La principal norma de Evaluación e Implementación de medidas de Seguridad en

Tecnologías de la Información es la NORMA ISO 17799

Dos partes:

17799 – 1 . NORMALIZACION (Mejores Prácticas)

Homologada en Argentina IRAM/ISO/IEC 17799

17799 – 2 . CERTIFICACION

Aún no fue publicada por ISO.

Hoy en día las certificaciones son sobre el BS 7799.

Dominio 7: SISTEMA DE CONTROL DE ACCESOS

Administración de accesos de usuarios

Administración de privilegios
Responsabilidades del usuario
Control de acceso a la red
Camino forzado
Autenticación de usuarios para conexiones
externas
Monitoreo del acceso y uso de los sistemas

ISO 17799

9 CONTROL DE ACCESOS

9.1 Requerimientos de negocio para el control de accesos

Objetivo: Controlar el acceso de información.
El acceso a la información y los procesos de negocio deben ser controlados sobre la base de los
requerimientos la seguridad y de los negocios.
Para esta se deben tener en cuenta las políticas de difusión y autorización de la información:

9.1.1 Política de control de accesos

9.1.1.1 Requerimientos políticos y de negocios.

Se deben definir y documentar los requerimientos de negocio para el control de accesos. Las
reglas y derechos del control de accesos, para cada usuario o grupo de usuarios, deben ser
claramente establecidos en una declaración de política de accesos. Se debe otorgar a los usuarios
y proveedores de servicio una clara enunciación de los requerimientos comerciales que deberán
satisfacer los controles de acceso.

9 control de acceso
9.2 administracion de acceso a usuarios
9.2.1 Registración de usuarios

a) verificar que el nivel de acceso otorgado es adecuado para el propósito del negocios (ver
9.1) y es coherente con la política de seguridad de la organización, por ej. que no
compromete la separación de tareas (ver 8.1.4) ;

9.2.2 Administración de privilegios

Se debe limitar y controlar la asignación y uso de privilegios (cualquier característica o servicio

de un sistema de información multi-usuario que permita que el usuario pase por alto los controles
de sistemas o aplicaciones). El uso inadecuado de los privilegios del sistema resulta
frecuentemente en el más importante factor que contribuye a la falla de los sistemas a los que se
ha accedido ilegalmente.

Los sistemas multi-usuario que requieren protección contra accesos no autorizados, deben prever
una asignación de privilegios controlada mediante un proceso de autorización formal. Se deben
tener en cuenta los siguientes pasos:

a) Deben identificarse los privilegios asociados a cada producto del sistema por ej. sistema
operativo, sistema de administración de bases de datos y aplicaciones, y las categorías de
personal a las cuales deben asignarse los productos.
b) Los privilegios deben asignarse a individuos sobre las bases de la necesidad de uso y
evento por evento, por ej. el requerimiento mínimo para su rol funcional solo cuando sea
necesario.
c) Se debe mantener un proceso de autorización y un registro de todos los privilegios
asignados. Los privilegios no deben ser otorgados hasta que se haya completado el
proceso de autorización.
d) Se debe promover el desarrollo y uso de rutinas del sistema para evitar la necesidad de
otorgar privilegios a los usuarios.
e) Los privilegios deben asignarse a una identidad de usuario diferente de aquellas utilizadas
en los actividades comerciales normales.
Mojeres practicas AD
Seguridad:
• Asegurar la comunicación con los Controladores de Dominio (IPSec y GPO’s)
• Forzar el uso cuentas Administrativas diferentes a las de usuario.
• Limitar el número de cuentas administrativas
• Auditar el uso de cuentas administrativas
• Endurecer la Directiva del Dominio (Complejidad de contraseñas, bloqueos de
cuentas y Kerberos)
• Endurecer la Directiva de Controladores de Dominio (Derechos de usuario,
auditorías y seguridad)
• Deshabilitar mecanismos de autenticación no seguros (LM: LanManager)
• Deshabilitar servicios no necesarios
• Delegación controlada de administración de tareas.
• Deshabilitar servicios no necesarios
• Instalar antivirus con las exclusiones obligatorias

Active Directory Best practices

Updated: January 21, 2005

Best practices

• As a security best practice, it is recommended that you do not log on to your computer

with administrative credentials.

When you are logged on to your computer without administrative credentials, you can use Run as
to accomplish administrative tasks.
For more information, see Why you should not run your computer as an administrator and Using
Run as.

• To further secure Active Directory, it is recommended that you implement the following

security guidelines:

• Rename or disable the Administrator account (and guest account) in each domain to

prevent attacks on your domains. For more information, see User and computer accounts.

• Physically secure all domain controllers in a locked room. For more information, see

Domain controllers and Securing Active Directory.

• Manage the security relationship between two forests and simplify security

administration and authentication across forests. For more information, see Forest trusts.

• To provide additional protection for the Active Directory schema, remove all users from

the Schema Admins group, and add a user to the group only when schema changes need to
be made. Once the change has been made remove the user from the group.

• Restrict user, group, and computer access to shared resources and to filter Group Policy

settings. For more information, see Group types.

 • Avoid disabling the use of signed or encrypted LDAP traffic for Active Directory

administrative tools. For more information, see Connecting to domain controllers running
Windows 2000.

• Some default user rights assigned to specific default groups may allow members of

those groups to gain additional rights in the domain, including administrative rights.
Therefore, your organization must equally trust all personnel that are members of the
Enterprise Admins, Domain Admins, Account Operators, Server Operators, Print Operators and
Backup Operators groups. For more information about these groups, see Default groups.

• Use global groups or universal groups instead of domain local groups when specifying

permissions on domain directory objects replicated to the global catalog. For more
information, see Global catalog replication.
For general security information about Active Directory, see Security information for Active
Directory and Securing Active Directory.

• Establish as a site every geographic area that requires fast access to the latest

directory information.
Establishing areas that require immediate access to up-to-date Active Directory information as
separate sites will provide the resources required to meet your needs.
For more information, see Create a site.

• Place at least one domain controller in every site, and make at least one domain

controller in each site a global catalog.

Sites that do not have their own domain controllers and at least one global catalog are dependent
on other sites for directory information and are less efficient.
For more information, see Enable or disable a global catalog.

• Perform regular backups of domain controllers in order to preserve all trust

relationships within that domain.

For more information, see Domain controllers.