Guía de planeamiento de la seguridad de servicios y cuentas de servicios

Capítulo 4: Resumen

Actualizado: mayo 31, 2005

Antes, los desarrolladores basaban los sistemas operativos de red en la idea de conceder prioridad al acceso, lo cual era una política válida para la mayor parte de las organizaciones de entonces. Si los usuarios no podían tener acceso a los recursos o ejecutar los servicios que necesitaban, perdían productividad. Se otorgaba más importancia a la necesidad de un fácil acceso y de servicios de ejecución sencilla, que a los riesgos relacionados con las intrusiones o ataques. No obstante, con la presencia cada vez mayor de creadores de virus y de códigos malintencionados, los riesgos han aumentado. En la actualidad, la seguridad es el objetivo prioritario para la mayoría de las organizaciones.

En el pasado, las aplicaciones y servicios se solían instalar en un entorno empresarial con los mayores permisos posibles para garantizar una funcionalidad completa.

Esto se debía a una serie de factores:

Los proveedores de software, incluyendo Microsoft, no tenían una visión global de los entornos de red del cliente.

Los clientes disponían de productos de diferentes proveedores de software que requerían interoperabilidad.

Se suponía que los usuarios que instalaban las aplicaciones y los que las ejecutaban formaban parte de un mismo grupo.

Sin embargo, estos factores también significaban que las organizaciones concedían a las cuentas de servicios niveles de privilegio mucho más elevados de lo necesario, y que las aplicaciones y servicios se convertían en el principal punto de vulnerabilidad que los atacantes podían aprovechar.

Los fabricantes independientes de software (ISV) se han enfrentado de alguna forma a este problema con la mayor integración de la seguridad basada en funciones en las aplicaciones que utilizan Microsoft® .NET Framework y entornos de desarrollo como Microsoft Visual Studio® 2005.

Asimismo, Microsoft se ha ocupado del problema a través de importantes cambios en su sistema operativo más reciente, Microsoft Windows Server™ 2003. La configuración básica de Windows Server 2003 hace que este sistema operativo sea más seguro desde un principio.

Entre los cambios realizados en el sistema operativo, se incluyen diferencias en los permisos predeterminados para recursos de archivo y carpetas compartidas, cambios en la pertenencia al grupo Todos y en la pertenencia de objetos, modificaciones en la configuración predeterminada para servicios comunes y cambios en el proceso de autenticación.

Para obtener más información sobre las diferencias de la configuración de seguridad predeterminada en Windows Server 2003 respecto a versiones anteriores de Windows, consulte el tema Diferencias en la configuración de seguridad predeterminada en http://www.microsoft.com/technet/prodtechnol/
windowsserver2003/es/library/ServerHelp/1494bf2c-b596-4785-93bb-bc86f8e548d5.mspx.

Los servicios siguen siendo los principales puntos de vulnerabilidad para los atacantes y aquellos que se ejecutan con demasiados privilegios representan un riesgo especialmente elevado. Si no se necesita utilizar un determinado servicio, es recomendable deshabilitarlo. De este modo, se reduce inmediatamente la superficie de ataque para la red. Los servicios que no autentican a los clientes o que emplean protocolos inseguros también suponen un alto riesgo. Para obtener más información, consulte la guía Aislamiento de servidor y dominio mediante IPsec y Directiva de grupo en http://go.microsoft.com/fwlink/?linkid=33945.

Cuando los servicios sean necesarios, identifique un proceso por el cual los administradores determinen qué servicios de Windows utilizan privilegios elevados, establezcan los menores privilegios posibles necesarios para ejecutarlos y, a continuación, vuelvan a implementarlos con privilegios de inferior nivel, según corresponda.

En esta página
Pasos siguientesPasos siguientes
Lecturas adicionalesLecturas adicionales

Pasos siguientes

Si una organización aún no ha implementado ningún programa que defina cómo ejecutar servicios de forma segura, esta guía proporciona una base para planear dicho proyecto.

Los principales pasos que hay que tomar al planear la ejecución segura de servicios son los siguientes:  

Definir un proceso que identifique los niveles de privilegio existentes en los servicios de Windows.

Identificar una manera metódica de establecer el nivel de privilegio mínimo con el que se ejecutará cualquier servicio.

Definir una forma sistemática de reducción de privilegios en servicios no predeterminados con un impacto mínimo en el entorno de producción.

Lecturas adicionales

La integridad de un programa que ejecuta servicios con seguridad depende de su mantenimiento a largo plazo. En Microsoft Operations Framework (MOF), se incluye información general sobre las prácticas operativas más recomendadas. Para obtener más información sobre MOF, consulte el sitio de Microsoft Operations Framework en www.microsoft.com/technet/itsolutions/cits/mo/mof/default.mspx (en inglés).

Esta guía consta fundamentalmente de una serie de prácticas recomendadas. Para obtener información adicional sobre los mejores procedimientos para la ejecución segura de servicios, consulte los siguientes recursos:

Para obtener más información sobre los servicios del sistema para Windows Server 2003, consulte el capítulo 7, "Servicios del sistema", de la guía Introducción a las amenazas y contramedidas: Configuración de la seguridad en Windows Server 2003 y Windows XP en http://www.microsoft.com/spain/technet/recursos/
articulos/secmod48.mspx.

Para obtener más información sobre cómo Windows Server 2003 con Service Pack 1 mejora la seguridad, aumenta la confiabilidad y simplifica la administración, consulte el sitio de Windows Server 2003 Service Pack 1 en http://www.microsoft.com/spain/servidores/windowsserver2003/
download/sp1/default.mspx.

Para obtener más información sobre cómo Windows Server 2003 utiliza la infraestructura de servicios de Active Directory® y Directiva de grupo, consulte Políticas de Grupo en http://www.microsoft.com/spain/servidores/windowsserver2003/
technologies/management/grouppolicy/default.aspx.

Para obtener más información sobre MBSA, consulte el sitio de Microsoft Baseline Security Analyzer (MBSA) en http://www.microsoft.com/spain/technet/seguridad/herramientas/mbsa.mspx.

Para obtener más información sobre el Instrumental de administración de Windows, consulte:

WMI: Introducción al Instrumental de administración de Windows en http://www.microsoft.com/technet/prodtechnol/windowsserver2003/es/library/ServerHelp/03d4cfdf-bc6b-41cd-8154-462cf51e8c70.mspx.

Introducción al Instrumental de administración de Windows en http://www.microsoft.com/windows2000/es/advanced
/help/default.asp?url=/windows2000/es/advanced/help/windows_wmi_overview.htm.

Para obtener más información sobre la seguridad en los sistemas operativos Windows actuales, consulte:

Guía de consolidación de la seguridad de Windows 2000 en http://go.microsoft.com/fwlink/?LinkID=22380 (en inglés).

Guía de seguridad de Windows Server 2003 en http://go.microsoft.com/fwlink/?LinkId=14845.

Guía de seguridad de Windows XP en http://go.microsoft.com/fwlink/?LinkId=14839.

Introducción al servicio y requisitos del puerto de red para el sistema Windows Server en http://support.microsoft.com/?kbid=832017.


**
**
**
Descargar
DescargarGuía de planeamiento de la seguridad de servicios y cuentas de servicios
**