8-Estrategias de Seguridad Aplicada

Estrategias de seguridad aplicada
Requisitos previos para el capítulo
 Comprender los desafíos de seguridad a los que se enfrenta la compañía

 Saber cómo proteger los equipos mediante la Directiva de grupo
 Conocer los conceptos básicos del acceso remoto
 Saber cómo aplicar revisiones de seguridad
Índice
 Introducción
 Estrategias reales de administración de revisiones
 Estrategias reales de acceso remoto
 Solución de problemas de configuraciones de seguridad
1
1. Introducción
• En este capítulo, desarrollará los conocimientos que ya posee sobre la

seguridad en servidores, clientes y redes, y aprenderá estrategias
prácticas para implementar las recomendaciones de seguridad en todo el
entorno.
• La protección del entorno de los equipos requiere una estrategia de
defensa en profundidad, que consiste en aplicar la seguridad en niveles y
proteger todos los equipos del entorno. En este capítulo sólo se
explicarán tres de las estrategias que deben implementarse para crear un
entorno de equipos más seguro. Aprenderá estrategias reales para la
administración de revisiones y la seguridad de acceso remoto y aprenderá
a solucionar problemas de las configuraciones de seguridad existentes.
• Este tema es una introducción a las estrategias de seguridad aplicada.
Incluye:
• Defensa en profundidad.
• Problemas comunes de seguridad.
1.1. Defensa en profundidad
 El uso de una solución en niveles:

 Aumenta la posibilidad de que se detecten los intrusos
 Disminuye la posibilidad de que los intrusos logren su propósito
Cap8-01.jpg
• Una estrategia de seguridad para una organización es más efectiva

cuando los datos están protegidos por más de un nivel de seguridad. La
estrategia de seguridad de defensa en profundidad utiliza varios niveles
de protección. Si un nivel se ve comprometido, ello no conlleva
necesariamente que también lo esté toda la organización. Una estrategia
2
de defensa en profundidad aumenta el riesgo de detectar al intruso y
disminuye la oportunidad de que tenga éxito.
• Para reducir al máximo la posibilidad de que un ataque contra los equipos
cliente de su organización alcance su objetivo, tiene que implementar el
grado apropiado de defensa en cada nivel. Hay muchas formas de
proteger cada nivel individual mediante herramientas, tecnologías,
directivas y la aplicación de las recomendaciones. Por ejemplo:
• Nivel de directivas, procedimientos y concientización: programas
de aprendizaje de seguridad para los usuarios
• Nivel de seguridad física: guardias de seguridad, bloqueos y
dispositivos de seguimiento
• Nivel perimetral: servidores de seguridad de hardware, software o
ambos, y redes privadas virtuales con procedimientos de
cuarentena
• Nivel de red de Internet: segmentación de red, Seguridad IP
(IPSec) y sistemas de detección de intrusos de red
• Nivel de host: prácticas destinadas a reforzar los servidores y
clientes, herramientas de administración de revisiones, métodos
seguros de autenticación y sistemas de detección de intrusos
basados en hosts
• Nivel de aplicación: prácticas destinadas a reforzar las aplicaciones
y el software antivirus
• Nivel de datos: listas de control de acceso (ACL) y cifrado
Información adicional:
Si desea obtener más información sobre el concepto de defensa en profundidad

para el diseño de un modelo de seguridad de tecnología de la información (IT),
consulte el sitio Web “Authoritative Security Guidance for the Enterprise” en:
http://www.microsoft.com/technet/security/bestprac/
(Este sitio está en inglés).
1.2. Desafíos comunes de seguridad
 Administración de revisiones: en profundidad

 Seguridad de acceso remoto
 Solución de problemas de directivas de seguridad
• La mayoría de las organizaciones de tecnología de la información saben

que la mayor parte de los ataques contra los equipos se aprovechan de
las configuraciones poco seguras y de los problemas de seguridad
conocidos del software. Para los sistemas empresariales, ese nivel de
seguridad no es suficiente. Para mantener protegidos los equipos en un
entorno grande se necesitan distintos métodos.
• Windows Update, por ejemplo, es un método sencillo para mantener
actualizado un único equipo, pero sólo es apropiado para equipos
domésticos o compañías muy pequeñas. Servicios de actualización de
3
software (SUS, Software Update Services) y Actualizaciones automáticas
de Windows son más adecuados para entornos grandes. En este capitulo,
aprenderá las estrategias y herramientas que complementan estas
utilidades.
• Muchas organizaciones configuran servidores de acceso remoto y utilizan
un servidor de seguridad para proporcionar acceso remoto. Pero éste sólo
es el primer paso. En este capitulo, aprenderá las estrategias para
proporcionar acceso seguro a los clientes de acceso remoto que no se
administran de forma centralizada.
• La característica de plantillas de seguridad y directiva de grupo de
Microsoft® Windows® permite configurar opciones de seguridad
importantes de forma centralizada. Una vez implementadas estas
soluciones, tal vez obtenga resultados imprevistos. Por ejemplo, es
posible que las aplicaciones dejen de funcionar o que se interrumpa el
acceso a la red. En este capitulo, aprenderá a solucionar problemas de
directivas de seguridad para obtener los resultados que necesita.
4
2. Estrategias reales de administración de revisiones
En este tema, aprenderá acerca de las estrategias reales de administración

de revisiones. Este tema incluye:
• Importancia de la administración de revisiones proactiva

• Proceso de administración de revisiones
• Supervisión del estado de las revisiones
• Cuándo aplicar revisiones
• Herramientas de Microsoft para la administración de revisiones
• Ventajas de Microsoft Baseline Security Analyzer (MBSA)
• Funcionamiento de MBSA
• Automatización de la detección con MBSA
• Ejemplos de línea de comandos de MBSA
• Automatización de la distribución y supervisión de revisiones con
SUS
• Escenarios de implementación de SUS
• Administración de un entorno SUS complejo
• Recomendaciones de implementación de Servicios de
actualización de software
• Uso de software de administración para distribuir y aplicar
revisiones
• Funcionamiento de SMS
• Soluciones de terceros
• Aplicación de revisiones de Microsoft Office
• Recomendaciones para la administración correcta de revisiones
1.3. Importancia de la administración de revisiones proactiva
Días
Fecha en Fecha del
Nombre del Gravedad Boletín disponibles
que se hizo boletín
ataque según MSRC de MSRC antes del
público de MSRC
ataque
Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49
SQL Slammer 24-ene-03 Crítico MS02-039 24-jul-02 184
Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294
Nimda 18-sep-01 N/D MS01-078 17-oct-00 336
Code Red 16-jul-01 N/D MS01-033 18-jun-01 28
• El tiempo transcurrido entre que se notifica un ataque y se dispone de una

revisión puede variar. Dado que este período de tiempo no se puede
5
predecir, los administradores deben tomar medidas proactivas en la
administración de revisiones. En la mayoría de las ocasiones, la
administración de revisiones proactiva puede proteger los puntos
vulnerables antes de que se produzca un ataque contra ellos.
• Nota: algunos boletines se publicaron antes de que se implementaran las
clasificaciones de gravedad de Microsoft Security Response Center.
1.4. Proceso de administración de revisiones
Cap8-02.jpg
• El primer paso en el proceso de administración de revisiones consiste en

evaluar el entorno y crear una línea de base del entorno de IT que se
actualice periódicamente.
• El segundo paso consiste en identificar las revisiones que deben
implementarse y los activos a los que se aplican. Esto ocurre cuando se
dispone de una nueva revisión o cuando se detecta que los sistemas del
entorno no tienen las revisiones adecuadas.
• El tercer paso consiste en evaluar la revisión. Debe comprobarse que
funciona eficazmente en el entorno, planear el proceso de publicación de
revisiones, obtener los permisos para implementar la revisión y
comunicar, cuando sea necesario, la fecha y las repercusiones de la
implementación de la revisión.
6
• El último paso consiste en distribuir e instalar la revisión en los sistemas
de destino, revisar el progreso de la implementación, solucionar todos los
problemas relacionados con la implementación y comprobar la instalación
en los sistemas de destino.
• Como se indicó anteriormente, éste es un proceso continuado que se
inicia a intervalos periódicos, cuando se publica una nueva revisión o
cuando nueva información indica que faltan revisiones necesarias.
Una vulnerabilidad tiene el ciclo de vida siguiente:
1. Se informa de la vulnerabilidad. Los puntos públicos vulnerables se

catalogan con la etiqueta “en investigación” y sólo los conocen Microsoft y
quien informa de ellos.
• Microsoft no suele confirmar la vulnerabilidad.
• Muchos gusanos se basan en “código de demostración” que se ha
publicado.
2. Se desarrolla una revisión. A medida que se desarrolla y se prueba una
revisión, sólo Microsoft y quien ha informado de la vulnerabilidad saben
que existe.
• La revelación pública de los puntos vulnerables pone en riesgo a
todo el mundo.
• Si la vulnerabilidad se hiciera pública en este momento, los
intrusos tendrían la misma ventaja que Microsoft. Quienes
investigan de forma responsable sobre la seguridad siempre han
sido conscientes de esto.
3. Se publica un boletín de seguridad y una revisión. La vulnerabilidad es
ahora de dominio público pero el mecanismo que se utiliza para
aprovecharla no lo es. Los posibles intrusos conocen ahora la
vulnerabilidad y la revisión se debe distribuir e instalar antes de que se
pueda utilizar para emprender un ataque.
4. La revisión es inversa al código. Una vez publicada la revisión, sólo es
cuestión de tiempo para que se aplique ingeniería inversa al código y se
descubra el mecanismo para aprovecharla.
5. Se crea el gusano o el código del virus. En este momento, existe un
mecanismo de ataque pero aún no se ha lanzado.
6. El código del gusano o del virus se difunde. Una vez que se ha desatado
el virus o el gusano, los sistemas sin proteger o que no hayan aplicado la
revisión, pronto se verán infectados.
• En ocasiones, los investigadores revelan información de la vulnerabilidad
antes de que Microsoft haya tenido oportunidad de desarrollar y probar
una revisión. Esto cambia la secuencia temporal para utilizar la
vulnerabilidad. En ese caso, otras medidas preventivas de defensa
ayudan a proteger el sistema. Por ejemplo, Microsoft publica consejos
para mitigar el riesgo lo antes posible cuando se hace pública una forma
de aprovechar una vulnerabilidad antes de que la revisión
correspondiente esté preparada.
• Para mejorar los estándares de tratamiento de puntos vulnerables,
Microsoft y otros proveedores de software han formado la organización
7
para la seguridad en Internet (Organization for Internet Safety), cuyo sitio
Web es http://www.oisafety.org (este sitio está en inglés).
• Su objetivo principal es ofrecer a sus clientes el mayor tiempo
posible para responder a nuevas vulnerabilidades.
• En su consecución se unen los proveedores y los investigadores
de las vulnerabilidades.
• Esta organización está desarrollando estándares para el
tratamiento de las vulnerabilidades.
Además de trabajar con la organización para la seguridad en Internet, Microsoft

también publica trazas de red para los proveedores de sistemas de detección de
intrusos y antivirus (IDS, Anti-Virus/Intrusion Detection System).
El grupo de trabajo de Microsoft Security Response Center asigna una categoría

de gravedad a cada revisión publicada en un boletín de seguridad. Las
definiciones de las categorías son:
• Crítica: su aprovechamiento podría permitir la propagación de un gusano

de Internet como Code Red o Nimda, sin intervención del usuario.
• Importante: su aprovechamiento podría provocar el compromiso de los
datos del usuario (confidencialidad, integridad o disponibilidad) y la
integridad o disponibilidad de los recursos de procesamiento.
• Moderada: su aprovechamiento es grave pero factores como la
configuración predeterminada, la auditoría, la necesidad de acción del
usuario o lo difícil que resulta aplicarlo han mitigado la amenaza en un
grado significativo.
• Baja: su aprovechamiento es extremadamente difícil o sus efectos son
mínimos.
Microsoft ha publicado las siguientes directrices en relación a los calendarios

para la aplicación de revisiones:
• Las revisiones de seguridad críticas deben implementarse en 24 horas.

• Las revisiones de seguridad importantes deben implementarse en un
mes.
• Las revisiones de seguridad moderadas deben implementarse en cuatro
meses o con la siguiente actualización de continuidad de revisiones o
Service Pack, que antes se publique.
• Las revisiones de seguridad que supongan una amenaza baja deben
implementarse con la siguiente actualización de continuidad de revisiones
o Service Pack, o antes de un año.
Algunos factores que pueden afectar a estos calendarios son:
• Si tiene activos de gran valor o que están expuestos a un gran riesgo,

debe disminuir los calendarios recomendados.
• Si la seguridad de su sistema es considerable o si sus activos están
expuestos a un riesgo poco importante, debe aumentar los calendarios
recomendados.
8
Nota: en muchas organizaciones pequeñas, se suele recomendar instalar cada
revisión sugerida por Windows Update y Microsoft Office Update. En las
organizaciones mayores, utilice la disciplina de administración de riesgos de
seguridad (SRDM, Security Risk Management Discipline) para determinar qué
revisiones son las más apropiadas. De este modo, puede ahorrar tiempo y
recortar los costos.
• La única forma de realizar la administración de revisiones correctamente

es disponer de las personas adecuadas para ejecutar los procesos
correspondientes con las tecnologías apropiadas.
• Aunque el resto de este capitulo se concentra en los productos,
herramientas y tecnologías que se utilizan en la administración de
revisiones, es esencial que no pase por alto el aspecto humano del
problema que ésta supone. No es sólo cuestión de saber lo que hay que
hacer sino también de asegurarse de que usted y su personal tienen los
conocimientos adecuados y de que se les asignan las responsabilidades
necesarias para garantizar el éxito operativo.
• No es suficiente con que su organización tenga montones de normas y
reglamentos en relación a la seguridad: su personal también debe
seguirlos e implementarlos.
• Las áreas clave que hay que considerar para que la implementación de
una infraestructura de administración de revisiones tenga éxito son las
siguientes:
• ¿Cómo va a enterarse de que hay nuevas revisiones y
correcciones disponibles?
• ¿Es realmente necesario aplicar una revisión particular en su
entorno?
• ¿Cuál será la repercusión en todo el sistema de la instalación de
una revisión de seguridad en su entorno?
• ¿Qué cambiará la revisión en realidad?
• ¿Se puede desinstalar la revisión una vez instalada?
• ¿Cuáles son las dependencias entre los componentes de su
entorno de producción y cómo afectará la aplicación de una
revisión a uno de esos componentes?
• ¿Cómo evaluará el éxito de la instalación de una revisión?
• ¿Qué escenarios tiene para restaurar un entorno en el que se ha
aplicado una revisión si debe llevar a cabo una operación de
recuperación ante un desastre?
1.5. Terminología
Security Patch - Un arreglo lanzado para una vulnerabilidad de seguridad-

relacionada con un producto especifico. Las vulnerabilidades de seguridad
clasificadas se basan en su severidad que se indica en el boletín de la seguridad
como "crítica", "importante," "moderada" o "baja".
9
Critical Update - Un arreglo lanzado para un problema específico que trata un
bug no relacionado con la seguridad y crítico.
Update – Es un update no critico.
Hotfix - Un solo paquete acumulativo integrado por uno o más archivos para
corregir un problema en un producto.
Update Rollup - Un sistema probado, acumulativo de hotfixes, security patches,

critical updates y updates empaquetado juntos para una fácil instalación.
Service Pack - Un sistema probado, acumulativo de todos los hotfixes, security

patches, critical updates y updates, así como los arreglos adicionales para los
problemas encontrados internamente en los productos luego de su lanzamiento.
Feature Pack - Funcionalidad nueva del producto que primero se distribuye

fuera del contexto de un lanzamiento de producto, incluido generalmente en el
lanzamiento de producto completo siguiente.
Conseguir seguridad
Se llama la primera fase Get Secure. Para ayudar a su organización para
alcanzar un nivel apropiado de la seguridad, seguir las recomendaciones Get
Secure proporcionadas por Microsoft.
Estar seguro
Se conoce la segunda fase como Stay Secure. Es para crear un ambiente que
sea inicialmente seguro. Sin embargo, una vez que su ambiente está en servicio,
es completamente diferente mantener la seguridad del ambiente en un cierto
plazo. Tome acción preventiva contra amenazas y responda a ellas con eficacia
cuando ocurren. Para ayudar a su organización a mantener un nivel apropiado
de seguridad en un cierto plazo, es aconsejable seguir las recomendaciones
Stay Secure del Microsoft Security Tool Kit, el cual puede ser accedido online.
1.6. Supervisión del estado de las revisiones
 Suscribirse a servicios de notificación

 Servicio de notificación de Microsoft Security
 Listas de distribución de correo de terceros
 Visitar sitios Web
 www.microsoft.com/technet/security
 Páginas específicas de productos
 Sitios de otros fabricantes
 Implementar una programación de revisiones e implementaciones
 Programación de publicación de revisiones de Microsoft: segundo
martes de cada mes
 Excepción: los clientes corren un riesgo inmediato
 Configurar herramientas automatizadas que comprueben
diariamente si existen nuevas actualizaciones
10
• El paso más importante para mantenerse informado es suscribirse a
servicios de notificación, como:
• Servicio de notificación de Microsoft Security, que informa de los
nuevos puntos vulnerables y de las revisiones.
• Lista de distribución de correo de terceros, como BugTraq y
NTBugTraq.
• Visite también con regularidad los sitios Web que contienen boletines y
alertas relacionados con la seguridad, como el sitio Web de Microsoft
TechNet Security. También encontrará información en páginas Web de
productos específicos, como el sitio Web de Office Update.
• Desarrolle un programa de revisiones e implementaciones periódicas.
Microsoft publica nuevos boletines de seguridad el segundo martes de
cada mes. Microsoft ha adoptado recientemente este calendario de
publicaciones mensuales en respuesta a las peticiones de los clientes.
Otra ventaja del ciclo mensual es que ofrece más tiempo entre la
publicación de revisiones de seguridad para evaluar, probar e instalar las
revisiones en los equipos del entorno cuando corresponda. La
implementación de revisiones se puede planear por adelantado.
Nota: una excepción a este calendario se produce cuando Microsoft determina

que existe un riesgo inmediato de que los clientes sean amenazados por virus,
gusanos, ataques u otras actividades dañinas. En estas situaciones, Microsoft
publicará revisiones de seguridad lo antes posible.
Cuando utilice herramientas automatizadas, como SUS, configúrelas para que

comprueben diariamente si existen nuevas actualizaciones.
• Para suscribirse al servicio de notificación de Microsoft Security, visite

http://www.microsoft.com/security/security_bulletins/alerts2.asp
• Consulte Security Bulletin Search en
http://www.microsoft.com/technet/security/current.asp
• Para obtener información sobre las recomendaciones para aplicar Service
Packs, hotfix y revisiones de seguridad, visite
http://www.microsoft.com/technet/security/bestprac/bpsp.asp
• Para obtener más información sobre la administración de revisiones,
consulte “Microsoft Prescriptive Guidance” en
http://www.microsoft.com/technet/security/topics/patch/
11
1.7. Cuándo aplicar revisiones
 Aplíquelas lo antes posible

 Aplíquelas sólo después de probarlas
 Implemente medidas atenuantes
 Aplíquelas de acuerdo con la clasificación de gravedad
Clasificación
Calendarios recomendados para
de laDefinición
la aplicación de revisiones
gravedad
Su aprovechamiento podría permitir la
Crítico propagación de un gusano de Internet comoEn 24 horas
Code Red o Nimda sin intervención del usuario
Su aprovechamiento podría comprometer la
confidencialidad, integridad o disponibilidad
Importante En un mes
de los datos de los usuarios o la integridad o
disponibilidad de los recursos de procesamiento
Su aprovechamiento es grave pero se ve
Espere al siguiente Service Pack
mitigado en un grado significativo por factores
o continuidad de revisiones que
Moderada como la configuración predeterminada, la
incluya la revisión o impleméntela
auditoría, la necesidad de intervención del
antes de cuatro meses
usuario o su dificultad de aplicación
Espere al siguiente Service Pack
Su aprovechamiento es extremadamente difícilo continuidad de revisiones que
Baja
o sus efectos son mínimos incluya la revisión o impleméntela
antes de un 1 año
• No existe una única respuesta correcta a la pregunta de cuándo aplicar

las revisiones. Una directriz que se puede seguir es aplicarlas lo antes
posible, pero sólo después de haberlas probado concienzudamente. En la
mayoría de las organizaciones, esto significa que tendrán que encontrar
un equilibrio entre la urgencia de aplicar un hotfix y los requisitos que
garanticen la continuidad del negocio mediante la comprobación rigurosa
de las revisiones.
• Muchos boletines de seguridad contienen información sobre medidas
atenuantes. Por ejemplo, es posible que se puedan contrarrestar algunas
amenazas bloqueando determinados puertos del servidor de seguridad.
Revise todas estas medidas atenuantes y determine si se pueden utilizar
para proteger la red hasta que se apliquen las revisiones.
• El momento de aplicar una revisión dependerá de la gravedad. Cuanto
mayor sea la gravedad, más urgente será la revisión. Los calendarios de
la tabla anterior son muy estrictos. Aunque deben intentar cumplirse, tal
vez no sea posible si la red es grande. No obstante, una clasificación de
gravedad de Crítico indica que la implementación de las
recomendaciones del boletín de seguridad es sumamente urgente.
12
1.8. Herramientas de Microsoft para la administración de
revisiones
 Microsoft Baseline Security Analyzer (MBSA)

Herramientas de análisis
 Herramienta Inventario de Office
Servicios de actualización en  Windows Update

línea  Office Update
 Catálogo de Windows Update

Repositorios de contenido  Catálogo de descargas de Office
 Centro de descarga de Microsoft
 Característica Actualizaciones automáticas (AU)

de Windows
Herramientas de administración
 Servicios de actualización de software (SUS)
 Systems Management Server (SMS)
 Administración de revisiones mediante SUS

Directrices  Guía de Microsoft para la administración de
perceptivas revisiones de seguridad
 Administración de revisiones mediante SMS
• En esta tabla se clasifican varias herramientas y otros componentes que

puede utilizar para la administración de revisiones:
• Las herramientas de análisis permiten detectar las revisiones de
seguridad que faltan.
• MBSA y la herramienta Inventario de Office se pueden
utilizar para examinar un único equipo o un intervalo de
equipos de la red.
• Los servicios de actualización en línea permiten la detección e
instalación automatizadas de las revisiones que faltan.
• Windows Update y Office Update son herramientas
adecuadas para actualizar un único equipo.
• Los repositorios de contenido permiten descargar manual o
selectivamente las actualizaciones pertinentes.
• Todos los repositorios de contenido permiten que los
administradores descarguen revisiones que pueden
implementar después en su organización. Esta
implementación se puede realizar manualmente en los
equipos seleccionados o mediante métodos de actualización
automatizados. Las herramientas de terceros también
pueden descargar revisiones de estas ubicaciones.
• Las herramientas de administración permiten la administración de
revisiones en la organización.
• Estas herramientas se utilizan para descargar e instalar
revisiones automáticamente.
• Las directrices preceptivas proporcionan recomendaciones sobre
los procesos y la puesta en práctica de la administración de
revisiones.
13
• Se puede descargar información detallada, archivos de
comandos de ejemplo y recomendaciones.
Para obtener más información sobre la administración de revisiones, visite el

sitio Web de Microsoft Patch Management, Security Updates y Downloads
(Administración de revisiones, actualizaciones de seguridad y descargas) en
http://www.microsoft.com/technet/security/topics/patch/default.asp
1.9. Ventajas de MBSA
 Automatiza la identificación de las revisiones de seguridad que faltan y

de los problemas de la configuración de seguridad
 Permite a los administradores examinar a la vez muchos sistemas de
forma centralizada
 Trabaja con una amplia variedad de software de Microsoft (no sólo con
Windows y Office)
• MBSA permite a los administradores evaluar los sistemas comparándolos

con una línea de base de seguridad común a fin de identificar las
revisiones de seguridad que faltan y algunos problemas de la
configuración de seguridad.
• Los administradores pueden utilizar MBSA para examinar un gran número
de sistemas simultáneamente y crear un informe basado en Web para
realizar un análisis más exhaustivo.
• MBSA también funciona en una amplia variedad de software y sistemas
de Microsoft.
• Revisiones y actualizaciones de seguridad:
• Microsoft Windows NT® 4.0, Windows 2000, Windows
Server™ 2003, Windows XP
• Servicios de Internet Information Server (IIS) 4.0, IIS 5.0, IIS
6.0
• Microsoft SQL Server 7.0, SQL 2000 (incluye Microsoft Data
Engine)
• Internet Explorer (IE) 5.01 y versiones posteriores
• Microsoft Exchange Server 5.5, Exchange 2000
• Reproductor de Windows Media® 6.4 y versiones
posteriores
• Configuraciones del sistema:
• Windows NT 4.0, Windows 2000, Windows Server 2003,
Windows XP
• IIS 4.0, IIS 5.0, IIS 6.0
• SQL 7.0, SQL 2000
• Internet Explorer 5.01 y versiones posteriores
• Office 2000, Office XP
14
1.10. MBSA: funcionamiento
Cap8-03.jpg
• En esta diapositiva se muestra cómo funciona MBSA. La diapositiva

describe las capacidades de detección de revisiones de seguridad, pero
no trata los problemas de detección de la configuración de seguridad.
1. Ejecute la herramienta MBSA y especifique los equipos de destino
que hay que examinar.
2. MBSA descarga el archivo CAB, que contiene MSSecure.xml, y
comprueba su firma digital.
• MBSA intentará ponerse en contacto con el Centro de
descarga de Microsoft para obtener este archivo; o bien, el
archivo se puede copiar en los equipos locales.
• El archivo MSSecure.xml contiene:
• Nombres de los boletines de seguridad.
• Actualizaciones específicas de productos.
• Información de versiones y suma de comprobación.
• Claves del Registro que han cambiado.
• Números de artículos de Microsoft Knowledge Base
(Base de conocimiento).
3. MBSA examina los sistemas de destino para detectar los sistemas
operativos, sus componentes y las aplicaciones.
4. MBSA analiza el archivo MSSecure.xml para comprobar si hay
actualizaciones disponibles.
5. MBSA comprueba el sistema para ver si faltan las actualizaciones
necesarias.
15
6. MBSA genera un informe con una marca de tiempo en el que se
enumeran las actualizaciones que faltan en el sistema.
1.11. MBSA: opciones de detección predeterminadas
o Interfaz gráfica de usuario de MBSA (aplicación de Windows)

 Utiliza -baseline, -v, -nosum
 -baseline se coloca junto a las actualizaciones de seguridad esenciales
de Windows Update
 Las notas y advertencias se siguen mostrando de forma predeterminada
 Las comprobaciones de la suma de comprobación no se realizan (para
coincidir con Windows Update)
o Interfaz de la línea de comandos de MBSA (mbsacli.exe)
 Utiliza -sum
 Se realizan las comprobaciones de la suma de comprobación
o Detección de HFNetChk (mbsacli.exe /hf)
 Utiliza -sum
 Se realizan las comprobaciones de la suma de comprobación
• MBSA tiene dos opciones de modo:

• La primera opción es el modo de interfaz gráfica de usuario. Este
modo puede proporcionar un informe basado en Web.
• La segunda opción es el modo de línea de comandos. Este modo
proporciona alternativas para enumerar las revisiones específicas
que faltan y los artículos de Knowledge Base (Base de
conocimiento) relacionados. Para ver la lista completa de opciones
disponibles, escriba mbsacli /? en el símbolo del sistema
1.12. Automatización de la detección con MBSA
o Detección de MBSA (interfaz gráfica de usuario)

 Funciona bien en redes pequeñas y medianas
o Detección de MBSA (mbsacli.exe)
 Realiza detecciones automatizadas mediante parámetros de la
línea de comandos
 Por ejemplo: mbsacli /d miDominio /f informe.txt
o Detección de MBSA en modo HFNetChk (mbsacli.exe /hf)
 Realiza detecciones automatizadas mediante parámetros de la
línea de comandos
 Sólo comprueba las revisiones que faltan
 Por ejemplo: mbssacli -hf -o tab –f informe.txt
o MBSA y Windows Update pueden mostrar resultados diferentes
16
• Aunque la versión de MBSA basada en la interfaz gráfica de usuario es
útil para las redes pequeñas y medianas, no satisface los requisitos de
muchos administradores. Si necesita informes que puedan importarse a
bases de datos u hojas de cálculo en donde puedan ordenarse los
resultados y analizarse los requisitos, considere la posibilidad de utilizar la
versión de línea de comandos de la herramienta de detección MBSA.
Esta versión le permite crear un informe de equipos vulnerables
delimitado por tabuladores, que puede importar a los programas que
utilice para analizar puntos débiles.
• La ejecución de MBSA en modo HfNetChk (Comprobación de
correcciones en la red) crea un informe detallado sobre los hotfix que
faltan en cada equipo. Los resultados de la ejecución de MBSA en este
modo también pueden guardarse en un formato delimitado por
tabuladores.
• MBSA y Windows Update (WU) podrían mostrar resultados diferentes, ya
que analizan los sistemas de forma distinta. Por ejemplo, Windows
Update sólo comprueba actualizaciones críticas del sistema operativo
Windows, mientras que MBSA (a través de HFNetChk) informa de las
actualizaciones de seguridad que faltan para el sistema operativo
Windows y para otros productos de Microsoft, como SQL Server. También
puede ocurrir que se publiquen nuevas versiones de las actualizaciones
de seguridad. MBSA garantizará siempre que la última versión de la
actualización está instalada en el sistema. Si dispone de la versión
original de la actualización MS02-008 o MS02-009, MBSA indicará que la
actualización no está instalada porque existe una versión más reciente.
Sin embargo, es posible que Windows Update no indique que existe una
nueva versión, ya que probablemente buscará elementos diferentes en el
sistema para determinar si existe esta actualización.
Para obtener más información sobre cómo automatizar la detección con MBSA,
visite
http://www.microsoft.com/technet/security/tools/mbsahome.asp
y
http://www.microsoft.com/technet/security/tools/mbsawp.asp
(Estos sitios están en inglés).
1.13. Ejemplos de línea de comandos de MBSA
o Para analizar todos los equipos de una oficina remota:

 Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://” /n “SQL” /f
“\\server\share\SUSScan.txt”
o Para analizar un grupo de servidores para comprobar si se ha aplicado algún
hotfix:
 Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt
17
A continuación se incluyen dos opciones de línea de comandos de la
herramienta de detección MBSA:
• Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://” /n “SQL” /f

“\\server\share\SUSScan.txt”: este comando analiza todos los equipos
que se encuentren en el intervalo de direcciones IP 192.168.1.2 a
192.168.1.254 mediante la lista de actualizaciones aprobadas del servidor
SUS denominado SUSserver. No realiza la detección de SQL. Almacena
los resultados de la detección en un archivo en la carpeta compartida del
servidor. El archivo de texto de resultados sólo contiene una evaluación
de una línea para cada equipo analizado. Los informes detallados se
almacenan en la carpeta \SecurityScans en el perfil del usuario que ha
ejecutado el proceso de detección.
• Mbsacli -hf –fh d:\ListaDeServidores.txt –o tab –v –f D:\HFScan.txt: este
comando realiza un análisis de hotfix en todos los equipos enumerados
en el archivo ListaDeServidores.txt. Este archivo contiene los nombres
NetBIOS de cada servidor que se va a analizar, con un nombre de
servidor en cada línea. El resultado de la detección se presenta en un
formato delimitado por tabuladores. Se proporciona información detallada
para cada equipo (-v) y los datos se guardan en el archivo HFScan.txt.
Para obtener más información sobre cómo utilizar MBSA en modo HFNetChk,
consulte “Microsoft Network Security Hotfix Checker (Hfnetchk.exe)” (Programa
de comprobación de hotfix de seguridad de red de Microsoft) en
http://support.microsoft.com/default.aspx?scid=kb;en-us;303215
1.14. Automatización de la distribución y supervisión de revisiones

con SUS
 Realiza instalaciones de extracción de Service Packs, paquetes de

continuidad de seguridad y actualizaciones críticas
 Otorga control sobre las actualizaciones de software a los
administradores
 Impide las instalaciones no autorizadas cuando se utiliza con
Actualizaciones automáticas
 Permite realizar pruebas y ensayos
 Sólo funciona con Windows 2000 y versiones posteriores
• SUS es un producto de administración de revisiones situado detrás del

servidor de seguridad que se puede utilizar para descargar
automáticamente nuevas revisiones y actualizaciones. También permite
ejecutar los pasos de evaluación y diseño del proceso antes de aprobar
las revisiones y actualizaciones para su implementación en el entorno.
• SUS se basa en un mecanismo de extracción. El servidor SUS mantiene
la lista de las actualizaciones aprobadas y el cliente SUS, que es la
18
característica Actualizaciones automáticas en Windows, comprueba
periódicamente el servidor SUS en busca de nuevas actualizaciones
aprobadas. A continuación, las descarga e instala en los distintos
sistemas.
• Junto con el componente de cliente y las funciones de directiva de grupo
de Windows, SUS se puede utilizar para permitir que los administradores
controlen la aplicación de revisiones en el entorno. Para ello impide que
los usuarios tengan acceso directo a Windows Update e instalen
actualizaciones no aprobadas en sus sistemas. SUS dispone también de
opciones básicas de registro, optimización de ancho de banda y control
administrativo.
• Al igual que Windows Update, SUS proporciona funciones relacionadas
con la distribución de revisiones y actualizaciones, la identificación de las
revisiones que faltan y la implementación o instalación de revisiones.
Junto con Actualizaciones automáticas, puede otorgar a los
administradores control total sobre la instalación de revisiones en los
equipos cliente.
• SUS 1.0 con el Service Pack 1 permite probar y ensayar las
actualizaciones antes de instalarlas.
• SUS presenta dos limitaciones con respecto a Windows Update. No es
compatible con Windows NT 4 y Windows 98, y no proporciona
actualizaciones que no sean críticas ni controladores. SUS sólo es
compatible con los clientes Windows 2000, Windows XP y Windows
Server 2003.
• Está previsto que SUS 2.0 se publique a finales del segundo trimestre de
2004. Esta versión incluirá otros productos de Microsoft, mejorará
considerablemente la optimización del ancho de banda a través del uso
del Servicio de transferencia inteligente en segundo plano (BITS,
Background Intelligent Transfer Service) y permitirá a las tecnologías de
compresión de diferencias de código binario reducir drásticamente el
tamaño de las descargas de actualizaciones. Con SUS 2.0, podrá
disponer de información de conjunto y de resúmenes del estado de la
implementación de actualizaciones y sucesos gracias a la utilización de
informes estándar. También dispondrá de la capacidad de crear informes
personalizados con consultas SQL.
• Las ventajas principales de los Servicios de actualización de software de

Microsoft (SUS) son:
• Proporciona a los administradores control sobre la administración
de revisiones en su organización.
• Es fácil de usar.
• Es una oferta gratuita de Microsoft.
• SUS permite a los administradores controlar las revisiones (cuando
se utiliza junto con una directiva de grupo que restringe el acceso
de los usuarios a Windows Update).
• Automatiza la descarga y la instalación de las revisiones, una vez
que se ha aprobado.
• SUS también es fácil de implementar y constituye una solución efectiva
para la administración de revisiones en casi todos los casos: siempre y
19
cuando sus limitaciones en cuanto a los sistemas operativos que admite,
el contenido compatible, el grado de control y la ausencia de información
integrada, impidan que no se tenga en consideración.
• Nota: la herramienta SUS no requiere la implementación de Microsoft
Active Directory® ni de Directiva de grupo.
1.15. Escenarios de implementación de Servicios de actualización

de software (SUS)
1. Utilice SUS para administrar la distribución de revisiones descargadas de

Windows Update
2. Utilice SUS para administrar y distribuir revisiones
3. Utilice SUS para administrar y distribuir revisiones en un entorno
empresarial
• SUS se puede utilizar en varios escenarios distintos:

• Escenario uno: SUS se puede utilizar para detectar las
actualizaciones disponibles en el sitio Windows Update. El
administrador de SUS puede después aprobar las actualizaciones
en el servidor SUS. Los clientes SUS obtienen la lista de
actualizaciones aprobadas del servidor SUS y, a continuación, se
conectan al sitio Windows Update para descargar las revisiones.
• Escenario dos: SUS se puede utilizar para detectar las
actualizaciones disponibles en el sitio Windows Update y descargar
las revisiones del sitio. El administrador de SUS puede después
aprobar las actualizaciones en el servidor SUS. Los clientes SUS
obtienen la lista de actualizaciones aprobadas del servidor SUS y,
a continuación, descargan las revisiones del servidor SUS.
• Escenario tres: Los entornos empresariales disponen casi siempre
de varias oficinas situadas en ubicaciones distintas. En este
escenario, se pueden utilizar varios servidores SUS para distribuir
las revisiones de forma que apenas resulten afectados los vínculos
WAN entre las distintas ubicaciones. Un servidor SUS puede
detectar y descargar las revisiones del sitio Windows Update. Otros
servidores SUS (ubicados en cada oficina) pueden descargar las
revisiones del servidor SUS primario. Los equipos cliente de cada
oficina se conectan al servidor SUS para obtener la lista de
actualizaciones aprobadas y descargar las revisiones.
20
1.16. Servicios de actualización de software
Escenario 1 de implementación de SUS
Cap8-04.jpg
En esta diapositiva se muestra cómo funciona Servicios de actualización de

software (SUS, Software Update Service) en una oficina pequeña de ejemplo.
1. El servidor SUS descarga los metadatos de las nuevas

actualizaciones del sitio Windows Update.
• Nota: SUS mantiene registros de aprobación y estadísticas
de descargas, sincronizaciones e instalaciones.
2. Los administradores revisan las nuevas actualizaciones y

aprueban las correspondientes una vez finalizadas las pruebas
necesarias.
• SUS mantiene registros de descargas y de aprobación en el
servidor de estadísticas (IIS).
3. Actualizaciones automáticas establece contacto en el equipo

cliente con el servidor SUS para determinar si hay alguna actualización
que se haya aprobado recientemente. Si es así, obtiene la información de
los metadatos correspondiente a la actualización y comprueba si ya se ha
instalado.
4. Si las actualizaciones no se han instalado todavía,

Actualizaciones automáticas descarga automáticamente las que faltan
o notifica al usuario que faltan actualizaciones (según la configuración)
y le pide permiso para descargarlas.
21
• En los sistemas de destino donde Actualizaciones
automáticas esté configurado para extraer las
actualizaciones de Windows Update, descarga las
actualizaciones correspondientes desde allí. Actualizaciones
automáticas comprueba las firmas digitales de las
actualizaciones descargadas para asegurarse de su
autenticidad e integridad.
• Dependiendo de la configuración de Actualizaciones
automáticas, se instalan automáticamente las
actualizaciones o se notifica al usuario que están
disponibles y, a continuación, se permite al usuario revisar y
seleccionar las que desea que se instalen y cuándo desea
instalarlas.
• En el paso final, Actualizaciones automáticas registra en el
historial el éxito o el fracaso de la instalación de las
actualizaciones en los equipos de destino.
 Utilice este escenario de implementación

 En una oficina pequeña con un servidor SUS y suficiente ancho de
banda de Internet
 En un entorno con varias oficinas y un servidor SUS, en el que
cada oficina dispone de una conexión directa a Internet
 No utilice este escenario de implementación
 Si necesita conservar ancho de banda de Internet
 En un entorno con varias ubicaciones y una sola conexión a
Internet
La configuración de los clientes para que descarguen revisiones de seguridad

del servidor Windows Update puede ser la mejor opción de implementación en
las situaciones siguientes:
• En una oficina pequeña con un servidor SUS y suficiente ancho de banda

de Internet. En esta situación, la configuración de los clientes para
descargar las revisiones directamente de Windows Update no interfiere
con el uso de Internet. Al mismo tiempo, el administrador tiene control
sobre las revisiones que se instalan, ya que éstas no se instalan hasta
que se aprueban en el servidor SUS. Si se hace un uso intenso del
servidor SUS para otros servicios, esta opción puede mejorar el
rendimiento de las descargas.
• En un entorno de red que incluya varias oficinas situadas en distintas
ubicaciones conectadas mediante una red de área extensa (WAN) con un
servidor SUS en una única oficina y en el que cada oficina tenga una
22
conexión directa a Internet. En este escenario, cada cliente SUS
comprobará el servidor SUS para determinar si existen revisiones
aprobadas. A continuación, el cliente utilizará la conexión directa a
Internet para descargar las actualizaciones. Esta opción permite
administrar centralmente las actualizaciones en el servidor SUS, pero no
se utiliza el ancho de banda WAN entre oficinas para transferir las
revisiones.
Esta opción de implementación no se recomienda en las siguientes situaciones:
• Si se necesita conservar ancho de banda de Internet. La configuración de

cada cliente para que descargue todas las revisiones de Windows Update
requerirá un uso considerable de ancho de banda de Internet. En la
mayoría de los casos, la opción más conveniente es configurar una única
descarga de la revisión en el servidor SUS.
• En un entorno con varias ubicaciones y una sola conexión a Internet.
Muchas compañías con varias ubicaciones utilizan una red de área
extensa dedicada para conectar todas las oficinas y disponer de un único
punto de conexión a Internet. Si se configura cada cliente para que
descargue la actualización de Windows Update, se hará un uso
considerable del ancho de banda de la red de área extensa y de la
conexión a Internet.
Cap8-05.jpg
23
• Este escenario de implementación es un ejemplo de cómo se puede
utilizar SUS para detectar las actualizaciones disponibles en el sitio
Windows Update y descargar las revisiones del sitio.
1. El servidor SUS descarga los metadatos de las nuevas

actualizaciones, así como las propias actualizaciones, del sitio
Windows Update.
• SUS mantiene registros de aprobación y estadísticas de
descargas, sincronizaciones e instalaciones.
2. Los administradores revisan las nuevas actualizaciones y aprueban

las correspondientes una vez finalizadas las pruebas necesarias.
| 3. Actualizaciones automáticas establece contacto en el equipo cliente

con el servidor SUS para determinar si hay alguna actualización que
se haya aprobado recientemente. Si es así, obtiene la información de
los metadatos correspondiente a la actualización y comprueba si ya se
ha instalado.
4. Si las actualizaciones no se han instalado todavía, Actualizaciones

automáticas descarga automáticamente las que faltan o notifica al
usuario que faltan actualizaciones (según la configuración) y le pide
permiso para descargarlas.

actualizaciones de un servidor SUS, descarga las
aprobadas del servidor SUS especificado.
• Dependiendo de la configuración de Actualizaciones
automáticas, se instalan automáticamente las
actualizaciones o se notifica al usuario que están
disponibles y, a continuación, se permite al usuario revisar y
seleccionar las que desea que se instalen y cuándo desea
instalarlas.
• En el paso final, Actualizaciones automáticas registra en el
historial el éxito o el fracaso de la instalación de las
actualizaciones en los equipos de destino.
o Utilice esta opción de implementación:

 Para administrar revisiones en una única oficina con uno o varios
servidores SUS
24
 En un entorno con varias ubicaciones y un único servidor SUS, y
ancho de banda suficiente entre las distintas oficinas
o No utilice esta opción de implementación:
 En un entorno con varias ubicaciones y ancho de banda limitado
entre las distintas oficinas
La configuración de los clientes para que descarguen las revisiones de

seguridad del servidor SUS puede ser la mejor opción de implementación en
las situaciones siguientes:
• En una única oficina con uno o varios servidores SUS. En este

escenario, al configurar los clientes para que descarguen las
revisiones del servidor SUS se ahorra ancho de banda de Internet.
Al mismo tiempo, el administrador tiene control sobre las revisiones
que se instalan, ya que éstas no se instalan hasta que se
aprueban. Ésta es la configuración recomendada para la mayoría
de los entornos con una sola oficina.
• En un entorno de red que incluya varias oficinas situadas en
ubicaciones distintas conectadas mediante una red de área
extensa con uno o varios servidores SUS ubicados en una oficina y
en el que haya suficiente ancho de banda de red. En este
escenario, cada cliente SUS comprobará el servidor SUS para
determinar si existen revisiones aprobadas y, a continuación,
utilizará la conexión WAN para descargar las actualizaciones. Este
escenario permite la administración centralizada de las
actualizaciones en el servidor SUS. En las compañías que tienen
una única conexión a Internet para todas las oficinas, ésta es la
forma más sencilla de implementar SUS.
Este escenario no se recomienda en un entorno con varias ubicaciones y

ancho de banda limitado entre las distintas oficinas. Si se configura cada
cliente para que descargue la actualización de un único servidor SUS
instalado en una oficina remota, se hará un uso intenso del ancho de banda
de la red WAN. En este escenario, la opción más conveniente es
implementar varios servidores SUS.
25
Cap8-06.jpg
El tercer escenario muestra un sistema empresarial en que se utilizan varios

servidores SUS para distribuir las revisiones sin que apenas resulten afectados
los vínculos WAN entre las distintas oficinas.
1. El servidor SUS primario descarga los metadatos de las nuevas
actualizaciones, así como las propias actualizaciones, del sitio
Windows Update.
• SUS mantiene registros de aprobación y estadísticas de
descargas, sincronizaciones e instalaciones.
2. Los administradores revisan las nuevas actualizaciones y aprueban

las correspondientes una vez finalizadas las pruebas necesarias.
3. Se distribuye a todos los servidores SUS secundarios información

de las actualizaciones aprobadas.
4. Actualizaciones automáticas establece contacto en el equipo cliente

con el servidor SUS para determinar si hay alguna actualización que
se haya aprobado recientemente. Si es así, obtiene la información de
los metadatos correspondiente a la actualización y comprueba si ya se
ha instalado.
26
5. Si las actualizaciones no se han instalado todavía, Actualizaciones
automáticas descarga automáticamente las que faltan o notifica al
usuario que faltan actualizaciones (según la configuración) y le pide
permiso para descargarlas.
actualizaciones de un servidor SUS, descarga las
aprobadas del servidor SUS especificado.
6. En los sistemas de destino donde Actualizaciones automáticas esté

configurado para extraer las actualizaciones de Windows Update,
descarga las actualizaciones correspondientes desde allí.
Actualizaciones automáticas comprueba las firmas digitales de las
actualizaciones descargadas para asegurarse de su autenticidad e
integridad.
• Dependiendo de la configuración de Actualizaciones automáticas,

se instalan automáticamente las actualizaciones o se notifica al
usuario que están disponibles y, a continuación, se permite al
usuario revisar y seleccionar las que desea que se instalen y
cuándo desea instalarlas.
• En el paso final, Actualizaciones automáticas registra en el historial
el éxito o el fracaso de la instalación de las actualizaciones en los
equipos de destino.
o Utilice este escenario de implementación:

 En un entorno con varias ubicaciones y ancho de banda limitado
entre las ubicaciones
 En un entorno con muchos clientes y una sola oficina
 Utilice equilibrio de carga de red
 En un entorno con varias oficinas y una mezcla de conexiones
WAN e Internet
o No utilice este escenario de implementación
 En un entorno con pocos clientes y una sola oficina
Este escenario de implementación proporciona flexibilidad y escalabilidad a los

entornos empresariales conectados en red:
• En compañías con varias oficinas y ancho de banda limitado entre ellas,

la implementación de un servidor SUS secundario en una oficina remota
reduce considerablemente el uso de la red entre las distintas oficinas. El
servidor SUS secundario descargará sólo una vez las actualizaciones
disponibles y aprobadas y, después, los clientes SUS comprobarán el
servidor SUS secundario para obtener y descargar las actualizaciones.
27
• En compañías con muchos clientes y una sola oficina, la implementación
de varios servidores SUS secundarios proporciona redundancia y
equilibrio de carga. Debe implementar un único servidor SUS primario,
pero debe distribuir las actualizaciones entre varios servidores
secundarios. Para proporcionar equilibrio de carga adicional, implemente
los servidores SUS secundarios en un clúster de equilibrio de carga de
red o utilice una solución de equilibrio de carga por hardware.
• En compañías con varias oficinas y una mezcla de conexiones WAN e
Internet, este escenario se puede utilizar prácticamente en cualquier
entorno gracias a su flexibilidad. Implemente un servidor SUS primario
centralizado y, después, implemente servidores SUS secundarios en la
oficina remota. Todas las actualizaciones se aprueban en el servidor SUS
principal y, una vez aprobadas, se sincronizan con los servidores SUS
secundarios. En las oficinas que no tengan una conexión directa a
Internet, el servidor SUS secundario descargará también las revisiones
del servidor SUS primario. En oficinas con una conexión directa a
Internet, los clientes se pueden configurar para que descarguen la lista de
actualizaciones aprobadas del servidor SUS secundario y, después,
descarguen las actualizaciones reales de Windows Update.
Este escenario agrega un nivel de complejidad innecesario en el caso de una

única oficina con un pequeño número de clientes.
28
1.22. Administración de un entorno SUS complejo
 Administre la descarga y aprobación de actualizaciones de

forma centralizada
 Use la estructura de unidades organizativas y los GPO para administrar la
distribución de actualizaciones de SUS
Cap8-07.jpg
 Use el archivo de plantilla WUAU.ADM para configurar las

opciones de cliente de Actualizaciones automáticas
 Asigne los GPO a las unidades organizativas
La administración de una infraestructura SUS de gran tamaño que incluya varios

servidores SUS requiere un diseño minucioso.
• Administre la descarga y aprobación de actualizaciones de forma

centralizada. Para garantizar una configuración de administración de
29
revisiones de seguridad coherente en toda la organización, utilice un
servidor SUS para descargar todas las revisiones de seguridad. Si desea
aplicar las mismas revisiones en todos los clientes al mismo tiempo, debe
aprobar también todas las revisiones en el servidor. También puede
aprobar actualizaciones en cada uno de los servidores SUS secundarios
para administrar con mayor exactitud la implementación de las revisiones.
• Utilice la estructura de unidades organizativas y los objetos de directiva
de grupo (GPO) a fin de configurar las opciones de los equipos cliente.
• Para agregar las opciones de configuración del cliente de
Actualizaciones automáticas a la directiva de grupo, descargue la
plantilla ADM de Actualizaciones automáticas (wuau.adm) y
agréguela mediante el Editor de directiva de grupo.
• Configure las opciones del cliente de forma que indiquen qué
utilizarán los equipos cliente para descargar las actualizaciones,
configure la programación de actualizaciones y establezca el
comportamiento de reinicio.
• Utilice la estructura de unidades organizativas para distribuir los objetos
de directiva de grupo. En el ejemplo que se muestra en el gráfico, se
asigna un objeto de directiva de grupo a la unidad organizativa Servidores
integrantes, que administrará las actualizaciones SUS de los servidores
integrantes. El objeto de directiva de grupo Oficina central (asignado a la
unidad organizativa Estaciones de trabajo OC) puede utilizar el mismo
servidor SUS que el objeto de directiva de grupo Servidores integrantes,
pero con una programación diferente. Cada oficina remota puede
disponer de su propio servidor SUS, por lo que se utiliza un objeto de
directiva de grupo distinto para configurar las estaciones de trabajo de
cada oficina. La unidad organizativa Prueba de SUS se utiliza para
realizar la prueba inicial de la implementación de revisiones.
Recomendaciones de implementación (1)
 Analice cada revisión de seguridad

 Descargue e instale la revisión
 Pruebe cada revisión de seguridad antes de implementarla
 Prepare un laboratorio de pruebas
 Utilice un servidor SUS de prueba
 Considere la posibilidad de utilizar equipos virtuales en el
laboratorio de prueba
 Utilice un procedimiento de pruebas de aceptación estándar
 Debe comprobarse la relevancia de cada actualización de software que

se publica. Incluso cuando una notificación contenga información sobre
varias actualizaciones de software, determine la relevancia de cada
actualización de software para su organización. Con objeto de saber si la
revisión es pertinente para la organización, consulte los boletines de
30
seguridad y los artículos de Knowledge Base (Base de conocimiento) que
se publican con la revisión. Como parte del proceso de evaluación, tendrá
que determinar la prioridad de la revisión. Decida si es una revisión crítica
que debe instalarse inmediatamente, si puede retrasarse su
implementación hasta que se publique una actualización en el calendario
previsto o si realmente necesita la revisión.
 Cuando determine que necesita instalar la descarga de la revisión,
instálela en un único servidor o en una estación de trabajo. Esta prueba
inicial sirve para comprobar los archivos de la revisión y permite un primer
acercamiento a la actualización. Durante la instalación, determine si la
revisión requiere que se reinicie el sistema operativo y si existe una
opción de desinstalación.
 El siguiente paso crucial consiste en probar concienzudamente la revisión
de seguridad. La prueba inicial debe realizarse en un laboratorio de
pruebas experimental. Este laboratorio de pruebas debe constar de:
 Equipos representativos de la organización. Esta lista

representativa debe incluir una muestra de las distintas estaciones
de trabajo y servidores del entorno. Incluya diferentes
configuraciones de hardware y de software.
 Un servidor SUS de prueba. Este servidor SUS puede ser un
servidor secundario que dependa del primario a fin de poder
descargar las actualizaciones del servidor SUS primario. Sin
embargo, asegúrese de aprobar únicamente las actualizaciones en
el servidor SUS de prueba y compruebe que todos los equipos del
laboratorio de pruebas utilizan el servidor SUS de prueba para las
actualizaciones.
 Considere la posibilidad de utilizar Virtual PC 2004 en el laboratorio
de pruebas. Aunque un equipo virtual no puede representar
totalmente los equipos que se ejecutan en una red, esta tecnología
permite deshacer rápidamente todos los cambios efectuados en los
equipos.
 Como parte del proceso de prueba, establezca o utilice un procedimiento

de pruebas de aceptación estándar. En muchas compañías, esta prueba
de aceptación es realizada por un grupo de control de calidad y se utiliza
para probar la revisión y los procedimientos de implementación
Recomendaciones de implementación (2)
 Realice una implementación piloto

 Configure un servidor SUS secundario para aprobar
actualizaciones
 Configure un GPO de forma que sólo las estaciones de trabajo
especificadas descarguen la revisión del servidor SUS piloto
31
 Si la implementación piloto fracasa, anule la aprobación del
servidor SUS y desinstale manualmente la revisión
 Realice la implementación
Para realizar una implementación piloto mediante SUS:
1. Apruebe la actualización únicamente en el servidor SUS piloto. No la apruebe

en ningún otro servidor SUS.
2. Cree un nuevo objeto de directiva de grupo (conocido como GPO SUS piloto)
y configure las opciones de directiva de forma que los equipos que apliquen este
GPO utilicen el servidor SUS piloto para las actualizaciones.
3. Aplique el filtrado de seguridad de modo que sólo los clientes SUS piloto
tengan permisos de “lectura y aplicación de configuración de directivas” sobre
este objeto de directiva de grupo.
4. Una vez implementada correctamente la actualización en el entorno de
producción, los administradores deben borrar el objeto de directiva de grupo
SUS piloto. Los clientes que utilicen este GPO piloto deben revertirse al servidor
SUS de producción para las nuevas actualizaciones después de que actualicen
la directiva de grupo.
Si el GPO piloto resulta insatisfactorio, será necesario anular la aprobación en el
servidor SUS piloto y desinstalarlo de los clientes que lo tengan instalado. Los
administradores deberán realizar manualmente esta operación mediante
Agregar o quitar programas del Panel de control siempre que sea posible. Para
las actualizaciones que no se puedan desinstalar manualmente, emplee la
utilidad Restaurar sistema de Windows XP, las herramientas de copia de
seguridad y restauración de Windows 2000 y Windows Server 2003 u otras
tecnologías de recuperación existentes para que el cliente recupere la última
configuración válida conocida antes de actualizar la instalación.
Realice la implementación. Si la implementación piloto se realiza correctamente,

efectúe la implementación en los demás clientes. El proceso de implementación
debe incluir:
• Notificación de la programación de implementación a la

organización.
• Ensayo de actualizaciones en servidores SUS. En un entorno
complejo de gran tamaño, quizás necesite aprobar las
actualizaciones en el nivel SUS secundario.
• Anuncio de la actualización de software a los equipos cliente.
• Supervisión y notificación del progreso de la implementación.
• Tratamiento de implementaciones incorrectas.
• Revisión y evaluación final del proyecto de implementación.
1.25. Uso de software de administración para distribuir y aplicar

revisiones
o Systems Management Server (SMS) 2003
32
Permite que los administradores controlen la administración de las
revisiones
 Automatiza el proceso de administración de revisiones
 Actualiza un amplia variedad de productos de Microsoft
 Actualiza software de terceros
 Proporciona flexibilidad mediante el uso de archivos de comandos
o Soluciones de terceros
 Se integra con soluciones de terceros mediante archivos de
comandos
• En un entorno de red administrado de gran tamaño, se puede reducir el

tiempo y el esfuerzo necesarios para distribuir y aplicar revisiones
mediante software de administración de sistemas. Puede utilizar Microsoft
System Management Server (SMS) o software de administración de
sistemas de terceros.
• SMS proporciona las siguientes funciones, que son esenciales para una
implementación correcta:
• Funciones de inventario que determinan el número de equipos en

los que se ha realizado la implementación, su ubicación, su función
y las aplicaciones de software y revisiones que tienen instaladas.
• Funciones de programación que permiten a una organización
programar la implementación de revisiones y hotfix fuera del
horario de trabajo o a una hora en que las operaciones de la
compañía se vean menos afectadas.
• Creación de informes de estado que permiten a los
administradores supervisar el progreso de la instalación.
• Funciones de destinatarios basadas en el inventario del sistema,
en la ubicación de un equipo en el servicio de directorio Active
Directory® o en grupos de equipos creados manualmente.
• Replicación de nivel empresarial para mover archivos fácil y
eficazmente por la red.
• Compatibilidad con Microsoft Windows Server 2003.
• Compatibilidad con sistemas operativos distintos de
Microsoft Windows 2000, Windows Server 2003 y Windows XP.
• Las actualizaciones de las revisiones se pueden integrar en soluciones de

administración de sistemas de terceros, como Tivoli de IBM, Unicenter de
Computer Associates, BMC Patrol y HP OpenView. Puede crear archivos
de comandos para la detección y aplicación de las revisiones y utilizar
esos archivos con software de administración de sistemas de terceros.
Para obtener más información sobre el software de administración de sistemas

visite: http://www.microsoft.com/downloads/details.aspx?FamilyId=959EE7D6-
7DDF-409A-9522-7D270BDCF12A&displaylang=en (este sitio está en inglés).
33
1.26. SMS: funcionamiento
Cap8-08.jpg
1. Como administrador de SMS, debe descargar las herramientas Inventario

de actualizaciones de seguridad e Inventario de Office del sitio Web
Centro de descarga. (Esta operación sólo hay que realizarla una vez.)
• A continuación (y de nuevo, sólo una vez) ejecute el programa de
instalación de la herramienta de inventario en el servidor del sitio
SMS, que crea los paquetes, las colecciones y los anuncios
necesarios para distribuir las herramientas de detección de
actualización de software en los clientes.
• Simultáneamente, el programa de instalación crea el programa
para el componente de sincronización en el host de sincronización.
2. Los paquetes de los componentes de detección de actualizaciones de
software se replican en los puntos de distribución de su sitio SMS. Desde
allí, los paquetes se distribuyen a los equipos cliente de destino.
3. El componente de detección analiza las actualizaciones de software
instaladas y las que se pueden aplicar en el equipo cliente. La información
se convierte en datos para el inventario de hardware de SMS y se
propaga en la jerarquía junto con el resto de datos del inventario. El
tiempo que la información tarda en llegar al servidor del sitio depende de
la configuración del componente de detección, de la configuración de la
programación del agente de inventario de hardware y de la carga del
servidor del sitio.
34
4. Debe ejecutar el Asistente para distribuir actualizaciones de software con
el fin de ver, evaluar y autorizar las actualizaciones de software aplicables
a partir de los datos del inventario de actualizaciones de software.
5. El asistente descarga los archivos de origen para la actualización de
software especificada desde el sitio Web del Centro de descarga de
Microsoft. A continuación, almacena el archivo de origen en la carpeta
compartida de origen del paquete.
• Los paquetes, programas y anuncios necesarios se crean ahora o
se actualizan para distribuir las actualizaciones de software a los
clientes SMS.
• El Asistente para distribuir actualizaciones de software anexa un
programa de SMS que contiene comandos para ejecutar el Agente
de instalación de actualizaciones de software en cada paquete que
crea o actualiza.
• Por último, los paquetes de actualización de software se replican
en los puntos de distribución de su sitio y los programas se
anuncian a sus clientes.
6. El Agente de instalación de actualizaciones de software se ejecuta en sus
clientes e implementa las actualizaciones de software. Ejecuta el
componente de detección para asegurarse de que sólo instala las
actualizaciones de software que se requieren realmente.
7. El componente de sincronización busca en el sitio Web del Centro de
descarga de Microsoft las actualizaciones para el componente de
detección y el software actualiza el catálogo. Ésta es una actividad
periódica: se realiza semanalmente de forma predeterminada.
• El componente de sincronización descarga estas nuevas
actualizaciones y actualiza los paquetes, programas y anuncios
asociados con el componente de detección.
• El paquete del componente de detección actualizado y el anuncio
se distribuyen en los equipos cliente SMS de destino.
1.27. Soluciones de terceros
Nombre de la compañía Nombre del producto URL de la compañía

Administración de revisiones de
Altiris, Inc. http://www.altiris.com
Altiris
BigFix, Inc. BigFix Patch Manager http://www.bigfix.com
Configuresoft, Inc. Security Update Manager http://www.configuresoft.com
Ecora, Inc. Ecora Patch Manager http://www.ecora.com
GFI LANguard Network Security
GFI Software, Ltd. http://www.gfi.com
Scanner
Gravity Storm Software, LLC Service Pack Manager 2000 http://www.securitybastion.com
LANDesk Software, Ltd. LANDesk Patch Manager http://www.landesk.com
Novadigm, Inc. Radia Patch Manager http://www.novadigm.com
PatchLink Corp. PatchLink Update http://www.patchlink.com
Shavlik Technologies HFNetChk Pro http://www.shavlik.com
St. Bernard Software UpdateExpert http://www.stbernard.com
35
• La prioridad máxima de Microsoft es la seguridad y la disponibilidad del
entorno de tecnología de la información. Por tanto, si considera que
ninguno de los productos de Microsoft satisface sus necesidades, le
animamos encarecidamente a que evalúe una solución de administración
de revisiones de otro fabricante.
• Algunas de las soluciones descritas aquí proporcionan funciones
avanzadas que pueden resultar útiles para su organización, como la
especialización de actualizaciones, la integración con bases de datos de
evaluación de puntos vulnerables de otros fabricantes y la creación de
informes detallados.
• En esta dispositiva se indican algunas de las compañías que
proporcionan productos de administración de revisiones, los nombres de
sus productos y sus direcciones URL. No pretende ser una lista
exhaustiva de fabricantes que proporcionan productos relevantes. Sólo
proporciona una muestra de productos disponibles. Las funciones de
administración de revisiones también se proporcionan en los productos de
administración de sistemas empresariales de IBM, Computer Associates,
HP, etc.
• Microsoft no respalda, recomienda ni ofrece soporte técnico a ninguno de
estos productos, pero anima a los clientes a que evalúen opciones que no
son de Microsoft para determinar si satisfacen mejor sus necesidades.
1.28. Aplicación de revisiones de Microsoft Office
 Herramienta Inventario de Office

 Office Update
 Las revisiones de Office requieren los archivos
originales
 Office 2003 almacena en caché los archivos de
instalación
 Aplicación de revisiones en los puntos de
instalación
Cap8-09.jpg
• La herramienta Inventario de Office tiene en común con MBSA que es

una herramienta independiente que identifica las actualizaciones que
faltan. Sin embargo, sus funciones de detección se restringen a buscar
actualizaciones de Office no instaladas. Consta de dos componentes. Uno
detecta las actualizaciones que faltan en el sistema y genera un archivo
de registro con esa información. El otro combina esta información con la
información de metadatos de las actualizaciones que faltan. A
continuación, proporciona un informe con los datos de las actualizaciones
inexistentes, que los administradores o SMS pueden utilizar para
descargar e instalar las actualizaciones adecuadas.
• Office Update es similar a Windows Update, pero se limita a analizar e
instalar actualizaciones de Microsoft Office, entre las que se incluyen
36
actualizaciones de Word, Outlook®, PowerPoint®, Microsoft Access,
FrontPage®, Publisher, InfoPath™, OneNote™, Visio® y Microsoft
Project. Office Update se complementa con el catálogo de descargas de
Office, que proporciona la capacidad de descargar manualmente distintas
actualizaciones para los diversos componentes de Office.
• Las revisiones de Microsoft Office modifican los archivos de Microsoft
Office existentes en lugar de sustituirlos. Por este motivo, el mecanismo
de revisiones de Office requiere los medios originales de instalación de
Office. Al aplicar actualizaciones de Office, compruebe siempre que
dispone de los archivos originales de Office. Para ello, lo más sencillo es
instalar Office desde una ubicación de red. Las actualizaciones de Office
buscan primero los archivos necesarios en la ubicación de instalación
original. Opcionalmente, es posible especificar una ubicación de red
diferente cuando se solicite. Asegúrese de que la versión de los archivos
de la instalación original están siempre disponibles. Office 2003 almacena
en la caché del disco duro local algunos de los archivos de instalación
necesarios. A menos que especifique durante la instalación que desea
eliminar estos archivos para ahorrar espacio, podrá aplicar las
actualizaciones sin necesidad disponer de los medios originales de
instalación.
• Al igual que en Windows, las revisiones se puede aplicar en los puntos de
instalación de Office. Los archivos Léame que se incluyen con los Service
Packs de Microsoft Office incluyen instrucciones sobre cómo emplear los
modificadores de la línea de comandos para cambiar los puntos de
instalación de forma que todas las nuevas instalaciones en los clientes
utilicen los archivos actualizados.
1.29. Recomendaciones para la administración correcta de

revisiones
 Utilice un proceso de control de cambios

 Lea toda la documentación relacionada
 Aplique las actualizaciones sólo cuando sea necesario
 Pruebe exhaustivamente las actualizaciones
 Garantice la coherencia entre los controladores de dominio
 Haga una copia de seguridad del sistema y programe los períodos de
inactividad en producción
 Disponga siempre de un plan para deshacer los cambios
 Mantenga informado al servicio de asistencia y a los grupos de usuarios
clave
 Trabaje primero con los servidores que no sean críticos
 Siga estas recomendaciones para realizar una administración correcta de
las revisiones:
• Utilice un procedimiento de control de cambios adecuado con un

propietario identificado, una ruta de acceso para la información
especificada por los usuarios, una pista de auditoría de los
37
cambios realizados, un período claro de aviso y revisión,
procedimientos de prueba y un plan para deshacer los cambios
que todo el mundo comprenda.
• Antes de aplicar un Service Pack, un hotfix o una revisión de
seguridad, lea toda la documentación relevante y analícelo con sus
compañeros. La revisión por parte de los compañeros es esencial,
ya que reduce el riesgo de que una única persona pase por alto
puntos críticos y relevantes al evaluar la actualización.
• Aplique únicamente las actualizaciones necesarias para el entorno.
Un error muy común sobre las actualizaciones de Microsoft es
considerarlas obligatorias, urgentes o ambas cosas.
Independientemente del tipo de actualización (Service Pack, hotfix
o revisión de seguridad), evalúelas individualmente y considérelas
actualizaciones opcionales importantes.
• Los Service Packs y los hotfix deben probarse en un entorno
experimental representativo antes de implementarlos en
producción. De esta forma, podrá medir la repercusión de los
cambios.
• Los niveles de Service Packs, hotfix y revisiones de seguridad
deben ser coherentes en todos los controladores de dominio. Los
niveles de actualización incoherentes en controladores de dominio
pueden producir problemas de sincronización y replicación. Resulta
extremadamente difícil detectar errores producidos por
controladores de dominio no sincronizados, por lo que es esencial
mantener la coherencia. Si es viable, los servidores integrantes
deben actualizarse con los mismos Service Packs y hotfix que los
controladores de dominio.
• Las interrupciones de servicio de los servidores deben
programarse y debe disponerse de un conjunto completo de cintas
de copia de seguridad y discos de reparación de emergencia en
caso de que sea necesario realizar una restauración. Asegúrese de
que dispone de una copia de seguridad del sistema que funciona.
El único medio posible de restablecer el servidor a la instalación
operativa anterior es a partir de una copia de seguridad.
• Un plan para deshacer cambios permitirá restablecer el sistema y
la compañía al estado en que se encontraban antes de que se
produjeran errores en la implementación. Es importante que estos
procedimientos queden claros y que se incluyan en las pruebas de
la administración de contingencias. Después, en el peor de los
casos de una implementación incorrecta, pueden activarse las
opciones de contingencia. Es posible que las compañías tengan
que poner en práctica el plan para deshacer los cambios si la
actualización no dispone de un proceso de desinstalación o si el
proceso de instalación fracasa. Este plan puede ser tan simple
como la restauración desde una cinta o puede implicar muchos
procedimientos manuales laboriosos.
• Advierta al servicio de asistencia y a los grupos de usuarios clave
de los cambios pendientes para que estén preparados en caso de
que surjan problemas o se interrumpa el servicio.
38
• Si todas las pruebas del entorno experimental se realizan
correctamente, inicie primero la implementación en servidores que
no sean críticos si es posible. Una vez instalado el Service Pack en
producción de 10 a 14 días, aplíquelo a los servidores primarios.
Para obtener más información sobre las recomendaciones, incluidos los

métodos que se aplican específicamente a Service Packs y hotfix, consulte “Best
Practices for Applying Service Packs, Hotfixes and Security Patches”
(Recomendaciones para la aplicación de Services Packs, hotfix y revisiones de
seguridad) en http://www.microsoft.com/technet/security/bestprac/bpsp.asp (este
sitio está en inglés).
39
3. Estrategias reales de acceso remoto
En este tema, aprenderá estrategias reales de acceso remoto. Este tema

incluye:
• Redes privadas virtuales (VPN) y servidores de seguridad.
• Servidor VPN detrás de un servidor de seguridad.
• Uso de ISA Server como servidor VPN y servidor de
seguridad.
• Desafíos del uso de IPSec y NAT.
• Modelo de soluciones.
• Funcionamiento de NAT-T.
• Problemas de interoperabilidad.
• Estado de NAT-T para Windows.
• Exigir seguridad en los clientes de acceso remoto.
• Qué es el control de cuarentena de acceso a la red
• Requisitos de la cuarentena.
• El proceso de cuarentena.
• Limitaciones del control de cuarentena de acceso a la red.
• Consejos y trucos sobre el control de cuarentena de acceso
a la red.
1.30. Redes privadas virtuales (VPN) y servidores de seguridad
 Combinación de un servidor de seguridad con un servidor VPN
Cap8-10.jpg
• La combinación de servidores de seguridad y acceso remoto puede

representar un desafío para los administradores de la red. Existen dos
opciones para combinar un servidor de seguridad con un servidor VPN:
1. El servidor de acceso remoto se encuentra detrás del servidor de seguridad.

• La ventaja de esta solución es que el servidor VPN está
protegido por el servidor de seguridad.
40
• El inconveniente es que deberá abrir los puertos del servidor
de seguridad que permiten que el tráfico VPN llegue hasta el
servidor VPN.
2. El servidor de seguridad y el servidor de acceso remoto son el mismo equipo.
Ésta es la forma en que ISA Server 2000 proporciona acceso VPN a los clientes.
En este caso, la red privada virtual termina en el servidor de seguridad.
• Las ventajas de combinar un servidor de seguridad con un
servidor VPN son las siguientes:
• Administración inicial más sencilla. Al combinar
RRAS e ISA Server se simplifica la configuración
inicial de RRAS. Sin embargo, para cualquier tarea
de administración posterior a la configuración será
necesario utilizar la interfaz de RRAS.
• Un único punto de inspección. Contar con un único
punto en el que se inspeccione todo el tráfico
entrante y saliente aumenta la seguridad, ya que se
reduce la probabilidad de cometer errores o pasar por
alto intentos de intrusión. Tenga en cuenta que ISA
Server 2000 no realiza ninguna inspección de nivel 7
en las conexiones VPN. Además, el uso de un único
dispositivo suele resultar más rentable.
• Los inconvenientes de combinar un servidor de seguridad
con un servidor VPN son los siguientes:
• La combinación de ambas funciones en un único
dispositivo elimina un nivel de la defensa en
profundidad. Es posible que un intruso consiga
frustrar un único mecanismo de seguridad y obtenga
acceso a la red. Sin embargo, este riesgo se puede
mitigar al incluir el enrutador de borde en la estrategia
de seguridad.
1.31. Servidor VPN detrás de un servidor de seguridad
 Desafío: permitir que el servidor de seguridad deje pasar el tráfico al

servidor VPN
 Desafío: inspección del estado de las conexiones
Tráfico Puertos y protocolos
Establecimiento de sesión PPTP Puerto TCP 1723
Sesión PPTP Protocolo IP 47 (GRE)
IPSec IKE Puerto UDP 500
IPSec ESP Protocolo IP 50 (IPSec ESP)
• En esta tabla se indican los puertos y protocolos que el tráfico VPN puede
utilizar a través del servidor de seguridad. Si coloca el servidor VPN
41
detrás de un servidor de seguridad, es posible que tenga que abrir estos
puertos. Los protocolos mostrados son necesarios para PPTP y L2TP
sobre IPSec. Si la solución VPN utiliza puertos diferentes, tendrá que abrir
esos puertos en el servidor de seguridad.
• Puede resultar difícil comprobar que el servidor de seguridad realiza una
inspección del estado de las conexiones. Por ejemplo, un servidor de
seguridad debe permitir que los paquetes que utilizan el protocolo GRE
lleguen a un servidor VPN únicamente cuando el cliente se haya puesto
en contacto con el servidor a través del puerto TCP 1723 y la conexión
inicial se haya establecido correctamente. Para ello, el servidor de
seguridad debe ser capaz de inspeccionar la conexión en el nivel de
aplicación. Si simplemente se abren los puertos del servidor de seguridad
para el protocolo IP 47, podría permitirse el tráfico entrante que utiliza
este protocolo aunque no se haya establecido antes una conexión a
través del puerto TCP 1723.
1.32. Uso de ISA Server como servidor VPN y servidor de seguridad
Característica de ISA Server Descripción
Proporciona un servidor de seguridad y un servidor proxy en el

nivel de aplicación
Utiliza RRAS para proporcionar servicios VPN
Solución integrada
Proporciona opciones seguras de autenticación
Permite elegir entre los protocolos PPTP y L2TP/IPSec
Filtrado de paquetes Protege el servidor VPN
Asistentes Simplifican la configuración con el fin de evitar errores
• Microsoft Internet Security and Acceleration (ISA) Server 2000 es una

solución integrada que satisface los requisitos de la red privada virtual y el
servidor de seguridad.
• ISA Server es un servidor de seguridad empresarial extensible y un
servidor de caché Web que se integra con el sistema operativo
Microsoft Windows 2000 para ofrecer seguridad basada en
directivas y para acelerar y administrar las interconexiones de
redes. El servidor de seguridad filtra los paquetes, los circuitos y
las aplicaciones, inspecciona el estado de las conexiones para
examinar los datos que atraviesan el servidor de seguridad y
controla la directiva de acceso y el enrutamiento de tráfico. La
caché aumenta el rendimiento de la red y mejora la experiencia del
usuario final al almacenar el contenido Web solicitado con
frecuencia. El servidor de seguridad y la caché pueden
42
implementarse de forma independiente en servidores dedicados o
integrarse en el mismo equipo.
• ISA Server utiliza RRAS para proporcionar servicios VPN y, al
mismo tiempo, ofrecer protección al servidor mediante el servidor
de seguridad.
• El filtrado de paquetes de ISA Server protege el servidor VPN. Todo el
tráfico entrante de red que no sea tráfico VPN se rechaza e ISA Server
realiza un registro del tráfico.
• ISA Server se puede configurar de forma que utilice RRAS para las
conexiones VPN entre el cliente y la red, para las conexiones VPN
entre redes o para ambos tipos de conexiones.
• El asistente de VPN local se ejecuta en ISA Server en la red local.
El equipo VPN local de ISA Server se conecta con su proveedor de
servicios Internet (ISP). El asistente de VPN remoto se ejecuta en
ISA Server en la red remota. El equipo VPN remoto de ISA Server
se conecta a su ISP. Cuando un equipo de la red local se
comunica con otro de la red remota, los datos se encapsulan y se
envían a través del túnel VPN. El asistente VPN para clientes
configura una red privada virtual entre los clientes y el servidor.
Para administrar los túneles y encapsular los datos privados se
utiliza un protocolo de túnel (PPTP o L2TP). Los datos canalizados
también deben estar cifrados para la conexión VPN.
• Los asistentes de ISA Server simplifican la configuración con el fin de
evitar errores que produzcan riesgos de seguridad. Esto es especialmente
importante cuando se configura un servidor VPN en una oficina remota
donde no se disponga de mucha experiencia en la configuración de
servidores VPN. Los asistentes de ISA Server permiten que un
administrador configure en una ubicación central todas las opciones y se
las proporcione a otro administrador de una ubicación remota en un único
archivo cifrado. Con los asistentes de ISA Server se pueden eliminar
muchos errores comunes de configuración que pueden poner en peligro
la seguridad.
Los asistentes para configurar RRAS incluyen:

• Acceso remoto de clientes.
• Acceso entre ubicaciones, en la oficina principal.
• Acceso entre ubicaciones, en la sucursal.
Para obtener más información sobre ISA Server, visite
http://www.microsoft.com/isaserver (este sitio está en inglés).
43
1.33. Desafíos del uso de IPSec y NAT
 El encabezado del paquete se modifica y se invalidan los paquetes

 IKE utiliza fragmentos de IP
 Dispositivos NAT que asumen el modo de túnel
Cap8-11.jpg
• Muchas organizaciones preferirían utilizar L2TP/IPSec (L2TP a través de

IPSec) en lugar de PPTP, pero no pueden debido a que estos dispositivos
realizan la traducción de direcciones de red (NAT) entre el servidor VPN y
el cliente VPN.
• Hay tres problemas relacionados con el uso de IPSec sobre NAT:
• NAT cambia el encabezado del paquete y modifica la dirección IP y
la información de puerto. En esta dispositiva se muestra cómo el
cliente encapsula un paquete IP dentro de un paquete IPSec. El
nuevo paquete contiene un hash cifrado del encabezado del
paquete original. En este ejemplo, un dispositivo NAT conecta el
equipo cliente a Internet y cambia el encabezado del paquete. Un
segundo dispositivo NAT que conecta el servidor a Internet vuelve
a cambiar el encabezado del paquete. Cuando el servidor VPN
recibe el paquete, el hash del encabezado ya no coincide con el
hash cifrado en la carga. Como no coinciden, IPSec descarta el
paquete al final de la recepción.
• El protocolo Intercambio de claves de Internet (IKE, Internet Key
Exchange), que es un componente de IPSec, utiliza fragmentos de
paquetes. Dado que muchos servidores de seguridad descartan
fragmentos de IP, las comunicaciones IPSec podrían no ser
factibles en estos servidores de seguridad.
• Muchos dispositivos NAT diseñados para el modo de túnel de
IPSec procesan incorrectamente los paquetes IPSec en el modo
44
de transporte. Esto significa que sólo se puede tener una única
sesión IPSec a través de la mayoría de estos dispositivos. En estos
casos, todos los paquetes IPSec entrantes se enrutan a un único
equipo situado detrás del dispositivo NAT.
1.34. Modelo de soluciones
 El borrador de IETF sobre Recorridos NAT (NAT-T) recomienda que los

dispositivos situados en ambos extremos:
 Detecten la presencia de NAT
 Utilicen un puerto que no sea IPSec, de forma que los dispositivos
NAT no interfieran con el tráfico de red
 Encapsulen IPSec en UDP
 Asimismo, la solución de Microsoft impide la fragmentación de los
paquetes IP
• Cuando surjan problemas comunes de Internet que puedan solucionarse

mediante la normalización de los productos, el Grupo de trabajo de
ingeniería de Internet (IETF) preparará un estándar que los proveedores
de productos puedan seguir.
• Dado que los problemas sobre el uso de IPSec sobre NAT son muy
conocidos, existe actualmente un borrador del Grupo de trabajo de
ingeniería de Internet para Recorridos NAT (NAT-T, NAT Traversal), que
está a la espera de que se le asigne un número como Solicitud de
comentario (RFC, Request for Comment). Cuando este borrador se
convierta en un estándar, debería aumentar la interoperabilidad entre
dispositivos de distintos fabricantes.
• El proceso general sugerido para el estándar trasversal NAT-T es que los
dispositivos situados en ambos extremos:
• Detecten que se están comunicando a través de uno o varios
dispositivos que utilizan NAT.
• Utilicen un puerto que no sea IPSec para comunicarse. De esta
forma, los dispositivos NAT no interferirán con el tráfico de red.
• Encapsulen el tráfico IPSec en paquetes de Protocolo de
datagramas de usuario (UDP, User Datagram Protocol) que utilicen
el puerto que no es IPSec.
• Además de estos estándares, la solución de Microsoft impide la
fragmentación de los paquetes IP. Con la solución de Microsoft, los
paquetes pueden pasar por los servidores de seguridad que bloquean los
paquetes fragmentados. Esto es importante, ya que el proceso de
encapsulación crea paquetes de gran tamaño que podrían ser demasiado
grandes para algunas redes y, por tanto, podrían ser fragmentados
durante el recorrido. El hecho de evitar la fragmentación no se basa en
ningún estándar, pero no causa problemas de interoperabilidad porque
sólo se utiliza entre un cliente VPN basado en Windows y un servidor
VPN basado también en Windows.
45
1.35. Funcionamiento de NAT-T
Cap8-12.jpg
NAT-T funciona del modo siguiente:
• El cliente VPN intenta establecer una conexión con el servidor IPSec.

• Durante la configuración del modo principal de IPSec, la conexión no se
realiza, pero el servidor y el cliente detectan que hay un encabezado IP
modificado por un dispositivo NAT. El servidor y el cliente interpretan este
hecho como una indicación de que hay uno o varios dispositivos NAT
conectados entre ellos.
• El cliente restablece la conexión, pero esta vez utiliza el puerto UDP
4500.
• El cliente encapsula los paquetes IPSec en los paquetes NAT-T.
En ese momento, un paquete IP se encapsula en un paquete
IPSec, que a su vez se encapsula en un paquete NAT-T. Los
paquetes NAT-T son paquetes UDP estándar, por lo que pueden
pasar a través de todos los dispositivos NAT.
• Cuando los paquetes llegan al servidor, los dispositivos NAT han
cambiado sus encabezados. El servidor descarta el encabezado y
recupera el paquete IPSec. Como el encabezado del paquete IPSec no
ha cambiado, el paquete se considera válido. IPSec descifra el paquete y
extrae el paquete IP original.
1.36. Problemas de interoperabilidad
 Tanto el cliente VPN como el servidor VPN deben admitir NAT-T

46
 Problemas con dispositivos de terceros
 Mejor interoperabilidad con el paso del tiempo
 No es necesario realizar ningún cambio en los dispositivos NAT
 Compatibilidad con servidores de seguridad
 Permite el tráfico UDP 4500
 Permite el tráfico UDP 500
• Para garantizar que NAT-T funciona correctamente, tanto los clientes

como los servidores VPN deben ser compatibles con NAT-T.
• Mientras que muchos de los sistemas operativos de Microsoft son
compatibles actualmente con NAT-T, aún hay muchas marcas de
dispositivos VPN que no lo son. Si utiliza un servidor o cliente VPN
de terceros, póngase en contacto con el fabricante para obtener
más información.
• Se prevé una mejora de la interoperabilidad a medida que más
fabricantes adopten el nuevo estándar.
• No es necesario realizar ningún cambio en los propios dispositivos NAT.
NAT-T utiliza las comunicaciones entre servidores y clientes. No afecta en
modo alguno a los dispositivos situados entre ellos.
• Es posible que tenga que configurar el servidor de seguridad para que
admita el tráfico NAT-T.
• NAT-T utiliza el puerto UDP 4500 para los puertos de origen y
destino. Para poder utilizar NAT-T, tendrá que permitir este tráfico.
• Asimismo, deberá abrir el puerto UDP 500 para permitir el
intercambio de claves de Internet (IKE). La configuración de IKE se
realiza siempre fuera de NAT-T.
1.37. Estado de NAT-T para Windows
 Implementado según el estándar propuesto por IETF

 Interoperabilidad probada con puertas de enlace para IPSec y L2TP de
terceros
 Diseñado para IPSec y L2TP en Windows XP y versiones anteriores
 Diseñado para todos los usos de IPSec en Windows Server 2003
Compatibilidad conCompatibilidad con el modo de

Versión de SO
IPSec y L2TP transporte general de IPSec
Windows Server 2003 Sí Sí4
Windows XP Sí1 No recomendado5
Windows 2000 Sí2 No
Windows NT 4 Sí3 No
Windows 98 y Windows
Sí3 No
Millennium Edition
Nota 1: Windows Update o hotfix

Nota 2: Con hotfix
47
Nota 3: Con descarga de Web
Nota 4: FTP activo no funciona
Nota 5: Algunas reducciones de PTMU no funcionan
• En esta diapositiva se muestra el estado actual de NAT-T para los

distintos sistemas operativos Windows:
• La implementación de Windows es totalmente compatible con el
estándar propuesto por IETF y se ha probado su interoperabilidad
con servidores VPN de otros fabricantes que admiten NAT-T para
L2TP o IPSec.
• En Windows XP y sistemas operativos anteriores, NAT-T
proporciona compatibilidad con L2TP/IPSec. En Windows Server
2003, se admiten todos los usos de IPSec.
• Al planear el uso de NAT-T con Windows, tenga en cuenta lo
siguiente:
• Las versiones de Windows anteriores a Windows Server
2003 requieren una actualización del sistema operativo. El
método que emplee para agregar esta compatibilidad
depende de la versión de Windows que utilice.
• El modo de transporte FTP activo a través de IPSec no
funciona. FTP activo funciona a través de L2TP/IPSec.
• En algunas ocasiones, NAT-T en Windows XP no puede
negociar la unidad de transferencia máxima de ruta de
acceso (PTMU, Path Maximum Transfer Unit) cuando se
utiliza el modo de transporte general de IPSec. Esto puede
producir la fragmentación de paquetes entre el cliente y el
servidor, lo que puede causar problemas con algunos
servidores de seguridad intermedios.
• Para obtener más información sobre los estándares propuestos por IETF
para Recorridos NAT, visite http://www.ietf.org/id/html (este sitio está en
inglés).
• Para obtener más información sobre la descarga Web de NAT-T para
Windows 98, Windows Millennium Edition y Windows NT 4, visite
http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN
-US/msl2tp.exe
• Para obtener más información sobre NAT-T, visite

http://www.microsoft.com/technet/columns/cableguy/cg0502.asp
y
http://www.microsoft.com/windows2000/server/evaluation/news/bulletins/l
2tpclient.asp (estos sitios están en inglés).
Exigir seguridad en los clientes de acceso remoto
 Problema:
48
 Es posible que los clientes remotos no satisfagan los requisitos de
seguridad corporativos
 Los equipos no protegidos de la red corporativa ponen en peligro
toda la red
 Soluciones:
 Impedir el acceso remoto
 Confiar en que los usuarios protegen los clientes remotos
 Crear una red distinta para los clientes VPN
 Exigir la configuración de seguridad al conectar
 Desconectar los clientes que no son seguros:
 Control de cuarentena de acceso a la red
• En la sección anterior se examinó cómo habilitar el acceso remoto para

las redes de forma que se cifre el tráfico de red a medida que pasa por
Internet. Una vez que los clientes VPN han establecido esta conexión,
tienen acceso total a la red de la organización. Puede utilizar filtros de
paquetes y otras reglas para restringir los equipos de la red a los que
tienen acceso estos clientes. Tenga en cuenta que restringir este acceso
puede mermar la productividad.
• Cuando los equipos cliente que no cumplen las normas de seguridad de
la organización se conecten a la red corporativa, se verá amenazada la
seguridad. Estos equipos cliente pueden estar infectados por virus o ser
vulnerables a ataques provenientes de Internet, lo que representa un
riesgo para la red.
• A continuación, se incluyen varias soluciones a este problema junto con
sus inconvenientes:
• Impedir el acceso remoto. Esta solución podría mermar la
productividad de los empleados y no suele ser viable.
• Confiar en que los usuarios protegen los clientes remotos. Ésta no
es una solución recomendable, ya que la mayoría de los usuarios
no tienen los conocimientos necesarios.
• Crear una red independiente para los clientes VPN y colocar un
servidor de seguridad entre esta red y el resto de la red
corporativa. A continuación, puede utilizar el servidor de seguridad
para permitir únicamente el tráfico seleccionado entre estas redes.
Sin embargo, esta solución podría mermar la productividad y no
elimina todos los peligros.
• Exigir la aplicación de toda la configuración de seguridad cuando
los clientes se conecten a la red. Para ello, se puede utilizar un
archivo de comandos que se ejecute cada vez que un cliente se
conecte a la red. La creación de los archivos de comandos y
procedimientos necesarios puede ser una tarea muy laboriosa y
puede implicar la configuración de equipos que no pertenecen a la
organización, como los equipos domésticos de los empleados.
• Comprobar la configuración de seguridad de los equipos cliente
VPN y desconectar los equipos cliente que no están protegidos. En
muchos casos, ésta es la mejor solución cuando se combina con
un método que los usuarios puedan emplear para actualizar sus
equipos de acuerdo con los requisitos de la organización. Éste es
49
el método utilizado por Control de cuarentena de acceso a la red,
que es una nueva característica de Windows Server 2003.
• Para obtener más información sobre cómo exigir la seguridad de los

clientes de acceso remoto, visite:
• http://www.microsoft.com/windowsserver2003/techinfo/overview/qu
arantine.mspx
• http://www.microsoft.com/technet/columns/cableguy/cg0203.asp
• http://www.microsoft.com/windowsserver2003/technologies/network
ing/default.mspx (estos sitios están en inglés)
1.38. Qué es el control de cuarentena de acceso a la red
Cap8-13.jpg
• El Control de cuarentena de acceso remoto es una característica de

Microsoft Windows Server 2003 que retrasa el acceso remoto normal a
una red privada hasta que una secuencia de comandos proporcionada
50
por el administrador haya examinado y validado la configuración del
equipo de acceso remoto.
• El proceso funciona de la siguiente manera:
• El cliente de acceso remoto se autentica y se pone en cuarentena.
• Si se agota el tiempo de espera de la cuarentena o el cliente RAS
no pasa la comprobación de directivas, se desconecta.
• Si el cliente RAS satisface las directivas de cuarentena, se le
otorga acceso completo a la red.
1.39. Requisitos de la cuarentena
Cap8-14.jpg
• El Control de cuarentena de acceso a la red es una característica de

Windows Server 2003 que evalúa la configuración de seguridad de un
cliente VPN al conectar. Mientras se evalúa el equipo cliente, éste sólo
tiene acceso a un número limitado de recursos, como un servidor DNS
para la resolución de nombres o un servidor Web con información sobre
los requisitos de seguridad corporativos. Una vez que el cliente ha pasado
todas las comprobaciones de seguridad necesarias, se le permite el
acceso a la red corporativa.
• Esta configuración consta de los siguientes componentes:
• Clientes de acceso remoto
• Equipos con un sistema operativo Windows que creen una
conexión de acceso telefónico a redes o de red privada
virtual al servidor de acceso remoto. El cliente de acceso
remoto debe utilizar un perfil de Connection Manager (CM).
• Servidor de acceso remoto
51
• Un equipo que ejecute un integrante de la familia
Windows Server 2003 y el servicio Enrutamiento y acceso
remoto configurado para utilizar un servidor de Servicio de
autenticación Internet (IAS, Internet Authentication Service)
para la autenticación.
• Servidor IAS
• Un equipo que ejecute un integrante de la familia
Windows Server 2003 e IAS. El servidor IAS controla
cuándo el cliente entra y sale de la cuarentena.
• Base de datos de cuentas
• En las redes basadas en Windows 2000 o
Windows Server 2003, el servicio de directorio Active
Directory se utiliza como base de datos de cuentas en la
que se almacenan las cuentas de usuario y sus propiedades
de acceso telefónico.
• Directiva de acceso remoto
• En el servidor de acceso remoto que ejecuta Enrutamiento y
acceso remoto o el servidor IAS, se configura una directiva
de acceso remoto que proporcione restricciones de
autorización y conexión para las conexiones de acceso
remoto.
• Asimismo, se requieren componentes que permitan la
comunicación desde el cliente al servidor, independientemente de
si se han pasado las comprobaciones de seguridad. Las
herramientas RQC.exe y RQS.exe del Kit de recursos de Windows
Server 2003 realizan esta función, pero las compañías pueden
crear sus propios componentes para realizarla.
1.40. El proceso de cuarentena
52
Cap8-15.jpg
• El siguiente proceso describe cómo funciona el Control de cuarentena de

acceso a la red cuando se utiliza un servidor RADIUS y los programas
RQC.exe y RQS.exe:
• El usuario del cliente de acceso remoto compatible con el control
de cuarentena utiliza el perfil de Connection Manager de
cuarentena instalado para conectar con el servidor de acceso
remoto compatible con el control de cuarentena.
• El cliente de acceso remoto pasa sus credenciales de
autenticación al servidor de acceso remoto.
• El servicio Enrutamiento y acceso remoto envía un mensaje de
solicitud de acceso RADIUS al servidor IAS.
• El servidor IAS valida las credenciales de autenticación del cliente
de acceso remoto y, si las credenciales son válidas, comprueba
sus directivas de acceso remoto. El intento de conexión cumple los
requisitos de la directiva de cuarentena. Por ahora, no existen
diferencias con una conexión VPN tradicional que utilice un
servidor RADIUS.
• La conexión se acepta con las restricciones de cuarentena. El
servidor IAS envía un mensaje de aceptación de acceso RADIUS
que contiene los atributos MS-Quarantine-IPFilter y MS-
Quarantine-Session-Timeout, entre otros. En este ejemplo se
asume que ambos atributos están configurados en la directiva de
acceso remoto correspondiente. Estos atributos especifican las
direcciones IP de los equipos a los que los clientes en cuarenta
tienen acceso y la duración del período de cuarentena.
53
• El cliente y el servidor de acceso remoto realizan la conexión de
acceso remoto, que incluye la obtención de una dirección IP y otras
opciones de configuración.
• El servicio Enrutamiento y acceso remoto configura las opciones
MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout en la
conexión. En este momento, el cliente de acceso remoto sólo es
capaz de enviar correctamente el tráfico que coincide con los filtros
de la cuarentena y dispone del número de segundos especificado
en MS-Quarantine-Session-Timeout para notificar al servidor de
acceso remoto que el archivo de comandos se ha ejecutado
correctamente.
• Mientras el cliente permanece en modo de cuarentena, el perfil de
Connection Manager ejecuta el archivo de comandos de
cuarentena como acción posterior a la conexión. Este archivo de
comandos comprueba que la configuración del equipo cliente de
acceso remoto satisface los requisitos de la directiva de red. Si se
pasan todas las pruebas de conformidad con la directiva de red, el
archivo de comandos ejecuta RQC.exe con sus parámetros de la
línea de comandos, uno de los cuales es una cadena de texto de la
versión del archivo de comandos de cuarentena incluido en el perfil
de Connection Manager.
• RQC.exe envía una notificación al servidor de acceso remoto, en la
que indica que el archivo de comandos se ha ejecutado
correctamente. El componente que está a la escucha (RQS.exe)
recibe la notificación.
• Si el archivo de comandos se ha ejecutado correctamente y su
versión coincide con la que se ha configurado en el Registro del
servidor de acceso remoto, el componente que está a la escucha
llama a la API MprAdminConnectionRemoveQuarantine(), que
indica al servicio Enrutamiento y acceso remoto que quite la
configuración de MS-Quarantine-IPFilter y MS-Quarantine-Session-
Timeout de la conexión y configure las restricciones normales de
conexión. En ese momento, el cliente de acceso remoto tiene
acceso normal a la intranet.
1.41. Limitaciones del control de cuarentena de acceso a la red
 Depende de que la configuración pueda comprobarse mediante archivos

de comandos
 Depende de los archivos de comandos del cliente
 Un usuario malintencionado podría eludir la cuarentena
 Los usuarios deben disponer de un método para cumplir con los
requisitos
 Métodos para aplicar las actualizaciones
 Punto de instalación externa para el software antivirus
 Limitado a las conexiones de acceso telefónico y VPN
54
• El Control de cuarentena de acceso a la red puede ser un método eficaz
para prohibir el acceso de equipos cliente no protegidos a la red
corporativa, pero esta técnica presenta también algunas limitaciones:
• La eficacia de este método depende de que la configuración pueda
comprobarse mediante un archivo de comandos. Por ejemplo, es
posible comprobar si los clientes ejecutan versiones compatibles
de un sistema operativo u otro software. También es posible
comprobar revisiones específicas, versiones de definición de virus
y otras opciones. Sin embargo, no se puede realizar un análisis de
seguridad exhaustivo del equipo cliente.
• El control de cuarentena depende del archivo de comandos del
cliente. Esto significa que un usuario malintencionado podría
utilizar un cliente para eludir las restricciones de la cuarentena. El
Control de cuarentena de acceso a la red no está diseñado para
prohibir el acceso de usuarios malintencionados a la red, sino para
garantizar que los equipos de los usuarios autorizados están
configurados de forma segura.
• Los usuarios deben disponer de un método para cumplir con los
requisitos de seguridad de la organización. Los usuarios deben
disponer de un método para aplicar actualizaciones y orientación
sobre qué actualizaciones y opciones de configuración se
necesitan. Esta información puede mantenerse en un servidor Web
que forme parte de los recursos de cuarentena. También es
posible proporcionar un punto de instalación externo para el
software, como software antivirus. Para garantizar que sólo los
usuarios autorizados tienen acceso a este servidor, puede
utilizarse una carpeta Web con control de acceso en función del
usuario. Para el software que requiere licencia, es posible que
tenga que implementar el seguimiento de licencias para la
instalación de software desde servidores a los que se tenga acceso
externamente.
• La cuarentena de acceso a la red sólo puede utilizarse para las
conexiones de acceso telefónico y red privada virtual. No puede
utilizarse para otras conexiones de red, como las conexiones
inalámbricas.
• La cuarentena de acceso a la red permite exigir la directiva de seguridad,
pero no es un mecanismo de autenticación. El proceso de cuarentena se
inicia una vez realizada la autenticación.
1.42. Consejos y trucos sobre el control de cuarentena de acceso a

la red
 Empiece con el Kit de recursos de Windows Server 2003

 Utilice Connection Manager
 Cree perfiles alternativos para entornos distintos
 Diseñe un plan para los recursos de cuarentena
 Reduzca el retraso de las aplicaciones
55
• El Kit de recursos de Windows Server 2003 contiene los programas RQC
y RQS que pueden ayudarle a implementar la cuarentena de acceso a la
red. Contiene también archivos de comandos de ejemplo.
• Aunque Connection Manager no se necesita para una conexión VPN, se
trata del método más sencillo para implementar archivos de comandos
que se ejecutan después de que el usuario establezca una conexión.
Connection Manager simplifica además la conexiones remotas de los
usuarios. Los perfiles de Connection Manager se crean con el Kit de
administración de Connection Manager(CMAK), que se incluye con
Windows Server 2003.
• Si la red admite diversos clientes VPN, es posible que no todos los
equipos cliente cumplan con los requisitos de control de acceso a la red.
En ese caso, determine si va a crear perfiles RRAS o IAS distintos para
los usuarios que no tengan que cumplir con la configuración de
cuarentena.
• Diseñe un plan para los recursos de cuarentena. Estos recursos deben
permitir la resolución de nombres y deben proporcionar todo lo necesario
para proteger los equipos cliente.
• Como los equipos cliente no tienen acceso total a la red al conectarse, es
posible que las aplicaciones cliente no se ejecuten correctamente al
conectarse a la red. Puede evitar este problema de dos formas:
• Utilice únicamente la configuración de tiempo de espera, de forma

que los equipos cliente tengan acceso a todos los recursos de la
red durante el período de cuarentena sin que se produzcan
retrasos en las aplicaciones. Los equipos cliente se desconectarán
igualmente si no satisfacen los requisitos de conexión durante el
tiempo de espera.
• Utilice la notificación inmediata, que permite que el cliente notifique
inmediatamente al servidor RRAS para que quite las restricciones
de cuarentena. Esto permite eliminar inmediatamente las
restricciones de cuarentena. Es posible incluir en el archivo de
comandos del cliente pasos que desconecten el equipo cliente
cuando no se satisfagan las restricciones.
56
4. Solución de problemas de configuraciones de seguridad
En esta sección se explica cómo solucionar los problemas que puedan surgir en
distintas situaciones relacionadas con la seguridad. Los temas que se tratan son:
• Resolución de conflictos entre plantillas de seguridad.

• Solución de errores de aplicación.
• Solución de problemas de servicios y procesos.
• Solución de problemas de conexiones de red.
• Recomendaciones para la solución de problemas.
1.43. Resolución de conflictos entre plantillas de seguridad
Uso de las herramientas Resultant Set of Policies (RSoP)
 Herramientas de administración de Active Directory

 Resultados de directiva de grupo desde GPMC
 GPResult
Cap8-16.jpg
• En un entorno administrado, se pueden aplicar muchas opciones de

seguridad mediante Directiva de grupo. Algunas veces, esto produce un
conflicto entre las plantillas de seguridad. Puede utilizar la herramienta
RSoP (Resultant Set of Policies o Conjunto resultante de directivas) para
solucionar los problemas de aplicación de Directiva de grupo.
57
• RSoP ofrece a los administradores la capacidad de planear, supervisar y
solucionar los problemas de Directiva de grupo. Con RSoP los
administradores pueden planear el modo en que los cambios de Directiva
de grupo afectan al usuario o equipo de destino. Asimismo, pueden
comprobar de forma remota las directivas actualmente vigentes en un
equipo determinado. Durante la solución de problemas, RSoP
proporciona información detallada sobre toda la configuración de
seguridad que se aplica al equipo o usuario y especifica el objeto de
directiva de grupo que aplica la configuración.
• A RSoP se puede tener acceso de varias formas:
• En un equipo con Windows XP o Windows Server 2003, puede
crear una Microsoft Management Console y agregar el
complemento RSoP.
• En Usuarios y equipos de Active Directory en un equipo con
Windows Server 2003 o Windows XP (con el paquete de
herramientas administrativas instalado), puede ejecutar RSoP
desde el elemento de menú Todas las tareas al hacer clic con el
botón secundario del mouse (ratón) en un objeto de usuario,
equipo, unidad organizativa o dominio.
• En Sitios y servicios de Active Directory en un equipo con Windows
Server 2003 o Windows XP (con el paquete de herramientas
administrativas instalado), puede ejecutar RSoP desde el elemento
de menú Todas las tareas al hacer clic con el botón secundario del
mouse en un objeto de sitio.
• En la herramienta Group Policy Management Console (Consola de
administración de directiva de grupo).
• Uso de GPResult
• GPResult es una versión de línea de comandos de RSOP basada
en clientes. Cuando se ejecuta GPResult en una estación de
trabajo, todos los objetos de directiva de grupo que se aplican al
usuario y a la estación de trabajo se muestran en una ventana de
comandos.
1.44. Solución de errores de aplicación
 La aplicación de revisiones o plantillas de seguridad puede impedir el

funcionamiento de las aplicaciones
 Herramientas para solucionar errores de las aplicaciones
 Network Monitor
 File Monitor
 Registry Monitor
 Dependency Walker
 Cipher
Ocasionalmente, puede ocurrir que la aplicación de una revisión o plantilla de

seguridad impida el funcionamiento correcto de una aplicación. Utilice las
siguientes herramientas para solucionar problemas de aplicaciones "averiadas”:
58
• Netmon (Network Monitor o Monitor de red) le ayudará a determinar los
problemas de red con aplicaciones que utilizan directamente la red o
emplean recursos de red (como recursos compartidos de archivos,
servicios Web, RPC, LDAP o Kerberos). La mejor forma de utilizar esta
herramienta consiste en trabajar con dos sistemas, uno que funcione y
otro que no funcione, registrar el tráfico de red mientras se ejecuta la
aplicación y comparar los registros de captura de NetMon línea por línea
para ver si hay mensajes de error en los datos detallados del paquete o
detectar si faltan paquetes o hay paquetes que han entrado en un bucle.
• FileMon (File Monitor de Sysinternals.com) le ayudará a determinar a qué
archivos no tiene acceso la aplicación. Normalmente, la mejor forma de
utilizar esta herramienta consiste en comparar los registros de un sistema
que funcione y otro que no funcione para ver a qué archivo no se tiene
acceso.
• RegMon (Registry Monitor de Sysinternals.com) le ayudará a determinar
las claves y la configuración del Registro a las que ya no tiene acceso la
aplicación. De nuevo, la comparación en paralelo de los registros de un
sistema que funcione y otro que no funcione suele ser un método muy
eficaz.
• Depends.exe (herramienta Dependency Walker de las herramientas de
depuración, el Kit de recursos de Windows o las herramientas de soporte
técnico) puede confrontar las dependencias DLL y proporcionar un
informe cuando una aplicación no sea capaz de encontrar una DLL
necesaria (por ejemplo, debido a una discrepancia de versiones o a un
problema con los permisos). Esta herramienta puede resultar útil cuando
una aplicación antigua requiera una determinada versión de una DLL que
ha sido sustituida.
• Cipher.exe se puede utilizar para detectar y modificar la configuración de
cifrado. Esta herramienta resulta útil cuando una aplicación (por ejemplo,
un servicio o una aplicación que depende de un servicio instalado en el
mismo sistema) no tenga acceso a un archivo necesario y se haya
habilitado EFS en una o varias carpetas del sistema. A veces, los
archivos se pueden cifrar accidentalmente de tal forma que se impida el
acceso a la aplicación o servicio. Esto suele ocurrir cuando se cifra una
carpeta utilizada para archivos temporales y después, durante la
instalación de una aplicación, se copian los archivos de una ubicación
temporal a la ubicación de destino.
1.45. Solución de problemas de servicios y procesos
 Quizás tenga que solucionar problemas con los servicios:

1. Cuando los servicios y los procesos no puedan iniciarse
2. Para confirmar que todos los servicios y procesos son legítimos
 Herramientas para solucionar problemas con los procesos:
1. Tlist.exe o Process Explorer
2. Dependency Walker
3. Examinar las propiedades de los archivos DLL
59
• Hay dos situaciones en las que es posible que tenga que solucionar
problemas con los servicios y los procesos. Puede ocurrir que un servicio
no sea capaz de iniciarse debido a una revisión de seguridad. O bien, es
posible que necesite comprobar que todos los procesos que se ejecutan
en un servidor o estación de trabajo son legítimos y que ninguno de los
procesos contiene código peligroso.
• Utilice las siguientes herramientas para solucionar problemas con los
servicios y procesos:
• Tlist.exe (de las herramientas de depuración o del Kit de recursos
de Windows) o Process Explorer (de Sysinternals.com).
Cualquiera de estas aplicaciones puede informar de la ruta de
acceso desde la que se ejecutan los procesos y de los parámetros
de la línea de comandos que se han podido utilizar para ejecutar el
proceso. Estas herramientas permiten además buscar el archivo
EXE utilizado por el servicio o proceso.
• Para solucionar problemas con archivos DLL, realice en primer
lugar un seguimiento de todos los archivos DLL en %systemroot
%\system32 y averigüe qué aplicación los ha instalado. Utilice
Process Explorer para detectar aplicaciones en modo de usuario
en las que aparecen determinados archivos DLL cargados. Utilice
Depends.exe (herramientas de soporte técnico de Windows XP, Kit
de recursos de Windows 2000) para averiguar qué archivos DLL ha
podido cargar el ejecutable. En aquellos archivos DLL que no haya
sido capaz de identificar, cargue sus propiedades de una en una y
examine la información de la ficha Versión, incluidos “compañía”,
“nombre interno” y “nombre del producto”, para saber quién ha
publicado el archivo DLL (aunque esta información algunas veces
no es muy fidedigna).
1.46. Solución de problemas de conexiones de red
 Compruebe que sólo los puertos necesarios están abiertos en los equipos
 Herramientas para determinar el uso de los puertos:
 Netstat –o (en Windows XP o Windows Server 2003)
 Administrador de tareas
 Comprobar el uso de los puertos de las aplicaciones y servicios
• Una de las tareas a las que puede tener que enfrentarse cuando vaya a
proteger estaciones de trabajo y servidores es determinar qué puertos de
red utilizan los equipos. Quizás necesite solucionar problemas de
conectividad de red cuando un puerto esté bloqueado en un servidor de
seguridad o tal vez tenga que validar si un determinado puerto es
necesario. Existen muchas herramientas para identificar los procesos que
se encuentran a la escucha en determinados puertos TCP o UDP:
• En Windows XP y Windows Server 2003, puede ejecutar
simplemente netstat.exe con el parámetro -o para determinar el
PID (Identificador de proceso) que ha ocasionado que el puerto
adopte el estado En escucha. A continuación, ejecute el
60
Administrador de tareas para averiguar qué proceso utiliza ese
PID. En Windows 2000 y versiones anteriores (o en lugar de
netstat.exe), puede utilizar una herramienta de terceros como
fport.exe (de foundstone.com) u openports.exe (de
diamondcs.com.au). Estas herramientas también suelen omitir
algunos pasos para simplificar su uso.
• A continuación, para determinar si son las aplicaciones que ha
ejecutado, no los servicios que ya se encuentran en ejecución en el
equipo, las que abren los puertos, cierre todas las aplicaciones de
usuario (incluidos los iconos de bandejas del sistema y las
aplicaciones de la barra de tareas) y vuelva a ejecutar la
herramienta de asignación de puertos que prefiera. Los procesos
que ya no están en el modo En escucha son los únicos
responsables de los puertos que ya no aparecen en el informe de
detección.
• Para determinar cuáles de los servicios que se ejecutan en el
sistema se pueden cerrar para deshabilitar los puertos restantes,
cierre los servicios uno por uno. A continuación, compare los
resultados de la herramienta de detección antes y después de
detener el servicio en cuestión. Tenga en cuenta que, puesto que
el administrador no puede detener algunos servicios, los puertos
que queden después de cerrar TODOS los servicios posibles
deben considerarse obligatorios. Además, es posible que algunos
servicios compartan un puerto. En tal caso, para que el equipo deje
de estar a la escucha en algunos puertos, puede ser necesario
cerrar ambos servicios.
• Una vez identificada la correspondencia exacta entre los servicios y los
puertos necesarios, puede determinar si el servicio es necesario en el
equipo. Si no es necesario, deshabilítelo para impedir que se vuelva a
iniciar. Si el servicio es necesario, tome nota del puerto necesario para el
servicio.
1.47. Recomendaciones para la solución de problemas
 Utilice una estrategia formal de administración de cambios y configuración

para todos los cambios de seguridad
 Pruebe todos los cambios de configuración de seguridad
 Utilice herramientas RSOP en modo de diseño
 Documente la configuración normal
 Tenga preparada una estrategia para deshacer los cambios
 Solucione los problemas de forma segura
Siempre que vaya a solucionar problemas de configuración de seguridad, tenga

en cuenta las siguientes recomendaciones:
• Utilice una estrategia formal de administración de cambios y

configuración. Así podrá encontrar el origen de los problemas más
fácilmente y simplificará la estrategia de reversión.
61
• Siempre que realice cambios en una configuración de seguridad, pruebe
los cambios antes e inmediatamente después de su implementación.
Asegúrese de que el cambio en la configuración se ha aplicado
correctamente y de que no ha introducido ningún otro punto vulnerable de
seguridad.
• Utilice RSOP en modo de diseño: las herramientas RSOP se pueden
ejecutar en este modo para determinar cuál será el efecto de aplicar una
plantilla de seguridad.
• Para solucionar problemas crípticos, tendrá que saber cuál es la
configuración normal antes de aplicar una plantilla o revisión de
seguridad.
• Asegúrese siempre de disponer de una estrategia para deshacer los
cambios.
• Solucione siempre los problemas de forma segura. Esto significa que no
debe poner en peligro la seguridad de la organización en las operaciones
empleadas para solucionar los problemas. Por ejemplo, si un cambio en
la configuración de seguridad no es correcto, no reduzca el nivel de
seguridad de otras opciones cuando intente solucionar el problema. Si lo
hace, podría poner en peligro el equipo cuyos problemas trata de
resolver.
62
5. Pasos siguientes
1. Mantenerse informado sobre la seguridad

 Suscribirse a boletines de seguridad:
http://www.microsoft.com/security/security_bulletins/alerts2.asp
(Este sitio está en inglés)
 Obtener las directrices de seguridad de Microsoft más recientes:
http://www.microsoft.com/security/guidance/ (este sitio está en inglés)
1. Obtener aprendizaje de seguridad adicional
 Buscar seminarios de aprendizaje en línea y presenciales:
http://www.microsoft.com/seminar/events/security.mspx
(Este sitio está en inglés)
 Buscar un CTEC local que ofrezca cursos prácticos:
http://www.microsoft.com/learning/ (este sitio está en inglés)
En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:
 Obtener la información sobre seguridad más reciente.
 Obtener aprendizaje de seguridad adicional.
Para obtener más información
 Sitio de seguridad de Microsoft (todos los usuarios)

 http://www.microsoft.com/security
 Sitio de seguridad de TechNet (profesionales de IT)

 http://www.microsoft.com/technet/security
 Sitio de seguridad de MSDN (desarrolladores)

 http://msdn.microsoft.com/security
Hay más información técnica para profesionales de tecnología de la información

y desarrolladores en los sitios Web siguientes:
• Sitio de seguridad de Microsoft (todos los usuarios)
• http://www.microsoft.com/security (este sitio está en inglés)
• Sitio de seguridad de TechNet (profesionales de IT)
• http://www.microsoft.com/technet/security (este sitio está en inglés)
• Sitio de seguridad de MSDN® (desarrolladores)
• http://msdn.microsoft.com/security (este sitio está en inglés)
63
6. Práctica A Utilizar MBSA
Uso de MBSA basado en la interfaz gráfica de usuario para realizar detecciones

Guía Pasos
EN DENVER
Microsoft Baseline Security Analyzer
(MBSA) es una herramienta que permite a
los usuarios analizar uno o varios equipos
basados en Windows para detectar errores
comunes de configuración de seguridad.
MBSA versión 1.1.1 incluye una interfaz
gráfica y una versión para la línea de
comandos que pueden realizar detecciones
locales o remotas en equipos basados en
Windows para comprobar el sistema
operativo y otros componentes instalados y
detectar si faltan actualizaciones de
seguridad y Service Packs para Windows,
Internet Explorer, IIS, SQL, Exchange y
Reproductor de Windows Media®. MBSA
se ha descargado e instalado en el equipo
Denver antes de esta práctica.
Inicie la versión basada en la interfaz 1. En Inicio, Todos los programas,
gráfica de usuario. seleccione Microsoft Baseline Security
Analyzer. Se muestra la página Pick a
computer to scan (Elija el equipo que
desea examinar).
2. Maximice la ventana.
Observe que al hacer click en Pick a 3. En el panel de la derecha, haga click en

computer to scan, se muestra de forma Scan a Computer (Examinar un equipo).
predeterminada el equipo local.
64
Si hace click en Pick multiple computers 4. En el panel de la izquierda, haga click en
to scan (Elija varios equipos para Pick multiple computers to scan.
examinar), tendrá la oportunidad de 5. En el cuadro Domain name (Nombre de
analizar varios equipos. Con esta opción, dominio), escriba nwtraders.
puede analizar todo el dominio o
especificar un intervalo de direcciones IP y
analizar todos los equipos basados en
Windows que se encuentran en ese
intervalo.
Tenga en cuenta que en un entorno con
varios dominios, en el que un servidor de
seguridad o un enrutador de filtrado separa
las dos redes (dos dominios
independientes de Active Directory), los
puertos TCP 139 y 445 y los puertos UDP
137 y 138 deben estar abiertos para que
MBSA se conecte y se autentique en la red
remota que se va a analizar.
Hay un campo en el que se puede 6. Explique la parte correspondiente de la
especificar el formato que se debe utilizar pantalla.
para crear el nombre del informe de
seguridad. Como se puede ver, se utilizan
variables de forma predeterminada.
Hay varias casillas de verificación de
configuración específicas que puede utilizar
para incluir componentes y opciones
específicas en el proceso de detección o
excluirlos del proceso.
La opción Check for Windows 7. Haga click y arrastre para resaltar la
vulnerabilities (Comprobar puntos opción Check for Windows
vulnerables de Windows) detecta vulnerabilities.
problemas de seguridad en los sistemas
operativos Windows (Windows NT® 4,
Windows 2000, Windows Server 2003 y
Windows XP), como el estado de las
cuentas de invitado, el tipo de sistema de
archivos, los recursos compartidos de
archivos disponibles, los integrantes del
grupo Administradores, etc. Las
descripciones de cada sistema operativo
analizado se mostrarán en los informes de
seguridad con instrucciones sobre cómo
solucionar los problemas detectados.
65
La opción Check for weak passwords 8. Haga click y arrastre para resaltar la
(Comprobar contraseñas poco seguras) opción Check for weak passwords.
contiene información específica que debe
conocer. Puede aumentar
considerablemente el tiempo del proceso
de detección, según la función que realiza
el equipo y el número de cuentas de
usuario de un equipo. Asimismo, los
intentos de comprobación de las distintas
cuentas en busca de contraseñas poco
seguras pueden agregar seguridad a las
entradas de registro (sucesos de inicio y
cierre de sesión) si se ha habilitado la
auditoría en el equipo. Observe también
que la herramienta restablecerá todas las
directivas de bloqueo de cuentas que se
detecten en el equipo a fin de que no se
bloqueen las cuentas de usuario durante la
comprobación de contraseñas. Esta
comprobación no se efectúa en los
controladores de dominio. Si se desactiva
esta opción antes de analizar un equipo, no
se realizará la comprobación de las
contraseñas de cuentas locales de
Windows y SQL.
La opción Check for IIS (Comprobar IIS) 9. Haga clic y arrastre para resaltar la opción
detecta los problemas de seguridad en las Check for IIS vulnerabilities (Comprobar
versiones 4.0 a 6.0 de IIS, como las puntos vulnerables de IIS).
aplicaciones de ejemplo y determinados
directorios virtuales presentes en el equipo.
Las descripciones de cada IIS analizado se
muestran en los informes de seguridad con
instrucciones sobre cómo solucionar los
problemas detectados.
66
La opción Check for SQL vulnerabilities 10. Haga clic y arrastre para resaltar la opción
(Comprobar puntos vulnerables de SQL) Check for SQL vulnerabilities
detecta los problemas de seguridad de (Comprobar puntos vulnerables de SQL).
SQL Server 7.0 y SQL Server 2000, como
el modo de autenticación, el estado de las
contraseñas de las cuentas de
administrador del sistema y la pertenencia
a cuentas del servicio SQL. Las
descripciones de cada SQL Server
analizado se muestran también en los
informes de seguridad con instrucciones
sobre cómo solucionar los problemas
detectados. Tenga en cuenta que la
herramienta comprueba los puntos
vulnerables de cada instancia de SQL
Server que se ejecute en el equipo. Todas
las comprobaciones de SQL individuales se
realizarán en cada instancia.
67
De forma predeterminada, la comprobación 11. Haga click y arrastre para resaltar la
de actualizaciones de seguridad analizará e opción Check for Security Updates
incluirá en el informe todas las (Comprobar actualizaciones de
actualizaciones de seguridad seguridad).
fundamentales para la línea de base.
Cuando se seleccione la opción SUS,
MSBA analizará e incluirá en el informe
todas las actualizaciones de seguridad
marcadas como aprobadas por el
administrador de SUS, incluidas las
actualizaciones que se han reemplazado
por otras.
MBSA puede determinar las
actualizaciones de seguridad
fundamentales que se aplican a un sistema
mediante la herramienta HFNetChk y la
referencia a un archivo XML (Extensible
Markup Language o Lenguaje de marcado
extensible) que Microsoft actualiza
continuamente. El archivo mssecure.xml
contiene información sobre las
actualizaciones de seguridad disponibles
para determinados productos de Microsoft.
Este archivo contiene los nombres y los
títulos de los boletines de seguridad e
información detallada sobre las
actualizaciones de seguridad específicas
de los productos, incluidos los archivos de
cada paquete de actualización y sus
versiones y sumas de comprobación, las
claves del Registro que se han aplicado
mediante el paquete de instalación de la
actualización, información sobre qué
actualización reemplaza a las demás,
números de artículos de Microsoft
Knowledge Base (Base de conocimiento)
relacionados y mucha más información.
Cuando ejecute MBSA por primera vez,
esta herramienta debe obtener una copia
del archivo XML para poder encontrar las
actualizaciones de seguridad disponibles
para cada producto. Los archivos se
pueden obtener también antes de ejecutar
la herramienta si se colocan en el directorio
de instalación de MBSA.
Haga click en el botón Start scan (Iniciar 12. Haga click en Start scan.
detección) para iniciar el análisis.
68
MBSA analiza el archivo XML e identifica
las actualizaciones de seguridad
disponibles para la combinación de
software instalado. MBSA evalúa tres
elementos para determinar si una
actualización determinada está instalada en
un equipo específico: la clave del Registro
que instala la actualización, la versión o
versiones del archivo y la suma de
comprobación de cada archivo instalado
por la actualización. Si no se pasa alguna
de estas comprobaciones, la actualización
se marcará como inexistente en el informe
de análisis.
Después de unos momentos se muestra el 13. Haga click en el informe de Vancouver y,
informe de seguridad. Puede desplazarse a continuación, desplácese por el informe.
por el informe para ver los distintos niveles
de estado de cada área analizada. Observe
que los puntos vulnerables más graves se
muestran al principio del informe.
Para indicar el estado de la comprobación 14. Señale las partes relevantes de la
se utilizan íconos. Una cruz roja y una pantalla mientras las describe.
estrella azul indican un posible punto
vulnerable grave, mientras que una cruz
amarilla indica un punto vulnerable menos
grave pero igualmente importante. En
muchos de los problemas detectados,
puede hacer clic en los vínculos para
obtener información adicional relativa al
objeto del análisis, datos detallados de los
resultados e información sobre cómo
corregir el punto vulnerable.
15. Cierre Baseline Security Analyzer.
69

8-Estrategias de Seguridad Aplicada

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

8-Estrategias de Seguridad Aplicada

Uploaded by

Copyright:

Available Formats

Estrategias de seguridad aplicada

Requisitos previos para el capítulo

 Comprender los desafíos de seguridad a los que se enfrenta la compañía

• En este capítulo, desarrollará los conocimientos que ya posee sobre la

1.1. Defensa en profundidad

 El uso de una solución en niveles:

• Una estrategia de seguridad para una organización es más efectiva

Si desea obtener más información sobre el concepto de defensa en profundidad

1.2. Desafíos comunes de seguridad

 Administración de revisiones: en profundidad

• La mayoría de las organizaciones de tecnología de la información saben

En este tema, aprenderá acerca de las estrategias reales de administración

• Importancia de la administración de revisiones proactiva

1.3. Importancia de la administración de revisiones proactiva

Trojan.Kaht 5-may-03 Crítico MS03-007 17-mar-03 49

SQL Slammer 24-ene-03 Crítico MS02-039 24-jul-02 184

Klez-E 17-ene-02 N/D MS01-020 29-mar-01 294

Nimda 18-sep-01 N/D MS01-078 17-oct-00 336

Code Red 16-jul-01 N/D MS01-033 18-jun-01 28

• El tiempo transcurrido entre que se notifica un ataque y se dispone de una

1.4. Proceso de administración de revisiones

• El primer paso en el proceso de administración de revisiones consiste en

Una vulnerabilidad tiene el ciclo de vida siguiente:

1. Se informa de la vulnerabilidad. Los puntos públicos vulnerables se

Además de trabajar con la organización para la seguridad en Internet, Microsoft

El grupo de trabajo de Microsoft Security Response Center asigna una categoría

• Crítica: su aprovechamiento podría permitir la propagación de un gusano

Microsoft ha publicado las siguientes directrices en relación a los calendarios

• Las revisiones de seguridad críticas deben implementarse en 24 horas.

Algunos factores que pueden afectar a estos calendarios son:

• Si tiene activos de gran valor o que están expuestos a un gran riesgo,

• La única forma de realizar la administración de revisiones correctamente

Security Patch - Un arreglo lanzado para una vulnerabilidad de seguridad-

Update – Es un update no critico.

Update Rollup - Un sistema probado, acumulativo de hotfixes, security patches,

Service Pack - Un sistema probado, acumulativo de todos los hotfixes, security

Feature Pack - Funcionalidad nueva del producto que primero se distribuye

1.6. Supervisión del estado de las revisiones

 Suscribirse a servicios de notificación

Nota: una excepción a este calendario se produce cuando Microsoft determina

Cuando utilice herramientas automatizadas, como SUS, configúrelas para que

• Para suscribirse al servicio de notificación de Microsoft Security, visite

 Aplíquelas lo antes posible

• No existe una única respuesta correcta a la pregunta de cuándo aplicar

 Microsoft Baseline Security Analyzer (MBSA)

Servicios de actualización en  Windows Update

 Catálogo de Windows Update

 Característica Actualizaciones automáticas (AU)

 Administración de revisiones mediante SUS

• En esta tabla se clasifican varias herramientas y otros componentes que

Para obtener más información sobre la administración de revisiones, visite el

1.9. Ventajas de MBSA

 Automatiza la identificación de las revisiones de seguridad que faltan y

• MBSA permite a los administradores evaluar los sistemas comparándolos

• En esta diapositiva se muestra cómo funciona MBSA. La diapositiva

1.11. MBSA: opciones de detección predeterminadas

o Interfaz gráfica de usuario de MBSA (aplicación de Windows)

• MBSA tiene dos opciones de modo:

1.12. Automatización de la detección con MBSA

o Detección de MBSA (interfaz gráfica de usuario)

1.13. Ejemplos de línea de comandos de MBSA

o Para analizar todos los equipos de una oficina remota:

• Mbsacli /r “192.168.1.2-192.168.1.254” /sus “http://” /n “SQL” /f

1.14. Automatización de la distribución y supervisión de revisiones