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com
Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Software, Ltd. LANDesk Patch Manager http://www.landesk.com
Novadigm, Inc. Radia Patch Manager http://www.novadigm.com
PatchLink Corp. PatchLink Update http://www.patchlink.com
Shavlik Technologies HFNetChk Pro http://www.shavlik.com
St. Bernard Software UpdateExpert http://www.stbernard.com
AplicaciónAplicación dede revisionesrevisiones dede MicrosoftMicrosoft OfficeOffice HerramientaHerramienta InventarioInventario dede OfficeOffice Office UpdateOffice Update Las revisiones de Office Las revisiones de Office
requieren los archivos originalesrequieren los archivos originales Office 2003 almacena en caché Office 2003 almacena en caché
los archivos de instalaciónlos archivos de instalación Aplicación de revisiones Aplicación de revisiones
en los puntos de instalaciónen los puntos de instalación
DemostraciónDemostración 33 HerramientaHerramienta InventarioInventario
de Officede Office
AnalizarAnalizar OfficeOffice
ConvertirConvertir archivosarchivos dede OfficeOffice UpdateUpdate
RecomendacionesRecomendaciones parapara lala administraciónadministración correctacorrecta dede revisionesrevisiones UtiliceUtilice unun procesoproceso dede controlcontrol dede cambioscambios Lea toda la documentación relacionadaLea toda la documentación relacionada Aplique las actualizaciones sólo cuando sea necesarioAplique las actualizaciones sólo cuando sea necesario Pruebe exhaustivamente las actualizacionesPruebe exhaustivamente las actualizaciones Garantice la coherencia entre los controladores Garantice la coherencia entre los controladores
de dominiode dominio Haga una copia de seguridad del sistema y programe Haga una copia de seguridad del sistema y programe
los períodos de inactividad en producciónlos períodos de inactividad en producción Disponga siempre de un plan para deshacer los Disponga siempre de un plan para deshacer los
cambioscambios Mantenga informado al servicio de asistencia y a los Mantenga informado al servicio de asistencia y a los
grupos de usuarios clavegrupos de usuarios clave Trabaje primero con los servidores que no sean críticosTrabaje primero con los servidores que no sean críticos
OrdenOrden deldel díadía
IntroducciónIntroducción Estrategias reales de administración Estrategias reales de administración
de revisionesde revisiones Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de
configuraciones de seguridadconfiguraciones de seguridad
RedesRedes privadasprivadas virtualesvirtuales (VPN)(VPN) yy servidoresservidores dede seguridadseguridad CombinaciónCombinación dede unun servidorservidor dede
seguridadseguridad concon unun servidorservidor VPNVPN
Servidor RAS detrás del servidor de seguridad
Clientes VPN
Servidor RAS
Servidor RAS y servidor de seguridad en el mismo equipo
Clientes VPN Servidor RAS
ServidorServidor VPNVPN detrásdetrás dede unun servidorservidor dede seguridadseguridad Desafío:Desafío: permitirpermitir queque elel servidorservidor dede
seguridadseguridad dejedeje pasarpasar elel tráficotráfico alal servidor VPNservidor VPN
Desafío: inspección del estado de las Desafío: inspección del estado de las conexionesconexiones
Tráfico Puertos y protocolos
Establecimiento de sesión PPTP Puerto TCP 1723
Sesión PPTP Protocolo IP 47 (GRE)
IPSec IKE Puerto UDP 500
IPSec ESP Protocolo IP 50 (IPSec ESP)
UsoUso dede ISAISA ServerServer comocomo servidorservidor VPNVPN yy servidorservidor dede seguridadseguridad
Característica de ISA Server Descripción
Solución integrada
Proporciona un servidor de seguridad y un servidor proxy en el nivel de aplicación
Utiliza RRAS para proporcionar servicios VPN
Proporciona opciones seguras de autenticación
Permite elegir entre los protocolos PPTP y L2TP/IPSec
Filtrado de paquetes Protege el servidor VPN
Asistentes Simplifican la configuración con el fin de evitar errores
DesafíosDesafíos deldel usouso dede IPSecIPSec yy NATNAT ElEl encabezadoencabezado deldel paquetepaquete sese modificamodifica yy sese
invalidaninvalidan loslos paquetespaquetes IKE utiliza fragmentos de IPIKE utiliza fragmentos de IP Dispositivos NAT que asumen el modo de túnelDispositivos NAT que asumen el modo de túnel
Encab. NAT1
Encab. NAT1
Encab. NAT2
NATNAT NATNAT
Encab. IP orig. Encab. TCP Datos
Encab. IP orig. Encab. TCP DatosEncab. AH
Insertar
Encab. NAT1
Encab. NAT2
ContieneContiene unun hashhash cifradocifrado deldel encabezadoencabezado deldel paquetepaquete originaloriginal
ModeloModelo dede solucionessoluciones ElEl borradorborrador dede IETFIETF sobresobre RecorridosRecorridos
NATNAT (NAT-T)(NAT-T) recomiendarecomienda queque loslos dispositivosdispositivos situadossituados enen ambosambos extremos:extremos: Detecten la presencia de NATDetecten la presencia de NAT Utilicen un puerto que no sea IPSec, de Utilicen un puerto que no sea IPSec, de
forma que los dispositivos NAT no forma que los dispositivos NAT no interfieran con el tráfico de redinterfieran con el tráfico de red
Encapsulen IPSec en UDPEncapsulen IPSec en UDP
Asimismo, la solución de Microsoft Asimismo, la solución de Microsoft impide la fragmentación de los impide la fragmentación de los paquetes IPpaquetes IP
FuncionamientoFuncionamiento dede NAT-TNAT-T
NATNAT NATNAT
Encab. IP orig. Encab. TCP Datos
Encab. IP orig. Encab. TCP DatosEncab. ESP
Insertar
Encab. IP orig. Resto…Encab. ESPUDP orig. 4500, dest. 4500
Insertar
EnviadoEnviado porpor AA
Recib.Recib. porpor BBEncab. IP orig. Resto…Encab. ESPUDP orig. XXX, dest. 4500Encab. N
AT1
Encab. NAT2
ProblemasProblemas dede interoperabilidadinteroperabilidad
TantoTanto elel clientecliente VPNVPN comocomo elel servidorservidor VPNVPN debendeben admitiradmitir NAT-TNAT-T Problemas con dispositivos de tercerosProblemas con dispositivos de terceros Mejor interoperabilidad con el paso del Mejor interoperabilidad con el paso del
tiempotiempo
No es necesario realizar ningún cambio No es necesario realizar ningún cambio en los dispositivos NATen los dispositivos NAT
Compatibilidad con servidores de Compatibilidad con servidores de seguridadseguridad Permite el tráfico UDP 4500Permite el tráfico UDP 4500 Permite el tráfico UDP 500Permite el tráfico UDP 500
EstadoEstado dede NAT-TNAT-T parapara WindowsWindows ImplementadoImplementado segúnsegún elel estándarestándar propuestopropuesto porpor IETFIETF Interoperabilidad probada con puertas de enlace para IPSec y L2TP Interoperabilidad probada con puertas de enlace para IPSec y L2TP
de tercerosde terceros Diseñado para IPSec y L2TP en Windows XP y versiones anterioresDiseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para todos los usos de IPSec en Windows Server 2003Diseñado para todos los usos de IPSec en Windows Server 2003
Versión de SO Compatibilidad con IPSec y L2TP
Compatibilidad con el modo de transporte general de IPSec
Windows Server 2003 Sí Sí4
Windows XP Sí1 No recomendado5
Windows 2000 Sí2 No
Windows NT 4 Sí3 No
Windows 98 y Windows Millennium Edition
Sí3 No
Nota 1: Windows Update o hotfixNota 2: Con hotfixNota 3: Con descarga de Web
Nota 4: FTP activo no funcionaNota 5: Algunas reducciones de PTMU no funcionan
ExigirExigir seguridadseguridad enen loslos clientesclientes dede accesoacceso remotoremoto Problema:Problema:
Es posible que los clientes remotos no satisfagan Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativoslos requisitos de seguridad corporativos
Los equipos no protegidos de la red corporativa Los equipos no protegidos de la red corporativa ponen en peligro toda la redponen en peligro toda la red
Soluciones:Soluciones: Impedir el acceso remotoImpedir el acceso remoto Confiar en que los usuarios protegen los clientes Confiar en que los usuarios protegen los clientes
remotosremotos Crear una red distinta para los clientes VPNCrear una red distinta para los clientes VPN Exigir la configuración de seguridad al conectarExigir la configuración de seguridad al conectar Desconectar los clientes que no son seguros: Desconectar los clientes que no son seguros:
Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red
QuéQué eses elel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred
El cliente RAS obtiene acceso total a la red
El cliente RAS satisface las directivas de
cuarentena
Cliente RAS en cuarentena
El cliente de acceso remoto
se autentica
1. Se agota el tiempo de espera de la cuarentena
2. El cliente RAS no pasa la comprobación de directivas
Cliente RAS desconectado
RequisitosRequisitos dede lala cuarentenacuarentena
Intranet localInternet
Cliente RAS con CM
Servidor RRAS Windows Server 2003
Servidor IAS Windows Server 2003
Controlador de dominio Active DirectoryRecursos de
cuarentena
Directiva de acceso remoto SeSe requierenrequieren tambiéntambién laslas herramientasherramientas
RQC.exeRQC.exe yy RQS.exeRQS.exe deldel KitKit dede recursosrecursos dede WindowsWindows ServerServer 20032003
ElEl procesoproceso dede cuarentenacuarentena
Internet
Cuarentena
Cliente RAS Servidor RRAS Servidor IAS
ConectarConectar
AutenticarAutenticar
ResultadoResultado dede lala comprobacióncomprobación dede directivasdirectivas
AccesoAcceso dede cuarentenacuarentena
AccesoAcceso completocompleto
AutorizarAutorizarlala cuarentenacuarentena yyotrosotros filtrosfiltros
QuitarQuitar lala cuarentenacuarentena
LimitacionesLimitaciones deldel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred DependeDepende dede queque lala configuraciónconfiguración puedapueda
comprobarsecomprobarse mediantemediante archivosarchivos dede comandoscomandos Depende de los archivos de comandos Depende de los archivos de comandos
del clientedel cliente Un usuario malintencionado podría eludir la Un usuario malintencionado podría eludir la
cuarentenacuarentena Los usuarios deben disponer de un método Los usuarios deben disponer de un método
para cumplir con los requisitospara cumplir con los requisitos Métodos para aplicar las actualizacionesMétodos para aplicar las actualizaciones Punto de instalación externa para el software Punto de instalación externa para el software
antivirusantivirus Limitado a las conexiones de acceso Limitado a las conexiones de acceso
telefónico y VPNtelefónico y VPN
ConsejosConsejos yy trucostrucos sobresobre elel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred EmpieceEmpiece concon elel KitKit dede recursosrecursos dede
WindowsWindows ServerServer 20032003 Utilice Connection ManagerUtilice Connection Manager Cree perfiles alternativos para entornos Cree perfiles alternativos para entornos
distintosdistintos Diseñe un plan para los recursos Diseñe un plan para los recursos
de cuarentenade cuarentena Reduzca el retraso de las aplicacionesReduzca el retraso de las aplicaciones
DemostraciónDemostración 44 ConfiguraciónConfiguración dede lala
cuarentenacuarentena dede accesoacceso aa la redla red
Instalación,Instalación, configuraciónconfiguración yy comprobacióncomprobación dede lala cuarentenacuarentena
dede accesoacceso aa lala redred
OrdenOrden deldel díadía
IntroducciónIntroducción Estrategias reales de administración Estrategias reales de administración
de revisionesde revisiones Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de
configuraciones de seguridadconfiguraciones de seguridad
ResoluciónResolución dede conflictosconflictos entreentre plantillasplantillas dede seguridadseguridad UsoUso dede laslas herramientasherramientas ResultantResultant SetSet ofof
PoliciesPolicies (RSoP)(RSoP) Herramientas de administración de Active DirectoryHerramientas de administración de Active Directory Resultados de directiva de grupo desde GPMCResultados de directiva de grupo desde GPMC GPResultGPResult
SoluciónSolución dede erroreserrores dede aplicaciónaplicación LaLa aplicaciónaplicación dede revisionesrevisiones oo plantillasplantillas
de seguridadde seguridad puedepuede impedirimpedir elel funcionamientofuncionamiento dede laslas aplicacionesaplicaciones
Herramientas para solucionar errores Herramientas para solucionar errores de las aplicacionesde las aplicaciones Network MonitorNetwork Monitor File MonitorFile Monitor Registry MonitorRegistry Monitor Dependency WalkerDependency Walker CipherCipher
SoluciónSolución dede problemasproblemas dede serviciosservicios yy procesosprocesos
QuizásQuizás tengatenga queque solucionarsolucionar problemasproblemas concon loslos serviciosservicios:: Cuando los servicios y los procesos no Cuando los servicios y los procesos no
puedan iniciarsepuedan iniciarse Para confirmar que todos los servicios y Para confirmar que todos los servicios y
procesos son legítimosprocesos son legítimos
Herramientas para solucionar problemas Herramientas para solucionar problemas con los procesos:con los procesos: Tlist.exe o Process ExplorerTlist.exe o Process Explorer Dependency WalkerDependency Walker Examinar las propiedades de los archivos DLLExaminar las propiedades de los archivos DLL
SoluciónSolución dede problemasproblemas dede conexionesconexiones dede redred
CompruebeCompruebe queque sólosólo loslos puertospuertos necesariosnecesarios estánestán abiertosabiertos enen loslos equiposequipos
Herramientas para determinar el uso Herramientas para determinar el uso de los puertos:de los puertos: Netstat –o (en Windows XP o Windows Netstat –o (en Windows XP o Windows
Server 2003)Server 2003) Administrador de tareasAdministrador de tareas Comprobar el uso de los puertos de las Comprobar el uso de los puertos de las
aplicaciones y serviciosaplicaciones y servicios
RecomendacionesRecomendaciones parapara lala soluciónsolución dede problemasproblemas UtiliceUtilice unauna estrategiaestrategia formalformal dede
administraciónadministración dede cambioscambios yy configuraciónconfiguración parapara todostodos loslos cambioscambios dede seguridadseguridad
Pruebe todos los cambios de configuración Pruebe todos los cambios de configuración de seguridadde seguridad
Utilice herramientas RSOP en modo Utilice herramientas RSOP en modo de diseñode diseño
Documente la configuración normalDocumente la configuración normal Tenga preparada una estrategia para Tenga preparada una estrategia para
deshacer los cambiosdeshacer los cambios Solucione los problemas de forma seguraSolucione los problemas de forma segura
ResumenResumen dede lala sesiónsesión
EstrategiasEstrategias realesreales dede administraciónadministración de revisionesde revisiones
Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de
configuraciones de seguridadconfiguraciones de seguridad
PasosPasos siguientessiguientes
1.1. MantenerseMantenerse informadoinformado sobresobre lala seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:
http://www.microsoft.com/latam/technet/seguridad/boletines.asphttp://www.microsoft.com/latam/technet/seguridad/boletines.asp
Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/
2.2. Obtener aprendizaje de seguridad adicionalObtener aprendizaje de seguridad adicional1.1. Buscar seminarios de aprendizaje en línea y Buscar seminarios de aprendizaje en línea y
presenciales:presenciales:http://www.microsoft.com/latam/technet/evento/default.asphttp://www.microsoft.com/latam/technet/evento/default.asp
1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/formacion/default.asphttp://www.microsoft.com/spain/formacion/default.asp http://www.microsoft.com/latam/entrenamiento/default.asphttp://www.microsoft.com/latam/entrenamiento/default.asp
ParaPara obtenerobtener másmás informacióninformación
SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/latam/seguridad http://www.microsoft.com/latam/seguridad
Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/latam/technet/http://www.microsoft.com/latam/technet/
seguridad/default.aspseguridad/default.asp http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/
seguridad/default.aspseguridad/default.asp
Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security
(este sitio está en inglés)(este sitio está en inglés)
PreguntasPreguntas yy respuestasrespuestas