Académique Documents
Professionnel Documents
Culture Documents
Índice
• Introducción
• Protección de Exchange Server
• Protección de SQL Server
• Seguridad en Small Business Server
• Seguridad en los datos
• Defensa en profundidad
• Importancia de la seguridad en las aplicaciones
• Importancia de la seguridad en los datos
• Recomendaciones para los servidores de aplicaciones
1. 2. 1
1. Introducción
Cap6-01.jpg
1. 2. 2
Nivel perimetral: servidores de seguridad de hardware,
software o ambos, y redes privadas virtuales con
procedimientos de cuarentena
Nivel de red de Internet: segmentación de red, Seguridad IP
(IPSec) y sistemas de detección de intrusos de red
Nivel de host: prácticas destinadas a reforzar los servidores
y clientes, herramientas de administración de revisiones,
métodos seguros de autenticación y sistemas de detección
de intrusos basados en hosts
Nivel de aplicación: prácticas destinadas a reforzar las
aplicaciones y el software antivirus
Nivel de datos: listas de control de acceso (ACL) y cifrado
Cap6-20.jpg
1. 2. 3
• Las aplicaciones de red permiten que los clientes tengan acceso a los datos
y los traten. También constituyen un punto de acceso al servidor donde se
ejecutan las aplicaciones.
• Recuerde que la aplicación proporciona un servicio a la red. Este servicio no
debe anularse con la implementación de seguridad.
• Examine las aplicaciones desarrolladas internamente, además de las
comerciales, en busca de problemas de seguridad.
• Los intrusos cuyo interés son las aplicaciones, pueden bloquear alguna de
ellas para conseguir que su funcionalidad deje de estar disponible.
• Las aplicaciones puede tener defectos que los atacantes pueden manipular
para ejecutar código malintencionado en el sistema.
• Un intruso podría utilizar en exceso un servicio, de modo que se imposibilite
su uso legítimo; éste es un tipo de ataque de denegación de servicio.
• Una aplicación también podría utilizarse para llevar a cabo tareas para las
que no esté destinada, como enrutar correo electrónico.
1. 2. 4
En la actualidad, la mayor parte de los ataques se producen en el nivel de
aplicación
La defensa en profundidad aumenta la seguridad del sistema. Esta
estrategia incluye la seguridad de las aplicaciones. Por ejemplo:
Cap6-02.jpg
1. 2. 5
o Sin embargo, estos permisos no protegen los datos si el sistema
operativo se ha visto comprometido o si no está activo. Por
ejemplo, si un intruso sustrae un equipo portátil, puede instalar un
sistema operativo diferente o mover el disco duro a otro equipo. Si
los datos no se protegen mediante cifrado, es posible que el intruso
pueda obtener acceso a todos los datos del disco duro. Esa
información podría incluso ser utilizada para comprometer toda la
red. Aunque el cifrado no impide que se roben los datos, puede
protegerlos e impedir que se utilicen en el caso de que se pongan
en peligro.
o El nivel final lo constituyen los datos. Los sistemas de equipos
almacenan, procesan y ofrecen datos. Cuando los datos se
procesan en un formato con significado, se convierten en
información útil.
o Los datos sin formato y la información que se almacena en un
sistema son objetivos de un posible ataque. El sistema mantiene
los datos en medios de almacenamiento masivo, generalmente en
un disco duro.
o Todas las versiones recientes de Microsoft Windows admiten
varios sistemas de archivos para almacenar y tener acceso a los
archivos en un disco. Uno de estos sistemas, NTFS, se puede
utilizar en Microsoft Windows NT®, Windows 2000, Windows XP y
Microsoft Windows Server™ 2003. Proporciona tanto permisos de
archivo como de carpeta para ayudar a proteger los datos.
o NTFS admite características adicionales, como la auditoría y el
Sistema de archivos de cifrado (EFS, Encrypting File System), que
se utilizan para implementar la seguridad en los datos.
o Los intrusos que obtienen acceso a un sistema de archivos pueden
hacer un daño enorme u obtener gran cantidad de información.
Pueden ver archivos de datos y documentos, algunos de los cuales
tal vez contengan información confidencial. También pueden
cambiar o quitar la información, pudiendo ocasionar varios
problemas a una organización.
o El servicio de directorio Active Directory utiliza los archivos del
disco para almacenar la información del directorio. Estos archivos
se almacenan en una ubicación predeterminada cuando el sistema
se promueve a controlador de dominio. Como parte del proceso de
promoción, es aconsejable almacenar los archivos en algún lugar
diferente de la ubicación predeterminada porque de este modo
quedarían ocultos de los intrusos. Dado que los nombres de los
archivos son conocidos (tienen el nombre de archivo NTDS.dit), si
únicamente se reubican, es probable que sólo se consiga
entorpecer el trabajo del intruso. Si los archivos de directorio se
ven comprometidos, todo el entorno del dominio queda expuesto al
riesgo.
o Los archivos de aplicación también se almacenan en disco y están
expuestos a un ataque, con lo que se ofrece a los intrusos la
oportunidad de interrumpir la aplicación o manipularla con fines
malintencionados.
1. 2. 6
o EFS permite el cifrado de los archivos cuando residen en el
sistema de archivos. Se basa en el formato NTFS del disco, que
está disponible desde Windows 2000. Es importante entender que
EFS no cifra los archivos mientras se están transmitiendo a través
de una red. El proceso de cifrado utiliza una clave para cifrar el
archivo y la tecnología de claves pública y privada para proteger
dicha clave.
o NTFS también proporciona seguridad en los archivos y en las
carpetas. De este modo, se permite la creación de listas de control
de acceso para definir quién ha obtenido acceso a un archivo y qué
acceso tiene.
o El aumento de la protección del nivel de datos debe incluir una
combinación de listas de control de acceso y cifrado. Al cifrar un
archivo, únicamente se impide la lectura no autorizada; no se evita
ninguna acción que no requiera la lectura del archivo, como la
eliminación. Para impedir la eliminación, utilice listas de control de
acceso.
o Puesto que los datos son esenciales en muchos negocios, es
importante que su recuperación sea un proceso conocido y
probado. Si se realizan copias de seguridad con regularidad,
cualquier alteración o eliminación de datos, ya sea accidental o
malintencionada, puede recuperarse a partir de las copias de
seguridad cuando corresponda. Un proceso confiable de copia de
seguridad y restauración es vital en cualquier entorno. Además, se
deben proteger las cintas de copia de seguridad y restauración.
Las copias de las cintas de copia de seguridad y restauración se
deben mantener en otro lugar, es decir, en una ubicación segura.
El acceso no autorizado a las cintas de copia de seguridad es igual
de dañino que infringir la seguridad física de la infraestructura.
o Las listas de control de acceso sólo funcionan en documentos
dentro del sistema de archivos para el que se hayan habilitado.
Una vez que se han copiado los documentos a otra ubicación (por
ejemplo, a la unidad de disco duro local de un usuario), no se sigue
controlando el acceso. Windows Rights Management Services
(RMS), que se incluye con Windows Server 2003, mueve la función
de control de acceso al propio objeto de forma que dicho control se
aplica independientemente de dónde se almacene el documento
físico. RMS también ofrece a los creadores de contenido un mayor
control sobre las acciones particulares que un usuario tiene
permitido llevar a cabo; por ejemplo, el destinatario puede tener
concedido acceso para leer un documento, pero no para imprimir o
copiar y pegar. En el correo electrónico enviado con Microsoft
Office Outlook® 2003, el remitente del mensaje puede impedir que
los destinatarios reenvíen el mensaje.
1. 2. 7
Cap6-03.jpg
1. 2. 8
o Instale únicamente los servicios necesarios. Si reduce el número
de servicios que se ejecutan en un servidor, puede disminuir la
exposición del mismo a ataques de seguridad.
o Asigne únicamente los permisos necesarios para realizar las tareas
requeridas. Se debe conceder a cada administrador los menores
permisos posibles que le permitan realizar sus tareas
administrativas.
o Las cuentas de servicios de aplicaciones sólo deben tener los
privilegios que necesiten. Por ejemplo, si pueden ejecutarse como
Servicio de red en vez de como Sistema local, deben hacerlo así.
o Considere otros elementos de la defensa en profundidad. La
estrategia de seguridad de defensa en profundidad utiliza varios
niveles de protección. Si un nivel se ve comprometido, ello no
implica que se comprometa todo el sistema.
o Una vez que haya aplicado estas prácticas, pase a los siguientes
niveles de defensa para proteger servidores de aplicaciones
específicos, como Exchange Server, SQL Server y Small Business
Server.
1. 2. 9
2. Protección de Exchange Server
Cap6-04.jpg
Cap6-05.jpg
1. 2. 10
integral de la función Outlook® Web Access (OWA) de Exchange.
Este conjunto de complicadas relaciones implica que al intentar
bloquear los servidores Exchange, debe considerar muchos
componentes diferentes y tener en mente el concepto de defensa
en profundidad. Entre estos componentes se hallan:
• Una de las herramientas que puede utilizar para proteger los servidores
Exchange son las plantillas de seguridad basadas en funciones de los
servidores. Las plantillas de seguridad se han diseñado para proteger los
servidores Exchange, de acuerdo con su función en la infraestructura de
Exchange.
• En el servidor de servicios de fondo de Exchange 2000, aplique la plantilla de
seguridad de línea de base para los servidores integrantes de Windows 2000
y, a continuación, agregue la plantilla incremental de servicios de fondo de
Exchange.
1. 2. 11
• En el servidor de aplicaciones para usuario de Exchange 2000, aplique la
plantilla de seguridad de línea de base para los servidores integrantes de
Windows 2000 y, a continuación, agregue la plantilla incremental de
aplicaciones para usuario de Exchange. Además, desmonte y elimine los
almacenes públicos y privados, a menos que se trate de un servidor de
puerta de enlace SMTP.
• En el servidor OWA de Exchange 2000, ejecute la herramienta Bloqueo de
seguridad de IIS con URLScan. Ésta es la forma más sencilla de reducir la
parte del servidor OWA de Exchange que queda expuesta a ataques.
• En el servidor de servicios de fondo de Exchange 2003, aplique la plantilla de
seguridad de línea de base de Windows Server 2003 y, a continuación,
aplique las plantillas de protocolo según convenga.
• En los servidores Exchange 2003 y OWA, aplique Bloqueo de seguridad de
IIS con URLScan 2.5 como parte integral de IIS 6. Los componentes de
servidor Exchange se deben ejecutar en el modo de aislamiento de
aplicaciones.
• En los controladores de dominio con Exchange, aplique la plantilla de línea
de base de controladores de dominio (BaselineDC.inf) de la Guía de
seguridad de Windows Server 2003, y después aplique la plantilla
incremental de controladores de dominio de Exchange. Esta plantilla
aumenta la secuencia de comandos de controladores de dominio de línea de
base para abordar los requisitos específicos de Exchange.
Información adicional:
Para obtener más información sobre las plantillas de seguridad para Exchange
2000, consulte el capítulo 3 de la Guía de operaciones de seguridad para
Exchange 2000 Server (Security Operations Guide for Exchange 2000 Server):
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/security/prodtech/mailexch/opsguide/e2ksec03.asp (este sitio está
en inglés).
1. 2. 12
• Cuando planee su implementación de seguridad, considere todos los
aspectos de la protección de los servidores Exchange.
• Para proteger el acceso a los servidores Exchange, bloquee el acceso no
autorizado a los mismos y a su información.
• Asimismo, debe cifrar las comunicaciones entre los clientes Exchange y el
servidor Exchange. Esto es especialmente importante para el proceso de
autenticación, que puede transmitir contraseñas a través de una red. Al
bloquear las comunicaciones en los puertos que no son necesarios para
Exchange, se protege al servidor contra ataques basados en la red.
• Es importante bloquear el correo no deseado, no sólo porque es irritante sino
también debido al riesgo que supone. Para ello, filtre el correo entrante e
impida la retransmisión no autorizada. Al permitir la retransmisión de los
mensajes de correo, facilita el trabajo de los sistemas de envío de correo no
deseado y aumenta la carga de trabajo de su servidor.
• Por último, debe bloquear todos los mensajes de correo electrónico no
seguros mediante la detección de virus y el bloqueo de archivos adjuntos. La
detección de virus puede bloquear el correo electrónico que contenga virus
conocidos. El bloqueo de los archivos adjuntos puede impedir la recepción de
todos los tipos de archivos adjuntos que puedan ser peligrosos, como los
archivos de programa.
Cap6-06.jpg
Cap6-07.jpg
1. 2. 15
o Autenticación de Kerberos
o RPC sobre HTTPS
Hay varias medidas que puede adoptar en Outlook 2002 y Outlook 2003 a fin de
aumentar la seguridad de las comunicaciones. Por ejemplo:
Información adicional:
1. 2. 16
Cap6-08.jpg
El servidor Exchange permite cifrar los mensajes que envía a otros destinatarios
para mantener la confidencialidad. A continuación puede ver lo que sucede
cuando envía un mensaje que se ha cifrado con S/MIME:
1. 2. 17
Cierre las retransmisiones abiertas
Protéjase de la suplantación de direcciones
Impida que Exchange resuelva los nombres de destinatario en cuentas
GAL
Configure búsquedas DNS inversas
Información adicional:
Información adicional:
1. 2. 20
1.14. Bloqueo de mensajes no seguros
Información adicional:
Para obtener más información sobre cómo protegerse contra los ataques de
virus y lo que se debe hacer en el caso de un incidente, consulte “Microsoft
1. 2. 21
Exchange 2000 Server Operations” en
http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/prodtechnol/exchange/exchange2000/maintain/operate/opsguide/def
ault.asp.
Cap6-09.jpg
Información adicional:
Para obtener más información sobre cómo utilizar permisos para proteger
Exchange, consulte “Microsoft Exchange 2000 Server Operations Guide” en
http://www.microsoft.com/technet/prodtechnol/exchange/exchange2000/maintain
/operate/opsguide/default.asp (este sitio está en inglés).
1. 2. 23
Los cambios de contraseña de OWA están desactivados de
forma predeterminada.
Hay un nuevo Asistente para conexión a Internet que hace que sea casi
imposible configurar una conexión a Internet en Exchange de una manera que
no sea segura.
Se admite la autenticación entre bosques.
Nota: sólo puede haber una organización de Exchange por cada bosque.
1. 2. 24
Eficien Continui
cia Almacenamiento
dad
Administración
Actualizaciones de
Ajuste del rendimiento hardware SAI
Sistema Exchange Rendimiento Pruebas de la recuperación
Directivas Supervisión Supervisión de la
Administración de la Recuperación ante
disponibilidad
capacidad desastres
Administración de la
Soporte técnico
disponibilidad
Antivirus
Supervisión de sucesos
Administración
Directivas de de cambios Copia de
grupo seguridad
Directivas de seguridad
Aspectos relativos a los servidores de
seguridad
Directivas del sistema Exchange
Pertenencia a grupos de Active Directory
Seguri
dad
(opcional) Cap6-grafico.jpg
1. 2. 25
Cap6-10.jpg
1. 2. 27
1. Cuando un mensaje de E-mail es recibido por el transporte, la dirección IP es
evaluada contra las listas de aceptar o negar. Si se encuentra una coincidencia
en la lista de negación, el mensaje se para en el nivel del protocolo.
2. Si la dirección IP no está en la lista de aceptar ni negar, el mensaje de E-mail
es evaluado contra una lista de bloqueo. Si se encuentra en la lista de bloqueo,
el mensaje se para en el nivel del protocolo.
3. El mensaje de E-mail se evalúa contra software de terceras partes, productos
anti-junk, e-mail o plug-ins que se configuran en la capa de transporte.
4. El mensaje de E-mail se mueve al information store y, de acuerdo con su
Nivel de Spam y cómo el usuario ha configurado el Outlook, se entrega a una
carpeta o se borra.
1. 2. 28
3. Protección de SQL Server
o MSSQLSERVER (obligatorio)
o SQLSERVERAGENT
o MSSQLServerADHelper
o Microsoft Search
o Microsoft DTC
Cap6-11.jpg
1. 2. 29
intenciones que tenga acceso a la red o un usuario de la base de
datos al que se ha engañado para que ejecute código peligroso.
o Para atenuar estas amenazas:
Utilice MBSA para detectar las actualizaciones necesarias
de Windows y SQL Server que puedan no haberse aplicado.
o Durante la instalación de un servicio de SQL, se instalan los cuatro
servicios de Windows siguientes:
MSSQLSERVER (o MSSQL$NombreDeInstancia para una
instancia con nombre). Se trata del motor de base de datos
de SQL Server y es el único servicio obligatorio.
SQLSERVERAGENT (o SQLAgent$NombreDeInstancia
para una instancia con nombre). Con este servicio de
soporte técnico, puede programar comandos y notificar a los
operadores cuando se produzcan errores.
MSSQLServerADHelper. Proporciona servicios de
integración de Active Directory, por ejemplo, el registro de
instancias de base de datos.
Microsoft Search. Proporciona capacidades de búsqueda de
texto. Este servicio siempre se debe ejecutar en la cuenta
del sistema local.
Sólo se requiere el motor de base de datos
MSSQLSERVER. Los demás servicios proporcionan
funciones adicionales y únicamente se requieren en
determinados casos. Deshabilite estos servicios si no son
necesarios.
o Nota: si no utiliza transacciones distribuidas a través de Microsoft
DTC, deshabilite el servicio.
Información adicional:
1. 2. 30
Cap6-12.jpg
1. 2. 31
• Una validación deficiente de entradas en las
aplicaciones Web.
• Comandos de SQL no seguros, creados
dinámicamente.
• Inicios de sesión de aplicaciones con demasiados
privilegios en la base de datos.
• Permisos débiles que no pueden limitar el inicio de
sesión de la aplicación en la base de datos.
- Ataques de diccionario.
- Adivinación manual de contraseñas.
- Para contrarrestar estos ataques:
- Cree para las cuentas de inicio de sesión de SQL Server
contraseñas que satisfagan los requisitos de complejidad.
- Evite utilizar contraseñas que contengan palabras comunes
del diccionario.
1. 2. 33
1.23. Categorías de seguridad de los servidores de bases de datos
Cap6-13.jpg
Servidor SQL
• Seguridad de SQL Server. Varias opciones de seguridad de SQL Server se
pueden controlar a través del Administrador corporativo. Entre ellas se
encuentran el modo de autenticación, el nivel de auditoría y las cuentas que
se utilizan para ejecutar el servicio de SQL Server. Para aumentar la
seguridad, utilice la autenticación de Windows. Además, habilite la auditoría
de inicios de sesión de SQL Server y compruebe que el servicio de SQL
Server se ejecuta con una cuenta con los mínimos privilegios.
• Inicios de sesión, usuarios y funciones. SQL Server 2000 administra el
control de acceso mediante inicios de sesión, bases de datos, usuarios y
funciones. El acceso de los usuarios (y aplicaciones) a SQL Server se
concede mediante un inicio de sesión de SQL Server. El inicio de sesión se
asocia con un usuario de la base de datos al que se asigna una o varias
funciones. Los permisos concedidos a la función determinan las tablas a las
que se puede tener acceso con ese inicio de sesión y los tipos de
1. 2. 34
operaciones que se pueden realizar. Este método se utiliza con el fin de crear
cuentas de base de datos con los mínimos privilegios y los permisos más
básicos necesarios que les permitan realizar sus funciones legítimas.
• Objetos de base de datos. La capacidad de tener acceso a objetos de base
de datos de SQL Server, por ejemplo, los procedimientos almacenados
integrados, los procedimientos almacenados extendidos y los trabajos de
cmdExec, debe revisarse. Además, se deben eliminar todas las bases de
datos de ejemplo.
Sistema operativo
• Recursos compartidos. Quite todos los recursos compartidos de
archivos innecesarios, incluidos los recursos compartidos de
administración predeterminados, si no se necesitan. Proteja el resto de
recursos compartidos mediante permisos NTFS limitados. Aunque los
recursos compartidos pueden no estar expuestos directamente a Internet,
una estrategia de defensa en profundidad en la que los recursos
compartidos estén limitados y protegidos reduce el riesgo si el servidor se
ve comprometido.
• Auditoría y registro. La auditoría supone una ayuda vital a la hora
de identificar a los intrusos y los ataques en curso, así como para
diagnosticar huellas de ataques. Configure un nivel mínimo de auditoría
para el servidor de bases de datos con una combinación de las
características de auditoría de Windows y de SQL Server.
• Servicios. Deshabilite todos los servicios innecesarios que no se
utilicen para reducir rápida y fácilmente el área expuesta a ataques. Los
servicios son los principales puntos vulnerables para los intrusos que
pueden utilizar los privilegios y capacidades del servicio para tener
acceso al servidor y, posiblemente, a otros equipos. De forma
predeterminada, los servidores de bases de datos no suelen necesitar
que todos los servicios estén habilitados.
• Archivos y directorios. Utilice permisos del sistema de archivos
NTFS para proteger los archivos de registro, base de datos y programa
frente a accesos no autorizados. Cuando se utilizan listas de control de
acceso (ACL, Access Control List) junto con la auditoría de Windows, es
posible detectar si se produce alguna actividad sospechosa o no
autorizada.
• Cuentas. Limite el número de cuentas de Windows accesibles
desde el servidor de base de datos al conjunto necesario de cuentas de
usuario y servicio. En todos los casos, utilice cuentas con los mínimos
privilegios y con contraseñas seguras. Si una cuenta que se utiliza para
ejecutar SQL Server tiene pocos privilegios, disminuyen las posibilidades
de que un intruso comprometa a SQL Server y consiga ejecutar
comandos del sistema operativo.
• Registro. SQL Server mantiene varias opciones relacionadas con
la seguridad, por ejemplo, el modo de autenticación configurado en el
Registro. Limite y controle el acceso al Registro para impedir
actualizaciones no autorizadas de las opciones de configuración, por
ejemplo, para debilitar la seguridad del servidor de bases de datos.
1. 2. 35
Red
• Puertos. Los puertos que no se utilizan se cierran en el servidor de
seguridad pero es necesario que los servidores que se encuentran detrás
de él también bloqueen o limiten los puertos en función de su uso. En un
servidor SQL Server dedicado, bloquee todos los puertos excepto el
puerto SQL Server que se necesite y los requeridos para la autenticación.
• Protocolos. Limite el intervalo de protocolos que los equipos cliente
pueden utilizar para conectar al servidor de bases de datos y compruebe
que puede proteger dichos protocolos.
Información adicional:
Información adicional:
Cap6-14.jpg
Para obtener más información sobre los registros de auditoría de SQL Server,
consulte el artículo de TechNet "SQL Server 2000 Auditing" y su sección
"Understanding the Audit Log", en
http://www.microsoft.com/technet/security/prodtech/dbsql/sql2kaud.asp (este
sitio está en inglés).
1. 2. 42
1.29. Seguridad de los objetos de base de datos
Información adicional:
Para obtener más información sobre cómo desarrollar aplicaciones Web más
seguras, consulte las sesiones de aprendizaje de consejos de seguridad,
“Writing Secure Code: Best Practices” y “Writing Secure Code: Threat
1. 2. 44
Defense”, en http://www.microsoft.com/seminar/events/security.mspx (este
sitio está en inglés).
• Valide todos los datos de entrada. Se deben validar todos los datos de
entrada antes de agregarlos a la base de datos. Esta validación debe
realizarse en el servidor Web, no en el cliente. Restrinja, rechace o
sanee las entradas; y valide el tipo, la longitud, el formato y el
intervalo. Si los datos no se validan, el servidor será vulnerable a un
ataque de inserción de SQL.
• Proteja la autenticación y la autorización. Divida el sitio Web por áreas
anónimas y autenticadas. Exija que todos los usuarios utilicen
contraseñas seguras y habilite períodos de caducidad para las
contraseñas y la deshabilitación de las cuentas. No almacene
credenciales en los equipos cliente. Cifre los canales de comunicación
para proteger los testigos de autenticación; para ello, requiera el uso
de HTTPS en todo el tráfico de autenticación. Utilice cuentas con los
mínimos privilegios. Limite el acceso de los usuarios a los recursos del
sistema.
• Proteja los datos confidenciales. Cifre mediante IPSec o HTTPS los
datos confidenciales que atraviesen dispositivos de cable. Proporcione
controles de acceso seguros en los almacenes de datos
confidenciales. No almacene estos datos en cookies persistentes. No
pase datos confidenciales con el protocolo HTTP-GET.
• Utilice cuentas de servicio y proceso con los mínimos privilegios. No
almacene credenciales en texto sin cifrar. Utilice autenticación y
autorización seguras en las interfaces de administración. No utilice la
Autoridad de seguridad local (LSA, Local Security Authority). Proteja el
canal de comunicación para administración remota. Evite almacenar
datos importantes en el espacio Web.
• Configure la auditoría y el registro para identificar comportamientos
sospechosos. Sepa qué apariencia tiene el tráfico correcto. Audite y
registre la actividad de todos los niveles de aplicación. Proteja el
acceso a los archivos de registro. Realice copias de seguridad y
analice los archivos de registro con regularidad.
1. 2. 45
• Utilice métodos estructurados de tratamiento de excepciones. No
revele información de implementación de las aplicaciones
confidenciales. Considere el uso de una estructura de administración
centralizada de las excepciones.
1. 2. 46
1.32. Diez principios básicos para proteger SQL Server
Cap6-15.jpg
1. 2. 48
4. Seguridad en Small Business Server
1. 2. 50
1.35. Uso de un servidor de seguridad
Cap6-16.jpg
1. 2. 51
• Aunque utilice un servidor de seguridad externo, el filtrado del nivel de
aplicación que ISA Server proporciona puede aumentar la seguridad
contra amenazas externas.
1. 2. 52
• No utilice el servidor como estación de trabajo con el objeto de
reducir la parte del mismo expuesta a ataques y la necesidad de
instalar revisiones de seguridad.
• Siga procedimientos de seguridad adecuados para proteger
físicamente el servidor, como limitar el acceso de los usuarios al
equipo donde se ejecuta Small Business Server, preferiblemente
mediante claves que se emitan únicamente para los usuarios que
necesiten acceso físico al servidor.
• Limite el espacio de disco del usuario mediante la asignación de
cuotas de disco y la restricción del tamaño de los buzones.
• No tarde en instalar las actualizaciones de software, también
conocidas como revisiones, Service Packs y paquetes de continuación
de revisiones de seguridad, para proteger el servidor contra ataques
de denegación de servicio.
Información adicional:
1. 2. 53
5. Seguridad en los datos
1. 2. 54
1.38. Función y limitaciones de EFS
Cap6-17.jpg
Cap6-18.jpg
1. 2. 56
recuperar los datos de archivos cuando se escriben o se leen
en disco. Aunque el controlador de EFS y FSRTL se
implementan como un componente único, nunca se comunican
directamente. Utilizan el mecanismo de llamadas de control de
archivos NTFS para pasarse mensajes entre sí. Esto garantiza
que NTFS participe en todas las operaciones de archivo.
• El servicio EFS forma parte del subsistema de seguridad. Utiliza
el puerto de comunicación LPC existente entre la Autoridad de
seguridad local (LSA) y el monitor de referencia de seguridad
en modo de núcleo para comunicar con el controlador de EFS.
En el modo de usuario, interactúa con CryptoAPI para
proporcionar claves de cifrado de archivos y generar los
campos de descifrado de datos y los campos de recuperación
de datos. El servicio EFS también ofrece compatibilidad con las
API de Win32 que realizan las operaciones de cifrado,
descifrado, recuperación, importación y exportación.
• En lo que respecta a los usuarios y aplicaciones, esto no les afecta. El
cifrado y descifrado de EFS son completamente transparentes,
siempre que se configuren correctamente.
1. 2. 57
habilitar algoritmos compatibles con FIPS para
codificación, algoritmos hash y firma.
• Puede utilizar un disco de restablecimiento de contraseñas para
realizar la copia de seguridad de su contraseña en un disco de
recuperación. Puede utilizar este disco si desea recuperar su
contraseña, lo que le permite tener acceso a los archivos
cifrados aunque olvide su contraseña. Esta característica es
más útil en una red no administrada donde no hay ninguna
directiva de recuperación de claves.
• EFS preserva el cifrado cuando los archivos se transfieren
sobre WebDAV. La característica Carpetas Web de Windows
2000, Windows XP y Windows Server 2003 utiliza WebDAV.
• EFS permite el uso de un agente de recuperación de datos. Un
agente de recuperación de datos es un usuario designado cuyo
certificado se utiliza para cifrar la clave de cifrado del archivo
además de la clave del usuario que la cifra. Si la clave del
usuario se pierde, el agente de recuperación de datos puede
descifrar el archivo. En Windows 2000, se tenía que designar
un agente de recuperación de datos; de lo contrario EFS no
cifraba los archivos. En Windows XP y Windows Server 2003,
los agentes de recuperación de datos son opcionales. Esto
proporciona un mayor nivel de seguridad pero también
incrementa el riesgo de que se pierdan los datos como
consecuencia de la pérdida de una clave privada.
• Windows XP y Windows Server 2003 agregaron varias mejoras
en la capacidad de uso. Ahora, las propiedades de cifrado de
un archivo pueden verse mediante el Explorador de Windows.
Anteriormente, en Windows 2000, para determinar qué usuario
cifró un archivo y quién era el agente de recuperación de datos
se necesitaba la utilidad de línea de comandos Efsinfo del Kit
de recursos de Windows 2000.
Cap6-19.jpg
Información adicional:
1. 2. 59
6. Pasos siguientes
1. 2. 60
7. Practica A: Seguridad de Exchange
Cliente: London
Exchange 2003: Denver
ISA Server: Vancouver
EN LONDON
Guía Pasos
Antes de comenzar, configure un servidor 1. Inicie sesión como bensmith con la
OWA de Exchange 2003 contraseña P@ssw0rd.
(Denver.nwtraders.msft) y publique en la 2. Abra Internet Explorer.
red externa mediante ISA Server 2000. En 3. En el cuadro de dirección, escriba
el equipo cliente se ejecuta Windows XP. https://denver.nwtraders.msft/exchange/k
Este equipo se encuentra fuera del servidor imyo.
de seguridad de ISA Server y se utilizará
para probar la capacidad de conexión. 4. Para autenticarse, utilice Nwtraders\kimyo
Inicie sesión como Kim Yoshida y conecte con la contraseña P@ssw0rd.
al buzón de Kim mediante OWA y sin tener 5. Cierre Internet Explorer.
habilitada la autenticación basada en
formularios.
Al habilitar la autenticación basada en
formularios, se proporciona seguridad
adicional cuando los usuarios utilizan
Microsoft Outlook® Web Access. Una
nueva página de inicio de sesión para
Outlook Web Access almacenará el
nombre de usuario y la contraseña del
usuario en un cookie de sesión en
memoria, no en el explorador. Cuando un
usuario cierre el explorador, el cookie se
borrará. Además, después de un período
de inactividad, el cookie se borrará
automáticamente.
1. 2. 61
CAMBIE DENVER
Para habilitar la autenticación basada en 1. Inicie sesión como kimyo con la contraseña
formularios, utilizaremos la consola MMC P@ssw0rd.
Administrador del sistema de Exchange. 2. En el menú Inicio, seleccione Todos los
programas, Microsoft Exchange y,
después, haga click en Administrador del
sistema.
3. Expanda Grupos administrativos.
4. Expanda Primer grupo administrativo.
5. Expanda Servidores.
6. Expanda Denver.
7. Expanda Protocolos.
8. Expanda HTTP.
9. Haga click con el botón secundario del
mouse en Servidor virtual de Exchange y,
después, haga click en Propiedades.
10. En la ficha Configuración, en el panel
Outlook Web Access, active la casilla de
verificación Habilitar la autenticación
basada en formularios y, después, haga
click en Aceptar.
Aparecerá un cuadro de advertencia que le
informa de que la autenticación basada en
formularios requiere que los clientes utilicen
SSL.
11. Haga click en Aceptar.
CAMBIE LONDON
Cuando un usuario inicie sesión en OWA, 1. Abra Internet Explorer.
la nueva página de inicio de sesión le 2. En la barra de dirección, escriba
requerirá que especifique su alias o https://denver.nwtraders.msft/exchange.
nombre de dominio y su contraseña, o su Aparece la pantalla de inicio de sesión
dirección de correo electrónico UPN Autenticación basada en formularios.
completa y su contraseña para tener
3. En el cuadro Dominio\nombre de usuario,
acceso a su correo electrónico. Observe
que la dirección URL no tiene que incluir el escriba nwtraders\kimyo.
nombre de usuario. 4. En el cuadro Contraseña, escriba
P@ssw0rd.
Hay dos opciones de configuración de 5. Junto a Seguridad, haga click en ¿Qué es
seguridad. La diferencia entre ambas esto?
consiste en que la destinada a los equipos
privados tiene en cuenta tiempos de
espera mayores.
1. 2. 62
El cliente elige entre un inicio de sesión 6. En Cliente, seleccione Básico y haga click
Básico y Premium. Utilice la opción Básico en Iniciar sesión.
en primer lugar.
Observe la apariencia de OWA.
A continuación vuelva a conectarse, esta 7. Cierre Internet Explorer y vuelva a abrirlo.
vez, seleccione el cliente Premium. 8. En la barra de dirección, escriba
https://denver.nwtraders.msft/exchange.
Aparecerá la pantalla de inicio de sesión
Autenticación basada en formularios.
9. En el cuadro Dominio\nombre de usuario,
escriba nwtraders\kimyo.
10. En el cuadro Contraseña, escriba
P@ssw0rd.
11. En Cliente, confirme que está seleccionado
Premium y haga click en el botón de inicio
de sesión.
La pantalla de OWA tiene ahora casi la 12. Cierre Internet Explorer.
misma apariencia que el usuario podría ver
en su escritorio con Outlook 2003.
CAMBIE DENVER
El proxy RPC sobre HTTP es un
componente opcional de Windows que
se debe instalar en el servidor
Exchange.
Como RPC sobre HTTP utiliza la
autenticación básica, debe implementar
SSL para cifrar todos los datos que se
transmiten entre los clientes y el
servidor. Para habilitarlo, se instala un
certificado en este equipo.
1. 2. 63
Configuración de Exchange Server para utilizar RPC sobre HTTP
El paso siguiente es configurar el 1. Abra el Administrador de Servicios de Internet
directorio virtual de RPC. Confirme que Information Server (IIS).
se ha instalado un certificado válido y 2. En el árbol de la consola, expanda Denver
configure la autenticación. (equipo local).
3. Expanda Sitios Web.
4. Expanda Sitio Web predeterminado.
5. Haga click con el botón secundario del mouse
en RPC y, después, haga clic ken
Propiedades.
6. En el cuadro de diálogo Propiedades de
RPC, haga click en la ficha Seguridad de
directorios.
7. En la ficha Seguridad de directorios, en el
área Comunicaciones seguras, haga click
en Ver certificado.
8. En el cuadro de diálogo Certificado,
compruebe que la información del certificado
indica que el propósito del certificado es
proteger la identidad de un equipo remoto y
haga click en Aceptar.
9. En la ficha Seguridad de directorios, en el
área Autenticación y control de acceso,
haga click en Edición.
10. En el cuadro de diálogo Métodos de
autenticación, desactive la casilla de
verificación Habilitar acceso anónimo.
11. En Acceso autenticado, active la casilla de
verificación Autenticación básica (la
contraseña se envía como texto no
cifrado).
12. Lea la advertencia y, después, haga click en
Sí en el cuadro de diálogo Administrador de
IIS.
13. En el cuadro de diálogo Métodos de
autenticación, haga click en Aceptar.
14. En el cuadro de diálogo Propiedades de
RPC, haga click en Aceptar.
15. Cierre el Administrador de Servicios de
Internet Information Server (IIS).
1. 2. 64
Configuración de Exchange Server para utilizar RPC sobre HTTP
Se necesita un editor del Registro para 16. En el menú Inicio, haga click en Ejecutar.
configurar el servidor proxy RPC de 17. Escriba regedit y haga click en Aceptar.
modo que utilice números de puertos 18. Diríjase a
específicos para RPC sobre HTTP. Los HKEY_LOCAL_MACHINE\Software\Microsoft\
cambios ya se han realizado en el Rpc\RpcProxy y haga click en RpcProxy.
servidor Exchange. En la clave del 19. En el panel de detalles, haga click con el
Registro, seguiría enumerando todos los botón secundario del mouse en Puertos
servidores de la red corporativa con los válidos y, después, haga clic en Modificar.
que el servidor proxy RPC tendría que 20. En el cuadro de diálogo Editar cadena, en el
comunicar. cuadro de datos Valor, indique las entradas
siguientes:
denver:593;denver.nwtraders.msft:5
93;denver:6001-
6002;denver.nwtraders.msft:6001-
6002;denver:6004;denver.nwtraders.
msft:6004
21. Haga click en Aceptar.
Los servidores de catálogo global del 22. Diríjase a:
bosque NWTraders se deben configurar HKEY_LOCAL_MACHINE\SYSTEM\
de forma que utilicen números de puerto CurrentControlSet\Services\
específicos para RPC sobre HTTP. NTDS\Parameters
Además, para ello se debe modificar el 23. Haga doble click en Secuencias de
Registro. protocolo de interfaz de NSPI.
24. En el cuadro de datos Valor, indique que la
entrada agregada fue ncacn_http:6004.
25. Cierre el Editor del Registro.
Guía Pasos
1. 2. 65
Configuración de un perfil de Outlook para utilizar con RPC sobre HTTP
CAMBIE LONDON
Cree un perfil de Outlook para utilizarlo 1. Inicie sesión como bensmith con la contraseña
con RPC sobre HTTP. P@ssw0rd.
2. En el menú Inicio, haga click con el botón
secundario del mouse en E-mail Microsoft
Office Outlook y, después, haga click en
Propiedades.
3. En Configuración de correo, en Perfiles, haga
click en Mostrar perfiles.
4. En Correo, haga click en Agregar.
5. En Nuevo perfil, en el cuadro Nombre de perfil,
escriba RPC-HTTP.
6. Haga click en Aceptar.
7. En el Asistente para cuentas de correo
electrónico, compruebe que la opción Agregar
una nueva cuenta de correo electrónico está
seleccionada y haga clic en Siguiente.
8. En la página Tipo de servidor, haga click en
Microsoft Exchange Server y, después, haga
click en Siguiente.
9. En la página Configuración de Exchange
Server, en el cuadro Microsoft Exchange
Server, escriba denver.nwtraders.msft.
10. Compruebe que la casilla de verificación Usar
modo de Exchange en caché está activada.
11. En el cuadro Nombre de usuario, escriba Kim
Yoshida.
12. Haga click en Más configuraciones y, después,
en el cuadro de diálogo Conectar a, haga click
en Cancelar.
Debe especificar la configuración de 13. En el cuadro de diálogo Microsoft Exchange
conexión para el servidor. Server, haga click en la ficha Conexión.
14. En la ficha Conexión, active la casilla de
verificación Conectar a mi buzón de Exchange
con HTTP y, después, haga click en
Configuración de proxy de Exchange.
15. En la página Configuración de proxy de
Exchange, en el cuadro Usar esta dirección
URL para conectar con mi servidor proxy
para Exchange, escriba
denver.nwtraders.msft.
16. Compruebe que la casilla de verificación
Conectar utilizando sólo SSL está activada.
17. Active la casilla de verificación Autenticar
mutuamente la sesión al conectar con SSL.
1. 2. 66
Configuración de un perfil de Outlook para utilizar con RPC sobre HTTP
CAMBIE LONDON
Para la autenticación mutua, también 18. En el cuadro Nombre principal del servidor
debe especificar cómo conectar a un proxy, escriba msstd:denver.nwtraders.msft.
servidor de catálogo global. Puede 19. Active la casilla de verificación En redes
emplear la autenticación básica porque rápidas, conectar a Exchange usando HTTP
utiliza SSL para la conexión. primero y con TCP/IP después.
20. En el área Configuración de autenticación
proxy, en el cuadro Usar esta autenticación al
conectar a mi servidor proxy para Exchange,
haga click en Autenticación básica y, después,
haga click en Aceptar.
21. En el cuadro de diálogo Microsoft Exchange
Server, haga click en Aceptar.
22. En el Asistente para cuentas de correo
electrónico, haga click en Siguiente.
23. Haga click en Finalizar.
24. En el cuadro de diálogo Correo, haga clic en
Solicitar un perfil y haga clic en Aceptar.
Para comprobar que Outlook se 1. Haga click en Inicio y, después, haga click en E-
comunica con Exchange mediante RPC Mail Microsoft Office Outlook.
sobre HTTP, inicie Outlook y verá la 2. En el cuadro de diálogo Escoger perfil, en el
configuración de las conexiones. cuadro de diálogo Nombre de perfil, haga click
en RPC-HTTP y, después, haga click en
Aceptar.
3. Cuando se le pregunten las credenciales, escriba
nwtraders\kimyo con la contraseña P@ssw0rd
y haga click en Aceptar.
4. En la bandeja Aplicación de la esquina inferior
derecha del escritorio, mantenga presionada la
tecla Ctrl y haga click con el botón secundario
del mouse en el icono de Outlook.
5. Haga click en Estado de conexión.
6. En Estado de conexión, compruebe que el tipo
de conexión para todas las conexiones de correo
es HTTPS.
La S de HTTPS indica que SSL se utiliza 7. Cierre la ventana Estado de conexión.
para cifrar los datos. 8. Cierre Outlook.
1. 2. 67
Uso de ISA Server para publicar Exchange
CAMBIE VANCOUVER
Guía Pasos
Hasta ahora, hemos tenido acceso al 1. Haga click en Inicio, seleccione Todos los
servidor Exchange mediante HTTPS, que programas, seleccione Microsoft ISA
suele ser uno de los pocos protocolos que Server y, después, haga click en
pueden pasar a través de servidores de Administración de ISA Server.
seguridad. Sin embargo, en muchos casos 2. Expanda Servidores y matrices, expanda
también es conveniente publicar otros Vancouver y, después, haga click en
protocolos de correo. Para utilizar ISA Publicación.
Server a fin de publicar un servidor 3. En el panel de detalles, seleccione
Exchange, puede emplear el Asistente Proteger el servidor de correo y haga
para proteger correo. Aquí configurará click en Siguiente.
permiso para el tráfico entrante que utiliza
otros protocolos de correo a través de un 4. Active las casillas de verificación siguientes:
servidor donde se ejecuta ISA Server. SMTP entrante: Autenticación
predeterminada, Autenticación SSL
SMTP saliente: Autenticación
predeterminada, Autenticación SSL
PO3 entrante: Autenticación
predeterminada, Autenticación SSL
Deje el resto de casillas de verificación en
blanco.
5. Haga click en Siguiente.
6. En el cuadro Dirección IP externa, escriba
26.1.1.1 y haga click en Siguiente.
7. En el cuadro En esta dirección IP, escriba
10.10.0.2 y haga click en Siguiente.
8. Haga click en Finalizar.
Como resultado de la ejecución del 9. Expanda Publicación y haga click en
asistente se han creado varias reglas Reglas de publicación en servidor.
nuevas de publicación. 10. Seleccione cada nueva regla del Asistente
para correo que exista ahora.
CAMBIE LONDON
Guía Pasos
1. 2. 69