Seguridad de la red de Windows Small Business Server 2003
En esta página
Introducción
Este documento le servirá de ayuda para configurar de forma más segura la red de Microsoft® Windows® Small Business Server 2003. La realización de las tareas que se indican en este documento le permitirá proteger la disponibilidad, integridad y confidencialidad de la red local. Entre las tareas que contribuyen a garantizar la seguridad de la red se encuentran:
| • | Comprobación de la topología y la configuración de los servidores de seguridad |
| • | Configuración del enrutador local para el acceso seguro |
| • | Configuración de servicios de red, servidor de seguridad, Web y correo electrónico en el equipo con Windows Small Business Server 2003 |
| • | Actualización del software |
| • | Implementación de contraseñas seguras |
| • | Configuración del acceso remoto a la red local |
| • | Comprobación de que los usuarios disponen de los permisos necesarios |
| • | Cambio de nombre para la cuenta de administrador integrada |
| • | Seguridad del equipo con Windows Small Business Server 2003 |
| • | Implementación de una solución antivirus |
| • | Actualización de equipos cliente |
| • | Supervisión del equipo con Windows Small Business Server 2003 por motivos de seguridad |
Además de los métodos descritos en este documento para garantizar la seguridad de la red de Windows Small Business Server, se configuran de forma predeterminada un gran número de características de seguridad durante la instalación. Para obtener información sobre la configuración predeterminada que establece el programa de instalación de Windows Small Business Server 2003, consulte el Apéndice D de la guía Windows Small Business Server 2003 Getting Started Guide en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=20122.
IMPORTANTE: todas las instrucciones paso a paso incluidas en este documento se han elaborado utilizando el menú Inicio que aparece de forma predeterminada una vez instalado el sistema operativo. Si ha modificado dicho menú, puede que los pasos varíen un poco.
Antes de comenzar
En este documento se asume que ya ha completado la instalación de Windows Small Business Server 2003, que incluye la lista de tareas pendientes. Esta lista aparece al final de la instalación y se emplea para completar la configuración de Windows Small Business Server 2003. Si no ha realizado todas las tareas pendientes de la lista, este documento le ayudará a completar aquellas relacionadas con la seguridad del equipo con Windows Small Business Server 2003. En el caso de que las haya realizado todas, este documento le ayudará a comprobar que ha elegido las opciones que le permitirán garantizar la seguridad de la red.
Nota: para volver a la lista de tareas pendientes, haga clic en Inicio y seleccione Administración de servidores. En el árbol de consola, haga clic en Lista de tareas pendientes.
Comprobación de la topología y la configuración de los servidores de seguridad
Si utiliza una conexión a Internet de banda ancha (alta velocidad) para Windows Small Business Server 2003, la topología física (es decir, la distribución física de los dispositivos de la red) estará normalmente mejor protegida si dispone de un servidor de seguridad que le ayude a asegurar la red local. Los servidores de seguridad están diseñados para evitar el acceso no autorizado a la red local.
Identifique en los diagramas que se muestran a continuación, la topología de su red Windows Small Business Server 2003 y compruebe que la ubicación del servidor de seguridad es la adecuada a esta topología.
Nota: si dispone de una conexión telefónica a Internet, consulte la sección "Configuración de servicios de red, servidor de seguridad, Web y correo electrónico en el equipo con Windows Small Business Server 2003". En esta sección se describe la forma de habilitar el servidor de seguridad en un equipo que ejecuta Windows Small Business Server 2003.
Existen básicamente dos topologías de banda ancha:
| • | Una que utiliza el servidor de seguridad interno proporcionado por Windows Small Business Server 2003. Esta topología cuenta con dos adaptadores de red en el servidor. |
| • | Una que utiliza un servidor de seguridad externo. Esta topología tiene un enrutador y un adaptador de red en el servidor. |
Uso del servidor de seguridad interno proporcionado por Windows Small Business Server 2003
Para utilizar el servidor de seguridad que incluye Windows Small Business Server 2003 con una conexión de banda ancha, el equipo que ejecute Windows Small Business Server 2003 deberá utilizar dos adaptadores de red. En este caso, la topología se representa de la siguiente forma:
Si utiliza el servidor de seguridad interno que proporciona Windows Small Business Server 2003 para proteger la red local frente a un acceso a Internet no autorizado, pero la topología no coincide con la mostrada en el diagrama, deberá corregir la configuración. De lo contrario, el servidor de seguridad interno de Windows Small Business Server 2003 no protegerá la red local.
Requisitos
| • | El equipo con Windows Small Business Server 2003 debe utilizar dos adaptadores de red. Uno de ellos se conecta a la red local y el otro a Internet mediante un dispositivo de conexión a Internet. Si no dispone de dos adaptadores de red, deberá utilizar un servidor de seguridad externo tal como se describe en la siguiente sección, o bien, instalar un segundo adaptador de red. Nota: aunque disponga de una conexión de banda ancha y dos adaptadores de red en el equipo con Windows Small Business Server 2003, puede seguir utilizando un servidor de seguridad externo. En ese caso, podrá utilizar el servidor de seguridad de Windows Small Business Server 2003, el del enrutador o ambos. Si utiliza los dos servidores de seguridad, asegúrese de que ha configurado el enrutador de la forma en que se describe en la sección "Configuración del enrutador local para el acceso seguro". |
| • | Debe iniciar sesión en el equipo con Windows Small Business Server 2003 como miembro del grupo de seguridad Admins. del dominio. |
| • | Este procedimiento asume que ya ha establecido una conexión a Internet mediante el Asistente para configurar correo electrónico y conexión a Internet. Si no ha ejecutado el asistente, deberá hacerlo y completar las instrucciones de éste. Cuando llegue a la página para elegir el tipo de conexión de banda ancha, consulte el paso 5 del siguiente procedimiento para obtener más información sobre la forma de completar esta página. Si necesita ayuda para completar el asistente, haga clic en Más información en la página del asistente. |
| • | Para ejecutar el Asistente para configurar correo electrónico y conexión a Internet
|
Uso de un servidor de seguridad externo
Si sólo dispone de un único adaptador de red en el equipo con Windows Small Business Server 2003, la topología se representa de la siguiente forma:
Si utiliza un servidor de seguridad externo (que podría ser también el mismo dispositivo que el enrutador local) para proteger la red local del acceso no autorizado a Internet y el equipo con Windows Small Business Server 2003 dispone de un adaptador de red, la topología debería ser similar a la que se muestra en el diagrama; de lo contrario, deberá corregir la configuración. Si la configuración de la topología de red no es correcta, puede que el servidor de seguridad externo no proteja la red local.
Requisitos
| • | El equipo con Windows Small Business Server 2003 utiliza un adaptador de red para conectarse tanto a Internet como a la red local. Si en lugar de eso, utiliza dos adaptadores de red y se cuenta con un servidor de seguridad externo, lo más probable es que la topología se asemeje a la descrita en la sección anterior. |
| • | Para proteger la red local del acceso no autorizado a Internet, el dispositivo de conexión a Internet debe proporcionar un servicio de servidor de seguridad, o bien, es necesario agregar un servidor de seguridad externo. En esta topología, no se puede utilizar el servidor de seguridad del equipo con Windows Small Business Server 2003, ya que éste no es la puerta de enlace entre Internet y los equipos cliente. Si desea utilizar dicho servidor de seguridad, deberá instalar un segundo adaptador de red en el equipo con Windows Small Business Server 2003 y seguir la topología descrita en la sección anterior. |
| • | Debe configurar un servidor de seguridad externo en la red local con los parámetros necesarios para la red de Windows Small Business Server. Para obtener más información, consulte la sección "Configuración de servicios de red, servidor de seguridad, Web y correo electrónico en el equipo con Windows Small Business Server 2003". Si desea cambiar la topología de la red, siga el procedimiento "Para ejecutar el Asistente para configurar correo y conexión a Internet" a fin de actualizar la configuración. |
Configuración del enrutador local para el acceso seguro
Si utiliza un enrutador local para conectarse a Internet y el dispositivo proporciona capacidades de servidores de seguridad o redes inalámbricas (o ambos), asegurarse de que el dispositivo está configurado correctamente puede ayudar a garantizar la seguridad de la red local. Se recomienda que se sigan estos pasos:
| • | Asegurar el punto de acceso inalámbrico en el enrutador |
| • | Comprobar la configuración del servidor de seguridad en el enrutador |
Asegurar el punto de acceso inalámbrico en el enrutador
Si el enrutador proporciona un punto de acceso a redes inalámbrico (también denominado estación base) y no dispone de dispositivos inalámbricos en la red, la deshabilitación de este punto puede contribuir a reducir el acceso no autorizado a la red local. En el caso de que disponga de dispositivos inalámbricos en la red, se recomienda que configure el punto de acceso para que sea seguro. De este modo, evitará que un usuario no autorizado pueda obtener acceso a la red local conectándose a su punto de acceso inalámbrico.
| • | Para deshabilitar el punto de acceso inalámbrico en el enrutador
|
| • | Para ayudar a asegurar el punto de acceso inalámbrico en el enrutador
|
Comprobar la configuración del servidor de seguridad en el enrutador
Permitir que el tráfico de red pase a través de los números de puerto definidos en el servidor de seguridad a fin de que tengan acceso únicamente a servicios conocidos en el equipo con Windows Small Business Server puede ayudarle a proteger la red. Estos puertos se configuran automáticamente en el equipo que ejecuta Windows Small Business Server 2003 cuando se completa la tarea Conectarse a Internet en la lista de tareas pendientes (esta tarea abre el Asistente para configurar correo electrónico y conexión a Internet).
Nota: puede que en la documentación de algunos fabricantes de enrutadores se haga referencia a la apertura de un número de puerto como reenvío de puerto.
Requisitos
| • | Acceso a la característica de administración del enrutador (generalmente una página Web desde la que se administra el enrutador). Para obtener información sobre el acceso a la característica de administración, consulte la documentación del fabricante del enrutador. |
| • | Si no completó la tarea Conectarse a Internet en la lista de tareas pendientes (esta tarea abre el Asistente para configurar correo electrónico y conexión a Internet), se recomienda que lo haga antes de realizar el siguiente procedimiento. Para obtener más información sobre la ejecución del asistente, consulte la sección "Configuración de servicios de red, servidor de seguridad, Web y correo electrónico en el equipo con Windows Small Business Server 2003". |
| • | Para comprobar la configuración del servidor de seguridad en el enrutador
|
Nota: para obtener información sobre cada uno de los servicios enumerados en esta tabla, consulte los apéndices de la guía Windows Small Business Server 2003 Getting Started Guide en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=20122.
Configuración de servicios de red, servidor de seguridad, Web y correo electrónico en el equipo con Windows Small Business Server 2003
El uso del Asistente para configurar correo electrónico y conexión a Internet puede ayudarle a configurar correctamente los parámetros de los servicios de red, servidor de seguridad, sitio Web seguro y correo electrónico que se utilizan después de que el equipo con Windows Small Business Server 2003 se conecta a Internet (en la lista de tareas pendientes, esta tarea se denomina Conectarse a Internet). El asistente configura automáticamente estos servicios; no obstante, debe realizar lo siguiente:
| • | Comprobar la configuración del servidor de seguridad para asegurarse de que sólo se permiten los servicios necesarios a través este servidor. |
| • | Comprobar que se ha habilitado la eliminación de archivos adjuntos del correo electrónico. |
Comprobar la configuración del servidor de seguridad
Puede utilizar el asistente para que le ayude a configurar correctamente el servidor de seguridad en el equipo con Windows Small Business Server 2003. En la edición estándar de este programa, el asistente configura el servicio de servidor de seguridad básico en el servicio Enrutamiento y acceso remoto. En la edición Premium de Windows Small Business Server 2003, se configura el servidor Microsoft Internet Security and Acceleration (ISA).
Al habilitar el servidor de seguridad, se recomienda que permita únicamente los servicios que necesite el servidor para tener acceso a Internet o que precisen los usuarios para terminar su trabajo. Por ejemplo, si los usuarios utilizan Lugar de trabajo remoto en Web para conectarse a la red local desde Internet, debería considerar si necesita también habilitar el servicio de red privada virtual (VPN).
Asimismo, si permite acceso al sitio Web de la organización (wwwroot) o al sitio Web en general, los sitios Web podrían enumerarse por sitios Web de búsqueda, como Google. Por ejemplo, un sitio Web de búsqueda podría mostrar Lugar de trabajo remoto en Web. Para evitar esto, consulte Windows Small Business Server 2003 Troubleshooting en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=18144.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para revisar y eliminar servicios permitidos a través del servidor de seguridad del servidor
|
Comprobar que se ha habilitado la eliminación de archivos adjuntos del correo electrónico
Si tiene instalado Exchange Server en el equipo con Windows Small Business Server 2003, se recomienda que ejecute el asistente que le permitirá configurar correctamente el servidor para enviar y recibir correo electrónico a través de Internet. Al habilitar el correo electrónico en Internet, se selecciona de forma predeterminada la opción para quitar tipos específicos de archivos adjuntos del correo electrónico entrante. Esta opción ayuda a impedir la propagación de virus o programas malintencionados en la red local.
Si al completar la tarea Conectarse a Internet en la lista de tareas pendientes, seleccionó no quitar los archivos adjuntos del correo electrónico, se recomienda que ejecute de nuevo el asistente para modificar esta opción.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para habilitar la eliminación de archivos adjuntos del correo electrónico
|
Actualización del software
Una forma de ayudar a mantener el entorno informático seguro consiste en instalar inmediatamente las actualizaciones de software, conocidas también como correcciones, revisiones de seguridad, Service Packs y paquetes de resúmenes de seguridad. Las actualizaciones de software corrigen los puntos vulnerables del mismo o introducen características de seguridad adicionales. Se recomienda instalar actualizaciones en cuanto se encuentren disponibles. Los siguientes métodos le ayudarán a mantener actualizado el software:
| • | Instalar servicios de actualización de software. |
| • | Comprobar actualizaciones de las aplicaciones del servidor. |
| • | Comprobar actualizaciones de Microsoft Office. |
| • | Comprobar actualizaciones de las demás aplicaciones. |
Instalar servicios de actualización de software
Microsoft Software Update Services (SUS) se puede utilizar para actualizar equipos que ejecuten Windows XP Professional, Windows 2000 Professional, Windows 2000 Server o Windows Server™ 2003. SUS le ayuda a recopilar, aprobar y distribuir actualizaciones esenciales del sistema operativo para solucionar puntos vulnerables en la seguridad y problemas de estabilidad.
Para instalar y configurar SUS en la red Windows Small Business Server, consulte "Actualización de una red Windows Small Business Server 2003 mediante Software Update Services Server 1.0" en el Kit de orientaciones sobre seguridad.
Si en la red dispone de sistemas operativos que no son Windows XP Professional, Windows 2000 Professional, Windows 2000 Server, o Windows Server 2003, SUS no los actualizará automáticamente. Los usuarios de Windows XP Home Edition deberán configurar el equipo para las actualizaciones automáticas con el procedimiento que se describe a continuación. Los usuarios con Windows 95, Windows 98, Windows Millennium Edition o Windows NT® Workstation 4.0 deben consultar el sitio de Windows Update para comprobar periódicamente las actualizaciones que necesitan instalar. Para obtener más información sobre Windows Update, consulte el sitio Web de Microsoft http://go.microsoft.com/fwlink/?LinkId=22655.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para configurar actualizaciones automáticas para Windows XP Home Edition
|
Comprobar actualizaciones de las aplicaciones del servidor
La comprobación de las actualizaciones de cualquiera de las aplicaciones que utilice en el equipo con Windows Small Business Server 2003 contribuye a garantizar que cuenta con las correcciones, revisiones de seguridad, Service Packs y paquetes de resúmenes de seguridad más recientes. Por ejemplo, debería comprobar las actualizaciones de Exchange Server 2003. Asimismo, si dispone de la edición Premium, debería comprobar las actualizaciones para ISA Server y SQL Server™ 2000.
| • | Para comprobar actualizaciones de Exchange Server 2003, consulte el sitio Web de Microsoft en http://www.microsoft.com/spain/servidores/exchange/areadescarga/default.asp. |
| • | Para comprobar actualizaciones del servidor ISA, consulte el sitio Web de Microsoft http://www.microsoft.com/spain/servidores/isaserver/default.asp. Nota: la versión del servidor ISA 2000 incluida con Windows Small Business Server 2003 Premium Edition incluye el Service Pack 1 del servidor ISA 2000 y las revisiones 177, 255, 256, 257, 265 y 277. |
| • | Para comprobar actualizaciones de SQL Server 2000, consulte el sitio Web de Microsoft en http://www.microsoft.com/spain/servidores/sql/downloads/default.asp. |
| • | Para comprobar las actualizaciones de todos los productos de Microsoft, consulte el Centro de descarga de Microsoft en el sitio Web de Microsoft en http://www.microsoft.com/downloads/search.aspx?langid=18&displaylang=es. |
Comprobar actualizaciones de Microsoft Office
Los archivos que crean algunas aplicaciones de Microsoft Office podrían utilizarse para transmitir virus y otros programas malintencionados. Si desea evitar esto, mantenga las aplicaciones de Office actualizadas en los equipos clientes; para ello realice lo siguiente:
| • | Para obtener más información sobre la comprobación automática del sistema por parte de Office Update, consulte el sitio Web de Microsoft http://search.microsoft.com/search/search.aspx?st=b&View=es-es. La descarga de la actualización de seguridad del correo electrónico de Outlook puede ayudar a mantener el equipo libre de los virus que viajan en archivos adjuntos ejecutables o de alto riesgo, así como de ataques de gusanos que se replican a través de Outlook. Nota: para descargar actualizaciones individuales desde el Centro de descarga de Office, consulte el sitio Web de Microsoft http://go.microsoft.com/fwlink/?LinkId=17163. |
| • | Para recibir notificaciones cuando salgan nuevas actualizaciones, puede suscribirse a Inside Office Newsletter en el sitio Web de Microsoft en https://register.microsoft.com/regsys/ValueProp.asp?FU=https%3A%2F%2Fregister%2Emicrosoft%2Ecom%2Fregsys%2Fregsys%2Easp%3Fwizid%253D6395%2526lcid%253D1034&LCID=1034&WizID=6395&sl=10. |
Comprobar actualizaciones de las demás aplicaciones
Si ejecuta otro software, compruebe el sitio Web del fabricante para ver si admite actualizaciones automáticas de la aplicación que le permitan mantener los equipos de la red local seguros y confiables. Si el software no admite actualizaciones automáticas, consulte periódicamente el sitio Web del fabricante para comprobar si hay actualizaciones que aseguren que dispone de las correcciones, revisiones de seguridad, Service Packs y paquetes de resúmenes de seguridad más recientes.
Implementación de contraseñas seguras
El uso de contraseñas seguras proporciona una capa de protección adicional frente al acceso a la red de usuarios no autorizados. Para implementar contraseñas seguras, debe realizar los siguientes pasos:
| • | Habilitar directivas de contraseña. |
| • | Educar a los usuarios. |
Habilitar directivas de contraseña
La habilitación de directivas de contraseñas que hagan obligatorio el uso de contraseñas seguras constituye un paso esencial para ayudarle a garantizar la seguridad de la red. Si ejecuta el Asistente para configurar correo electrónico y conexión a Internet para establecer la conexión a Internet, se le solicitará al final del asistente que habilite las directivas de contraseñas. Si no está seguro de haber habilitado las directivas de contraseñas al ejecutar el asistente, la realización del siguiente procedimiento para habilitar las directivas de contraseñas le ayudará a limitar el acceso no autorizado a la red local.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para habilitar directivas de contraseñas
|
Educar a los usuarios
Después de implementar directivas de contraseñas seguras, deberá educar a los usuarios con respecto a las contraseñas seguras y no seguras. Solicite a los usuarios que consideren su contraseña como lo harían con información personal, como el número PIN de una tarjeta de crédito. A continuación se muestran instrucciones típicas que, si se siguen, garantizan una contraseña segura así como una mayor protección para la red local.
Las contraseñas no deben incluir nada de la siguiente información:
| • | El nombre del usuario ni el alias del correo electrónico |
| • | El nombre de los hijos, padres, cónyuges o amigos |
| • | Cualquier palabra que se encuentre en un diccionario |
| • | Una contraseña anterior que se reutilice agregándole números |
| • | Una fecha de cumpleaños |
| • | Un número de teléfono |
| • | Un número de la seguridad social u otro número de identificación |
| • | Cualquier tipo de información personal que se pueda conseguir fácilmente |
Las contraseñas seguras:
| • | No contienen el nombre completo de cuenta del usuario ni parte del mismo. | ||||||||
| • | Incluyen al menos seis caracteres. | ||||||||
| • | Contienen caracteres de tres de las siguientes cuatro categorías:
|
Para obtener más información sobre las directivas de contraseñas, consulte "Contraseñas seguras" en el Kit de orientaciones sobre seguridad.
Configuración del acceso remoto a la red local
Puede utilizar con eficacia el Lugar de trabajo remoto en Web para tener acceso remoto a la red local de Windows Small Business Server. También puede utilizar una conexión a una red privada virtual (VPN). Sin embargo, el uso del Lugar de trabajo remoto en Web constituye un método más fácil que la conexión a VPN cuando se permite que los usuarios autorizados tengan acceso a la red local.
Con cualquiera de las opciones, indique a los usuarios que deberán siempre cerrar la sesión cuando hayan terminado. De este modo, evitará que los usuarios no autorizados tengan acceso a la red.
Puede ayudar a configurar de forma segura el acceso remoto para Windows Small Business Server 2003 con una o las dos opciones siguientes:
| • | Utilizar el Lugar de trabajo remoto en Web. |
| • | Utilizar el Asistente para acceso remoto. |
Utilizar el Lugar de trabajo remoto en Web
El lugar de trabajo remoto en Web permite a los usuarios tener acceso a importantes características de Windows Small Business Server 2003 cuando no se encuentran en la propia oficina. Cuando utilizan este servicio, pueden comprobar el correo electrónico y las agendas, conectarse a sus equipos del trabajo a través del Escritorio remoto, utilizar aplicaciones compartidas, obtener acceso al sitio Web interno de la empresa, ver informes de rendimiento o conectarse a un equipo de la red de Windows Small Business Server descargando Connection Manager.
Si los usuarios no necesitan tener acceso remoto a la red local, la deshabilitación del acceso al Lugar de trabajo remoto en Web le ayudará a limitar las posibilidades de acceso no autorizado a la red. Para deshabilitar este servicio, siga el procedimiento "Para revisar y eliminar servicios permitidos a través del servidor de seguridad del servidor".
Nota: para conectarse a un escritorio remoto en la red local a través del Lugar de trabajo remoto en Web, el equipo remoto debe ejecutar Windows 2000 Server o Windows XP Professional. Los equipos remotos con otro sistema operativo deben utilizar una conexión a VPN o de acceso telefónico según se describe en la sección "Utilizar el Asistente para acceso remoto".
Utilizar el Asistente para acceso remoto
Con el Asistente para acceso remoto, puede habilitar el acceso telefónico, mediante redes virtuales privadas (VPN), o ambos. El acceso mediante VPN permite que los equipos cliente se conecten de forma segura a la red local a través de Internet. Los usuarios se conectan primero al proveedor de servicios de Internet (ISP) local y, a continuación, se conectan de forma segura a la red local mediante protocolos especiales basados en TCP/IP, denominados protocolos de túnel. El acceso telefónico permite a los equipos remotos conectarse a través de una línea telefónica a un módem del equipo con Windows Small Business Server 2003.
Si los usuarios no requieren acceso telefónico ni mediante VPN, deberá deshabilitar el acceso.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para deshabilitar el acceso telefónico, mediante VPN o ambos
|
Comprobación de que los usuarios disponen de los permisos necesarios
Puede aumentar la seguridad de la red si se asegura de que los usuarios sólo tengan los permisos que necesitan para realizar su trabajo y limita el uso de cuentas con derechos y permisos administrativos. Para comprobar que los usuarios sólo tienen los permisos necesarios, realice lo siguiente:
| • | Utilizar la plantilla correcta de Windows Small Business Server. |
| • | No utilizar las cuentas de administrador o usuario avanzado para el trabajo diario. |
| • | Asignar permisos para los recursos compartidos. |
Utilizar la plantilla correcta de Windows Small Business Server
Windows Small Business Server 2003 viene acompañado de plantillas predefinidas que están diseñadas para otorgar a los usuarios sólo el nivel de acceso que necesitan. Por ejemplo, las cuentas de usuario basadas en la plantilla de usuario no tienen acceso remoto a la red local mediante la conexión a través de redes privadas virtuales, pero aquellas cuentas de usuario basadas en la plantilla de usuario móvil sí lo tienen. Las cuatro plantillas son las siguientes:
Nombres y descripciones de las plantillas
| Nombre de plantilla | Descripción |
User | Las cuentas basadas en esta plantilla tienen acceso a carpetas compartidas, impresoras y faxes, correo electrónico e Internet. Las cuentas asignadas a esta plantilla pueden tener acceso a la red local desde una ubicación remota mediante el Lugar de trabajo remoto en Web. Además, las cuentas de usuario asignadas con esta plantilla pueden abrir una conexión a Escritorio remoto en un equipo que ejecute Windows XP Professional pero no a uno con Windows Small Business Server 2003. |
Mobile User | Las cuentas basadas en esta plantilla tienen todos los permisos de la plantilla de usuario y pueden tener acceso también a la red local desde una ubicación remota mediante el Lugar de trabajo remoto en Web o una conexión de acceso remoto. |
Power User | Las cuentas basadas en esta plantilla tienen todos los permisos de la plantilla de usuarios móviles y pueden realizar tareas de administración asignadas. El usuario avanzado puede iniciar sesión de forma remota a un equipo con Windows Small Business Server 2003, pero no puede iniciar sesión localmente. |
Administrator | Las cuentas basadas en esta plantilla tienen acceso sin restricciones al sistema en la red de Windows Small Business Server. |
La tarea de revisar la plantilla asignada actualmente a cada usuario y asegurarse de que éstos sólo tengan el nivel de acceso mínimo que precisan para realizar sus actividades diarias ayuda a reducir las probabilidades de que eliminen de inadvertidamente archivos importantes o tengan acceso sin darse cuenta a la cuenta de administrador. Además, si permite el acceso al Lugar de trabajo remoto en Web desde Internet y no desea que un usuario tenga acceso a la red local desde Internet, debe deshabilitar el acceso al Lugar de trabajo remoto en Web para la cuenta de dicho usuario.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para revisar la plantilla asignada a cada usuario
|
| • | Para deshabilitar el acceso del usuario al Lugar de trabajo remoto en Web
|
| • | Para cambiar los permisos de una cuenta de usuario
|
No utilizar las cuentas de administrador o usuario avanzado para el trabajo diario
Debido a que las cuentas de usuario basadas en las plantillas de administrador y usuario avanzado disponen de muchos más privilegios, se recomienda basar las cuentas de usuario en plantillas de usuario con menos privilegios. El uso de las plantillas de administrador o de usuario avanzado cuando el usuario no necesita privilegios de mayor acceso aumenta las probabilidades de que se elimine inadvertidamente un archivo importante o se tenga acceso sin darse cuenta a una cuenta con permisos administrativos o de usuario avanzado.
Por ejemplo, si un usuario de la red desea permisos administrativos o de usuario avanzado pero no los necesita para las tareas diarias, se le puede asignar dos cuentas. La primera sería una cuenta de usuario típica para las tareas diarias, basada en la plantilla de usuario. La segunda cuenta estaría basada en la plantilla de administrador, que proporciona al usuario acceso sin restricciones al dominio, o bien en la plantilla de usuario avanzado, que proporciona al usuario la capacidad de conectarse de forma remota al servidor y realizar tareas de administración designadas. Debe dar instrucciones al usuario para que sólo utilice la cuenta con permisos de administrador o de usuario avanzado cuando tenga que realizar tareas específicas.
Debido a que la cuenta de administrador es muy conocida y dispone de muchos privilegios y la cuenta de usuario avanzado permite al usuario tener acceso al servidor para las tareas de administración, si los usuarios siguen los siguientes procedimientos, se podrá limitar el acceso no autorizado a la red y el uso incorrecto de privilegios de acceso:
| • | Utilizar contraseñas seguras en todo momento. |
| • | Iniciar sesión con la cuenta de usuario para realizar las tareas diarias, no con la de administrador o de usuario avanzado. |
| • | No dejar nunca un equipo desatendido con el que ha iniciado sesión en una cuenta de administrador o de usuario avanzado. |
| • | No desvelar a los demás la contraseña de una cuenta de administrador o de usuario avanzado. |
| • | No dejar nunca un registro escrito de la contraseña de una cuenta de administrador o usuario avanzado cerca del equipo. |
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para crear una cuenta de usuario para tareas diarias
|
Nota: si el usuario ha estado utilizando la cuenta administrativa durante un período de tiempo, puede que resulte más sencillo para el usuario si restringe los permisos de la cuenta administrativa existente (consulte el procedimiento "Para cambiar los permisos de una cuenta de usuario") y sigue el procedimiento anterior para agregar una nueva cuenta administrativa.
Asignar permisos para los recursos compartidos
Al realizar la asignación de los usuarios o grupos de usuarios que pueden tener acceso a la información compartida desde el equipo con Windows Small Business Server 2003, puede ayudar a impedir que un usuario no autorizado tenga acceso a los datos de la empresa. De forma predeterminada, a cualquier recurso compartido creado durante la instalación de Windows Small Business Server 2003 se le asigna permisos para asegurar el uso compartido. Si ha creado recursos compartidos adicionales en el servidor, asegúrese de que éstos sólo tienen los permisos necesarios. De este modo le permitirá limitar los permisos de acceso únicamente a aquellos que los necesitan.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para determinar la lista de recursos compartidos en el servidor
|
| • | Para revisar y asignar permisos a recursos compartidos que no son los predeterminados
|
Cambio de nombre para la cuenta de administrador integrada
El cambio de nombre de la cuenta de administrador integrada en todos los equipos de la red de Windows Small Business Server o al menos en el equipo que ejecuta Windows Small Business Server 2003 es una práctica estándar de seguridad que permite limitar el acceso no autorizado a la red. La cuenta de administrador integrada es una cuenta muy conocida y con muchos privilegios. Los usuarios malintencionados suelen intentar iniciar sesión en los equipos adivinando la contraseña de la cuenta de administrador. Puesto que la cuenta es necesaria para llevar a cabo numerosas funciones, no se puede bloquear. Sin embargo, si cambia el nombre de esta cuenta, puede dificultar la tarea de descubrir la contraseña a los usuarios no autorizados que intenten obtener acceso a la red. Asimismo, se recomienda el uso de una contraseña segura para la cuenta de administrador como precaución adicional en el caso de que un atacante pueda averiguar el nombre de la nueva contraseña. Para obtener más información sobre las contraseñas seguras, consulte la sección "Implementación de contraseñas seguras".
Nota: después de cambiar el nombre de la cuenta de administrador integrada en el equipo con Windows Small Business Server 2003, es muy importante que cierre la sesión en el servidor y la vuelva a iniciar con la cuenta del nombre modificado. De lo contrario, puede que se le deniegue el acceso a los recursos o que no pueda utilizar correctamente algunas de las herramientas de Windows Small Business Server.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para cambiar el nombre de la cuenta de administrador en el equipo con Windows Small Business Server 2003
|
| • | Para cambiar el nombre de la cuenta de administrador local en un equipo cliente
|
Nota: si dispone de varios equipos cliente, puede que resulte más eficaz utilizar la consola de administración de directiva de grupo (GPMC) para cambiar automáticamente el nombre de todas las cuentas de administrador de la red (incluido el servidor). Para obtener instrucciones detalladas sobre este método, en el equipo con Windows Small Business Server 2003, haga clic en Inicio, seleccione Ayuda y soporte técnico y busque "cambiar el nombre de la cuenta de administrador con la consola de administración de directiva de grupo".
Seguridad del equipo con Windows Small Business Server 2003
Los siguientes métodos le permitirán garantizar la seguridad del equipo con Windows Small Business Server 2003:
| • | Asegurar físicamente el equipo con Windows Small Business Server 2003 frente a ataques en el sitio. |
| • | No utilizar el equipo con Windows Small Business Server 2003 como estación de trabajo. |
| • | No instalar software innecesario en el equipo con Windows Small Business Server 2003. |
| • | Configurar la copia de seguridad. |
Asegurar físicamente el equipo con Windows Small Business Server 2003 frente a ataques en el sitio
Todas las redes son vulnerables a ataques en el sitio, lo que incluye, sin limitarse a: reiniciar el equipo con Windows Small Business Server 2003 desde un disquete y reformatear el disco duro; abrir la carcasa del equipo y sustituir los chips del sistema de entrada/salida básico (BIOS); quitar el disco duro del equipo con Windows Small Business Server 2003 y leer la información de éste o reemplazar teclados por aquellos que puedan ayudar a supervisar todo lo que se escribe, incluidas las contraseñas. Asegurar físicamente el equipo con Windows Small Business Server 2003 puede ayudar a restringir estos ataques en el sitio.
| • | Para ayudar a asegurar físicamente el equipo con Windows Small Business Server 2003
|
No utilizar el equipo con Windows Small Business Server 2003 como estación de trabajo
Se recomienda que no utilice el equipo con Windows Small Business Server 2003 como estación de trabajo, ya que esto aumenta el área de superficie para posibles ataques y afecta al rendimiento de la red. El área de superficie de los ataques aumenta debido a que necesita instalar aplicaciones cliente en el servidor. Si se produce algún problema relacionado con la seguridad para cualquier aplicación cliente, el servidor quedará vulnerable al ataque hasta que se instale una revisión de seguridad. Asimismo, si un usuario o administrador inicia sesión en el servidor, aumentan las probabilidades de que el usuario borre sin darse cuenta información fundamental o una aplicación.
No instalar software innecesario en el equipo con Windows Small Business Server 2003
Considere la posibilidad de instalar en el equipo con Windows Small Business Server 2003 únicamente el software que sea necesario para las operaciones de su empresa a fin de reducir el área de superficie de los ataques y ayudar a maximizar el rendimiento del servidor.
Configurar la copia de seguridad
La copia de seguridad de los datos en el equipo con Windows Small Business Server 2003 le permitirá evitar la pérdida de datos causados por un error del usuario, alteraciones de los datos o ataques de virus. La copia de seguridad de los datos resulta esencial en las pequeñas empresas, ya que un fallo total del sistema no sólo provocaría la pérdida de datos vitales, sino también la pérdida de servicios fundamentales como el correo electrónico y la conectividad a Internet. Sin una copia de seguridad actualizada, hasta las empresas que utilicen una configuración de disco duro reflejada podrán recuperar sólo una parte de la pérdida. Deberá guardar los medios de copia de seguridad en una ubicación segura, ya que algún usuario malintencionado podría utilizar estos datos para reconstruir el servidor en una ubicación alternativa. Asimismo, se recomienda probar la integridad de la copia de seguridad; para ello, seleccione archivos aleatorios de la copia de seguridad, restáurelos en una ubicación alternativa y, a continuación, confirme que esos archivos no se han modificado.
Windows Small Business Server 2003 proporciona una solución de copia de seguridad integrada. Al configurar la copia de seguridad con la solución de copia de seguridad integrada, se realiza de forma predeterminada la copia de seguridad de todo el servidor, incluidos la intranet, los buzones y los archivos de usuario.
Para configurar la copia de seguridad, consulte "Copia de seguridad y restauración de Windows Small Business Server 2003" en el Kit de orientaciones sobre seguridad.
Nota: para abrir el cuadro de tareas de administración de copia de seguridad, haga clic en Inicio, seleccione Administración de servidores y haga clic en Copia de seguridad.
Implementación de una solución antivirus
Los virus de los equipos se pueden propagar rápidamente y saturar los recursos de la red. Además de llegar a través del correo electrónico, los virus se pueden propagar desde servicios que se ejecuten en el equipo Windows Small Business Server 2003, desde una carpeta compartida en red, desde Internet o desde archivos infectados en medios extraíbles, como disquetes y CD. Para obtener más información sobre el software antivirus, consulte Preguntas más frecuentes acerca del software antivirus en el sitio Web de Microsoft Seguridad en http://www.microsoft.com/spain/seguridad/pc/antivirus.asp.
El uso de una solución antivirus que proteja toda la red, incluidos los equipos cliente y servidor, le ayudará a impedir el acceso de los virus a la red local. Asimismo, asegúrese de contar con un buen plan de copia de seguridad y recuperación, ya que puede que necesite restaurar el sistema al estado anterior que tenía antes de que se produjera la infección del virus. Para implementar una solución antivirus eficaz, deberá realizar lo siguiente:
| • | Elegir una solución antivirus. |
| • | Implementar un plan de reacción ante los virus. |
Elegir una solución antivirus
Si actualmente no tiene en ejecución una solución antivirus, se recomienda que adquiera una que cumpla los siguientes criterios:
| • | Debe ser compatible con Windows Small Business Server 2003. |
| • | Debe ser compatible con Exchange Server 2003 y Microsoft Virus Scanning API 2.5. Para obtener más información sobre el software antivirus y Exchange Server, consulte el artículo 82366, "Introducción de Exchange Server 2003 y Software de Antivirus" de Microsoft Knowledge Base en http://go.microsoft.com/fwlink/?LinkId=22662. |
| • | Debe proteger tanto el equipo con Windows Small Business Server 2003 como los equipos cliente. |
| • | El proveedor del software de antivirus debe proporcionar actualizaciones continuas. |
Asimismo, una vez instalada la solución antivirus, la configuración para que compruebe automáticamente las nuevas actualizaciones (denominadas también firmas) y las instale siguiendo una programación especificada permitirá disminuir las probabilidades de que la red se infecte por algún virus o programa malintencionado.
Para obtener una lista de proveedores de software de antivirus, consulte el sitio Web de Microsoft Seguridad en http://support.microsoft.com/default.aspx?scid=kb;es;49500.
Implementar un plan de reacción ante los virus
En determinados casos, podría recibir una advertencia sobre un nuevo virus antes de que se encuentre disponible una actualización del software antivirus. Si ocurre esto, contar con un plan de reacción para controlar mejor el virus puede ayudar a reducir las probabilidades de que la red se infecte con dicho virus. También puede deshabilitar temporalmente la conexión a Internet.
| • | Para implementar un plan de reacción ante un virus
|
| • | Para deshabilitar temporalmente la conexión a Internet
|
Actualización de equipos cliente
Si dispone de equipos cliente con Windows 98 o versiones anteriores, o Windows NT 4.0 o versiones anteriores, se recomienda que actualice estos equipos a Windows XP Professional o Windows 2000 Professional. Estos sistemas están diseñados para funcionar con el entorno de red Windows Server 2003. De este modo, incorporará seguridad a la vez que se mejora la confiabilidad, el rendimiento y la funcionalidad de la red local. Asimismo, algunas aplicaciones de Windows Small Business Server 2003, como Outlook 2003, están diseñadas específicamente para funcionar con Windows 2000 Professional Service Pack 3 o posterior.
Para obtener información sobre la actualización de equipos cliente, consulte la página Windows XP Professional Upgrade Center en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22664.
Supervisión del equipo con Windows Small Business Server 2003 por motivos de seguridad
Para supervisar el equipo con Windows Small Business Server 2003 por motivos de seguridad, deberá seguir los siguientes métodos:
| • | Configurar la supervisión. |
| • | Adjuntar archivos de registro para informes de supervisión. |
| • | Auditar sucesos de inicio de sesión con errores y bloqueos de cuenta. |
| • | Mantener actualizada la información de seguridad. |
Configurar la supervisión
Los informes de rendimiento y uso de Windows Small Business Server 2003 contienen información detallada sobre la salud general y el uso del equipo que ejecuta Windows Small Business Server 2003. Para configurar los informes, ejecute el Asistente para configuración de supervisiones.
Si no recibe informes de supervisión, deberá configurar la supervisión o agregar la dirección de correo electrónico a la lista de destinatarios de informes.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para configurar informes de rendimiento y uso
|
Adjuntar archivos de registro a los informes de supervisión
Los archivos de registro contienen información importante sobre sucesos de aplicaciones, Servicios de Internet Information Server (IIS), sucesos de seguridad y del sistema, incluidos problemas de hardware y software. La información se registra en mensajes cronológicos en el registro. Algunos de estos registros, como los del servidor de seguridad y los de sucesos de seguridad, se pueden utilizar para ayudar a supervisar la seguridad de la red.
Para supervisar la red por ataques, revise el servidor de seguridad y los registros de sucesos de seguridad. Puede supervisar estos registros si utiliza las herramientas de supervisión disponibles en Windows Small Business Server. Estas herramientas incluyen notificaciones de alerta e informes de rendimiento y uso.
Requisitos
| • | Debe haber iniciado sesión como miembro del grupo de seguridad Admins. del dominio. |
| • | Para adjuntar archivos de registro a los informes de supervisión
|
Auditar sucesos de inicio de sesión con errores y bloqueos de cuenta
La auditoría del número de errores en los intentos de inicio de sesión de un usuario permite descubrir los métodos de ataque de fuerza bruta, de diccionario y de otro tipo contra las contraseñas del equipo que ejecuta Windows Small Business Server 2003. De forma predeterminada, Windows Small Business Server 2003 permite la auditoría de errores de sucesos de inicio de sesión y bloqueos de cuenta. Si la cuenta de un usuario tiene 50 intentos de inicio de sesión con error durante 10 minutos, la cuenta se bloqueará 10 minutos, transcurridos los cuales, la cuenta se restablecerá y el usuario podrá intentar iniciar de nuevo la sesión. Las auditorías de errores generan una entrada siempre que un intento de inicio de sesión produce un error. Por tanto, cada vez que tiene lugar un intento no válido de inicio de sesión en el equipo con Windows Small Business Server 2003 o un bloqueo de cuenta, se genera un mensaje en el registro de sucesos. Asimismo, los informes de rendimiento de Windows Small Business Server 2003 muestran si se produjo un bloqueo de cuenta, lo que puede indicar que tuvo lugar un intento de obtener acceso no autorizado a la cuenta. Si selecciona la opción para recibir notificaciones de alerta cuando ejecuta el Asistente para configuración de supervisiones, se le enviará también una alerta de correo electrónico a determinados usuarios en la que se indica que se ha producido un bloqueo de la cuenta.
Mantener actualizada la información de seguridad
Los boletines, avisos y grupos de noticias incluyen la información más reciente sobre los problemas relacionados con la seguridad, los productos que se ven afectados (si los hubiese), la forma de proteger los equipos y las medidas que hay que tomar para solucionar un problema de seguridad. Estos recursos también contienen vínculos a otras fuentes de información. Estar al día de toda la información de seguridad, le permitirá proteger los datos y la red del acceso no autorizado, los virus y el robo de datos.
Revisar los boletines de seguridad
Estos boletines proporcionan la información de seguridad más reciente. El centro de respuesta de seguridad de Microsoft publica regularmente revisiones y boletines de seguridad. Para obtener información, consulte el Servicio de boletines de seguridad en el sitio Web de Microsoft en http://www.microsoft.com/spain/technet/seguridad/boletines/default.asp.
Suscribirse a los boletines de seguridad
Para recibir alertas y actualizaciones relacionadas con el correo electrónico para todos los productos de Microsoft, suscríbase al servicio de boletines de actualizaciones de Microsoft Seguridad en el sitio Web de Microsoft en http://go.microsoft.com/fwlink/?LinkId=22339. También puede estar al día de las actualizaciones de cualquier otro software que utilice visitando el sitio Web del fabricante.