Enlaces

Inicio

Otros paises

Buscar en Microsoft.com:

Inicio TechNet

|Suscripcin CD/DVD

|Boletn|Internacional|Suscrbase|Mapa del |Contacte con Web nosotros

Buscar TechNetMSDNKnowledge BaseToda Microsoft.com Cmo instalar de forma segura Windows 2000 Actualizado: 18 de Junio de 2004
En esta pgina

Qu es TechNet Productos y Tecnologas Soluciones TI Seminarios y Webcasts Seguridad Recursos y Descargas Soporte Migracin e Interoperabilidad Desktop Deployment Comunidad Nueva Suscripcin CD/DVD TechNet Formacin y Certificacin Enlaces Encuentre un partner de soluciones

Descripcin del mdulo Objetivos Marco de aplicacin Uso del mdulo Instalacin del sistema operativo Proceso de instalacin de Windows 2000 Seleccin de buenas contraseas Consideraciones acerca de los Service Packs de Windows 2000

Descripcin del mdulo

Este mdulo proporciona las recomendaciones y los procedimientos de instalaci para instalar el sistema operativo Microsoft Windows 2000 en un entorno se Principio de la pgina

Objetivos

Utilice este mdulo para: Instalar de forma segura el sistema operativo Windows 2000 Identificar los problemas de contraseas relacionados con los sistemas que ejecu Windows 2000 Identificar las consideraciones acerca de los Service Packs de Windows 2000 Principio de la pgina

Marco de aplicacin
Este mdulo se aplica a los siguientes productos y tecnologas: Sistema operativo Microsoft Windows 2000

 Instalacin del sistema operativo Principio de la pgina

Uso del mdulo

Este mdulo se puede utilizar como gua para instalar y actualizar de forma seg sistemas con Windows 2000. Para sacar el mximo provecho de este mdulo: Lea el mdulo "Configuraciones de seguridad de Windows 2000". En este proporciona documentacin detallada sobre la configuracin que se puede utilizar mejorar la seguridad en el sistema operativo Windows 2000. Lea el mdulo "Herramientas de configuracin de seguridad de Windows este mdulo se describen las herramientas de Windows 2000 que se pueden utiliz aplicar configuraciones seguras. Lea el mdulo "Configuracin de las directivas de seguridad predetermin Windows 2000". En este mdulo se identifica la configuracin de las directivas seguridad predeterminadas que se aplica a las diferentes funciones del sistema o Windows 2000. Lea el mdulo "Configuracin de privilegios y derechos de usuario de Win 2000". En este mdulo se identifican las asignaciones predeterminadas de derec usuario en los sistemas que ejecutan Windows 2000 y proporciona una lista de lo recomendados en "Configuraciones de seguridad de Windows 2000". Utilice la lista de comprobacin "Lista de comprobacin de configuracin seguridad de Windows 2000". Este mdulo contiene las listas de comprobaci seguridad que se pueden utilizar al evaluar un sistema para comprobar que se ha todos los cambios de configuracin. Utilice los artculos de instrucciones que acompaan a la gua: "Configuracin y aplicacin de plantillas de seguridad con Windows 2000" Principio de la pgina

Instalacin del sistema operativo

Esta seccin indica los procedimientos de instalacin inicial de la familia de siste operativos de Windows 2000.

Preparacin de la instalacin

Durante la instalacin, el programa de configuracin le pedir la informacin ne para instalar y configurar Windows 2000. Preprese para la instalacin del siste operativo Windows 2000 recopilando la informacin acerca del hardware y toma decisiones de configuracin antes de iniciar el proceso de instalacin. La siguien de comprobacin le ofrece algunas directrices acerca de la informacin que nec determinar antes de iniciar el proceso de instalacin. Tabla 1: Lista de comprobacin previa a la instalacin de Windows 2000 Informacin Descripcin Compatibilidad Revise todo el hardware para comprobar la compatibilidad con el s del hardware operativo Windows 2000. Entre los componentes de hardware se in placa base, adaptadores de red, tarjeta grfica, tarjeta de sonido y de CD-ROM. Para obtener ms informacin, consulte "The Windows Hardware Compatibility List (HCL)", en la direccin:

http://www.microsoft.com/windows2000/server/howtobuy/upgrad Asegrese de que el sistema tiene suficiente espacio en disco. El m espacio en disco recomendado para la instalacin de Windows 2000 gigabytes (GB). Particiones de Determine los requisitos de particiones de disco, sin olvidar las disco recomendaciones de espacio en disco mnimo para la instalacin de operativo Windows 2000. Sistema de Debe configurar el sistema de archivos como NTFS para permitir la archivos configuracin de la seguridad. Un error de concepto bastante habit pensar que es ms sencillo recuperar un sistema que se ejecuta co particin FAT, lo cual no es cierto, ya que FAT slo reduce la segur no facilita la recuperacin. Mtodo de Determine si el sistema operativo Windows 2000 se instalar desde instalacin inicio de instalacin, CD-ROM o mediante la red. Los procedimiento indican en este documento describen las instalaciones desde discos desde CD-ROM. Componentes Antes de la instalacin, determine los servicios que sern necesario de servicios sistema operativo instalado. Para instalaciones de servidores, las consideraciones pueden incluir Microsoft Active Directory, DNS, W DHCP. Espacio en disco Principio de la pgina

Proceso de instalacin de Windows 2000

Mtodos de instalacin

Puede instalar Windows 2000, bien como una actualizacin de un sistema opera Windows existente o como una nueva instalacin de un sistema operativo. Para garantizar la seguridad, Windows 2000 debe ser el nico sistema operativo en e y deber instalarlo en una particin limpia. Es decir, deber eliminar cualquier s operativo anterior de todas las particiones de disco duro del equipo antes de ins Windows 2000. Hay tres mtodos disponibles para instalar el sistema operativo Windows 2000: Discos de inicio de instalacin: este mtodo est diseado para utilizarlo con equ heredados que no admiten discos CD-ROM de inicio. No se ampliar la explicacin CD-ROM. A travs de la red: este mtodo no se aconseja, salvo en entornos en los que se garantizar que la red no es hostil.

Inicio de la instalacin desde un CD-ROM de inicio

El uso de un CD-ROM de inicio es el mtodo ms sencillo y rpido de instalar W 2000. Para asegurarse de que el equipo no est en peligro durante la instalaci obstante, deber desconectarlo de la red hasta que haya finalizado la instalaci instalado el Service Pack ms reciente. Inicie la instalacin desde un CD-ROM de inicio de la siguiente manera: 1.Inserte el CD-ROM en la unidad. 2.Reinicie el equipo y espere a que la instalacin muestre un cuadro de dilogo. En equipos ser necesario presionar una tecla durante el proceso de inicio para inic CD-ROM. 3.Siga las instrucciones de instalacin que aparecern en la pantalla. En el resto de este mdulo, veremos la manera ms segura de instalar el sistem

explicacin no pretende ser una descripcin completa del proceso de instalacin

Configuracin de las particiones de disco

Durante la instalacin inicial de modo de texto del sistema, la instalacin le pre dnde desea instalar Windows 2000. La figura 1 muestra el cuadro de dilogo q aparece. Si hay varias particiones o varios discos duros aparecern identificado pantalla. El ejemplo de la figura 1 que se incluye a continuacin muestra un dis de 40 gigabytes que no tiene particiones. Importante: por motivos de seguridad, deber utilizar este cuadro de dilogo eliminar todas las otras particiones de sistemas operativos del sistema. En el caso de estaciones de trabajo, deber utilizar todo el espacio de un disco particin de instalacin. En el caso de servidores, deber utilizar aproximadame de espacio en un disco para el sistema operativo. El espacio restante en el siste debe reservar para archivos de datos, servicios, utilidades, etc. Debe evitar alm archivos de datos de usuarios en la particin de inicio de los servidores. No obs esto es aceptable en las estaciones de trabajo, ya que permite que los usuarios sus datos con mayor facilidad. Figura 1: Seleccin de particiones de disco El siguiente paso tras crear la particin consiste en darle formato. Para todos lo sistemas en los que la seguridad es necesaria, se debe dar a todas las particion formato NTFS. Slo los sistemas que utilizan NTFS pueden considerarse razona seguros.

Asignar una contrasea a la cuenta del administrador

El cuadro de dilogo Nombre del equipo y contrasea del administrador q muestra en la figura 2 permite establecer la contrasea de la cuenta predeterm administrador. Las instrucciones concretas sobre cmo establecer una buena co se indican en la seccin Seleccin de buenas contraseas. Es muy importante e una buena contrasea en la cuenta incorporada del administrador durante la in Figura 2: Cuadro de dilogo Nombre del equipo y contrasea del administrador

Seleccionar los componentes de servicios de los productos Windows 2000 Server

En el cuadro de dilogo Componentes de Windows 2000 (que se muestra en 3), seleccione los componentes necesarios para el servidor que se est instalan cuadro de dilogo permite agregar o eliminar componentes durante la instalaci configuracin predeterminada de Windows 2000 Professional es aceptable, pero Windows 2000 Server debe modificarse durante la instalacin. 1.Algunos componentes no deben seleccionarse, ya que reducen la seguridad del s Entre stos se incluyen Servicios simples de TCP/IP y el protocolo SNMP. 2.En el caso de instalaciones en servidores, se seleccionan de manera predetermin Servicios de Index Server, Servicios de Internet Information Server (IIS Depurador del archivo de comandos en el cuadro de dilogo Componentes Windows 2000. Sin embargo, la mayora de los sistemas no necesitan estos co En servidores que no sean Web, se deben desactivar IIS y Depurador del arch comandos. En los sistemas en los que no sea necesaria la indizacin de archivo buscar archivos, se debe desactivar Servicios de Index Server. Tenga en cuen sistemas que ejecutan Microsoft Exchange 2000 necesitarn que se instalen algu de IIS. Sin embargo, la configuracin de seguridad de Exchange 2000 queda fue

alcance de esta gua. Si desea obtener ms informacin acerca de Exchange 200 consulte "Security Operations Guide for Exchange 2000 Server" en la direccin: http://www.microsoft.com/technet/security/prodtech/mailexch/opsguide/default Nota: debido a la amplia difusin de los gusanos que se aprovechan de los sist seguros en la mayora de las redes, debe instalar los sistemas que ejecutan IIS segmento de red aislado o desconectarlo de la red, hasta que se instale el Serv 3 o superior. Figura 3: Seleccin de los componentes de Windows 2000

Convertir un Windows 2000 Server en un controlador de do

Para crear un controlador de dominio, primero debe instalar uno de la familia d productos de Windows 2000 Server y, a continuacin, convertir el sistema en u controlador de dominio. Para ello, puede utilizar la herramienta DCPromo.exe. D la conversin, aparecer un cuadro de dilogo llamado Permisos (consulte la f En este cuadro de dilogo, aparece seleccionado de manera predeterminada Pe compatibles con servidores pre-Windows 2000. Cuando se selecciona esta el grupo Todos pasa a pertenecer al grupo Acceso compatible con versiones ant de Windows 2000. Este grupo tiene acceso de lectura a todos los atributos de t objetos de Active Directory, lo que hace seriamente posible que haya fugas de seguridad. Si tiene un sistema que ya ha sido convertido, puede comprobar si s esta casilla de verificacin examinando la pertenencia del grupo Acceso compat versiones anteriores de Windows 2000. Si Todos pertenece a este grupo, elimn continuacin, reinicie todos los controladores de dominio. Resulta necesario rein que el token de acceso que gobierna este acceso se crea durante el inicio. En el caso de nuevas instalaciones, en las que el acceso a servidores y clientes ejecuten Windows 2000 no es necesario, debe seleccionarse Permisos compa slo con servidores Windows 2000. Este ejemplo es el primero que nos mu caso en el que se puede aumentar considerablemente la seguridad cuando no e necesario mantener la compatibilidad con versiones anteriores. Figura 4: Cuadro de dilogo Permisos de Active Directory Principio de la pgina

Seleccin de buenas contraseas

Gran parte de la seguridad del sistema depende de que se elijan buenas contra que se explica con detalle en esta seccin. Para entender cmo seleccionar bue contraseas en Windows 2000, no obstante, es necesario conocer los conceptos acerca de cmo el sistema operativo almacena las contraseas.

Representaciones de contraseas de Windows 2000

De manera predeterminada, Windows 2000 nunca almacena una contrasea de como texto sin cifrar, sino que las contraseas se almacenan mediante dos representaciones diferentes de las contraseas, llamadas habitualmente "hashe utilizan estas dos representaciones para posibilitar la compatibilidad con version anteriores.

LMHash

El LMHash, tambin denominado hash de Lan Manager, no es en absoluto un ha hablando tcnicamente. Se calcula de la siguiente manera:

1.Se convierten todos los caracteres de la contrasea que estn en minsculas a m 2.Se rellena la contrasea con caracteres nulos hasta que tiene exactamente 14 ca 3.Se divide la contrasea en dos bloques de 7 caracteres. 4.Se utiliza cada bloque de manera independiente como una clave DES para cifrar determinada cadena. 5.Se concadenan los dos textos de cifras en una cadena de 128 bits y se almacena resultado. Como consecuencia del algoritmo que se utiliza para generar el LMHash, este h muy sencillo de averiguar. En primer lugar, incluso una contrasea que tiene m caracteres se puede atacar con dos bloques discretos. En segundo lugar, se pue ignorar todos aquellos caracteres correspondientes a minsculas. Por tanto, la m de las herramientas para averiguar contraseas comenzar averiguando los LM a continuacin, sencillamente variarn los caracteres alfabticos de la contrase averiguada para generar las contraseas con maysculas y minsculas. Observ para poder iniciar sesin en un sistema que ejecuta Windows 2000, ya sea de m remota o local, deber utilizar la contrasea respetando las maysculas y min

NTHash
El NTHash tambin se denomina hash de Unicode, debido a que admite todo el caracteres de Unicode. Este NTHash se calcula tomando la contrasea en texto y generando el hash MD4 de la misma. A continuacin, se almacena el MD4. El resulta mucho ms resistente a los ataques de fuerza bruta que el LMHash. Se varias rdenes de magnitud ms en averiguar por fuerza bruta un NTHash que averiguar por fuerza bruta un LMHash de la misma contrasea.

Cmo se crea una buena contrasea?

A continuacin, se indican varias instrucciones para crear una contrasea razon Con ms de 7 caracteres (en otro caso, la segunda mitad del LMHash es un cifrad la contrasea nula). Contiene elementos de al menos tres de los siguientes cuatro juegos de caractere Caracteres en maysculas Caracteres en minsculas Nmeros Caracteres que no sean alfanumricos

No contiene ninguna parte del nombre del usuario, el nombre de usuario o alguna habitual. Se puede obligar al cumplimiento de estas normas de complejidad mediante un contraseas y, si se desea, se pueden requerir mediante una directiva de grupo Adems, un administrador puede personalizar los requisitos de complejidad si e filtro de contraseas personalizado. Este filtro puede, por ejemplo, obligar a qu nombres de la compaa no formen parte de la contrasea o requerir cierta com adicional. Si desea obtener ms informacin acerca de cmo escribir uno de est consulte "Password Filters" del SDK de Microsoft Windows Software, en la direc http://msdn.microsoft.com/library/en-us/security/Security/password_filters.asp Sin embargo, la mayora de las contraseas an se puede averiguar con facilida varios pasos que puede seguir para conseguir que una contrasea sea ms difc averiguar: Utilizar caracteres numricos no alfabticos diferentes de los que aparecen en la superior". Los caracteres de la fila superior son aquellos que se escriben manteni

presionada la tecla MAYS y utilizando una de las teclas de nmero. La mayora d usuarios que intentan averiguar contraseas saben que los caracteres de la fila su el mtodo ms habitual de aumentar la entropa de una contrasea y, por tanto, a intentar averiguarla utilizndolos. Utilizar caracteres ALT. Los caracteres ALT son aquellos que se escriben mantenie presionada la tecla ALT (las teclas FN+ALT en un equipo porttil) y escribiendo un con tres o cuatro dgitos en el teclado numrico (el teclado numrico superpuesto equipo porttil). La mayora de los usuarios que intentan averiguar contraseas n comprobar la gran variedad de caracteres ALT. No permitir el almacenamiento del LMHash. Hay varias maneras de evitar que se almacene el LMHash. No obstante, puede la creacin de un LMHash en una cuenta si se construye la contrasea de deter maneras. En primer lugar, si la contrasea tiene ms de 14 caracteres el sistema no podr generar un LMHash. En Windows 2000, las contraseas pueden tener hasta 127 caracteres. En segundo lugar, si la contrasea contiene algunos caracteres ALT, el sistema generar un LMHash. Este ltimo punto resulta delicado, ya que mientras que al caracteres ALT hacen que la contrasea sea mucho ms resistente al eliminar e LMHash, otros la debilitan considerablemente ya que se convierten en una letra en maysculas antes de su almacenamiento. No obstante, hay muchos caracter harn ms resistente la contrasea. La tabla 2 muestra todos los caracteres inf 1024 que conseguirn que no se genere el LMHash. Tabla 2. Caracteres ALT que consiguen que desaparezcan el LMHash 0128-0159 0306-0307 0312 0319-0320 0329-0331 0383 0385-0406 0408-0409 0411-0414 0418-0424 0426 0428-0429 0433-0437 0439-0447 0449-0450 0452-0460 0477 0480-0483 0494-0495 0497-0608 0610-0631 0633-0696 0699 0701-0707 0709 0711 0716 0718-0729 0731 0733-0767 0773-0775 0777 0779-0781 0783-0806 0808-0816 0819-0893 0895-0912 0914 0918-0919 0921-0927 0929-0930 0933 0935-0936 0938-0944 0947 0950-0955 0957-0959 0961-0962 0965 0967-1024 En muchos entornos, el LMHash no se puede desactivar en todo el sistema. Est puede presentarse, por ejemplo, en entornos en los que el sistema operativo se instalado a travs de la red mediante el inicio en un disco DOS. DOS no admite algoritmo Hash NT y, por tanto, requiere que est presente el LMHash. Adems admite la presencia de caracteres ALT en la contrasea. Mientras que LMHashe desactivar en todo el sistema cuando sea posible, las tcnicas anteriores se pue utilizar para aumentar la resistencia de las contraseas en todos los entornos. Debe utilizar los caracteres ALT en cuentas de especial importancia como las cu servicios y las cuentas administrativas. En general, estas cuentas necesitan una proteccin que las cuentas normales de los usuarios y los usuarios que las utilic estar dispuestos a utilizar contraseas muy complicadas. Una advertencia que e realizar es que si se utilizan caracteres ALT en una contrasea no se puede utili consola de recuperacin. No hay que olvidar esto al establecer contraseas con caracteres ALT. Principio de la pgina

Consideraciones acerca de los Service Packs de Win 2000

Los Service Packs de Windows 2000 para Windows 2000 Professional, Windows Server y Windows 2000 Advanced Server proporcionan las actualizaciones ms para el sistema operativo Windows 2000. Estas actualizaciones son una recopila revisiones en las siguientes reas: compatibilidad de aplicaciones, confiabilidad sistema operativo, seguridad y configuracin. Cada actualizacin de Service Pac acumulativa, ya que incluye todas las actualizaciones que contenan los anterio Service Packs de Windows 2000. Las revisiones posteriores a los Service Packs de Windows 2000 proporcionan actualizaciones de productos para tratar problemas concretos que pueden apar las generaciones de los Service Packs. Todas las revisiones se suelen acumular generar un Service Pack. Por ejemplo, Windows 2000 Service Pack 3 contiene t actualizaciones del Service Pack 2 ms todas las revisiones que aparecieron tra Service Pack 2.

Cifrado de Windows 2000 Service Pack

Windows 2000 Service Pack 2 y posteriores admiten capacidad de mayor cifrad bits) de manera predeterminada y actualizarn automticamente el sistema op del cifrado estndar (56 bits) si todava no se ha actualizado. No es posible des desinstalar esta caracterstica. Si se quita el Service Pack despus de su instala sistema operativo continuar utilizando el cifrado de 128 bits y no volver a uti cifrado de 56 bits. Existe, no obstante, una excepcin. El almacn protegido es un almacn de dat present con Internet Explorer 4.0. El almacn protegido est quedando obsole sustituyndose por la API de proteccin de datos. Sin embargo, de manera predeterminada, los datos del almacn protegido, como los nombres de usuario contraseas de IE, se protegen mediante un cifrado mnimo y este cifrado no se actualiza durante la instalacin del Service Pack. Para actualizar el cifrado del a protegido, debe ejecutar el siguiente comando tras instalar el Service Pack 2 o Keymigrt.exe Keymigrt.exe m La utilidad keymigrt.exe tambin admite los siguientes modificadores: keymigrt [-f] [-v] [-u] [-m] [-s] CAPI Key upgrade utility -f - Force key upgrade -e - Force Encryption Settings upgrade -v - Verbose -u - Allow upgrade of UI protected keys -m - Upgrade machine keys -s - Show current state, but make no modifications Para obtener ms informacin sobre keymigrt.exe y descargar esta herramienta consulte el boletn de seguridad Microsoft MS00-032 en la direccin http://www.microsoft.com/technet/security/bulletin/ms00-032.mspx.

Acciones recomendadas antes de instalar actualizaciones d revisiones y Service Packs

Antes de instalar cualquier actualizacin de revisiones o Service Packs 1.Cierre todas las aplicaciones.

2.Actualice el disco de reparaciones de emergencia (ERD): 1.Haga clic en Inicio, vaya a Programas, seleccione Accesorios, Herramien sistema y, a continuacin, haga clic en Copia de seguridad. Figura 5: Interfaz de la utilidad de copia de seguridad 2.En la ficha Bienvenido, haga clic en Disco de reparaciones de emergenci 3.En la ventana Disco de reparaciones de emergencia, seleccione Hacer co seguridad del Registro en el directorio de reparaciones para guardar lo del Registro actual en una carpeta llamada \RegBack de la carpeta %systemroot%\Repair. Esta opcin es til si es necesario recuperar el sistem de fallo. 4.Haga clic en Aceptar para crear el ERD. 5.Una vez creado el ERD, se copiarn los archivos descritos en la tabla 3 de la c %systemroot%\Repair en un disquete. Tabla 3: Archivos copiados en un disquete al crear el ERD Nombre de Contenido archivo Autoexec.nt Copia de %systemroot%\System32\Autoexec.nt, que se utiliza pa el entorno MS-DOS. Config.nt Copia de %systemroot%\System32\Autoexec.nt, que se utiliza pa el entorno MS-DOS. Setup.log Registro que indica los archivos que se instalaron y la informacin prueba cclica de redundancia (CRC) que se utiliza durante el proce reparaciones de emergencia. Este archivo tiene los atributos de s de sistema y oculto, por lo que no ser visible a menos que se hay configurado el equipo para que muestre todos los archivos.

3.Realice una copia de seguridad completa del equipo, incluidos los archivos del r 4.Compruebe el espacio en disco disponible respecto a los requisitos de actualiza por lo general aparecen en el correspondiente archivo Lame. 5.Si se han realizado cambios recientes al sistema puede que sea necesario reinic equipo antes de instalar una actualizacin de Service Pack.

Instalacin de actualizaciones de revisiones y Service Pack

Puede instalar el ms reciente Windows 2000 Service Pack desde un CD de Ser desde una unidad de red, desde el sitio Web de Windows 2000 Service Pack, en direccin: http://www.microsoft.com/windows2000/downloads/servicepacks/. Puede consultar los procedimientos detallados de cada mtodo de instalacin e archivo lame del Service Pack. Durante el proceso de instalacin, el programa Pack instala sus archivos en el equipo y crea automticamente una copia de seg de los archivos y la configuracin que cambia el instalador del Service Pack. Los de la copia de seguridad se guardan en la carpeta $NTServicepackUninstall$ de carpeta %systemroot%.

(Este artculo contiene referencias a guas de otros productos y vnculos a sitios slo estn disponibles en ingls.)

Principio de la pgina

Versin para impresora Enviar esta pgina Agregar a Favoritos Administre su perfil 2007 Microsoft Corporation. Todos los derechos reservados. Condiciones de uso |Marcas registradas |Declaracin de Privacidad