Introducción a la Guía de seguridad de Windows XP
En esta página
Descripción del módulo
Le damos la bienvenida a la Guía de seguridad de Windows XP. Estas instrucciones se han elaborado para proporcionarle la mejor información disponible que le permita evaluar y hacer frente a los riesgos de seguridad específicos de Microsoft® Windows® XP Professional con Service Pack (SP) 1 dentro del entorno de su organización. Los módulos de estas instrucciones facilitan información detallada sobre cómo configurar características y parámetros de seguridad mejorados en Windows XP para hacer frente a las posibles amenazas que se identifiquen en el entorno. Las instrucciones se han elaborado teniendo en mente a los consultores, diseñadores o ingenieros de sistemas que trabajan en entornos Windows XP.
Asimismo, las instrucciones han sido revisadas y aprobadas por ingenieros de soporte técnico, consultores, equipos de ingeniería y clientes y socios de Microsoft para ofrecer un material:
| • | Probado: basado en la experiencia de campo. |
| • | Serio: que ofrece el mejor asesoramiento disponible. |
| • | Preciso: validado y probado desde el punto de vista técnico. |
| • | Aplicable: que proporciona los pasos necesarios para implementar los pasos de seguridad con éxito. |
| • | Útil: que aborda problemas de seguridad reales. |
El trabajo de implementación de Windows XP Professional, Microsoft Windows Server™ 2003 y Windows 2000 llevado a cabo por consultores e ingenieros de sistemas en un amplio abanico de entornos ha dado su fruto en las prácticas más adecuadas sobre seguridad de clientes y servidores que se detallan en estas instrucciones.
Objetivos
Utilice este módulo para:
| • | Comprender la naturaleza del material que se incluye en estas instrucciones y saber a quién va destinada. |
| • | Obtener una breve descripción del contenido de cada módulo. |
| • | Localizar y descargar material complementario como plantillas, secuencias de comandos y herramientas adicionales. |
| • | Identificar el hardware necesario para poner en práctica las recomendaciones realizadas en estas instrucciones. |
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías:
| • | Microsoft Windows XP Professional con SP1 |
Uso del módulo
En estas instrucciones se incluyen recomendaciones, procedimientos e instrucciones de seguridad detalladas paso a paso que le permitirán aumentar el nivel de seguridad de los equipos Windows XP Professional de los que disponga en su organización. Si desea conocer en mayor profundidad algunos de los conceptos que se presentan en este material, consulte recursos como: Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP, el Kit de recursos de Microsoft Windows XP, el Kit de recursos de Microsoft Windows Server 2003, el Kit de recursos de seguridad de Microsoft Windows y Microsoft TechNet.
Para sacar el máximo provecho de este módulo:
| • | Lea el módulo "Configurar la infraestructura del dominio" en la Guía de seguridad de Windows Server 2003. Obtendrá una mayor comprensión de cómo se aplican las recomendaciones de seguridad incluidas en este módulo en el contexto completo de Active Directory®. |
Resumen ejecutivo
Se recomienda a los usuarios, sea cual sea el entorno del que dispongan, que se tomen muy en serio el tema de la seguridad. Muchas organizaciones cometen el error de subestimar el valor de su entorno de tecnología de la información (TI), generalmente porque no incluyen gastos indirectos considerables. Si un ataque a los servidores del entorno resulta ser lo suficientemente grave, toda la organización se podría ver enormemente afectada. Por ejemplo, un ataque que provocara la interrupción del servicio ofrecido en el sitio Web corporativo ocasionando importantes pérdidas de beneficios o de la confianza de los clientes podría colapsar la rentabilidad de la compañía. Al evaluar los costos de la seguridad, se deberían incluir los gastos indirectos de cualquier ataque, así como los asociados con la pérdida de la funcionalidad de TI.
Un análisis de la situación, la vulnerabilidad y los riesgos en lo que respecta a la seguridad puede informar de las concesiones que hay que hacer para equilibrar la seguridad y la capacidad de uso, y a las que quedan sujetos todos los sistemas informáticos en un entorno conectado en red. En estas instrucciones se detallan las principales contramedidas de seguridad disponibles en Windows XP, los puntos débiles a los que hacen frente y las posibles consecuencias negativas, en el caso de que las hubiera, derivadas de la implementación de cada una de ellas.
Por lo tanto, se proporcionan recomendaciones específicas para consolidar estos sistemas en tres entornos comunes: un entorno de empresa en el que sólo se ejecuta Windows XP, un entorno en el que la seguridad cobra tanta importancia que se considera aceptable sacrificar una parte importante de la funcionalidad y la capacidad de administración y, por último, un entorno independiente en el que sólo se ejecuta Windows XP Professional. En esta guía, estos entornos se denominan, respectivamente: entorno de cliente de empresa, de nivel de seguridad alto e independiente. La configuración definida funcionará en entornos Windows 2000, Windows Server 2003 e independiente, y seguirá manteniendo un nivel de funcionalidad que permitirá ejecutar correctamente aplicaciones comunes.
La guía se ha organizado de forma que pueda encontrar rápidamente la información que necesita para determinar la configuración que mejor se adapta a las características de los equipos Windows XP de su organización. Aunque en esencia va destinada a los clientes empresariales, gran parte de su contenido también resulta adecuado para organizaciones de cualquier tamaño.
Para sacar el máximo provecho de este material, deberá leer la totalidad de la guía. El equipo que la ha elaborado espera que el material le resulte útil, informativo e interesante. Para obtener más información, también puede consultar la guía complementaria Threats and Countermeasures: Security Settings in Windows Server 2003 and Windows XP, que se puede descargar en: http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.mspx.
Destinatarios de la guía
Esta guía se destina principalmente a consultores, expertos en seguridad, arquitectos de sistemas y profesionales de TI responsables de las fases de planeación del desarrollo de las aplicaciones o la infraestructura y la implementación de estaciones de trabajo Windows XP en un entorno de empresa. No se ha diseñado para los usuarios domésticos, sino para aquellas personas cuyas funciones laborales se incluyan dentro de las siguientes:
| • | Diseñadores y arquitectos de sistemas responsables de los esfuerzos en materia de arquitectura de las estaciones de trabajo de sus organizaciones. |
| • | Expertos en seguridad de TI que se centren estrictamente en garantizar la seguridad de las distintas plataformas de la organización. |
| • | Analistas de negocio y responsables de la toma de decisiones con requisitos y objetivos empresariales de vital importancia que precisen el apoyo de equipos portátiles y de escritorio de TI. |
| • | Consultores de socios y servicios de Microsoft que precisen herramientas de transferencia de conocimientos para asociados y clientes empresariales. |
Obtención y mantenimiento de la seguridad
En octubre de 2001, Microsoft lanzó una iniciativa que se conocería como STPP (Strategic Technology Protection Program, programa estratégico de protección de tecnología). El objetivo que se persigue con este programa es integrar soporte técnico, productos y servicios de Microsoft que se centren en la seguridad. Según Microsoft, el proceso de mantenimiento de un entorno seguro se compone de dos fases estrechamente relacionadas entre sí: obtener la seguridad y mantenerla.
Obtención de seguridad
La primera fase se llama "Obtención de seguridad". Para ayudar a la organización a alcanzar un nivel adecuado de seguridad, siga las recomendaciones sobre obtención de seguridad que sugiere Microsoft en ésta y otras guías de seguridad. Para obtener vínculos a recursos adicionales, consulte la sección "Información adicional" que se muestra más adelante.
Mantenimiento de la seguridad
La segunda fase se conoce como "Mantenimiento de la seguridad". Una cosa es crear un entorno que inicialmente sea seguro y otra muy distinta es, una vez esté funcionando y ejecutándose, mantener la seguridad del entorno con el tiempo, adoptar medidas preventivas frente a las posibles amenazas y saber responder con eficacia en el caso de que éstas se materialicen. Para ayudar a su organización a mantener un nivel adecuado de seguridad también en el futuro, siga las recomendaciones sobre el mantenimiento de la seguridad que se proporcionan en el Kit de herramientas de seguridad de Microsoft, al que puede tener acceso en línea. Para obtener más información sobre este kit de herramientas, consulte la sección "Información adicional" que se muestra más adelante en este módulo.
Ámbito de esta guía
Estas instrucciones se centran en la creación y mantenimiento de un entorno seguro para equipos portátiles y de escritorio que ejecutan Windows XP Professional, por lo que no está destinada al usuario doméstico. En ella se explican las diferentes fases para garantizar la seguridad del entorno y los parámetros de configuración que se deben aplicar al equipo portátil y de escritorio. Las instrucciones cubren los entornos de empresa, de nivel de seguridad alto e independiente.
Empresa
El entorno de empresa se compone de un dominio de servicio de directorio de Microsoft Active Directory Windows 2000 o Windows Server 2003. Los clientes de este entorno se administrarán utilizando la característica Directiva de grupo, que se aplica a contenedores, sitios, dominios y unidades organizativas (UO). Directiva de grupo proporciona un método centralizado para administrar la directiva de seguridad en todo el entorno.
Nivel de seguridad alto
El entorno de nivel de seguridad alto está formado por parámetros de configuración de seguridad elevada para el cliente. Al aplicar la configuración de nivel de seguridad alto, la funcionalidad del usuario se limita a funciones específicas que sólo se requieren para las tareas necesarias. El acceso queda restringido a entornos de infraestructura, servicios y aplicaciones aprobadas.
Entorno independiente
El entorno independiente se compone de aquellas organizaciones que disponen de algunos equipos que no se pueden unir a un dominio o de equipos que forman parte de un dominio Microsoft Windows NT® 4.0. Estos clientes se deben configurar utilizando los parámetros de la directiva local. Administrar equipos independientes puede resultar un desafío considerablemente mayor que utilizar un dominio basado en Active Directory para la administración de directivas y cuentas de usuario.
Información general de los módulos
Windows XP ofrece la versión más segura de Windows hasta la fecha, proporcionando las mejores características de privacidad y seguridad. Se ha optimizado la seguridad global en Windows XP para garantizar a las organizaciones que pueden trabajar en un entorno informático seguro. La Guía de seguridad de Windows XP se compone de siete módulos. Estos módulos tratan sobre los procedimientos que intervienen en la creación de dicho entorno. Cada uno de ellos describe un proceso completo con el que se garantiza la seguridad de los equipos Windows XP del entorno.
Introducción a la Guía de seguridad de Windows XP
Este módulo reúne información general sobre la guía, entre la que se incluye: descripciones de la audiencia de destino, problemas que se tratan en la guía, así como la finalidad principal que se persigue con la misma.
Configuración de la infraestructura de dominios de Active Directory
Directiva de grupo se puede utilizar para administrar entornos de equipos y usuarios en dominios Windows Server 2003 y Windows 2000. En este módulo se tratan los pasos preliminares que se deben seguir en el dominio antes de aplicar Directiva de grupo a los clientes Windows XP.
La configuración de Directiva de grupo se almacena en objetos de directiva de grupo (GPO) en controladores de dominio. Los GPO se vinculan a contenedores, sitios, dominios y unidades organizativas (UO) dentro de la estructura de Active Directory. Dado que la directiva de grupo está tan estrechamente integrada con Active Directory, es importante tener un conocimiento básico de las implicaciones de seguridad y la estructura de Active Directory antes de implementarla. Esta directiva constituye una herramienta esencial para garantizar la seguridad de Windows XP, y se puede utilizar para aplicar y mantener una directiva de seguridad coherente en una red desde una ubicación central.
Configuración de seguridad para clientes Windows XP
En este módulo se cubre la configuración de seguridad para clientes Windows XP que se puede establecer a través de una directiva de grupo en un dominio Active Directory Windows 2000 o Windows Server 2003. No se proporcionan instrucciones para todos los parámetros de configuración disponibles; sólo para aquellos que, gracias a la aplicación de las configuraciones recomendadas, garantizarán la seguridad del entorno frente a la mayoría de las amenazas actuales, al tiempo que permitirán a los usuarios continuar con sus funciones laborales habituales en los equipos. Las configuraciones se basarán en los objetivos de seguridad que se haya marcado su organización.
Plantillas administrativas para Windows XP
Este módulo trata sobre la configuración que se puede agregar a Windows XP utilizando plantillas administrativas. Las plantillas administrativas son archivos Unicode que puede utilizar para configurar los valores basados en el registro que determinan el comportamiento de un gran número de servicios, aplicaciones y componentes del sistema operativo. Con Windows XP se suministran cinco plantillas administrativas que contienen más de 600 configuraciones distintas.
Seguridad de clientes Windows XP independientes
Este módulo trata sobre la configuración de clientes Windows XP independientes. A pesar de que se recomienda la implementación de Windows XP en una infraestructura de dominios de Active Directory, esto no es siempre posible. En este módulo se proporcionan instrucciones sobre cómo aplicar las configuraciones recomendadas a clientes Windows XP que no forman parte de un dominio Windows 2000 o Windows Server 2003.
Directiva de restricción de software para clientes Windows XP
En este módulo se proporciona información general básica sobre las directivas de restricción de software. Las directivas de restricción de software proporcionan a los administradores un mecanismo controlado por directivas para identificar y limitar el software que se puede ejecutar en su dominio. Al utilizar una directiva de restricción de software, un administrador puede evitar que se ejecuten programas no deseados así como virus, troyanos u otro tipo de código con fines malintencionados. Las directivas de restricción de software se integran completamente con Active Directory y Directiva de grupo. Este tipo de directivas se pueden utilizar en un entorno sin una infraestructura de dominios de Windows Server 2003 cuando se aplican solamente al equipo local.
Descarga de contenido
En estas instrucciones se incluyen un conjunto de plantillas de seguridad, secuencias de comandos y herramientas adicionales que permiten a su organización evaluar, probar e implementar las contramedidas recomendadas en este documento. Las plantillas de seguridad son archivos de texto que se pueden importar a directivas de grupo basadas en dominios, o bien, aplicarse de forma local utilizando el complemento Configuración y análisis de seguridad. Estos procedimientos se detallan en el módulo "Configurar la infraestructura de dominios" de la Guía de seguridad de Windows Server 2003.
Las secuencias de comandos que se incluyen en esta guía se pueden utilizar para aplicar estas recomendaciones a estaciones de trabajo independientes. Para consultar un libro de Microsoft Excel sobre la configuración de la guía de seguridad de Windows XP, en la que se recopila la configuración especificada en cada plantilla de seguridad, vaya a: http://go.microsoft.com/fwlink/?LinkId=14840. Estas herramientas y plantillas se incluyen en el archivo de WinZip autoextraíble que contienen estas instrucciones. Al extraer los archivos de esta aplicación, se creará la siguiente estructura de carpetas en la ubicación que haya especificado:
| • | Windows XP Security Guide: contiene el archivo de formato de documento portátil (PDF) que está leyendo en estos momentos, así como la guía de prueba, la guía de entrega y la guía de soporte técnico relacionadas con este material. |
| • | Windows XP Security Guide\Tools and Templates: contiene subdirectorios para aquellos elementos que puedan incluirse con estas instrucciones. |
| • | Windows XP Security Guide\Tools and Templates\Security Guide\Security Templates: contiene todas las plantillas de seguridad que se analizan en los módulos "Configuración de la infraestructura de dominios de Active Directory" y "Configuración de seguridad para clientes Windows XP" de la guía. |
| • | Windows XP Security Guide\Tools and Templates\Security Guide\Administrative Templates: contiene todas las plantillas administrativas que se analizan en el módulo "Plantillas administrativas para Windows XP" de la guía. |
| • | Windows XP Security Guide\Tools and Templates\Security Guide\Checklists: contiene listas de comprobación para aplicar la configuración recomendada en las instrucciones. |
| • | Windows XP Security Guide\Tools and Templates\Security Guide\Stand Alone Clients: contiene todas las plantillas y secuencias de comandos de muestra para implementar equipos independientes consolidados, tal y como se describe en el módulo "Seguridad de clientes Windows XP independientes" de la guía. |
| • | Windows XP Security Guide\Tools and Templates\Test Guide: contiene las herramientas relacionadas con la guía de prueba. |
| • | Windows XP Security Guide\Tools and Templates\Delivery Guide: contiene las herramientas relacionadas con la guía de entrega. |
Capacitación y conocimientos previos
Disponer de la capacitación y los conocimientos previos que se señalan a continuación es un requisito imprescindible con el que deben contar los administradores o arquitectos encargados de desarrollar, implementar y garantizar la seguridad de los clientes Windows XP en cualquier empresa.
| • | Certificación Microsoft Certified Systems Engineer (MCSE) 2000 con más de 2 años de experiencia en materia de seguridad o equivalente. |
| • | Conocimientos detallados en materia de dominios corporativos y entornos Active Directory. |
| • | Uso de herramientas de administración; entre las que se incluyen: Microsoft Management Console (MMC), secedit, gpupdate y gpresult. |
| • | Experiencia en administración de directivas de grupo. |
| • | Experiencia en implementación de aplicaciones y clientes en entornos empresariales. |
Requisitos
Entre los requisitos de hardware para la Guía de seguridad de Windows XP se incluyen:
| • | PC con velocidad de reloj del procesador a 300 MHz o superior; se recomiendan 233 MHz como mínimo (sistema de procesador único o doble); procesadores de las familias Intel Pentium/Celeron y AMD K6/Athlon/Duron, u otros procesadores compatibles. |
| • | Al menos 128 MB de RAM (64 MB como mínimo, aunque podría verse afectado el rendimiento y algunas características). |
| • | 1,5 GB como mínimo de espacio disponible en el disco duro para el sistema operativo. |
| • | Monitores y adaptadores de vídeo Super VGA (800 × 600) o superiores. |
| • | Unidad de CD-ROM o DVD en los clientes. |
| • | Teclado y mouse de Microsoft o dispositivo señalador compatible. |
Convenciones de estilo
En esta guía se utilizan las siguientes convenciones de estilo y terminología.
Tabla 1. Convenciones de estilo
| Elemento | Significado |
Negrita | Caracteres que se escriben exactamente tal y como se muestran, incluidos comandos y modificadores. Los elementos de la interfaz de usuario que aparecen en el texto con carácter normativo también se muestran en negrita. |
Cursiva | Marcador de posición para variables en las que se proporcionan valores específicos. Por ejemplo, Nombre_de_archivo.ext podría referirse a cualquier nombre de archivo válido para el primer caso en cuestión. |
Importante | Avisa al lector de información adicional esencial para completar la tarea. |
Fuente Monospace | Ejemplos de código. |
%SystemRoot% | La carpeta en la que se instala el sistema operativo Windows. |
Nota | Avisa al lector de la existencia de información adicional. |
Screen Para | Los mensajes que aparecen en los comandos de la línea de comandos en pantalla se muestran en esta fuente. |
Resumen
En este módulo le hemos proporcionado una introducción a la Guía de seguridad de Windows XP y un resumen del resto de los módulos que la componen. Ahora que sabe cómo se ha organizado la guía, ya puede sacar el máximo provecho de las opciones clave de seguridad que se han integrado en Windows XP. Para que las operaciones de seguridad se realicen correctamente y con eficacia es necesario cubrir todas las áreas de esta guía, no basta con hacer avances sólo en una. Por este motivo, recomendamos que realice todos los procedimientos que se sugieren en la misma.
Información adicional
Las siguientes fuentes de información corresponden al material más actualizado disponible sobre los temas relacionados con la seguridad de Windows XP Professional en el momento en que publicó esta guía. (Los módulos de la guía contienen vínculos a algunas páginas que sólo están disponibles en inglés.)
Para obtener más información sobre la configuración de seguridad que se puede aplicar en Microsoft Windows XP, consulte la guía complementaria Threats and Countermeasures Guide en: http://www.microsoft.com/technet/security/topics/hardsys/tcg/tcgch00.mspx.
Para obtener información más detallada sobre cómo Microsoft Operations Framework (MOF) puede asistir a su empresa, consulte: http://www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx.
Para obtener información sobre el programa STPP de Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/recursos/masinfo/stpp.asp.
Para obtener información sobre el servicio de notificación de seguridad de Microsoft, consulte: http://www.microsoft.com/spain/technet/seguridad/boletines/notificacion.asp.
Para obtener más información sobre la protección y la recuperación de datos, consulte: http://www.microsoft.com/technet/prodtechnol/winxppro/deploy/cryptfs.mspx.