- CAPICOM
- Microsoft Baseline Security Analyzer (MBSA)
- Configuración de seguridad del servidor
- Utilización de la Guía de Seguridad de Windows Server 2003
- Aplicación de la configuración de seguridad
- Importación del objeto de directiva de grupo de la configuración de seguridad
- Aplicación de la configuración de seguridad en los controladores de todos los dominios
- Aplicación de la configuración de seguridad sólo en los servidores IAS
- Comprobación de la configuración de seguridad
- Instalación de Servicios de Certificate Server
- Instalación de componentes de software de Servicios de Certificate Server
- Comprobación de la instalación de la entidad emisora de certificados
- Configuración de la entidad emisora
- Configuración de las propiedades de la entidad emisora
- Importación del objeto de directiva de grupo de la solicitud de certificados automática
- Comprobación de la configuración de la entidad emisora
CAPICOM es una interfaz convertible en secuencias de comandos en un conjunto de funciones de seguridad de Windows conocido como CryptoAPI (CAPI). CAPICOM es necesario para las secuencias de comandos de control de estado de los Servicios de Certificate Server y para crear los secretos de RADIUS utilizados para autenticar los puntos de acceso inalámbrico. Debe instalar la versión 2.0 o posterior de CAPICOM en todos los servidores IAS de su organización.
Puede encontrar la última versión de CAPICOM 2.0 en el Centro de descargas de Microsoft
El archivo de distribución de CAPICOM no contiene una instalación automática; por ello debe utilizar la secuencia de comandos por lotes InstCAPICOM.cmd (suministrada con esta solución). Si desea llevar a cabo estos pasos de forma manual, puede copiar los comandos de la secuencia de comandos por lotes.
Para instalar CAPICOM
|
1. |
Descargue el archivo de distribución de CAPICOM, CCR2INST.exe, del Centro de descargas de Microsoft y cópielo en una carpeta temporal del servidor. |
|
2. |
Asegúrese de que ha iniciado sesión como miembro del grupo de administradores de dominio (o el grupo de administradores locales del equipo en el que está instalando CAPICOM, si no lo está instalando en un controlador de dominio). |
|
3. |
Abra un shell de comandos con el acceso directo MSS WLAN Tools. |
|
4. |
En el símbolo del sistema, escriba: InstCAPICOM [d:]PathtoCCDistFile\CCR2INST.EXE y, a continuación, presione ENTRAR. Nota: sustituya [d:]RutaArchivoDistribuciónCAPICOM con la ruta completa (incluyendo la letra de la unidad, si es una distinta) de la carpeta en la que copió el archivo de distribución de CAPICOM.
Esta herramienta es necesaria para comprobar que las actualizaciones de seguridad del sistema operativo son actuales y detectar posibles problemas con la configuración de seguridad de los servidores. Necesita utilizar la versión 1.1.1 o posterior de MBSA para explorar los sistemas de Windows Server 2003. Puede encontrar la última versión de MBSA en el Centro de descargas de Microsoft. Para instalar MBSA |
|
1. |
Descargue el archivo de instalación mbsasetup.msi del Centro de descargas de Microsoft. |
|
2. |
Asegúrese de que ha iniciado sesión como miembro del grupo de administradores de dominio (o el grupo de administradores locales del equipo en el que está instalando MBSA, si no lo va a instalar en un controlador de dominio). |
|
3. |
En el Explorador de Windows, desplácese al archivo mbsasetup.msi y haga doble clic en él. |
|
4. |
Siga las indicaciones del asistente para instalar el MBSA; acepte todas las opciones predeterminadas. |
Je je .. Tienes que tener una licencia de Windows original para poder descargar este programita, pero no problem la tengo y la anexo a la solución .
En esta sección se describe cómo aplicar directivas de seguridad y otras medidas de seguridad a Windows Server 2003 antes de instalar IAS y Servicios de Certificate Server.
Esta solución está diseñada para instalarse en servidores existentes (normalmente controladores de dominio). La configuración de seguridad utilizada en esta sección es intencionadamente conservadora por el peligro que representa un conflicto entre la configuración de seguridad y los servicios y las aplicaciones instaladas que pueden estar ejecutándose en el servidor.
Windows Server 2003 cuenta con una configuración de seguridad predeterminada segura. Para la mayoría de las organizaciones, esta configuración ofrece una buena protección para su sistema si se combina con un proceso de mantenimiento de actualizaciones efectivo.
Los servidores utilizados en esta solución realizan varias funciones de servidor; las funciones de controlador de dominio y de servidor de RADIUS para la mayoría de los servidores y, en el caso del servidor principal, también realiza la función de entidad emisora de certificados. Para cada función, la guía define una plantilla de seguridad con todas las configuraciones de seguridad adecuadas para esa función. En sus servidores, también puede tener otros servicios de infraestructura como DNS, DHCP y el servicio de nombres de Internet de Windows
Al contrario que la mayoría de los otros procedimientos de la sección "Preparación de los servidores" de este capítulo, este procedimiento no necesita llevarse a cabo en cada servidor. En su lugar, las configuraciones se importan en un objeto de directiva de grupo de Active Directory y, a continuación, se aplican de forma global a todos los servidores.
Sólo hay dos tipos de configuraciones de seguridad aplicadas en esta solución. El primer tipo se aplica para configurar todos los servicios necesarios para iniciar automáticamente (en caso de que otra directiva de seguridad aplicada al equipo lo detenga o lo desactive). El segundo tipo se aplica para cambiar la directiva de auditoria de forma que los errores de auditoria para sucesos comunes (como inicio de sesión) también se guarden en el registro de seguridad.
La tabla siguiente muestra los servicios configurados para iniciarse automáticamente.
Tabla 3.4. Servicios de Windows activados por directiva
|
Servicio |
Configuración de directiva |
|
Servicios de Certificate Server |
Automático |
|
Servicio de autenticación de Internet |
Automático |
|
Proveedor de instantáneas de software de Microsoft |
Automático |
|
Almacenamiento de medios extraíbles |
Automático |
|
Programador de tareas |
Automático |
|
Instantáneas de volumen |
Automático |
La tabla siguiente muestra las categorías de auditoria donde se activa la auditoria de errores además de la auditoria de aciertos predeterminada.
Tabla 3.5. Configuración de directiva de auditoría
|
Directiva de auditoría |
Valor de configuración |
|
Auditar sucesos de inicio de sesión de cuenta |
Acierto/Error (sólo Acierto como valor predeterminado) |
|
Auditar sucesos de administración de cuentas |
Acierto/Error (sólo Acierto como valor predeterminado) |
|
Auditar sucesos de inicio de sesión |
Acierto/Error (sólo Acierto como valor predeterminado) |
|
Auditar sucesos de cambio de directivas |
Acierto/Error (sólo Acierto como valor predeterminado) |
La habilitación de los valores de configuración de auditoría contemplados en la tabla aumentará los requisitos de almacenamiento para el registro de seguridad. Debe asegurarse de que se han establecido tamaños adecuados para los registros de sucesos en los controladores de dominio. El tamaño predeterminado para los registros de sucesos en Windows Server 2003 es más que adecuado, pero En el capítulo 5, "Creación de la infraestructura de seguridad de LAN inalámbricas", comprobará cómo los servidores IAS están configurados para registrar todas las conexiones WLAN, sean correctas o erróneas, en el registro del sistema de Windows. Debe asegurarse de que se han establecido tamaños adecuados para los registros de seguridad y de sistema en los controladores de todos los dominios. Windows Server 2003 utiliza 16 MB para los registros del sistema y de la aplicación y 128 MB para los registros de seguridad: estos valores son adecuados para esta solución.
El siguiente procedimiento importa la configuración descrita en la sección anterior en el dominio, pero no la aplica a ningún servidor.
Para instalar en su dominio el objeto de directiva de grupo de la configuración de seguridad
|
1. |
Abra un shell de comandos utilizando el acceso directo MSS WLAN Tools. |
|
2. |
En el símbolo del sistema, escriba el siguiente comando para importar en el dominio el objeto de directiva de grupo llamado Directivas de seguridad del servidor IAS: MSSSetup ImportSecurityGPO, y, a continuación, presione ENTRAR. |
En este procedimiento, la configuración de seguridad se aplica a los controladores de todos los dominios (con o sin IAS instalado). No debería provocar ningún efecto adverso en las funciones de los controladores de dominio o en cualquier otra aplicación o servicio que se ejecute en ellos, puesto que el objeto de directiva de grupo no tiene ningún parámetro que deshabilite funcionalidades. Si no desea aplicar esta configuración a los controladores de su dominio, consulte el procedimiento que sigue inmediatamente a éste.
Para aplicar la configuración a los controladores de todos los dominios, necesita vincular el objeto de directiva de grupo importado a la unidad organizativa de controladores de dominio. El objeto de directiva de grupo se vincula manualmente debido al riesgo de sobrescribir los valores de este objeto ya configurados en su dominio.
Para aplicar la configuración de seguridad en los controladores de todos los dominios
|
1. |
Para iniciar la consola de administración de directiva de grupo, haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Administración de directiva de grupo. |
|
2. |
Desplácese hasta la unidad organizativa de los controladores de dominio en el panel izquierdo y haga clic sobre ella. Esta unidad debe aparecer justo debajo del objeto dominio. |
|
3. |
Haga clic con el botón secundario en el nombre de la unidad organizativa y, a continuación, en Vincular objeto de directiva de grupo existente. |
|
4. |
En la lista de objetos, haga clic en Directivas de seguridad del servidor IAS y, a continuación, haga clic en Aceptar para volver a la ventana principal de la consola. |
|
5. |
En el panel derecho, asegúrese de que la ficha Objetos de directiva de grupo vinculados está seleccionada; a continuación, haga clic en el objeto de directiva de grupo Directivas de seguridad del servidor IAS. |
|
6. |
Haga clic en el símbolo con doble flecha hacia arriba que se encuentra justo a la izquierda de esta lista para mover este objeto a la prioridad más alta. Esto garantiza que los servicios requeridos permanecerán habilitados independientemente de otras directivas de seguridad aplicadas a los controladores de dominio.
|
|
7. |
Cierre la consola de administración de directiva de grupo. La configuración de seguridad se aplicará a los servidores en el siguiente intervalo de actualización de objetos de directiva de grupo (el intervalo de actualización predeterminado es de cinco minutos para los controladores de dominio). |
Si no desea que la configuración de seguridad se aplique a los controladores de todos los dominios (o si ha optado por no instalar IAS en los controladores de dominio), puede crear una unidad organizativa aparte para los servidores IAS y, a continuación, aplicar a ésta el objeto de directiva de grupo. Si no está instalando IAS en los controladores de dominio, debe crear la unidad organizativa de los servidores IAS en alguna otra parte del dominio.
Para aplicar la configuración de seguridad sólo a los servidores IAS
|
1. |
Para iniciar la consola de administración de directiva de grupo, haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Administración de directiva de grupo. |
|
2. |
Desplácese hasta la unidad organizativa de los controladores de dominio en el panel izquierdo y haga clic sobre ella. Esta unidad organizativa se encuentra justo debajo de la raíz del dominio. |
|
3. |
Cree una nueva unidad organizativa de nivel secundario debajo de esta unidad. Para ello, haga clic con el botón secundario en el nombre de la unidad organizativa de controladores de dominio y, a continuación, seleccione Nueva unidad organizativa del menú emergente. |
|
4. |
Escriba un nombre para la unidad cuando se le solicite, por ejemplo, Servidores IAS. |
|
5. |
Haga clic con el botón secundario en esta unidad organizativa y, a
continuación, en Vincular objeto de directiva de grupo existente. |
|
6. |
En la lista de objetos, seleccione Directivas de seguridad del servidor IAS y, a continuación, haga clic en Aceptar para volver a la ventana principal de la consola. |
|
7. |
Cierre la consola de administración de directiva de grupo. |
|
8. |
Mueva el objeto equipo de cada controlador de dominio combinado y el servidor IAS desde la unidad organizativa de controladores de dominio hasta la nueva unidad organizativa de nivel secundario. La configuración de seguridad se aplicará a los servidores en el siguiente intervalo de actualización de objetos de directiva de grupo (el intervalo de actualización predeterminado es de 5 minutos para los controladores de dominio y de 90 minutos para otros equipos). Nota: si va a instalar servidores IAS en varios dominios, necesita volver a instalar y vincular los objetos de directiva de grupo para cada dominio del bosque. |
Para comprobar que se ha aplicado la configuración de seguridad
|
1. |
Desde un shell de comandos, en el símbolo de sistema, escriba: gpupdate /forcey, a continuación, presione ENTRAR. |
|
2. |
El grupo Admins. del dominio para el dominio en el que se va a instalar la entidad emisora. |
|
El grupo Administradores de organización del bosque de servicio de directorios de Microsoft Active Directory®. |
Figura 4.2 Resultado de las Herramientas Instaladas
En esta sección se describe la instalación de Servicios de Certificate Server para crear una entidad emisora de certificados. La entidad emisora de certificados se instala como una entidad emisora raíz de empresa.
Debe instalar los componentes de software de la entidad emisora de certificados mediante la secuencia de comandos proporcionada. Esta secuencia de comandos utiliza el administrador de instalación de componentes opcionales de Windows para instalar la entidad emisora de certificados y crea todos los archivos de configuración necesarios a medida que se ejecuta. Para realizar la instalación, utilice el CD de instalación de Windows Server 2003 (o la ruta de red del origen de instalación de Windows).
Para instalar Servicios de Certificate Server
|
1. |
Utilice el acceso directo MSS WLANTools para abrir un shell de comandos. |
|
2. |
En el símbolo del sistema, escriba lo siguiente para instalar los componentes de software de Servicios de Certificate Server: MSSsetup InstallCA y, a continuación, presione ENTRAR.
|
|
3. |
Cuando se le indique, escriba un nombre para la entidad emisora de certificados. El nombre debe ser descriptivo y exclusivo en la organización (por ejemplo, entidad emisora de certificados de red de investigación de Trey). |
|
4. |
Para confirmar el nombre, haga clic en Aceptar.
Para editar el nombre, haga clic en No. Para detener la instalación, haga clic en Cancelar.
|
|
5. |
Haga clic en Aceptar para continuar o haga clic en Cancelar para detener la instalación. Nota: si cancela aquí la instalación, el archivo de configuración — CAPolicy.inf — y el archivo de parámetros de componentes opcionales — OC_CertSrv.txt — se dejarán en la carpeta Windows y en la carpeta de trabajo actual, respectivamente. Puede modificar estos archivos y utilizarlos en la instalación personalizada si no desea aceptar los valores predeterminados de la solución.
|
|
6. |
Cuando aparezca el mensaje de confirmación indicándole que la instalación ha finalizado, haga clic en Aceptar.
Puede comprobar que la instalación de los Servicios de Certificate Server ha sido correcta mediante el siguiente procedimiento. Para comprobar que la instalación de la entidad emisora de certificados es correcta Si alguno de los valores anteriores no es el que esperaba, debe volver a iniciar la instalación de los Servicios de Certificate Server. Nota: si tiene que volver a ejecutar la instalación de la entidad emisora de certificados, debe eliminar primero los Servicios de Certificate Server instalados tal como se ha descrito anteriormente. |
La
secuencia de comandos creará los archivos de
parámetros de instalación. Cuando finalice
esta operación, se le solicitará que continúe
con la instalación.
|
1. |
Utilice el acceso directo MSS WLAN Tools para abrir el shell de comandos. |
|
2. |
En el símbolo del sistema, escriba: MSSsetup VerifyCAInstall y, a continuación, presione ENTRAR.
El visor de certificados muestra el certificado de la entidad emisora.
|
Una vez instalada la entidad emisora de certificados, debemos ejecutar algunas secuencias de comandos adicionales para configurar los parámetros de la entidad emisora que quedan.
Este procedimiento establece un número de parámetros en la entidad emisora de certificados que controlan su comportamiento. Algunos de estos parámetros se establecen durante la instalación de la entidad emisora, mientras que otros se deben establecer después de la instalación. Los valores de dichos parámetros se especifican en la sección "Parámetros de la entidad emisora de certificados" que aparece anteriormente en este capítulo. La secuencia de comandos utilizada en este procedimiento configura las propiedades de la entidad emisora, como se describe en la siguiente tabla.
Tabla 4.4. Propiedades de configuración de la entidad emisora de certificados
|
Propiedad de la entidad emisora |
Descripción del valor de configuración |
|
Direcciones URL de punto de distribución de la lista de revocación de certificados (CDP) |
Especifica las ubicaciones desde las que se puede obtener una lista de revocación de certificados actual. En esta solución sólo se utiliza una dirección URL de Protocolo ligero de acceso a directorios (LDAP). Contiene la ruta de acceso LDAP de la lista de revocación de certificados publicada en Active Directory. |
|
Direcciones URL de Acceso a la información de entidad emisora (AIA) |
Indica la ubicación desde la que se puede obtener un certificado de la entidad emisora. Como ocurre con el CDP, sólo se utiliza la dirección URL de LDAP que apunta a Active Directory. |
|
Período de validez |
Indica el período de validez máximo de los certificados emitidos (no es el mismo que el período de validez del certificado de entidad emisora, que se establece durante la instalación). |
|
Período de la lista de revocación de certificados |
Indica la frecuencia de publicación de la lista de revocación de certificados. |
|
Período de coincidencia de la lista de revocación de certificados |
Indica el período de coincidencia entre la emisión de una nueva lista de revocación de certificados y la caducidad de la lista de revocación de certificados anterior. |
|
Período de diferencia entre listas de revocación de certificados |
Indica la frecuencia de publicación de diferencias entre listas de revocación de certificados. (En esta entidad emisora de certificados, la diferencia entre listas de revocación de certificados está deshabilitada.) |
|
Auditoría de la entidad emisora |
Indica la configuración de auditoría de la entidad emisora de certificados. (Toda la auditoría está habilitada de manera predeterminada.) |
Para configurar las propiedades de la entidad emisora de certificados
|
1. |
Utilice el acceso directo MSS WLAN Tools para abrir el shell de comandos. |
|
2. |
En el símbolo del sistema, escriba lo siguiente para configurar los componentes de la entidad emisora: MSSsetup ConfigureCA y, a continuación, presione ENTRAR. Durante la configuración, la secuencia de comandos se detiene durante 20 segundos para esperar a que termine una tarea en la entidad emisora de certificados. No es necesario responder los mensajes emergentes que anuncian este retraso. |
|
3. |
Haga clic en Aceptar para descartar este mensaje. |
Si la secuencia de comandos informa de un error, investigue el motivo mediante un seguimiento del archivo de registro (%systemroot%\debug\MSSWLAN-Setup.log) y vuelva a ejecutar la secuencia de comandos después de corregir el problema.
Nota: puede volver a ejecutar esta secuencia de comandos de configuración las veces que sea necesario.
Este procedimiento importa el objeto de directiva de grupo de la directiva de inscripción automática de certificados IAS preconfigurado para permitir la emisión automática de certificados en los servidores IAS del dominio. Utiliza el servicio de solicitud de certificados automática (ACRS).
El ACRS no se debe confundir con las posibilidades de inscripción automática de Windows Server 2003, Enterprise Edition, aunque ambos realizan funciones parecidas. Es un servicio más limitado que la inscripción automática y ya se utilizó antes en Windows 2000. Sólo permite inscribir certificados de equipo (no de usuario) y sólo funciona con las plantillas de certificado de la versión 1. No obstante, el ACRS es adecuado para el uso limitado de certificados de esta solución y permite instalar la entidad emisora en la Standard Edition de Windows Server 2003 (más económica).
La secuencia de comandos que se utiliza en el siguiente procedimiento importa un objeto de directiva de grupo preconfigurado con una directiva para inscribir automáticamente los certificados. El objeto de directiva de grupo especifica el tipo de certificado "Equipo" predefinido como el tipo de la inscripción. A continuación, la secuencia de comandos aplica permisos de seguridad al objeto de directiva de grupo para que sólo afecte a los miembros del grupo de servidores IAS y RAS (el valor de configuración predeterminado es aplicar el objeto de directiva de grupo a todos los usuarios y equipos autenticados).
Para instalar en su dominio el objeto de directiva de grupo de la solicitud de certificados automática
|
1. |
Utilice el acceso directo MSS WLAN Tools para abrir el shell de comandos. |
|
2. |
En el símbolo del sistema, escriba lo siguiente para importar en el dominio el objeto de directiva de grupo de la directiva de inscripción automática de certificados IAS: MSSsetup ImportAutoenrollGPO y, a continuación, presione ENTRAR.
|
A continuación, vincule este objeto
de directiva de grupo con el dominio para que se aplique la configuración
del objeto de directiva de grupo a los servidores IAS. Éste es
el procedimiento manual que permite controlar el proceso de vinculación
del objeto de directiva de grupo. La automatización de este paso
supone el riesgo de sobrescribir la configuración de vínculos
del objeto de directiva de grupo existente del dominio.
Para aplicar el objeto de directiva de grupo de la solicitud de certificados automática
|
1. |
Haga clic en Inicio, Todos los programas, Herramientas administrativas y, a continuación, en Administración de directiva de grupo para iniciar la GPMC. Figura 4.10 Directiva de Grupo |
|
2 |
El objeto de dominio se encuentra en el contenedor de Dominios de nivel superior y tiene el mismo nombre que el nombre DNS del dominio.
Figura 4.11 Directiva de Grupo |
|
3. |
Haga clic con el botón secundario en el objeto de domino y, a continuación, seleccione Vincular objeto de directiva de grupo existente. |
|
4. |
Figura 4.12 Vincular Directiva de Grupo En la lista de objetos de directiva de grupo, seleccione Directiva de inscripción automática de certificados IAS. |
|
5. |
Haga clic en Aceptar para volver a ejecutar la ventana principal de la GPMC. Figura 4.13 Inscripción Directiva |
|
6. |
En el panel derecho, haga clic en la ficha Objetos de directiva de grupo vinculados y, a continuación, seleccione Directiva de inscripción automática de certificados IAS.
|
|
|
El siguiente procedimiento confirma que ha configurado correctamente la entidad emisora de certificados. La secuencia de comandos comprueba que:
|
• |
La entidad emisora de certificados tiene el período de validez correcto (para los certificados emitidos). |
|
• |
El período de publicación de la lista de revocación de certificados es el correcto. |
|
• |
La entidad emisora de certificados tiene la plantilla de certificado Equipo asignada. |
|
• |
El objeto de directiva de grupo de la solicitud de certificados automática (inscripción automática) se ha importado correctamente al dominio. |
Estos valores se comparan con la configuración almacenada en el archivo PKIParams.vbs. La secuencia de comandos no comprueba valores absolutos; sólo comprueba si la configuración se ha establecido correctamente en la entidad emisora de certificados.
Para comprobar la configuración de la entidad emisora de certificados
|
1. |
Utilice el acceso directo MSS WLAN Tools para abrir el shell de comandos. |
|
2. |
En el símbolo del sistema, escriba lo siguiente para configurar los componentes de la entidad emisora: MSSsetup VerifyCAConfig y, a continuación, presione ENTRAR. |
Si la salida de la secuencia de comandos muestra errores, debe revisar los pasos de este capítulo y rectificar los problemas indicados.
 Página anterior | Volver al principio del trabajo | Página siguiente  |
Trabajos relacionados
Ver mas trabajos de Redes |
|
Nota al lector: es posible que esta página no contenga todos los componentes del trabajo original (pies de página, avanzadas formulas matemáticas, esquemas o tablas complejas, etc.). Recuerde que para ver el trabajo en su versión original completa, puede descargarlo desde el menú superior.
Todos los documentos disponibles en este sitio expresan los puntos de vista de sus respectivos autores y no de Monografias.com. El objetivo de Monografias.com es poner el conocimiento a disposición de toda su comunidad. Queda bajo la responsabilidad de cada lector el eventual uso que se le de a esta información. Asimismo, es obligatoria la cita del autor del contenido y de Monografias.com como fuentes de información.