Guía de seguridad de Windows Vista

  • Artículo

Información general

Windows Vista Guía de seguridad. Esta guía ofrece instrucciones y recomendaciones para reforzar la seguridad de los equipos de escritorio y portátiles con Windows Vista en un dominio con el servicio de directorios de Active Directory.

Además de las soluciones que recomienda la Guía de seguridad de Windows Vista , esta guía incluye herramientas, procedimientos detallados, recomendaciones y procesos que agilizan significativamente el proceso de implementación. La guía no sólo le ofrece orientación efectiva acerca de la configuración de la seguridad, también le ofrece un método reproducible que puede usar para aplicar la orientación tanto en el entorno de prueba como en el de producción.

La herramienta clave que ofrece la Guía de seguridad de Windows Vista es el script GPOAccelerator.wsf. Esta herramienta le permite ejecutar un script que crea automáticamente todos los objetos de directiva de grupo (GPO, Group Policy Object) necesarios para aplicar esta guía de seguridad. El archivo Windows Vista Security Guide Settings.xls, que también acompaña a esta guía, ofrece otro recurso para comparar valores de configuración.

Los equipos de ingeniería de Microsoft, los consultores, los ingenieros de soporte técnico, los asociados y los clientes han revisado y aprobado esta guía prescriptiva y la han definido como:

  • De probada eficacia. Basada en las experiencias del campo.
  • Autoritativa. Ofrece el mejor consejo disponible.
  • Precisa. Técnicamente validada y probada.
  • Procesable. Proporciona los pasos para alcanzar el éxito.
  • Relevante. Trata cuestiones de seguridad reales.

Los consultores y los ingenieros de sistemas desarrollan procedimientos recomendados para la implementación de Windows Vista, Windows XP Professional, Windows Server 2003 y Windows 2000 en varios entornos. Si usted está evaluando Windows Vista para su entorno, el Acelerador de solución Windows Vista Hardware Assessment puede ayudar a las organizaciones a determinar el grado de preparación de sus equipos para ejecutar el sistema operativo Windows Vista. Esta herramienta realiza rápidamente inventarios de equipos, identifica la experiencia de Windows Vista compatible y recomienda actualizaciones de controladores de dispositivo y de hardware según convenga.

Microsoft ha publicado guías para Windows XP con Service Pack 1 (SP1) y para Windows XP con SP2. Esta guía menciona mejoras significativas en el ámbito de seguridad en Windows Vista. La guía fue desarrollada y probada con equipos en los que se ejecuta Windows Vista unidos a un dominio que usa Active Directory y también con equipos independientes.

Nota   Todas las menciones a Windows XP en esta guía hacen referencia a Windows XP con SP2 a menos que se indique lo contrario.

En esta página

Resumen ejecutivo Resumen ejecutivo
Destinatarios de esta guía Destinatarios de esta guía
Resumen del capítulo Resumen del capítulo
Orientación y herramientas Orientación y herramientas
Convenciones de estilo Convenciones de estilo
Más información Más información
Agradecimientos Agradecimientos

Resumen ejecutivo

Cualquiera que sea su entorno, es muy aconsejable que se tome en serio los asuntos de seguridad. Muchas organizaciones subestiman el valor de la tecnología de la información (TI). Un ataque grave en los servidores de su entorno podría dañar considerablemente toda la organización. Por ejemplo, si un malware infecta los equipos cliente en su red, su organización podría perder los datos comerciales y verse obligada a cubrir costos considerables para devolverlos a un estado seguro. Un ataque que provoque que su sitio web no esté disponible podría tener como resultado una gran pérdida de ingresos o de confianza de los clientes.

Al realizar un análisis de vulnerabilidad de seguridad, riesgos y exposición se le informará del equilibrio entre la seguridad y la funcionalidad al que están sujetos todos los sistemas informáticos de un entorno de red. Esta guía documenta las contramedidas más importantes relacionadas con la seguridad que están disponibles en Windows Vista, las vulnerabilidades que las contramedidas ayudan a abordar y las posibles consecuencias negativas (si es que hay) relacionadas con la implementación de cada contramedida.

Esta guía está fundamentada en la Guía de seguridad de Windows XP, que ofrece recomendaciones específicas sobre cómo reforzar los equipos en los que se ejecuta Windows XP con SP2. La Guía de seguridad de Windows Vista proporciona recomendaciones para reforzar equipos que usan líneas de base de seguridad específicas para los siguientes dos entornos:

  • Cliente Enterprise (EC). En este entorno, los equipos de cliente están situados en un dominio que usa Active Directory y sólo necesita comunicarse con sistemas que ejecutan Windows Server 2003. Los equipos cliente de este entorno incluyen una combinación: algunos ejecutan Windows Vista y otros ejecutan Windows XP. Para obtener instrucciones acerca de probar e implementar el entorno EC, consulte el capítulo 1, "Implementación de la línea de base de seguridad". Y para obtener información acerca de la configuración de la línea de base de seguridad que usa este entorno, consulte el apéndice A, "Configuración de la directiva de grupo de seguridad".

  • Seguridad especializada – Funcionalidad limitada (SSLF). En este entorno, la preocupación por la seguridad es tan importante que incluso es aceptable una pérdida considerable de funcionalidad y de capacidad de administración. Por ejemplo, los equipos de ejércitos y de agencias de inteligencia operan en este tipo de entorno. Los equipos cliente de este entorno sólo ejecutan Windows Vista. Para obtener instrucciones acerca de probar e implementar el entorno de SSLF, consulte el capítulo 5, "Seguridad especializada – Funcionalidad limitada". Y para obtener información acerca de la configuración de SSLF que usa este entorno, consulte el apéndice A, "Configuración de la directiva de grupo de seguridad".

      Advertencia

    La configuración de seguridad de SSLF no está dirigida a la mayoría de organizaciones de empresa. La configuración de esta opción se ha desarrollado para las organizaciones en donde la seguridad es más importante que la funcionalidad.

La organización de la guía le permite tener acceso fácilmente a la información requerida. La guía y sus herramientas asociadas le ayudan a:

  • Implementar y habilitar cualquiera de las líneas de base de seguridad en su entorno de red.
  • Identificar y usar características de seguridad de Windows Vista para situaciones de seguridad comunes.
  • Identificar el propósito de cada configuración individual en cualquier línea de base de seguridad y entender su significado.

Aunque esta guía esté diseñada para clientes de empresa, la mayor parte de ella es apropiada para organizaciones de cualquier tamaño. Para obtener el mayor provecho de este material, se recomienda leer la guía entera. Sin embargo, es posible leer partes individuales de la guía para asimilar conceptos específicos. La sección "Resumen del capítulo" de esta introducción presenta brevemente la información de la guía. Para obtener información adicional acerca de la configuración y los temas de seguridad relacionados con Windows XP, consulte la Guía de seguridad de Windows XP y la guía complementaria, Amenazas y contramedidas.

Volver al principio Volver al principio

Destinatarios de esta guía

El Windows La Guía de seguridad de Vista está dirigida principalmente a especialistas de TI, expertos en seguridad, arquitectos de red y otros consultores y profesionales de TI que planifican el desarrollo de la aplicación o de la infraestructura e implementaciones de Windows Vista tanto para equipos de cliente de escritorio como para portátiles en un entorno empresarial. La guía no está pensada para usuarios en casa. Esta guía es para personas cuyas funciones de trabajo incluyen lo siguiente:

  • Especialista de TI. Los usuarios con esta función se ocupan de la seguridad a todos los niveles en las organizaciones que dispongan de 50 a 500 equipos cliente. Los especialistas de TI se centran en proteger los equipos que ellos administran de una forma rápida y simple.
  • Experto en seguridad. Los usuarios con esta función se ocupan de proporcionar seguridad a través de plataformas informáticas dentro de una organización. Los expertos en seguridad requieren una guía de referencia confiable que aborde las necesidades de seguridad de cada nivel de la organización y que ofrezca también métodos probados para implementar contramedidas de seguridad. Los expertos en seguridad identifican características y configuración de seguridad y ofrecen las recomendaciones a sus clientes acerca de cómo pueden usarlas en entornos de alto riesgo de la forma más eficaz.
  • TI operaciones, servicio de soporte técnico y personal de implementación. Los usuarios de operaciones de TI se centran en integrar la seguridad y controlar los cambios en el proceso de implementación, mientras que el personal de implementación se ocupa de administrar las actualizaciones de seguridad rápidamente. El personal con estas funciones también se dedica a solucionar problemas de seguridad relacionados con aplicaciones que implican instalación, configuración y mejora del uso y la capacidad de administración del software. Supervisan este tipo de problemas para definir mejoras apreciables de seguridad y un mínimo de repercusión en aplicaciones de negocio fundamentales.
  • Arquitecto y planeador de red. Los usuarios con estas funciones coordinan los esfuerzos de arquitectura de red para los equipos de su organización.
  • Consultor. Los usuarios con esta función trabajan en organizaciones que disponen de 50 a 5.000 o más equipos cliente. Los consultores de TI conocen muchos tipos de situaciones de seguridad que abarcan todos los niveles empresariales de una organización. Los consultores de TI tanto de los Servicios de Microsoft como de los asociados, aprovechan las herramientas de transferencia del conocimiento para clientes de empresa y asociados.
  • Analista del negocio y responsable de toma de decisiones de negocio (BDM). Los usuarios con estas funciones tienen objetivos y requisitos fundamentales para el negocio que requieren soporte técnico de TI para escritorio o portátil.

Nota   Los usuarios que deseen aplicar la orientación prescriptiva de esta guía como mínimo deben leer y efectuar los pasos con el fin de establecer el entorno EC en el capítulo 1, "Implementación de la línea de base de seguridad".

Habilidades y preparación

Los destinatarios de esta guía deben contar con el conocimiento y las habilidades siguientes para desarrollar, implementar y proteger equipos cliente en los que se ejecute Windows Vista en organizaciones de empresa:

  • MCSE en Windows Server 2003 o una certificación posterior y dos o más años de experiencia relacionada con la seguridad, o conocimiento equivalente.
  • Conocimiento exhaustivo del dominio de la organización y de los entornos Active Directory.
  • Experiencia con la Consola de administración de directivas de grupo (GPMC, Group Policy Management Console).
  • Experiencia en la administración de la directiva de grupo mediante GPMC, que ofrece una sola solución para administrar todas las tareas relacionadas con la directiva de grupo.
  • Experiencia en el uso de herramientas de administración, entre ellas Microsoft Management Console (MMC), Gpupdate y Gpresult.
  • Experiencia en la implementación de aplicaciones y de equipos cliente en entornos empresariales.

Objetivo de la guía

Los objetivos principales de la guía son permitirle:

  • Usar la orientación de la solución para crear y aplicar configuraciones de línea de base de seguridad probadas de forma eficiente mediante la directiva de grupo.
  • Entender el razonamiento de las recomendaciones de configuración de seguridad en las configuraciones de línea de base que se incluyen en la guía, teniendo en cuenta sus consecuencias.
  • Identificar y considerar situaciones de seguridad comunes y usar características de seguridad específicas de Windows Vista para ayudarle a administrarlas en su entorno.

La guía está diseñada para permitirle usar sólo las partes relevantes para cumplir los requisitos de seguridad de su organización. Sin embargo, los lectores obtendrán mayor provecho de la guía si la leen completamente.

Ámbito de la guía

Esta guía se centra en la creación y el mantenimiento de un entorno seguro para escritorios y equipos portátiles en los que se ejecuta Windows Vista. La guía explica las distintas fases de protección de dos entornos diferentes, y lo que cada configuración de seguridad aporta a los equipos de escritorio y portátiles implementados en uno de los dos. La guía ofrece información preceptiva y recomendaciones de seguridad.

Los equipos cliente del entorno EC pueden ejecutar tanto Windows XP como Windows Vista. Sin embargo, los equipos que administran estos equipos cliente en la red deben ejecutar Windows Server 2003 R2 o Windows Server 2003 con SP1. Los equipos cliente del entorno SSLF sólo pueden ejecutar Windows Vista.

La guía sólo incluye la configuración de seguridad disponible en el sistema operativo recomendado. Para obtener información más detallada acerca de toda la configuración de seguridad en Windows Vista, consulte la guía complementaria Amenazas y contramedidas.

Volver al principio Volver al principio

Resumen del capítulo

La Guía de seguridad de Windows Vista consta de cinco capítulos y un apéndice en los que se pueden consultar las descripciones, consideraciones y los valores de configuración. El archivo Windows Vista Security Guide Settings.xls, que también acompaña a esta guía, ofrece otro recurso para comparar valores de configuración. La figura siguiente muestra la estructura de la guía para informarle de cómo implantar e implementar la guía prescriptiva de forma óptima.


Ver imagen a tamaño completo

Información general

La información general resume el propósito y el ámbito de la guía, define el público de destino e indica la organización de la misma para ayudarle a localizar la información que sea relevante para usted. Asimismo, describe las herramientas y las plantillas anexadas a la guía y los requisitos previos de los usuarios para la orientación. A continuación se pueden encontrar descripciones breves para cada capítulo y el apéndice.

Capítulo 1: Implementación de la línea de base de seguridad

Este capítulo analiza las ventajas que supone para una organización el hecho de crear e implementar una línea de base de seguridad. También incluye las instrucciones y los procesos para implementar la configuración de línea de base EC y la guía de seguridad.

Para lograr este propósito, se incluyen instrucciones que explican cómo usar el script GPOAccelerator.wsf en combinación con GPMC para crear, probar e implementar unidades organizativas (OU) y GPO para establecer este entorno. El archivo Windows Vista Security Guide Settings.xls, que también acompaña a esta guía, ofrece otro recurso para comparar valores de configuración.

Capítulo 2: Defensa contra el malware

Este capítulo recomienda formas de sacar partido a las características de seguridad nuevas y existentes en Windows Vista para ayudar a proteger equipos cliente y activos corporativos contra el malware, entre los que se incluyen virus, gusanos y caballos de Troya. Incluye información acerca del uso más eficaz de las tecnologías siguientes en el sistema operativo:

  • Control de cuentas de usuario (UAC)
  • Windows Defender
  • Firewall de Windows
  • Centro de seguridad de Windows
  • Herramienta de eliminación de software malintencionado
  • Directivas de restricción de software

Además, el capítulo incluye la información siguiente acerca de las tecnologías de seguridad de Internet Explorer 7:

  • Modo protegido de Internet Explorer
  • ActiveX opcional
  • Protección contra ataques de scripting entre dominios
  • Barra de estado de seguridad
  • Filtro de suplantación de identidad (phishing)
  • Características de seguridad adicionales

Capítulo 3: Protección de datos confidenciales

Este capítulo aporta recomendaciones y procedimientos recomendados acerca de la protección de datos en Windows Vista mediante tecnologías de cifrado y control de acceso. Estas tecnologías son especialmente relevantes en entornos informáticos móviles, donde el peligro de pérdida o robo de un dispositivo que ejecuta Windows Vista es relativamente mayor.

El contenido en el capítulo incluye información acerca de cómo usar las siguientes tecnologías en Windows Vista de la forma más eficaz:

  • Cifrado de unidad BitLocker™
  • Sistema de cifrado de archivos (EFS)
  • Rights Management Services (RMS)
  • Control de dispositivo

Capítulo 4: Compatibilidad de aplicaciones

Este capítulo ofrece recomendaciones acerca del uso de características de seguridad nuevas y existentes en Windows Vista sin poner en peligro la funcionalidad de las aplicaciones existentes en el entorno. Contenido de este capítulo:

  • Resume los problemas potenciales de compatibilidad de aplicaciones
  • Ofrece dos procedimientos simples que se pueden usar para probar la compatibilidad de aplicaciones con Windows Vista.
  • Incluye posibles estrategias de mitigación, configuraciones e instrucciones.
  • Recomienda otros recursos que se pueden utilizar también para determinar la compatibilidad de aplicaciones Windows Vista.

Capítulo 5: Seguridad especializada – Funcionalidad limitada

Este capítulo incluye una explicación del entorno SSLF y las principales diferencias entre el mismo y el entorno EC. También ofrece las instrucciones y los procesos para implementar la configuración de línea de base SSLF y la guía de seguridad. Asimismo, incluye las instrucciones que explican cómo usar un script para aprovechar GPMC para crear, probar e implementar unidades organizativas y GPO para establecer este entorno. 

  Advertencia

La orientación de este capítulo le permite establecer el entorno SSLF, que es distinto al entorno EC descrito en el capítulo 1, "Implementación de la línea de base de seguridad". La orientación de este capítulo está enfocada solamente a entornos de alta seguridad y no es un complemento a la orientación del capítulo 1.

Apéndice A: Configuración de la directiva de grupo de seguridad

El apéndice incluye descripciones y tablas que proporcionan información detallada acerca de la configuración recomendada en las líneas de base de seguridad EC y SSLF para la guía. El apéndice describe cada configuración y la razón para su configuración o valor. El apéndice también indica las diferencias de configuración entre Windows Vista y Windows XP.

Volver al principio Volver al principio

Orientación y herramientas

Este acelerador de solución incluye varios archivos, como Windows Vista Security Guide.doc, Appendix A of the Windows Vista Security Guide.doc, Windows Vista Security Guide Settings.xls, y la herramienta GPOAccelerator para ayudarle a implementar la orientación fácilmente. Después de descargar el Acelerador de solución de la Guía de seguridad de Windows Vista desde el Centro de descarga de Microsoft, use el archivo Microsoft Windows Installer (.msi) para instalar estos recursos en su equipo, en la ubicación que usted elija.

Nota   Al iniciar la instalación de la Guía de seguridad de Windows Vista , la herramienta GPOAccelerator está seleccionada de forma predeterminada para ser instalada con la otra orientación que acompaña esta herramienta. La utilización de esta herramienta requiere privilegios administrativos. La ubicación predeterminada de la instalación del acelerador de soluciones es la carpeta Documentos. La instalación coloca un acceso directo a la guía que abre la carpeta de la Guía de seguridad de Windows Vista.

Puede usar la Consola de administración de directivas de grupo (GPMC) para aplicar las herramientas y las plantillas en cualquiera de las líneas de base de seguridad definidas en la guía. Los capítulos "Implementación de la línea de base de seguridad" y "Seguridad especializada – Funcionalidad limitada" describen los procedimientos que puede usar para llevar a cabo estas tareas.

Volver al principio Volver al principio

Convenciones de estilo

Esta guía usa las convenciones de estilo siguientes.

Tabla 1.1 Convenciones de estilo

Elemento Significado

Fuente negrita

Denota los caracteres escritos tal como se muestra, incluidos comandos, conmutadores y nombres de archivo. Los elementos de la interfaz de usuario también se muestran en negrita.

Fuente cursiva

Los títulos de libros y otras publicaciones importantes se muestran en cursiva.

<Italic>

Los marcadores de posición destacados en cursiva y entre corchetes angulares <nombrearchivo> representan variables.

Fuente monoespaciada

Define ejemplos de código y secuencias de comandos.

Nota

Informa al lector de la información suplementaria.

Importante

Una nota importante ofrece información esencial para la finalización de una tarea.
  Advertencia

Informa al lector de la información suplementaria fundamental que no se puede pasar por alto.

Este símbolo denota las modificaciones o recomendaciones específicas de la configuración de la directiva de grupo.

§

Este símbolo denota configuraciones de directiva de grupo nuevas en Windows Vista.

Volver al principio Volver al principio

Más información

Los vínculos siguientes ofrecen información adicional acerca de temas de seguridad y discusiones exhaustivas de las prescripciones de conceptos y seguridad en esta guía:

Soporte técnico y comentarios

El equipo Aceleradores de solución – Seguridad y Cumplimiento (SASC) agradece su opinión acerca de éste y otros aceleradores de solución.

Envíe sus comentarios al grupo de noticias Discusiones acerca de seguridad en el sitio web de Ayuda y soporte técnico de Windows Vista.

O envíe su opinión por correo electrónico a: secwish@microsoft.com.

Esperamos su contribución.

Volver al principio Volver al principio

Agradecimientos

El equipo Aceleradores de solución – Seguridad y Cumplimiento (SASC) desea reconocer y dar las gracias al equipo que produjo la Guía de seguridad de Windows Vista. Las siguientes personas fueron directamente responsables o efectuaron una contribución sustancial a la redacción, desarrollo y prueba de esta solución.

Equipo de desarrollo

Autores y expertos

José Maldonado

Mike Danseglio

Michael Tan

Richard Harrison, Content Master Ltd

David Coombes, Content Master Ltd

Jim Captainino, Content Master Ltd

Richard Hicks, QinetiQ

Evaluadores

Gaurav Bora

Vikrant Minhas, Infosys Technologies Ltd

Sumit Parikh, Infosys Technologies Ltd

Dharani Mohanam, Infosys Technologies Ltd

Swapna Jagannathan, Infosys Technologies Ltd

Prashant Japkar, Infosys Technologies Ltd

Editores

John Cobb, Wadeware LLC

Jennifer Kerns, Wadeware LLC

Steve Wacker, Wadeware LLC

Administradores de programa

Kelly Hengesteg

Audrey Centola, Volt Information Sciences

Neil Bufton, Content Master Ltd

Directores de productos

Jim Stewart

Alain Meeus

Tony Bailey

Kevin Leo, Excell Data Corporation

Administradores de versiones

Karina Larson

Gareth Jones

Colaboradores y revisores

La suite Microsoft

Charles Denny, Ross Carter,

Derick Campbell, Chase Carpenter

Karl Grunwald, Mike Smith-Lonergan

Don Armstrong, Bob Drake

Eric Fitzgerald, Emily Hill

George Roussos, David Abzarian

Darren Canavor, Nils Dussart

Peter Waxman, Russ Humphries

Sarah Wahlert, Tariq Sharif

Ned Pyle, Bomani Siwatu

Kiyoshi Watanabe, Eric Lawrence

David Abzarian, Chas Jeffries

Vijay Bharadwaj, Marc Silbey

Sean Lyndersay, Chris Corio

Matt Clapham, Tom Daemen

Sanjay Pandit, Jeff Williams

Alex Heaton, Mike Chan

Bill Sisk, Jason Joyce

Red externa

Mehul Mediwala, Infosys Technologies Ltd

Notas
A petición de Microsoft, la National Security Agency Information Assurance Directorate participó en la revisión de esta guía de seguridad de Microsoft y aportó comentarios que se incorporaron en la versión publicada.
El departamento estadounidense de Comercio del Instituto Nacional de Normas y Tecnología (NIST, National Institute of Standards and Technology) participó en la revisión de esta guía de seguridad de Microsoft y aportó comentarios que se incorporaron en la versión publicada.

Volver al principio Volver al principio

En este artículo

Descargar

Obtenga la Guía de seguridad de Windows Vista

Notificaciones del Acelerador de solución

Suscríbase para estar informado

Comentarios

Envíenos sus comentarios o sugerencias