13
JOSE ERNESTO DAVALOS REYES 211372961 LUNES DE 7 A 10 CUCEI WINDOWS SERVER
| Date post: | 23-Dec-2015 |
| Category: |
Documents |
| Upload: | ernesto-davalos |
| View: | 25 times |
| Download: | 0 times |
JOSE ERNESTO DAVALOS REYES 211372961 LUNES DE 7 A 10
C U C E I
WINDOWS SERVER
WINDOWS SERVER
2
Índice
INTRODUCCION . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3 CONTROL DE SEGURIDAD………………………………………………..…………………………….4
Autenticación………………………………………………………………………………………………………...4 Autorización………………………………………………………………………………………………………….4 Protección de la información………………………………………………………………………………………7 Administración de seguridad de Windows Server………………………………………….............................10 HALLAZGOS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 RECOMENDACIONES……………………………………………………………………………………..13 REFERENCIAS……………………………………………………………………………………………….13
WINDOWS SERVER
3
Introducción Windows Server : Es un gestor de servidores para la plataforma de Windows la historia de este producto de Microsoft data desde : - Windows 2000 Server - Windows Server 2003 - Windows Server 2008 - Windows Server 2008 R2 - Windows Server 2012 - Windows Small Business Server, sistema operativo basado en Windows Server con
integración de software Microsoft Servers, para pequeñas empresas.
- Windows Essential Business Server, producto similar a Small Business Server, pero para empresas de tamaño medio.
- Windows Home Server, sistema operativo servidor para hogares diseñado para compartición de archivos, transmisión multimedia, copias de seguridad automatizadas y acceso remoto.
WINDOWS SERVER
4
Control de seguridad Windows Authentication :
Inicio de sesión interactivo Un inicio de sesión interactivo a una computadora puede ser llevada a cabo a nivel local, cuando el usuario tiene acceso físico directo, o de forma remota, a través de Terminal Services o Remote Desktop Services, en cuyo caso el inicio de sesión es más calificado como interactivo a distancia. Después de un inicio de sesión interactivo, Windows ejecuta aplicaciones en nombre del usuario y el usuario puede interactuar con esas aplicaciones. Tarjetas inteligentes Las tarjetas inteligentes se pueden usar en combinación con otro método de autenticación; esto se llama autenticación de múltiples factores. Compatibilidad con tarjetas inteligentes en Windows Server 2008 le permite mejorar la seguridad de muchas funciones críticas en su organización, incluyendo la autenticación de cliente, inicio de sesión interactivo, y la firma de documentos. Si está utilizando o planea utilizar certificados de clave pública, puede implementar tarjetas inteligentes para aumentar la seguridad de su red y aplicaciones importantes. TLS / SSL Los protocolos TLS / SSL se utilizan para autenticar servidores y clientes, y para cifrar los mensajes entre las partes autenticadas. Los protocolos TLS / SSL, las versiones 2.0 y 3.0, y el protocolo de comunicaciones Transporte Privado (PCT) se basan en la criptografía de clave pública. El canal seguro (Schannel) conjunto de protocolos de autenticación proporciona estos protocolos. Todos los protocolos de Schannel utilizan un modelo cliente / servidor y se utilizan principalmente para aplicaciones de Internet que requieren Protocolo de transferencia de hipertexto (HTTP) comunicaciones seguras. Digesto El protocolo de autenticación implícita es un protocolo de desafío / respuesta que se ha diseñado para su uso con HTTP y Capa simple de autenticación de seguridad (SASL) los intercambios. Estos intercambios requieren que los solicitantes deben proporcionar la autenticación de claves secretas.
Autorización : Control de acceso:
El control de acceso es el proceso por el cual se autoriza a usuarios, grupos y equipos obtener acceso a los objetos de la red mediante permisos, derechos de usuario y auditoría de objetos. En las siguientes secciones se describen las tecnologías que admiten el control de acceso.
WINDOWS SERVER
5
Cuando se crea un archivo o carpeta, Windows asigna permisos predeterminados a ese objeto o el creador puede asignar permisos específicos. El permiso de lectura es el permiso mínimo requerido para ver permisos efectivos. Para ver permisos efectivos de archivos y carpetas - Abra el Explorador de Windows y, a continuación, busque el archivo o la carpeta cuyos permisos efectivos desea ver. - Haga clic con el botón secundario en el archivo o carpeta, haga clic en Propiedades y, a continuación, en la ficha Seguridad. - Haga clic en Opciones avanzadas, haga clic en Permisos efectivos y, a continuación, en Seleccionar. - En Escriba el nombre de objeto a seleccionar (ejemplos), escriba el nombre de un usuario o grupo y, después, haga clic en Aceptar. Las casillas activadas indican los permisos efectivos del usuario o grupo para ese archivo o carpeta.
El propietario del objeto controla el modo en que se establecen los permisos en el objeto y a quién se conceden. El permiso Tomar posesión de un objeto o el derecho de usuario Restaurar archivos y directorios son los requisitos mínimos para completar este procedimiento.
Para tomar posesión de un archivo o carpeta
- Abra el Explorador de Windows y, a continuación, busque el archivo o carpeta sobre el que desee tomar posesión. - Haga clic con el botón secundario en el archivo o carpeta, haga clic en Propiedades y, a continuación, en la ficha Seguridad. - Haga clic en Opciones avanzadas y, a continuación, haga clic en la ficha Propietario. - Haga clic en Modificar y realice una de las acciones siguientes: - Para cambiar el propietario a un usuario o grupo que no aparece en la lista, haga clic en Otros usuarios y grupos y, en Escriba el nombre de objeto a seleccionar (ejemplos), escriba el nombre del usuario o grupo, y haga clic en Aceptar. - Para cambiar el propietario a un usuario o grupo de la lista, en el cuadro Cambiar propietario a, haga clic en el nuevo propietario.
WINDOWS SERVER
6
Tarjeta inteligente La Tarjeta de referencia técnica inteligente describe la infraestructura de tarjetas inteligentes de Windows y lo inteligente componentes relacionados con las tarjetas funcionan en Windows. Este documento también contiene información acerca de las herramientas que la tecnología de información (TI) a los desarrolladores y administradores pueden usar para solucionar problemas, depurar y desplegar una sólida autenticación con tarjeta inteligente en la empresa.
Inicio de sesión de tarjeta inteligente en Windows Vista cambió en varios aspectos clave. Las diferencias principales se destacan a continuación:
La pantalla de inicio de sesión ya no se muestra automáticamente cuando se inserta una tarjeta inteligente en Windows Vista. Normalmente los usuarios están obligados a presionar CTRL + ALT + DEL para iniciar el proceso de inicio de sesión.
Certificados válidos se enumeran y se muestran de todas las tarjetas inteligentes y se presentan al usuario.
Keys ya no se limitan al contenedor predeterminado, y los certificados en diferentes contenedores pueden ser elegidos.
Como se discutió en la tarjeta inteligente del flujo de inicio de sesión en Windows Vista y Windows 7 , se accede al proveedor de servicios criptográficos (CSP) en Lsass.exe. La CSP nunca se carga en el proceso Winlogon.
Múltiples sesiones de Servicios de Terminal Server son compatibles en un solo proceso.
Criptografía de curva elíptica (ECC) a base de los certificados no son compatibles con el inicio de sesión de tarjeta inteligente en Windows Vista.
WINDOWS SERVER
7
Protección a la información:
Inicio de sesión de tarjeta inteligente en Windows Vista cambió en varios aspectos clave. Las diferencias principales se destacan a continuación: La pantalla de inicio de sesión ya no se muestra automáticamente cuando se inserta una tarjeta inteligente en Windows Vista. Normalmente los usuarios están obligados a presionar CTRL + ALT + DEL para iniciar el proceso de inicio de sesión.
Certificados válidos se enumeran y se muestran de todas las tarjetas inteligentes y se presentan al usuario.
Keys ya no se limitan al contenedor predeterminado, y los certificados en diferentes contenedores pueden ser elegidos.
Como se discutió en la tarjeta inteligente del flujo de inicio de sesión en Windows Vista y Windows 7 , se accede al proveedor de servicios criptográficos (CSP) en Lsass.exe. La CSP nunca se carga en el proceso Winlogon.
Múltiples sesiones de Servicios de Terminal Server son compatibles en un solo proceso.
Criptografía de curva elíptica (ECC) a base de los certificados no son compatibles con el inicio de sesión de tarjeta inteligente en Windows Vista. - Abra una ventana del símbolo del sistema como administrador. Para ello, haga clic en el botón - Inicio, haga clic en Todos los programas y, a continuación, haga clic en Accesorios. - Haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. - Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar. - En el símbolo del sistema, escriba lo siguiente: start /w pkgmgr /iu:BitLocker - Esto instalará BitLocker si no estuviese ya instalado. - Reinicie el servidor. Ahora BitLocker está instalado, pero aún no se ha habilitado. - En la ventana del símbolo del sistema con privilegios elevados, escriba lo siguiente: manage-bde –on <volume>: -rp –rk U:\ - Este comando cifra el volumen con nombre, genera una contraseña de recuperación y guarda la clave de recuperación en U:\ (la unidad USB, por ejemplo). Registre la contraseña de recuperación y el nombre de archivo de clave de recuperación que se muestra en la consola. El volumen de datos se debe desbloquear después de cada reinicio mediante el uso de la contraseña de recuperación o de la clave de recuperación, de la siguiente forma:
WINDOWS SERVER
8
manage-bde –unlock <volume>: -rp <recovery password>
manage-bde –unlock <volume>: -rk U:\<recovery-key-file name> Para habilitar el desbloqueo automático del volumen de datos, escriba lo siguiente: manage-bde –autounlock –enable <volume>: Este comando genera una clave de recuperación y la guarda en el volumen del sistema operativo. El volumen del sistema operativo debe estar completamente cifrado antes de ejecutar este comando. Una vez que se habilita el desbloqueo automático, el volumen de datos se desbloquea automáticamente cada vez que se reinicia el sistema.
Tpm: Administración de TPM es un complemento de Microsoft Management Console (MMC) que permite a los administradores interactuar con los servicios del Módulo de plataforma segura (TPM). Los servicios de TPM se usan para administrar el hardware de seguridad TPM en el equipo. La arquitectura de Servicios de TPM suministra la infraestructura de la seguridad basada en hardware proporcionando acceso a TPM y garantizando el uso compartido de TPM por parte de las aplicaciones. Iniciar
Haga clic en Inicio, Todos los programas, Accesorios y, después, en Ejecutar. En el cuadro Abrir, escriba tpm.msc y, a continuación, presione ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar. En el menú Acción, haga clic en Inicializar TPM para iniciar el Asistente para inicializar TPM. Si nunca se ha inicializado TPM o está desactivado, el Asistente para inicializar TPM muestra el cuadro de diálogo Activar el hardware de seguridad del TPM. Este cuadro de diálogo proporciona instrucciones para inicializar o activar TPM. Continúe con este procedimiento. Haga clic en Reiniciar. Siga las indicaciones de la pantalla del BIOS. A continuación, se muestra una solicitud de aceptación para asegurarse de que el usuario tiene acceso físico al equipo y de que no hay ningún software malintencionado que esté intentado activar TPM. Una vez reiniciado el equipo, inicie sesión en el equipo con las mismas credenciales administrativas que usó para iniciar este procedimiento. Seguidamente se reiniciará automáticamente el Asistente para inicializar TPM. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en Continuar. Continúe con el procedimiento siguiente.
WINDOWS SERVER
9
Configurar : Si no continúa inmediatamente después del último procedimiento, inicie el Asistente para inicializar TPM. Si necesita revisar los pasos de esta tarea, vea la sección acerca de cómo iniciar el Asistente para inicializar TPM anteriormente en este tema. En el cuadro de diálogo Crear la contraseña de propietario de TPM, haga clic en Crear contraseña automáticamente (recomendado). En el cuadro de diálogo Guardar la contraseña de propietario de TPM, haga clic en Guardar la contraseña. En el cuadro de diálogo Guardar como, seleccione una ubicación en la que guardar la contraseña y, a continuación, haga clic en Guardar. El archivo de contraseña se guarda con el siguiente formato computer_name.tpm. Haga clic en Imprimir contraseña si desea imprimir una copia impresa de la contraseña. Haga clic en Inicializar.
Efs : El sistema de cifrado de archivos (EFS) es una tecnología de cifrado principal del sistema operativo Windows Server® 2008 que permite cifrar los archivos almacenados en volúmenes NTFS.
Active Directory Rights Management Services : Es una tecnología de protección de información que funciona con aplicaciones compatibles con RMS AD para ayudar a proteger la información digital del uso no autorizado. Los propietarios de contenido pueden definir quién puede abrir, modificar, imprimir, reenviar o tomar otras acciones con la información.
Uso :
Haga clic en Inicio y en Administrador del servidor; en el panel izquierdo, haga clic en Características y, a continuación, en el panel derecho, haga clic en Agregar características. Se abre el Asistente para agregar características. En el Asistente para agregar características, en la página Seleccionar características, expanda Características de Copias de seguridad de Windows Server y, a continuación, active las casillas Copias de seguridad de Windows Server y Herramientas de línea de comandos. Haga clic en Agregar características requeridas y, a continuación, haga clic en Siguiente. En la página Confirmar selecciones de instalación, revise las opciones elegidas y haga clic en Instalar. Si aparece un error durante la instalación, se anotará en la página Resultados de la instalación. A continuación, para tener acceso a estas herramientas de copia de seguridad y recuperación, realice lo siguiente: Para tener acceso al complemento Copias de seguridad de Windows Server, haga clic en Inicio, Herramientas administrativas y Copias de seguridad de Windows Server.
WINDOWS SERVER
10
Para tener acceso a Wbadmin y ver su sintaxis, haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. En el símbolo del sistema, escriba: wbadmin /? Para obtener instrucciones sobre el acceso y la consulta de la Ayuda de los cmdlets de Copias de seguridad de Windows Server, consulte GettingStarted.rtf en: <unidadDelSistema>:\Windows\System32\WindowsPowerShell\v1.0\Documents\<idioma>.
Administración de seguridad de Windows Server Administración de directivas de seguridad de servidor
La directiva de seguridad consiste en un grupo de reglas configurable por el que el sistema operativo se rige a la hora de determinar los permisos que se van a otorgar en respuesta a una solicitud de acceso a los recursos. Con el complemento Plantillas de seguridad, puede crear una directiva de seguridad para un equipo o para su red. Las plantillas de seguridad se pueden utilizar para definir configuraciones de directivas para las siguientes áreas de seguridad: Directivas de cuentas: directiva de contraseñas, directiva de bloqueo de cuentas y directiva Kerberos Directivas locales: directiva de auditoría, asignación de derechos de usuarios y opciones de seguridad Registro de eventos: opciones de configuración del registro de eventos de seguridad, sistema y aplicaciones Grupos restringidos: pertenencia a grupos críticos para la seguridad Servicios del sistema: inicio y permisos para servicios del sistema Registro: permisos para claves del Registro Sistema de archivos: permisos para carpetas y archivos Una vez creada la directiva personalizada en forma de plantilla, puede aplicarla de muchas maneras, incluidas las siguientes: Importar la plantilla en una directiva SCW basada en funciones y aplicarla a uno o varios equipos.
WINDOWS SERVER
11
Importar la plantilla en un objeto de Directiva de grupo (GPO) y aplicarla a múltiples equipos mediante Directiva de grupo. Aplicar la plantilla al equipo local mediante el complemento Configuración y análisis de seguridad.
Auditoria : La auditoría de seguridad es una de las herramientas más eficaces que existen para ayudar a mantener la seguridad de un sistema. Se recomienda establecer el nivel de auditoría adecuado a su entorno como parte de la estrategia de seguridad global. La auditoría debería identificar los ataques, ya tengan éxito o no, que supongan un riesgo para su red, o los ataques contra recursos considerados como valiosos en la evaluación de riesgos. Pasos para configurar la auditoría En esta sección se incluyen los procedimientos de cada uno de los pasos principales para habilitar la auditoría de cambios: Paso 1: habilitar la directiva de auditoría.
Este paso incluye los procedimientos para habilitar la auditoría de cambios con la interfaz de Windows o con una línea de comandos: Mediante Administración de directivas de grupo se puede activar la directiva de auditoría global, Auditar el acceso del servicio de directorio, lo que habilita todas las subcategorías para la auditoría de AD DS. Si necesita instalar Administración de directivas de grupo, haga clic en Agregar características en Administrador del servidor. Seleccione Administración de directivas de grupo y, a continuación, haga clic en Instalar. Con la herramienta de línea de comandos Auditpol pueden habilitarse subcategorías individuales. Paso 2: configurar la auditoría de las SACL de objetos mediante Usuarios y equipos de Active Directory. Paso 1: habilitar la directiva de auditoría. Este paso incluye los procedimientos para habilitar la auditoría de cambios con la interfaz de Windows o con una línea de comandos: Mediante Administración de directivas de grupo se puede activar la directiva de auditoría global, Auditar el acceso del servicio de directorio, lo que habilita todas las subcategorías para la auditoría de AD DS. Si necesita instalar Administración de directivas de grupo, haga clic en Agregar características en Administrador del servidor. Seleccione Administración de directivas de grupo y, a continuación, haga clic en Instalar. Con la herramienta de línea de comandos Auditpol pueden habilitarse subcategorías individuales. Para habilitar la directiva de auditoría global mediante la interfaz de Windows
WINDOWS SERVER
12
Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administración de directivas de grupo. En el árbol de la consola, haga doble clic en el nombre del bosque, en Dominios, en el nombre del dominio y en Controladores de dominio, haga clic con el botón secundario en Directiva predeterminada de controladores de dominio y, a continuación, haga clic en Editar. En Configuración del equipo, haga doble clic en Directivas, en Configuración de Windows, en Configuración de seguridad, en Directivas locales y en Directiva de auditoría. En Directiva de auditoría, haga clic con el botón secundario en Auditar el acceso del servicio de directorio y, a continuación, haga clic en Propiedades. Active la casilla Definir esta configuración de directiva. En Auditar estos intentos, active la casilla Correcto y, a continuación, haga clic en Aceptar. Para habilitar la modificación de la directiva de auditoría mediante una línea de comandos Haga clic en Inicio, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Escriba el siguiente comando y presione ENTRAR: auditpol /set /subcategory:"directory service changes" /success:enable Paso 2: configurar la auditoría de las SACL de objetos. En el siguiente procedimiento se presenta un ejemplo de uno de los muchos tipos diferentes de SACL que pueden configurarse en función de las operaciones que se desean auditar. Para configurar la auditoría de las SACL de objetos Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Usuarios y equipos de Active Directory. Haga clic con el botón secundario en la unidad organizativa (OU) (o en cualquier objeto) para la que desea habilitar la auditoría y, a continuación, haga clic en Propiedades. Haga clic en la ficha Seguridad, haga clic en Avanzadas y, a continuación, haga clic en la ficha Auditoría. Haga clic en Agregar, en Escriba el nombre de objeto a seleccionar escriba Usuarios autenticados (o cualquier otra entidad de seguridad) y, a continuación, haga clic en Aceptar. En Aplicar en, haga clic en Objetos de usuario descendientes (o en cualquier otro objeto). En Acceso, active la casilla Correcto para Escribir todas las propiedades. Haga clic en Aceptar hasta que salga de la hoja de propiedades de la unidad organizativa (OU) u otro objeto.
Applocker: Puede utilizar AppLocker para los escenarios siguientes:
Ayudar a impedir que software malintencionado (malware) y aplicaciones no admitidas afecten a los equipos de su entorno.
Impedir que los usuarios instalen y utilicen aplicaciones no autorizadas.
WINDOWS SERVER
13
Implementar una directiva de control de aplicaciones para satisfacer los requisitos de directiva de seguridad o de cumplimiento de su organización.
Hallazgos
En este documento me di cuenta de que Windows server tiene mucho a favor puesto que a implementado muchas técnicas de seguridad a favor de la información además de poder facilitarle la vida al usuario implementando lujos por si así se le puede llamar al acceso remoto a nuestro servidor
Recomendación Así como tiene muchas recomendaciones y técnicas a favor también hay cosas que tomar en cuenta antes de poder usar el sistema es que no será compatible del todo y que tantas normas de seguridad implementadas tarde que temprano si llega a fallar alguna se puede perder tiempo o el cliente puesto que es un sistema que no esta exento de ataques informáticos por eso es bueno tener al corriente nuestro sistema con un buen sistema de antivirus así como un respaldo constante de la información que hasta cierto punto es esencial para el correcto funcionamiento de nuestra empresa
Referencias https://technet.microsoft.com/es-es/library/dd548350%28v=ws.10%29.aspx
