Professional Documents
Culture Documents
Índice
Introducción
Estrategias reales de administración de revisiones
Estrategias reales de acceso remoto
Solución de problemas de configuraciones de seguridad
1
1. Introducción
Cap8-01.jpg
Información adicional:
4
2. Estrategias reales de administración de revisiones
Días
Fecha en Fecha del
Nombre del Gravedad Boletín disponibles
que se hizo boletín
ataque según MSRC de MSRC antes del
público de MSRC
ataque
Cap8-02.jpg
6
• El último paso consiste en distribuir e instalar la revisión en los sistemas
de destino, revisar el progreso de la implementación, solucionar todos los
problemas relacionados con la implementación y comprobar la instalación
en los sistemas de destino.
• Como se indicó anteriormente, éste es un proceso continuado que se
inicia a intervalos periódicos, cuando se publica una nueva revisión o
cuando nueva información indica que faltan revisiones necesarias.
7
para la seguridad en Internet (Organization for Internet Safety), cuyo sitio
Web es http://www.oisafety.org (este sitio está en inglés).
• Su objetivo principal es ofrecer a sus clientes el mayor tiempo
posible para responder a nuevas vulnerabilidades.
• En su consecución se unen los proveedores y los investigadores
de las vulnerabilidades.
• Esta organización está desarrollando estándares para el
tratamiento de las vulnerabilidades.
8
Nota: en muchas organizaciones pequeñas, se suele recomendar instalar cada
revisión sugerida por Windows Update y Microsoft Office Update. En las
organizaciones mayores, utilice la disciplina de administración de riesgos de
seguridad (SRDM, Security Risk Management Discipline) para determinar qué
revisiones son las más apropiadas. De este modo, puede ahorrar tiempo y
recortar los costos.
1.5. Terminología
9
Critical Update - Un arreglo lanzado para un problema específico que trata un
bug no relacionado con la seguridad y crítico.
Hotfix - Un solo paquete acumulativo integrado por uno o más archivos para
corregir un problema en un producto.
Conseguir seguridad
Se llama la primera fase Get Secure. Para ayudar a su organización para
alcanzar un nivel apropiado de la seguridad, seguir las recomendaciones Get
Secure proporcionadas por Microsoft.
Estar seguro
Se conoce la segunda fase como Stay Secure. Es para crear un ambiente que
sea inicialmente seguro. Sin embargo, una vez que su ambiente está en servicio,
es completamente diferente mantener la seguridad del ambiente en un cierto
plazo. Tome acción preventiva contra amenazas y responda a ellas con eficacia
cuando ocurren. Para ayudar a su organización a mantener un nivel apropiado
de seguridad en un cierto plazo, es aconsejable seguir las recomendaciones
Stay Secure del Microsoft Security Tool Kit, el cual puede ser accedido online.
Información adicional:
11
1.7. Cuándo aplicar revisiones
Clasificación
Calendarios recomendados para
de laDefinición
la aplicación de revisiones
gravedad
Su aprovechamiento podría permitir la
Crítico propagación de un gusano de Internet comoEn 24 horas
Code Red o Nimda sin intervención del usuario
Su aprovechamiento podría comprometer la
confidencialidad, integridad o disponibilidad
Importante En un mes
de los datos de los usuarios o la integridad o
disponibilidad de los recursos de procesamiento
Su aprovechamiento es grave pero se ve
Espere al siguiente Service Pack
mitigado en un grado significativo por factores
o continuidad de revisiones que
Moderada como la configuración predeterminada, la
incluya la revisión o impleméntela
auditoría, la necesidad de intervención del
antes de cuatro meses
usuario o su dificultad de aplicación
Espere al siguiente Service Pack
Su aprovechamiento es extremadamente difícilo continuidad de revisiones que
Baja
o sus efectos son mínimos incluya la revisión o impleméntela
antes de un 1 año
12
1.8. Herramientas de Microsoft para la administración de
revisiones
Información adicional:
14
1.10. MBSA: funcionamiento
Cap8-03.jpg
15
6. MBSA genera un informe con una marca de tiempo en el que se
enumeran las actualizaciones que faltan en el sistema.
16
• Aunque la versión de MBSA basada en la interfaz gráfica de usuario es
útil para las redes pequeñas y medianas, no satisface los requisitos de
muchos administradores. Si necesita informes que puedan importarse a
bases de datos u hojas de cálculo en donde puedan ordenarse los
resultados y analizarse los requisitos, considere la posibilidad de utilizar la
versión de línea de comandos de la herramienta de detección MBSA.
Esta versión le permite crear un informe de equipos vulnerables
delimitado por tabuladores, que puede importar a los programas que
utilice para analizar puntos débiles.
• La ejecución de MBSA en modo HfNetChk (Comprobación de
correcciones en la red) crea un informe detallado sobre los hotfix que
faltan en cada equipo. Los resultados de la ejecución de MBSA en este
modo también pueden guardarse en un formato delimitado por
tabuladores.
• MBSA y Windows Update (WU) podrían mostrar resultados diferentes, ya
que analizan los sistemas de forma distinta. Por ejemplo, Windows
Update sólo comprueba actualizaciones críticas del sistema operativo
Windows, mientras que MBSA (a través de HFNetChk) informa de las
actualizaciones de seguridad que faltan para el sistema operativo
Windows y para otros productos de Microsoft, como SQL Server. También
puede ocurrir que se publiquen nuevas versiones de las actualizaciones
de seguridad. MBSA garantizará siempre que la última versión de la
actualización está instalada en el sistema. Si dispone de la versión
original de la actualización MS02-008 o MS02-009, MBSA indicará que la
actualización no está instalada porque existe una versión más reciente.
Sin embargo, es posible que Windows Update no indique que existe una
nueva versión, ya que probablemente buscará elementos diferentes en el
sistema para determinar si existe esta actualización.
Información adicional:
Para obtener más información sobre cómo automatizar la detección con MBSA,
visite
http://www.microsoft.com/technet/security/tools/mbsahome.asp
y
http://www.microsoft.com/technet/security/tools/mbsawp.asp
(Estos sitios están en inglés).
17
A continuación se incluyen dos opciones de línea de comandos de la
herramienta de detección MBSA:
Información adicional:
Para obtener más información sobre cómo utilizar MBSA en modo HFNetChk,
consulte “Microsoft Network Security Hotfix Checker (Hfnetchk.exe)” (Programa
de comprobación de hotfix de seguridad de red de Microsoft) en
http://support.microsoft.com/default.aspx?scid=kb;en-us;303215
(Este sitio está en inglés).
19
cuando sus limitaciones en cuanto a los sistemas operativos que admite,
el contenido compatible, el grado de control y la ausencia de información
integrada, impidan que no se tenga en consideración.
• Nota: la herramienta SUS no requiere la implementación de Microsoft
Active Directory® ni de Directiva de grupo.
20
1.16. Servicios de actualización de software
Cap8-04.jpg
21
• En los sistemas de destino donde Actualizaciones
automáticas esté configurado para extraer las
actualizaciones de Windows Update, descarga las
actualizaciones correspondientes desde allí. Actualizaciones
automáticas comprueba las firmas digitales de las
actualizaciones descargadas para asegurarse de su
autenticidad e integridad.
• Dependiendo de la configuración de Actualizaciones
automáticas, se instalan automáticamente las
actualizaciones o se notifica al usuario que están
disponibles y, a continuación, se permite al usuario revisar y
seleccionar las que desea que se instalen y cuándo desea
instalarlas.
• En el paso final, Actualizaciones automáticas registra en el
historial el éxito o el fracaso de la instalación de las
actualizaciones en los equipos de destino.
Cap8-05.jpg
23
• Este escenario de implementación es un ejemplo de cómo se puede
utilizar SUS para detectar las actualizaciones disponibles en el sitio
Windows Update y descargar las revisiones del sitio.
25
1.20. Servicios de actualización de software
Cap8-06.jpg
26
5. Si las actualizaciones no se han instalado todavía, Actualizaciones
automáticas descarga automáticamente las que faltan o notifica al
usuario que faltan actualizaciones (según la configuración) y le pide
permiso para descargarlas.
• En los sistemas de destino donde Actualizaciones
automáticas esté configurado para extraer las
actualizaciones de un servidor SUS, descarga las
aprobadas del servidor SUS especificado.
28
1.22. Administración de un entorno SUS complejo
Cap8-07.jpg
31
Si la implementación piloto fracasa, anule la aprobación del
servidor SUS y desinstale manualmente la revisión
Realice la implementación
32
Permite que los administradores controlen la administración de las
revisiones
Automatiza el proceso de administración de revisiones
Actualiza un amplia variedad de productos de Microsoft
Actualiza software de terceros
Proporciona flexibilidad mediante el uso de archivos de comandos
o Soluciones de terceros
Se integra con soluciones de terceros mediante archivos de
comandos
Información adicional:
33
1.26. SMS: funcionamiento
Cap8-08.jpg
34
4. Debe ejecutar el Asistente para distribuir actualizaciones de software con
el fin de ver, evaluar y autorizar las actualizaciones de software aplicables
a partir de los datos del inventario de actualizaciones de software.
5. El asistente descarga los archivos de origen para la actualización de
software especificada desde el sitio Web del Centro de descarga de
Microsoft. A continuación, almacena el archivo de origen en la carpeta
compartida de origen del paquete.
• Los paquetes, programas y anuncios necesarios se crean ahora o
se actualizan para distribuir las actualizaciones de software a los
clientes SMS.
• El Asistente para distribuir actualizaciones de software anexa un
programa de SMS que contiene comandos para ejecutar el Agente
de instalación de actualizaciones de software en cada paquete que
crea o actualiza.
• Por último, los paquetes de actualización de software se replican
en los puntos de distribución de su sitio y los programas se
anuncian a sus clientes.
6. El Agente de instalación de actualizaciones de software se ejecuta en sus
clientes e implementa las actualizaciones de software. Ejecuta el
componente de detección para asegurarse de que sólo instala las
actualizaciones de software que se requieren realmente.
7. El componente de sincronización busca en el sitio Web del Centro de
descarga de Microsoft las actualizaciones para el componente de
detección y el software actualiza el catálogo. Ésta es una actividad
periódica: se realiza semanalmente de forma predeterminada.
• El componente de sincronización descarga estas nuevas
actualizaciones y actualiza los paquetes, programas y anuncios
asociados con el componente de detección.
• El paquete del componente de detección actualizado y el anuncio
se distribuyen en los equipos cliente SMS de destino.
35
• La prioridad máxima de Microsoft es la seguridad y la disponibilidad del
entorno de tecnología de la información. Por tanto, si considera que
ninguno de los productos de Microsoft satisface sus necesidades, le
animamos encarecidamente a que evalúe una solución de administración
de revisiones de otro fabricante.
• Algunas de las soluciones descritas aquí proporcionan funciones
avanzadas que pueden resultar útiles para su organización, como la
especialización de actualizaciones, la integración con bases de datos de
evaluación de puntos vulnerables de otros fabricantes y la creación de
informes detallados.
• En esta dispositiva se indican algunas de las compañías que
proporcionan productos de administración de revisiones, los nombres de
sus productos y sus direcciones URL. No pretende ser una lista
exhaustiva de fabricantes que proporcionan productos relevantes. Sólo
proporciona una muestra de productos disponibles. Las funciones de
administración de revisiones también se proporcionan en los productos de
administración de sistemas empresariales de IBM, Computer Associates,
HP, etc.
• Microsoft no respalda, recomienda ni ofrece soporte técnico a ninguno de
estos productos, pero anima a los clientes a que evalúen opciones que no
son de Microsoft para determinar si satisfacen mejor sus necesidades.
Cap8-09.jpg
38
• Si todas las pruebas del entorno experimental se realizan
correctamente, inicie primero la implementación en servidores que
no sean críticos si es posible. Una vez instalado el Service Pack en
producción de 10 a 14 días, aplíquelo a los servidores primarios.
Información adicional:
39
3. Estrategias reales de acceso remoto
Cap8-10.jpg
• En esta tabla se indican los puertos y protocolos que el tráfico VPN puede
utilizar a través del servidor de seguridad. Si coloca el servidor VPN
41
detrás de un servidor de seguridad, es posible que tenga que abrir estos
puertos. Los protocolos mostrados son necesarios para PPTP y L2TP
sobre IPSec. Si la solución VPN utiliza puertos diferentes, tendrá que abrir
esos puertos en el servidor de seguridad.
• Puede resultar difícil comprobar que el servidor de seguridad realiza una
inspección del estado de las conexiones. Por ejemplo, un servidor de
seguridad debe permitir que los paquetes que utilizan el protocolo GRE
lleguen a un servidor VPN únicamente cuando el cliente se haya puesto
en contacto con el servidor a través del puerto TCP 1723 y la conexión
inicial se haya establecido correctamente. Para ello, el servidor de
seguridad debe ser capaz de inspeccionar la conexión en el nivel de
aplicación. Si simplemente se abren los puertos del servidor de seguridad
para el protocolo IP 47, podría permitirse el tráfico entrante que utiliza
este protocolo aunque no se haya establecido antes una conexión a
través del puerto TCP 1723.
42
implementarse de forma independiente en servidores dedicados o
integrarse en el mismo equipo.
• ISA Server utiliza RRAS para proporcionar servicios VPN y, al
mismo tiempo, ofrecer protección al servidor mediante el servidor
de seguridad.
• El filtrado de paquetes de ISA Server protege el servidor VPN. Todo el
tráfico entrante de red que no sea tráfico VPN se rechaza e ISA Server
realiza un registro del tráfico.
• ISA Server se puede configurar de forma que utilice RRAS para las
conexiones VPN entre el cliente y la red, para las conexiones VPN
entre redes o para ambos tipos de conexiones.
• El asistente de VPN local se ejecuta en ISA Server en la red local.
El equipo VPN local de ISA Server se conecta con su proveedor de
servicios Internet (ISP). El asistente de VPN remoto se ejecuta en
ISA Server en la red remota. El equipo VPN remoto de ISA Server
se conecta a su ISP. Cuando un equipo de la red local se
comunica con otro de la red remota, los datos se encapsulan y se
envían a través del túnel VPN. El asistente VPN para clientes
configura una red privada virtual entre los clientes y el servidor.
Para administrar los túneles y encapsular los datos privados se
utiliza un protocolo de túnel (PPTP o L2TP). Los datos canalizados
también deben estar cifrados para la conexión VPN.
• Los asistentes de ISA Server simplifican la configuración con el fin de
evitar errores que produzcan riesgos de seguridad. Esto es especialmente
importante cuando se configura un servidor VPN en una oficina remota
donde no se disponga de mucha experiencia en la configuración de
servidores VPN. Los asistentes de ISA Server permiten que un
administrador configure en una ubicación central todas las opciones y se
las proporcione a otro administrador de una ubicación remota en un único
archivo cifrado. Con los asistentes de ISA Server se pueden eliminar
muchos errores comunes de configuración que pueden poner en peligro
la seguridad.
Información adicional:
Para obtener más información sobre ISA Server, visite
http://www.microsoft.com/isaserver (este sitio está en inglés).
43
1.33. Desafíos del uso de IPSec y NAT
Cap8-11.jpg
45
1.35. Funcionamiento de NAT-T
Cap8-12.jpg
Windows 98 y Windows
Sí3 No
Millennium Edition
Información adicional:
• Para obtener más información sobre los estándares propuestos por IETF
para Recorridos NAT, visite http://www.ietf.org/id/html (este sitio está en
inglés).
• Para obtener más información sobre la descarga Web de NAT-T para
Windows 98, Windows Millennium Edition y Windows NT 4, visite
http://download.microsoft.com/download/win98/Install/1.0/W9XNT4Me/EN
-US/msl2tp.exe
(Este sitio está en inglés).
Problema:
48
Es posible que los clientes remotos no satisfagan los requisitos de
seguridad corporativos
Los equipos no protegidos de la red corporativa ponen en peligro
toda la red
Soluciones:
Impedir el acceso remoto
Confiar en que los usuarios protegen los clientes remotos
Crear una red distinta para los clientes VPN
Exigir la configuración de seguridad al conectar
Desconectar los clientes que no son seguros:
Control de cuarentena de acceso a la red
Información adicional:
• http://www.microsoft.com/technet/columns/cableguy/cg0203.asp
• http://www.microsoft.com/windowsserver2003/technologies/network
ing/default.mspx (estos sitios están en inglés)
Cap8-13.jpg
50
por el administrador haya examinado y validado la configuración del
equipo de acceso remoto.
• El proceso funciona de la siguiente manera:
• El cliente de acceso remoto se autentica y se pone en cuarentena.
• Si se agota el tiempo de espera de la cuarentena o el cliente RAS
no pasa la comprobación de directivas, se desconecta.
• Si el cliente RAS satisface las directivas de cuarentena, se le
otorga acceso completo a la red.
Cap8-14.jpg
51
• Un equipo que ejecute un integrante de la familia
Windows Server 2003 y el servicio Enrutamiento y acceso
remoto configurado para utilizar un servidor de Servicio de
autenticación Internet (IAS, Internet Authentication Service)
para la autenticación.
• Servidor IAS
• Un equipo que ejecute un integrante de la familia
Windows Server 2003 e IAS. El servidor IAS controla
cuándo el cliente entra y sale de la cuarentena.
• Base de datos de cuentas
• En las redes basadas en Windows 2000 o
Windows Server 2003, el servicio de directorio Active
Directory se utiliza como base de datos de cuentas en la
que se almacenan las cuentas de usuario y sus propiedades
de acceso telefónico.
• Directiva de acceso remoto
• En el servidor de acceso remoto que ejecuta Enrutamiento y
acceso remoto o el servidor IAS, se configura una directiva
de acceso remoto que proporcione restricciones de
autorización y conexión para las conexiones de acceso
remoto.
• Asimismo, se requieren componentes que permitan la
comunicación desde el cliente al servidor, independientemente de
si se han pasado las comprobaciones de seguridad. Las
herramientas RQC.exe y RQS.exe del Kit de recursos de Windows
Server 2003 realizan esta función, pero las compañías pueden
crear sus propios componentes para realizarla.
52
Cap8-15.jpg
53
• El cliente y el servidor de acceso remoto realizan la conexión de
acceso remoto, que incluye la obtención de una dirección IP y otras
opciones de configuración.
• El servicio Enrutamiento y acceso remoto configura las opciones
MS-Quarantine-IPFilter y MS-Quarantine-Session-Timeout en la
conexión. En este momento, el cliente de acceso remoto sólo es
capaz de enviar correctamente el tráfico que coincide con los filtros
de la cuarentena y dispone del número de segundos especificado
en MS-Quarantine-Session-Timeout para notificar al servidor de
acceso remoto que el archivo de comandos se ha ejecutado
correctamente.
• Mientras el cliente permanece en modo de cuarentena, el perfil de
Connection Manager ejecuta el archivo de comandos de
cuarentena como acción posterior a la conexión. Este archivo de
comandos comprueba que la configuración del equipo cliente de
acceso remoto satisface los requisitos de la directiva de red. Si se
pasan todas las pruebas de conformidad con la directiva de red, el
archivo de comandos ejecuta RQC.exe con sus parámetros de la
línea de comandos, uno de los cuales es una cadena de texto de la
versión del archivo de comandos de cuarentena incluido en el perfil
de Connection Manager.
• RQC.exe envía una notificación al servidor de acceso remoto, en la
que indica que el archivo de comandos se ha ejecutado
correctamente. El componente que está a la escucha (RQS.exe)
recibe la notificación.
• Si el archivo de comandos se ha ejecutado correctamente y su
versión coincide con la que se ha configurado en el Registro del
servidor de acceso remoto, el componente que está a la escucha
llama a la API MprAdminConnectionRemoveQuarantine(), que
indica al servicio Enrutamiento y acceso remoto que quite la
configuración de MS-Quarantine-IPFilter y MS-Quarantine-Session-
Timeout de la conexión y configure las restricciones normales de
conexión. En ese momento, el cliente de acceso remoto tiene
acceso normal a la intranet.
54
• El Control de cuarentena de acceso a la red puede ser un método eficaz
para prohibir el acceso de equipos cliente no protegidos a la red
corporativa, pero esta técnica presenta también algunas limitaciones:
• La eficacia de este método depende de que la configuración pueda
comprobarse mediante un archivo de comandos. Por ejemplo, es
posible comprobar si los clientes ejecutan versiones compatibles
de un sistema operativo u otro software. También es posible
comprobar revisiones específicas, versiones de definición de virus
y otras opciones. Sin embargo, no se puede realizar un análisis de
seguridad exhaustivo del equipo cliente.
• El control de cuarentena depende del archivo de comandos del
cliente. Esto significa que un usuario malintencionado podría
utilizar un cliente para eludir las restricciones de la cuarentena. El
Control de cuarentena de acceso a la red no está diseñado para
prohibir el acceso de usuarios malintencionados a la red, sino para
garantizar que los equipos de los usuarios autorizados están
configurados de forma segura.
• Los usuarios deben disponer de un método para cumplir con los
requisitos de seguridad de la organización. Los usuarios deben
disponer de un método para aplicar actualizaciones y orientación
sobre qué actualizaciones y opciones de configuración se
necesitan. Esta información puede mantenerse en un servidor Web
que forme parte de los recursos de cuarentena. También es
posible proporcionar un punto de instalación externo para el
software, como software antivirus. Para garantizar que sólo los
usuarios autorizados tienen acceso a este servidor, puede
utilizarse una carpeta Web con control de acceso en función del
usuario. Para el software que requiere licencia, es posible que
tenga que implementar el seguimiento de licencias para la
instalación de software desde servidores a los que se tenga acceso
externamente.
• La cuarentena de acceso a la red sólo puede utilizarse para las
conexiones de acceso telefónico y red privada virtual. No puede
utilizarse para otras conexiones de red, como las conexiones
inalámbricas.
• La cuarentena de acceso a la red permite exigir la directiva de seguridad,
pero no es un mecanismo de autenticación. El proceso de cuarentena se
inicia una vez realizada la autenticación.
55
• El Kit de recursos de Windows Server 2003 contiene los programas RQC
y RQS que pueden ayudarle a implementar la cuarentena de acceso a la
red. Contiene también archivos de comandos de ejemplo.
• Aunque Connection Manager no se necesita para una conexión VPN, se
trata del método más sencillo para implementar archivos de comandos
que se ejecutan después de que el usuario establezca una conexión.
Connection Manager simplifica además la conexiones remotas de los
usuarios. Los perfiles de Connection Manager se crean con el Kit de
administración de Connection Manager(CMAK), que se incluye con
Windows Server 2003.
• Si la red admite diversos clientes VPN, es posible que no todos los
equipos cliente cumplan con los requisitos de control de acceso a la red.
En ese caso, determine si va a crear perfiles RRAS o IAS distintos para
los usuarios que no tengan que cumplir con la configuración de
cuarentena.
• Diseñe un plan para los recursos de cuarentena. Estos recursos deben
permitir la resolución de nombres y deben proporcionar todo lo necesario
para proteger los equipos cliente.
• Como los equipos cliente no tienen acceso total a la red al conectarse, es
posible que las aplicaciones cliente no se ejecuten correctamente al
conectarse a la red. Puede evitar este problema de dos formas:
56
4. Solución de problemas de configuraciones de seguridad
En esta sección se explica cómo solucionar los problemas que puedan surgir en
distintas situaciones relacionadas con la seguridad. Los temas que se tratan son:
Cap8-16.jpg
58
• Netmon (Network Monitor o Monitor de red) le ayudará a determinar los
problemas de red con aplicaciones que utilizan directamente la red o
emplean recursos de red (como recursos compartidos de archivos,
servicios Web, RPC, LDAP o Kerberos). La mejor forma de utilizar esta
herramienta consiste en trabajar con dos sistemas, uno que funcione y
otro que no funcione, registrar el tráfico de red mientras se ejecuta la
aplicación y comparar los registros de captura de NetMon línea por línea
para ver si hay mensajes de error en los datos detallados del paquete o
detectar si faltan paquetes o hay paquetes que han entrado en un bucle.
• FileMon (File Monitor de Sysinternals.com) le ayudará a determinar a qué
archivos no tiene acceso la aplicación. Normalmente, la mejor forma de
utilizar esta herramienta consiste en comparar los registros de un sistema
que funcione y otro que no funcione para ver a qué archivo no se tiene
acceso.
• RegMon (Registry Monitor de Sysinternals.com) le ayudará a determinar
las claves y la configuración del Registro a las que ya no tiene acceso la
aplicación. De nuevo, la comparación en paralelo de los registros de un
sistema que funcione y otro que no funcione suele ser un método muy
eficaz.
• Depends.exe (herramienta Dependency Walker de las herramientas de
depuración, el Kit de recursos de Windows o las herramientas de soporte
técnico) puede confrontar las dependencias DLL y proporcionar un
informe cuando una aplicación no sea capaz de encontrar una DLL
necesaria (por ejemplo, debido a una discrepancia de versiones o a un
problema con los permisos). Esta herramienta puede resultar útil cuando
una aplicación antigua requiera una determinada versión de una DLL que
ha sido sustituida.
• Cipher.exe se puede utilizar para detectar y modificar la configuración de
cifrado. Esta herramienta resulta útil cuando una aplicación (por ejemplo,
un servicio o una aplicación que depende de un servicio instalado en el
mismo sistema) no tenga acceso a un archivo necesario y se haya
habilitado EFS en una o varias carpetas del sistema. A veces, los
archivos se pueden cifrar accidentalmente de tal forma que se impida el
acceso a la aplicación o servicio. Esto suele ocurrir cuando se cifra una
carpeta utilizada para archivos temporales y después, durante la
instalación de una aplicación, se copian los archivos de una ubicación
temporal a la ubicación de destino.
59
• Hay dos situaciones en las que es posible que tenga que solucionar
problemas con los servicios y los procesos. Puede ocurrir que un servicio
no sea capaz de iniciarse debido a una revisión de seguridad. O bien, es
posible que necesite comprobar que todos los procesos que se ejecutan
en un servidor o estación de trabajo son legítimos y que ninguno de los
procesos contiene código peligroso.
• Utilice las siguientes herramientas para solucionar problemas con los
servicios y procesos:
• Tlist.exe (de las herramientas de depuración o del Kit de recursos
de Windows) o Process Explorer (de Sysinternals.com).
Cualquiera de estas aplicaciones puede informar de la ruta de
acceso desde la que se ejecutan los procesos y de los parámetros
de la línea de comandos que se han podido utilizar para ejecutar el
proceso. Estas herramientas permiten además buscar el archivo
EXE utilizado por el servicio o proceso.
• Para solucionar problemas con archivos DLL, realice en primer
lugar un seguimiento de todos los archivos DLL en %systemroot
%\system32 y averigüe qué aplicación los ha instalado. Utilice
Process Explorer para detectar aplicaciones en modo de usuario
en las que aparecen determinados archivos DLL cargados. Utilice
Depends.exe (herramientas de soporte técnico de Windows XP, Kit
de recursos de Windows 2000) para averiguar qué archivos DLL ha
podido cargar el ejecutable. En aquellos archivos DLL que no haya
sido capaz de identificar, cargue sus propiedades de una en una y
examine la información de la ficha Versión, incluidos “compañía”,
“nombre interno” y “nombre del producto”, para saber quién ha
publicado el archivo DLL (aunque esta información algunas veces
no es muy fidedigna).
Compruebe que sólo los puertos necesarios están abiertos en los equipos
Herramientas para determinar el uso de los puertos:
Netstat –o (en Windows XP o Windows Server 2003)
Administrador de tareas
Comprobar el uso de los puertos de las aplicaciones y servicios
• Una de las tareas a las que puede tener que enfrentarse cuando vaya a
proteger estaciones de trabajo y servidores es determinar qué puertos de
red utilizan los equipos. Quizás necesite solucionar problemas de
conectividad de red cuando un puerto esté bloqueado en un servidor de
seguridad o tal vez tenga que validar si un determinado puerto es
necesario. Existen muchas herramientas para identificar los procesos que
se encuentran a la escucha en determinados puertos TCP o UDP:
• En Windows XP y Windows Server 2003, puede ejecutar
simplemente netstat.exe con el parámetro -o para determinar el
PID (Identificador de proceso) que ha ocasionado que el puerto
adopte el estado En escucha. A continuación, ejecute el
60
Administrador de tareas para averiguar qué proceso utiliza ese
PID. En Windows 2000 y versiones anteriores (o en lugar de
netstat.exe), puede utilizar una herramienta de terceros como
fport.exe (de foundstone.com) u openports.exe (de
diamondcs.com.au). Estas herramientas también suelen omitir
algunos pasos para simplificar su uso.
• A continuación, para determinar si son las aplicaciones que ha
ejecutado, no los servicios que ya se encuentran en ejecución en el
equipo, las que abren los puertos, cierre todas las aplicaciones de
usuario (incluidos los iconos de bandejas del sistema y las
aplicaciones de la barra de tareas) y vuelva a ejecutar la
herramienta de asignación de puertos que prefiera. Los procesos
que ya no están en el modo En escucha son los únicos
responsables de los puertos que ya no aparecen en el informe de
detección.
• Para determinar cuáles de los servicios que se ejecutan en el
sistema se pueden cerrar para deshabilitar los puertos restantes,
cierre los servicios uno por uno. A continuación, compare los
resultados de la herramienta de detección antes y después de
detener el servicio en cuestión. Tenga en cuenta que, puesto que
el administrador no puede detener algunos servicios, los puertos
que queden después de cerrar TODOS los servicios posibles
deben considerarse obligatorios. Además, es posible que algunos
servicios compartan un puerto. En tal caso, para que el equipo deje
de estar a la escucha en algunos puertos, puede ser necesario
cerrar ambos servicios.
• Una vez identificada la correspondencia exacta entre los servicios y los
puertos necesarios, puede determinar si el servicio es necesario en el
equipo. Si no es necesario, deshabilítelo para impedir que se vuelva a
iniciar. Si el servicio es necesario, tome nota del puerto necesario para el
servicio.
62
5. Pasos siguientes
En los pasos siguientes es necesario que vaya al sitio Web de Microsoft para:
Obtener la información sobre seguridad más reciente.
Obtener aprendizaje de seguridad adicional.
63
6. Práctica A Utilizar MBSA
64
Si hace click en Pick multiple computers 4. En el panel de la izquierda, haga click en
to scan (Elija varios equipos para Pick multiple computers to scan.
examinar), tendrá la oportunidad de 5. En el cuadro Domain name (Nombre de
analizar varios equipos. Con esta opción, dominio), escriba nwtraders.
puede analizar todo el dominio o
especificar un intervalo de direcciones IP y
analizar todos los equipos basados en
Windows que se encuentran en ese
intervalo.
Tenga en cuenta que en un entorno con
varios dominios, en el que un servidor de
seguridad o un enrutador de filtrado separa
las dos redes (dos dominios
independientes de Active Directory), los
puertos TCP 139 y 445 y los puertos UDP
137 y 138 deben estar abiertos para que
MBSA se conecte y se autentique en la red
remota que se va a analizar.
Hay un campo en el que se puede 6. Explique la parte correspondiente de la
especificar el formato que se debe utilizar pantalla.
para crear el nombre del informe de
seguridad. Como se puede ver, se utilizan
variables de forma predeterminada.
Hay varias casillas de verificación de
configuración específicas que puede utilizar
para incluir componentes y opciones
específicas en el proceso de detección o
excluirlos del proceso.
La opción Check for Windows 7. Haga click y arrastre para resaltar la
vulnerabilities (Comprobar puntos opción Check for Windows
vulnerables de Windows) detecta vulnerabilities.
problemas de seguridad en los sistemas
operativos Windows (Windows NT® 4,
Windows 2000, Windows Server 2003 y
Windows XP), como el estado de las
cuentas de invitado, el tipo de sistema de
archivos, los recursos compartidos de
archivos disponibles, los integrantes del
grupo Administradores, etc. Las
descripciones de cada sistema operativo
analizado se mostrarán en los informes de
seguridad con instrucciones sobre cómo
solucionar los problemas detectados.
65
La opción Check for weak passwords 8. Haga click y arrastre para resaltar la
(Comprobar contraseñas poco seguras) opción Check for weak passwords.
contiene información específica que debe
conocer. Puede aumentar
considerablemente el tiempo del proceso
de detección, según la función que realiza
el equipo y el número de cuentas de
usuario de un equipo. Asimismo, los
intentos de comprobación de las distintas
cuentas en busca de contraseñas poco
seguras pueden agregar seguridad a las
entradas de registro (sucesos de inicio y
cierre de sesión) si se ha habilitado la
auditoría en el equipo. Observe también
que la herramienta restablecerá todas las
directivas de bloqueo de cuentas que se
detecten en el equipo a fin de que no se
bloqueen las cuentas de usuario durante la
comprobación de contraseñas. Esta
comprobación no se efectúa en los
controladores de dominio. Si se desactiva
esta opción antes de analizar un equipo, no
se realizará la comprobación de las
contraseñas de cuentas locales de
Windows y SQL.
La opción Check for IIS (Comprobar IIS) 9. Haga clic y arrastre para resaltar la opción
detecta los problemas de seguridad en las Check for IIS vulnerabilities (Comprobar
versiones 4.0 a 6.0 de IIS, como las puntos vulnerables de IIS).
aplicaciones de ejemplo y determinados
directorios virtuales presentes en el equipo.
Las descripciones de cada IIS analizado se
muestran en los informes de seguridad con
instrucciones sobre cómo solucionar los
problemas detectados.
66
La opción Check for SQL vulnerabilities 10. Haga clic y arrastre para resaltar la opción
(Comprobar puntos vulnerables de SQL) Check for SQL vulnerabilities
detecta los problemas de seguridad de (Comprobar puntos vulnerables de SQL).
SQL Server 7.0 y SQL Server 2000, como
el modo de autenticación, el estado de las
contraseñas de las cuentas de
administrador del sistema y la pertenencia
a cuentas del servicio SQL. Las
descripciones de cada SQL Server
analizado se muestran también en los
informes de seguridad con instrucciones
sobre cómo solucionar los problemas
detectados. Tenga en cuenta que la
herramienta comprueba los puntos
vulnerables de cada instancia de SQL
Server que se ejecute en el equipo. Todas
las comprobaciones de SQL individuales se
realizarán en cada instancia.
67
De forma predeterminada, la comprobación 11. Haga click y arrastre para resaltar la
de actualizaciones de seguridad analizará e opción Check for Security Updates
incluirá en el informe todas las (Comprobar actualizaciones de
actualizaciones de seguridad seguridad).
fundamentales para la línea de base.
Cuando se seleccione la opción SUS,
MSBA analizará e incluirá en el informe
todas las actualizaciones de seguridad
marcadas como aprobadas por el
administrador de SUS, incluidas las
actualizaciones que se han reemplazado
por otras.
MBSA puede determinar las
actualizaciones de seguridad
fundamentales que se aplican a un sistema
mediante la herramienta HFNetChk y la
referencia a un archivo XML (Extensible
Markup Language o Lenguaje de marcado
extensible) que Microsoft actualiza
continuamente. El archivo mssecure.xml
contiene información sobre las
actualizaciones de seguridad disponibles
para determinados productos de Microsoft.
Este archivo contiene los nombres y los
títulos de los boletines de seguridad e
información detallada sobre las
actualizaciones de seguridad específicas
de los productos, incluidos los archivos de
cada paquete de actualización y sus
versiones y sumas de comprobación, las
claves del Registro que se han aplicado
mediante el paquete de instalación de la
actualización, información sobre qué
actualización reemplaza a las demás,
números de artículos de Microsoft
Knowledge Base (Base de conocimiento)
relacionados y mucha más información.
Cuando ejecute MBSA por primera vez,
esta herramienta debe obtener una copia
del archivo XML para poder encontrar las
actualizaciones de seguridad disponibles
para cada producto. Los archivos se
pueden obtener también antes de ejecutar
la herramienta si se colocan en el directorio
de instalación de MBSA.
Haga click en el botón Start scan (Iniciar 12. Haga click en Start scan.
detección) para iniciar el análisis.
68
MBSA analiza el archivo XML e identifica
las actualizaciones de seguridad
disponibles para la combinación de
software instalado. MBSA evalúa tres
elementos para determinar si una
actualización determinada está instalada en
un equipo específico: la clave del Registro
que instala la actualización, la versión o
versiones del archivo y la suma de
comprobación de cada archivo instalado
por la actualización. Si no se pasa alguna
de estas comprobaciones, la actualización
se marcará como inexistente en el informe
de análisis.
Después de unos momentos se muestra el 13. Haga click en el informe de Vancouver y,
informe de seguridad. Puede desplazarse a continuación, desplácese por el informe.
por el informe para ver los distintos niveles
de estado de cada área analizada. Observe
que los puntos vulnerables más graves se
muestran al principio del informe.
Para indicar el estado de la comprobación 14. Señale las partes relevantes de la
se utilizan íconos. Una cruz roja y una pantalla mientras las describe.
estrella azul indican un posible punto
vulnerable grave, mientras que una cruz
amarilla indica un punto vulnerable menos
grave pero igualmente importante. En
muchos de los problemas detectados,
puede hacer clic en los vínculos para
obtener información adicional relativa al
objeto del análisis, datos detallados de los
resultados e información sobre cómo
corregir el punto vulnerable.
15. Cierre Baseline Security Analyzer.
69