Exportar (0) Imprimir
Expandir todo
Expandir Minimizar

Seguridad de SMS - Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad

Seguridad de SMS

Publicado: enero 9, 4

Cada organización debe evaluar su tolerancia de riesgos. Si un nivel alto de riesgo para la seguridad es inaceptable en la implementación de Systems Management Server (SMS), las cuatro configuraciones siguientes constituyen la base de un entorno de SMS seguro:

  • actualización de todos los sitios y clientes a SMS 2003 SP1

  • uso de seguridad avanzada en lugar de seguridad estándar

  • uso del cliente avanzado en lugar del cliente heredado

  • ampliación del esquema de Active Directory para SMS y habilitación de publicaciones en Active Directory

Aunque haya instalado SMS con una configuración diferente, puede llevar a cabo una actualización en cualquier momento.

important.gif  Importante
La seguridad avanzada y los clientes avanzados no guardan relación alguna. Puede utilizarse la seguridad avanzada sin clientes avanzados y viceversa, pero se recomienda el uso de ambos para disponer de una configuración aún más segura.

En esta página

Actualice todos los sitios y clientes a SMS 2003 SP1. Actualice todos los sitios y clientes a SMS 2003 SP1.
Use seguridad avanzada en lugar de seguridad estándar. Use seguridad avanzada en lugar de seguridad estándar.
Use el cliente avanzado en lugar del cliente heredado. Use el cliente avanzado en lugar del cliente heredado.
Implemente SMS en un dominio de Active Directory con extensiones de esquema y publicaciones de SMS. Implemente SMS en un dominio de Active Directory con extensiones de esquema y publicaciones de SMS.
creación de una jerarquía segura creación de una jerarquía segura
Seguridad de comunicaciones SMS Seguridad de comunicaciones SMS
Seguridad de sistemas del sitio SMS Seguridad de sistemas del sitio SMS
Seguridad de características SMS Seguridad de características SMS

Actualice todos los sitios y clientes a SMS 2003 SP1.

Se han agregado varias características de seguridad a SMS 2003 SP1.

note.gif  Nota
Puede acceder a contenido específico de SMS 2003 SP1 en este documento realizando una búsqueda de la cadena “*SP”.

Use seguridad avanzada en lugar de seguridad estándar.

La seguridad avanzada de SMS 2003 hace uso de la cuenta LocalSystem en servidores SMS para ejecutar servicios SMS y realizar cambios en el servidor. La seguridad avanzada utiliza cuentas de equipos (en lugar de cuentas usuarios) para conectar con otros equipos e implementar cambios en ellos. Siempre que sea posible, debe utilizarse el modo de seguridad avanzada, ya que proporciona el nivel de seguridad de SMS más alto con tareas de mantenimiento de seguridad mínimas. Sin embargo, sus sitios deben cumplir algunos requisitos para poder usar el modo de seguridad avanzada.

Requisitos para el uso de seguridad avanzada

Para que un sitio SMS 2003 pueda beneficiarse de seguridad avanzada, el servidor del sitio SMS y todos los sistemas del sitio SMS deben ejecutar Windows 2000 SP2 o una versión posterior, o un sistema operativo de la familia Windows Server 2003 en un dominio de Active Directory. No es posible utilizar un sitio de seguridad avanzada en un dominio de Windows NT 4.0. Los servidores de bases de datos del sitio SMS deben ejecutar Microsoft SQL Server™ 2000 o una versión posterior.

note.gif  Nota
Si ha realizado la actualización de SQL Server 7.0 a SQL Server 2000 o una versión posterior, debe reiniciar el equipo antes de cambiar el modo de seguridad de SMS a seguridad avanzada. De este modo, SQL Server podrá indicar a SMS que se está ejecutando una versión compatible.

La jerarquía puede constar de una combinación de sitios en modo de seguridad avanzada y sitios en modo de seguridad estándar. Sin embargo, los sitios de seguridad avanzada solamente pueden comunicarse con sitios de seguridad avanzada. Las siguientes configuraciones de jerarquía de SMS son compatibles con el modo de seguridad avanzada:

  • sitio de seguridad avanzada de SMS 2003 que se comunica con un sitio central de seguridad avanzada de SMS 2003

  • sitio de seguridad estándar de SMS 2003 que se comunica con un sitio de seguridad avanzada de SMS 2003

  • sitio de SMS 2.0 que se comunica con un sitio de seguridad avanzada de SMS 2003

Si desea consultar el procedimiento, consulte la sección Migración a seguridad avanzada, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Use el cliente avanzado en lugar del cliente heredado.

El cliente heredado depende en gran medida de cuentas de dominio para llevar a cabo tareas clave en el equipo cliente SMS como, por ejemplo, la instalación de software en un contexto administrativo en casos en que la cuenta del usuario conectado no dispone de las credenciales de seguridad apropiadas. El cliente avanzado, por el contrario, está diseñado para usar el contexto de seguridad de LocalSystem y la cuenta de equipo para realizar estas mismas tareas, con lo que se reduce considerablemente la complejidad de la administración de cuentas. El cliente avanzado es capaz de verificar la firma digital en comunicaciones recibidas de los puntos de administración, de modo que disminuye el riesgo de que un atacante pueda secuestrar clientes por medio de puntos de administración no autorizados.

Se recomienda que instale el cliente avanzado como cliente preferido en todos sus equipos cliente SMS, particularmente en aquellos que ejecutan Windows 2000 o una versión posterior de sistema operativo. En clientes con Windows NT 4.0 y Windows 98 debe ejecutarse el cliente heredado. El cliente heredado no se considera un entorno de seguridad óptima, por lo que todo lo concerniente a aspectos de seguridad en este entorno se proporciona aparte, en el Apéndice D: seguridad en entornos de cliente heredado.

important.gif  Importante
SMS 2003 SP1 no permitirá la instalación del cliente heredado en equipos que ejecutan el sistema operativo Windows 2000 o una versión posterior. Si tiene el cliente heredado instalado en equipos que ejecutan Windows 2000 o un sistema operativo posterior, debe incluir la actualización de éstos en el plan de implementación de SMS 2003 SP1.

Implemente SMS en un dominio de Active Directory con extensiones de esquema y publicaciones de SMS.

Cualquier entorno de dominio es más seguro que un entorno de grupo de trabajo. Los dominios de Active Directory son más seguros que los dominios de Windows NT 4.0.

SMS 2003 no es compatible con entornos de grupos de trabajo. *SPSMS 2003 SP1 proporciona compatibilidad limitada con equipos en un grupo de trabajo y se aplican las condiciones y excepciones siguientes:

  • La compatibilidad con grupos de trabajo se proporciona únicamente a clientes avanzados.

  • Los clientes deben utilizar NetBIOS para la resolución de nombres.

  • La instalación de software cliente SMS requiere la existencia de credenciales administrativas en el equipo.

  • No se proporciona compatibilidad con procesos de selección de usuarios y descubrimiento de Active Directory.

  • No se proporciona compatibilidad con la itinerancia global.

En un entorno de grupos de trabajo pueden utilizarse datos de inventario y descubrimiento de confianza y cifrados. *SP

Las extensiones de esquema no son necesarias para ejecutar SMS pero contribuyen a crear un entorno más seguro. Si el esquema de Active Directory cuenta con las extensiones de SMS y se dispone de permisos de publicación, los puntos de administración pueden publicar sus certificados y su ubicación en Active Directory. De este modo, los clientes pueden identificar los puntos de administración autorizados de una fuente de confianza. Active Directory puede, además, almacenar la clave pública utilizada para la firma de transferencias de datos entre sitios. Cuando la clave pública cambia durante una operación de recuperación, la clave nueva se propaga automáticamente a los sitios principales y secundarios.

Puede ampliar el esquema de Active Directory durante la configuración de SMS o por medio del uso de la herramienta de línea de comandos ExtADSch.exe en cualquier momento antes o después de la instalación de SMS. La modificación del esquema es una operación avanzada de la que debería encargarse un programador o administrador con la experiencia relevante. Los atributos y clases no pueden eliminarse una vez creados. Como máximo, pueden modificarse o desactivarse. Modifique el esquema en consonancia con los procedimientos de administración de configuración y cambios de su red. Para obtener más información sobre la ampliación del esquema, acuda al Centro de ayuda y soporte técnico.

Observe el principio de privilegios mínimos al ampliar el esquema y conceder permisos de publicación.

La ampliación del esquema de Active Directory para SMS 2003 requiere su pertenencia al grupo de administradores de esquema en el dominio raíz. Si no lo es, solicite a un miembro de este grupo que ejecute ExtADSch.exe y revise el registro ExtADSch.log creado en la raíz del directorio %system%. Si cuenta con permisos de administración del dominio raíz, puede agregar la cuenta de administrador de SMS al grupo de administradores de esquema antes de instalar SMS o ejecutar ExtADSch.exe. Sin embargo, se recomienda que elimine su cuenta del grupo de administradores de esquema en cuanto haya ampliado el esquema satisfactoriamente.

important.gif  Importante
La ampliación del esquema no otorga a SMS automáticamente los permisos necesarios para publicar información en Active Directory. Para habilitar la publicación deben llevarse a cabo ciertos pasos manualmente. Si no concede los permisos adecuados, SMS registrará errores y no publicará información alguna en Active Directory.

Para que SMS pueda publicar información en Active Directory es necesario crear primero el contenedor de administración del sistema y SMS debe contar con el control total de dicho contenedor y todos los objetos secundarios. Si utiliza el modo de seguridad avanzada, SMS usa la cuenta de equipo de servidor del sitio para publicar información. Si utiliza el modo de seguridad estándar, SMS usa la cuenta de servicio SMS para publicar información.

Si concede a SMS el control total del contenedor del sistema y todos los objetos secundarios, de forma automática, SMS creará el contenedor de administración del sistema bajo el contenedor del sistema. Por motivos de seguridad, se recomienda que cree el contenedor de administración del sistema de forma manual por medio del uso de la herramienta administrativa ADSIEdit y que conceda a SMS el control total únicamente del contenedor de administración del sistema y todos los objetos secundarios.

important.gif  Importante
Cada sitio SMS requiere permisos explícitos para realizar publicaciones en el contenedor de administración del sistema de Active Directory. Los sitios secundarios no heredan permisos del contenedor de administración del sistema.

Si desea consultar los procedimientos específicos que sirven para ampliar el esquema y conceder los permisos de publicación necesarios en Active Directory, vea las notas del producto “Active Directory Schema Modification and Publishing for Systems Management Server 2003” en el sitio Web del Centro de descargas de Microsoft.

note.gif  Nota
Los puntos de administración también publican sus certificados en Active Directory. Una vez que cuenta con el control total del contenedor de administración del sistema y todos los objetos secundarios, de forma automática, SMS crea objetos para los puntos de administración y concede a la cuenta de equipo para el punto de administración específico todos los permisos requeridos para el objeto del punto de administración.

*SP Configure los clientes avanzados para que usen el modo Sólo Active Directory.

Si el cliente avanzado no puede ubicar el punto de administración por medio de Active Directory, la configuración predeterminada permite al cliente regresar al uso de Windows Internet Name Service (WINS). Las búsquedas en WINS son menos seguras porque, al contrario que ocurre con Domain Name Service (DNS), el permiso para actualizar una entrada de WINS no está controlado por una lista de control de acceso. Sin embargo, un atacante necesitaría derechos administrativos al servidor WINS para poder crear o modificar la entrada de WINS estática utilizada para ubicar el punto de administración predeterminado.

Puede configurar el cliente avanzado para que use el modo Sólo Active Directory mediante la instalación del cliente con la propiedad de instalación SMSDIRECTORYLOOKUP= NOWINS.

important.gif  Importante
La reinstalación del cliente constituye la única forma compatible de cambiar la configuración de un cliente avanzado existente para que use el modo Sólo Active Directory.

En el modo Sólo Active Directory, en caso de fallar la búsqueda en Active Directory, el cliente avanzado no podrá establecer la conexión con un punto de administración hasta que Active Directory esté disponible y se haya publicado la información del punto de administración en el catálogo global.

note.gif  Nota
Cuando el cliente avanzado se está ejecutando en un punto de administración, dicho cliente no puede configurarse para su ejecución en modo Sólo Active Directory.

Para obtener más información sobre el instalador del cliente avanzado, consulte el Apéndice I: instalación y configuración de clientes SMS en Escenarios y procedimientos de Microsoft Systems Management Server 2003:  planeamiento e implementación. Si desea consultar información adicional sobre modos de búsqueda, vea la sección Autenticación de punto de administración en clientes, incluida en el Apéndice B: infraestructura de certificados SMS. *SP

Una vez que se dispone de una base de SMS segura, existen consideraciones de seguridad adicionales a tener en cuenta:

  • creación de una jerarquía segura

  • seguridad de comunicaciones SMS

  • seguridad de sistemas del sitio SMS

  • seguridad de características SMS

creación de una jerarquía segura

Las consideraciones de seguridad podrían influir en su necesidad y la colocación de sistemas del sitio o sitios SMS en el diseño de la jerarquía. Estas consideraciones pueden ser importantes a la hora de implementar clientes. Incorpore esfuerzos de seguridad tan pronto como sea posible en su plan de implementación, de modo que el entorno de SMS resultante sea funcional y seguro. Si ya ha implementado SMS, vuelva a revisar sus decisiones de diseño y analícelas desde una perspectiva de seguridad.

No permita que los sitios SMS abarquen bosques.

En Active Directory, los dominios no se consideran límites de seguridad. Proporcionan una delegación parcial de funciones administrativas pero los administradores no autorizados en un dominio cuentan con métodos para hacerse con derechos administrativos en la raíz del bosque, con lo que consiguen derechos a la totalidad del mismo. El único modo de asegurar los límites administrativos en Active Directory es crear un bosque aparte.

Aunque existe la posibilidad de diseñar un sitio SMS de forma que abarque los bosques, este tipo de sitio no es compatible con SMS 2003. El servidor del sitio SMS debe contar con acceso administrativo a todos los sistemas del sitio. La concesión a una cuenta SMS de un bosque del permiso de acceso administrativo a un sistema del sitio en otro bosque constituiría una violación de este límite de seguridad. Por lo tanto, al menos debe disponer de un sitio SMS en cada bosque y diseñarlo de modo que no abarque bosques.

Si necesita varios sitios SMS en una serie de bosques de Active Directory, cada bosque debe contar al menos con un sitio primario. Un sitio secundario no puede unirse a un sitio principal en un bosque diferente.

Use el menor número de sitios posible.

Si dispone de un gran número de sitios, podrá beneficiarse de un nivel de riesgo bastante bajo pero, con la reducción del número de sitios, disminuye la superficie de ataque, de modo que éste es un aspecto a tener en cuenta a la hora de diseñar la implementación. La reducción del número de sitios por motivos de seguridad debe sopesarse cuidadosamente frente a otras consideraciones de diseño, como el ancho de banda, el rendimiento y la configuración de clientes. El uso de un sitio único es la opción más segura porque no conlleva la necesidad de:

  • transferir datos entre sitios.

  • administrar cuentas de remitentes entre sitios.

  • confiar en administradores de otros sitios.

Las mejoras de rendimiento incluidas en SMS 2003 permiten la compatibilidad de un solo sitio con más clientes, lo que, a su vez, facilita la consolidación de sitios anteriormente divididos por motivos de seguridad. Si ya cuenta con una implementación de SMS en varios sitios, quizás pueda ofrecer compatibilidad a un número mayor de clientes con el uso del cliente avanzado. Quizás podría sustituir sitios pequeños por puntos de distribución protegidos para reducir así el número de sitios, si esta técnica es consistente con el resto de sus objetivos de diseño.

Para obtener más información sobre el diseño y la implementación de SMS 2003, consulte Escenarios y procedimientos de Microsoft Systems Management Server 2003:  planeamiento e implementación  en Microsoft TechNet.

Instale SMS en un servidor miembro en lugar de un controlador de dominio.

SMS no necesita instalarse en un controlador de dominio. Los controladores de dominio no cuentan con una base de datos de administración de cuentas de seguridad (SAM, Security Accounts Management) aparte de la base de datos del dominio. La instalación de SMS en un servidor miembro permite el mantenimiento de cuentas SMS en la base de datos local de SAM, en lugar de llevarse a cabo en la base datos del dominio.

No interopere con sitios que no pueden firmar sus datos.

Los sitios SMS 2.0 anteriores a SP5 no pueden firmar las comunicaciones entre sitios. Un atacante podría aprovechar esta imposibilidad de firmar las comunicaciones entre sitios para transmitir software no autorizado a sitios secundarios, por lo que el riesgo es considerable. Incluya en su plan la actualización de todos los sitios a SMS 2.0 SP5 o SMS 2003 tan pronto como sea posible.

Use el menor número de puntos de administración posible.

Los clientes avanzados solamente pueden asignarse a sitios con puntos de administración. La existencia de un punto de administración en cada sitio primario no supone un alto nivel de riesgo; sin embargo, la reducción del número de puntos de administración contribuye a disminuir la superficie de ataque. Los puntos de administración requieren Internet Information Services (IIS). Algunas empresas cuentan con directivas sobre la reducción del número de servidores IIS para reducir la superficie de ataque de sus redes. Si esto es de importancia para usted, puede instalar el menor número de puntos de administración posible.

En teoría, todos los clientes avanzados pueden asignarse a un sitio, aunque los clientes estén físicamente ubicados dentro de los límites de un sitio diferente. El sitio asignado contaría con el único punto de administración para la totalidad de la jerarquía. Los clientes avanzados ubicados en cualquier otro sitio se considerarían clientes itinerantes aunque nunca abandonen dicho sitio, ya que no se encuentran en los límites del sitio que contiene el punto de administración.

Cuando los clientes avanzados solicitan un punto de administración, ya que no hay ninguno en su ubicación actual, se comunican con el punto de administración asignado en el sitio establecido para solicitar directivas, cargar datos de inventarios, solicitar la localización de fuentes de paquetes y cargar mensajes de estado. El cliente avanzado podría continuar recuperando paquetes de un punto de distribución en el sitio en que está ubicado físicamente, siempre y cuando el contenido esté disponible en dicha ubicación. Debe tenerse en cuenta que esta configuración podría influir considerablemente en el ancho de banda disponible. Compare la necesidad de reducir el número de servidores IIS con el resto de sus consideraciones de diseño.

Los clientes avanzados no pueden asignarse a sitios secundarios. Si tiene sitios secundarios, puede configurar puntos de administración de proxy en los sitios secundarios para controlar más fácilmente el uso que los clientes avanzados SMS hacen del ancho de banda disponible. El punto de administración de proxy debe disponer de acceso a la base de datos del sitio SMS en el sitio principal o a una base de datos replicada. El uso de sitios secundarios sin puntos de administración de proxy constituye la configuración más segura porque reduce la superficie de ataque; el nivel de riesgo es bajo y puede considerarse aceptable si es necesario por motivos de rendimiento.

No instale ni desinstale sitios secundarios de forma remota por medio del asistente de creación de sitios secundarios en la consola de administración de SMS (sólo con seguridad avanzada).

Tras la creación de un sitio secundario, puede instalarlo mediante:

  • la ejecución de los archivos de instalación desde el servidor del sitio secundario.

  • el uso de la consola de administración de SMS en el sitio primario.

Cuando se usa seguridad avanzada, la mayoría de las operaciones SMS se llevan a cabo a través de la cuenta de equipo de servidor del sitio. Si utiliza la consola de administración de SMS en el sitio primario para ejecutar el asistente de creación de sitios secundarios, la cuenta de equipo del sitio primario debe ser miembro del grupo local de administradores del servidor del sitio secundario, lo que conlleva el uso de privilegios excesivos para este tipo de operaciones normales. En su lugar, ejecute los archivos de instalación desde el servidor del sitio secundario, de modo que pueda utilizar una cuenta de dirección del sitio no administrativa.

No instale otros servicios que utilicen la cuenta LocalSystem (sólo con seguridad avanzada).

Reduzca al mínimo el uso de la cuenta LocalSystem en los servidores y sistemas del sitio; no instale servicios adicionales que utilicen esta cuenta. Esto garantiza que otros procesos no puedan aprovecharse de los privilegios mejorados de la cuenta de equipo del sistema mediante el acceso a datos y archivos SMS a través de dichos sistemas. Si ejecuta SQL Server en el mismo equipo que el servidor del sitio, configure SQL Server para que se ejecute bajo una cuenta de usuario de dominio.

Cree un plan de continuidad de servicio.

El personal de seguridad suele estar encargado de garantizar la confidencialidad, integridad y disponibilidad de los sistemas de equipos. Para mantener la jerarquía de SMS disponible, es importante contar con un plan que proporcione satisfactoriamente la continuidad del servicio, así como probarlo con regularidad.

Diseñe un sitio tolerante a errores.

El riesgo asociado a un sitio desconectado suele ser bajo, a menos que se produzca la necesidad urgente de implementar una actualización crítica. El hecho de que el servidor del sitio SMS esté desconectado no significa necesariamente que se detienen todas las operaciones SMS.

Tabla 1    Operaciones tolerantes a errores

Servidor del sitio

Base de datos del sitio

Punto de administración / Punto de acceso de cliente (CAP)

Punto de distribución

Resultado

Desconectado

En línea

En línea

En línea

No será posible realizar la administración de sitios, ni siquiera podrán crearse avisos nuevos.  

El punto de administración o CAP recopilará la información de clientes y la almacenará en caché hasta que el servidor del sitio vuelva a conectarse.

Se ejecutarán los avisos existentes y los clientes pueden encontrar puntos de distribución.

En línea

Desconectado

En línea

En línea

No será posible realizar la administración de sitios, ni siquiera podrán crearse avisos nuevos.

Si el cliente avanzado ya cuenta con una asignación de directivas que incluye directivas nuevas y el punto de administración ha almacenado en caché el conjunto de las directivas, el cliente avanzado podrá realizar una solicitud de conjunto de directivas y recibir una respuesta del mismo. No se atenderá a solicitudes nuevas de asignación de directivas.

Los clientes avanzados podrán ejecutar programas únicamente si ya se han detectado y los archivos fuente asociados están almacenados de forma local en la caché del cliente.

Los clientes heredados pueden ejecutar todos los avisos existentes y recuperar del CAP las configuraciones que haya disponibles.

En línea

En línea

Desconectado

En línea

Aunque pueden crearse nuevos avisos, los clientes no los recibirán hasta que haya un punto de administración o CAP conectado.

Los clientes continuarán recopilando inventario, información sobre disponibilidad de software y de estado, y almacenarán estos datos localmente hasta que el punto de administración o CAP esté disponible.

Los clientes avanzados podrán ejecutar programas únicamente si ya se han detectado y los archivos fuente asociados están almacenados de forma local en la caché del cliente.

En línea

En línea

En línea

Desconectado

Los clientes avanzados podrán ejecutar avisos únicamente si los archivos fuente asociados se han descargado localmente.

Los clientes heredados no podrán ejecutar avisos que requieran archivos fuente.

Configure varios puntos de informe y distribución. Incluya en su plan un punto de administración de copia de seguridad que entre en funcionamiento en caso de error del punto de administración predeterminado. No se ofrece compatibilidad con operaciones de clúster del equipo que ejecuta SQL Server. Para proporcionar un nivel mayor de tolerancia a errores, puede configurar la replicación de la base de datos de SQL Server. De este modo, si el equipo que ejecuta SQL Server se desconecta, podrá instruir al punto de administración para que establezca la conexión con las tablas replicadas. Se presupone que el proceso de replicación se ha llevado a cabo satisfactoriamente antes de producirse el error en el equipo que ejecuta SQL Server.

Diseñe una infraestructura de Active Directory tolerante a errores mediante el uso de varios controladores de dominio en línea y más de un servidor de catálogo global. Utilice el sistema de nombres de dominio (DNS) integrado en Active Directory para proporcionar servicios DNS tolerantes a errores.

Cree un plan de copia de seguridad y recuperación.

La recuperación de un sitio SMS con errores es una tarea compleja. Para obtener más información, consulte “Escenarios y procedimientos de Microsoft Systems Management Server 2003:  copia de seguridad, recuperación y mantenimiento” en el sitio Web del Centro de descargas de Microsoft.

Asegure las copias de seguridad.

El proceso de copia de seguridad de SMS realiza copias del registro, la estructura de archivos y la base de datos del sitio SMS. Un atacante que consiga acceso a las copias de seguridad podría obtener información importante sobre la red, como direcciones IP, nombre de sitios de Active Directory y datos sobre el estado de todos los equipos cliente. Los ataques contra copias de seguridad pueden tener consecuencias tan serias como los ataques físicos contra servidores. Al igual que debe hacerse con toda copia de seguridad, guarde las copias de SMS en un lugar seguro y establezca un procedimiento controlado de comprobación y recuperación de los medios.

Seguridad de comunicaciones SMS

La actividad SMS nunca se lleva a cabo en un solo equipo. Algunos ejemplos son:

  • El servidor del sitio se comunica con todos los sistemas del sitio.

  • Los clientes se comunican con puntos de administración o con CAP.

  • Todos los miembros del dominio se comunican con los controladores de dominio para tareas de autenticación y autorización.

  • Las jerarquías de sitios pueden instalarse de forma que abarquen vínculos de red de área amplia (WAN) con servidores de seguridad y redes privadas virtuales (VPN).

La falta de seguridad de comunicaciones SMS entre sitios podría resultar en el secuestro de clientes por parte de servidores no autorizados, la exposición de credenciales con derechos importantes o la inserción de datos falsos en la base de datos del sitio SMS.

*SPLa característica de generación de informes en SMS 2003 SP1 se ha actualizado para ofrecer compatibilidad con HTTPS. La firma y cifrado de clientes hace más difícil la manipulación de datos de cliente durante su transmisión por la red. *SP

Desactive las comunicaciones sin firmar entre sitios, incluso en una jerarquía de sitio único.

SMS 2003 firma todos los datos transmitidos entre sitios mediante el uso de pares de claves privadas y públicas. Los sitios de SMS 2.0 que no se han actualizado a SP5 no firman sus datos, por lo que estos sitios no pueden comunicarse con sitios de SMS 2003 de forma segura. En caso de que sea necesario disponer de sitios de SMS 2.0 que ejecutan SP4 en la jerarquía de SMS, no acepte datos sin firmar transmitidos de estos sitios al sitio principal. Esto puede dar lugar a la pérdida de algunos datos enviados desde el sitio secundario de SMS 2.0 SP4 pero contribuye a mitigar la amenaza de comunicaciones falsas desde un sitio principal que podrían resultar en la instalación de software no autorizado. Incluya en su plan la actualización de todos los sitios a SMS 2.0 SP5 o SMS 2003 tan pronto como sea posible.

note.gif  Nota
Los sitios de SMS 2.0 que han de comunicarse con un sitio actualizado deben ejecutar SMS 2.0 SP4 o una versión posterior antes de efectuar la actualización del sitio principal a SMS 2003.

Desactive las comunicaciones sin firmar aunque solamente cuente con un sitio en la jerarquía, ya que de este modo se reduce el riesgo de que un atacante pueda enviar un archivo falso de control de sitio desde un sitio principal o secundario inexistente.

Si desea obtener más detalles sobre el procedimiento, consulte la sección Cómo deshabilitar las comunicaciones sin firmar entre sitios, incluida en el Apéndice E: procedimientos de seguridad de SMS. Puede encontrar información sobre la comunicación firmada entre sitios en el Apéndice B: infraestructura de certificados SMS.

Requiera intercambio de claves seguro.

La configuración predeterminada de un sitio primario implementa un algoritmo de intercambio de claves menos seguro que permite a los sitios de SMS 2003 intercambiar las claves utilizadas en la firma de transferencias de datos entre sitios. Los sitios de SMS 2.0 que no se han actualizado a SP5 no pueden participar en intercambio de claves seguro. Requiera intercambio de claves seguro aunque solamente cuente con un sitio en la jerarquía, ya que de este modo se reduce el riesgo de que un atacante pueda enviar un archivo falso de control de sitio desde un sitio principal o secundario inexistente. Una vez activada esta opción, SMS intercambiará claves a través de Active Directory siempre y cuando se haya ampliado el esquema y SMS disponga de permisos de publicación en Active Directory. Si el esquema no se ha ampliado y SMS no dispone de permisos de publicación en Active Directory, el administrador tendrá que realizar el intercambio de claves manualmente.

important.gif  Importante
El intercambio de claves inicial entre un sitio principal y un sitio secundario recién instalado debe llevarse a cabo de forma manual, independientemente de la ampliación del esquema. De lo contrario, aunque el sitio secundario se instalará correctamente, no podrá establecer la conexión con el sitio principal. Tras la transferencia manual de claves, el sitio secundario podrá conectar con el sitio principal y podrá gestionarlo desde éste. Una vez que la conexión del sitio secundario al principal se ha establecido satisfactoriamente, es posible cambiar las propiedades del sitio secundario recién instalado para requerir el intercambio de claves seguro. En adelante, el sitio secundario podrá completar todos los intercambios de claves a través de Active Directory (siempre y cuando se haya ampliado el esquema).

Si desea consultar los procedimientos, vea las secciones Requisito de intercambio de claves seguro y Transferencia manual de claves del sitio, incluidas en el Apéndice E: procedimientos de seguridad de SMS. Para obtener más información sobre el intercambio de claves en SMS, consulte la sección Firma de comunicaciones de sitio a sitio en el Apéndice B: infraestructura de certificados SMS.

Asegúrese de que los clientes avanzados obtienen una copia autorizada la clave raíz de confianza  durante  la instalación (solamente necesario si no se ha ampliado el esquema).

Si no ha ampliado el esquema de Active Directory, los clientes dependerán de la clave raíz de confianza para autenticar puntos de administración válidos. Sin la clave raíz de confianza, el cliente no tiene modo de verificar que un determinado punto de administración está autorizado en el sitio. Un atacante con experiencia podría aprovechar esta situación para dirigir al cliente a un punto de administración no autorizado. En SMS 2003 (sin SP1), el cliente no recibe la clave raíz de confianza durante la instalación pero solicita una copia de la misma al punto de administración. En SMS 2003 SP1, los clientes instalados mediante los métodos siguientes reciben la clave raíz de confianza automáticamente durante la instalación y no es necesario realizar ninguna operación adicional para que se lleve a cabo una instalación segura.

  • instalación de cliente iniciada por secuencia de comandos de inicio de sesión (Capinst.exe)

  • instalación manual de cliente (Ccmsetup.exe)

  • instalación de software cliente

Si realiza la instalación de la directiva de grupo de Windows (Client.msi), deberá llevar a cabo pasos adicionales para garantizar que el cliente avanzado recibe la clave raíz de confianza durante la instalación. Para consultar el procedimiento, vea la sección Instalación de la clave raíz de confianza con la instalación de la directiva de grupo de Windows (Client.msi), incluida en el Apéndice E: procedimientos de seguridad de SMS.

Si ya ha implementado los clientes avanzados sin instalar la clave raíz de confianza, es probable que los clientes hayan obtenido una clave raíz de confianza válida y ya estén comunicándose de forma segura con puntos de administración autorizados. Para verificar la instalación de la clave raíz de confianza, consulte el procedimiento Verificación de la instalación de la clave raíz de confianza, incluido en el Apéndice E: procedimientos de seguridad de SMS.

Si tiene intenciones de trasladar un cliente de una jerarquía de sitios a otra, tendrá que eliminar la clave raíz de confianza antes de realizar el traslado; de lo contrario, el cliente no podrá comunicarse con el nuevo punto de administración. Una vez eliminada la clave raíz de confianza, debe llevarse a cabo su instalación en el sitio nuevo. Para consultar los procedimientos, vea la secciones Eliminación de la clave raíz de confianza y Reinstalación de la clave raíz de confianza, incluidas en el Apéndice E: procedimientos de seguridad de SMS.

Use IPSec para cifrar comunicaciones entre sistemas del sitio y el servidor del sitio.

La suplantación de sistemas del sitio SMS puede poner en peligro la insfraestructura de SMS. IPsec puede contribuir a la protección contra ataques en casos en que un sistema del sitio no autorizado suplanta a un sistema del sitio válido y utiliza la conexión de confianza para hacerse con el control de la base de datos de sistemas o de servidores del sitio. Esta amenaza puede mitigarse por medio de la configuración de las comunicaciones IPsec entre la mayoría de los sistemas del sitio SMS. No deben incluirse todos los sistemas del sitio en el grupo IPsec de SMS.

Utilice seguridad de protocolos de Internet (IPsec) para comunicaciones entre los equipos siguientes:

  • servidores de sitios primarios

  • servidores de sitios secundarios

  • puntos de administración

  • puntos de informe

  • puntos de localización de servidor

  • puntos de acceso de cliente (CAP)

  • equipos remotos de base de datos del sitio SMS

No incluya puntos de distribución a menos que el equipo en que está activada la función de punto de distribución ya esté incluido debido a alguna otra función del sistema del sitio. No incluya controladores de dominio.

Cree una directiva IPsec que requiera ESP/3DES entre los sistemas del sitio especificados. Use archivos HOSTS y LMHOSTS en lugar de DNS y WINS para evitar que un atacante pueda suplantar sistemas del sitio válidos mediante ataques de resolución de nombres. Restrinja el acceso a los sistemas del sitio especificados a través de la limitación de los equipos que pueden autenticarse por medio del intercambio de claves de Internet (IKE) IPsec con la directiva IPsec de SMS. La forma más segura de limitar el acceso es utilizar la autenticación de certificados de una entidad emisora de certificados (CA) raíz desconectada dedicada únicamente a la tarea de emisión de certificados para su uso con IPsec de SMS.

Si desea obtener información detallada sobre la configuración de IPsec recomendada con SMS, consulte el Apéndice G: configuración de IPsec recomendada con SMS.

Configure los servidores de seguridad para que permitan tráfico SMS necesario.

Puede haber servidores de seguridad en varios lugares de la red. En la mayoría de las redes se utiliza un servidor de seguridad perimetral para evitar que el tráfico de Internet no autorizado alcance la red interna. Sin embargo, en algunas redes se utilizan servidores de seguridad internamente para crear zonas seguras en la red. Por ejemplo, puede colocarse un servidor de seguridad en la red del laboratorio para evitar que las pruebas del laboratorio alcancen la red corporativa accidentalmente. También pueden ejecutarse servidores de seguridad personal en equipos cliente para proporcionar defensa integral.

Servidores de seguridad perimetral

La denegación de puertos en el servidor de seguridad (excepto aquéllos configurados explícitamente) constituye una práctica de seguridad recomendada. SMS es un producto complicado que requiere multitud de puertos para obtener una comunicación correcta. Puede encontrar una lista de puertos requeridos para comunicaciones SMS en el artículo 826852 de Microsoft Knowledge Base.

note.gif  Nota
En SMS 2003 (sin SP1), los clientes avanzados y los puntos de administración están codificados para utilizar el puerto 80 en las comunicaciones con puntos de administración y puntos de localización de servidor. En SMS 2003 SP1 es posible cambiar el puerto. Si desea obtener más información al respecto, consulte la sección que trata sobre la posibilidad de configurar el cliente avanzado para el uso de un puerto HTTP no predeterminado, incluida más adelante en este documento.

Servidores de seguridad en equipos cliente

Microsoft Windows® XP ofrece un servidor de seguridad de conexión a Internet (ICF, Internet Connection Firewall) integrado. Windows XP SP2 incluye la actualización de este servidor, que ahora se conoce como “Windows Firewall”. La configuración predeterminada de Windows Firewall interfiere con algunas operaciones SMS. Evalúe el riesgo de reducir las restricciones impuestas por Windows Firewall para beneficiarse de una mayor capacidad de administración de SMS. Cuando agregue un programa o un puerto SMS a la lista de excepciones, modifique el ámbito a una lista personalizada que permita la comunicación únicamente con los equipos SMS necesarios. Considere la posibilidad de utilizar la directiva de grupo para crear configuraciones consistentes de Windows Firewall en todos los clientes que ejecutan Windows XP SP2.

Tabla 2   Características SMS que pueden resultar afectadas por el uso de Windows XP SP2

Característica

Asunto

Solución

Elementos SMS en el panel de control

Los usuarios no podrán utilizar las funciones de ejecución de programas anunciados o supervisión de descarga de programas en el panel de control, debido a las restricciones impuestas en DCOM con Windows XP SP2 Beta. Tampoco podrá accederse a la ficha de acciones en la administración de sistemas del panel de control.

Aplique una revisión para solucionar este problema. Si desea obtener más información sobre esta revisión, consulte el artículo 832862 de Microsoft Knowledge Base. Para implementar satisfactoriamente esta revisión en los clientes mediante la distribución de software SMS, deberá comprobar primero que la función de cuenta regresiva está desactivada en el agente de cliente de programas anunciados.

Descarga de paquetes por medio de BITS

Windows XP SP2 Beta interfiere con la capacidad del cliente avanzado para descargar paquetes por medio de BITS. La descarga de directiva por medio de BITS no se ve afectada.

Aplique una revisión a los puntos de distribución con BITS habilitado. Si desea obtener más información sobre esta revisión, consulte el artículo 832860 de Microsoft Knowledge Base.

Asistencia remota

Se producirán errores en las sesiones de asistencia remota iniciadas desde la consola de administración de SMS (las sesiones de asistencia remota solicitadas por el cliente se llevarán a cabo correctamente).

Agregue la aplicación personalizada helpsvc.exe y el puerto TCP 135 personalizado a la lista de programas y servicios permitidos en Windows Firewall en el cliente con Windows XP SP2.

Control remoto

No podrán utilizarse las herramientas remotas SMS para llevar a cabo la administración remota de los clientes SMS que ejecutan Windows XP SP2.

Se recomienda utilizar la asistencia remota en equipos cliente compatibles, como aquéllos que ejecutan Windows XP.

Las herramientas de Windows de visor de sucesos, supervisor de rendimiento y diagnósticos desde la consola de administración de SMS.

La consola de administración de SMS no podrá acceder al visor de sucesos ni al supervisor de rendimiento de Windows en equipos que ejecuten Windows XP SP2.

Para habilitar el acceso remoto a estas características, habilite primero Compartir archivos e impresiones en la configuración ICF del cliente con Windows XP. En la actualidad no hay una solución disponible para el acceso a la característica de diagnósticos desde la consola de administración de SMS.

Instalación de software cliente

En equipos cliente con Windows XP SP2 se producen errores durante la instalación de software cliente.

Habilite Compartir archivos e impresiones en la configuración de Windows Firewall del cliente con Windows XP.

Consola de administración de SMS

Si Windows Firewall está en modo activo sin excepciones, On with no exceptions, la consola de administración de SMS no podrá conectar a ninguna base de datos del sitio SMS desde el cliente con Windows XP. Si Windows Firewall está en modo activo (recomendado), On (recommended), la consola de administración de SMS no podrá mostrar todos los elementos en el árbol.

Si Windows Firewall está en modo On with no exceptions, no hay solución que pueda aplicarse. Esto se debe a su diseño.

Si Windows Firewall está en modo On (recommended), agregue unsecapp.exe y TCP 135 a la lista de programas y servicios en la ficha de excepciones del panel de control de Windows Firewall.

Consultas

Si ejecuta la consola de administración de SMS en Windows XP SP2, se producirán errores en las consultas la primera vez que se ejecuten.

Tras la imposibilidad de ejecutarlas la primera vez, el sistema operativo muestra un cuadro de diálogo para preguntar al usuario si desea desbloquear statview.exe. Si se desbloquea statview.exe, las consultas futuras se ejecutarán sin errores. Alternativamente, puede agregar statview.exe de forma manual a la lista de programas y servicios en la ficha de excepciones del panel de control de Windows Firewall antes de ejecutar una consulta.

Si desea obtener más detalles sobre el procedimiento de configuración de Windows Firewall con Windows XP SP2, acuda al Centro de ayuda y soporte técnico de Windows XP.

*SP Considere la posibilidad de configurar el cliente avanzado para el uso de un puerto HTTP no predeterminado.

SMS 2003 SP1 permite cambiar el puerto TCP utilizado para la comunicación con puntos de administración, puntos de localización de servidor y puntos de distribución con BITS habilitado. En muchas organizaciones, el puerto TCP 80 se mantiene bloqueado como medida de seguridad.

Los puertos se configuran sitio por sitio. Sin embargo, si no configura los mismos puertos en todos los sitios de la jerarquía, es probable que los clientes avanzados experimenten problemas al desplazarse. Para que la migración al puerto nuevo se lleve a cabo de forma adecuada, debe hacer lo siguiente.

  1. Actualice todos los clientes avanzados a SP1.

  2. Configure todos los sitios de la jerarquía para que usen el puerto nuevo de forma predeterminada.

  3. Implemente un paquete para que la secuencia de comandos portswitch.vbs efectúe la migración de todos los clientes existentes al puerto nuevo.

  4. Compruebe que todos los clientes avanzados utilizan el puerto nuevo.

  5. Configure todos los sitios de la jerarquía de forma que no usen el puerto antiguo.

Para cambiar los puertos utilizados por los sistemas del sitio, modifique la ficha de puertos en el cuadro de propiedades del sitio. Si no ha implementado clientes avanzados en ningún lugar de la jerarquía, puede agregar un puerto diferente, configurarlo para que actúe como puerto predeterminado y eliminar el puerto 80 de la lista. Los clientes avanzados instalados recientemente se configurarán para comunicarse con el puerto predeterminado. La modificación de la ficha de puertos no influye en el puerto utilizado por clientes avanzados existentes.

Utilice la secuencia de comandos Portswitch.vbs incluida en el CD de SMS para cambiar el puerto cliente de los clientes avanzados existentes. Implemente Portswitch.vbs como paquete de distribución de software y configure el programa en modo de ejecución con derechos administrativos. Una vez distribuido el paquete, habilite la clase de puertos para clientes avanzados SMS en SMS_def.mof para recopilar información sobre éstos a través del inventario de hardware.

important.gif  Importante
Si elimina el puerto 80 de las propiedades del sitio y hay clientes avanzados que utilizan dicho puerto, estos clientes se convertirán en huérfanos.

El procedimiento para cambiar el puerto TCP utilizado por clientes avanzados se describe en la sección Configuración del puerto TCP del cliente avanzado, incluida en el Apéndice E: procedimientos de seguridad de SMS. Si desea obtener información detallada acerca de Portswitch.vbs, consulte la documentación que acompaña a la secuencia de comandos en el CD del producto. *SP

*SP Habilite la firma y el cifrado de datos de clientes avanzados.

De forma predeterminada, los clientes avanzados con SMS 2003 SP1 no firman ni cifran mensajes. La lectura de inventarios de clientes y registros de datos de descubrimiento (DDR, Discovery Data Record) en la red no suele implicar un alto nivel de riesgo. Sin embargo, en entornos de alta seguridad deberían cifrarse todas las comunicaciones iniciadas por clientes, como inventarios y registros de datos de descubrimiento. La recepción de datos inválidos a través de clientes no autorizados representa un riesgo mayor para la seguridad de sitios pero esto requiere un ataque bastante más sofisticado. La habilitación de la firma del inventario de clientes avanzados reduce el riesgo.

Antes de habilitar el cifrado para mensajes de inventario, asegúrese de que el sitio y sus clientes se actualizan a SMS 2003 SP1 correctamente. Se rechazarán los inventarios de los clientes no actualizados.

important.gif  Importante
Una vez habilitada, la firma de inventario de clientes para un sitio no puede deshabilitarse. Una vez que SMS ha recibido datos firmados de un cliente, siempre requerirá que los datos de dicho cliente estén firmados, ya que los datos sin firmar pueden provenir de un atacante.

El procedimiento de habilitación de cifrado y autenticación de clientes se describe en la sección Cómo habilitar la firma de clientes y el cifrado de datos de inventario, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Para obtener más información acerca de la firma y cifrado de clientes, consulte el Apéndice B: infraestructura de certificados SMS.

note.gif  Nota
SMS 2003 SP1 solamente es compatible con Windows 2000 SP2 y las versiones posteriores pero puede instalarse en versiones anteriores a Windows 2000. En este caso, el proveedor de servicio de cifrado que usa SMS no se iniciará y no podrán cifrarse las comunicaciones de clientes, aunque será posible firmarlas.

Habilite la firma de clientes en todos los sitios para evitar el rechazo de datos de clientes en proceso de cambio de asignaciones de sitios.

La habilitación de la firma de clientes en todos los sitios de la jerarquía no es un requisito. Sin embargo, no hacerlo puede dar lugar a que SMS rechace el inventario de clientes y los registros de datos de descubrimiento (DDR) en casos en que un cliente sea reasignado de un sitio que requiere la firma a otro en el que no es necesaria.

Cuando se reasigna un cliente de un sitio a otro, el cliente envía su clave de identidad en un DDR al punto de administración nuevo, que transfiere el DDR al servidor del sitio. Aunque el sitio nuevo no requiera la firma de clientes, el administrador de datos de descubrimiento en el servidor del sitio insertará la clave como identidad del cliente en la base de datos del sitio SMS. Todos los mensajes que el cliente envíe en el futuro con ese GUID deberán estar firmados por dicha clave incluso en el caso de que la directiva del sitio no requiera la firma. Una vez asignado al sitio nuevo, el cliente recibirá la directiva correspondiente a este sitio, donde se indicará que la firma no es necesaria. A partir de entonces, los mensajes no se firmarán. Aunque no se requiera la firma, el servidor del sitio necesita la clave, ya que ésta se recibió y almacenó en la base de datos. Sin la clave, se rechazará cualquier inventario enviado por el cliente. Además, el servidor del sitio solicitará que vuelva a sincronizarse el inventario, pero rechazará la resincronización del inventario sin firmar enviado por el cliente. El mensaje de estado 682 indica que los datos se rechazan porque, aunque el archivo estaba firmado, la clave de autenticación no coincide con la clave registrada correspondiente al cliente.

Si tiene que reasignar clientes de un sitio que requiere la firma a otro en la jerarquía que no la necesita, haga lo siguiente:

  1. Espere a que no haya inventario pendiente de este cliente en ningún punto de la jerarquía.

  2. Anule la asignación del cliente en el sitio actual.

  3. Elimine el registro del cliente en este sitio y en todos los sitios principales.

    important.gif  Importante
    Deben eliminarse todos los registros del cliente en la jerarquía de modo que toda la información sobre la identidad del mismo quede eliminada de cada base de datos. Si únicamente se elimina el registro del cliente del sitio actual, es probable que algún sitio principal conserve la identidad del cliente, con lo que rechazaría datos sin firmar incluso en el caso de que los haya aceptado un sitio situado en un nivel inferior de la jerarquía.

  4. Asigne el cliente al sitio nuevo.

Si tiene clientes itinerantes, espere a que todos los sitios estén actualizados con SMS SP1 antes de habilitar la firma y el cifrado de clientes y, seguidamente, habilítelos en todos los sitios.

SMS 2003 (sin SP1) no es compatible con la firma y el cifrado de clientes. Si cuenta con una mezcla de sitios con SP1 y sitios sin SP, es posible que se rechace el inventario de los clientes itinerantes. Las opciones de firma y cifrado de clientes no están habilitadas de forma predeterminada, ni siquiera tras la actualización a SP1. *SP

Seguridad de sistemas del sitio SMS

SMS utiliza una variedad de sistemas del sitio con funciones especializadas. Los clientes avanzados interactúan con puntos de administración. Los puntos de administración interactúan con el servidor del sitio y el servidor de la base de datos del sitio SMS. Es probable que los clientes necesiten un punto de localización de servidor para encontrar un punto de administración. Inevitablemente, esto incrementa la superficie de ataque de SMS en la empresa. La falta de seguridad en servidores del sitio, puntos de administración, puntos de acceso de cliente y servidores de base de datos del sitio SMS permite a posibles atacantes imitar sistemas del sitio y distribuir software no autorizado a los clientes SMS. Adicionalmente, la falta de seguridad en los sistemas del sitio puede poner en peligro el servidor del sitio. Para mitigar estas amenazas, cada sistema del sitio debe ser tan seguro como sea posible.

Use Windows Server 2003 para todos los sistemas del sitio.

Windows Server 2003 es el sistema operativo más seguro de Microsoft y el primero en beneficiarse de la iniciativa de Trustworthy Computing. Windows Server 2003 es seguro de forma predeterminada, por lo que el esfuerzo requerido para reforzar la seguridad del sistema operativo es menor que con Windows Server 2000. Adicionalmente, Windows 2003 Server incluye IIS 6.0, que es mucho más seguro que IIS 5.0.

Utilice la separación de funciones en sistemas del sitio.

Es posible instalar todas las funciones de sistemas del sitio en un único equipo pero no suele ser aconsejable hacerlo porque de este modo se crea un solo punto de error. Sin embargo, hay algunas excepciones en lo que respecta al concepto de separación de funciones.

Suele ser preferible instalar una versión dedicada de SQL Server en el mismo equipo que el servidor del sitio y utilizarlo como servidor de base de datos del sitio SMS. Esta configuración proporciona a SMS un control mayor de la configuración de SQL y simplifica la configuración de seguridad de SQL Server.

De forma predeterminada, los puntos de acceso de cliente (CAP) están instalados en el servidor del sitio. Aunque no haya clientes heredados, no se puede eliminar el último CAP del sitio. Si no tiene clientes heredados, puede dejar la función del CAP en el sistema del sitio y seguir las prácticas recomendadas para deshabilitar el acceso de clientes al CAP, tal como se describe más adelante en este documento.

Reduzca el perfil de ataque.

El aislamiento de cada función del servidor del sitio en un servidor diferente reduce las posibilidades de que un ataque contra vulnerabilidades en un sistema del sitio se utilice contra un sistema del sitio diferente. Hay multitud de funciones de sistema del sitio que requieren la instalación de IIS en el sistema del sitio. La instalación de IIS incrementa la superficie de ataque. Si debe combinar funciones de sistemas del sitio para reducir los gastos en hardware, combine funciones que requieran IIS únicamente con otras funciones que requieran IIS.

Mejore la capacidad de recuperación

En sitios pequeños es frecuente encontrar todas las funciones instaladas en el servidor del sitio. Esto incrementa el riesgo de perder toda la funcionalidad de SMS si el servidor del sitio se desconecta. De ser posible, configure un punto de administración externo al servidor del sitio para incrementar su disponibilidad a los clientes. Configure varios puntos de informe y distribución. No puede crear más de un punto de administración predeterminado para el sitio pero puede utilizar un equipo con RAID (matriz redundante de discos independientes) o alguna otra característica tolerante a errores. Alternativamente, puede mantener un punto de administración de reserva en ejecución y configurarlo como predeterminado si el primero se desconecta.

note.gif  Nota
SMS 2003 no es compatible con operaciones de clúster para ninguna función de sistema del sitio, incluida la función de servidor de base de datos del sitio SMS.

En un sitio central sin publicación ni extensiones de esquema de Active Directory, utilice siempre un punto de administración aparte.

Si el esquema de Active Directory no se ha ampliado y SMS no dispone de permisos de publicación en Active Directory, SMS usará la clave raíz de confianza para autenticar puntos de administración a los clientes. La clave raíz de confianza en el servidor del sitio central sirve para firmar el certificado del punto de administración. Si el sitio central necesita recuperarse, los clientes continuarán confiando en los puntos de administración hasta que se genere una clave raíz de confianza nueva en el servidor del sitio central reconstruido. Si necesita recuperarse un punto de administración, los clientes confiarán en el punto de administración nuevo en cuanto la clave raíz de confianza firme los certificados.

Pueden producirse problemas si los clientes se comunican con un servidor del sitio central que también funciona como punto de administración para el sitio. En este caso, la recuperación del servidor del sitio significa que debe crearse una clave raíz de confianza nueva y un certificado nuevo para un punto de administración nuevo. El cliente ya no dispone de un punto de administración o una clave raíz de confianza, por lo que la clave raíz de confianza antigua debe eliminarse en el cliente antes de que pueda obtener la clave nueva. Para evitar que se dé esta situación, amplíe el esquema de Active Directory y habilite la publicación para el sitio. Si esto no es posible y hay clientes que se comunican con el servidor de sitios central, no asigne la función de punto de administración a este servidor del sitio. Esta situación es más frecuente en una implementación pequeña de SMS que consta de un único sitio.

Para obtener más información, consulte el Apéndice B: infraestructura de certificados SMS.

Servidor IIS

Existen varias funciones de servidor que requieren IIS. La seguridad óptima de IIS permite el funcionamiento correcto de SMS a la vez que contribuye a reducir los riesgos. Siempre que sea práctico, mantenga al mínimo el uso de servidores que requieren IIS. Por ejemplo, consolide puntos de administración de forma que se disponga del menor número posible. Utilice un único punto de localización de servidor para el entorno.

Deshabilite funciones de IIS que no sean necesarias.

Instale únicamente las características de IIS necesarias para la función de servidor que le ocupa. En IIS 5.0, la mayoría de los componentes están instalados de forma predeterminada pero, en IIS 6.0, todos los componentes deben instalarse manualmente. Consulte el procedimiento de verificación de los componentes de IIS instalados, incluido en el Apéndice E: procedimientos de seguridad de SMS.

Tabla 3   Funciones de sistemas del sitio y componentes de IIS

Función de sistema del sitio

¿Se requiere IIS?

Componentes IIS necesarios para la habilitación

Servidor del sitio

No

 

Servidor de base de datos del sitio SMS

No

 

Punto de administración (incluidos puntos de administración de proxy)

Extensiones de servidor de BITS

Punto de localización de servidor

IIS predeterminado

Punto de informe

Páginas de Active Server. Para poder usar gráficas en los informes, deben estar instalados los componentes Web de Office (Microsoft Office 2000 SP2 o Microsoft Office XP).

Punto de distribución

No

 

Punto de distribución con BITS habilitado

IIS y WebDAV

Punto de acceso de cliente

No

 

important.gif  Importante
No habilite el nivel de sockets seguro (SSL) en los puntos de administración, de localización de servidor o de distribución. El acceso a HTTPS puede activarse para los puntos de informe con SMS 2003 SP1. Para obtener más información, vea la sección sobre la habilitación del acceso a HTTPS para puntos de informe, más adelante en este documento.

No coloque el servidor del sitio en un equipo con IIS.

Como ya hemos mencionado anteriormente, la separación de funciones contribuye a reducir el perfil de ataque y mejora la capacidad de recuperación. Si la función del servidor del sitio se combina con otra función que requiere IIS, hay cuestiones problemáticas adicionales al utilizar la seguridad avanzada. El uso de la separación de funciones ayuda a mitigar los riesgos siguientes:

  • La cuenta de equipo de servidor del sitio cuenta con privilegios administrativos en otros equipos. IIS se ejecuta mediante el uso de la cuenta LocalSystem, que es la única cuenta que tiene el derecho de utilizar la cuenta de equipo. Esto solamente suele ocurrir en servidores del sitio.

  • Cuando se usa la seguridad avanzada, el servidor del sitio SMS gestiona sus archivos locales y entradas de registro a través de la cuenta LocalSystem. El software que se ejecuta en el contexto IIS de la cuenta LocalSystem dispone del mismo acceso a dichos archivos y entradas de registro.

Use Windows Server 2003 con IIS 6.0.

IIS 6.0 es más seguro que las versiones anteriores. IIS 5.0 está incluido e instalado de forma predeterminada en Windows 2000 Server. La actualización de un servidor con Windows 2000 a Windows Server 2003 conlleva, además, la actualización de IIS, pero el servicio de publicación de World Wide Web queda desactivado durante el proceso de actualización. IIS 6.0 no se instala de forma predeterminada con la instalación de Windows Server 2003. Si instala IIS 6.0, la configuración predeterminada no incluye Páginas de Active Server, Extensiones de servidor de BITS ni WebDAV. Si necesita estos servicios para una función de sistema del sitio SMS, tendrá que habilitarlos manualmente. Puede encontrar una lista de los componentes de IIS requeridos en la tabla 3, sobre funciones de sistemas del sitio y componentes de IIS.

Observe la lista de comprobación referente a la consolidación de IIS para SMS.

El sitio Web de Microsoft incluye amplia información sobre la seguridad de IIS. Algunas prácticas recomendadas para servidores IIS que funcionan como servidores Web no son apropiadas para sistemas del sitio SMS que requieren IIS. Entre las listas de comprobaciones para la seguridad de SMS 2003 se incluye una relativa a la consolidación de IIS para su uso con sistemas del sitio SMS. Esta lista de comprobación está basada en las prácticas recomendadas para la seguridad de IIS pero incluye comentarios sobre la forma de modificar estas prácticas correctamente para garantizar el mantenimiento de la funcionalidad de SMS.

SMS2003 Security checklists.xls

Ejecute IIS Lockdown y URLScan mediante las plantillas de SMS.

Si su sistema del sitio cuenta con Windows 2000 Server y IIS 5.0, ejecute IIS Lockdown Wizard con SMS IISLockd.ini. IIS Lockdown desactiva características innecesarias, con lo que se reduce el riesgo de posibles ataques. IIS Lockdown Wizard incluye UrlScan, una herramienta de seguridad que limita los tipos de solicitudes HTTP que IIS procesará.

Si su sistema del sitio ejecuta Windows Server 2003 y IIS 6.0, la característica IIS Lockdown está integrada en IIS. De todas formas, debería ejecutar URLScan 2.5 para aplicar el archivo UrlScan_SMS.ini.

Descargue IISLockd.ini y UrlScan_SMS.ini de SMS como parte de SMS Toolkit 1 desde el sitio Web del Centro de descargas de Microsoft. El procedimiento de aplicación de estas plantillas se describe en la documentación que acompaña a SMS Toolkit 1.

warning.gif  ADVERTENCIA
La ejecución de las herramientas IIS Lockdown y URLScan sin las plantillas de SMS puede causar errores en el funcionamiento de SMS.

Aplique Service Packs y revisiones de seguridad en cuanto se encuentren disponibles.

Los sistemas en los que no se han implementado las revisiones oportunas pueden constituir un riesgo considerable para toda la organización, según el problema de seguridad que se presente. Suscríbase al servicio de notificación de seguridad de Microsoft. Consulte los boletines de seguridad relacionados con IIS y aplique las actualizaciones y revisiones más recientes para Windows, el servidor IIS y .NET Framework. Ejecute Microsoft Baseline Security Analyzer (MBSA) regularmente para buscar las últimas actualizaciones del sistema operativo y de los componentes.

Servidor del sitio

Se recomienda el uso de Windows 2003 Server en todos los sistemas del sitio, especialmente en servidores del sitio. Cualquier ataque contra el servidor del sitio debe considerarse de alto riesgo. Si ejecuta el servidor del sitio SMS en Windows 2000, debe realizar la actualización a Windows 2000 SP3 e instalar la revisión Q325804 para SMS 2003 o actualizar a Windows 2000 SP4 o una versión posterior. La revisión Q325804 está incluida en el CD de SMS 2003, en la carpeta WinQFE\Q325804. Soluciona el problema, pero requiere la instalación de Windows 2000 SP3.

important.gif  Importante
Cuando se usa seguridad avanzada, los procesos del servidor del sitio SMS se llevan a cabo bajo la cuenta LocalSystem y se comunican con los sistemas del sitio SMS a través de la cuenta de equipo de servidor del sitio. Es posible que algunas operaciones, como la instalación de software cliente y la comunicación entre sitios, requieran un conjunto adicional de credenciales de cuenta como parámetro de configuración y se comuniquen con equipos remotos mediante dichas credenciales. Debido a un problema en el sistema operativo, el servidor del sitio no puede comunicarse utilizando este conjunto adicional de credenciales. La revisión Q325804 soluciona este problema. Está incluida en el CD de SMS 2003, en la carpeta WinQFE\Q325804. Soluciona el problema, pero requiere la instalación de Windows 2000 SP3.
El servidor debe reiniciarse tras aplicar esta revisión.

No permita a usuarios que no son administradores utilizar la consola de administración de SMS en el servidor del sitio.

Los permisos predeterminados al nivel de directorio SMS permiten a los administradores usar la consola únicamente en el servidor del sitio; es recomendable mantener este nivel de seguridad. Instale la consola de administración de SMS en equipos cliente seguros y asigne seguridad de objetos SMS para restringir el acceso de los usuarios al menor número de permisos posible. También puede utilizar las opciones de escritorio remoto o servicios de Terminal Server en modo de administración remota para acceder al servidor del sitio y ejecutar la consola de administración de SMS.

Use siempre Ejecutar como al iniciar la consola de administración de SMS desde una estación de trabajo remota.

Si instala la consola de administración de SMS en una estación de trabajo o servidor remoto, no inicie la sesión en ellos con la cuenta de administración de SMS. En su lugar, utilice una cuenta de usuario normal, inicie la consola de administración de SMS por medio de Ejecutar como y proporcione las credenciales de una cuenta con derechos administrativos de SMS.

Si desea obtener más detalles al respecto, acuda al Centro de ayuda y soporte técnico y realice una búsqueda sobre Ejecutar como.

SQL Server

SMS utiliza SQL Server como base de datos de servicios de fondo. En caso de ataque contra esta base de datos, los atacantes podrían pasar por alto la consola de administración de SMS y acceder a SQL Server directamente para lanzar ataques a través de SMS. Cualquier ataque contra SQL Server debe considerarse de alto riesgo.

SMS usa seguridad de SQL Server para proporcionar acceso a la base de datos del sitio SMS. SQL Server ofrece dos métodos de autenticación. La autenticación de Windows está disponible para todas las bibliotecas de red de SQL Server y autentica el acceso tomando como base la cuenta de Windows. La autenticación de SQL Server usa cuentas específicas de SQL Server cuyo mantenimiento tiene lugar en el mismo SQL Server. La cuenta de SQL Server debe especificarse al realizar la conexión con SQL Server. La autenticación de SQL Server se incluye para ofrecer compatibilidad con versiones anteriores y para clientes que ejecutan Windows 95 y Windows 98. No se recomienda su utilización en entornos de empresa.

La seguridad mixta no es una opción explícita de SQL Server. La autenticación de Windows está siempre disponible. La autenticación de SQL Server puede habilitarse y deshabilitarse. El efecto de seguridad mixta se consigue mediante la habilitación de la autenticación de SQL Server.

SQL Server proporciona funciones que se asemejan a cuentas de grupos de Windows con miembros. Se asignan permisos a las funciones por medio del uso de declaraciones como GRANT (conceder), REVOKE (revocar) y DENY (denegar). DENY sirve para denegar permisos sobre un objeto explícitamente y tiene preferencia sobre cualquier otro permiso.

Observe la lista de comprobación referente a la consolidación de SQL para SMS.

El sitio Web de Microsoft incluye amplia información sobre la seguridad de SQL Server. Algunas prácticas recomendadas para servidores SQL Server que funcionan como servidores de base de datos no son apropiadas para el servidor de base de datos del sitio SMS. Entre las listas de comprobaciones sobre la seguridad de SMS 2003 se incluye una relativa a la consolidación de SQL Server para su uso con el servidor de base de datos del sitio SMS. Esta lista de comprobación está basada en las prácticas recomendadas para la seguridad de SQL Server pero incluye comentarios sobre la forma de modificar estas prácticas correctamente para garantizar el mantenimiento de la funcionalidad de SMS.

SMS2003 Security checklists.xls

Aplique Service Packs y revisiones de seguridad en cuanto se encuentren disponibles.

Suscríbase al servicio de notificación de seguridad de Microsoft. Consulte los boletines de seguridad relacionados con SQL Server y aplique las actualizaciones y revisiones más recientes para Windows y SQL Server. Ejecute MBSA regularmente para buscar las últimas actualizaciones del sistema operativo y de los componentes.

Instale SMS y SQL Server en el mismo equipo.

A simple vista quizás parezca que la instalación de SQL Server y SMS en el mismo equipo viola el concepto de separación de funciones para incrementar la disponibilidad; sin embargo, no constituye un riesgo de seguridad importante. Si la base de datos del sitio SMS o el servidor del sitio se desconectan, el servidor que queda en línea es prácticamente inútil. La instalación de SMS y SQL Server en el mismo equipo simplifica la configuración de SQL Server y reduce el riesgo de cometer errores de seguridad.

Use un SQL Server dedicado para cada sitio SMS.

Aunque varios sitios pueden compartir un mismo equipo que ejecute SQL Server para almacenar datos, no es recomendable hacer uso de esta configuración. La utilización de un SQL Server dedicado para cada sitio SMS proporciona una compartimentalización de datos óptima. En caso de ataque contra una base de datos del sitio SMS en un SQL Server, el acceso del atacante a otra base de datos del sitio SMS en el mismo SQL Server será mucho más sencillo.

No utilice el servidor de base de datos del sitio SMS para ejecutar otras aplicaciones de SQL Server. Cuanto mayor sea el acceso al servidor de base de datos del sitio SMS, mayor será el riesgo para los datos de SMS.

Una configuración en la que varios sitios comparten un mismo SQL Server puede dificultar, además, la recuperación del sitio, lo que podría retrasar el funcionamiento correcto de SMS en un momento crítico. En caso de producirse errores en un sitio que comparte SQL Server con otro sitio, es necesario asegurarse de que el proceso de recuperación del sitio con errores no afecta al resto de los sitios. En esta situación, el proceso es más complicado, ya que los procedimientos de recuperación deben aislarse de modo que sólo se apliquen al sitio con errores.

Configure SQL Server para el uso de la autenticación de Windows.

Configure SQL Server para que use el modo de autenticación de Windows, tal como se describe en la documentación que acompaña a SQL Server. En el modo de autenticación de Windows, SQL Server verificará inicios de sesión con nombre de usuario y contraseña de cuenta de Windows. Si tiene un SQL Server dedicado para cada sitio SMS, no hay ninguna razón por la que no debiera utilizar la autenticación de Windows. Durante la configuración de SMS, especifique que está usando SQL Server en el modo de autenticación de Windows.

Configure SQL Server para que se ejecute con una cuenta de usuario de dominio.

SMS no exige que SQL Server se ejecute con la cuenta LocalSystem. Para implementar el principio de privilegios mínimos, cree una cuenta de usuario de dominio y configure el servicio SQL Server para que se ejecute por medio de dicha cuenta. No agregue esta cuenta al grupo de administradores del dominio.

Si utiliza seguridad avanzada, cree los nombres principales del servicio (SPN, Service Principal Names) manualmente.

Cuando el servicio SQL Server se ejecuta bajo una cuenta miembro del grupo de administradores de dominio, de forma automática, SQL Server crea el SPN SQL que contiene el nombre de dominio completo (FQDN, Fully Qualified Domain Name) de SQL Server. Cuando el servicio SQL Server no se ejecuta bajo una cuenta miembro del grupo de administradores de dominio, SQL Server no crea el SPN SQL que contiene el nombre NetBIOS del servidor que ejecuta SQL Server. Si la cuenta de servicios SQL no está en el grupo de administradores de dominio, deberá crear el FQDN y los SPN SQL de NetBIOS de forma manual. Típicamente, el problema se da en los siguientes casos:

  • SQL Server y el equipo de sistemas del sitio se encuentran en dominios diferentes, el servicio SQL Server se inicia con una cuenta LocalSystem o de usuario del servidor que ejecuta SQL Server y el equipo de sistemas del sitio intenta conectar al servidor con SQL Server.

  • El servicio SQL Server se ejecuta bajo una cuenta de usuario y el equipo de sistemas del sitio intenta utilizar la cuenta de equipo de servidor del sitio para conectar al servidor que ejecuta SQL Server.

Si desea consultar el procedimiento de creación de FQDN y SPN SQL de NetBIOS, vea el artículo 829868 de Microsoft Knowledge Base.

Puntos de informe

De forma predeterminada, los puntos de informe no están configurados para utilizar SSL y cifrar comunicaciones. Es bastante fácil lanzar un ataque de seguridad que intercepte las credenciales o el estado de la sesión en tráfico HTTP sin cifrar. Por medio del robo del estado de la sesión, un atacante puede conseguir el acceso total al punto de informe.

*SPHabilite el acceso HTTPS para puntos de informe.

En las versiones anteriores a SMS 2003 SP1, los componentes SMS no ofrecen compatibilidad con SSL en los sistemas del sitio que requieren IIS. Con SMS 2003 SP1, es recomendable configurar la consola de administración de SMS de forma que inicie el visor de informes a través de HTTPS. Esta configuración no obtiene el certificado o configura IIS para utilizar SSL. Realice estos ajustes antes de configurar el punto de informe para acceso HTTPS.

note.gif  Nota
Cuando inicie o explore la página Web del visor de informes de SMS a través de HTTPS, es posible que reciba un mensaje de advertencia sobre datos no seguros. Éste es un problema conocido con Internet Explorer.

Si desea consultar el procedimiento, consulte la sección Habilitación de acceso HTTPS para puntos de informe, incluida en el Apéndice E: procedimientos de seguridad de SMS. *SP

Puntos de acceso de cliente

De forma automática y aunque no cuente con clientes heredados, SMS crea un punto de acceso de cliente en el servidor del sitio. SMS crea el directorio \CAP_códigositio en la unidad donde está instalado SMS. Este directorio se comparte como \\servidor sitio\CAP_códigositio .SMS no le permitirá eliminar el último CAP del sitio pero puede bloquear la carpeta compartida de CAP. Si no se dota a los CAP de la seguridad adecuada, un atacante podría enviar datos no válidos a la base de datos del sitio SMS.

Modifique los permisos de la carpeta compartida que permiten a los clientes conectar a la estructura de directorios de CAP.

De forma predeterminada, la cuenta Todos tiene el control total de la carpeta compartida \\servidor sitio\CAP_códigositio. En un entorno seguro sin clientes heredados puede eliminarse la cuenta Todos de los permisos de la carpeta compartida y asignarle únicamente control total de administradores. De este modo, SMS puede continuar realizando los ciclos de mantenimiento de CAP sin generar mensajes de error pero se evita que los usuarios que no son administradores puedan acceder a la estructura de directorios de CAP.

Seguridad de características SMS

Encontrará una descripción de las características SMS en la guía de operaciones de Microsoft Systems Management Server 2003. Adicionalmente, el sistema de ayuda de SMS incluye instrucciones detalladas sobre el uso de seguridad al nivel de características de SMS. Esta sección ofrece detalles de seguridad adicionales para las características SMS siguientes:

  • generación de informes

  • herramientas remotas

  • distribución de software

  • recopilación de inventario

generación de informes

Los atacantes suelen intentar recopilar tanta información como sea posible sobre una empresa en busca de vulnerabilidades. Pueden intentar obtener acceso a informes de SMS en busca de información sobre el entorno de red. Por ejemplo, si el atacante ve que el informe muestra el estado de actualización del software, puede lanzar ataques específicos contra equipos que no hayan recibido revisiones contra estos ataques.

Los ataques contra la generación de informes de SMS no implican tanto riesgo como los lanzados contra el servidor del sitio, el servidor de base de datos del sitio SMS, la distribución de software y las herramientas remotas.

La función de generación de informes de SMS accede a las vistas SMS de SQL Server mediante una función de aplicación de SQL Server llamada webreport_approle. Esta función está asegurada por medio de una contraseña aleatoria generada automáticamente y almacenada por SMS de forma igualmente segura.

Restrinja consultas e informes a usuarios autorizados.

Observe el principio de privilegios mínimos al asignar permisos de acceso a consultas e informes. Los informes pueden ejecutarse desde la consola de administración de SMS o a través de un visor de informes, como Internet Explorer.

En lo que respecta a las consultas, la seguridad de objetos SMS se aplica únicamente a aquellas que se muestran la consola de administración de SMS. Para ejecutar consultas en la consola de administración de SMS debe disponerse de permisos de seguridad de objetos SMS sobre los objetos incluidos en la consulta. Adicionalmente, cuando se crea una consulta, el campo de valores en la ficha de criterios del cuadro de diálogo de propiedades de consulta, no devolverá datos a menos que se disponga de los permisos de lectura y lectura de recursos sobre la clase de colecciones.

Una consulta puede estar limitada a ciertas colecciones, de forma que los usuarios solamente pueden consultar datos en las colecciones que están autorizados a usar. Aunque el usuario no especifique la limitación de colecciones al crear una consulta, SMS aplica dicha limitación si el usuario no está autorizado a ver todos los recursos. Si algún usuario requiere acceso a la información, asegúrese de que no se verá afectado por la limitación de colecciones.

Para obtener más información sobre la seguridad de objetos SMS, consulte el Apéndice A: seguridad de objetos SMS y WMI.

Use el grupo de usuarios de informes para controlar el acceso al punto de informe.

Es parte de la configuración predeterminada que todos los miembros de los grupos de administradores y usuarios de informes cuenten con acceso al sitio Web del punto de informe. Si los usuarios necesitan acceso a los informes en el punto de informe, agréguelos a los grupos locales de usuarios de informes en cada punto de informe requerido. De forma predeterminada, el grupo de usuarios de informes no tiene ningún miembro.

important.gif  Importante
Es necesario modificar la configuración de seguridad predeterminada de Internet Explorer 6.0 para los usuarios de informes. Este problema está corregido en SMS 2003 SP1. Internet Explorer 6.0 y las versiones posteriores cuentan con una configuración de seguridad mejorada predeterminada. Es necesario modificar esta configuración para los usuarios de informes. Para cada usuario, agregue la URL de cada punto de informe al que el usuario puede acceder. Si desea consultar el procedimiento, consulte la sección Concesión de acceso de usuarios a informes en puntos de informe, incluida en el Apéndice E: procedimientos de seguridad de SMS.

Administre la seguridad de los usuarios que se conectan directamente al equipo SMS que ejecuta SQL Server.

Productos tales como Microsoft Access o herramientas de informes ajenas a Microsoft acceden a la base de datos del sitio SMS a través de Instrumental de administración de Windows (WMI, Windows Management Instrumentation) mediante el uso del controlador ODBC de Administración empresarial basada en Web (WBEM, Web-based Enterprise Management). Las secuencias de comandos, páginas Web y herramientas similares utilizan el modelo de secuencias de comandos WMI para realizar consultas en SMS. Todas estas opciones de generación de informes requieren el acceso a WMI y al proveedor de SMS; este acceso se controla con la seguridad de objetos SMS y de WMI.

Los informes que utilizan datos de SMS a los que se accede a través de vistas de SQL Server se generan a partir de productos como Microsoft Access o herramientas de informes ajenas a Microsoft que acceden a datos de SMS a través de vistas de SQL Server. Utilizan el controlador ODBC de SQL Server o cualquier otro modelo de secuencias de comandos que accede a los datos de SQL Server directamente, de modo que se pasa por alto la seguridad de objetos SMS y de WMI.

Agregue al grupo de usuarios de informes a aquellos usuarios que se conectan a la base de datos del sitio SMS por medio de la autenticación de Windows para ver informes. Agregue a la función smsschm_users de SQL Server a aquellos usuarios que se conectan a la base de datos del sitio SMS por medio de la autenticación de SQL Server para ver informes. La función smsschm_users de SQL Server tiene el derecho de selección sobre todas las vistas SMS de SQL Server. Alternativamente, puede asignar usuarios individuales o permisos de funciones a vistas específicas si desea limitar el acceso a los datos de SMS.

Para consultar los procedimientos de administración de funciones de SQL Server, vea la documentación que acompaña a SQL Server.

Herramientas remotas

SMS 2003 incluye la opción de utilizar servicios de Terminal Server, conexión a escritorio remoto y asistencia remota, además de herramientas remotas si la consola y los sistemas operativos cliente son compatibles con estas opciones. Si desea obtener más información sobre su seguridad y auditoría, consulte la documentación relativa a estas opciones de sistema operativo.

Conexión a escritorio remoto y asistencia remota están disponibles en Windows XP y Windows 2003. Puede controlar los servidores que ejecutan Windows 2000 Server por medio de los servicios de Terminal Server en modo de administración remota. Si dispone de clientes avanzados que ejecutan Windows 2000 para estaciones de trabajo, el sistema operativo no cuenta con la opción de administración remota. Puede utilizar las herramientas remotas SMS; sin embargo, esta solución no es muy segura.

Cualquier software que permite la visualización y el control de sistemas remotos representa un alto nivel de riesgo en cuanto a seguridad y privacidad. Además, las herramientas remotas SMS permiten a usuarios que no son administradores ejecutar programas en un contexto administrativo si cuentan con permisos suficientes para el uso de las herramientas.

Use administración remota o asistencia remota en lugar de herramientas remotas.

Se recomienda encarecidamente utilizar las opciones de asistencia remota y conexión a escritorio remoto de Windows en Windows XP y Windows Server 2003 en lugar de control remoto SMS en equipos que ejecutan dichas plataformas. Asistencia remota y conexión a escritorio remoto de Windows constituyen tecnologías más seguras y son opciones integradas del sistema operativo.

Use Directiva de grupo o SMS (no ambos) para configurar la asistencia remota.

Puede utilizar tanto SMS como Directiva de grupo para realizar cambios en la configuración de asistencia remota. Cuando Directiva de grupo se actualiza en el cliente, optimiza el proceso de forma predeterminada modificando únicamente las directivas que han cambiado en el servidor. SMS cambia la configuración en la directiva de seguridad local, que no puede sobrescribirse a menos que se fuerce la actualización de Directiva de grupo. La configuración de la directiva en ambos sitios podría dar lugar a resultados inconsistentes. Elija uno de estos métodos para configurar la asistencia remota.

important.gif  Importante
Las prácticas recomendadas siguientes se incluyen únicamente para ofrecer compatibilidad con clientes Windows 2000 Professional, ya que no ofrecen opciones integradas de administración remota. Si sus clientes usan Windows XP, Windows 2000 Server o Windows Server 2003, utilice las opciones de administración remota integradas en el sistema operativo en su lugar, ya que no se ven afectados por las vulnerabilidades que se enumeran a continuación.
Estas prácticas recomendadas se aplican también a equipos que ejecutan Windows 98 y Windows NT 4.0 pero éstos no se consideran sistemas operativos seguros y se tratan con más detenimiento en el Apéndice D: seguridad en entornos de cliente heredado.

El modo de solicitud de permiso no ofrece la seguridad adecuada para herramientas remotas.

Si se habilita la opción de solicitud de permiso para la totalidad del sitio, el usuario que inició la sesión en el cliente deberá concederle el permiso de llevar a cabo cualquier operación con herramientas remotas. Sin embargo, si utiliza alguna función de herramientas remotas (por ejemplo, control remoto) en un cliente y luego deja de usar esta función, podrá llevar a cabo la misma operación de herramientas remotas en el mismo cliente durante un período máximo de 10 segundos sin necesidad de obtener de nuevo el permiso del usuario. Si intenta utilizar una función diferente de herramientas remotas, el usuario tendrá que concederle el permiso aunque no hayan transcurrido 10 segundos. Después de 10 segundos, el intento de usar cualquier función de herramientas remotas en el mismo cliente requiere el permiso del usuario.

Es posible controlar la configuración de seguridad de herramientas remotas en equipos que ejecutan los sistemas operativos Windows NT 4.0, Windows 2000, Windows XP o Windows Server 2003 manipulando las entradas de registro apropiadas y reiniciando el agente de control remoto SMS. Asegúrese de que las operaciones remotas de edición de registro y control de servicio cuentan con la seguridad adecuada.

La mejor solución de mitigación es utilizar administración remota en lugar de herramientas remotas. La opción de permiso requerido es una característica de seguridad de la asistencia remota. SMS no puede modificar el requisito de que el usuario tenga que autorizar la sesión de asistencia remota.

Cree un plan para recuperar sesiones de herramientas remotas en caso de producirse errores.

Las condiciones de la red podrían causar errores en las sesiones de herramientas remotas. También puede darse el caso de que un usuario que esté usando el equipo remoto ponga fin a la sesión antes de que el administrador esté listo. Si se producen errores antes de cerrar la sesión en el equipo remoto, la consola remota permanecerá conectada con sus credenciales y, presumiblemente, sin supervisión administrativa. Por lo tanto, cualquiera que pueda acceder físicamente al equipo podrá hacerse con sus permisos y derechos de seguridad. Esto representa una importante amenaza para la seguridad.

Al utilizar la ejecución remota, cualquier proceso iniciado por una aplicación remota puede continuar ejecutándose incluso en el caso de que se haya cerrado la aplicación. De esta forma se ofrece al usuario local un modo de acceder al contexto de seguridad del administrador.

Para llevar a cabo la recuperación de una sesión de herramientas remotas en la que se han producido errores, reinicie el equipo con una herramienta de reinicio remoto, como Shutdown.exe. Si cuenta con personal de confianza en la ubicación remota, puede pedirles que cierren su sesión en el equipo.

No confíe en la seguridad de colecciones para controlar el acceso a herramientas remotas.

La omisión de seguridad de colecciones para herramientas remotas resulta muy sencilla si se tiene suficiente experiencia o determinación. El interesado podría configurar un sitio SMS que no forme parte de su jerarquía de SMS y crear registros de recursos para los clientes que desea controlar. Podría concederse a sí mismo cualquier derecho sobre dichos recursos. Alternativamente, podría utilizar el conmutador Remote.exe /SMS:nosql, del modo que se describe en la sección sobre Remote.exe incluida más adelante en este capítulo. Tome la seguridad de colecciones para herramientas remotas como una comodidad organizativa y eficaz para el personal que sigue sus directivas y procedimientos.

Restrinja la lista de usuarios permitidos.

Los usuarios no necesitan derechos de administrador local para utilizar herramientas remotas. Si se observa la seguridad de las colecciones y la lista de usuarios permitidos, el usuario puede utilizar las herramientas remotas en el cliente.

Especifique los grupos globales requeridos.

Los miembros de grupos globales que son miembros de grupos locales incluidos en la lista de usuarios permitidos no aparecen enumerados, de modo que no se les conceden permisos de acceso cuando están anidados en grupos locales. Para evitar confusiones, especifique explícitamente todos los grupos globales en la lista de usuarios permitidos.

Indique el contexto de dominio para las cuentas de usuario.

La ambigüedad de la lista de usuarios permitidos es intencionada, ya que la autenticación de los usuarios tomando esta lista como referencia se lleva a cabo en el cliente y es posible que el servidor del sitio SMS no tenga acceso a los mismos dominios que el cliente. Consecuentemente, puede introducir nombres de cuenta en la lista de usuarios permitidos sin especificar el dominio para las cuentas. Sin embargo, la lista debe ser clara en el cliente. Por lo tanto, para evitar ambigüedades al nivel del cliente, se recomienda que introduzca los nombres de cuentas en la lista de usuarios permitidos con el formato dominio\cuenta.

Elimine las versiones localizadas del nombre de usuario del administrador.

De forma predeterminada, en SMS 2003, no aparecen nombres en la lista de usuarios permitidos.

Si llevó a cabo la actualización de SMS 2.0, las versiones localizadas del nombre de usuario del administrador que aparecen en la lista de usuarios permitidos de forma predeterminada podrían ofrecer el acceso a las herramientas remotas a los usuarios equivocados. Si no usa las versiones localizadas del nombre de usuario del administrador en su empresa, elimínelas de la lista de usuarios permitidos. La eliminación de cuentas innecesarias de la lista de usuarios permitidos reduce, además, el tiempo y el tráfico de autenticación en la red necesarios para que el cliente realice la autenticación del usuario y establezca la conexión remota.

No use la ejecución remota para realizar tareas administrativas.

Cuando se ejecutan programas en equipos cliente por medio de las herramientas remotas SMS, los programas se ejecutan en el contexto de seguridad del administrador que inicia los programas de forma remota y no en el contexto del usuario que está conectado en ese momento. Si la sesión de ejecución remota finaliza prematuramente, puede dejar al usuario con una aplicación administrativa abierta.

No introduzca contraseñas para cuentas con privilegios durante sesiones de control remoto.

La contraseña es segura para el equipo cliente pero se introduce por medio del teclado virtual. Existe software capaz de registrar las entradas de teclado que puede utilizarse para capturar contraseñas. También puede darse el caso de que si el programa en ejecución en el equipo cliente no es el programa que el usuario de control remoto supone, dicho programa esté capturando la contraseña. Cuando se requieren cuentas y contraseñas, es el usuario final quien debería introducirlas.

Distribución de software

La distribución de software constituye una característica extremadamente eficaz que puede utilizarse como punto de ataque principal si no se asegura correctamente. Durante la instalación de paquetes, SMS puede usar derechos elevados en el contexto del sistema o del usuario aunque el usuario no cuente con derechos administrativos. Esto permite a un atacante llevar a cabo eficientemente cualquier ataque capaz de elevar derechos.

note.gif  Nota
En la guía de conceptos, planeamiento e implementación de Microsoft Systems Management Server 2003 se indica incorrectamente que no se necesita el derecho de modificación de paquete para distribuir paquetes a los puntos de distribución. Para distribuir paquetes a los puntos de distribución, debe contar con los derechos de seguridad de objetos SMS de paquete en cuanto a lectura, distribución y modificación.

No cree subcolecciones si necesita limitar la distribución de software en ellas.

Los avisos a una colección con subcolecciones se envían a todos los miembros de la colección y las subcolecciones, aunque el administrador cuente únicamente con el derecho de aviso en relación a la colección (y no a las subcolecciones). Cualquier administrador capaz de vincular una colección a otra puede conseguir que su colección reciba los avisos destinados a la otra colección, aunque no cuente con los permisos de aviso sobre ninguna colección. Por este motivo, vigile la adición de subcolecciones a colecciones con avisos y sea precavido a la hora de otorgar permisos de lectura de colecciones que reciben avisos.

Asegure el software al nivel de acceso a paquetes.

De forma predeterminada, los archivos de paquetes en puntos de distribución son totalmente accesibles para los administradores y los usuarios pueden leerlos. Los usuarios con derechos administrativos en sus clientes avanzados pueden configurar el cliente para que se una a cualquier sitio, incluso en el caso de que el equipo se encuentre fuera de los límites del sitio. Tras su unión al sitio, los clientes podrán recibir cualquier distribución de software disponible en dicho sitio y en los casos en que el equipo o el usuario cumpla los requisitos de las colecciones relevantes. Ésta es la razón por la que el software que debe restringirse a usuarios específicos debería asegurarse al nivel de acceso a paquetes para estos usuarios, en lugar de utilizar limitaciones de disponibilidad de sitios o criterios de colecciones.

Establezca los permisos de acceso a paquetes durante la creación de los paquetes.

Los cambios realizados en las cuentas de acceso de los archivos de paquetes (a diferencia de las carpetas compartidas de puntos de distribución) solamente surten efecto tras actualizar el paquete. Por lo tanto, establezca los permisos de acceso a paquetes con mucha precaución durante la creación del paquete, particularmente si se trata de un paquete grande, si el paquete va a distribuirse a varios puntos de distribución o si la capacidad de la red para distribuciones de paquetes es limitada. Para iniciar rápidamente la actualización de todos los puntos de distribución puede utilizar la tarea de actualización de puntos de distribución del paquete.

Asegure los archivos de origen de paquetes.

Durante la creación de paquetes, pueden encontrarse varios que tienen archivos de origen disponibles en un directorio o una carpeta compartida. SMS utiliza estos archivos de origen para actualizar los paquetes. Sin embargo, SMS no asegura estos paquetes, ya que los archivos de origen no se encuentran necesariamente en directorios SMS. Si los archivos han sufrido algún tipo de manipulación, la seguridad de los clientes SMS puede estar en peligro. Asegure estos archivos de origen correctamente. La única cuenta SMS que necesita acceso a los archivos de origen de paquetes es la cuenta de equipo de servidor del sitio SMS (seguridad avanzada) o la cuenta de servicio SMS (seguridad estándar).

Almacene los archivos de origen de paquetes en un equipo con Windows 2000 o una versión posterior en un dominio de Active Directory (sólo con seguridad avanzada).

Los equipos que ejecutan Windows NT 4.0 y aquéllos en un dominio de Windows NT 4.0 no pueden utilizarse como servidor de origen de paquetes cuando el sitio SMS está en modo de seguridad avanzada.

Cuando SMS 2003 está en modo de seguridad avanzada y el origen de un paquete se encuentra en otro equipo, SMS utiliza la cuenta de equipo de servidor del sitio para establecer la conexión con el equipo de origen del paquete. Los equipos que ejecutan Windows NT 4.0 en un dominio de Active Directory no pueden autenticar cuentas de equipos. De forma similar, los equipos con sistema operativo de Windows en un dominio de Windows NT 4.0 no pueden autenticar cuentas de equipos. Por lo tanto, se producirán errores en las conexiones desde un servidor del sitio SMS 2003 en modo de seguridad avanzada.

No establezca paquetes restringidos para su descarga y ejecución.

Cuando se descargan paquetes en clientes avanzados, cualquiera puede ejecutar estos paquetes en el equipo, siempre y cuando se encuentren en la caché de descargas. También puede suceder que un usuario copie los archivos en un directorio o una carpeta compartida accesible a otros usuarios. Si el acceso a estos archivos está prohibido para usuarios no autorizados, la opción de descarga no debería utilizarse con estos paquetes.

Recopilación de inventario

Las recopilaciones de inventario dejan expuestas posibles vulnerabilidades. Los atacantes pueden:

  • enviar datos inválidos.

  • enviar cantidades excesivas de datos.

  • acceder a información sobre inventarios durante su transferencia a los sistemas del sitio.

Los ataques contra inventarios suelen considerarse menos graves que aquéllos capaces de forzar una distribución de software no autorizada, ya que la información sobre inventarios puede obtenerse a través de otros medios.

Deshabilite la recopilación de IDMIF y NOIDMIF en entornos de alta seguridad.

La recopilación de IDMIF y NOIDMIF puede utilizarse para ampliar la recopilación de inventario de hardware SMS. Cuando resulta necesario, SMS crea tablas nuevas o modifica tablas existentes en la base de datos del sitio SMS para incluir las propiedades en los archivos IDMIF y NOIDMIF. Sin embargo, los archivos IDMIF y NOIDMIF no están validados, de modo que podrían utilizarse para cambiar tablas que no desea modificar. Datos válidos podrían quedar sustituidos por datos no válidos. Podrían cargarse grandes cantidades de datos, lo que causaría retrasos en todas las funciones de SMS. Para mitigar este riesgo es posible deshabilitar la recopilación de IDMIF y NOIDMIF.

De forma predeterminada, los sitios SMS 2003 recién instalados tienen la recopilación de MIF deshabilitada. Los sitios SMS 2003 actualizados a partir de SMS 2.0 tienen la recopilación de MIF habilitada de forma predeterminada.

Si desea consultar el procedimiento, consulte la sección Deshabilitación de la recopilación de IDMIF y NOIDMIF, incluida en el Apéndice E: procedimientos de seguridad de SMS.

note.gif  Nota
La ampliación de la recopilación de inventario de hardware mediante el uso de las extensiones SMS_def.mof no conlleva las mismas cuestiones de seguridad. Todas las extensiones SMS_def.mof deben efectuarse en el servidor, lo que requiere derechos administrativos.

No use la recopilación de archivos para recopilar archivos críticos o información confidencial.

El inventario de clientes avanzados se recopila utilizando todos los derechos de la cuenta LocalSystem. Esto incluye la capacidad de recopilar copias de archivos de sistema críticos como, por ejemplo, la base de datos de cuentas de seguridad o del registro. Una vez que estos archivos se muestran disponibles en el servidor del sitio SMS, cualquier usuario con los privilegios necesarios podría analizar su contenido y captar detalles importantes sobre el cliente para poner en peligro su seguridad.

Durante las recopilaciones de archivos, tenga siempre en cuenta la privacidad y la seguridad. Observe el principio de privilegios mínimos al asignar permisos de acceso a los archivos recopilados de SMS.

  • Escenarios y procedimientos de Microsoft Systems Management Server 2003: seguridad


¿Te ha resultado útil?
(Caracteres restantes: 1500)
Gracias por sus comentarios
Mostrar:
© 2014 Microsoft