Guía de planeamiento de acceso seguro con tarjetas inteligentes

Capítulo 3: Uso de tarjetas inteligentes para la protección de las cuentas de los administradores

Actualizado: 25/5/2005

Microsoft® Windows Server™ 2003 ayuda a las organizaciones a proteger las cuentas administrativas a través de un conjunto de características de seguridad específicas. Además del requisito de que los administradores inicien sesión con tarjetas inteligentes, Windows Server 2003 admite la autenticación con tarjetas inteligentes con las acciones secundarias que se enumeran:

•	Crear una unidad asignada con el comando net use.
•	Utilizar el servicio de inicio de sesión secundario escribiendo runas en el símbolo del sistema.
•	Instalar el servicio de directorio Active Directory® mediante el Asistente para instalación de Active Directory (al que puede tener acceso si se escribe dcpromo en el símbolo del sistema).
•	Iniciar sesión a través de las sesiones de Escritorio remoto de Windows Server 2003.
•	Iniciar sesión a través de las sesiones de Terminal Server de Windows Server 2003.

Nota: Aunque Microsoft Windows® 2000 admite el acceso con tarjetas inteligentes para la autenticación, no es compatible con estas características adicionales, que sólo están disponibles en Windows Server 2003.

En esta página

	Planteamientos para proteger cuentas de administrador con tarjetas inteligentes
	Problemas y requisitos
	Diseño de la solución

Planteamientos para proteger cuentas de administrador con tarjetas inteligentes

La compatibilidad de Windows Server 2003 con la autenticación mediante tarjetas inteligentes de acciones secundarias permite una mejor separación de las cuentas de usuario y administrador. Para las acciones cotidianas, los administradores pueden iniciar sesión en estaciones de trabajo con cuentas no administrativas. Si deben realizar una tarea administrativa, los administradores pueden utilizar sus tarjetas inteligentes para autenticar la operación mediante una acción secundaria. Esta disposición resulta más segura y práctica que si el administrador tiene que especificar un nombre de usuario o una contraseña o si debe cerrar sesión y volver a iniciarla con una cuenta de administrador.

Identificación de cuentas y grupos de administradores

En la implantación de tarjetas inteligentes para administradores es preciso que una organización identifique las cuentas de administrador que requieren autenticación de dos factores. A fin de ejecutar este paso correctamente, deben comprenderse las características de las distintas cuentas y de los grupos de administradores en Windows XP y Windows Server 2003.

Los grupos permiten a los administradores administrar varias cuentas de usuario a la vez. Microsoft Windows NT® y los sistemas operativos posteriores incluyen grupos de seguridad con derechos administrativos integrados.

Estos grupos de seguridad pueden ser locales (equipos unidos a dominios, como estaciones de trabajo y servidores miembros) o grupos predeterminados (en controladores de dominio). Las cuentas de administrador reciben los privilegios por la pertenencia a uno o varios de estos grupos de seguridad.

Grupos locales

Los grupos locales en equipo unidos a dominios presentan distintos niveles de derechos administrativos. Éstos incluyen:

•	Administradores. Los miembros de este grupo tienen un control completo del equipo local. La cuenta de usuario Administrador forma parte de este grupo de forma predeterminada. Si el equipo es miembro de un dominio, el grupo Admins. del dominio correspondiente también será miembro de este grupo.
•	Operadores de copia de seguridad (todos los tipos de equipos). Los miembros de este grupo pueden omitir los permisos del sistema de archivos NTFS para realizar copias de seguridad de archivos y carpetas. Los operadores de copia de seguridad también pueden apagar los servidores miembros.
•	Usuarios avanzados. Los miembros de este grupo tienen derechos administrativos limitados sobre los recursos de una estación de trabajo local o un servidor miembro. También pueden apagar un servidor miembro.
•	Operadores de impresión. Los miembros de este grupo pueden administrar servidores de impresión, impresoras y trabajos de impresión. También pueden apagar un servidor miembro.

Para obtener una descripción completa de los grupos predeterminados en Windows Server 2003, consulte el tema Grupos locales predeterminados, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/lsm_local_groups.asp.

Las directivas de seguridad de la organización deben definir qué miembros de los grupos Administradores, Operadores de servidores y Usuarios avanzados necesitan tarjeta inteligentes para el inicio de sesión y las tareas de administración.

Grupos predeterminados

Cada dominio cuenta con varios grupos predeterminados que proporcionan funciones administrativas en los controladores de dominio. Entre estos grupos se encuentran los siguientes:

•	Administradores. Los miembros de este grupo tienen pleno control administrativo sobre los controladores de dominio. La cuenta Administrador y el grupo Admins. del dominio son miembros de este grupo de forma predeterminada.
•	Operadores de copia de seguridad. Los miembros de este grupo pueden omitir los permisos del sistema de archivos NTFS para realizar copias de seguridad de archivos y carpetas. Los operadores de copia de seguridad también pueden iniciar sesión localmente y apagar los controladores de dominio.
•	Operadores de servidores. Este grupo cuenta con derechos administrativos limitados sobre los controladores de dominio, de modo similar a lo que ocurre con los Usuarios avanzados en las estaciones de trabajo. Los operadores de servidores pueden iniciar sesión localmente y apagar los controladores de dominio.
•	Operadores de impresión. Los miembros de este grupo administran servidores de impresión, impresoras y trabajos de impresión. También pueden iniciar sesión localmente y apagar los controladores de dominio.
•	Operadores de cuentas. Los miembros de este grupo tienen derechos limitados para administrar las cuentas y los grupos de usuarios. Pueden iniciar sesión de forma interactiva pero no tienen la posibilidad de apagar los controladores de dominio.

Para obtener más información acerca de los grupos predeterminados, consulte el tema sobre grupos predeterminados, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_ADgroups_9builtin_intro.asp.

Las directivas de la organización deben especificar que el uso de tarjetas inteligentes para tareas de administración sea un requisito para todos los miembros de estos grupos.

Grupos predeterminados de dominios y bosques

Además de los grupos predeterminados, con la creación de un bosque de Active Directory se configuran los siguientes grupos de seguridad:

•

Admins. del dominio. Los miembros de este grupo tienen pleno control sobre todos los objetos del dominio. Cada dominio posterior del bosque tiene también un grupo Admins. del dominio.

•

Administradores de empresa (sólo en el dominio raíz del bosque). Los miembros de este grupo tienen pleno control sobre todos los objetos del bosque.

•

Administradores de esquema (sólo en el dominio raíz del bosque). Los miembros de este grupo pueden crear clases y atributos en el esquema, así como administrar el maestro de operaciones de esquema.

Nota: Para aumentar el nivel de seguridad, procure que el número de miembros de estos grupos sea el mínimo posible.

Todos los miembros de estos grupos deben necesitar tarjetas inteligentes para la administración.

Requerir la tarjeta inteligente para el inicio de sesión interactivo

Existen dos medios para requerir una tarjeta inteligente en el inicio de sesión interactivo. Puede configurar:

•	Propiedades de cuentas de usuario en Usuarios y equipos de Active Directory.
•	Directiva de grupo para equipos específicos o para grupos de equipos específicos.

En la mayoría de los entornos resulta más fácil administrar la Directiva de grupo.

Propiedades de cuentas de usuarios

Puede configurar como requisito para cualquier cuenta de usuario el uso de una tarjeta inteligente para el inicio de sesión interactivo. Para ello, en Usuarios y equipos de Active Directory haga doble clic en el usuario, haga clic en la ficha Cuenta y, en Opciones de cuenta, active la casilla de verificación La tarjeta inteligente es necesaria para un inicio de sesión interactivo. Con la activación de esta opción cambia la contraseña del usuario a un valor complejo aleatorio y se establece la propiedad La contraseña nunca caduca. Si después desactiva el requisito de uso de la tarjeta inteligente, también deberá restablecer la contraseña del usuario.

Como al establecer el requisito de uso de tarjeta inteligente se restablece la contraseña del usuario con un valor desconocido, el usuario ya no podrá utilizar la combinación de nombre de usuario y contraseña que conocía para iniciar sesión en el dominio. En consecuencia, el usuario no podrá iniciar sesión en programas como Microsoft Outlook® Web Access para Microsoft Exchange Server 2003 con un nombre de usuario y una contraseña.

Se puede utilizar una secuencia de comandos que habilite esta opción durante la inscripción. Sin embargo, este método exige desarrollar secuencias de comandos adecuadas que puedan habilitar y deshabilitar el requisito de tarjetas inteligentes para usuarios específicos.

Con el requisito de uso de tarjeta inteligente seleccionado para la cuenta, el administrador debe utilizar una tarjeta inteligente para iniciar sesión de forma interactiva en cualquier equipo del dominio, no sólo en los servidores protegidos. Esto puede resultar poco práctico si no todos los equipos tienen lectores de tarjetas inteligentes conectados.

Si exige el uso de tarjetas inteligentes a través de las propiedades de las cuentas de usuario, los administradores no podrán administrar de forma remota equipos en los que se ejecute Windows 2000 Server. Las sesiones de servicios de Terminal Server de Windows 2000 Server no admiten la redirección de las tarjetas inteligentes, por lo que el administrador deberá iniciar sesión localmente para administrar los equipos en los que se ejecute Windows 2000. Este requisito podría suponer un trastorno si el administrador se encuentra en una ubicación distinta de la del servidor.

Directiva de grupo

Un planteamiento que facilitaría la administración consiste en utilizar la configuración de Directiva de grupo para requerir el uso de tarjetas inteligentes en ciertos equipos para el inicio de sesión interactivo, además de controlar qué ocurre cuando un usuario extrae una tarjeta inteligente. Con esta configuración puede crear objetos de directiva de grupo (GPO) y vincularlos a la unidad organizativa que contiene el equipo para el que se requiere el inicio de sesión con tarjeta inteligente. La ruta de acceso a las opciones relacionadas con las tarjetas inteligentes en la directiva de grupo es Configuración del equipo\Configuración de Windows\Configuración de seguridad\Directivas locales\Opciones de seguridad. La configuración es Inicio de sesión interactivo: Requiere una tarjeta inteligente e Inicio de sesión interactivo: Comportamiento de extracción de tarjeta inteligente.

Nota: Para esta opción se necesita Windows XP con Service Pack 2 o una actualización de la configuración. Para obtener más información, consulte el artículo de Knowledge Base sobre la actualización de la opción de seguridad de Windows XP "Inicio interactivo: requiere tarjeta inteligente", en la dirección http://support.microsoft.com/?id=834875.

Para mayor seguridad, debe especificar como requisito el uso de tarjetas inteligentes para el inicio de sesión interactivo y después establecer en la directiva de extracción de tarjeta inteligente que se bloquee la estación de trabajo o se cierre la sesión del usuario. Esta configuración de Directiva de grupo debe pasar a formar parte de un GPO personalizado para los administradores. Los GPO se pueden aplicar en el nivel de sitio, dominio o unidad organizativa. En la mayoría de los casos, los GPO que aplican opciones de configuración de tarjeta inteligente lo hacen en el nivel de las unidades organizativas.

Nota: Microsoft recomienda no modificar la Directiva predeterminada de controladores de dominio ni la Directiva predeterminada de dominio para incluir opciones de configuración de tarjetas inteligentes o cualquier otro cambio de directiva. Cree siempre un nuevo GPO o utilice uno ya existente si desea establecer la configuración de Directiva de grupo para el inicio de sesión con tarjetas inteligentes.

La configuración de Directiva de grupo para las tarjetas inteligentes controla el inicio de sesión interactivo y no afecta al acceso a un servidor a través de la red. El inicio de sesión interactivo incluye la conexión a través de Escritorio remoto o de servicios de Terminal Server.

Microsoft recomienda implantar las tarjetas inteligentes para los administradores con otros mecanismos de control, como IPsec o Directiva de grupo, a fin de impedir la administración de un servidor con herramientas de administración remota, como las de Microsoft Management Console (MMC).

Administración del acceso con tarjetas inteligentes en varios dominios y bosques

La implantación de tarjetas inteligentes para los administradores requiere un conocimiento de los problemas relacionados con el acceso a distintos dominios y bosques. Por ejemplo, los administradores que son miembros del grupo Admins. del dominio en más de un bosque podrían necesitar una tarjeta inteligente para cada bosque del que tienen derechos administrativos. La consecuencia de este requisito puede ser que esos administradores deban llevar consigo varias tarjetas inteligentes.

Aunque las tarjetas inteligentes pueden contener más de un certificado, Windows Server 2003 sólo acepta actualmente un certificado de inicio de sesión con una tarjeta inteligente (el certificado de la ranura 0 de la tarjeta inteligente) para cada raíz de certificados de entidad emisora de certificados. Esta restricción puede obligar a algunos administradores de red a llevar consigo varias tarjetas inteligentes, a menos que la organización mantenga relaciones de confianza entre los bosques.

Protección de los servidores

Los equipos en los que se ejecutan servicios, como los de archivo e impresión, bases de datos, correo electrónico y directorios precisan un mayor nivel de seguridad que las estaciones de trabajo. En concreto, debe considerarse la posibilidad de utilizar la autenticación con tarjetas inteligentes para todas las cuentas que administren equipos con las siguientes funciones:

•	Controladores de dominio
•	Servidores de bases de datos
•	Servidores de certificados
•	Servidores de archivo e impresión

Protección de controladores de dominio

Los controladores de dominio son los equipos más importantes para la autenticación de dos factores, ya que contienen y controlan toda la información de las cuentas del dominio, a las que aplican las reglas de seguridad. A través de un controlador de dominio expuesto, un atacante podría crear una nueva cuenta, elevar privilegios u obtener acceso a todos los controladores de dominio como administrador.

Protección de servidores de bases de datos

En los servidores de bases de datos se almacena información muy importante para el funcionamiento de una organización. Esta información almacenada podría estar sujeta a estrictos procesos de protección y desprotección, con un seguimiento de auditoría de las solicitudes de acceso a datos. Son ejemplos de servidores de bases de datos aquéllos que almacenan el código fuente de una empresa de software, las fórmulas secretas de un fabricante de bebidas o la información sobre las cuentas de los clientes de una empresa. La autenticación con tarjetas inteligentes debe proteger el acceso a todos los servidores de bases de datos.

Una organización deberá identificar los servidores que requieren un alto grado de seguridad y trabajar con sus propietarios para cambiar el tipo de cuenta con que se ejecuta el servicio o la tarea programada, o bien asignar las cuentas y los servidores a grupos especiales de seguridad que tengan más restricciones de acceso y uso.

Protección de servidores de certificados

Los servidores en los que se alojan entidades emisoras de certificados y servicios de Certificate Server deben caracterizarse por un alto nivel de seguridad. Si se pone en peligro la entidad emisora de certificados, se anulará la integridad de la organización y todos los certificados emitidos deberán considerarse no seguros. Los servidores en los que se alojan servicios de Certificate Server deben tener la máxima prioridad por lo que respecta a la seguridad, tanto a través de la red como en los accesos físicos.

Protección de los servidores de archivo e impresión

Un servidor de archivos puede alojar información confidencial y documentos importantes para la empresa. Si se pone en peligro esta información, la empresa puede sufrir pérdidas de ingresos o sanciones de los organismos reguladores competentes. Por supuesto, la autenticación con tarjetas inteligentes debe proteger los servidores de impresión que se utilicen para imprimir facturas o cheques.

Para obtener más información acerca de las características de seguridad de Windows Server 2003, consulte la Guía de seguridad de Windows Server 2003, en la dirección www.microsoft.com/downloads/details.aspx?FamilyID=8a2643c1-0685-4d89-b655-521ea6c7b4db

Instalación de lectores de tarjetas inteligentes en servidores

Debe conectar un lector de tarjetas inteligentes a cada uno de los servidores en las que la Directiva de grupo requiera el uso de tarjetas inteligentes para inicios de sesión interactivos. La mayoría de los equipos montados en bastidor tienen en la parte posterior puertos USB que permiten la conexión de lectores de tarjetas inteligentes. Después se puede colocar el lector de tarjetas inteligentes en la parte frontal del bastidor para facilitar el acceso al usuario. Es importante etiquetar claramente los lectores de tarjetas inteligentes, de modo que los administradores sepan qué lector pertenece a cada servidor.

Si un administrador tiene que iniciar sesión en otro servidor, deberá extraer su tarjeta inteligente del primer lector e insertarla en el lector conectado al otro equipo. Esta incomodidad hace que la administración de servidores con Escritorio remoto resulte mucho más atractiva.

Distribución de tarjetas inteligentes

El planeamiento del proceso de distribución de tarjetas inteligentes para administradores incluye las siguientes actividades:

•	Crear grupos adecuados para la distribución de tarjetas inteligentes.
•	Nombrar a responsables de seguridad que puedan actuar como agentes de inscripción.
•	Seleccionar un método adecuado para el transporte de las tarjetas.
•	Realizar comprobaciones de identificación rigurosas.

Debe crearse un grupo de seguridad de ensayo que contenga las cuentas de administrador seleccionadas. También necesita un grupo de seguridad que contenga las cuentas activadas. Una parte del proceso de inscripción consiste en trasladar las cuentas de administrador del grupo de ensayo al grupo de cuentas activadas.

Para el proceso de distribución es necesario nombrar a responsables de seguridad. Estos responsables de seguridad podrán:

•	Entregar las tarjetas inteligentes a la estación de inscripción.
•	Actuar como agentes de inscripción.
•	Llevar a cabo comprobaciones de identificación.

Las comprobaciones de identificación deben ser rigurosas. Los responsables de seguridad deben comprobar personalmente la identidad de los administradores a través de un documento identificativo adecuado, como un pasaporte o un permiso de conducir; la identidad deberá ser confirmada por el jefe de línea correspondiente.

Las organizaciones también deben realizar comprobaciones de antecedentes con respecto a sus administradores. Estas comprobaciones son especialmente importantes en los sectores financieros o para cualquier organización sujeta a requisitos normativos. Para obtener más información acerca de las comprobaciones de seguridad sobre los administradores, consulte la guía de implantación de supervisión de seguridad y detección de ataques, en la dirección http://go.microsoft.com/fwlink/?LinkId=41309.

Activación de tarjetas inteligentes

La activación de las tarjetas inteligentes debe realizarse en un lugar seguro, como la oficina que se utiliza para emitir pases de acceso a las instalaciones. El responsable de seguridad configura una estación de inscripción con dos lectores de tarjetas inteligentes e inicia sesión con su tarjeta inteligente.

Después de que el responsable de seguridad confirme la identidad del administrador, crea una solicitud de certificado para esa cuenta de usuario. Abre una nueva tarjeta inteligente e instala el certificado solicitado. A continuación, el responsable de seguridad mueve la cuenta de administrador desde el grupo de pendientes al de activadas. Por último, anota el número de serie de la tarjeta antes de entregar ésta al administrador.

El administrador utiliza después la herramienta de restablecimiento de NIP para restablecer el NIP predeterminado o utiliza la herramienta de desbloqueo de NIP junto con el servidor Web de activación para establecer un nuevo NIP. La tarjeta inteligente del administrador está ahora lista para ser utilizada.

Administración de tarjetas inteligentes

La implantación de tarjetas inteligentes no es una acción aislada en el tiempo, ya que se deben administrar los certificados de seguridad incrustados en las tarjetas y deberá hacer frente a situaciones como la pérdida, el descuido o la sustracción de tarjetas inteligentes de administradores. Será necesario establecer los procedimientos pertinentes y un presupuesto adecuado para la administración de las tarjetas inteligentes.

Administración de excepciones

Debe crear un grupo de excepciones temporales para cuentas que permita administrar situaciones tales como la pérdida o la sustracción de tarjetas inteligentes de administradores. La pertenencia de los administradores a este grupo dura entre 24 y 48 horas (en el caso de descuido de la tarjeta) o hasta que un agente de inscripción pueda emitir una nueva tarjeta inteligente (en caso de robo o pérdida). Cuando el administrador reciba una nueva tarjeta inteligente, se puede quitar su cuenta del grupo de excepciones temporales.

Para realizar esta operación, cree un nuevo grupo de seguridad que contenga las cuentas con excepciones. A continuación, configure permisos de modo que las directivas de grupo para exigir el uso de tarjetas inteligentes denieguen al grupo de excepciones los permisos de lectura y aplicación de directivas de grupo. Los miembros del grupo de excepciones dejarán de estar sometidos al requisito de utilizar una tarjeta inteligente para el inicio de sesión interactivo. Para obtener más información acerca de la configuración de seguridad de las directivas de grupo, consulte el tema Filtrar el alcance de la Directiva de grupo de acuerdo con los miembros del grupo de seguridad, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/filter.asp.

Quizá también deba administrar cuentas que tengan privilegios administrativos pero no puedan utilizar tarjetas inteligentes para el inicio de sesión, como las de servicios o tareas programadas que se ejecutan con privilegios administrativos. Para ello, agregue las cuentas de servicios al grupo de seguridad de excepciones permanentes y configure los permisos de Directiva de grupo para ese grupo tal como se describía en el párrafo anterior.

Para obtener más información acerca de cómo configurar cuentas de servicios, consulte el artículo sobre la guía de planeamiento de la seguridad de los servicios y las cuentas de servicios, en la dirección http://go.microsoft.com/fwlink/?LinkId=41311.

Revocación de certificados

Quizá deba revocar un certificado en determinadas circunstancias; por ejemplo, si la clave privada está en peligro, si cambian las asignaciones del usuario de la tarjeta inteligente o si el usuario causa baja en la organización. Cuando se revoca un certificado, esta acción publica detalles acerca del certificado en la ubicación de la lista de revocaciones de certificados (CRL). Esta ubicación suele ser una dirección URL o una ruta (UNC) de red.

Un certificado emitido incluye una lista de puntos de distribución en los que el servidor de autenticación puede comprobar el estado del certificado con la CRL. Para obtener más información acerca de la revocación de certificados, consulte el tema Revocar certificados y publicar listas de revocaciones de certificados, en la dirección www.microsoft.com/resources/documentation/WindowsServ/2003/standard/proddocs/en-us/sag_CS_SrvAdCRL.asp.

Renovación de certificados

La fecha de caducidad del certificado digital de una tarjeta inteligente depende de la configuración de la plantilla de certificados a partir de la que se crea el certificado para la tarjeta inteligente. Los certificados destinados al uso de tarjetas inteligentes suelen tener una duración comprendida entre seis meses y dos años.

Cuando un certificado se acerca al final de su período de vigencia, es preciso renovarlo para que el propietario pueda seguir utilizando el certificado o bien reemplazarlo. Para proceder a la renovación, el solicitante ya debe poseer un certificado. La información del certificado actual se tiene en cuenta cuando se envía la solicitud de renovación. Podrá renovar el certificado con una clave nueva o bien utilizar la clave actual.

Inscripción automática de certificados

La inscripción automática de certificados es una característica de los servicios de Certificate Server en Windows Server 2003 Enterprise Edition, en virtud de la cual se firma automáticamente una solicitud de renovación mediante el certificado existente para obtener un nuevo certificado. Esta característica constituye una ayuda en la administración de grandes cantidades de certificados. Para obtener más información acerca de la inscripción automática de certificados, consulte el artículo sobre inscripción automática de certificados en Windows Server 2003, en la dirección http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/autoenro.mspx.

Supervisión del uso de las tarjetas inteligentes

Los administradores utilizan cuentas habilitadas para el uso de tarjetas inteligentes cuando realizan operaciones que requieren privilegios elevados, como el reinicio de servidores, la administración de cuentas de usuarios y la configuración de permisos relacionados con archivos. Un administrador malintencionado o poco preparado tiene muchas probabilidades de dañar la infraestructura de la red. En consecuencia, es necesario supervisar los registros de seguridad para tener constancia de cuándo inician y cierran sesión los administradores con tarjetas inteligentes.

Las herramientas de administración empresarial que pueden supervisar y evaluar los registros de eventos, como Microsoft Operations Manager (MOM) 2005, resultan adecuadas para la supervisión del uso de las tarjetas inteligentes. Para obtener más información acerca de la supervisión de los registros de eventos de seguridad, consulte el artículo sobre la guía de implantación de supervisión de seguridad y detección de ataques, en la dirección http://go.microsoft.com/fwlink/?LinkId=41309.

Principio de la página

Problemas y requisitos

En esta sección se describen los problemas y requisitos específicos que tuvo que afrontar Woodgrove National Bank durante el diseño de una solución para proteger las cuentas de los administradores con tarjetas inteligentes.

Información de referencia

Woodgrove National Bank posee varios servidores de especial importancia que precisan un estricto control administrativo y acceso seguro. Actualmente, los administradores se autentican para el acceso a esos servidores críticos mediante una combinación de nombre de usuario y contraseña. Algunos usuarios no autorizados han intentado el acceso a los servidores críticos con credenciales robadas.

Problemas empresariales

Woodgrove National Bank ha identificado los tres siguientes problemas de continuidad y responsabilidad de los administradores:

•	Responsabilidad. El departamento de TI no puede comprobar los cambios importantes que puedan realizar en los servidores los administradores que utilizan la autenticación basada en el nombre de usuario y la contraseña, ya que es habitual que los administradores compartan las credenciales.
•	Protección de credenciales. Un usuario malintencionado o sin escrúpulos que robe las credenciales de un administrador puede perjudicar seriamente la reputación de una organización y originar costos económicos asociados a los tiempos de inactividad. La autenticación con tarjetas inteligentes reduciría considerablemente la posibilidad de robo de credenciales de administrador.
•	Continuidad empresarial. Como Woodgrove National Bank no puede permitir que los cambios de configuración de red afecten a los servicios de la empresa es esencial un planteamiento planeado al detalle en la fase de implantación de la solución de tarjetas inteligentes.

Problemas técnicos

El departamento de TI de Woodgrove National Bank ha identificado los siguientes problemas técnicos que deben superarse para implantar una solución basada en tarjetas inteligentes:

•	Compatibilidad con los lectores de tarjetas inteligentes. El hardware de los servidores a los que los administradores necesiten tener acceso con tarjetas inteligentes debe ser compatible con un lector de tarjetas inteligentes.
•	Implantar procedimientos recomendados para las operaciones. La integridad de una implantación de tarjetas inteligentes depende de una administración y un mantenimiento efectivos a largo plazo. El equipo de TI de Woodgrove National Bank debe implantar los procedimientos recomendados para los operaciones que se destacan en Microsoft Operations Framework (MOF).
•	Tareas programadas que se ejecutan con derechos de administrador en un servidor con restricción para tarjetas inteligentes. Woodgrove National Bank ejecuta tareas programadas en las que se utilizan cuentas con privilegios de nivel de administrador. Woodgrove National Bank necesita revisar estas cuentas y, en la medida de lo posible, utilizar cuentas que no requieran privilegios administrativos. Asimismo, Woodgrove National Bank debe implantar un grupo de exclusiones permanentes que incluya las cuentas con las que se ejecuten tareas programadas, de modo que queden exentas del requisito de iniciar sesión con un tarjeta inteligente.
•	Integración con UNIX. Woodgrove National Bank opera en un entorno heterogéneo, por lo que la integración de las tarjetas inteligentes con los equipos en los que se ejecuta UNIX constituye un motivo de preocupación. Woodgrove National Bank planea investigar productos tales como TrustBroker, de CyberSafe Limited, que proporcionen autenticación con tarjetas inteligentes tanto para Windows como para UNIX.

Problemas de seguridad

El uso de tarjetas inteligentes como medida de protección de las cuentas de los administradores tiene por objeto mejorar los niveles de seguridad y responsabilidad. El departamento de TI de Woodgrove National Bank ha identificado los siguientes aspectos relacionados con la seguridad que el banco debe abordar para poder implantar la solución:

•	Distribución y activación. La distribución y activación de las tarjetas inteligentes son importantes para mantener la integridad de la solución. Como Woodgrove National Bank cuenta con sedes en todo el mundo, el departamento de TI de Woodgrove no puede distribuir las tarjetas inteligentes desde una sola ubicación. La comprobación de los destinatarios de las tarjetas inteligentes es esencial para mantener la integridad del proyecto. Woodgrove National Bank planea implantar equipos de seguridad que utilicen datos de identificación de Recursos humanos para asegurarse de que cada tarjeta inteligente que se emite corresponde a la persona adecuada.
•	Privilegios mínimos para los derechos administrativos. Woodgrove National Bank debe examinar su modelo actual de administración de red y reducir el número de cuentas de usuarios y servicios que se ejecutan con plenos privilegios administrativos. El banco debe asignar únicamente los privilegios que necesiten los administradores para realizar su trabajo. El análisis y la reducción del número de cuentas de administrador pueden facilitar la implantación, supervisión y administración continua de la solución basada en tarjetas inteligentes.
•	Administración de cuentas de servicios. El equipo de TI de Woodgrove revisó las cuentas de servicios de programas y se ha asegurado de reducir al mínimo el número de servicios que requieren un contexto de seguridad de administrador. Se ha indicado la actualización o el reemplazo de numerosos programas.
•	Una tarjeta inteligente para cada bosque en una relación de plena confianza. Woodgrove National Bank tiene dos bosques vinculados por una relación de confianza bidireccional. Aunque una tarjeta inteligente puede contener varios certificados, Windows Server 2003 utiliza únicamente el certificado que se encuentra en la ranura 0 de la tarjeta inteligente para el inicio de sesión interactivo. Para este diseño es necesario que los administradores de red que trabajan con más de un bosque no vinculado tengan varias tarjetas inteligentes. Sin embargo, un administrador con una tarjeta inteligente tiene acceso a recursos en todos los bosques con los que el bosque que autentica al administrador mantiene una relación de confianza completa, a menos que este acceso se vea anulado por una restricción de seguridad en el bosque que confía.
•	Administración de NIP. La seguridad e integridad de la solución basada en tarjetas inteligentes aumenta si los usuarios pueden cambiar de NIP con facilidad. El departamento de TI de Woodgrove National Bank adquirió por tanto al fabricante de tarjetas inteligentes seleccionado las herramientas de administración de NIP adecuadas.

Requisitos de la solución

Después de revisar la fase piloto inicial, el departamento de TI de Woodgrove elaboró requisitos específicos para la solución. La solución empleada por Woodgrove National Bank para contribuir a la protección de las cuentas de administradores que tienen tarjetas inteligentes debe:

•	Establecer la necesidad de una tarjeta inteligente válida para un inicio de sesión de inicio interactivo, secundario o de Escritorio remoto en los servidores protegidos.
•	Distribuir y activar tarjetas inteligentes de un modo seguro y con puntualidad.
•	Proporcionar una auditoría del acceso a los servidores seguros y recopilar los datos de seguridad resultantes en un repositorio central.
•	Habilitar la administración y la supervisión del uso de las tarjetas inteligentes.
•	Asegurar una rápida revocación de los certificados que se encuentren expuestos, como los de las tarjetas inteligentes que se hayan perdido o hayan sido sustraídas.
•	Proporcionar una estructura para la administración continua.

Woodgrove National Bank ha identificado distintos problemas empresariales, técnicos y de seguridad que surgieron durante el plan inicial. El departamento de TI de Woodgrove realizó un análisis para responder a estos problemas y llevó a cabo pruebas de soluciones provisionales y revisiones. Woodgrove National Bank ha creado planes detallados para la fase de implantación de la solución.

Principio de la página

Diseño de la solución

Después de comprender los problemas empresariales, técnicos y de seguridad a los que debe responder la solución de seguridad basada en tarjetas inteligentes, puede diseñar una solución que se adapte a su entorno. En el proceso de diseño se identifican los elementos esenciales y se analiza la lógica de los requisitos de planeamiento de la solución.

Woodgrove National Bank ha llevado a cabo esta valoración. En esta sección se describen los problemas a partir del plan inicial que los diseñadores de sistemas de Woodgrove National Bank tuvieron en cuenta, las conclusiones a las que llegaron y las decisiones sobre diseño que adoptaron.

En esta sección se ponen de relieve las opciones de diseño elegidas por el departamento de TI de Woodgrove National Bank para contribuir a proteger las cuentas de los administradores mediante tarjetas inteligentes. Se detalla el concepto de la solución y sus requisitos previos; además, se describe la arquitectura planeada por la entidad Woodgrove National Bank.

Concepto de la solución

En la solución propuesta, para todas las actividades de administración de servidores se precisa la autenticación de la identidad del administrador por medio de la presentación de un certificado almacenado en una tarjeta inteligente y el NIP correspondiente. En la solución se utiliza una combinación de opciones de Directiva de grupo, certificados de usuario X.509 versión 3 (v3), tarjetas inteligentes y lectores de tarjetas inteligentes. Para la solución se precisa la instalación de un certificado X.509 v3 en la tarjeta inteligente.

Para iniciar sesión en un servidor, el administrador inserta la tarjeta inteligente en un lector instalado en el equipo. La inserción de la tarjeta provoca que el sistema operativo pida el NIP. El administrador escribe el NIP de la tarjeta inteligente. Si el NIP es correcto, el administrador podrá obtener acceso al servidor en calidad de administrador.

Requisitos previos de la solución

Cuando se pretende abordar un proyecto de esta naturaleza, es necesario cumplir algunos requisitos previos. Entre estos requisitos previos se encuentra la selección del equipo del proyecto, las consultas con los usuarios, la implantación de pruebas o fases piloto y la necesidad de actualizar el hardware y el software para responder a las exigencias de la solución.

Consultas a los equipos administrativos

Una consideración muy importante cuando se plantea el cambio de un servicio es la consulta a los usuarios y grupos a los que afecta. Por su parte, los usuarios deben saber a qué atenerse con respecto a las posibilidades y limitaciones del servicio. Las consultas mutuas y la administración de las expectativas de los usuarios suelen ser decisivas para la aceptación de la solución por parte de los usuarios. Deberán establecerse objetivos cuantificables para poder juzgar el éxito del proyecto. Entre estos objetivos cabría incluir la reducción de los incidentes relacionados con la seguridad debidos al robo de credenciales.

Woodgrove National Bank opera en varios países y regiones y utiliza centros regionales de soporte. El equipo de diseño inicial sondeó a los equipos administrativos de todas las sedes con el fin de identificar servidores aptos para la solución basada en tarjetas inteligentes. El equipo también identificó qué servidores no se podrían actualizar para cumplir con los requisitos previos de la solución dentro de una escala temporal aceptable.

Selección del equipo del proyecto

Asegúrese de contar con el personal y los recursos adecuados para implantar un proyecto de estas características. Es probable que el equipo del proyecto recabe opiniones de los siguientes representantes:

•	Director del programa
•	Diseñador de sistemas de información
•	Analista o integrador de sistemas
•	Ingenieros de sistemas
•	Responsable de lanzamiento de productos
•	Responsable de pruebas de productos
•	Responsable de soporte o asistencia técnica
•	Especialista de soporte a los usuarios
•	Responsables de seguridad

Para obtener más información acerca de los oficios representativos y las asociaciones de funciones en MOF, consulte el documento (en inglés) The Microsoft Solutions Framework Supplemental Whitepapers – IT Occupation Taxonomy, en la dirección www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053

Si no dispone de los recursos internos necesarios, deberá contratar más personal. Como este proyecto no suele precisar la intervención simultánea del personal participante en todas las etapas, será preciso determinar la disponibilidad individual a lo largo del proyecto.

Arquitectura de la solución

La implantación de una solución basada en tarjetas inteligentes para contribuir a proteger las cuentas de los administradores requiere lo siguiente:

•	Active Directory.
•	Directiva de grupo.
•	Windows Server 2003 Enterprise Edition, infraestructura de claves públicas (PKI).
•	Que los servidores en los que se ejecuta Windows Server 2003 dispongan de lectores de tarjetas inteligentes.
•	Estaciones de inscripción.
•	Personalización de las tarjetas inteligentes.
•	Herramientas de administración de NIP.

Antes de implantar la solución, Woodgrove National Bank llevó a cabo los siguientes procedimientos:

•	Se actualizaron los servicios de Certificate Server a Windows Server 2003 Enterprise Edition o posterior.
•	Se actualizaron todos los servidores administrados a Windows Server 2003 para posibilitar el inicio de sesión interactivo que utilizan los servicios de Terminal Server. Este requisito depende de la compatibilidad de la aplicación.
•	Se personalizaron las plantillas de certificados para tarjetas inteligentes y se establecieron los permisos correspondientes.
•	Se crearon y probaron objetos de directiva de grupo (GPO) para el uso obligado de tarjetas inteligentes, así como para las exclusiones temporales y permanentes.

El departamento de TI de Woodgrove National Bank también implantó soluciones para responder a los siguientes retos:

•	Distribución de las tarjetas inteligentes.
•	Activación de las tarjetas inteligentes.
•	Administración y soporte de las tarjetas inteligentes.
•	Administración de excepciones.

Distribución de las tarjetas inteligentes

Antes de proceder a la distribución de las tarjetas inteligentes, el departamento de TI de Woodgrove National Bank asignó las cuentas de sus administradores a un grupo de seguridad de ensayo en Active Directory. Se precisó un equipo de responsables de seguridad para comprobar las identidades de los administradores y para distribuir las tarjetas inteligentes. Al hacerse entrega de la tarjeta al administrador, el departamento de TI traslada la cuenta de esa persona del grupo de ensayo al grupo de usuarios de tarjetas inteligentes. A partir de ahí, el administrador tiene acceso al servidor Web de activación para activar su tarjeta inteligente y cambiar el NIP.

Activación de las tarjetas inteligentes

Como los administradores reciben sus tarjetas inteligentes en estado pendiente, es preciso activar las tarjetas para poder utilizarlas. El administrador activa su tarjeta inteligente cuando la inserta en un lector, especifica un desafío y después cambia el NIP.

Administración y soporte de tarjetas inteligentes

Aunque los administradores de Woodgrove National Bank son un grupo bien preparado técnicamente, el equipo de implantación del sistema de tarjetas inteligentes tenía que trabajar estrechamente con el departamento de asistencia. El personal de asistencia precisaba la formación adecuada para responder a las consultas que pudieran surgir.

Administración de excepciones

Woodgrove National Bank instituyó una directiva corporativa en previsión de los casos de pérdida, robo o descuido de tarjetas. En los casos de pérdida o robo de tarjetas, el departamento de TI revoca todos los certificados asignados y emite nuevas tarjetas en un plazo no superior a 24 horas. Cuando un administrador olvida llevar al trabajo su tarjeta inteligente, el departamento de TI mueve su cuenta a un grupo de excepciones, en el que permanece durante 24 horas. El hecho de pertenecer al grupo de excepciones exime del requisito de iniciar sesión con tarjeta inteligente. Aunque se podría revocar un certificado, eso no significa que la tarjeta inteligente quede desactivada durante ese mismo período. Woodgrove debe revisar las directivas de CRL para que coincidan con las de seguridad.

Un grupo independiente contiene excepciones permanentes al requisito de uso de tarjetas inteligentes, para casos como los de las cuentas de servicios y las tareas programadas.

Revocación de certificados

Los certificados de inicio de sesión con tarjetas inteligentes para los administradores de Woodgrove National Bank utilizan direcciones URL de intranet para localizar la CRL y consultar los certificados revocados. El departamento de TI implantó la función de equilibrio de carga de red (NLB) de Windows para garantizar una alta disponibilidad del sitio Web en el que se aloja la CRL.

Renovación de certificados

El departamento de TI de Woodgrove National Bank elaboró un proceso de renovación de certificados que requiere que el jefe del administrador apruebe la solicitud de renovación de cada tarjeta inteligente. Después de que el responsable apruebe una solicitud, se utiliza el certificado actual para firmar la solicitud de certificado y se procede a la renovación del certificado de la tarjeta inteligente.

Supervisión de la solución

Woodgrove National Bank utiliza Microsoft Operations Manager (MOM) 2005 para recopilar y analizar registros de eventos de seguridad, además de supervisar la disponibilidad y el rendimiento de la solución. La solución basada en tarjetas inteligentes se integra con MOM, supervisa los registros de eventos de seguridad, proporciona alertas y presenta informes de uso. Woodgrove National Bank planea revisar trimestralmente el servicio y elaborar informes a partir de los datos de MOM.

Cómo funciona la solución

En esta sección se describen en detalle los procesos que se suceden durante la autenticación en un inicio de sesión con tarjeta inteligente.

1.	Un administrador inserta una tarjeta inteligente en el lector conectado a un equipo con el archivo DLL de Autenticación e identificación gráfica de Microsoft (MSGINA). El equipo pide al usuario que escriba el NIP.
2.	MSGINA transfiere el NIP a la autoridad de seguridad local (LSA) y el equipo utiliza el NIP para obtener acceso a la tarjeta inteligente.
3.	El paquete Kerberos del cliente lee el certificado X.509 v3 y la clave privada de la tarjeta inteligente del administrador.
4.	El paquete Kerberos envía una solicitud de autenticación al servicio del Centro de distribución de claves (KDC) que se ejecuta en un controlador de dominio, para solicitar la autenticación y un tíquet de obtención de tíquet (TGT, Ticket Granting Ticket). La solicitud del servicio de autenticación consta de un certificado de atributos de privilegios (PAC), en el que se enumeran el identificador de seguridad del usuario (SID), los SID de todos los grupos a los que pertenezca el usuario y una solicitud para el servicio de obtención de vales (TGS, Ticket Granting Service), junto con los datos de preautenticación.
5.	El KDC comprueba la ruta de certificación del certificado del usuario para asegurarse de que el certificado procede de un origen de confianza. El KDC utiliza CAPI (CrytoAPI) para crear una ruta de certificación desde el certificado del administrador hasta un certificado de la entidad emisora de certificados raíz que se encuentra en el almacén raíz del controlador de dominio. El KDC utiliza después CryptoAPI para comprobar la firma digital en el autenticador incluido como datos firmados en los campos de datos de preautenticación. El controlador de dominio comprueba la firma y utiliza la clave pública del certificado del administrador para demostrar que la solicitud procedía del propietario de la clave pública. El KDC también comprueba que el emisor es de confianza y aparece en el almacén de certificados NTAUTH.
6.	El servicio KDC recupera la información de las cuentas de los usuarios desde Active Directory a partir del nombre principal de usuario (UPN) especificado en el campo Nombre alternativo del sujeto del certificado del administrador. El KDC construye un TGT a partir de la información de la cuenta del usuario que recupera de Active Directory. El TGT incluye el identificador de seguridad del usuario (SID), los SID de todos los grupos del dominio a los que pertenece el administrador y (en un entorno con varios dominios), los SID de todos los grupos universales de los que es miembro el usuario. Los campos de datos de autorización del TGT incluyen la lista de SID. Nota: Un SID es un identificador de seguridad que se genera para cada usuario o grupo en el momento en el que se crea una cuenta de usuario o un grupo dentro de la base de datos local de cuentas de seguridad en equipos con Windows NT o superiores, o bien dentro de Active Directory. El SID nunca se modifica, aunque se cambie el nombre de la cuenta del usuario o del grupo
7.	El controlador de dominio devuelve el TGT al cliente. El cliente o la tarjeta descifran el TGT y utilizan su clave privada para obtener la clave secreta del KDC. Esta operación depende del tipo de tarjeta o certificado que se utilice.
8.	El cliente valida la respuesta del KDC. En primer lugar comprueba la firma del KDC mediante la construcción de una ruta de certificación desde el certificado del KDC hasta una entidad emisora de certificados raíz de confianza y después utiliza la clave pública del KDC para comprobar la firma de respuesta.

El proceso se muestra en la siguiente ilustración.

Ilustración 3.1 Proceso de autenticación en el inicio de sesión con tarjeta inteligente
Ver la imagen en tamaño completo

El departamento de TI de Woodgrove National Bank vinculó un GPO a las unidades organizativas en las que se encuentran los servidores para los que se precisa autenticación con tarjetas inteligentes. Este GPO aplica los cambios a las siguientes opciones de configuración del equipo:

•	Para el inicio de sesión interactivo se requiere una tarjeta inteligente.
•	La extracción de la tarjeta inteligente provoca el cierre de la sesión.

Estas opciones de configuración contribuyen a evitar que los administradores compartan las tarjetas inteligentes o que dejen un servidor desatendido con una sesión iniciada.

Ampliación de la solución

Woodgrove National Bank prevé la integración de la solución basada en tarjetas inteligentes en el proceso de administración de cambios en las aplicaciones y el servidor. El objetivo consiste en autenticar todas las etapas del proceso de administración de cambios e integrar ese proceso en el flujo de trabajo. Por ejemplo, para aplicar cambios al servidor Web de Woodgrove se precisaría la comprobación de dos o más administradores Web.

Resumen

El uso de tarjetas inteligentes para autenticar cuentas de administradores permite reducir el acceso fraudulento a equipos de especial importancia y aumenta la integridad y la responsabilidad de la administración de los servidores. La implantación de tarjetas inteligentes para los administradores reportará a la organización ventajas como la reducción de los incidentes relacionados con la seguridad y una mayor calidad de los procedimientos administrativos.

Principio de la página

4 de 7

En este artículo

•	Información general
•	Capítulo 1: Introducción
•	Capítulo 2: Tecnologías de tarjeta inteligente
•	Capítulo 3: Uso de tarjetas inteligentes para la protección de las cuentas de los administradores
•	Capítulo 4: Uso de tarjetas inteligentes para la protección de las cuentas de acceso remoto
•	Apéndice A: Vínculos relacionados
•	Agradecimientos

Descargar

Guía de planeamiento de supervisión de la seguridad y detección de ataques