Guía de planeamiento de la seguridad de servicios y cuentas de servicios

Información general

Actualizado: mayo 31, 2005

Esta guía constituye un importante recurso para planear estrategias de ejecución de servicios de forma segura con los sistemas operativos Microsoft® Windows Server™ 2003 y Windows® XP. Trata el problema habitual de los servicios de Windows establecidos para ejecutarse con los mayores privilegios posibles, que un atacante podría poner en peligro para obtener acceso completo y sin restricciones al equipo o dominio, o incluso a todo el bosque. Describe las formas de identificación de servicios que se pueden ejecutar con menores privilegios y explica cómo reducir dichos privilegios metódicamente. Esta guía le servirá de ayuda para evaluar la infraestructura actual de los servicios y tomar decisiones importantes en el planeamiento de futuras implementaciones.

Microsoft ya ha comprobado la ejecución de los servicios incluidos en los sistemas operativos Windows Server 2003 y Windows XP con las cuentas de inicio de sesión predeterminadas, con el fin de garantizar que se ejecutan con el nivel mínimo de privilegios posible y que resultan lo suficientemente seguros. Estos servicios no necesitan modificarse. El principal objeto de análisis de esta guía consiste en asegurar los servicios que no se proporcionan con el sistema operativo como, por ejemplo, los que se ofrecen como componente de otros productos del servidor de Microsoft: por ejemplo, Microsoft SQL Server™ o Microsoft Operations Manager (MOM). Los servicios instalados con aplicaciones de software de terceros y las aplicaciones de la línea de negocios desarrolladas de forma interna pueden requerir mejoras de seguridad adicionales.

El objetivo fundamental de esta guía es el de ayudar a los administradores a reducir el efecto de un servicio en situación de riesgo en un sistema operativo host. La guía se basa en la experiencia de Security Center of Excellence (SCoE) en entornos de clientes y representa las prácticas recomendadas de Microsoft.

En esta página
Información generalInformación general
Motivos para una ejecución más segura de los serviciosMotivos para una ejecución más segura de los servicios
Destinatarios de la guíaDestinatarios de la guía
Información general de la guía de planeamientoInformación general de la guía de planeamiento
Comuníquenos su opiniónComuníquenos su opinión

Información general

Las organizaciones deben garantizar una ejecución segura de sus servicios. Si se dispone de directivas y prácticas adecuadas, los servicios no seguros se pueden proteger frente a los ataques. En estos ataques, se facilita acceso a nombres de usuario y contraseñas que el servicio emplea para la autenticación cuando se inicia o se conecta a otros equipos del dominio. En el peor de los casos, un usuario no autorizado puede obtener acceso de administrador de nivel de dominio.

Los servicios de Windows son programas ejecutables que funcionan en sesiones fuera de la sesión del usuario conectado actualmente. Su ejecución se produce en segundo plano, independiente de cualquier sesión de usuario. Los servicios pueden comenzar automáticamente cuando se inicie el equipo, se pueden detener y volver a iniciar y por sí mismos no muestran ninguna interfaz de usuario (IU), aunque se suelen comunicar con una de ellas para su control y administración. Debido a este comportamiento, los servicios resultan idóneos para utilizarse en un servidor o donde sea necesaria una funcionalidad a largo plazo que no interfiera con otros usuarios que se encuentren trabajando en el mismo equipo. Además de los servicios creados por Microsoft, muchos otros proveedores diseñan productos para que se implementen como servicios que se ejecutan continuamente en segundo plano.

La vulnerabilidad de seguridad de los servicios se origina en el modo en que las organizaciones han acostumbrado a implementarlos. Al igual que sucede con los usuarios, los servicios requieren un medio de autenticación para utilizar recursos de red o equipo. Antes del lanzamiento del sistema operativo Windows 2000, los servicios que tenían acceso a los recursos de una red debían utilizar una cuenta de usuario de dominio para autenticarse en cada servidor remoto que utilizaran, ya que la cuenta del sistema local no podía realizar la autenticación en la red. Con Windows 2000, la cuenta del sistema local se modificó para permitir la autenticación en los recursos de red, al igual que sucede con las cuentas de usuario de dominio, aunque en cambio se utilizan las credenciales del equipo para la autenticación. Una cuenta de equipo es esencialmente una cuenta de usuario que no dispone del atributo UserAccountControl, por lo que este tipo de cuentas puede iniciar sesión y tener acceso a los recursos del mismo modo que un usuario. Debido a estos cambios, la cuenta del sistema local pasó a ser una de las cuentas más habituales en la implementación de servicios. Con la aparición de Windows Server 2003, la situación volvió a cambiar cuando se agregaron dos nuevos tipos de cuenta integrada similar al sistema local: la cuenta Servicio de red y la cuenta Servicio local.

La nueva cuenta Servicio de red también utiliza las credenciales del equipo cuando se autentica de forma remota, aunque tiene un nivel de privilegio muy reducido en el propio servidor, por lo que no dispone de privilegios de administrador local. La cuenta Servicio local tiene los mismos privilegios reducidos que la cuenta Servicio de red, pero, como su propio nombre indica, no dispone de la capacidad de autenticar en los recursos de red.

La ejecución más segura de los servicios es una iniciativa importante para las organizaciones que desean garantizar la seguridad de sus activos de red.

Motivos para una ejecución más segura de los servicios

Si los servicios se ejecutan de forma más segura, se pueden obtener importantes ventajas empresariales. Con la mejora de la seguridad de los servicios, se podrá reducir con rapidez el tamaño del área de superficie de ataque de los equipos, mejorar la seguridad organizativa general y ayudar a proteger los datos confidenciales y críticos. Los equipos serán más estables y el tiempo de actividad del sistema mejorará. Se puede reducir la carga administrativa y, por lo tanto, el costo de propiedad de los servidores de la organización.

Esta guía le servirá de ayuda para evaluar la infraestructura actual de los servicios y tomar decisiones importantes en el planeamiento de futuras implementaciones.

Destinatarios de la guía

Esta guía se destina a consultores, expertos en seguridad, arquitectos de sistemas y profesionales de TI responsables de las fases de planeamiento del desarrollo de la aplicación o infraestructura, así como de la implementación de Windows Server 2003. Entre las descripciones de las tareas habituales para estas funciones, se encuentran:

Arquitectos y programadores responsables de las tareas en materia de arquitectura para los clientes de sus organizaciones.

Expertos en seguridad de TI que garanticen la seguridad en las distintas plataformas de sus organizaciones.

Arquitectos empresariales que administren toda la empresa y no sólo una red concreta.

Administradores de TI que determinen qué tecnología se debe emplear para resolver determinados problemas empresariales.

Analistas empresariales y responsables de la toma de decisiones que cuenten con requisitos y objetivos empresariales de vital importancia que dependen de la compatibilidad del cliente.

Consultores de socios y servicios de Microsoft que necesiten recursos detallados de información útil y relevante para socios y clientes empresariales.

Aunque se ha elaborado fundamentalmente para estas funciones, la Guía de planeamiento de la seguridad de servicios y cuentas de servicios también puede resultar útil para los generalistas de TI en organizaciones de mediano y gran tamaño, y las funciones de los equipos de infraestructura, operaciones y seguridad identificadas en el modelo de equipo de Microsoft Operations Framework (MOF).

Información general de la guía de planeamiento

Esta guía incluye los siguientes capítulos:

Capítulo 1: Introducción

En este capítulo se ofrece un resumen ejecutivo, se presentan las ventajas y desafíos empresariales, se sugieren los destinatarios recomendados de la guía y se brinda información general de los demás capítulos.

Capítulo 2: Cómo mejorar la seguridad de la ejecución de servicios

En este capítulo se facilita información general sobre los tipos de cuenta utilizados para iniciar sesión en los servicios y se describen los principios y estrategias que se aplican para que el programa ejecute los servicios de forma más segura.

Capítulo 3: Ejecución más segura de servicios

En este capítulo se describe la forma de ejecutar servicios de un modo más seguro con los principios y estrategias incluidos en el capítulo anterior. Asimismo, se analiza el nuevo Asistente para configuración de seguridad en Windows Server 2003 Service Pack 1, recurso indispensable en el plan de ejecución más segura de servicios.

Capítulo 4: Resumen

En este capítulo se resumen las instrucciones y los problemas analizados en esta guía. Incluye vínculos relacionados con importante material de lectura adicional.

Comuníquenos su opinión

Microsoft valora su opinión acerca de este material. Agradeceríamos en especial cualquier comentario relacionado con las preguntas siguientes:

¿En qué medida ha resultado útil la información proporcionada?

¿Fueron los procedimientos paso a paso precisos?

¿Le resultaron los capítulos fáciles de leer e interesantes?

¿Cómo calificaría esta solución en líneas generales?

Envíe sus comentarios a la siguiente dirección de correo electrónico: cisfdbk@microsoft.com


**
**
**
Descargar
DescargarGuía de planeamiento de la seguridad de servicios y cuentas de servicios
**