• Escoja un idioma
  • Inglés
  • Alemán
  • Español
  • Francés
  • Italiano
  • Portugués
  • Ruso
  • Holandés
  • Griego
  • Hindi
  • Japonés
  • Coreano
  • Chino
  • Chino
  • Árabe

• Preguntas más frecuentes
• Artículos
• Tutoriales
• Web Tools
• Referencia
• Blog
• Proxy
• Software
• Teléfonos Celulares

• Artículos de seguridad de Microsoft
• Planificación del servidor de seguridad
• Planificación de una actualización de seguridad de infraestructura
• Auditoría de eventos de seguridad
• Tipos de autenticación
• La planificación y ejecución y solución de autenticación
• La planificación y ejecución de una Autorización Solución
• Definición de una plantilla de referencia de seguridad
• El diseño de la infraestructura de la red de seguridad
• Identificar los problemas de seguridad comunes a todas las funciones del servidor
• La aplicación de control de acceso
• La aplicación cuenta y las políticas de seguridad
• La aplicación de Auditoría
• Los ataques de red
• En respuesta a los ataques de red y los incidentes de seguridad
• Resultante conjunto de políticas
• Garantizar la aplicación y los servidores de terminal
• Asegurar servidores de bases de datos
• Obtener los controladores de dominio
• Obtención de archivo y servidores de impresión
• Asegurar los servidores de correo
• Asegurar los servidores Web
• Permisos de carpeta compartida
• Entendimiento y el diseño de infraestructura de clave pública
• Entender las necesidades de su negocio de diseño para la Seguridad
• Comprender las autoridades de certificación
• Entender las plantillas de seguridad
• Conexión inalámbrica de Seguridad
• La aplicación de las NIC
• Artículos Menu
• »Windows Server
• »Redes Microsoft
• »Microsoft Seguridad
• »Active Directory
• »Microsoft IIS
• »Microsoft IPSec
• »Microsoft DNS
• »Microsoft DHCP
• »Microsoft WINS
• »Microsoft Sistemas de Ficheros
• »Acceso Remoto
• »Microsoft Exchange
• »Microsoft SMS
• »Microsoft ISA Server
• »Microsoft BizTalk Server
• Menú Principal
• »Redes
• »Capa física
• »Capa de enlace de datos
• »Network Layer
• »Red de Seguridad
• »Redes Inalámbricas
• »VoIP
• »Telefonía
• »Telefonía Móvil
• »Electrónica
• »Radio
• »Televisión
• »Criptología
• »Contraseñas
• »Tarjetas Inteligentes
• »Privacidad
• »Malware
• »Vulnerabilidades
• »Unix
• »Macintosh
• »Microsoft Windows
• »La Web
• "Web Publishing
• »E-mail
• »Mensajería Instantánea
• »Bases de datos
• »Computer Hardware
• »CPU's
• »Memoria
• »Almacenamiento
• »Video
• »Audio
• »Multimedia
• »Satélite
• »Java
• »Gestión de TI
• »Ciencia
• »Miscellaneous

Planificación del servidor de seguridad

Servidor de funciones de revisión

La física del hardware y los componentes lógicos de la red son necesarias para proporcionar una serie de características para la red, tales como la conectividad, las rutas y la capacidad de conmutación, seguridad de la red, y el control de acceso. La infraestructura de red ha de existir antes de que los servidores necesarios para apoyar los servicios y aplicaciones que son requeridos por sus usuarios puedan desplegarse en su entorno de red. Si bien Windows Server 2003 proporciona una serie de funciones y herramientas cuando se instala en una computadora, usted tiene que aplicar nuevas características y funcionalidad en un servidor para proporcionar los servicios y las capacidades requeridas por la organización y sus usuarios.
Con Windows Server 2003 se produjo la introducción de funciones de servidor. Servidor de grupo de funciones relacionadas con tareas administrativas, y se utilizan para realizar una prestación concreta en la capacidad o función para el diseño de redes. Con Windows Server 2003, si configura un servidor para un determinado servidor de papel, una serie de servicios adicionales, características y herramientas se instalan para el servidor. De esta manera, el servidor está configurado para proporcionar los servicios necesarios a sus usuarios. Servidores se pueden configurar para realizar una serie de funciones. Las aplicaciones que el servidor está en ejecución especificar la función de cada servidor en particular.

Un servidor algunas funciones se enumeran a continuación. Para Windows Server 2003, hay una serie de funciones diferentes de servidor que puede configurar utilizando el Configure su servidor Mago del Administrar el servidor de utilidad:

• Servidor de archivos papel, la función de servidor de archivos es responsable de almacenamiento de datos para los usuarios de la red, y facilitar el acceso a los archivos almacenados en el servidor de archivos. Servidores de archivos permiten a los usuarios almacenar archivos en una ubicación centralizada, y permite a los usuarios compartir archivos con otro usuario.
• Servidor de impresión papel, esta función permite a los administradores configurar la impresión en red las capacidades de la red y gestionar funciones de impresión en la red. El servidor de impresión es el equipo donde los controladores de impresión se encuentran la gestión de la impresión de que entre las impresoras y los ordenadores cliente. Los servidores de impresión gestionar colas de impresión, y puede suministrar además los registros de auditoría sobre los puestos de trabajo impresos por los usuarios.
• Servidor de aplicaciones papel; el servidor de aplicaciones hace de papel aplicaciones Web y aplicaciones distribuidas a disposición de los usuarios. Un servidor Web normalmente contiene una copia de la World Wide Web y también puede acoger aplicaciones basadas en Web. Internet Information Services 6.0 (IIS 6.0) es de Microsoft, servidor web integrado que le permite crear y administrar sitios Web dentro de su organización. A través de IIS, puede crear y administrar sitios Web, y compartir y distribuir información a través de Internet o intranet. Con la introducción de Windows Server 2003, vino el advenimiento de Internet Information Services (IIS) 6.
• Servidor de correo papel, la función del servidor de correo proporciona servicios de correo electrónico para la red, proporcionando la funcionalidad necesaria para que los usuarios enviar y recibir mensajes de correo electrónico. Almacenar los servidores de correo e-mail los datos, proceso de cliente solicita y recibe los mensajes de correo electrónico de Internet. El Simple Mail Transfer Protocol (SMTP) y Post Office Protocol 3 (POP3) TCP / IP basados en protocolos están instalados al configurar el servidor de correo papel.
• Servidor Terminal papel; de Servicios de Terminal Server tienen la capacidad de funcionar como un servidor de aplicaciones que los clientes remotos puedan conectarse a, y ejecute de sesiones. Los Servicios de Terminal Server se ejecuta el servidor de aplicaciones. Cuando un cliente establece una conexión de Servicios de Terminal Server, crea una sesión de Servicios de Terminal Server para el cliente. Toda transformación es manejado por el servidor de Servicios de Terminal Server. Clientes insignificante uso de ancho de banda en las redes cuando se establezca una conexión.
• Servidor de acceso remoto / servidor VPN, el Windows Server 2003 y acceso remoto del servidor VPN papel se puede utilizar para proporcionar acceso remoto a clientes a través de conexiones de acceso telefónico oa través de redes privadas virtuales (VPNs). El Windows Server 2003 Routing and Remote Access Service (RRAS) Server proporciona un número de características y capacidades, incluidas las LAN-to-LAN routing, LAN-to-enrutamiento WAN, red privada virtual (VPN) de enrutamiento, Network Address Translation (NAT) encaminamiento, enrutamiento de características adicionales como IP multicasting y de filtrado de paquetes, y puede asignar direcciones DHCP para clientes RRAS.
• Papel de controladores de dominio, un controlador de dominio es un equipo que ejecute Windows 2000 o Windows Server 2003 que contiene una réplica del dominio de Active Directory directorio. Un controlador de dominio es un servidor que almacena una copia de la escritura de Active Directory, y mantiene el Active Directory almacén de datos. Controladores de dominio en Active Directory también mantener la política de seguridad del dominio. Los controladores de dominio de proporcionar seguridad para el dominio de la autenticación de usuario logon intentos. Específicas funciones pueden ser asignados a los controladores de dominio dentro de un dominio y de bosque. Controladores de dominio que se asignan funciones especiales capitán se denominan Operaciones de Maestros. Estos controladores de dominio anfitrión de una copia maestra de datos específicos en Active Directory. También copia los datos al resto de los controladores de dominio. Los diferentes tipos de funciones de capitán, que pueden configurarse en controladores de dominio son el papel Schema Master, Master de nombres de dominio de papel, relativa ID (RID) Master papel, papel emulador PDC, y Maestro de Infraestructura papel. Además de estas funciones, un catálogo global (GC) servidor papel también puede ser instalado en un controlador de dominio. El servidor de catálogo global almacena una réplica completa de todos los objetos en su dominio de acogida, y una réplica parcial de objetos para el resto de los dominios en el bosque. La réplica parcial contiene los objetos que son frecuentemente buscado.
• Servidor DNS papel, la función de servidor DNS resuelve las direcciones IP a nombres de dominio, y nombre de dominio a direcciones IP. Un servidor DNS es un equipo que ejecute el servicio DNS que proporciona servicios de nombres de dominios. La información contenida en la base de datos DNS de un servidor DNS se refiere a una porción del DNS de dominio o estructura de árbol de nombres. Esta información se utiliza para dar respuesta a las solicitudes de cliente la resolución de nombres. Un servidor DNS es autorizada para la parte contigua del DNS de nombres sobre los que reside. Puede configurar el servidor de diferentes funciones para sus servidores DNS. El servidor DNS diferentes funciones que puede configurar son el estándar del servidor DNS primario, secundario Norma servidor DNS, caché de sólo servidor DNS, servidor DNS Maestro, y el Servidor de DNS dinámico.
• Función de servidor WINS, un servidor WINS es un mejor servidor de nombres NetBIOS diseñado por Microsoft para resolver nombres de equipo NetBIOS a direcciones IP. El WINS proporciona servicios de resolución de nombres para clientes que necesitan para resolver direcciones IP a nombres NetBIOS y viceversa. Un WINS habilitado cliente puede comunicarse con un servidor WINS que se encuentra en cualquier parte de la InterRed. Todos los sistemas operativos Windows anteriores a Windows 2000 requieren nombre NetBIOS apoyo. Esto se debe a Windows 2000 es el primer sistema operativo de Windows de nombres NetBIOS cuando ya no era necesario. Es posible que todavía necesidad de prestar apoyo para nombres NetBIOS si tiene aplicaciones heredadas.
• Servidor DHCP, la función primaria de un servidor DHCP es asignar automáticamente direcciones IP a clientes DHCP. Puede configurar un servidor como un servidor DHCP para que el servidor DHCP puede asignar automáticamente direcciones IP a clientes DHCP. El servidor DHCP asigna dinámicamente las direcciones IP a clientes DHCP, y también puede asignar también TCP / IP información de configuración para clientes DHCP, incluida la máscara de subred, puerta de enlace predeterminada direcciones IP, servidor DNS direcciones IP, servidor WINS y las direcciones IP.
• Servidor de streaming; el streaming papel proporciona servicios de medios de comunicación a fin de que los clientes pueden acceder a streaming de audio y vídeo. Los Servicios de Windows Media se utiliza para proporcionar servicios de medios de comunicación a los clientes, y puede ser configurado en las plataformas de servidores y plataformas en las empresas.

Selección del Sistema Operativo (SO)

Para cada una de las mencionadas funciones diferentes de servidor que pueden ser configuradas en Windows Server 2003, es necesario que usted tome las configuraciones de seguridad que deben utilizarse para cada función de servidor. Al planificar la seguridad del servidor, uno de los elementos iniciales que usted necesita para cerciorarse de que Windows es el sistema operativo (OS), usted tiene que utilizar en la organización. Esto es particularmente importante debido a que cada sistema operativo específico de seguridad ofrece diferentes configuraciones que puede utilizar para ejecutar el servidor de seguridad.

El servidor Windows sistemas operativos se enumeran a continuación, junto con los requisitos mínimos del sistema para la instalación de cada sistema operativo. Para la instalación de un sistema operativo Windows para un servidor, el servidor debe cumplir los requisitos mínimos del sistema del sistema operativo:

• Windows NT Server 4:
• Procesador; 486/33 MHz Pentium o superior, o Pentium Pro
• Disco duro; para Intel y sistemas compatibles 125MB mínimo espacio disponible en disco duro. Para los sistemas basados en RISC 160MB mínimo espacio disponible en disco duro
• RAM, 16 MB (se recomienda, 32MB).
• CPU; al por menor, hasta 4 CPUs. Los vendedores de hardware, hasta 32 CPUs.
• Windows 2000 Server:
• Procesador, 133 MHz o superior compatible con Pentium
• Disco duro de 2 GB, 1 GB de espacio libre
• RAM, 128 MB (se recomienda, 256MB, máximo 4 GB)
• CPU, 4 CPUs
• Windows 2000 Advanced Server:
• Procesador, 133 MHz o superior compatible con Pentium
• Disco duro de 2 GB, 1 GB de espacio libre
• RAM, 128 MB (se recomienda, 256MB, 8GB máximo)
• CPU; 8 CPUs
• Windows 2000 de datos:
• Procesador, Pentium III Xeon o superior
• Disco duro de 2 GB, 1 GB de espacio libre
• RAM, 256 MB
• CPU, 4 CPUs - 8-que puede o por encima de servidor
• Windows Server 2003 Standard Edition:
• Procesador, 133 MHz o superior compatible con Pentium
• Disco duro; 1.5GB
• RAM, 128 MB (se recomienda, 256MB)
• CPU, 4 CPUs
• Windows Server 2003 Enterprise Edition:
• Procesador; Por Itanium ordenadores 733 MHz. Para x86 ordenadores 133 MHz.
• Disco duro; Por ordenadores Itanium 2 GB. Para x86 ordenadores 1.5GB.
• RAM, 128 MB (se recomienda, 256MB)
• CPU; 8 CPUs
• Windows Server 2003 Web Edition:
• Procesador, 133 MHz o superior compatible con Pentium
• Disco duro; 1.5GB
• RAM, 128 MB (se recomienda, 256MB)
• CPU, 2 CPUs
• Windows Server 2003 Edición de datos:
• Procesador; Por Itanium ordenadores 733 MHz. Para x86 ordenadores 400 MHz.
• Disco duro; Por ordenadores Itanium 2 GB. Para x86 ordenadores 1.5GB.
• RAM, 512 MB
• CPU; 8-que puede o superior, hasta 64.

Como se mencionó anteriormente, cada servidor de Windows el sistema operativo proporciona características diferentes, y diferentes configuraciones de seguridad que puede ser activado para poder mejorar la seguridad y el servidor de seguridad de la red. Por lo tanto, antes de decidir sobre el sistema operativo a utilizar, usted tiene que saber que la funcionalidad de servidor de sistema y características de seguridad son necesarios para su diseño de red, según lo determinado por la organización. Cada servidor Windows versión del sistema que se introdujo se acompaña de nuevas características y mejoras adicionales de seguridad. Este concepto se ilustra en el resto de esta sección del artículo.

Las ediciones de Windows 2000 han sido diseñadas para aumentar la fiabilidad del sistema y la disponibilidad y escalabilidad.

• Windows 2000 Server: Windows 2000 Server es una aplicación, impresión y servidor de archivos, servidor Web y sistema operativo. Windows 2000 Server proporciona un fiable, segura y de mayor rendimiento de red del cliente de escritorio de ordenador y sistema operativo. Se incluye un nuevo sistema de encriptación de archivos, y mejor las herramientas de gestión que las previstas por Windows NT. Windows 2000 Server también incluye algunas otras capacidades de servidor. Windows 2000 incluye los servicios de infraestructura basadas en Active Directory los servicios. Encriptación de datos a través de la red (IPSec) y en el sistema de archivos (EFS) fue inicialmente previstos en Windows 2000 Server.
• Windows 2000 Advanced Server: Esta edición de Windows 2000 se basa en las características que proporciona Windows 2000 Server para ofrecer una mayor escalabilidad, disponibilidad y superior. Esto hace que Windows 2000 Advanced Server perfecto para los más grandes organizaciones que necesitan alta disponibilidad de datos de misión crítica.
• Windows Server 2000 del servidor de datos: datos de Windows 2000 Server Edition incluye todas las características de Windows 2000 Advanced Server, sino que también ofrece servicios de balanceo de carga y una mayor agrupación de servicios. Esta edición de Windows 2000 es ideal para grandes almacenes de datos y procesamiento de transacciones en línea (OLTP).

Windows 2000 Server soporta la función TCP / IP de redes de servicios tales como DNS dinámico (DDNS), Dynamic Host Configuration Protocol (DHCP), automática de direcciones IP privadas (APIPA), y Windows Internet Name Service (WINS) para atrás apoyo a modo de entornos mixtos. Windows 2000 Server también proporciona Servicios de Internet Information Server (IIS), Sistema de archivos distribuido (DFS), enrutamiento y acceso remoto para la política de gestión basada en los servidores de acceso remoto, la función de Servicios de Terminal Server, almacenamiento extraíble para administrar medios extraíbles, Servicios para Macintosh, Servicios de Gateway para NetWare y Servicios para Unix de interoperabilidad en un entorno de red heterogéneos. Windows 2000 también soporta la Conectividad abierta de base de datos (ODBC) de software, servicios de mensajes Queuing, y Component Object Model (COM +). Esto hace posible que las nuevas aplicaciones para interoperar con el software existente y los datos. Windows 2000 incluye nuevas impresoras, módem y controladores de hardware que simplifica aún más la instalación de hardware, y hace que sea más eficaz. Windows 2000 incluye soporte para USB, IEEE 1394, Configuración Avanzada y Power Interface (ACPI) y la configuración de dispositivos de administración de energía. Windows 2000 puede soportar tipos de dispositivo que son incómodos para su uso en Windows NT, e incluye un puerto paralelo bidireccional conductor que permite la comunicación con muchos más dispositivos. Windows 2000 incluye el Plug and Play (PnP) característica. Windows 2000 soporta el Win32 Driver Model (WDM) y el controlador de dispositivo firma característica. Por último, Windows 2000 proporciona la versión 5 de NTFS características y mejoras de seguridad.

El protocolo de autentificación Kerberos es el protocolo de autenticación por defecto utilizado para Windows 2000, Windows XP Professional y Windows Server 2003. Autenticación Kerberos fue inicialmente introducido en Windows 2000. Kerberos utiliza autenticación mutua para verificar lo siguiente:

• Verificar la identidad del usuario
• Verificar si el servicio o la red de recursos se puede acceder.

Autenticación Kerberos ofrece una mayor seguridad sobre el protocolo de autenticación NTLM, entre ellas las siguientes

• Delegada servicios de autenticación permite plantear como clientes cuando acceden a los recursos de la red.
• Autenticación mutua hace posible que el servidor que debe autenticarse a los clientes.
• Un servidor puede autenticar un cliente sin necesidad de ponerse en contacto con un controlador de dominio.
• Transitivo confianza se puede utilizar entre dominios dentro del mismo bosque, y para dominios que están conectados con una relación de fideicomiso forestal.

Kerberos versión 5 hace uso de un 'ticket' estrategia válida para autenticar usuarios de la red, y proporciona autenticación mutua entre usuarios y recursos. El tipo de autenticación Kerberos depende de la distribución de claves Center (KDC) para emitir billetes. Cada red cliente hace uso de DNS para encontrar el más cercano disponible KDC para obtener un ticket de Kerberos. El billete por lo general permanece activo durante unos 8 o 10 horas. El Centro de Distribución de claves (KDC) es un servicio que se ejecuta como un componente de Active Directory. El Centro de Distribución de claves (KDC) administra la base de datos de seguridad la información de la cuenta por cada valor principal dentro de un dominio. El KDC tiene la clave criptográfica que sólo es conocida por el particular de la seguridad principal y el KDC. Esta clave criptográfica, que también se llama a largo plazo clave, se forman a partir de la contraseña de inicio de sesión del usuario, y se utiliza cuando el KDC y el director de seguridad interactúan. Debido a que cada controlador de dominio en Windows Server 2003 dominios funciona como un KDC, tolerancia a fallos está habilitado para el dominio.

Windows Server 2003 soporta el protocolo de autenticación NTLM para proporcionar compatibilidad de los anteriores sistemas operativos (SOs) como para Windows NT 4 compatibilidad. Secure Sockets Layer / Transport Layer Seguridad (SSL / TLS) y digerir la autenticación se utiliza típicamente para aplicaciones Web. SSL / TLS se basa en X.509 de clave pública permite que los certificados y autenticación mutua entre el cliente y el servidor.

Windows 2000 El sistema operativo también incluyó el apoyo para las tarjetas inteligentes. Autenticación de tarjetas inteligentes se basa en el uso de tarjetas inteligentes y se apoya en Windows 2000 y Windows Server 2003. Una tarjeta inteligente es un dispositivo de seguridad o tarjeta de crédito de tamaño token de hardware que puede ser usado para proporcionar protección adicional a las aplicaciones y protocolos de seguridad.

Las tarjetas inteligentes proporcionan las siguientes características:

• Método seguro de autenticación de usuario
• Interactive logon
• El acceso remoto logons
• Administrador logons
• Secure código firma
• Secure e-mail

En entornos de red, tarjetas inteligentes se utilizan normalmente para fines siguientes

• Iniciar sesión en un equipo
• La encriptación de e-mail
• La encriptación de archivos a través de disco EFI

Active Directory es, en realidad, la característica más importante introducida en Windows 2000 debido a que trae consigo unos importantes cambios estructurales de dominio. Los dominios de Active Directory en el uso de nombres de dominio DNS estructura, y no los nombres NetBIOS estructura utilizada en los dominios de Windows NT. A causa de DNS, los dominios de Active Directory están estructurados en un modelo jerárquico. Dominio de los árboles es el concepto utilizado para describir jerárquicamente estructurado grupos de dominios con un nombre contiguo, mientras que la agrupación de árboles con una noncontiguous de nombres se llaman los bosques. Puede definir las relaciones de confianza entre los bosques para facilitar la comunicación.

Con el lanzamiento de Microsoft Windows Server 2003 un buen número de mejoras y características que se introdujeron no estaban disponibles anteriormente en Windows 2000 Active Directory. Estas mejoras fueron destinadas a mejorar la escalabilidad, eficiencia, velocidad y el rendimiento de Active Directory, y abordó algunas deficiencias o insuficiencias de la versión anterior de Active Directory utilizado en Windows 2000 Server. Cuando un controlador de dominio que ejecute Windows Server 2003 se crea, una serie de Active Directory características básicas son inmediatamente instalado y disponible para el Windows Server 2003 controlador de dominio. Algunas otras características de Active Directory sólo están disponibles cuando las condiciones particulares existentes en la red.

Adicional características de Active Directory puede ser permitido, pero depende de las siguientes condiciones, o factores:

• El sistema operativo (SO) se ejecuta en el controlador de dominio.
• El dominio de nivel funcional. En Windows 2000 Active Directory, el modo de dominio se utilizó la terminología.
• El Bosque nivel funcional.
• Si el nivel funcional se plantea para el dominio únicamente, o para el bosque.

Dominio de los bosques y niveles funcionales proporciona los medios por los cuales se puede activar adicionales en todo el dominio y los bosques a escala características de Active Directory, eliminar anticuadas compatibilidad con versiones anteriores dentro de su entorno, y mejorar el rendimiento de Active Directory y la seguridad.

El dominio funcional de los niveles que se pueden establecer para Active Directory en Windows Server 2003 se enumeran a continuación. La Mezcla de Windows 2000 y Windows Native niveles funcionales de dominio estaban disponibles en Windows 2000 para permitir la compatibilidad con versiones anteriores a los sistemas operativos como Windows NT 4,0. Los dos últimos niveles funcionales sólo están disponibles con Windows Server 2003.

• Mezcla de Windows 2000: Este es el defecto funcional aplicado al instalar Windows Server 2003 controlador de dominio. La base de Active Directory características están disponibles cuando este modo está configurado. El dominio de Active Directory características que están disponibles en Windows 2000 mixto dominio nivel funcional incluyen el apoyo a los grupos locales, grupos mundiales de distribución y grupos, Grupo de Distribución de anidación, Global Catalog apoyo y hasta 40000 objetos de dominio cuentan con el apoyo
• Nativo de Windows 2000: En Windows 2000 Nativo nivel funcional, la copia de seguridad de controladores de dominio de Windows NT no se admite como controladores de dominio en el dominio. Sólo Windows 2000 y controladores de dominio Windows Server 2003 controladores de dominio están soportadas. Las principales diferencias entre Windows 2000 Mixta y Windows 2000 Nativo es que características como grupo de anidación, o utilizar grupos de Universal y de Seguridad ID Historias (SIDHistory) no está disponible en Windows 2000 mixto, pero está disponible en Windows 2000 nativo.
• Windows Server 2003 Provisional: Este nivel funcional se utiliza cuando los dominios de Windows NT son directamente actualizado a Windows Server 2003. Windows Server 2003 Provisional es básicamente idéntico al de Windows 2000 nativo. El punto clave a recordar en Windows Server 2003 Provisional es que este nivel funcional de dominio se utiliza cuando los bosques en su entorno no tienen dominio de Windows 2000 los controladores.
• Windows Server 2003: El Windows Server 2003 nivel funcional de dominio se utiliza cuando el dominio sólo incluye Windows Server 2003 controladores de dominio. Una vez que el nivel de dominio está configurado como Windows Server 2003 dominio de nivel funcional, no puede reducirse a ninguno de los anteriores niveles funcionales de dominio. Todos dominio de Active Directory características están disponibles en Windows Server 2003 nivel funcional de dominio, incluidos los locales y globales grupos, grupos de distribución, grupo de anidación de distribución, grupo de anidación de Seguridad, Grupos Universal, Grupo de conversión entre grupos de seguridad y grupos de distribución mundial Catálogo apoyo, SID Historia , Hasta 1000000 de dominio objetos cuentan con el apoyo, Cambiar el nombre de controladores de dominio, actualización de hora de sesión, los usuarios / Ordenadores reorientación de contenedores, limitada delegación de usuario y contraseña de apoyo a la inetOrgPerson objeto.

El bosque niveles funcionales que pueden establecerse para Active Directory en Windows Server 2003 se indican a continuación.

• Windows 2000: En este nivel funcional del bosque, Windows NT, Windows 2000 y Windows Server 2003 controladores de dominio pueden existir en dominios. El bosque de Active Directory características que están disponibles en Windows 2000 del bosque nivel funcional incluyen Universal Grupo de caché, las particiones de directorio de Aplicación, Global Catalog mejoras en la replicación, copias de seguridad de las instalaciones, la cuota de Active Directory función, y para el sistema SIS listas de control de acceso (SACL).
• Windows Server 2003 Provisional: copia de seguridad de Windows NT y los controladores de dominio Windows Server 2003 controladores de dominio pueden existir en dominios.
• Windows Server 2003: Todos los controladores de dominio en el bosque hay que ejecute Windows Server 2003 para el nivel funcional del bosque a ser de hasta el Windows Server 2003 los bosques nivel funcional. Con el Windows Server 2003 los bosques nivel funcional, todos los bosques a escala de Active Directory características están disponibles, incluyendo el cambio de nombre de dominio, Forest Trust, desaparecida el esquema de objetos, dinámico auxiliares clases, grupos de Aplicación, Universal Grupo de caché, las particiones de directorio de Aplicación, el Fondo Mundial para la replicación de catálogo mejoras, Instalaciones de copias de seguridad, Active Directory característica contingente, el SIS sistema de listas de control de acceso (SACL), la mejora de los conocimientos Coherencia Checker (KCC) algoritmos de replicación, relacionado valor de replicación, inetOrgPerson objectclass NTDS.DIT y la reducción de tamaño.

Cómo comprobar qué nivel de dominio función se establece para el dominio

1. Abra el Active Directory Dominios y confía en la consola.
2. Haga clic derecho en el dominio particular, cuyo nivel funcional que desea comprobar y seleccione Levante de dominio de nivel funcional el menú contextual.
3. Elevar el nivel funcional de dominio cuadro de diálogo se abre.
4. Puede ver el actual nivel funcional de dominio para el dominio en el dominio actual nivel funcional.

Cómo elevar el nivel funcional de dominio a Windows 2000 los nativos de dominio o nivel funcional de Windows Server 2003 dominio funcional

Para elevar el nivel funcional de dominio de un dominio,

1. Abra la dominios de Active Directory y confía en consola
2. Haga clic derecho en el dominio particular, cuyo nivel funcional que desee plantear, y seleccione Levante de dominio de nivel funcional el menú contextual.
3. Elevar el nivel funcional de dominio cuadro de diálogo se abre.
4. Utilice el Seleccione un dominio disponibles nivel funcional lista para elegir el nivel funcional de dominio para el dominio.
5. Haga clic en Levante.
6. Haga clic en Aceptar.

Cómo comprobar que el nivel funcional del bosque se ha fijado para el bosque

1. Abra la dominios de Active Directory y confía en consola
2. Haga clic derecho en Active Directory Dominios y fideicomisos en el árbol de consola, y seleccione Aumentar Bosque nivel funcional del menú de acceso directo.
3. Elevar el nivel funcional Bosque cuadro de diálogo se abre
4. Puede ver el bosque funcionales existentes en el nivel actual de los bosques a nivel funcional.

Cómo elevar el nivel funcional del bosque a Windows Server 2003 los bosques nivel funcional

Para elevar el nivel funcional del bosque de un bosque,

1. Abra la dominios de Active Directory y confía en consola
2. Haga clic derecho en Active Directory Dominios y confía en el árbol de consola, y seleccione Levante forestales de nivel funcional el menú contextual.
3. Elevar el nivel funcional de dominio cuadro de diálogo se abre
4. Haga clic en Levante.
5. Haga clic en Aceptar.

Comprender las características de seguridad de los Firewalls

El método, por la que se puede asegurar físicamente la red, es mediante el uso de cortafuegos. Si bien los cortafuegos proporcionar un cierto nivel de seguridad física, usted debe tener en cuenta que los cortafuegos son sólo obstáculos que hacen difícil para los intrusos para atacar a la red.

Los cortafuegos se clasifican de la siguiente manera:

• Red cortafuegos: Estos firewalls vigilar el tráfico que entra y sale de la red, en un intento de proteger el perímetro de red. Software basado en Microsoft Internet Security y Acceleration (ISA) Server y el hardware basado en Nortel Alteon Switched Firewall System son soluciones de red de cortafuegos.
• Basado en host cortafuegos: Estos firewalls proteger a los ordenadores que se define a proteger. La red a la que el ordenador está conectado a es irrelevante. El Internet Connection Firewall (ICF) característica de Windows XP y Windows Server 2003 es una serie basada en la solución de cortafuegos.

Firewalls labor de control de paquetes para determinar si los paquetes se debe permitir que se transmitirá, paquetes o si debe suprimirse. La función principal del firewall es filtrar el tráfico. TCP / IP los paquetes tienen un paquete IP de cabecera, seguido por el contenido real del paquete. La cabecera del paquete IP sea una cabecera TCP o UDP cabecera. La cabecera TCP o UDP cabecera contiene las direcciones IP y número de puerto del remitente (fuente), y las direcciones IP y números de puerto del receptor (destino). Una cabecera TCP contiene la siguiente información adicional así como: números de secuencia y reconocimiento números, y la conversación estado.

Como pasar por alto los paquetes del firewall, paquetes son examinados de acuerdo con los parámetros de filtrado para configurar el cortafuegos para filtrar tráfico. El filtrado de los parámetros que definen los paquetes deben poder pasar por alto el firewall. La configuración por defecto es que los cortafuegos suelen negar todos los paquetes que no sean las que se ha creado explícitamente para permitir. En entornos de redes, firewalls suelen ser configurado para bloquear todo el tráfico, y para permitir el tráfico saliente de la red interna privada.

De filtrado de paquetes se utilizan para definir los tipos de tráfico que se le debe negar por un cortafuegos. Usted necesidad de aplicar los cortafuegos y router de filtrado de paquetes para garantizar los recursos dentro de su red privada de usuarios de Internet.

Cuando se configura filtros de paquete IP, puede especificar qué tráfico se permite o deniega, sobre la base de los siguientes:

• Fuente dirección
• Dirección de destino
• Origen y destino, número de puerto TCP
• Origen y destino, número de puerto UDP
• La interfaz que el paquete llega a.
• La interfaz que el paquete debe ser remitido a
• Los números de protocolo IP
• ICMP tipos y códigos

Filtros de paquete IP se debe utilizar para los fines:

• Para restringir el tráfico de ser enviados a, o desde un ordenador específico, puede filtrar por dirección IP origen / destino gama.
• Para restringir el tráfico procedente de, o ser enviados a un determinado rango de direcciones IP de un segmento de red, puede filtrar por dirección IP origen / destino gama.
• Para restringir el tráfico que se transmiten a / desde un determinado programa, puede filtrar por número de protocolo.

Avanzada cortafuegos incluyen una serie de características de seguridad adicionales, incluyendo:

• Inspección de estado: En este caso, los paquetes son examinados cuando llegan al firewall. Sin embargo, los paquetes se les permite el acceso a los recursos de la red interna, determinado por la configuración política de acceso. La capacidad de inspección de estado son proporcionados por los servidores proxy y cortafuegos soluciones que apoyan Network Address Translation (NAT).
• Funciones de detección de intrusos: Cortafuegos que incluyen funciones de detección de intrusos son capaces de detectar posibles ataques de red como los atributos que inspeccionan los paquetes. Estos cortafuegos pueden realizar una serie de actividades cuando se detecta una red de ataque:
• Empezar un contraataque.
• Bloquear el acceso de la red del intruso.
• Notificar a un administrador de la red de ataque.
• Capa de Aplicación capacidades de inteligencia: Los firewalls permiten o caída paquetes basados en el contenido del paquete. Los cortafuegos son capaces de inspeccionar y analizar los datos dentro de los flujos de tráfico.
• Red Privada Virtual (VPN) las capacidades: Estos tipos de firewalls permiten redes remotas para conectarse con otras redes remotas a través de Internet. Si utiliza tanto una VPN y una solución firewall, el firewall es capaz de filtrar el tráfico dentro del túnel VPN.

Entender las redes de perímetro

La función principal de un perímetro de la red, también llamada zona desmilitarizada (DMZ), es proporcionar una capa adicional de protección para la red privada interna cuando un servidor en la red perimetral se ve comprometida. El perímetro de red normalmente alberga los servicios Web que se extienden a los clientes de Internet.

A perimeter network usually consists of the following elements:

• A firewall for protecting the front-end servers from the Internet traffic.
• A firewall between the back-end servers and private network. This firewall should allow communication between back-end servers and specific servers located on the private network.
• Hardened servers for supporting the services provided by the applications. Hardened servers can be configured to disable unsafe Internet services.

A perimeter network is either a single firewall configuration, or back to back firewall configuration:

• Single firewall configuration: Here a single firewall is used with a network interface card (NIC) connected to the perimeter network, a NIC connected to the Internet, and another NIC connected to the private network. The private network comprises of the organization's network, computers and servers that are not extended to the public network. This is the simplest firewall configuration strategy. Because this configuration consists of only one firewall, the private network is vulnerable when an attacker is able to bypasses the firewall.
• Back to back firewalls configuration: Here, one firewall is utilized to connect the front end of the perimeter network to the Internet, and another firewall is utilized to connect the back end of the perimeter network to the private network. This method provides more protection to the private network. Additional firewalls can be implemented between the Web tiers in the perimeter network to further enhance security for the private network.

Web Content servers and front end servers usually reside in the perimeter network. A perimeter network can be further segmented:

• A segment should be utilized to implement a management network.
• The various forms of Internet traffic such as HTTP and FTP should be routed to separate Web clusters.
• Non routable network addresses should be assigned to the internal networks of the Web site.
• Internet traffic should be separated from the internal network or back end traffic.
• Ensure that IP forwarding is not enabled for the front end servers.

Understanding Windows Server 2003 Security Settings

Auditing enables you to determine which activities are occurring on your system. Through auditing, administrators can collect information associated with resource access and usage on your system. You can audit system logon, file access, object access, as well as any configuration changes. When an event or action takes place that is configured for auditing, the action or event is written to the security log. Security auditing events are written to the security log of the system, and can be accessed from Event Viewer.

The main types of events which you should audit are listed below:

• Computer logons
• Computer logoffs
• Access to objects, and files and folders
• System events, such as when the following occurs:
• Computer reboots
• Computer shutdowns.
• System time is modified
• Audit logs are cleared.
• Performance of user and computer account management activities, such as:
• Creating new accounts
• Changing permissions
• Modifying account statuses

You can define audit polices for the local computer, a domain controller, a domain or an organization unit (OU).

The audit policies that you can configure with Windows Server 2003 are listed here:

• Audit Account logon events: This policy is typically enabled on domain controllers, to track users which are logging on to the computer.
• Audit Account management: This policy tracks account management tasks performed on the computer, including creating, changing, and deleting user objects; and changing account passwords.
• Audit Directory service access: For domain controllers, the policy tracks when users access Active Directory objects which have system access control lists (SACLs).
• Audit Logon events: This audit policy tracks when the user logons and logoffs.
• Audit Object access: Tracks when a user accesses operating system components such as files, folders or registry keys.
• Audit Policy change: This policy tacks when changes are made to the security configuration settings of the computer, and includes changes made to Audit policies, Trust policies, and User rights.
• Audit Privilege use: Tracks when a user effects a user right. The user rights excluded from auditing because of the volume of log entries which they generate are: Back Up Files And Directories, Bypass Traverse Checking , Create A Token Object, Debug Programs, Generate Security Audits, Replace Process Level Token, and Restore Files And Directories.
• Audit Process tracking: This policy tracks when certain events take place on the computer, such as when a program starts, or a process ends.
• Audit System events: This policy tracks events such as when computer restarts or shuts down; and any events that impact the security log or the security of the system.

For each of the above mentioned event categories, you can choose between three values when you enable auditing. These values in turn determine the condition for which an audit entry would be created:

• Successes only; an audit entry will be created when a particular event or action successfully finalizes.
• Failure only; an audit entry will be created when a particular event or action fails.
• Successes and Failures; an entry will be created when the particular event or action successfully finalizes or fails.

An important management tool for administrators of Windows Server 2003 is the Event Log. Event Viewer stores events that are logged in a system log, application log, and security log. You can access Event Viewer from the Administrative Tools folder.

The maximum size of the Event Log, Event Log performance, and other attributes are controlled by the following Event Log policies:

• Maximum log size; specifies the maximum size for the log file.
• Retain log; sets the time duration for which the Event Log information should be retained.
• Retention method for log; sets what actions should occur when the Event Log's maximum size is reached:
• Overwrite Events By Days option
• Overwrite Events As Needed option
• Do Not Overwrite Events (Clear Log Manually) option.
• Prevent local guests group from accessing log; defines whether the local guests group is allowed to access the Event log.

You can enable the Security Options policies to secure certain server components from a number of threats and accidents. Through Security Options policies, you can secure specific server components. A few Security Options policies which you should consider activating are listed below:

• Accounts: Administrator Account Status; enables/disables the local Administrator account of the computer.
• Accounts: Guest Account Status; enables/disables the local Guest account of the computer.
• Accounts: Rename Administrator Account; defines the alternative name for the security identifier (SID) of the local Administrator account.
• Accounts: Rename Guest Account; defines the alternative name for the security identifier (SID) of the local Guest account
• Audit: Audit The Use Of Backup And Restore Privilege; when the Audit Privilege Use policy is enabled, it configures the computer to audit user privileges.
• Audit: Shut Down System Immediately If Unable To Log Security Audits; results in the computer shutting down when no further auditing entries can be written to the security log due to the log reaching its maximum size limit.
• Devices: Allowed To Format And Eject Removable Media; defines those local groups which are allowed to format and eject removable NTFS file system media.
• Devices: Restrict CD-ROM Access To Locally Logged-on User Only; stops users from accessing the CD-ROM drives of the computer.
• Devices: Restrict Floppy Access To Locally Logged-on User Only; stops users from accessing the floppy disk drive of the computer.
• Domain Member: Maximum Machine Account Password Age; sets the frequency at which the computer account password of the system is modified.
• Interactive Logon: Do Not Require CTRL+ALT+DEL; specifies the Disable option so that users are secured from Trojan horse attacks.
• Interactive Logon: Require Domain Controller Authentication To Unlock Workstation; stops the computer from being unlocked through cached credentials.
• Microsoft Network Client: Digitally Sign Communications (Always); sets the computer to require packet signatures for Server Message Block client communications.
• Microsoft Network Server: Digitally Sign Communications (Always); sets the computer to require packet signatures for Server Message Block server communications.
• Network Access: Do Not Allow Anonymous Enumeration Of SAM Accounts And Shares; stops anonymous users from gathering information on the names of local user accounts and shares.
• Network Access: Remotely Accessible Registry Paths And Sub-paths; defines the registry paths and sub-paths which certain users can access.
• Network Access: Shares That Can Be Accessed Anonymously; defines the shares which can be accessed by anonymous users.
• Network Security: Force Logoff When Logon Hours Expire; configures the computer to end any current local user connections that have used up their defined logon hours or time.
• Shutdown: Allow System To Be Shut Down Without Having To Log On; enables the Shut Down button in the Log On To Windows dialog box.

Services can be defined as system programs, processes or routines running in the background that performs a specific operation within the operating system. Administrators need to monitor services and also change the configuration of services when necessary. When the Windows Server 2003 operating system installs, some services are automatically installed with the operating system. These services are usually set with the Automatic startup type. This means that the service starts automatically when the operating system starts or boots. The startup type specified for the service controls when and how the service starts.
A few services that have the Automatic startup type configured are Automatic Updates, DHCP Client, DNS Client, IPSec Services, Remote Procedure Call (RPC), Server, Security Accounts Manager, and System Event Notification.

For those services that have the Automatic startup type configured, you can use System Services policies to disable those services which a specific server does not require. A few services for which you can configure the startup type as Disabled (if the server does not require the service) are Application Management, Distributed File System, Distributed Transaction Coordinator, Fax Service, ClipBook, Indexing Service, Internet Connection Sharing (ICS), and Smart Card.

Restricted Groups contains groups for specific security restrictions. You can configure Restricted Groups to ensure that group memberships remain defined as it was specified. Restricted Groups policies ensure that the Members attributes and Members Of attributes remain consistent. You configure Restricted Groups policies by adding a policy and then specifying the members of the policy.

Account Policies include attributes for password policy, account lockout policy and Kerberos policy. Password policy determines settings for passwords for domain user accounts, and local user accounts. You can implement strong password policies by using the following security policy settings located in the Password Policy node in Account Policies:

• Maximum password age: This security policy setting determines the duration after which a user is forced to change a password.
• Enforce password history: This security policy setting prevents users from re-specifying or reusing previously used passwords.
• Minimum password age: This security policy setting determines the length of time that a user has to keep a password before he/she can modify the password.
• Minimum password length: This security policy setting stipulates the minimum length that a password can have.

Account lockout policies should be implemented if your environment is particularly vulnerable to threats arising from passwords which are being guessed. Implementing an account lockout policy basically ensures that the account of a user is locked after an individual has unsuccessfully tried for several times to provide the correct password. The important factor to remember when defining an account lockout policy is that you should implement a policy that permits some degree of user error, but that also prevents unauthorized usage of your user accounts.

The following password and account lockout settings are located in the Account Lockout Policy area in Account Policies:

• Account lockout threshold: This setting controls the number of times after which an incorrect password attempt results in the account being locked out of the system.
• Account lockout duration: This setting controls the duration that an account which is locked, remains locked. A setting of 0 means that an administrator has to manually unlock the specific locked account.
• Reset account lockout counter after: This setting determines the time duration that must pass subsequent to an invalid logon attempt occurring prior to the reset account lockout counter being reset.

How to Plan a Security Framework

A security framework can be defined as the process used when the organization has to perform the activities listed below:

• Define security requirements.
• Determine security risks.
• Select the appropriate security features.
• Select and implement security policies.
• Define security implementations.
• Define security management policies.

Most organizations use a security design committee or team to determine the security needs of the organization and to deploy security policies which can meet these requirements.

A security design committee/team includes individuals that are knowledgeable on the following factors:

• The mission critical resources of the organization.
• The security weaknesses or vulnerabilities of the organization.
• The threats to which the mission critical resources of the organization is exposed.
• The resources which are mainly at risk.
• The loss to the organization should particular resources of the organization be compromised.
• The level of security needed to secure the organization's resources.
• The security features and security policies which can be used to secure the resources of the organization.
• The security features and security policies which are ideal to secure particular resources.
• The impact of implementing security features and security policies on employees, users and administrators.
• The requirements for deploying identified security solutions.

A typical security life cycle is made up of the following steps:

• Determining and designing the security infrastructure: The design phase of the security life cycle includes elements such as identifying the resources of the organization that needs to be secured, and then designing the security infrastructure to protect these resources. The security design team should be accountable for creating and designing security policies for the organization.
• Deploying and implementing the security features and security policies: The security design team should also be responsible for implementing security features and security policies.
• Continually managing the security solution: All security software should be upgraded as necessary, and audit logs should be regularly examined.

Because the security requirements of organizations differ, you have to determine which security features, tools and policies are needed by the specific organization whose server security you are planning. From the discussions so far, it becomes evident that identifying the security requirements of the organization is a task requiring quite some analysis. One of the initial steps to identifying the security requirements of the organization is to determine which security weaknesses or vulnerabilities currently exist, the threats to which the mission critical resources of the organization is exposed, and the resources which are mainly at risk to being compromised.

There are a number of different risks that have an impact on an organization. Some of the primary threats which you should address are listed here:

• Environmental threats; pertains to both environmental disasters and disasters due to human intervention. Examples of environmental threats are fires, earthquakes, storms, faulty wiring, and so forth.
• Accidental threats; relate to threats which are caused without malicious intent. Accidental risks occur when an employee accidentally deletes important files, or modifies data that should not have been changed.
• Deliberate threats; relate to threats which are caused with malicious intent as the primary objective. Examples of deliberate threats are viruses, Trojan horses, and all other network attacks caused by hackers and intruders.

Once the risk which your organization is vulnerable to is determined, you have to determine which resources and assets of the company could become affected by each identified risk/threat.

Assets and company resources can be categorized as follows:

• Hardware; such as devices, servers, workstations, printers, and so forth.
• Software; includes software designed specifically for the organization and other software products.
• Company data; includes databases, and files and documents.
• The physical building.
• Sundry equipment; such as office furniture and other supplies.
• Employees of the organization.

To secure company assets and resources from all identified security risks, you have to determine which security configurations can match the security requirements of the organization.

Últimas entradas de blog

• Nokia E71 - El iPhone Killer

• Libre registros de antecedentes penales

• JVC DLA-RS2 proyector de cine en casa

• Foma SH706i Symbian OS

• Seagate HDD 1.5TB

• M-Audio Ultimate Orejas - iPhone Auriculares

• iPhone Fanboy T-Shirts

• Mochila para bicicletas

• Xbox 360 - Habiendo reducido drásticamente los precios

• Kodak Zi6