Tema 1. Seguridad en Windows Server PDF

Summary

Este documento proporciona una introducción a la implementación segura de un servidor Windows Server como controlador de dominio o servidor miembro de un dominio, siguiendo las directrices STIC 570A. Incluye temas sobre seguridad en Active Directory, políticas base, y herramientas de análisis de configuración. El documento se enfoca en la seguridad de los entornos Windows.

Full Transcript

Tema 1

Seguridad en Sistemas, Aplicaciones y el Big Data

Tema 1. Seguridad en
Windows Server
Índice
Esquema

Ideas clave

1.1. Introducción y objetivos

1.2. Seguridad en Windows Server

1.3. Seguridad en Active Directory. Políticas base

1.4. Analizadores de políticas base

1.5. Herramientas de análisis de configuración de
seguridad

1.6. Referencias bibliográficas

A fondo

Guías de seguridad de entornos Windows 500 CCN-CERT

Configuraciones de seguridad de entornos Windows NIST

Herramienta CLARA CCN CERT

Security Compliance Toolkit de Microsoft 1.0

Directiva de seguridad Kerberos

Test
 Esquema

Seguridad en Sistemas, Aplicaciones y el Big Data 3
Tema 1. Esquema
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.1. Introducción y objetivos

El propósito de este tema es proporcionar una implementación segura para la

instalación de un sistema Windows Server, que actúa como un controlador de

dominio (DC) o un servidor miembro de un dominio, siguiendo las instrucciones

contenidas aquí, de acuerdo con la guía STIC 570A disponible en el sitio web del

CNI-CCN-CERT.

Las configuraciones aplicadas a lo largo de este tema están diseñadas para ser lo

más restrictivas posible, disminuir la superficie de ataque y, por consiguiente, las

amenazas y riesgos que puedan existir. Según los casos, dependiendo de la

funcionalidad que requiera su servidor, es posible que deba modificar los perfiles que

se muestran aquí para permitir que su dispositivo brinde servicios adicionales. Sin

embargo, cabe señalar que las áreas de aplicación son diversas y por consiguiente

dependen de las aplicaciones, características y capacidades de los servicios

suministrados por diferentes organizaciones.

Así, se crean modelos y estándares de seguridad mediante la definición de

principios generales de seguridad que permitan cumplir en el futuro las

condiciones mínimas y obligatorias de dicha seguridad establecidas en el Esquema

Nacional de seguridad (ENS). Un ambiente clasificado para aplicaciones seguras

en un entorno de red sensible y el nivel máximo de seguridad que se puede
establecer se basa en los requisitos de las directrices CCN STIC 301.

A continuación, se describe el proceso de aplicación de seguridad en un entorno

de Windows Server. Este constará de los siguientes pasos:

Seguridad en Sistemas, Aplicaciones y el Big Data 4
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 1. El proceso de aplicación de seguridad en un entorno de Windows Server. Fuente: elaboración propia.

El propósito de lo visto aquí es servir como un punto de referencia de seguridad que

debe adaptarse a las características y necesidades específicas de cada

organización. Los procedimientos establecidos asumen que se está configurando el

sistema desde un ambiente limpio (formateado) en un ambiente de producción dentro

del ENS.

Objetivos

▸ Conocer las principales características de seguridad de Microsoft Windows Server.

▸ Aprender cómo implementar la seguridad en un domino mediante Active Directory y

políticas de seguridad.

▸ Conocer los principales analizadores de políticas base y herramientas de análisis de

configuración de seguridad.

▸ Aplicar la guía CCN-STIC-570A ENS incremental Dominio categoría básica para

Seguridad en Sistemas, Aplicaciones y el Big Data 5
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

definir la política de seguridad del dominio.

▸ Aplicar la guía CCN-STIC-570A ENS incremental Controladores de Dominio

categoría básica para establecer la seguridad del servicio DC.

▸ Aplicar la guía CCN-STIC-599A Seguridad en Windows 10 (cliente miembro de

dominio).

Seguridad en Sistemas, Aplicaciones y el Big Data 6
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.2. Seguridad en Windows Server

Novedades de seguridad

El sistema operativo Windows Server 2016 incluye novedosas herramientas para

abordar vulnerabilidades de seguridad y prevenir ataques al sistema. Además, si un

usuario no autorizado ingresa en el entorno del dominio, un nuevo nivel de seguridad
integrado en el sistema operativo limita el daño que los usuarios pueden crear y

ayuda en la detección de actividades maliciosas.

Una de las más importantes innovaciones relativas a seguridad es una característica

única llamada Máquinas virtuales blindadas. Esto posibilita que la máquina virtual

se cifre con BitLocker y se ejecute solo en máquinas confiables y autorizadas por su

servicio de protección. Otra característica novedosa de Windows Server 2016 es un

modo de ejecución seguro llamado Virtual Secure Mode (VSM), que utilizan muchos

componentes, incluida la protección de credenciales, que crea regiones aisladas de

memoria para procesos en una partición segura virtualizada. Otras novedades de

seguridad que incluye Windows Server 2016, según STIC 570A (2018), son las

presentes en la Tabla 1.

Seguridad en Sistemas, Aplicaciones y el Big Data 7
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Tabla 2. Novedades de seguridad incluidas en Windows Server 2016. Fuente: adaptado de STIC 570A, 2018;
p. 15.

Windows Server 2019 ofrece las siguientes novedades de seguridad:

▸ Protección avanzada contra amenazas de Windows Defender (ATP). Tiene un

sensor de amenazas que detecta ataques a nivel de memoria y kernel y responde
eliminando archivos y procesos sospechosos y maliciosos.

▸ Seguridad con redes definidas por software (SDN). La seguridad en redes SDN,

en las instalaciones o en la nube, ofrece muchas funciones para fomentar la

confianza del cliente en la ejecución de lotes de trabajos.

Seguridad en Sistemas, Aplicaciones y el Big Data 8
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

En Windows server 2022 se incorporan las siguientes medidas de seguridad:

▸ Secured-core server: aprovechan al máximo las capacidades del hardware,

firmware y sistema operativo para protegerlo de las amenazas. La protección
habilitada por un servidor Secured-core crea una base sólida para los datos críticos y
las aplicaciones que se utilizan en ese servidor.

▸ Hardware root-of-trust: viene con el servidor Secured-core y proporciona

almacenamiento seguro para datos confidenciales y claves, como permisos para

monitorizar y medir los componentes cargados en el momento del arranque Trusted
Platform Module 2.0 (TPM 2.0).

▸ Firmware protection: según informes recientes, las plataformas de malware y

ransomware agregan funciones de software y aumentan el riesgo de ataques
dirigidos a los recursos de firmware corporativos, como los controladores de dominio
de Active Directory. El sistema Secured-core aísla la seguridad crítica del hipervisor
de dichos ataques con la ayuda de los procesadores compatibles con la tecnología

Dynamic Route Measurement Trust (DRTM) y la protección DMA.

▸ Virtualization-based security (VBS): los servidores secured-core incluyen VBS e

integridad de código basada en hipervisor (HVCI). VBS y HVCI protegen contra todo
tipo de vulnerabilidades que suelen ser foco de los ataques de minería de
criptomonedas, debido al aislamiento proporcionado por VBS entre las partes
privilegiadas del sistema operativo, como el kernel y el resto del sistema. VBS
también ofrece más funciones que los clientes pueden usar, como la protección de

credenciales, para mejorar su protección en el dominio.

▸ Transport HTTPS and TLS 1.3: habilitado por defecto en todas las conexiones.

▸ Secure DNS: Solicitudes de resolución de nombres DNS encriptadas con DNS

sobre HTTPS.

▸ Server Message Block (SMB): Windows Server admite conjuntos de cifrado

Seguridad en Sistemas, Aplicaciones y el Big Data 9
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

AES256GCM y AES256CCM para cifrado y firma SMB. Windows lo negocia

automáticamente cuando se conecta a otra computadora que admita este cifrado
más alto. También se lo puede aplicar mediante la política de grupo. Windows
Server seguirá admitiendo AES128 para un bajo nivel de compatibilidad.

Seguridad en Sistemas, Aplicaciones y el Big Data 10
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.3. Seguridad en Active Directory. Políticas base

Dominio de directorio activo

Windows Active Directory es un servicio que posibilita que las aplicaciones

encuentren, usen y administren los recursos hardware y software del dominio. Al

planificar y diseñar su infraestructura de Active Directory se deben analizar las
medidas de seguridad que se le pueden aplicar. Dos cosas son especialmente

importantes al implementar estas pautas de configuración: Unidades organizativas

y políticas de dominio agrupadas por GPO.

Infraestructura de unidades organizativas

El principal objetivo del diseño de una unidad organizativa (OU) es crear una política

de grupo coherente en todos los servidores, lo que permite a los usuarios que

residen en el servicio de directorio responder y cumplir con los procedimientos y

estándares de seguridad de la organización. Según se especifica en STIC 570A

(2018):

«a) Nivel de Dominio. Para cumplir los requisitos comunes de

seguridad, tales como directivas de cuenta y de contraseñas que

deben ejecutarse en todos los servidores del dominio.

b) Nivel de Referencia. Para cumplir los requisitos de seguridad

específicos del servidor que son comunes a todos los servidores

miembros del dominio.

c) Nivel de Rol. Para cumplir los requisitos de seguridad de los roles

específicos del servidor. Por ejemplo, los requisitos de seguridad de

los servidores de infraestructura son distintos de los de los servidores
que ejecutan Internet Information Services (IIS)» (p. 18).

Seguridad en Sistemas, Aplicaciones y el Big Data 11
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Figura 1. Estructura de Unidades Organizativas. Fuente: adaptado de Centro Criptológico Nacional, 2018; Fran,
2010.

El diseño basado en OUs y directivas/políticas de grupo garantiza que los servidores

y máquinas de usuario de la empresa usen de forma coherente la configuración de

seguridad estándar. Además, tanto la estructura de OU como la aplicación de la

política de grupo deben posibilitar configuraciones de seguridad para servidores

concretos en la organización a través de un diseño detallado.

Primero se configuran OUs para los diferentes roles de servidor, estas están

anidadas dentro de las OUs correspondientes a los servidores miembro, sin

embargo, los controladores de dominio tienen sus propias OUs. Para ello, primero se
debe crear una política de grupo de referencia siendo necesario utilizar la

configuración base (modelo-plantilla) de seguridad de referencia «CCN-STIC-570A

Member Server.inf» y asociarlo a la política de seguridad, Group Policy Objects

(GPO), aplicada en la OU «Servidores Miembro». La política de grupo a la que se

hace referencia debe incluir la configuración necesaria para cada uno de los

servidores de la organización y debe ser lo más restrictiva en todos los parámetros

generales.

Los roles de servidor que deben diferir de esta política deben incluirse en unidades

Seguridad en Sistemas, Aplicaciones y el Big Data 12
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

organizativas de servidor específicas. Siguiendo con lo que se mostró anteriormente,

debe crearse otra política de grupo para acomodar gradualmente cada uno de los

diferentes roles de servidor que puedan existir en la empresa. Al asignar estos roles

desde la OU del servidor miembro a la unidad organizativa de tipo nivel, los cambios

son acumulativos, la gestión de la política de seguridad se simplifica y todos los

equipos miembros se aplican de forma coherente.

Se pueden seguir varios métodos a la hora de crear una estructura lógica de Active

Directory. Sin embargo, se recomienda adoptar este método, ya que será la base

utilizada en todos los tutoriales de la colección CCN-STIC 500. En la serie de guías

desarrolladas para diferentes productos todos los archivos de plantilla incrementales

deben aplicarse a OUs que sean de menor nivel que la de los servidores miembro.

Por lo tanto, como se vio en el ejemplo, a cada una de estas unidades organizativas

de nivel inferior se le debe aplicar el archivo CCN-STIC- 570A Member Server.inf y

un archivo incremental específico para definir el rol de cada unidad en la

organización. Los requisitos de seguridad para cada función/rol de servidor son

diferentes. De las muchas funciones/roles que puede tener el servidor, el DC es
fundamental ya que las cuentas de estos servidores no están en unidades

organizativas de menor nivel que el de las unidades organizativas del servidor

miembro. En su lugar, se ubicarán en el contenedor de controlador de dominio.

Por este motivo, se crea una política incremental específica para el DC, que

implementa el modelo CCN-STIC-570AControladorDomain.inf en el supuesto de una

red clasificada.

Directivas de cuenta

Las directivas de cuenta relacionadas a continuación se aplican a cada una de las

cuentas de usuarios, servicios y administradores pertenecientes a un dominio.

Directiva de contraseñas

Seguridad en Sistemas, Aplicaciones y el Big Data 13
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Una contraseña segura que se cambia con frecuencia reduce las posibilidades de un

ataque exitoso. La configuración de la política de contraseñas controla la solidez y

la vigencia de esta. Esta sección describe la configuración específica para la política

de contraseñas. Estas directrices también deben usarse para las contraseñas de

todas las cuentas de servicio de la organización. Las políticas de contraseña

definidas en la política de dominio afectan las cuentas de usuario en ese dominio

Active Directory. Estos parámetros se pueden encontrar en el complemento

Plantillas de seguridad en: a) Directiva de cuenta\Directiva de contraseñas.

La creación de requisitos estrictos de longitud y complejidad de la contraseña no

significa necesariamente que esta sea segura para los usuarios y administradores.

La habilitación de políticas de contraseñas permite a los usuarios del sistema cumplir

con los requisitos de complejidad técnica para estas definidas por el sistema, pero

los malos hábitos requieren políticas de seguridad adicionales. Por ejemplo,

«Cualquiera01» puede cumplir con los criterios de dificultad de la contraseña, pero

no es demasiado complicado de determinar.

Según el Centro Criptológico Nacional en STIC 570A (2018) cada organización debe
establecer pautas de seguridad para crear contraseñas adecuadas, como:

«a) Evitar el uso de palabras que figuren en un diccionario, palabras

con faltas de ortografía comunes o juegos de palabras y palabras

extranjeras.

b) Evitar utilizar contraseñas a las que se le añade un dígito

simplemente.

c) Evitar utilizar contraseñas que otros puedan adivinar fácilmente

viendo su escritorio o bien por ingeniería social (como los nombres de

sus mascotas, equipos deportivos y familiares).

d) Evitar pensar en las contraseñas como palabras propiamente

Seguridad en Sistemas, Aplicaciones y el Big Data 14
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

dichas, hay que pensar en códigos secretos.

e) Deben emplearse contraseñas que requieran escribir con ambas

manos en el teclado.

f) Deben usarse letras mayúsculas y minúsculas, números y

símbolos en todas las contraseñas.

g) Deben usarse espacios y caracteres que solo se pueden producir

utilizando la tecla "Alt"» (p. 21).

Adicionalmente a la política de contraseñas anterior, se puede requerir una gestión

centralizada de todos los usuarios. Para impedir que un usuario cambie su

contraseña, excepto cuando se le solicite, el usuario puede renovarlas dentro de los

intervalos mínimos y máximos de contraseñas. No obstante, para diseñar un entorno

altamente seguro solo necesita cambiarla si el sistema operativo le notifica después

de unos días, según lo determinado por el campo Duración Máxima de la contraseña.

También, se puede deshabilitar la opción Cambiar contraseña mediante las opciones

que aparecen cuando presionan las teclas CTR-ALT-SUPR. Es posible aplicar esta

configuración en un dominio completamente mediante la directiva de grupo o

editando el registro de cualquier usuario específicamente. Se describe también cómo

utilizar la función de Política de contraseña específica (FGPP) para configurar

diferentes políticas de contraseña según el tipo de usuario o función/rol.

Directiva de bloqueo de cuentas

La política de bloqueo de cuenta controla que, después de varios intentos fallidos de

autenticación durante un tiempo determinado, se bloquee la cuenta de un usuario. El

usuario no podrá volver a intentar iniciar sesión con una cuenta en estado bloqueada.
Para paliar este tipo de ataque se puede desactivar la cuenta después de varios

intentos de autenticación fallidos. Estas configuraciones de directivas de bloqueo

pueden evitar que los atacantes adivinen contraseñas y reducen las posibilidades de

Seguridad en Sistemas, Aplicaciones y el Big Data 15
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

ataques exitosos en el dominio. La directiva de bloqueo de cuenta se puede

encontrar en el archivo adjunto de la Plantilla de seguridad en la siguiente

ubicación: a) Directiva de cuenta\Directiva de bloqueo de cuenta.

El establecimiento de una política de bloqueo de cuenta restrictiva mejora la

seguridad del dominio, pero además puede aumentar la carga administrativa

relacionada con el desbloqueo de cuentas de usuario. Debe tenerse en cuenta que la
política de bloqueo de cuentas podría evitar que un atacante que conozca el nombre

de la cuenta realice múltiples inicios de sesión falsos y bloquee el acceso de usuarios

legítimos posibilitando ataques de denegación de servicio (DOS-DDOS).

Se debe considerar que la única cuenta que no tiene esta protección es la cuenta de

administrador. Deberá cambiar el nombre de esta cuenta para evitar ataques

maliciosos. Al igual que con las contraseñas, puede utilizar funciones específicas de

política de contraseñas (FGPP) para obtener un mayor control sobre el sistema de

bloqueo de su cuenta.

Directiva Kerberos

Las directivas relacionadas con el protocolo Kerberos son necesarias para autenticar

y autorizar a los usuarios en el dominio. Dichas políticas definen parámetros relativos

a la versión 5 del protocolo Kerberos, como la duración del ticket y su cumplimiento.

Las directivas del protocolo Kerberos no se configuran en las directivas locales. Al

reducir la validez de los tickets de Kerberos, se reduce la posibilidad de que un

atacante se haga con una contraseña y pueda suplantar una cuenta de usuario

legítima. Se recomienda no cambiar los valores predeterminados de estos criterios

aunque pueden ser más restrictivos. Estos parámetros se establecen en el

complemento Plantilla de seguridad en la siguiente ubicación: a) Directivas de

cuenta\Directiva Kerberos.

En el vídeo Protocolo Kerberos presentaremos el protocolo de autenticación

Seguridad en Sistemas, Aplicaciones y el Big Data 16
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Kerberos, que se utiliza normalmente en entornos de Windows Active Directory.

Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?

id=b3af7b11-c234-47ec-a88a-adbf00c7c56d

Directivas locales

Opciones de seguridad

Algunas directivas correspondientes a las opciones de seguridad también actúan
como políticas y directivas de cuenta y se deben considerar a nivel dominio para que

se apliquen y añadan protecciones adicionales a las cuentas del dominio.

Estos parámetros se configuran dentro del complemento Plantillas de Seguridad en

la siguiente ubicación: a) Directivas locales\Opciones de seguridad.

Las siguientes directivas requieren aclaraciones adicionales por su importancia:

▸ Acceso de red: traducción SID/nombre anónima. Al habilitar esta política en el DC,

los usuarios que conocen el atributo SID de administrador pueden iniciar sesión en
otros equipos que tengan esta política habilitada y usar ese SID conocido para

Seguridad en Sistemas, Aplicaciones y el Big Data 17
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

obtener el nombre de administrador. Ese atacante puede usar el nombre obtenido
para lanzar un ataque y averiguar la contraseña.

▸ Seguridad de red: relativo a la configuración, habilitación de los tipos de cifrado

permitidos para Kerberos.

Registro de eventos

Los eventos del sistema y de la aplicación se registran en el Registro de eventos. Los

registros de seguridad registran y archivan los eventos de auditoría. El contenedor

Registro de eventos del modelo-plantilla de seguridad define las propiedades

relacionadas con los registros de eventos del sistema, aplicaciones y seguridad,

como el tamaño del registro, la firma máxima, los derechos de usuario, el acceso a
cada registro, la configuración y los métodos de guardado, etc.

La configuración del registro de eventos relativos al sistema, seguridad y

aplicaciones se configura en la política básica para aplicarse a todos los miembros

del dominio. Luego, hay que crear políticas específicas para diferentes roles de

servidor dentro de cada unidad organizativa. El conjunto de parámetros relativos al

registro de eventos mediante el complemento Plantillas de seguridad residen en: a)

Registro de eventos.

Controlador de dominio y Servidor miembro

Los DC, junto con los servicios DNS, son clave para proporcionar funcionalidad a la

infraestructura de Active Directory. La seguridad de una organización depende en

gran medida de estos. Por lo tanto, se requiere establecer un alto nivel de seguridad

para estos roles. Esta sección contiene la configuración de seguridad requerida para

su DC. Un determinado dominio puede contener distintos servidores que actúan

como controladores de dominio. La mayor parte de las configuraciones de esta

sección debe crearse solo una vez, con independencia del número de controladores

de dominio que hubiese.

Seguridad en Sistemas, Aplicaciones y el Big Data 18
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Dada la importancia de los datos almacenados, los controladores de dominio siempre
deben almacenar esos datos en una ubicación físicamente segura a la que solo

puedan acceder los administradores calificados. La función de DC no debe

combinarse con otros servicios que una organización pueda proporcionar, a menos

que sea absolutamente necesario, como cuando la infraestructura tiene un solo

servidor. Asimismo, esta sección también describe los requisitos para los servidores

miembros que también requieren seguridad porque no son controladores de dominio

pero desempeñan un papel diferente dentro de la organización.

Plantilla de seguridad

Los criterios definidos anteriormente establecen parámetros comunes que deben

aplicarse en todo el dominio. Sin embargo, se recomienda que se establezca una

configuración específica en el nivel de función/rol de cada sistema. Esta sección

define configuraciones de seguridad adicionales para controladores de dominio y

servidores miembro que ejecutan Windows Server. Para los controladores de

dominio se debe definir un nuevo patrón incremental específico para que no cambie

el GPO predeterminado. Política de DC predeterminada proporcionada por Microsoft.

Sin embargo, el nuevo GPO tiene prioridad sobre el GPO establecido por Microsoft

como DC predeterminado, ya que consta de varios pasos.

Estas configuraciones asumen que el dominio está configurado como se describe en
la sección de Active Directory. El equipo servidor miembro especificado tiene un

GPO adicional, además del GPO aplicado al dominio, que le permite establecer la

seguridad en el equipo y el DC.

Directivas de cuenta

Las políticas de cuenta relacionadas con las cuentas de dominio ya están definidas a

nivel de dominio, por lo que no es requerido definir adicionalmente ninguna

configuración en este conjunto de políticas a menos que se requiera una

configuración adicional.

Seguridad en Sistemas, Aplicaciones y el Big Data 19
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Directivas locales

▸ Directivas de auditoría. Las políticas de auditoría definen los eventos de seguridad

que se generan para monitorizar y registrar la actividad de los usuarios o del
sistema. Los administradores pueden monitorear las actividades relacionadas con la
seguridad, como quién está accediendo al objeto, si el usuario está conectado o
desconectado de la computadora y si se han cambiado las configuraciones de
auditoría. Los valores de la política de auditoría se pueden encontrar en el archivo
adjunto de la plantilla de seguridad en: a) Directivas locales\Directiva de auditoría

▸ Asignación de privilegios de usuario. Es necesario gestionar con el Principio de

mínimos privilegios los permisos de cada usuario o grupo en función de la necesidad
que tengan de conocer de los recursos del dominio distribuidos en diferentes
servidores. Se otorgan permisos para realizar acciones específicas, como iniciar una
red o sesión local, y para tareas administrativas, como generar un nuevo token de
acceso. Los permisos de usuario se establecen en el complemento Plantillas de
seguridad en: a) Directivas locales\Asignación de derechos de usuario.

Algunos parámetros para configurar según la guía STIC 570A (2018) son:

«a) Denegar el acceso a este equipo desde la red.

b) Denegar el inicio de sesión a través de Servicios de Escritorio remoto.

c) Habilitar confianza con el equipo y las cuentas de usuario para delegación.

d) Tener acceso a este equipo desde la red» (p. 26).

Opciones de seguridad. Como indica STIC 570A (2018), permiten configurar entre

otros:

«a) Cuentas: Configuraciones adicionales a las directivas de cuenta.

b) Auditoría: Configuraciones adicionales a las directivas de auditoría.

Seguridad en Sistemas, Aplicaciones y el Big Data 20
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

c)DCOM: Configuraciones para el modelo de objetos de

componentes distribuidos. d) Dispositivos: Configuraciones para la

conexión y desconexión de dispositivos en el equipo, así como

acciones realizadas sobre los mismos.

e) Controlador de dominio: Configuraciones específicas para los

controladores de dominio.

f) Miembro de dominio: Configuraciones para equipos pertenecientes

a un dominio.

g) Inicio de sesión: Configuraciones para definir acciones sobre el
inicio de sesión en los equipos.

h) Cliente de red Microsoft: Configuraciones para establecer las

comunicaciones entre equipos clientes.

i) Servidor de red Microsoft: Configuraciones para establecer las

comunicaciones entre equipos servidores.

j) Acceso a la red: Configuraciones para definir acciones sobre los

accesos a la red.

k) Seguridad de red: Configuraciones sobre aspectos de protocolos

en red.

l) Consola de recuperación: Configuraciones para determinar

acciones a poder realizar sobre la consola de recuperación.

m) Apagar: Configuraciones para definir el apagado del equipo.

n) Criptografía: Configuraciones acerca de algoritmos a utilizar.

o) Objetos del sistema: Configuración para distinción de mayúsculas

Seguridad en Sistemas, Aplicaciones y el Big Data 21
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

y minúsculas, así como el refuerzo sobre los permisos de objetos de

Windows.

p) Configuración del sistema: Configuración para compatibilidades y

procesamiento de certificados.

q) Control de cuentas de usuario: Configuraciones para establecer el

comportamiento de la UAC.» (p. 27).

Como se mencionó anteriormente, es necesario definir una política de grupo que

tenga mayor nivel de prioridad sobre la política configurada de forma

predeterminada. Estas directivas deben ser siempre más restrictivas para no afectar

la seguridad establecida por la política predeterminada. Las opciones de seguridad

se definen en el complemento Plantilla de seguridad en: a) Directivas

locales\Opciones de seguridad.

Servicios del sistema

En Windows Server se encuentran disponibles servicios opcionales adicionales,

como el denominado «Servicio de certificados de Active Directory». Este servicio

no viene en la instalación predeterminada de Windows Server. Puede agregar

servicios a su sistema activando manualmente cualquier roles o característica que se

considere necesaria. Se puede usar la Consola de Administración del servidor o

cmdlets de PowerShell para automatizar. Todos los servicios o aplicaciones son

puntos potenciales de ataque.

Es importante que los servicios o ejecutables no deseados se desactiven o eliminen.

El modelo de seguridad asociado con estas directrices tiene esto en cuenta y

deshabilita así los servicios que no se consideran necesarios para el funcionamiento

normal. Si se necesita habilitar servicios deshabilitados a través del GPO, en este

tutorial en algunos DC o servidores miembro se debe cambiar el modelo incremental
de controladores de dominio o servidores miembro. Sin embargo, hay que evaluar el

Seguridad en Sistemas, Aplicaciones y el Big Data 22
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

impacto de habilitar un servicio y asegurarse de que estará siempre actualizado.

Tener en cuenta que Microsoft puede agregar nuevos servicios que deben

configurarse correctamente.

Este tutorial asume que los roles Active Directory y Servidor DNS están activos en el

servidor del DC, ya que este último generalmente está asociado con el primero. La

configuración del servicio del sistema se puede cambiar utilizando el complemento
Plantillas de seguridad en: a) Servicios del sistema.

Registro

El modelo-plantilla de seguridad posibilita aplicar permisos más restrictivos al

registro del servidor. Generalmente, la seguridad predeterminada del registro de

Windows Server es suficiente, incluso si se requieren cambios. Los permisos de

registro se pueden configurar mediante el complemento Plantillas de seguridad en la

siguiente ubicación: a) Registro.

Otras recomendaciones de seguridad

Algunas configuraciones adicionales no se pueden implementar en esta sección

utilizando los modelos de seguridad descritos. Algunos de ellos no se implementan

de acuerdo con las instrucciones del tutorial, pero se describen aquí en caso de que

el administrador decida ejecutarlos.

Firewall de Windows con seguridad avanzada

Windows Server incluye un firewall nativo que posibilita definir reglas de filtro para

permitir o denegar el tráfico de red hacia y desde el servidor. Esta función de firewall
se denomina «Firewall de Windows con seguridad avanzada» y se configura en la

consola de administración de Server Administrator mediante netsh (netsh advfirewall)

desde la línea de comandos. También se puede configurar mediante un objeto de

directiva de grupo (Configuración del equipo-Directivas-Configuración de Windows-

Configuración de seguridad-Firewall de Windows con seguridad avanzada). Una

Seguridad en Sistemas, Aplicaciones y el Big Data 23
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

descripción precisa de todas las opciones de configuración de seguridad avanzadas

está fuera del alcance de este documento.

Como se encuentra en el manual STIC 570A (2018), las reglas y políticas de

firewall se agrupan en tres perfiles, por lo que para cada conexión de red solo se

aplica la que coincide con uno de los perfiles en un momento dado:

«a) Dominio: Se aplica cuando el servidor tiene conectividad con un

controlador de dominio a través de esa interfaz de red.

b) Privado: Se aplica cuando el servidor no tiene conectividad con un

controlador de dominio y la red a la que está conectado ha sido

categorizada como privada por el administrador.

c) Público: Se aplica cuando el servidor no tiene conectividad con un

controlador de dominio y la red a la que está conectado no ha sido

categorizada por el administrador, o ha sido categorizada como red

pública» (p. 36).

Cada perfil define una política predeterminada que se colocará a los paquetes de red

que se apliquen al perfil si dichos paquetes no tienen reglas de filtrado específicas.

Se pueden especificar diferentes opciones para conexiones entrantes y salientes. Le

recomendamos que utilice la siguiente configuración para todos los perfiles

según indica STIC 570A (2018):

«a) Conexiones entrantes: Bloquear las conexiones entrantes que no coincidan con

una regla.

b) Conexiones salientes: Permitir las conexiones salientes que no coincidan con una

regla» (p. 35).

En esta configuración, debe permitir todas las conexiones de red al servidor y definir
reglas de filtrado para las conexiones entrantes dirigidas a los servicios que deben

Seguridad en Sistemas, Aplicaciones y el Big Data 24
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

ser realmente accesibles en la red. Por ejemplo, para permitir que los clientes

realicen consultas de DNS en el servidor las reglas de firewall deben permitir

conexiones entrantes directas al puerto 53 / UDP si el servidor desempeña esta

función.

Windows Server incluye un conjunto de reglas de forma predeterminada cuando se

instala sin una función o característica. La instalación real de la función o función

incluye la creación automática de las reglas necesarias para esta función o los

servicios de red proporcionados por estas funciones.

En general, estas reglas generadas automáticamente son muy seguras, pero debe

verificarlas y deshabilitar las innecesarias. Por ejemplo, si su servidor no tiene IPv6

habilitado, puede deshabilitar todas las reglas de firewall que permiten el tráfico IPv6.

Si no está utilizando DHCP, puede deshabilitar cualquier regla que permita el tráfico

DHCP. Las instrucciones paso a paso (CCNSTIC570A anexo A), que incluyen la

configuración del modelo-palantilla de seguridad, muestran la configuración

recomendada para el Firewall de Windows con seguridad mejorada para los

controladores de dominio y los servidores miembro en cada entorno.

Estas configuraciones de firewall recomendadas se incluyen como una directiva de

firewall (archivo con la extensión «.wfw») que puede importar a su computadora o a

un objeto GPO. Las instrucciones (CCNSTIC570A anexo A) cubren los pasos

necesarios para aplicarlas a través del GPO.

Desactivación de protocolos innecesarios

Con el objetivo de reducir aún más la superficie de ataque se deben deshabilitar
todos aquellos protocolos de red que no sean estrictamente necesarios.

Cuentas de servicio

No configurar un servicio para que se ejecute en el contexto de seguridad de

cualquier cuenta de dominio a menos que sea necesario de forma imprescindible. Si

Seguridad en Sistemas, Aplicaciones y el Big Data 25
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

su servidor está físicamente comprometido, puede obtener fácilmente la contraseña

de su cuenta de dominio obteniendo el secreto de la Autoridad de seguridad local

(LSA). Si necesita iniciar el servicio con una cuenta de dominio, le recomendamos
que utilice la cuenta de servicio administrada que se vio con anterioridad.

Seguridad Windows 10 cliente miembro de dominio

Para mejorar la seguridad de los clientes con sistema operativo Windows 10 en un

dominio se recomienda aplicar el anexo de la guía CCN-STIC-599A19 ENS

incrementa clientes categoría básica. Aplicada a las correspondientes OU que

albergan los clientes de la organización, se pueden configurar de forma específica

medidas relativas al control de acceso (identificación, requisitos de acceso,

mecanismos de autenticación, etc.), registro de la actividad de los usuarios,

asignación de derechos de usuario, opciones de seguridad de control de cuentas de

usuario, etc.

Seguridad en Sistemas, Aplicaciones y el Big Data 26
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.4. Analizadores de políticas base

El Security Compliance Toolkit (SCT), dice Montemayor (2021), «es un conjunto de

herramientas que permite a los administradores de seguridad empresarial descargar,

analizar, probar, editar y almacenar las líneas base de configuración de seguridad

recomendadas por Microsoft para Windows y otros productos de Microsoft. SCT

permite a los administradores administrar eficazmente los objetos de directiva de

grupo (GPO)».

Los administradores utilizan el kit de herramientas para comparar con los GPO

actuales de Microsoft u otras líneas base recomendadas, modificarlos, guardarlos en

el formato de archivo de copia de seguridad de GPO y aplicarlos juntos mediante

Active Directory o se pueden aplicar individualmente mediante directivas locales.

Policy Analyzer es una utilidad para analizar y comparar colecciones de objetos de

directiva de grupo (GPO). Sus principales características según Dansimp (2021),

son:

«-Resaltar cuando un conjunto de directivas de grupo tiene una

configuración redundante o incoherencias internas.

-Resaltar las diferencias entre las versiones o los conjuntos de

directivas de grupo.

-Comparar los GPO con la directiva local actual y la configuración del

registro local.

-Exportar los resultados a una hoja de cálculo de Microsoft Excel».

El analizador de políticas le permite tratar un conjunto de GPO como una sola

unidad. Esto facilita la determinación de si ciertos valores se repiten en el GPO o si

se definen como valores en conflicto. También puede utilizar el analizador de

Seguridad en Sistemas, Aplicaciones y el Big Data 27
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

políticas para capturar una línea de base y compararla con una instantánea que tome

más tarde para identificar cambios en cualquier parte del conjunto.

Seguridad en Sistemas, Aplicaciones y el Big Data 28
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.5. Herramientas de análisis de configuración de
seguridad

La herramienta Clara permite analizar las características técnicas de seguridad

identificadas por el Real Decreto 3/2010, que regula el régimen de seguridad

nacional para la gestión electrónica. El análisis de cumplimiento basado en

estándares se proporciona a través de los modelos de seguridad CCNSTIC 850A,

850B, 851B, 870A, 870B, 570A, 570B, 599A18, 599B18, 599A19, 599B19, 619 y

619B.

Hay que tener en cuenta que las áreas de aplicación de este tipo de modelos son tan
diferentes que la especificidad y funcionalidad de los servicios que ofrecen las

distintas organizaciones depende de su aplicación. Como resultado, se han creado

modelos y estándares de seguridad para definir principios generales de seguridad

para el cumplimiento de los valores mínimos establecidos en ENS.

Sin embargo, algunas organizaciones deben tener en cuenta que las plantillas

definidas pueden haber sido modificadas para adaptarse a sus necesidades

operativas.

Esta aplicación incluye CLARA ENS (versiones de 32 y 64 bits) para análisis

independientes en un entorno Microsoft Windows y CLARA ENS-LINUX para un

entorno Linux. La herramienta de escaneo de cumplimiento funciona solo en

sistemas Windows y Linux, independientemente de las versiones de cliente y

servidor, miembros de dominio o dominios.

En el vídeo Herramientas de seguridad Windows Server se verán varias de las

herramientas disponibles para analizar las políticas base y las configuraciones de

seguridad de un dominio Windows Active Directory.

Seguridad en Sistemas, Aplicaciones y el Big Data 29
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

Accede al vídeo:https://unir.cloud.panopto.eu/Panopto/Pages/Embed.aspx?

id=6f8ddfbe-fc53-460f-a27c-adbf00b24f7b

Seguridad en Sistemas, Aplicaciones y el Big Data 30
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 Ideas clave

1.6. Referencias bibliográficas

Centro Criptológico Nacional. (2018). Guía de Seguridad de las TIC. Implementación

de seguridad sobre microsoft windows server 2016 (controlador de dominio o

servidor miembro). Ministerio de defensa. https://www.ccn-
cert.cni.es/pdf/guias/series-ccn-stic/guias-de-acceso-publico-ccn-stic/3182-ccn-stic-

570a-ens-anexo-a/file.html

Centro Criptológico Nacional. (13 de enero de 2022). Clara. CCN-CERT.
https://www.ccn-cert.cni.es/soluciones-seguridad/clara.html

Dansimp. (25 de noviembre de 2021). Microsoft Security Compliance Toolkit 1.0:

Cómo usar. Docsmicrosoft. https://docs.microsoft.com/es-es/windows/security/threat-
protection/windows-security-configuration-framework/security-compliance-toolkit-10

Fran. (28 de junio de 2010). Diseño eficaz de unidades organizativas. Administrador

de redes. http://administrador-redes.blogspot.com/2010/06/diseno-eficaz-de-

unidades-organizativas.html

Montemayor, D. (4 de diciembre del 2021). Microsoft Security Compliance Toolkit 1.0

U s a g e. DocsMicrosoft. https://docs.microsoft.com/es-es/windows/security/threat-

protection/security-compliance-toolkit-10

Seguridad en Sistemas, Aplicaciones y el Big Data 31
Tema 1. Ideas clave
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Guías de seguridad de entornos Windows 500
CCN-CERT

Centro Criptológico Nacional (13 de enero de 2022). 500 guías de entornos

W i n d o w s. https://www.ccn-cert.cni.es/guias/guias-series-ccn-stic/500-guias-de-

entornos-windows.html

En este sitio web se pueden encontrar muy diversas guías de configuración de

seguridad para entornos Windows.

Seguridad en Sistemas, Aplicaciones y el Big Data 32
Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Configuraciones de seguridad de entornos
Windows NIST

National Institute of Standars and Technology. (2022). Checklist

R e p o s i t o r y. https://ncp.nist.gov/repository?

keyword=Microsoft+Windows&startIndex=0

En este sitio web se pueden encontrar muy diversas guías de configuración de

seguridad para entornos Windows.

Seguridad en Sistemas, Aplicaciones y el Big Data 33
Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Herramienta CLARA CCN CERT

Centro Criptológico Nacional (13 de enero de 2022). CLARA. https://www.ccn-
cert.cni.es/soluciones-seguridad/clara.html

Herramienta para analizar las características de seguridad técnicas definidas a través

del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad en

el ámbito de la Administración Electrónica. El análisis del cumplimiento está basado

en las normas proporcionadas a través de las plantillas de seguridad de las Guías

CCN-STIC 850A, 850B, 851B, 870A, 870B, 570A, 570B, 599A18, 599B18, 599A19,

599B19, 619 y 619B.

Seguridad en Sistemas, Aplicaciones y el Big Data 34
Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Security Compliance Toolkit de Microsoft 1.0

DulceMontemayor. (4 de diciembre de 2021). Microsoft Security Compliance Toolkit

1.0 Usage. DocsMicrosoft. https://docs.microsoft.com/es-es/windows/security/threat-

protection/security-compliance-toolkit-10

El Security Compliance Toolkit (SCT) es un conjunto de herramientas que permite a

los administradores de la seguridad empresarial descargar, analizar, probar, editar y

almacenar líneas base de configuración de seguridad recomendadas por Microsoft

para Windows y otros productos de Microsoft.

Seguridad en Sistemas, Aplicaciones y el Big Data 35
Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 A fondo

Directiva de seguridad Kerberos

Dansimp. (2 de noviembre de 2021). Directiva Kerberos.

D o c s M i c r o s o f t. https://docs.microsoft.com/es-es/windows/security/threat-

protection/security-policy-settings/kerberos-policy

Describe la configuración de la directiva Kerberos y proporciona vínculos a

descripciones de configuración de directiva. El protocolo de autenticación Kerberos

versión 5 proporciona el mecanismo predeterminado para los servicios de

autenticación y los datos de autorización necesarios para que un usuario obtenga

acceso a un recurso y realice una tarea en ese recurso.

Seguridad en Sistemas, Aplicaciones y el Big Data 36
Tema 1. A fondo
© Universidad Internacional de La Rioja (UNIR)
 Test

1. ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de

directivas de grupo en el nivel de Dominio?

A. Para cumplir los requisitos comunes de seguridad.

B. Para cumplir los requisitos de seguridad específicos del servidor.

C. Para cumplir los requisitos de seguridad de los roles específicos del

servidor.

D. Ninguna de las anteriores.

2. ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de

directivas de grupo en el nivel de referencia?

A. Para cumplir los requisitos comunes de seguridad.

B. Para cumplir los requisitos de seguridad específicos del servidor.

C. Para cumplir los requisitos de seguridad de los roles específicos del

servidor.

D. Ninguna de las anteriores.

3. ¿Para qué recibirá cada servidor las configuraciones de seguridad a través de

directivas de grupo en el nivel de Rol?

A. Para cumplir los requisitos comunes de seguridad.

B. Para cumplir los requisitos de seguridad específicos del servidor.

C. Para cumplir los requisitos de seguridad de los roles específicos del

servidor.

D. Ninguna de las anteriores.

Seguridad en Sistemas, Aplicaciones y el Big Data 37
Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

4. La protección avanzada contra amenazas de Windows Defender (ATP), es una

característica de qué Windows server.

A. 2019

B. 2016

C. 2022

D. Ninguna de las anteriores.

5. ¿En qué versión de Windows Server está introducida la novedad Virtual Secure

Mode?

A. 2019

B. 2016

C. 2022

D. Ninguna de las anteriores.

6. ¿En qué versión de Windows Server está introducida la novedad Secured-core

server?

A. 2019

B. 2016

C. 2022

D. Ninguna de las anteriores.

7. ¿A qué afectan las directivas de cuenta?

A. Solo a las cuentas de usuarios.

B. Solo a las cuentas de servicio.

C. Solo a los administradores.

D. Todas las anteriores son ciertas.

Seguridad en Sistemas, Aplicaciones y el Big Data 38
Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)
 Test

8. ¿Dónde se especifican los cifrados permitidos para Kerberos?

A. Directivas de cuenta\opciones de seguridad

B. Directivas locales\opciones de seguridad

C. Directivas de contraseñas\opciones de seguridad

D. Ninguna de las anteriores.

9. Para un controlador de dominio, ¿qué es la directiva de auditoría?

A. Directiva local.

B. Directiva de cuenta.

C. Directiva de registro.

D. Ninguna de las anteriores.

10. ¿Qué elemento permite delimitar reglas de filtrado para definir el tráfico de red

entrante y saliente del servidor que debe ser permitido o denegado?

A. Reverse proxy

B. Firewall

C. Opciones de seguridad

D. Todas las anteriores son ciertas.

Seguridad en Sistemas, Aplicaciones y el Big Data 39
Tema 1. Test
© Universidad Internacional de La Rioja (UNIR)