Estrategias de seguridad aplicada NombrePuestoCompañía.

EstrategiasEstrategias dede seguridadseguridad aplicadaaplicada

NombreNombre

PuestoPuesto

CompañíaCompañía

RequisitosRequisitos previosprevios parapara lala sesiónsesión ComprenderComprender loslos desafíosdesafíos dede seguridadseguridad

a losa los queque sese enfrentaenfrenta lala compañíacompañía Saber cómo proteger los equipos Saber cómo proteger los equipos

mediante la Directiva de grupomediante la Directiva de grupo Conocer los conceptos básicos Conocer los conceptos básicos

del acceso remotodel acceso remoto Saber cómo aplicar revisiones de Saber cómo aplicar revisiones de

seguridadseguridad

NivelNivel 300300

OrdenOrden deldel díadía

IntroducciónIntroducción Estrategias reales de administración Estrategias reales de administración

de revisionesde revisiones Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de

configuraciones de seguridadconfiguraciones de seguridad

DefensaDefensa enen profundidadprofundidad ElEl usouso dede unauna soluciónsolución enen niveles:niveles:

Aumenta la posibilidad de que se detecten los Aumenta la posibilidad de que se detecten los intrusosintrusos

Disminuye la posibilidad de que los intrusos Disminuye la posibilidad de que los intrusos logren su propósitologren su propósito

Directivas, procedimientos y concienciación

Directivas, procedimientos y concienciación

RefuerzoRefuerzo deldel sistemasistema operativo,operativo, administraciónadministración dede actualizaciones,actualizaciones, autenticación,autenticación, HIDSHIDS

ServidoresServidores dede seguridad,seguridad, sistemassistemas dede cuarentenacuarentena enen VPNVPN

GuardiasGuardias dede seguridad,seguridad, bloqueos,bloqueos, dispositivosdispositivos dede seguimientoseguimiento

SegmentosSegmentos dede red,red, IPSec,IPSec, NIDSNIDS

RefuerzoRefuerzo dede laslas aplicaciones,aplicaciones, antivirusantivirus

ACL,ACL, cifradocifrado

ProgramasProgramas dede aprendizajeaprendizaje para lospara los usuariosusuarios

Seguridad físicaSeguridad física

PerímetroPerímetro

Red internaRed interna

HostHost

AplicaciónAplicación

DatosDatos

DesafíosDesafíos comunescomunes dede seguridadseguridad

AdministraciónAdministración dede revisiones:revisiones: enen profundidadprofundidad

Seguridad de acceso remotoSeguridad de acceso remoto Solución de problemas de directivas Solución de problemas de directivas

de seguridadde seguridad

ImportanciaImportancia dede lala administraciónadministración dede revisionesrevisiones proactivaproactiva

Nombre del ataque

Fecha en que se hizo

público

Gravedad según MSRC

Boletín de MSRC

Fecha del boletín

de MSRC

Días disponibles

antes del ataque

Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49

SQL Slammer 24-ene-03 Crítico MS02-039 24-jul-02 184

Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294

Nimda 18-sep-01 N/D MS01-078 17-oct-00 336

Code Red 16-jul-01 N/D MS01-033 18-jun-01 28

ProcesoProceso dede administraciónadministración dede revisionesrevisiones1.1. EvaluarEvaluar elel entornoentorno enen elel queque aplicaránaplicarán

laslas revisionesrevisiones

Tareas periódicasTareas periódicasA. Crear y mantener la línea de base A. Crear y mantener la línea de base de los sistemas de los sistemasB. Evaluar la arquitectura deB. Evaluar la arquitectura de administración de revisiones administración de revisionesC. Revisar la configuraciónC. Revisar la configuración y la infraestructura y la infraestructura

Tareas continuadasTareas continuadasA.A. Determinar los activosDeterminar los activosB.B. Crear un inventario Crear un inventario

de clientesde clientes

1.1. ActivosActivos 2.2. IdentificarIdentificar

4.4. ImplementarImplementar

3.3. EvaluarEvaluar yy planearplanear

2.2. IdentificarIdentificar laslas revisionesrevisiones nuevasnuevas

TareasTareasA. Identificar las revisiones A. Identificar las revisiones

nuevasnuevas

B. Determinar la importancia B. Determinar la importancia de la revisiónde la revisión

C. Comprobar la autenticidad y C. Comprobar la autenticidad y la integridad de la revisiónla integridad de la revisión

3.3. EvaluarEvaluar yy planearplanear lala implementaciónimplementación dede revisionesrevisiones

TareasTareasA. Obtener el consentimiento A. Obtener el consentimiento

para implementar la revisiónpara implementar la revisión

B. Realizar la evaluación B. Realizar la evaluación de riesgosde riesgos

C. Planear el proceso de C. Planear el proceso de publicación de la revisiónpublicación de la revisión

D. Completar las pruebas de D. Completar las pruebas de aceptación de la revisiónaceptación de la revisión

4.4. ImplementarImplementar lala revisiónrevisión

TareasTareasA. Distribuir e instalar la revisiónA. Distribuir e instalar la revisiónB. Informar del progresoB. Informar del progresoC. Tratar las excepcionesC. Tratar las excepciones

D. Revisar la implementaciónD. Revisar la implementación

SupervisiónSupervisión deldel estadoestado dede laslas revisionesrevisiones SuscribirseSuscribirse aa serviciosservicios dede notificaciónnotificación

Servicio de notificación de Microsoft SecurityServicio de notificación de Microsoft Security Listas de distribución de correo de tercerosListas de distribución de correo de terceros

Visitar sitios WebVisitar sitios Web http://www.microsoft.com/latam/technet/seguridad/default.asphttp://www.microsoft.com/latam/technet/seguridad/default.asp http://www.microsoft.com/spain/technet/seguridad/default.asphttp://www.microsoft.com/spain/technet/seguridad/default.asp Páginas específicas de productosPáginas específicas de productos Sitios de otros fabricantesSitios de otros fabricantes

Implementar una programación de revisiones e Implementar una programación de revisiones e implementacionesimplementaciones Programación de publicación de revisiones de Microsoft: Programación de publicación de revisiones de Microsoft:

segundo martes de cada messegundo martes de cada mes Excepción: los clientes corren un riesgo inmediatoExcepción: los clientes corren un riesgo inmediato Configurar herramientas automatizadas que comprueben Configurar herramientas automatizadas que comprueben

diariamente si existen nuevas actualizacionesdiariamente si existen nuevas actualizaciones

CuándoCuándo aplicaraplicar revisionesrevisiones AplíquelasAplíquelas lolo antesantes posibleposible Aplíquelas sólo después de probarlasAplíquelas sólo después de probarlas Implemente medidas atenuantesImplemente medidas atenuantes Aplíquelas de acuerdo con la clasificación de gravedadAplíquelas de acuerdo con la clasificación de gravedad

Clasifica-ción de la gravedad

DefiniciónCalendarios

recomendados para la aplicación de revisiones

CríticoSu aprovechamiento podría permitir la propagación de un gusano de Internet como Code Red o Nimda sin intervención del usuario

En 24 horas

Importante

Su aprovechamiento podría comprometer la confidencialidad, integridad o disponibilidad de los datos de los usuarios o la integridad o disponibilidad de los recursos de procesamiento

En un mes

Moderada

Su aprovechamiento es grave pero se ve mitigado en un grado significativo por factores como la configuración predeterminada, la auditoría, la necesidad de intervención del usuario o su dificultad de aplicación

Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de cuatro meses

Baja Su aprovechamiento es extremadamente difícil o sus efectos son mínimos

Espere al siguiente Service Pack o continuidad de revisiones que incluya la revisión o impleméntela antes de un 1 año

HerramientasHerramientas dede MicrosoftMicrosoft parapara lala administraciónadministración dede revisionesrevisiones

HerramientasHerramientas de análisisde análisis

Microsoft Baseline Security Analyzer (MBSA) Herramienta Inventario de Office

ServiciosServicios dede actualizaciónactualización enen línealínea

Windows Update Office Update

RepositoriosRepositorios dede contenidocontenido

Catálogo de Windows Update Catálogo de descargas de Office Centro de descarga de Microsoft

HerramientasHerramientas dede administraciónadministración

Característica Actualizaciones automáticas (AU) de Windows

Servicios de actualización de software (SUS) Systems Management Server (SMS)

DirectricesDirectricespreceptivaspreceptivas

Administración de revisiones mediante SUS Guía de Microsoft para la administración de

revisiones de seguridad Administración de revisiones mediante SMS

Ventajas de Microsoft Baseline Ventajas de Microsoft Baseline Security Analyzer (MBSA)Security Analyzer (MBSA) AutomatizaAutomatiza lala identificaciónidentificación dede laslas

revisionesrevisiones dede seguridadseguridad queque faltanfaltan yy de losde los problemasproblemas dede lala configuraciónconfiguración de seguridadde seguridad

Permite a los administradores examinar, Permite a los administradores examinar, a la vez, muchos sistemas de forma a la vez, muchos sistemas de forma centralizadacentralizada

Trabaja con una amplia variedad de Trabaja con una amplia variedad de software de Microsoft (no sólo con software de Microsoft (no sólo con Windows y Office)Windows y Office)

Funcionamiento de MBSAFuncionamiento de MBSAEl archivo MSSecure.xml contiene Nombres de los boletines de

seguridad Actualizaciones específicas de

productos Información de versiones y suma

de comprobación Claves del Registro que han

cambiado Números de artículos de

Knowledge Base (Base de conocimiento)

El archivo MSSecure.xml contiene Nombres de los boletines de

seguridad Actualizaciones específicas de

productos Información de versiones y suma

de comprobación Claves del Registro que han

cambiado Números de artículos de

Knowledge Base (Base de conocimiento)

Centro de descarga de Microsoft

MSSecure.xml

2.2. DescargaDescarga elel archivoarchivo CABCAB concon MSSecure.xmlMSSecure.xml yy compruebacomprueba lala firmafirma digitaldigital

1.1. MBSAMBSA sese ejecutaejecuta enen elel sistemasistema Admin,Admin, concon destinosdestinos específicosespecíficos

3.3. ExaminaExamina loslos sistemassistemas dede destinodestino parapara detectardetectar loslos sistemassistemas operativos,operativos, sussus componentescomponentes yy laslas aplicacionesaplicaciones

4.4. AnalizaAnaliza MSSecureMSSecure parapara comprobarcomprobar sisi hayhay actualizacionesactualizaciones disponiblesdisponibles

5.5. CompruebaComprueba sisi faltafalta algunaalguna actualizaciónactualización necesarianecesaria

6.6. GeneraGenera unun informeinforme concon marcasmarcas dede tiempotiempo dede laslas actualizacionesactualizaciones queque faltanfaltan

EquipoMBSA

AutomatizaciónAutomatización dede lala deteccióndetección concon MBSAMBSA DetecciónDetección dede MBSAMBSA (interfaz(interfaz gráficagráfica dede usuario)usuario)

Funciona bien en redes pequeñas y medianasFunciona bien en redes pequeñas y medianas Detección de MBSA (mbsacli.exe)Detección de MBSA (mbsacli.exe)

Realiza detecciones automatizadas mediante Realiza detecciones automatizadas mediante parámetros de la línea de comandosparámetros de la línea de comandos Por ejemplo: mbsacli /d Por ejemplo: mbsacli /d miDominiomiDominio /f informe.txt /f informe.txt

Detección de MBSA en modo HFNetChk Detección de MBSA en modo HFNetChk (mbsacli.exe /hf)(mbsacli.exe /hf) Realiza detecciones automatizadas mediante Realiza detecciones automatizadas mediante

parámetros de la línea de comandosparámetros de la línea de comandos Sólo comprueba las revisiones que faltanSólo comprueba las revisiones que faltan

Por ejemplo: mbssacli -hf -o tab –f informe.txtPor ejemplo: mbssacli -hf -o tab –f informe.txt MBSA y Windows Update pueden mostrar MBSA y Windows Update pueden mostrar

resultados diferentesresultados diferentes

EjemplosEjemplos dede línealínea dede comandoscomandos dede MBSAMBSA ParaPara analizaranalizar todostodos loslos equiposequipos dede unauna

oficinaoficina remota:remota: Mbsacli /r “192.168.1.2-192.168.1.254” /sus Mbsacli /r “192.168.1.2-192.168.1.254” /sus

“http://” /n “SQL” /f “\\server\share\“http://” /n “SQL” /f “\\server\share\SUSScan.txt”SUSScan.txt”

Para analizar un grupo de servidores para Para analizar un grupo de servidores para comprobar si se ha aplicado algún hotfix:comprobar si se ha aplicado algún hotfix: Mbsacli -hf –fh d:\ListaDeServidores.txt –o Mbsacli -hf –fh d:\ListaDeServidores.txt –o

tab –v –f D:\HFScan.txttab –v –f D:\HFScan.txt

DemostraciónDemostración 11 UsoUso dede MBSAMBSA

UsoUso dede MBSAMBSA concon modificadoresmodificadores dede lala línealínea

dede comandoscomandosRevisiónRevisión dede loslos archivosarchivos dede registroregistro dede MBSAMBSA

UsoUso dede loslos resultadosresultados dede MBSAMBSA parapara crearcrear entradasentradas parapara archivosarchivos dede comandoscomandos

AutomatizaciónAutomatización dede lala distribucióndistribución yy supervisiónsupervisión dede revisionesrevisiones concon SUSSUS RealizaRealiza instalacionesinstalaciones dede extracciónextracción dede ServiceService

Packs,Packs, paquetespaquetes dede continuidadcontinuidad dede seguridadseguridad y actualizacionesy actualizaciones críticascríticas

Otorga control sobre las actualizaciones de Otorga control sobre las actualizaciones de software a los administradoressoftware a los administradores

Impide las instalaciones no autorizadas cuando Impide las instalaciones no autorizadas cuando se utiliza con Actualizaciones automáticasse utiliza con Actualizaciones automáticas

Permite realizar pruebas y ensayosPermite realizar pruebas y ensayos Sólo funciona con Windows 2000 y versiones Sólo funciona con Windows 2000 y versiones

posterioresposteriores

EscenariosEscenarios dede implementaciónimplementación dede ServiciosServicios dede actualizaciónactualización dede softwaresoftware (SUS)(SUS)1.1. UtiliceUtilice SUSSUS parapara administraradministrar lala

distribucióndistribución dede revisionesrevisiones descargadasdescargadas dede WindowsWindows UpdateUpdate

2.2. Utilice SUS para administrar y distribuir Utilice SUS para administrar y distribuir revisionesrevisiones

3.3. Utilice SUS para administrar y distribuir Utilice SUS para administrar y distribuir revisiones en un entorno empresarialrevisiones en un entorno empresarial

ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 11 dede implementaciónimplementación dede SUSSUS

Servidor SUS

1.1. ElEl servidorservidor SUSSUS descargadescarga laslas actualizacionesactualizaciones yy loslos metadatosmetadatos

3.3. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala lista delista de actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS

4.4. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas dede WindowsWindows UpdateUpdate

Servicio Windows Update

2.2. ElEl administradoradministrador revisa,revisa, evalúaevalúa yy apruebaaprueba laslas actualizacionesactualizaciones

Servidor de seguridad


ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 11 dede implementaciónimplementación dede SUSSUS UtiliceUtilice esteeste escenarioescenario dede implementaciónimplementación

En una oficina pequeña con un servidor SUS En una oficina pequeña con un servidor SUS y suficiente ancho de banda de Internety suficiente ancho de banda de Internet

En un entorno con varias oficinas y un En un entorno con varias oficinas y un servidor SUS, en el que cada oficina dispone servidor SUS, en el que cada oficina dispone de una conexión directa a Internetde una conexión directa a Internet

No utilice este escenario de No utilice este escenario de implementaciónimplementación Si necesita conservar ancho de banda Si necesita conservar ancho de banda

de Internetde Internet En un entorno con varias ubicaciones y una En un entorno con varias ubicaciones y una

sola conexión a Internetsola conexión a Internet


Servidor SUS

1.1. ElEl servidorservidor SUSSUS descargadescarga las actualizacioneslas actualizaciones yy loslos metadatosmetadatos

3.3. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala listalista dede actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS

4.4. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS




ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 22 dede implementaciónimplementación dede SUSSUS UtiliceUtilice estaesta opciónopción dede implementación:implementación:

Para administrar revisiones en una única Para administrar revisiones en una única oficina con uno o varios servidores SUSoficina con uno o varios servidores SUS

En un entorno con varias ubicaciones y un En un entorno con varias ubicaciones y un único servidor SUS, y ancho de banda único servidor SUS, y ancho de banda suficiente entre las distintas oficinassuficiente entre las distintas oficinas

No utilice esta opción de implementación:No utilice esta opción de implementación: En un entorno con varias ubicaciones y En un entorno con varias ubicaciones y

ancho de banda limitado entre las distintas ancho de banda limitado entre las distintas oficinasoficinas


Servidor SUSprimario

1.1. ElEl servidorservidor SUSSUS descargadescarga las actualizacioneslas actualizaciones

3.3. SeSe sincronizansincronizan laslas aprobacionesaprobaciones yy actualizacionesactualizaciones concon loslos servidoresservidores SUSSUS secundariossecundarios

4.4. ActualizacionesActualizaciones automáticasautomáticas obtieneobtiene lala listalista dede actualizacionesactualizaciones aprobadasaprobadas del servidordel servidor SUSSUS

6.6. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas dede WindowsWindows UpdateUpdate

5.5. ActualizacionesActualizaciones automáticasautomáticas descargadescarga laslas actualizacionesactualizaciones aprobadasaprobadas deldel servidorservidor SUSSUS


Servidor SUSsecundario

Servidor SUSsecundario




ServiciosServicios dede actualizaciónactualización dede softwaresoftwareEscenarioEscenario 33 dede implementaciónimplementación dede SUSSUS UtiliceUtilice esteeste escenarioescenario dede implementación:implementación:

En un entorno con varias ubicaciones y ancho En un entorno con varias ubicaciones y ancho de banda limitado entre las ubicacionesde banda limitado entre las ubicaciones

En un entorno con muchos clientes y una En un entorno con muchos clientes y una sola oficinasola oficina Utilice equilibrio de carga de redUtilice equilibrio de carga de red

En un entorno con varias oficinas y una mezcla En un entorno con varias oficinas y una mezcla de conexiones WAN e Internetde conexiones WAN e Internet

No utilice este escenario de implementaciónNo utilice este escenario de implementación En un entorno con pocos clientes y una sola En un entorno con pocos clientes y una sola

oficinaoficina

AdministraciónAdministración dede unun entornoentorno SUSSUS complejocomplejo AdministreAdministre lala descargadescarga

y aprobacióny aprobación dede actualizacionesactualizaciones dede forma centralizadaforma centralizada

Dominio

GPO

Servidor

integranteServidores integrantes

Prueba SUS

GPO

Prueba SUS

GPO OR1

GPO OC

GPO OR2

Estaciones de trabajo de OC

Estaciones de trabajo de OR1

Estaciones de trabajo de OR2

UseUse lala estructuraestructura dede unidadesunidades organizativasorganizativas yy loslos GPOGPO parapara administraradministrar lala distribucióndistribución dede actualizacionesactualizaciones dede SUSSUS Use el archivo de plantilla Use el archivo de plantilla

WUAU.ADM para configurar WUAU.ADM para configurar las opciones de cliente de las opciones de cliente de Actualizaciones automáticasActualizaciones automáticas

Asigne los GPO a las Asigne los GPO a las unidades organizativasunidades organizativas

ServiciosServicios dede actualizaciónactualización dede softwaresoftwareRecomendacionesRecomendaciones dede implementaciónimplementación (1)(1) AnaliceAnalice cadacada revisiónrevisión dede seguridadseguridad Descargue e instale la revisiónDescargue e instale la revisión Pruebe cada revisión de seguridad antes Pruebe cada revisión de seguridad antes

de implementarlade implementarla Prepare un laboratorio de pruebasPrepare un laboratorio de pruebas Utilice un servidor SUS de pruebaUtilice un servidor SUS de prueba Considere la posibilidad de utilizar equipos Considere la posibilidad de utilizar equipos

virtuales en el laboratorio de pruebavirtuales en el laboratorio de prueba Utilice un procedimiento de pruebas de Utilice un procedimiento de pruebas de

aceptación estándaraceptación estándar

ServiciosServicios dede actualizaciónactualización dede softwaresoftwareRecomendacionesRecomendaciones dede implementaciónimplementación (2)(2) RealiceRealice unauna implementaciónimplementación pilotopiloto

Configure un servidor SUS secundario para Configure un servidor SUS secundario para aprobar actualizacionesaprobar actualizaciones

Configure un GPO de forma que sólo las Configure un GPO de forma que sólo las estaciones de trabajo especificadas estaciones de trabajo especificadas descarguen la revisión del servidor SUS pilotodescarguen la revisión del servidor SUS piloto

Si la implementación piloto fracasa, anule la Si la implementación piloto fracasa, anule la aprobación del servidor SUS y desinstale aprobación del servidor SUS y desinstale manualmente la revisiónmanualmente la revisión

Realice la implementaciónRealice la implementación

UsoUso dede softwaresoftware dede administraciónadministración parapara distribuirdistribuir yy aplicaraplicar revisionesrevisiones SystemsSystems ManagementManagement ServerServer (SMS)(SMS) 20032003

Permite que los administradores controlen la Permite que los administradores controlen la administración de las revisionesadministración de las revisiones

Automatiza el proceso de administración Automatiza el proceso de administración de revisionesde revisiones

Actualiza un amplia variedad de productos Actualiza un amplia variedad de productos de Microsoftde Microsoft

Actualiza software de tercerosActualiza software de terceros Proporciona flexibilidad mediante el uso de Proporciona flexibilidad mediante el uso de

archivos de comandosarchivos de comandos Soluciones de tercerosSoluciones de terceros

Se integra con soluciones de terceros mediante Se integra con soluciones de terceros mediante archivos de comandosarchivos de comandos

Funcionamiento de SMSFuncionamiento de SMS

2.2. LosLos componentescomponentes dede deteccióndetección sese replicanreplican enen loslos clientesclientes SMSSMS

1.1. Configuración:Configuración: descargardescargar laslas herramientasherramientas InventarioInventario dede actualizacionesactualizaciones dede seguridadseguridad ee InventarioInventario dede Office;Office; ejecutarejecutar elel programaprograma dede instalacióninstalación dede herramientasherramientas dede inventarioinventario

3.3. SeSe examinanexaminan loslos clientes;clientes; loslos resultadosresultados dede lala deteccióndetección sese combinancombinan enen loslos datosdatos deldel inventarioinventario dede hardwarehardware dede SMSSMS

4.4. ElEl administradoradministrador utilizautiliza elel AsistenteAsistente parapara distribuirdistribuir actualizacionesactualizaciones dede softwaresoftware aa finfin dede autorizarautorizar laslas actualizacionesactualizaciones

6.6. ElEl AgenteAgente dede instalacióninstalación dede actualizacionesactualizaciones dede softwaresoftware implementaimplementa laslas actualizacionesactualizaciones enen loslos clientesclientes

7.7. Periódicamente:Periódicamente: SeSe sincronizansincronizan laslas comprobacionescomprobaciones dede loslos componentescomponentes parapara laslas nuevasnuevas actualizaciones,actualizaciones, sese examinanexaminan loslos clientesclientes yy sese implementanimplementan laslas actualizacionesactualizaciones necesariasnecesarias

5.5. SeSe descargandescargan loslos archivosarchivos actualizados;actualizados; sese creancrean oo actualizanactualizan loslos paquetes,paquetes, programasprogramas yy anuncios;anuncios; sese replicanreplican loslos paquetespaquetes yy sese anunciananuncian loslos programasprogramas enen loslos clientesclientes SMSSMS

Centro de descarga de

Microsoft


Servidor del sitio SMS

Punto de distribuciónde SMS

Clientes SMS

Clientes SMS

Clientes SMS

DemostraciónDemostración 22Utilizar SMSUtilizar SMS

ImplementaciónImplementación dede revisionesrevisiones mediantemediante elel AsistenteAsistente parapara distribuirdistribuir

actualizacionesactualizaciones dede softwaresoftware

SolucionesSoluciones dede tercerosterceros

Nombre de la compañía Nombre del producto URL de la compañía

Altiris, Inc. Administración de revisiones de Altiris http://www.altiris.com

BigFix, Inc. BigFix Patch Manager http://www.bigfix.com

Configuresoft, Inc. Security Update Manager http://www.configuresoft.com

Ecora, Inc. Ecora Patch Manager http://www.ecora.com

GFI Software, Ltd. GFI LANguard Network Security Scanner http://www.gfi.com

Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com

LANDesk Software, Ltd. LANDesk Patch Manager http://www.landesk.com

Novadigm, Inc. Radia Patch Manager http://www.novadigm.com

PatchLink Corp. PatchLink Update http://www.patchlink.com

Shavlik Technologies HFNetChk Pro http://www.shavlik.com

St. Bernard Software UpdateExpert http://www.stbernard.com

AplicaciónAplicación dede revisionesrevisiones dede MicrosoftMicrosoft OfficeOffice HerramientaHerramienta InventarioInventario dede OfficeOffice Office UpdateOffice Update Las revisiones de Office Las revisiones de Office

requieren los archivos originalesrequieren los archivos originales Office 2003 almacena en caché Office 2003 almacena en caché

los archivos de instalaciónlos archivos de instalación Aplicación de revisiones Aplicación de revisiones

en los puntos de instalaciónen los puntos de instalación

DemostraciónDemostración 33 HerramientaHerramienta InventarioInventario

de Officede Office

AnalizarAnalizar OfficeOffice

ConvertirConvertir archivosarchivos dede OfficeOffice UpdateUpdate

RecomendacionesRecomendaciones parapara lala administraciónadministración correctacorrecta dede revisionesrevisiones UtiliceUtilice unun procesoproceso dede controlcontrol dede cambioscambios Lea toda la documentación relacionadaLea toda la documentación relacionada Aplique las actualizaciones sólo cuando sea necesarioAplique las actualizaciones sólo cuando sea necesario Pruebe exhaustivamente las actualizacionesPruebe exhaustivamente las actualizaciones Garantice la coherencia entre los controladores Garantice la coherencia entre los controladores

de dominiode dominio Haga una copia de seguridad del sistema y programe Haga una copia de seguridad del sistema y programe

los períodos de inactividad en producciónlos períodos de inactividad en producción Disponga siempre de un plan para deshacer los Disponga siempre de un plan para deshacer los

cambioscambios Mantenga informado al servicio de asistencia y a los Mantenga informado al servicio de asistencia y a los

grupos de usuarios clavegrupos de usuarios clave Trabaje primero con los servidores que no sean críticosTrabaje primero con los servidores que no sean críticos

RedesRedes privadasprivadas virtualesvirtuales (VPN)(VPN) yy servidoresservidores dede seguridadseguridad CombinaciónCombinación dede unun servidorservidor dede

seguridadseguridad concon unun servidorservidor VPNVPN

Servidor RAS detrás del servidor de seguridad

Clientes VPN

Servidor RAS

Servidor RAS y servidor de seguridad en el mismo equipo

Clientes VPN Servidor RAS

ServidorServidor VPNVPN detrásdetrás dede unun servidorservidor dede seguridadseguridad Desafío:Desafío: permitirpermitir queque elel servidorservidor dede

seguridadseguridad dejedeje pasarpasar elel tráficotráfico alal servidor VPNservidor VPN

Desafío: inspección del estado de las Desafío: inspección del estado de las conexionesconexiones

Tráfico Puertos y protocolos

Establecimiento de sesión PPTP Puerto TCP 1723

Sesión PPTP Protocolo IP 47 (GRE)

IPSec IKE Puerto UDP 500

IPSec ESP Protocolo IP 50 (IPSec ESP)

UsoUso dede ISAISA ServerServer comocomo servidorservidor VPNVPN yy servidorservidor dede seguridadseguridad

Característica de ISA Server Descripción

Solución integrada

Proporciona un servidor de seguridad y un servidor proxy en el nivel de aplicación

Utiliza RRAS para proporcionar servicios VPN

Proporciona opciones seguras de autenticación

Permite elegir entre los protocolos PPTP y L2TP/IPSec

Filtrado de paquetes Protege el servidor VPN

Asistentes Simplifican la configuración con el fin de evitar errores

DesafíosDesafíos deldel usouso dede IPSecIPSec yy NATNAT ElEl encabezadoencabezado deldel paquetepaquete sese modificamodifica yy sese

invalidaninvalidan loslos paquetespaquetes IKE utiliza fragmentos de IPIKE utiliza fragmentos de IP Dispositivos NAT que asumen el modo de túnelDispositivos NAT que asumen el modo de túnel

Encab. NAT1

Encab. NAT1

Encab. NAT2

NATNAT NATNAT

Encab. IP orig. Encab. TCP Datos

Encab. IP orig. Encab. TCP DatosEncab. AH

Insertar

Encab. NAT1

Encab. NAT2

ContieneContiene unun hashhash cifradocifrado deldel encabezadoencabezado deldel paquetepaquete originaloriginal

ModeloModelo dede solucionessoluciones ElEl borradorborrador dede IETFIETF sobresobre RecorridosRecorridos

NATNAT (NAT-T)(NAT-T) recomiendarecomienda queque loslos dispositivosdispositivos situadossituados enen ambosambos extremos:extremos: Detecten la presencia de NATDetecten la presencia de NAT Utilicen un puerto que no sea IPSec, de Utilicen un puerto que no sea IPSec, de

forma que los dispositivos NAT no forma que los dispositivos NAT no interfieran con el tráfico de redinterfieran con el tráfico de red

Encapsulen IPSec en UDPEncapsulen IPSec en UDP

Asimismo, la solución de Microsoft Asimismo, la solución de Microsoft impide la fragmentación de los impide la fragmentación de los paquetes IPpaquetes IP

FuncionamientoFuncionamiento dede NAT-TNAT-T

NATNAT NATNAT

Encab. IP orig. Encab. TCP Datos

Encab. IP orig. Encab. TCP DatosEncab. ESP

Insertar

Encab. IP orig. Resto…Encab. ESPUDP orig. 4500, dest. 4500

Insertar

EnviadoEnviado porpor AA

Recib.Recib. porpor BBEncab. IP orig. Resto…Encab. ESPUDP orig. XXX, dest. 4500Encab. N

AT1

Encab. NAT2

ProblemasProblemas dede interoperabilidadinteroperabilidad

TantoTanto elel clientecliente VPNVPN comocomo elel servidorservidor VPNVPN debendeben admitiradmitir NAT-TNAT-T Problemas con dispositivos de tercerosProblemas con dispositivos de terceros Mejor interoperabilidad con el paso del Mejor interoperabilidad con el paso del

tiempotiempo

No es necesario realizar ningún cambio No es necesario realizar ningún cambio en los dispositivos NATen los dispositivos NAT

Compatibilidad con servidores de Compatibilidad con servidores de seguridadseguridad Permite el tráfico UDP 4500Permite el tráfico UDP 4500 Permite el tráfico UDP 500Permite el tráfico UDP 500

EstadoEstado dede NAT-TNAT-T parapara WindowsWindows ImplementadoImplementado segúnsegún elel estándarestándar propuestopropuesto porpor IETFIETF Interoperabilidad probada con puertas de enlace para IPSec y L2TP Interoperabilidad probada con puertas de enlace para IPSec y L2TP

de tercerosde terceros Diseñado para IPSec y L2TP en Windows XP y versiones anterioresDiseñado para IPSec y L2TP en Windows XP y versiones anteriores Diseñado para todos los usos de IPSec en Windows Server 2003Diseñado para todos los usos de IPSec en Windows Server 2003

Versión de SO Compatibilidad con IPSec y L2TP

Compatibilidad con el modo de transporte general de IPSec

Windows Server 2003 Sí Sí4

Windows XP Sí1 No recomendado5

Windows 2000 Sí2 No

Windows NT 4 Sí3 No

Windows 98 y Windows Millennium Edition

Sí3 No

Nota 1: Windows Update o hotfixNota 2: Con hotfixNota 3: Con descarga de Web

Nota 4: FTP activo no funcionaNota 5: Algunas reducciones de PTMU no funcionan

ExigirExigir seguridadseguridad enen loslos clientesclientes dede accesoacceso remotoremoto Problema:Problema:

Es posible que los clientes remotos no satisfagan Es posible que los clientes remotos no satisfagan los requisitos de seguridad corporativoslos requisitos de seguridad corporativos

Los equipos no protegidos de la red corporativa Los equipos no protegidos de la red corporativa ponen en peligro toda la redponen en peligro toda la red

Soluciones:Soluciones: Impedir el acceso remotoImpedir el acceso remoto Confiar en que los usuarios protegen los clientes Confiar en que los usuarios protegen los clientes

remotosremotos Crear una red distinta para los clientes VPNCrear una red distinta para los clientes VPN Exigir la configuración de seguridad al conectarExigir la configuración de seguridad al conectar Desconectar los clientes que no son seguros: Desconectar los clientes que no son seguros:

Control de cuarentena de acceso a la redControl de cuarentena de acceso a la red

QuéQué eses elel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred

El cliente RAS obtiene acceso total a la red

El cliente RAS satisface las directivas de

cuarentena

Cliente RAS en cuarentena

El cliente de acceso remoto

se autentica

1. Se agota el tiempo de espera de la cuarentena

2. El cliente RAS no pasa la comprobación de directivas

Cliente RAS desconectado

RequisitosRequisitos dede lala cuarentenacuarentena

Intranet localInternet

Cliente RAS con CM

Servidor RRAS Windows Server 2003

Servidor IAS Windows Server 2003

Controlador de dominio Active DirectoryRecursos de

cuarentena

Directiva de acceso remoto SeSe requierenrequieren tambiéntambién laslas herramientasherramientas

RQC.exeRQC.exe yy RQS.exeRQS.exe deldel KitKit dede recursosrecursos dede WindowsWindows ServerServer 20032003

ElEl procesoproceso dede cuarentenacuarentena

Internet

Cuarentena

Cliente RAS Servidor RRAS Servidor IAS

ConectarConectar

AutenticarAutenticar

ResultadoResultado dede lala comprobacióncomprobación dede directivasdirectivas

AccesoAcceso dede cuarentenacuarentena

AccesoAcceso completocompleto

AutorizarAutorizarlala cuarentenacuarentena yyotrosotros filtrosfiltros

QuitarQuitar lala cuarentenacuarentena

LimitacionesLimitaciones deldel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred DependeDepende dede queque lala configuraciónconfiguración puedapueda

comprobarsecomprobarse mediantemediante archivosarchivos dede comandoscomandos Depende de los archivos de comandos Depende de los archivos de comandos

del clientedel cliente Un usuario malintencionado podría eludir la Un usuario malintencionado podría eludir la

cuarentenacuarentena Los usuarios deben disponer de un método Los usuarios deben disponer de un método

para cumplir con los requisitospara cumplir con los requisitos Métodos para aplicar las actualizacionesMétodos para aplicar las actualizaciones Punto de instalación externa para el software Punto de instalación externa para el software

antivirusantivirus Limitado a las conexiones de acceso Limitado a las conexiones de acceso

telefónico y VPNtelefónico y VPN

ConsejosConsejos yy trucostrucos sobresobre elel controlcontrol dede cuarentenacuarentena dede accesoacceso aa lala redred EmpieceEmpiece concon elel KitKit dede recursosrecursos dede

WindowsWindows ServerServer 20032003 Utilice Connection ManagerUtilice Connection Manager Cree perfiles alternativos para entornos Cree perfiles alternativos para entornos

distintosdistintos Diseñe un plan para los recursos Diseñe un plan para los recursos

de cuarentenade cuarentena Reduzca el retraso de las aplicacionesReduzca el retraso de las aplicaciones

DemostraciónDemostración 44 ConfiguraciónConfiguración dede lala

cuarentenacuarentena dede accesoacceso aa la redla red

Instalación,Instalación, configuraciónconfiguración yy comprobacióncomprobación dede lala cuarentenacuarentena

dede accesoacceso aa lala redred

ResoluciónResolución dede conflictosconflictos entreentre plantillasplantillas dede seguridadseguridad UsoUso dede laslas herramientasherramientas ResultantResultant SetSet ofof

PoliciesPolicies (RSoP)(RSoP) Herramientas de administración de Active DirectoryHerramientas de administración de Active Directory Resultados de directiva de grupo desde GPMCResultados de directiva de grupo desde GPMC GPResultGPResult

SoluciónSolución dede erroreserrores dede aplicaciónaplicación LaLa aplicaciónaplicación dede revisionesrevisiones oo plantillasplantillas

de seguridadde seguridad puedepuede impedirimpedir elel funcionamientofuncionamiento dede laslas aplicacionesaplicaciones

Herramientas para solucionar errores Herramientas para solucionar errores de las aplicacionesde las aplicaciones Network MonitorNetwork Monitor File MonitorFile Monitor Registry MonitorRegistry Monitor Dependency WalkerDependency Walker CipherCipher

SoluciónSolución dede problemasproblemas dede serviciosservicios yy procesosprocesos

QuizásQuizás tengatenga queque solucionarsolucionar problemasproblemas concon loslos serviciosservicios:: Cuando los servicios y los procesos no Cuando los servicios y los procesos no

puedan iniciarsepuedan iniciarse Para confirmar que todos los servicios y Para confirmar que todos los servicios y

procesos son legítimosprocesos son legítimos

Herramientas para solucionar problemas Herramientas para solucionar problemas con los procesos:con los procesos: Tlist.exe o Process ExplorerTlist.exe o Process Explorer Dependency WalkerDependency Walker Examinar las propiedades de los archivos DLLExaminar las propiedades de los archivos DLL

SoluciónSolución dede problemasproblemas dede conexionesconexiones dede redred

CompruebeCompruebe queque sólosólo loslos puertospuertos necesariosnecesarios estánestán abiertosabiertos enen loslos equiposequipos

Herramientas para determinar el uso Herramientas para determinar el uso de los puertos:de los puertos: Netstat –o (en Windows XP o Windows Netstat –o (en Windows XP o Windows

Server 2003)Server 2003) Administrador de tareasAdministrador de tareas Comprobar el uso de los puertos de las Comprobar el uso de los puertos de las

aplicaciones y serviciosaplicaciones y servicios

RecomendacionesRecomendaciones parapara lala soluciónsolución dede problemasproblemas UtiliceUtilice unauna estrategiaestrategia formalformal dede

administraciónadministración dede cambioscambios yy configuraciónconfiguración parapara todostodos loslos cambioscambios dede seguridadseguridad

Pruebe todos los cambios de configuración Pruebe todos los cambios de configuración de seguridadde seguridad

Utilice herramientas RSOP en modo Utilice herramientas RSOP en modo de diseñode diseño

Documente la configuración normalDocumente la configuración normal Tenga preparada una estrategia para Tenga preparada una estrategia para

deshacer los cambiosdeshacer los cambios Solucione los problemas de forma seguraSolucione los problemas de forma segura

ResumenResumen dede lala sesiónsesión

EstrategiasEstrategias realesreales dede administraciónadministración de revisionesde revisiones

Estrategias reales de acceso remotoEstrategias reales de acceso remoto Solución de problemas de Solución de problemas de


PasosPasos siguientessiguientes

1.1. MantenerseMantenerse informadoinformado sobresobre lala seguridadseguridad Suscribirse a boletines de seguridad:Suscribirse a boletines de seguridad:

http://www.microsoft.com/latam/technet/seguridad/boletines.asphttp://www.microsoft.com/latam/technet/seguridad/boletines.asp

Obtener las directrices de seguridad de Microsoft Obtener las directrices de seguridad de Microsoft más recientes:más recientes:http://www.microsoft.com/latam/technet/seguridad/http://www.microsoft.com/latam/technet/seguridad/

2.2. Obtener aprendizaje de seguridad adicionalObtener aprendizaje de seguridad adicional1.1. Buscar seminarios de aprendizaje en línea y Buscar seminarios de aprendizaje en línea y

presenciales:presenciales:http://www.microsoft.com/latam/technet/evento/default.asphttp://www.microsoft.com/latam/technet/evento/default.asp

1.1. Buscar un CTEC local que ofrezca cursos prácticos:Buscar un CTEC local que ofrezca cursos prácticos:http://www.microsoft.com/spain/formacion/default.asphttp://www.microsoft.com/spain/formacion/default.asp http://www.microsoft.com/latam/entrenamiento/default.asphttp://www.microsoft.com/latam/entrenamiento/default.asp

ParaPara obtenerobtener másmás informacióninformación

SitioSitio dede seguridadseguridad dede MicrosoftMicrosoft (todos(todos loslos usuarios)usuarios) http://www.microsoft.com/latam/seguridad http://www.microsoft.com/latam/seguridad

Sitio de seguridad de TechNet Sitio de seguridad de TechNet (profesionales de IT)(profesionales de IT) http://www.microsoft.com/latam/technet/http://www.microsoft.com/latam/technet/

seguridad/default.aspseguridad/default.asp http://www.microsoft.com/spain/technet/http://www.microsoft.com/spain/technet/

seguridad/default.aspseguridad/default.asp

Sitio de seguridad de MSDN Sitio de seguridad de MSDN (desarrolladores)(desarrolladores) http://msdn.microsoft.com/securityhttp://msdn.microsoft.com/security

(este sitio está en inglés)(este sitio está en inglés)

PreguntasPreguntas yy respuestasrespuestas

Estrategias de seguridad aplicada NombrePuestoCompañía.

Documents

Transcript of Estrategias de seguridad aplicada NombrePuestoCompañía.