SISTEMAS OPERATIVOS TRABAJO MONOGRÁFICO REALIZADO POR: ANITA ALEGRE LÓPEZ Y MIRIAM CAROLINA QUINTANA

Documentos relacionados
Operación de red segura con el uso de los servicios de seguridad distribuida de Windows 2000

Componentes de Integración entre Plataformas Información Detallada

Windows Server Windows Server 2003

Autenticación Centralizada

Utilizar los servicios de Index Service para buscar información de forma rápida y segura, ya sea localmente o en la red.

ADMINISTRADOR DE XARXES LOCALS

Creación y administración de grupos de dominio

Familia de Windows Server 2003

índice CONVENCIONES USADAs...17

DIPLOMADO DE INFRAESTRUCTURA DE SERVIDORES MICROSOFT

WINDOWS SERVER SERVICIOS DE RED Y DIRECTORIO ACTIVO

Administración de servidores WINDOWS

Microsoft Dynamics. Migración de FRx 6.7 a Management Reporter for Microsoft Dynamics ERP

Ayuda de Symantec pcanywhere Web Remote

Windows Server 2012: Infraestructura de Escritorio Virtual

Información de Producto:

Implementación y administración de Microsoft Exchange Server 2003

Capítulo 5. Cliente-Servidor.

INFRAESTRUCTURA DE SERVIDORES MICROSOFT

Instrucciones de instalación de IBM SPSS Modeler (licencia de usuario autorizado)

ADMINISTRACIÓN CENTRALIZADA DELL POWERVAULT DL2000 CON TECNOLOGÍA SYMANTEC

Windows Server 2012: Identidad y Acceso. Módulo 2: Descripción General de Windows Server 2012 Remote Desktop Services.

Implementación de redes Windows 2000

Soporte a Servidores Web. ISC Carlos Gerardo Montelongo López

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Infraestructura Tecnológica. Sesión 8: Configurar y administrar almacenamiento virtual

MS_10974 Deploying Windows Server

Utilidades de la base de datos

TELEPROCESOS Y SISTEMAS DISTRIBUIDOS

Título de la pista: Windows Server 2012 Detalles técnicos de redes

Microsoft Dynamics. Instalación de Management Reporter for Microsoft Dynamics ERP

WINDOWS 2003 SERVER DIRECTORIO ACTIVO Y DNS

CAPITULO 8. Planeamiento, Arquitectura e Implementación

Configuring and Troubleshooting Windows Server 2008 Active Directory Domain Services

Windows Server 2012: Infraestructura de Escritorio Virtual

Instrucciones de instalación de IBM SPSS Modeler Server 16 para Windows

Auditoría en Windows NT INTRODUCCIÓN AL WINDOWS NT

SISTEMAS IDEALES SISTIDE, S.A. SISTEMA GESTION DE USUARIOS

INSTITUTO TECNOLÓGICO DE COLIMA LIC. EN INFORMÁTICA

Técnicas de Programación

Symantec Desktop and Laptop Option

Guía de Instalación para clientes de WebAdmin

Configuracion Escritorio Remoto Windows 2003

Ac A t c itve v e D i D re r c e t c o t r o y r

Creación y administración de grupos locales

Administración de Redes

Beneficios estratégicos para su organización. Beneficios. Características V

iphone en la empresa Administración de dispositivos móviles

El gráfico siguiente muestra un uso básico de DNS, consistente en la búsqueda de la dirección IP de un equipo basada en su nombre.

Domine Microsoft Windows Server José Luis Raya Laura Raya Miguel Á. Martínez

PAG. 1. Administración Remota

Administración de sitios Web. Capítulo 8. Servidores Web: Internet Information Server

Índice. agradecimientos...19

VICEPRESIDENCIA DE OPERACIONES DEPARTAMENTO DE SISTEMAS

S o l u c i o n e s I n f o r m a t i c a s. Soluciones a un solo clic

Implementación, aprovisionamiento y actualización de Windows Server con System Center

Contenido Derechos Reservados DIAN - Proyecto MUISCA

Introducción a las redes de computadores

CAPÍTULO 4 ANÁLISIS DE IMPLEMENTACIONES

Resumen del trabajo sobre DNSSEC

REQUIERE ATENDER DESCONFIGURACIÓN DEL C.P.U.

10775 Administering Microsoft SQL Server 2012 Databases

CAPITULO 9. Diseño de una Base de Datos Relacional Distribuida

Cómo integrar el QNAP NAS a Microsoft Active Directory (AD)

CA Business Service Insight

Roles y Características

AVA-QHSE System. Introducción Características del producto Especificaciones Técnicas

PROYECTO. Solución Empresarial Ingeniería y Desarrollo de Software - info@solucionempresarial.com.

Introducción a la Firma Electrónica en MIDAS

Resumen General del Manual de Organización y Funciones

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Windows Server 2012: Identidad y Acceso. Módulo 3: Introducción a DirectAccess en Windows Server 2012.

1

Software Intel para administración de sistemas. Guía del usuario del Paquete de administración de servidores modulares Intel

CL_50255 Managing Windows Environments with Group Policy

Infraestructura Tecnológica. Sesión 10: Sistemas cortafuego

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Propuesta de Portal de la Red de Laboratorios Virtuales y Remotos de CEA

55047 Evaluación previa al curso (Respuestas)

Soluciones innovadoras para optimizar su infraestructura TI. Virtualización con el sistema operativo i, PowerVM y Power Systems de IBM

Guía detallada de administración de Active Directory

Symantec Backup Exec System Recovery 7.0 Server Edition. Recuperación de sistemas en cuestión de minutos, en lugar de en horas o días

Visión General de GXportal. Última actualización: 2009

Seguridad de la información en SMart esolutions

Lección 5: Bloc de notas Estudio de la aplicación Bloc de notas, utilizada para escribir sencillos documentos de texto de tamaño reducido.

Instalación del Software Magaya

Guía de instalación de Citrix EdgeSight for Load Testing. Citrix EdgeSight for Load Testing 3.6

Mantiene la VPN protegida

SIEWEB. La intranet corporativa de SIE

Seminario Electrónico de Soluciones Tecnológicas sobre VPNs de Extranets

Resumen de la solución SAP SAP Technology SAP Afaria. Gestión de la movilidad empresarial para mayor ventaja competitiva

NIVEL 2. Diseño y Configuración del Directorio Activo

Material de apoyo para la configuración de ibjeos en Active Directory

VPN RED PRIVADA VIRTUAL INTEGRANTES: ALEXANDER BERNAL RAMIREZ CARLOS TRANCA JOSUE FLORES MIGUEL ANGEL VILLANUEVA

Ley Orgánica de Protección de Datos

CONFIGURACION DEL DIRECTORIO ACTIVO EN WINDOWS SERVER 2000/2003. Introducción

INSTALACIÓ N A3ERP. Informática para empresas INTRODUCCIÓN CONSIDERACIONES GENERALES DE LA INSTALACIÓN PAQUETES DE INSTALACIÓN PREDEFINIDOS

Ayuda para la instalación Componente Firma Digital INDICE. 1 Configuración previa Configuración Internet Explorer para ActiveX...

Transcripción:

SISTEMAS OPERATIVOS TRABAJO MONOGRÁFICO REALIZADO POR: ANITA ALEGRE LÓPEZ Y MIRIAM CAROLINA QUINTANA COMO ADSCRIPTAS A LA ASIGNATURA SISTEMAS OPERATIVOS OCTUBRE - 2002

CAPITULO 1: WINDOWS 2000 SERVER OPERACIONES DE RED SEGURAS CON EL USO DE LOS SERVICIOS DE SEGURIDAD DISTRIBUÍDA DE WINDOWS 2000... 8 Aspectos importantes... 9 Servicios de Seguridad Distribuída de Windows 2000... 10 El Directorio Activo y la Seguridad... 12 Ventajas de la administración de cuentas de Directorio Activo... 13 Relación entre los servicios de directorio y la seguridad... 14 Servicios de directorio y seguridad... 14 Relaciones de confianza entre dominios... 15 Delegación de administración... 16 Derechos de acceso granulares... 17 Herencia de los derechos de acceso... 18 Múltiples Protocolos de Seguridad... 19 Arquitectura para servicios de autenticación múltiple... 21 Interfaz del Servidor de Soporte de Seguridad... 22 Protocolo de Autenticación Kerberos... 22 Antecedentes de Kerberos... 23 Descripción general del protocolo de autenticación Kerberos... 24 Integración de Kerberos... 24 Interoperabilidad Kerberos... 25 Extensiones Kerberos para clave pública... 27 Seguridad de Internet para Windows 2000... 27 Autenticación del cliente con SSL 3.0... 29 Autenticación de usuarios externos... 31 Microsoft Certificate Server... 31 CryptoAPI... 32 Acceso entre empresas: socios distribuídos... 33 Credenciales NTLM... 35 Credenciales Kerberos... 35 Pares de claves privadas/públicas y certificados... 35 Transición sin fallos... 36 INTRODUCCIÓN A LA ADMINISTRACIÓN DE CAMBIOS Y CONFIGURACIÓN DE WINDOWS 2000... 40 Windows 2000 y la Administración de cambios y configuración... 41 Intellimirror... 44 Accesibilidad de los datos... 45 PLANIFICAR LA MIGRACIÓN DE WINDOWS NT A WINDOWS 2000... 54 Introducción... 54 Determinar la ruta de la migración... 54 Conceptos de la migración... 54 Actualización del dominio... 54 Consecuencias de la actualización del dominio... 55 El Asistente de instalación de Active Directory (DCPromo.exe)... 55 PDC de Windows NT... 55 El efecto de la actualización sobre el control de acceso... 55 Identificadores de seguridad (SID)... 55 Autenticación y tokens de acceso... 56 1

Autorización y descriptores de seguridad... 56 Uso de la autenticación NTLM... 58 Uso de la autenticación de Kerberos... 58 Actualización y dominios de recursos... 59 Actualización y administración... 60 Modo mixto y modo nativo... 61 Modo mixto... 61 Modo nativo... 62 Cambiar a modo nativo... 62 Grupos de Windows 2000... 64 Grupos locales... 64 Grupos locales del dominio... 65 Grupos globales... 65 Grupos universales... 65 Uso de los grupos universales... 65 Grupos universales y tokens de acceso... 66 Anidamiento de grupos... 66 Efectos de la actualización sobre los grupos... 66 Tabla 2. Grupos y modo de los dominios.... 67 NetBIOS y Windows Internet Name Service (WINS) en Windows 2000... 67 Disponibilidad de LAN Manager Replication Service (LMRepl)... 68 El proceso LMRepl... 68 El proceso FRS... 69 Mantener los servicios de LMRepl en un entorno mixto... 70 LMRepl y actualización... 70 Usar Remote Access Services (RAS; Servicios de Acceso Remoto) en un entorno mixto... 70 Rutas de actualización soportadas... 71 Tabla 3. Rutas de actualización soportadas.... 71 Orden de la actualización de dominios... 72 Actualizar dominios de cuentas... 73 Orden de los dominios de cuentas... 73 Orden de los dominios de recursos... 73 Actualizar estaciones de trabajo y servidores... 73 Reestructuración de dominios... 73 Cuándo debe reestructurar?... 74 Por qué reestructurar?... 75 Consecuencias de la reestructuración de dominios... 75 Efecto de mover principales de seguridad en los SID... 75 Mover los principales de seguridad... 76 Efectos del movimiento sobre la pertenencia de Bob al grupo global... 76 Efectos del movimiento sobre las ACL que hacen referencia directamente a Bob... 77 SIDhistory... 77 Limitaciones del uso de MoveTree... 78 Conjuntos cerrados y mover usuarios y grupos globales... 79 Conjuntos cerrados y mover ordenadores... 79 Cómo trabajar con los conjuntos cerrados... 79 Clonar principales de seguridad... 80 ClonePrincipal... 80 Establecer relaciones de confianza... 80 Mover servidores... 80 Windows NT 3.51 y SIDhistory... 81 ClonePrincipal y resolución de SID... 81 Perfiles y SIDhistory... 82 Migración de perfiles... 82 2

Perfiles compartidos... 83 Tabla 4. Ventajas e inconvenientes de compartir perfiles.... 83 Migración de perfiles copiados... 83 Tabla 5. Ventajas e inconvenientes de copiar perfiles... 83 Herramienta de Microsoft para la migración de dominios... 83 Utilidades básicas para la migración de dominios y escenarios de la migración de dominios. 83 Escenarios de la migración de dominios... 84 Migrar usuarios paulatinamente de Windows NT a Windows 2000... 84 Consolidar un dominio de recursos en una OU de Windows 2000... 85 Fases del escenario... 85 Lista de comprobación de puntos de decisión... 87 Decisiones sobre la actualización... 87 Decisiones sobre la reestructuración... 88 Resumen... 88 Para más información... 89 SEGURIDAD EN WINDOWS 2000 SERVER... 90 1. Introducción... 90 Microsoft Operations Framework (MOF)... 90 Implementar y mantener la seguridad... 91 Implementar la seguridad... 92 Mantener la seguridad... 92 Ámbito de esta guía... 92 Esquema de los capítulos... 94 Capítulo 2: Definición de riesgo de seguridad... 94 Capítulo 3: Administrar la seguridad con la Directiva de grupo de Windows 2000... 94 Capítulo 4: Asegurar servidores basándose en su función... 94 Capítulo 5: Administrar revisiones... 94 Capítulo 6: Auditoría y detección de intrusiones... 95 Capítulo 7: Responder a las incidencias... 95 Resumen... 95 2. Definición de riesgo de seguridad... 95 Administración de riesgos... 95 Recursos... 96 Amenazas... 96 Vulnerabilidades... 97 Explotación... 97 Relación entre amenazas, vulnerabilidades y riesgo... 98 Contramedidas... 99 Defensa de datos... 100 Defensa de aplicaciones... 101 Defensa de hosts... 101 Defensa de redes... 102 Defensa de perímetros... 102 Seguridad física... 102 Directivas y procedimientos... 103 Métodos de ataque comunes y medidas preventivas... 104 Obtención de información... 104 3. Administrar la seguridad con la Directiva de grupo de Windows 2000... 105 Importancia de utilizar la Directiva de grupo... 105 Cómo aplicar la Directiva de grupo... 106 Garantizar la aplicación de la Directiva de grupo... 107 Estructura de la Directiva de grupo... 107 Formato de las plantillas de seguridad... 108 Entorno de prueba... 109 3

Comprobar el entorno del dominio... 109 Comprobar la configuración de DNS... 109 Replicación de controladores de dominio... 110 Forzar y comprobar la replicación con Repadmin... 110 Centralizar las plantillas de seguridad... 111 Configuración temporal... 111 Diseño e implementación de directivas... 112 Funciones del servidor... 113 Estructura de Active Directory para admitir las funciones del servidor... 114 Directiva del nivel de dominios... 115 Unidad organizativa de los servidores miembros... 115 Unidad organizativa de los controladores de dominio... 115 Unidades organizativas individuales de funciones del servidor... 116 Importar las plantillas de seguridad... 116 Importar la directiva de línea de base de controladores de dominio... 116 Importar las directivas de servidores miembros... 117 Mantener la seguridad de la configuración de la Directiva de grupo... 118 Sucesos del Registro de sucesos... 119 Comprobar la directiva con el MMC de la directiva de seguridad local... 119 Comprobar la directiva con herramientas de la línea de comandos... 120 Auditar la Directiva de grupo... 120 Solucionar problemas de la Directiva de grupo... 120 Herramientas del kit de recursos... 120 Errores del Registro de sucesos de la Directiva de grupo... 122 Resumen... 123 Más información... 123 Directivas de dominio... 124 Directiva de contraseñas... 124 Directiva de bloqueo de cuentas... 125 Directivas de línea de base para los servidores miembros... 126 Directiva de grupo de línea de base para los servidores miembros... 126 Directiva de línea de base para la auditoría de servidores miembros... 127 Directiva de línea de base para las opciones de seguridad de los servidores miembros... 128 Restricciones adicionales para conexiones anónimas... 131 Nivel de autenticación de LAN Manager... 131 Borrar el archivo de páginas de la memoria virtual al apagar el sistema... 131 Firmar digitalmente la comunicación con el cliente o con el servidor... 131 Otras opciones de seguridad... 132 Consideraciones de seguridad para los ataques a la red... 132 Deshabilitar la generación automática de nombres de archivo 8.3... 133 Deshabilitar la creación de Lmhash... 134 Configuración de la seguridad NTLMSSP... 134 Deshabilitación de Autorun... 135 Directiva de línea de base de listas de control de acceso al registro para servidores miembros... 135 Directiva de línea de base de listas de control de acceso a archivos para servidores miembros... 135 Directivas de línea de base de servicios para los servidores miembros... 136 Servicios clave no incluidos en la línea de base de los servidores miembros... 138 Servicio SNMP... 138 Servicios WMI... 138 Servicios de mensajería y de alertas... 138 Directiva de línea de base para el controlador de dominio... 139 4

Directiva de línea de base para las opciones de auditoría y seguridad del controlador de dominio... 139 Directiva de línea de base de servicios para el controlador de dominio... 139 Servicios clave no incluidos en la directiva de línea de base para los controladores de dominio... 140 Serv. de Prot. simple de transf. de correo (STMP)... 140 Mensajería entre sitios... 140 Servicio de administración de IIS... 140 Otras tareas de seguridad de línea de base... 141 Seguridad de la cuenta de administrador local... 141 Seguridad de las cuentas de servicio... 141 Validación de la configuración de línea de base... 142 Validación de la configuración de puertos... 142 Seguridad de cada función del servidor... 143 Función de servidor de aplicaciones con Windows 2000... 143 Función de servidor de infraestructuras con Windows 2000... 144 Función de servidor IIS con Windows 2000... 144 La herramienta IISLockdown... 145 Otros parámetros de seguridad de la función de servidor IIS... 147 Configuración de restricciones para las direcciones IP y DNS... 147 Uso de una cuenta anónima local... 147 Implementación de filtros IPSec para servidores host múltiples... 147 Cambios al entorno recomendado... 147 Cambios administrativos... 148 Modificaciones de la seguridad si no se implementa HFNETCHK... 148 Resumen... 149 Más información... 149 5. Administrar revisiones... 150 Terminología... 150 Service Packs... 150 Revisiones o QFE... 151 Revisiones de seguridad... 151 Administración de revisiones de la organización... 151 Evaluación del entorno actual... 152 Sistemas de actualización de la seguridad... 152 Comunicación... 153 Administración de revisiones y de cambios... 153 Kit de herramientas de seguridad de Microsoft... 153 Procesos de administración de revisiones... 154 Análisis del entorno para detectar revisiones que faltan... 155 Microsoft Network Security Hotfix Checker (Hfnetchk)... 155 Secuencia de comandos de administración de revisiones... 157 Para instalar y usar el archivo de comandos Hfnetchk.cmd en un Sistema de actualización de la seguridad... 158 Uso de varias listas de servidores... 159 Programación de la secuencia de comandos de administración de revisiones... 159 Otros métodos para determinar los niveles de revisión... 160 Plan... 160 Clasificación de las revisiones... 160 Realizar pruebas de las revisiones... 161 Evaluación de la revisión... 162 Instalación... 163 Operaciones del servidor... 163 Operaciones de las aplicaciones... 163 5

Desinstalación... 163 Creación de un plan de contingencias... 163 Instalación de las revisiones... 164 Manual... 164 Directiva de grupo... 165 Archivos de comandos... 166 Supervisión... 166 Revisión... 166 Administración de revisiones del lado del cliente... 166 Windows Update... 166 Windows Update Corporate Edition... 167 Microsoft Baseline Security Analyzer... 167 Otras herramientas... 167 SMS... 167 Herramientas de otros fabricantes... 168 Resumen... 168 Más información... 169 Referencias y vínculos... 170 6. Auditoría y detección de intrusiones... 170 Auditoría... 171 Cómo activar la auditoría... 171 Definir la configuración del Registro de sucesos... 171 Para modificar la configuración del Registro de sucesos con la Directiva de grupo en una unidad organizativa... 172 Sucesos para auditar... 172 Sucesos de inicio de sesión... 173 Sucesos de inicio de sesión de cuentas... 175 Administración de cuentas... 176 Acceso a objetos... 178 Acceso del servicio de directorio... 180 Uso de privilegios... 180 Seguimiento de procesos... 182 Sucesos del sistema... 183 Proteger registros de sucesos... 186 Otras mejores prácticas de auditoría... 187 Programar revisiones regulares de los registros de sucesos... 187 Revisar otros archivos de registro de aplicaciones... 188 Supervisar los servicios y controladores instalados... 188 Supervisar los puertos abiertos... 189 Supervisar las intrusiones y los sucesos de seguridad... 190 La importancia de la sincronización temporal... 191 Visor de sucesos... 191 Para definir filtros en el Visor de sucesos... 191 La herramienta Dump Event Log (Dumpel.exe)... 192 EventCombMT... 193 Instalar la herramienta... 193 Ejecutar la herramienta EventComb... 193 Especificar los registros de sucesos y los tipos de sucesos para la búsqueda... 195 Guardar búsquedas... 195 Archivos de resultados de la búsqueda... 196 Ejemplos de uso de EventCombMT... 196 Para utilizar EventCombMT con el objeto de realizar búsquedas de reinicios de controladores de dominio... 196 Para revisar las entradas del registro... 197 6

Para utilizar EventCombMT con el objeto de realizar búsquedas de Bloqueos de cuentas... 198 Microsoft Operations Manager... 199 Soluciones de terceros para la obtención de registros de sucesos... 199 Inspeccionar el acceso HTTP con URLScan... 200 7. Responder a las incidencias... 202 Minimizar el número y la gravedad de las incidencias de seguridad... 202 Crear el equipo básico de respuesta a incidencias de seguridad informática... 204 Responsable del equipo CSIRT... 204 Responsable de incidencias del CSIRT... 204 Definir un plan de respuesta a incidencias... 207 Apéndices... 207 A. Achivos... 207 B. Servicios de Windows 2000 predeterminados... 212 C. Servicios adicionales... 215 D. Instalación de una infraestructura básica... 216 Crear el entorno de prueba... 216 Casos de prueba... 217 Ayuda de trabajo... 230 A. Tabla de análisis de amenazas y vulnerabilidades... 230 B. Los 11 problemas de seguridad más frecuentes en el cliente... 231 C. Los 8 problemas de seguridad más frecuentes en el servidor... 232 D. Ataques y contramedidas... 233 E. Guía de referencia rápida de respuesta a incidencias... 238 7

OPERACIONES DE RED SEGURAS CON EL USO DE LOS SERVICIOS DE SEGURIDAD DISTRIBUÍDA DE WINDOWS 2000 En la actualidad, Microsoft Windows NT Server ofrece excelentes servicios de seguridad para la administración de cuentas y autenticación de red dentro de una empresa. Las grandes organizaciones requieren flexibilidad para delegar la administración de cuentas y manejar dominios complejos. La seguridad de Internet está relacionada con el manejo del desarrollo de la tecnología de seguridad de clave pública que debe estar integrada con la seguridad Windows. Para cumplir estas necesidades cada vez mayores, Microsoft ha desarrollado los Servicios de seguridad distribuída de Windows 2000. Este documento examina los componentes de los Servicios de seguridad distribuída de Windows 2000 y proporciona detalles sobre su implementación. 8

Introducción El sistema operativo Microsoft Windows NT cuenta con excelentes funciones de seguridad para una empresa. Un solo acceso al dominio de Windows NT permite que el usuario acceda a los recursos que se encuentran en cualquier parte de una red corporativa. Las herramientas del administrador fáciles de utilizar para la política de seguridad y administración de cuentas reducen los costes de implementación de Windows NT. El modelo de dominio Windows NT es flexible y soporta una amplia gama de configuraciones de red, desde un solo dominio en una ubicación a dominios multimaestros que hay en todo el mundo. Asimismo, Windows NT sienta las bases para una seguridad integrada para la familia BackOffice de servicios de aplicación, incluyendo Microsoft Exchange, SQL Server, SNA Server y Microsoft Systems Management Server. El modelo de seguridad de Windows NT proporciona un marco sólido para la instalación de aplicaciones cliente/servidor para la empresa. En la actualidad, las empresas utilizan cada vez más Internet. Los negocios necesitan interactuar con socios, proveedores y clientes, utilizando las tecnologías basadas en Internet. La seguridad es un punto muy importante para controlar el acceso a los recursos de una red empresarial, intranets y servidores basados en Internet. Cada vez más, las Intranets se están convirtiendo en la manera más eficaz de compartir información para las diversas relaciones empresariales. Ahora, el acceso a la información de negocios no pública por partes externas, se controla a través de la creación de cuentas de usuario para aquellos que forman parte de la amplia familia empresarial. Las asociaciones ayudan a definir las relaciones de confianza que alguna vez se aplicaron únicamente a los empleados que utilizaban activos corporativos, pero que ahora incluyen a más personas. Asimismo, las tecnologías de seguridad también cambian continuamente. Los certificados de clave pública y contraseñas dinámicas son dos áreas de la tecnología que van en aumento con el fin de cumplir con las necesidades de seguridad de nivel más alto del entorno actual. El acceso remoto sobre las redes públicas y el acceso a Internet para la comunicación de negocios interna están controlando la evolución de la tecnología de seguridad. La arquitectura de seguridad de Windows NT tiene una posición privilegiada para aprovechar estos y otros avances tecnológicos. Windows NT combina la facilidad de uso, excelentes herramientas de administración y una infraestructura de seguridad sólida, que soporta tanto a la empresa como a Internet. Aspectos importantes La Seguridad distribuída de Windows 2000 cuenta con varias funciones para simplificar la administración del dominio, mejorar el rendimiento, e integrar la tecnología de seguridad de Internet con base en la criptografía de clave pública. Los aspectos importantes de los Servicios de seguridad distribuída de Windows 2000 incluyen: 9

La integración con el Directorio Activo de Windows 2000 con el fin de proporcionar una administración de cuenta escalable y flexible para grandes dominios, con control de acceso granular y delegación de administración. Protocolo de autenticación Kerberos versión 5, un estándar de seguridad en Internet maduro, el cual ha sido implementado como el protocolo predeterminado para la autenticación de red; sienta las bases para la interoperabilidad de la autenticación. Autenticación sólida mediante el uso de certificados de clave pública, canales seguros basados en el Secure Sockets Layer (SSL) 3.0 y CryptoAPI para proporcionar protocolos estándar en la industria para la integridad y privacidad de datos a través de redes públicas. Este documento describe la siguiente generación de seguridad distribuída de Windows, la cual proporciona las funciones para soportar las demandas empresariales basadas en Internet. La mayor parte del material que aquí se describe se proporciona en Windows 2000, aunque algunas de sus funciones ya han sido implementadas en Windows NT 4.0, como se describe en el texto. Servicios de Seguridad Distribuída de Windows 2000 Existen diversas áreas en las cuales se está adaptando la seguridad en Windows 2000 para soportar a las empresas basadas en Internet. Algunos de estos cambios reflejan los avances en el soporte que se proporciona a grandes organizaciones por medio del uso del Directorio Activo jerárquico de Windows 2000. Otros cambios aprovechan la flexibilidad de la arquitectura de seguridad de Windows para integrar la autenticación, utilizando certificados de clave pública de Internet. A continuación se presenta una lista de las nuevas funciones de seguridad Windows 2000: El Directorio Activo proporciona almacenamiento para toda la información relativa a políticas de seguridad de dominios e información de cuentas. El Directorio Activo, el cual provee duplicación y disponibilidad de información de cuenta a múltiples Controladores de dominio, está disponible para la administración remota. El Directorio Activo soporta un espacio de nombre jerárquico para el usuario, grupo e información de cuenta del PC. Las cuentas se pueden agrupar según las unidades organizacionales, en lugar de hacerlo según el espacio del nombre de la cuenta de dominio proporcionado en versiones anteriores de Windows NT. Se pueden delegar derechos del administrador para crear y administrar cuentas del usuario o de grupo a nivel de unidades organizacionales. Los derechos de acceso se pueden otorgar a propiedades individuales en objetos del usuario, con el fin de permitir, por ejemplo, que una persona o grupo específico tenga derecho a restablecer contraseñas, pero no a modificar otra información de la cuenta. 10

La duplicación del Directorio Activo permite actualizaciones a las cuentas en cualquier controlador de dominio, y no únicamente para el controlador de dominio primario (PDC). Se actualizan y sincronizan de forma automática réplicas maestras múltiples de Directorio Activo en otros controladores de dominio, los cuales se conocen como controladores de dominio de respaldo (BDC). Windows 2000 emplea un nuevo modelo de dominio que utiliza el Directorio Activo para soportar un árbol de dominios jerárquico de niveles múltiples. La administración de relaciones de confianza entre dominios se simplifica a través de confianzas transitorias a lo largo de los árboles que cubren todo el árbol del dominio. La seguridad de Windows incluye nueva autenticación basada en los protocolos de seguridad estándar de Internet, incluyendo Kerberos versión 5 y Seguridad de niveles de transporte (TLS) para protocolos de seguridad distribuidos, además de soportar protocolos de autenticación del administrador LAN de Windows NT para compatibilidad. La implementación de los protocolos de seguridad de canal seguros (SSL 3.0/TLS) soporta la autenticación sólida del cliente mediante la relación de credenciales del usuario en la forma de certificados de clave pública para las cuentas Windows NT existentes. Se utilizan herramientas de administración comunes para administrar la información de las cuentas y el control de acceso, ya sea utilizando la autenticación secreta compartida o la seguridad de clave pública. Windows 2000 soporta el uso opcional de tarjetas inteligentes para la conexión interactiva, además de las contraseñas. Las tarjetas inteligentes soportan criptografía y almacenamiento seguro para claves y certificados privados, habilitando una autenticación sólida desde el escritorio al dominio. Windows 2000 incluye Microsoft Certificate Server para que las organizaciones emitan certificados X.509 versión 3 a sus empleados o socios de negocios. Esto incluye la introducción de CryptoAPI para la administración de certificados y módulos para manejar certificados de clave pública, incluyendo certificados de formato estándar emitidos por cualquier Autoridad de certificado comercial (CA), CA de terceros o Microsoft Certificate Server, incluido en Windows. Los administradores del sistema definen cuáles CAs son de confianza en su entorno y, de esta forma, cuáles certificados se aceptan para la autenticación del cliente y el acceso a los recursos. Los usuarios externos que no tienen cuentas Windows 2000 pueden ser autenticados utilizando certificados de clave pública y relacionados a una cuenta Windows existente. Los derechos de acceso definidos para la cuenta Windows determinan los recursos que los usuarios externos pueden utilizar en el sistema. La autenticación del cliente, utilizando 11

certificados de clave pública, permite que Windows 2000 autentique usuarios externos, con base en certificados emitidos por Autoridades de certificados acreditadas. Los usuarios de Windows 2000 cuentan con herramientas fáciles de usar y diálogos de interfaz comunes para la administración de pares de claves pública/privada y de certificados que se utilizan para acceder a los recursos basados en Internet. El almacenamiento de credenciales de seguridad personales, las cuales utilizan el almacenamiento basado en disco seguro, se transportan fácilmente con el protocolo estándar en la industria propuesto, Intercambio de información personal. Asimismo, el sistema operativo ha integrado soporte para los dispositivos de tarjeta inteligente. La tecnología de encriptación está integrada dentro del sistema operativo en muchas formas, con el fin aprovechar el uso de firmas digitales para proporcionar flujos de datos autenticados. Además de los controles firmados ActiveX y Clases Java para Internet Explorer, Windows 2000 utiliza firmas digitales para la integridad de imágenes de una variedad de componentes del programa. Los desarrolladores internos también pueden crear software firmado para distribución y protección de virus. Además de estos cambios, se espera que terceros cuenten con servicios de autenticación de contraseña dinámicos en Windows 2000 Server, e integren contraseñas dinámicas con la autenticación de dominio de Windows 2000. Las API y la documentación para soportar estos productos de terceros están disponibles en SDK de la plataforma Microsoft. El Directorio Activo y la Seguridad Actualmente, la información de cuentas de Windows NT se mantiene utilizando una parte de registro segura en los controladores de dominio. Al utilizar dominio de confianza y acceso por autenticación, una jerarquía de dos niveles de dominios proporciona flexibilidad para organizar la administración de cuentas y los servidores de recursos. Sin embargo, dentro de un dominio, las cuentas se mantienen en un espacio de nombre plano, sin ninguna organización interna. Los Servicios de seguridad distribuída de Windows 2000 utilizan el Directorio Activo como el repositorio para la información de cuentas. El Directorio Activo proporciona una mejora importante sobre la implementación basada en el registro en las áreas de rendimiento y escalabilidad, y ofrece un entorno administrativo rico en funciones. El siguiente diagrama muestra la estructura jerárquica para un árbol de dominios de Windows 2000 y el contexto de nombre jerárquico dentro de cada dominio que utiliza unidades organizacionales (OU) como contenedores de objetos de directorio. Jerarquía de dominio: Árbol de dominio Jerarquía de la unidad organizacional dentro de un dominio Usuarios, grupos, máquinas, impresoras, etc. 12

Ventajas de la administración de cuentas de Directorio Activo Las ventajas de integrar la administración de cuentas de seguridad con el Directorio Activo son: Cuentas para usuarios, grupos y máquinas, que pueden ser organizadas en los contenedores de directorio denominados unidades organizacionales (OU). Un dominio puede tener cualquier número de OU organizadas en espacios de nombre estructurados como un árbol. Las empresas pueden organizar el espacio de nombre para información de cuentas, con el fin de representar los departamentos y organizaciones en la compañía. Asimismo, las cuentas del usuario, al igual que las OU, son objetos de directorio que se pueden renombrar fácilmente dentro de un árbol de dominio, a medida que cambia la organización. El Directorio Activo soporta un número mucho mayor de objetos de usuario (más de 1 millón de objetos) con un mejor rendimiento que el registro. La dimensión del dominio individual ya no estará limitada por el rendimiento del repositorio de seguridad. Un árbol de dominios conectados puede soportar estructuras organizacionales mucho más grandes y complejas. La administración de la información de cuentas se mejora utilizando las herramientas gráficas avanzadas para la administración del Directorio Activo, así como a través del soporte OLE DS para lenguajes de script. Se pueden implementar tareas comunes utilizando scripts bach para automatizar la administración. Los servicios de duplicación del directorio permiten realizar múltiples copias de la información de cuentas, en las cuales se pueden realizar actualizaciones en cualquier copia, no únicamente en el controlador de dominio primario designado. El The Lightweight Directory Access Protocol (LDAP) y el soporte de sincronización de directorio proporcionan los mecanismos para vincular el directorio de Windows con los demás directorios de la empresa. 13

Almacenar la información de la cuenta de seguridad en el Directorio Activo significa que los usuarios y grupos están representados como objetos en el directorio. El acceso de lectura y escritura a los objetos en el directorio se puede otorgar al objeto en su totalidad, o a propiedades individuales del mismo. Los administradores cuentan con un control granular sobre quién puede actualizar la información del usuario o grupo. Por ejemplo, se le puede otorgar a un grupo de operadores de telecomunicaciones el acceso de escritura únicamente para las propiedades de cuenta del usuario relacionadas con el equipo telefónico de oficina, sin requerir privilegios de Operador de cuenta o Administrador. Asimismo, el concepto de un grupo se simplifica, debido a que los grupos locales y globales están representados por objetos de grupo en el directorio. Las interfaces de programación existentes para los miembros de grupos locales aún siguen soportadas para compatibilidad completa hacia atrás. Sin embargo, los grupos definidos en el directorio pueden utilizarse para el control de acceso a los recursos en todo el dominio, o únicamente para fines de administración local en el controlador de dominio. Relación entre los servicios de directorio y la seguridad Existe una relación fundamental entre el Directorio Activo y los Servicios de seguridad integrados en el sistema operativo Windows 2000. El Directorio Activo almacena la información de políticas de seguridad de dominio, como son las restricciones de contraseña en todo el dominio y los privilegios de acceso al sistema, que afectan directamente el uso del sistema. Los objetos relacionados con la seguridad en el directorio deben administrarse de forma segura, con el fin de evitar cambios no autorizados que afecten la totalidad de la seguridad del sistema. El sistema operativo Windows 2000 implementa el modelo de seguridad basado en el objeto y el control de acceso a todos los objetos del Directorio Activo. Cada objeto que se encuentra en el Directorio Activo tiene un descriptor de seguridad único que define las actualizaciones de acceso que se requieren para leer o actualizar las propiedades de un objeto. El siguiente diagrama muestra la relación fundamental entre el Directorio Activo y los servicios de seguridad del sistema operativo. Servicios de directorio y seguridad 14

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback