Guía de seguridad de Windows Vista

Información general

Publicado: noviembre 8, 2006

Bienvenido a la Guía de seguridad de Windows Vista. Esta guía proporciona instrucciones y recomendaciones para reforzar la seguridad de los equipos de escritorio y portátiles en los que se ejecute Windows Vista™, en un dominio con el servicio de directorio Active Directory®.

Además de las soluciones que recomienda la Guía de seguridad de Windows Vista, incluye herramientas, procedimientos paso a paso, recomendaciones y procesos que simplifican en gran medida el proceso de implementación. La guía no sólo ofrece instrucciones eficaces de configuración de seguridad, sino también un método reproducible que puede usar para aplicar dichas instrucciones a los entornos de prueba y producción.

La herramienta clave que proporciona la Guía de seguridad de Windows Vista es la secuencia de comandos GPOAccelerator.wsf. Esta herramienta permite ejecutar una secuencia de comandos que crea automáticamente todos los objetos de directiva de grupo (GPO) necesarios para aplicar la guía de seguridad. El archivo Windows Vista Security Guide Settings.xls (en inglés) que también acompaña a la guía ofrece otro recurso que puede usar para comparar valores de configuración.

La información de esta guía ha sido revisada y aprobada por equipos de ingeniería, consultores, ingenieros de soporte técnico, socios y clientes de Microsoft para ofrecer un material:

•	Probado. Basado en la experiencia de campo.
•	Serio. Ofrece el mejor asesoramiento disponible.
•	Preciso. Validado y probado desde el punto de vista técnico.
•	Aplicable. Proporciona los pasos necesarios para ejecutar el procedimiento con éxito.
•	Útil. Aborda problemas de seguridad reales.

Los consultores y los ingenieros de sistemas desarrollan recomendaciones para la implementación de Windows Vista, Microsoft® Windows® XP Professional, Windows Server® 2003 y Windows 2000 en diversos entornos. Si va a evaluar Windows Vista para su entorno, la evaluación de preparación para Windows Vista (VRA) (en inglés) puede ayudar a las organizaciones medianas a determinar si sus equipos están preparados para ejecutar el sistema operativo Windows Vista. La VRA realiza rápidamente un inventario de los equipos, identifica la configuración compatible de Windows Vista y recomienda actualizaciones de hardware específicas según sea necesario.

Microsoft ha publicado guías para Windows XP con Service Pack 1 (SP1) y Windows XP con SP2. Esta guía hace referencia a importantes mejoras de seguridad en Windows Vista. Se ha desarrollado y probado con equipos en los que se ejecuta Windows Vista unido a un dominio que usa Active Directory, así como con equipos independientes.

Nota Todas las referencias a Windows XP de esta guía son relativas a Windows XP con SP2, a menos que se indique lo contrario.

En esta página

	Resumen ejecutivo
	Quién debería leer esta guía
	Resumen de capítulos
	Orientaciones y herramientas
	Convenciones de estilo
	Más información
	Agradecimientos

Resumen ejecutivo

Independientemente del entorno, se recomienda encarecidamente que se tomen en serio las medidas de seguridad. Muchas organizaciones subestiman el valor de la tecnología de la información (IT). Si un ataque a los servidores del entorno resulta ser lo suficientemente grave, toda la organización podría verse seriamente afectada. Por ejemplo, si los equipos cliente de la red se ven infectados por software malintencionado, la organización puede perder datos de propietario y afrontar importantes costos operativos para devolverlos a un estado seguro. Los ataques que hacen que los sitios Web dejen de estar disponibles también pueden conllevar una pérdida importante de ingresos o de confianza por parte de los clientes.

La realización de un análisis sobre la vulnerabilidad, los riesgos y las exposiciones de seguridad le ofrecerá información sobre el equilibrio entre seguridad y funcionalidad al que están sujetos todos los sistemas de los equipos de un entorno de red. Esta guía ofrece información sobre los ajustes de seguridad principales disponibles en Windows Vista, los puntos vulnerables que los ajustes ayudan a solucionar y las potenciales consecuencias negativas (si las hay) relacionadas con la implementación de los ajustes.

Esta guía se basa en la Guía de seguridad de Windows XP, que ofrece recomendaciones específicas sobre cómo reforzar los equipos en los que se ejecuta Windows XP con SP2. La Guía de seguridad de Windows Vista ofrece recomendaciones para reforzar los equipos que usen líneas de base de seguridad específicas para los siguientes dos entornos:

•

Cliente de empresa (EC). Los equipos cliente de este entorno se ubican en un dominio que usa Active Directory y sólo necesitan comunicarse con sistemas en los que se ejecute Windows Server 2003. Los equipos cliente de este entorno están mezclados: en unos se ejecuta Windows Vista, mientras que en otros lo hace Windows XP. Para obtener instrucciones sobre cómo probar e implementar el entorno EC, consulte el capítulo 1, "Implementación de líneas de base de seguridad". Asimismo, para obtener información sobre la configuración de seguridad de líneas de base que usa este entorno, consulte el apéndice A, "Configuración de directivas de grupo de seguridad".

•

Seguridad especializada: Funcionalidad limitada (SSLF). La importancia de la seguridad en este entorno es tal, que se acepta una pérdida considerable de funcionalidad y facilidad de uso. Por ejemplo, los equipos de departamentos militares y de inteligencia funcionan en este tipo de entorno. En los equipos cliente de este entorno sólo se ejecuta Windows Vista. Para obtener instrucciones sobre cómo probar e implementar el entorno SSLF, consulte el capítulo 5, "Seguridad especializada: funcionalidad limitada". Asimismo, para obtener información sobre la configuración de SSLF que usa este entorno, consulte el apéndice A, "Configuración de directivas de grupo de seguridad".

Advertencia:

La configuración de seguridad de SSLF no está diseñada para la mayoría de organizaciones empresariales. Esta configuración se ha desarrollado para organizaciones en las que la seguridad es más importante que la funcionalidad.

La organización de la guía permite tener acceso fácilmente a la información que necesite. La guía y sus herramientas asociadas permiten:

•	Implementar y habilitar cualquiera de las líneas de base de seguridad en un entorno de red.
•	Identificar y usar las características de seguridad de Windows Vista en escenarios de seguridad habituales.
•	Identificar el objetivo de cada parámetro individual de la línea de base de seguridad y comprender su significado.

Aunque esta guía está diseñada para clientes empresariales, la mayor parte de la información es adecuada para organizaciones de cualquier tamaño. Para sacar el máximo provecho de este material, deberá leer la totalidad de la guía. No obstante, cabe la posibilidad de leer partes individuales de la guía para conseguir objetivos específicos. La sección "Resumen de capítulos" de esta información general presenta brevemente la información de la guía. Para obtener más información sobre los temas y la configuración de seguridad relacionados con Windows XP, consulte la Guía de seguridad de Windows XP y la guía complementaria Amenazas y contramedidas.

Principio de la página

Quién debería leer esta guía

La Guía de seguridad de Windows Vista está destinada principalmente a técnicos de TI, expertos en seguridad, arquitectos de redes y otros profesionales y consultores de TI que tienen intención de aplicar o desarrollar una infraestructura e implementar Windows Vista en equipos de escritorio y portátiles, en un entorno empresarial. No se ha diseñado para los usuarios domésticos. Está pensada para aquellas personas cuyas funciones laborales se incluyan dentro de las siguientes:

•	Técnico de TI. Los usuarios con esta función administran seguridad a cualquier nivel, dentro de organizaciones que tienen entre 50 y 500 equipos cliente. Los técnicos de TI se centran en proteger los equipos que administran de forma rápida y sencilla.
•	Experto en seguridad. Los usuarios con esta función se centran en el modo de ofrecer seguridad en las plataformas informáticas de una organización. Los expertos en seguridad necesitan una guía de referencia confiable que trate las necesidades de seguridad de cada nivel de la organización y que también ofrezca métodos probados de implementación de ajustes de seguridad. Los expertos en seguridad identifican características y configuración de seguridad y, posteriormente, ofrecen recomendaciones sobre cómo pueden los clientes usarlas de forma más eficaz en entornos de alto riesgo.
•	Personal de operaciones de TI, soporte técnicoe implementación. Los usuarios involucrados en operaciones de TI se centran en integrar la seguridad y controlar los cambios del proceso de implementación, mientras que el personal de implementación lo hace en la administración rápida de actualizaciones de seguridad. El personal con estas funciones también soluciona problemas de seguridad relacionados con aplicaciones, lo que conlleva instalar y configurar el software y mejorar su facilidad de uso y administración. Controlan este tipo de problemas para definir mejoras de seguridad cuantificables y un impacto mínimo en las aplicaciones fundamentales de la empresa.
•	Arquitecto y planificador de redes. Los usuarios con estas funciones se encargan de la arquitectura de red para los equipos de la organización.
•	Consultor. Los usuarios con esta función trabajan en organizaciones con una cantidad de equipos cliente comprendida entre 50 y 5.000 o más. Los consultores de TI conocen muchos tipos de escenarios de seguridad de todos los niveles empresariales de una organización. Los consultores de TI de los servicios de Microsoft y de los socios se benefician de las herramientas de transferencia de conocimientos de clientes y socios empresariales.
•	Analista de negocios y gerente de negocio (BDM). Los usuarios con estas funciones tienen objetivos y requisitos empresariales muy importantes y precisan de soporte de TI para los equipos de escritorio o portátiles.

Nota Los usuarios que deseen aplicar las orientaciones indicadas en esta guía deben al menos leer y completar los pasos para establecer el entorno EC del capítulo 1 "Implementación de líneas de base de seguridad".

Conocimientos y preparación

Los siguientes conocimientos y capacidades son necesarios para los lectores de esta guía, que desarrollan, implementan y protegen los equipos cliente en lo que se ejecuta Windows Vista en sus organizaciones empresariales:

•	Certificación MCSE en Windows Server 2003 o posterior y dos años como mínimo de experiencia relacionada con seguridad o un conocimiento equivalente.
•	Conocimientos detallados del dominio de la organización y de entornos de Active Directory.
•	Experiencia con la Consola de administración de directivas de grupo (GPMC).
•	Experiencia en la administración de directivas de grupo con la GPMC, lo que proporciona una única solución para administrar todas las tareas relacionadas con directivas de grupo.
•	Experiencia de uso de herramientas de administración, como Microsoft Management Console (MMC), Gpupdate y Gpresult.
•	Experiencia en la implementación de aplicaciones y equipos cliente en entornos empresariales.

Propósito de la guía

Los propósitos principales de la guía son permitirle:

•	Usar la guía de soluciones para crear y aplicar de manera eficaz configuraciones de líneas de base de seguridad probadas con la directiva de grupo.
•	Comprender los motivos de las recomendaciones de configuración de seguridad de las configuraciones de líneas de base que se incluyen en la guía y sus implicaciones.
•	Identificar y considerar escenarios de seguridad comunes y cómo usar características de seguridad específicas en Windows Vista que le ayuden a administrarlos en su entorno.

La guía está diseñada para permitirle usar sólo las partes revelantes, con objeto de cumplir los requisitos de seguridad de la organización. No obstante, los lectores sacarán el máximo provecho si leen la guía completa.

Ámbito de la guía

Esta guía se centra en el modo de crear y mantener un entorno seguro para equipos de escritorio y portátiles en los que se ejecute Windows Vista. En la guía se explican las distintas etapas para configurar la seguridad de dos entornos diferentes y qué objetivo tienen los parámetros de seguridad de los equipos de escritorio y portátiles que se implementan en cada caso. La guía ofrece información y recomendaciones de seguridad.

En los equipos cliente del entorno EC, se puede ejecutar Windows XP o Windows Vista. Sin embargo, en los que equipos que administran a estos equipos cliente en la red, se debe ejecutar Windows Server 2003 R2 o Windows Server 2003 con SP1. En los equipos cliente del entorno SSLF sólo se puede ejecutar Windows Vista.

La guía sólo incluye la configuración de seguridad disponible en el sistema operativo que se recomiende. Para obtener información más detallada de toda la configuración de seguridad de Windows Vista, consulte la guía complementaria Amenazas y contramedidas.

Principio de la página

Resumen de capítulos

La Guía de seguridad de Windows Vista se compone de cinco capítulos y un apéndice que puede usar como referencia de descripciones de configuración, consideraciones y valores. El archivo Windows Vista Security Guide Settings.xls (en inglés) que acompaña a la guía ofrece otro recurso que puede usar para comparar valores de configuración. La siguiente ilustración muestra la estructura de la guía para informarle de cómo implementar las instrucciones indicadas de forma óptima.

Información general
Ver imagen a tamaño completo

Información general

La información general indica el propósito y el ámbito de la guía, define a los lectores de la misma y muestra la organización de la guía para ayudarle a localizar la información que sea de su interés. También describe las herramientas y plantillas que acompañan a la guía, así como los requisitos previos de los usuarios. A continuación se incluyen breves descripciones de cada capítulo y del apéndice de la guía.

Capítulo 1: Implementación de líneas de base de seguridad

Este capítulo identifica los beneficios de la creación e implementación de una línea de base de seguridad para una organización. El capítulo incluye instrucciones y procesos para implementar la configuración de línea de base de EC, así como orientaciones de seguridad.

Con este fin, se incluyen instrucciones que explican cómo usar la secuencia de comandos GPOAccelerator.wsf junto con GPMC a fin de crear, probar e implementar las unidades organizativas (OU) y GPO para establecer este entorno. El archivo Windows Vista Security Guide Settings.xls (en inglés) que también acompaña a la guía ofrece otro recurso que puede usar para comparar valores de configuración.

Capítulo 2: Defensa ante el software malintencionado

Este capítulo ofrece recomendaciones para aprovechar las nuevas características de seguridad y las existentes mejoradas ahora en Windows Vista, con el fin de proteger los equipos cliente y los activos empresariales frente al software malintencionado, que incluye virus, gusanos y caballos de Troya. Incluye información sobre el modo más eficaz de usar las siguientes tecnologías en el sistema operativo:

•	Control de cuentas de usuario (UAC)
•	Windows Defender
•	Firewall de Windows
•	Centro de seguridad de Windows
•	Herramienta de eliminación de software malintencionado
•	Directivas de restricción de software

Además, el capítulo incluye la siguiente información sobre las tecnologías de seguridad de Internet Explorer 7:

•	Modo seguro de Internet Explorer
•	ActiveX opcional
•	Protección contra ataques de secuencia de comandos entre dominios
•	Barra de estado de seguridad
•	Filtro de suplantación de identidad (phishing)
•	Características de seguridad adicionales

Capítulo 3: Protección de datos confidenciales

Este capítulo ofrece recomendaciones e información sobre cómo proteger datos con las tecnologías de cifrado y control de acceso de Windows Vista. Estas tecnologías tienen una importancia especial en entornos informáticos móviles en los que la posibilidad de que se pierda o se robe un dispositivo en el que se ejecuta Windows Vista es relativamente alta.

El contenido del capítulo incluye información sobre cómo usar de la forma más eficaz las siguientes tecnologías de Windows Vista:

•	Cifrado de unidades BitLocker™
•	Sistema de cifrado de archivos (EFS)
•	Servicios de Rights Management (RMS)
•	Control de dispositivos

Capítulo 4: Compatibilidad con aplicaciones

Este capítulo ofrece recomendaciones sobre cómo usar características y configuraciones de seguridad nuevas y mejoradas en Windows Vista sin poner en peligro la funcionalidad de aplicaciones existentes en el entorno. El contenido de este capítulo:

•	Describe problemas potenciales de compatibilidad de aplicaciones.
•	Ofrece dos sencillos procedimientos que puede usar para probar la compatibilidad de aplicaciones con Windows Vista.
•	Incluye estrategias, configuraciones e instrucciones de mitigación potencial.
•	Recomienda otros recursos que puede usar para determinar con más detalle la compatibilidad de aplicaciones con Windows Vista.

Capítulo 5: Seguridad especializada: funcionalidad limitada

Este capítulo incluye una explicación del entorno SSLF y las principales diferencias entre él y el entorno EC. El capítulo ofrece instrucciones y procesos para implementar la configuración de línea de base de SSLF, así como orientaciones de seguridad. El capítulo incluye instrucciones que explican cómo usar una secuencia de comandos para aprovechar GPMC con objeto de crear, probar e implementar unidades organizativas y objetos de directiva de grupo para establecer este entorno.

Advertencia:

Las orientaciones de este capítulo le permiten establecer el entorno SSLF, que es distinto del entorno EC que se describe en el capítulo 1 "Implementación de líneas de base de seguridad". Dichas orientaciones están destinadas sólo a entornos de máxima seguridad y no son complementarias a las del capítulo 1.

Apéndice A: Configuración de directivas de grupo de seguridad

El apéndice incluye descripciones y tablas que detallan la configuración recomendada en las líneas de base de seguridad de EC y SSLF de la guía. El apéndice describe cada parámetro y el motivo de la configuración o el valor. También indica diferencias de configuración entre Windows Vista y Windows XP.

Principio de la página

Orientaciones y herramientas

Este acelerador de solución incluye varios archivos, como Windows Vista Security Guide.doc, el apéndice A de Windows Vista Security Guide.doc y Windows Vista Security Guide Settings.xls (en inglés), así como la herramienta GPOAccelerator para ayudarle a implementar fácilmente las orientaciones. Después de descargar el acelerador de solución de la Guía de seguridad de Windows Vista del Centro de descarga de Microsoft, use el archivo de Microsoft Windows Installer (.msi) para instalar los recursos en su equipo en la ubicación que elija.

Nota Al comenzar la instalación de la Guía de seguridad de Windows Vista, la herramienta GPOAccelerator está seleccionada de forma predeterminada para instalarse junto con la otra guía que acompaña a la herramienta. El uso de esta herramienta requiere privilegios administrativos. La ubicación predeterminada de instalación del acelerador de solución es la carpeta de documentos. La instalación coloca un acceso directo a la guía que abre la carpeta de la Guía de seguridad de Windows Vista.

Puede usar la consola de administración de directivas de grupo (GPMC) para aplicar las herramientas y las plantillas a cualquiera de las líneas de base de seguridad definidas en la guía. Los capítulos "Implementación de líneas de base de seguridad" y "Seguridad especializada: funcionalidad limitada" describen los procedimientos que puede usar para llevar a cabo estas tareas.

Principio de la página

Convenciones de estilo

En esta guía se utilizan las siguientes convenciones de estilo.

Tabla 1.1 Convenciones de estilo

Elemento	Significado
Negrita	Caracteres que se escriben exactamente tal y como se muestran, incluidos comandos, modificadores y nombres de archivo. Los elementos de la interfaz de usuario también aparecen en negrita.
Cursiva	Los títulos de libros y otras publicaciones importantes aparecen en cursiva.
<Cursiva>	Los marcadores de posición establecidos en cursiva y entre corchetes angulares, < nombre de archivo>, representan variables.
Fuente monoespaciada	Define ejemplos de código y de secuencias de comandos.
Nota	Avisa al lector de que hay información adicional.
Importante	Ofrece información que es esencial para completar las tareas.
Advertencia:	Alerta al lector de información complementaria esencial que no se debe pasar por alto.
‡	Este símbolo denota modificaciones y recomendaciones de configuración de directiva de grupo.
§	Este símbolo denota la configuración de directiva de grupo que es nueva en Windows Vista.

Principio de la página

Más información

Los siguientes vínculos ofrecen información adicional sobre temas de seguridad e información más detallada de conceptos y orientaciones de seguridad de la guía (las páginas de la siguiente sección están en inglés):

•	Kit de recursos de seguridad de Microsoft Windows en el sitio Web de Microsoft Learning.
•	Kit de recursos de Microsoft Windows Server 2003: edición promocional especial en el sitio Web de Microsoft Learning.
•	La página de guía de seguridad de Microsoft TechNet®.
•	Amenazas y ajustesen TechNet.
•	Guía de seguridad de Windows Server 2003 en TechNet.
•	Evaluación de preparación para Windows Vista en Microsoft.com.
•	Kit de recursos de Windows XP Professional en TechNet.
•	Guía de seguridad de Windows XP en TechNet.

Apoyo y comentarios

El equipo Solution Accelerators – Security and Compliance (SASC) agradece sus ideas acerca de éste y otros aceleradores de solución.

Contribuya con sus comentarios al grupo de noticias de debates sobre seguridad (en inglés) del sitio Web de ayuda y soporte técnico de Windows Vista.

O envíe sus comentarios por correo electrónico a: secwish@microsoft.com.

Esperamos sus comentarios.

Principio de la página

Agradecimientos

El equipo Solution Accelerators – Security and Compliance (SASC) desea agradecer y reconocer la labor realizada por el equipo que produjo la Guía de seguridad de Windows Vista. Las siguientes personas fueron responsables directamente de la escritura, el desarrollo y la prueba de la solución, o bien realizaron una contribución importante a estas tareas.

Equipo de desarrollo

Autores y expertos

José Maldonado

Mike Danseglio

Michael Tan

Richard Harrison, Content Master Ltd

David Coombes, Content Master Ltd

Jim Captainino, Content Master Ltd

Richard Hicks, QinetiQ

Personal encargado de pruebas

Gaurav Bora

Vikrant Minhas, Infosys Technologies Ltd

Sumit Parikh, Infosys Technologies Ltd

Dharani Mohanam, Infosys Technologies Ltd

Swapna Jagannathan, Infosys Technologies Ltd

Prashant Japkar, Infosys Technologies Ltd

Editores

John Cobb, Wadeware LLC

Jennifer Kerns, Wadeware LLC

Steve Wacker, Wadeware LLC

Administradores de programa

Kelly Hengesteg

Audrey Centola, Volt Information Sciences

Neil Bufton, Content Master Ltd

Jefes de producto

Jim Stewart

Alain Meeus

Tony Bailey

Kevin Leo, Excell Data Corporation

Jefes de lanzamiento

Karina Larson

Gareth Jones

Colaboradores y revisores

Microsoft

Charles Denny, Ross Carter,

Derick Campbell, Chase Carpenter

Karl Grunwald, Mike Smith-Lonergan

Don Armstrong, Bob Drake

Eric Fitzgerald, Emily Hill

George Roussos, David Abzarian

Darren Canavor, Nils Dussart

Peter Waxman, Russ Humphries

Sarah Wahlert, Tariq Sharif

Ned Pyle, Bomani Siwatu

Kiyoshi Watanabe, Eric Lawrence

David Abzarian, Chas Jeffries

Vijay Bharadwaj, Marc Silbey

Sean Lyndersay, Chris Corio

Matt Clapham, Tom Daemen

Sanjay Pandit, Jeff Williams

Alex Heaton, Mike Chan

Bill Sisk, Jason Joyce

Externos

Mehul Mediwala, Infosys Technologies Ltd

Notas
A petición de Microsoft, el consejo Information Assurance Directorate de la agencia National Security Agency ha participado en la revisión de esta guía de seguridad de Microsoft y ha proporcionado comentarios, que se han incorporado en las versiones publicadas.
El instituto National Institute of Standards and Technology (NIST) del Departamento de Comercio de Estados Unidos también ha participado en la revisión de esta guía de seguridad de Microsoft y ha proporcionado comentarios, que se han incorporado en las versiones publicadas.

Principio de la página

1 de 7

En este artículo

•	Información general
•	Capítulo 1: Implementación de líneas de base de seguridad
•	Capítulo 2: Defensa ante el software malintencionado
•	Capítulo 3: Protección de datos confidenciales
•	Capítulo 4: Compatibilidad con aplicaciones
•	Capítulo 5: Seguridad especializada: Funcionalidad limitada
•	Apéndice A: Configuración de directivas de grupo de seguridad

Descargar

Obtenga la Guía de seguridad de Windows Vista

Actualizar notificaciones

Suscríbase para obtener información sobre actualizaciones y nuevas versiones

Comentarios

Envíenos sus comentarios o sugerencias