![Page 1: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/1.jpg)
Copyright © Octubre de 2015 por TECSUP
Módulo 09Protección de los Servidores de Windows mediante objetos de directiva de grupo
![Page 2: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/2.jpg)
Revisión del Módulo
1. Introducción a la seguridad de Windows
2. Configuración de la seguridad
3. Restricción de Software
4. Configuración de Firewall de Windows con seguridadavanzada
![Page 3: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/3.jpg)
Lección 1
![Page 4: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/4.jpg)
• Discusión: Identificación de los riesgos y costos deseguridad
• Aplicando Defense-In-Depth para aumentar la seguridad
• Mejores prácticas para aumentar la seguridad
Lección 1: Introducción a la seguridad de Windows
![Page 5: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/5.jpg)
• ¿Cuáles son algunos de los riesgos y los costos asociados alas redes basadas en Windows?
Discusión: Identificación de los riesgos y costos de seguridad
![Page 6: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/6.jpg)
• Defensa en profundidad utiliza un enfoque por capas deseguridad
• Reduce la posibilidad de éxito de un atacante
• Aumenta la detección de riesgo de un atacante
Aplicando Defense-In-Depth para aumentar la seguridad
Policies, procedures,
and awareness
Security documents, user education
Physical security Guards, locks, tracking devices
Perimeter Firewalls, network access quarantine control
Networks Network segments, IPsec, Reverse proxy servers
Host Hardening, authentication, update
management
Application Application hardening, antivirus
Data ACLs, EFS, BitLocker, backup and restore
procedures
![Page 7: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/7.jpg)
Aplicando Defense-In-Depth para aumentar la seguridad
![Page 8: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/8.jpg)
• Algunas buenas prácticas para aumentar la seguridad:
• Aplicar rápidamente todas las actualizaciones de seguridaddisponibles
• Siga el principio de privilegios mínimos
• Restringir el acceso a consola
• Restringir el acceso físico
Mejores prácticas para aumentar la seguridad
![Page 9: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/9.jpg)
Lección 2
![Page 10: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/10.jpg)
• Configuración de Plantillas de seguridad
• Configuración de derechos de usuario
• Configuración de opciones de seguridad
• Configuración del control de cuentas de usuario
• Configuración de la auditoría
• Configuración de grupos restringidos
• Configuración de Opciones de Políticas de Cuentas
Lección 2: Configuración de la seguridad
![Page 11: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/11.jpg)
• Categorías de plantillas de seguridad:
Configuración de Plantillas de seguridad
![Page 12: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/12.jpg)
• Cómo se distribuyen las Plantillas de seguridad:
• Secedit.exe
• Complemento Seguridad de Plantilla
• Asistente para configuración de seguridad
• Directiva de grupo
• Administrador de compatibilidad de Seguridad
Configuración de Plantillas de seguridad
![Page 13: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/13.jpg)
• El uso de GPO permite configurar más opcionescomparado con Plantillas de seguridad.
Configuración de seguridad con GPO
![Page 14: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/14.jpg)
• Tipos de derechos de usuario:
• Privilegios
• Derechos de inicio de sesión
• Ejemplos:
• Agregar estaciones de trabajo a un dominio
• Permitir el inicio de sesión local
• Realizar copia de seguridad de archivos y directorios
• Cambiar la hora del sistema
• Forzar el apagado desde un equipo remoto
• Apagar el sistema
Configuración de derechos de usuario
![Page 15: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/15.jpg)
• Configuración de opciones de seguridad:
• Nombres de las cuentas de Administrador e Invitado
• Acceso a disquetes y unidades de CD/DVD
• Firmas de datos digitales
• Característica de instalación de drivers
• Indicador de ordenes para inicio de sesión
• Control de cuentas de usuario
• Ejemplos:
• Pedir al usuario cambiar la contraseña antes de la expiración
• No mostrar el último nombre de usuario
• Cambiar el nombre de cuenta de administrador
• Restringir el acceso al CD-ROM de usuario solo con sesión iniciadalocalmente
Configurar de Opciones de seguridad
![Page 16: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/16.jpg)
• UAC es unacaracterística deseguridad que solicitaal usuario lascredenciales de unusuario administrativosi la tarea requierepermisosadministrativos
• UAC permite a losusuarios realizar tareascomunes diarias comoNo administradores
Configuración del Control de Cuentas de Usuario
![Page 17: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/17.jpg)
• Cuando utiliza la auditoría de seguridad para registrareventos relacionados con la seguridad, recuerde que:
• Usted puede encontrar los registros de auditoría de seguridad en elvisor de sucesos
• Puede configurar la auditoría de seguridad de acuerdo con lasnormas de seguridad de su empresa
Configuración de la auditoría
![Page 18: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/18.jpg)
• Las Directivas de grupo pueden controlar la membresía agrupos:
• Por cada grupo en un equipo local, mediante la aplicación de unGPO a la OU que contiene la cuenta de equipo
• Por cada grupo en AD DS, mediante la aplicación de un GPO a laOU del controlador de dominio
Configuración de grupos restringidos
![Page 19: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/19.jpg)
• Las directivas de cuentas minimizan la amenaza deadivinar contraseñas de cuentas por medio de fuerza bruta
Configuración de Opciones de Directivas de Cuentas
Políticas Opciones por defecto
Contraseña • Controla complejidad y la duración de las contraseñas
• Edad contraseña Max: 42 Días
• La edad mínima de contraseña: 1 día
• Min longitud de la contraseña: 7 caracteres
• Contraseña Compleja: habilitado
• Almacenar contraseña usando cifrado reversible: desactivado
Bloqueo de
cuenta
• Controla cantidad de intentos incorrectos
• Duración del bloqueo: No definido
• Umbral de bloqueo: 0 intentos de inicio de sesión no válidos
• Restablecer la cuenta de bloqueos después de: No definido
Kerberos • Subconjunto de los atributos de la política de seguridad de dominio
• Sólo se puede aplicar a nivel de dominio
![Page 20: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/20.jpg)
• SCM es una herramienta gratuita de Microsoft que ayuda aasegurar las computadoras locales, remotas yvirtualizadas.
• Ofrece:
• Baselines
• Guías de seguridad
• Soporte para computadoras en Grupo de Trabajo
• Soporte para importar GPOs
• SCM se puede utilizar para:
• Validar que las computadoras cumplen las políticas
• Reduce el trabajo en la configuración de computadoras
• Mueve, compara y une configuraciones
• Formula y actualiza las directivas de seguridad
¿Qué es Security Compliance Manager?
![Page 21: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/21.jpg)
¿Qué es Security Compliance Manager?
![Page 22: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/22.jpg)
Lección 3
![Page 23: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/23.jpg)
Lección 3: Restricción de Software
• ¿Que son las políticas de restricción de software?
• ¿Qué es AppLocker?
• Reglas de AppLocker
• Demostración: Creación de reglas de AppLocker
![Page 24: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/24.jpg)
• SRP (Software Restriction Policy) permite a losadministradores identificar qué aplicaciones se puedenejecutar en los equipos cliente
• SRPs puede basarse en lo siguiente:
• Hash
• Certificado
• Path
• Zona
¿Qué son las directivas de restricción de software?
![Page 25: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/25.jpg)
• AppLocker aplica las políticas de control de aplicaciones enWindows Server 2012 y Windows 8
• AppLocker contiene nuevas capacidades y extensiones quereducen la sobrecarga administrativa y ayuda a los administradoresa controlar cómo los usuarios pueden acceder y utilizar losarchivos, tales como .exe, scripts, archivos de Windows Installer(.msi y .msp) y archivos DLL
• Beneficios de AppLocker :
• Controla cómo los usuarios pueden acceder y ejecutar todo tipo deaplicaciones
• Permite la definición de reglas basadas en una amplia variedad devariables
• Permite importar y exportar las políticas enteras de AppLocker
¿Qué es AppLocker?
![Page 26: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/26.jpg)
• AppLocker define reglas basadas en atributos de archivo,tales como:
• Nombre del Editor
• Nombre del producto
• Nombre del archivo
• Versión del archivo
• Acciones de las reglas
• Permitir o Denegar condiciones
• Reforzar o auditar sólo políticas
Reglas de AppLocker
![Page 27: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/27.jpg)
Lección 4
![Page 28: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/28.jpg)
Lección 4: Configuración de Firewall de Windows con seguridad avanzada
• ¿Qué es el Firewall de Windows con seguridad avanzada?
• Discusión: ¿Por qué es importante un cortafuegos basadoen host?
• Perfiles del cortafuegos
• Reglas de seguridad de conexión
• Implementación de reglas de firewall
![Page 29: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/29.jpg)
¿Qué es el Firewall de Windows con seguridad avanzada?
• Windows Firewall es un cortafuegos con estado, basado enhost que permite o bloquea el tráfico de red de acuerdo asu configuración
![Page 30: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/30.jpg)
¿Qué es el Firewall de Windows con seguridad avanzada?
• Soporta filtrado para tráfico entrante y saliente
• Usado para configuración avanzada
• Protección IPsec integrada en el Firewall
• Permite reglas con varios criterios
• Proporciona perfiles de red basado en localizaciones
• Puede importar o exportar políticas
Windows
Server 2008 Internet
LANFirewall
Firewall rules
control inbound
and outbound
traffic
![Page 31: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/31.jpg)
• ¿Por qué es importante un cortafuegos basado en host talcomo el Firewall de Windows con seguridad avanzada?
Discusión: ¿Por qué es importante un cortafuegos basado en host?
![Page 32: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/32.jpg)
• Los Perfiles del cortafuegos son un conjunto de opcionesde configuración que se aplica a un tipo particular de red
• Los perfiles del cortafuegos son :
• Dominio
• Publico
• Privado
• Windows Server 2012 introduce la posibilidad de tenervarios perfiles de firewall activos
Perfiles del cortafuegos
![Page 33: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/33.jpg)
• Reglas de seguridad de conexión:
• Autenticar dos equipos antes que comiencen a comunicarse
• Asegurar la información que se envía entre dos equipos
• Utilizar el intercambio de claves, autenticación, integridad dedatos, y cifrado de datos (opcional)
• Cómo están relacionadas las reglas de firewall y las reglasde conexión:
• Las reglas de firewall permiten el paso de tráfico, pero no asegurandicho tráfico
• Las Reglas de seguridad de conexión pueden asegurar el tráfico,pero sólo si una regla de firewall se ha configurado previamente
Reglas de seguridad de conexión
![Page 34: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/34.jpg)
• Puede implementar reglas de Firewall de Windows:
• Manualmente, usado durante la prueba y reparación decomputadoras
• Mediante el uso de directivas de grupo
• Exportando e importando reglas de firewall
Implementación de reglas de firewall
Always test firewall rules in an
isolated, nonproduction
environment before you deploy
them in production.
![Page 35: 20410A_09 Asegurando Servidores Windows Usando Objetos de Directivas de Grupos](https://reader034.vdocuments.co/reader034/viewer/2022051002/5695d29d1a28ab9b029b153c/html5/thumbnails/35.jpg)
Fin de la unidad