Guía de operaciones de seguridad para Windows 2000 Server (PARTE IV)


Administrar revisiones
Los sistemas operativos y las aplicaciones pueden ser muy complejos. Están formados por millones de líneas de código y son obra de muchos programadores diferentes. Es fundamental que el software funcione de manera confiable y no ponga en peligro la seguridad ni la estabilidad del entorno de TI. Para reducir al mínimo los problemas, los programas se comprueban exhaustivamente antes de salir al mercado. Sin embargo, es imposible prever todos los ataques que pueden ocurrir en el futuro y siempre hay personas dedicadas a buscar las debilidades del software.





Las compañías de software producen revisiones para resolver las debilidades del código o de la implementación que se descubren después de comercializar el producto. Cada vez más, estos problemas están relacionados con la seguridad, a medida que el número de atacantes aumenta, sus métodos se vuelven más sofisticados y se crea nuevo código malicioso para aprovechar los puntos vulnerables. No obstante, también puede haber revisiones diseñadas simplemente para agregar funcionalidad al producto.

Las revisiones de seguridad suponen un reto específico para la mayoría de las organizaciones. Una vez se han detectado las debilidades del software, los atacantes generalmente difunden esta información rápidamente a toda la comunicad. Las compañías de software intentan producir una revisión de seguridad lo antes posible. Hasta que no se implemente la revisión, la seguridad que espera tener y de la que depende puede verse reducida notablemente.

No importa si su organización tiene miles de equipos o sólo unos cuantos; la administración de todas las revisiones disponibles, el análisis de su relevancia para cada entorno y la evaluación de la cantidad de pruebas que puede realizar la organización antes de implementarlas pueden ser tareas difíciles, que llevan mucho tiempo.

Este capítulo está diseñado para ayudarle a mantener la seguridad de los servidores basados en Windows 2000, pero los procesos que se describen aquí también pueden aplicarse a los procesos de administración de revisiones para todas las actualizaciones de software. Para obtener información acerca de cómo se actualiza un software específico, debe ponerse en contacto con el fabricante correspondiente.

Terminología

En este manual, se usan indistintamente los términos revisión y Service Pack para referirse a los cambios al software después de su comercialización. Esto se debe a que el proceso para implementarlos es igual en todos los casos. Sin embargo, existe una definición más específica de cada uno de estos términos:

Service Packs

Los Service Packs mantienen el producto actualizado, corrigen los problemas conocidos y también pueden ampliar la funcionalidad del equipo. Incluyen herramientas, controladores y actualizaciones, así como mejoras desarrolladas después de la comercialización del producto. Todo esto se agrupa en un solo paquete que puede descargarse fácilmente.

Los Service Packs son específicos para cada producto y por lo tanto, existen distintos Service Packs para los diferentes productos. No obstante, generalmente se usa el mismo para distintas versiones del mismo producto. Por ejemplo, se utiliza el mismo Service Pack para actualizar Windows 2000 Server y Windows 2000 Professional.

También son acumulativos; cada Service Pack nuevo contiene todas las reparaciones incluidas en los anteriores, además de las nuevas reparaciones y modificaciones del sistema recomendadas desde el último. No necesita instalar el Service Pack anterior antes de instalar el más reciente.

Revisiones o QFE

La Ingeniería de corrección rápida (QFE) es un grupo interno de Microsoft que crea revisiones (hotfix), es decir, revisiones de código para los productos. Estas revisiones se envían a clientes específicos que experimentan problemas críticos para los que no existe una solución factible. En ocasiones, en la documentación técnica se hace referencia a las revisiones como QFE.

Las revisiones no se someten a pruebas regresivas exhaustivas y son específicas para cada problema; sólo deben aplicarse si se experimenta el problema exacto que abordan y si está utilizando la versión del software actualizada con el Service Pack más reciente.

Periódicamente, se incorporan grupos de revisiones a los Service Packs, se someten a comprobaciones más rigurosas y se ponen a disposición de todos los clientes.

Revisiones de seguridad

Las revisiones de seguridad están diseñadas para eliminar las vulnerabilidades de la seguridad. Los atacantes que desean entrar en un sistema pueden aprovechar estas vulnerabilidades. Las revisiones de seguridad son análogas a las revisiones (hotfix), pero se consideran obligatorias si las circunstancias lo justifican y deben implementarse rápidamente.

Muchas de las actualizaciones que se generan son para resolver problemas del cliente (con frecuencia, relacionados con el explorador). Estos problemas pueden ser o no relevantes para una instalación de servidor concreta. Es necesario obtener la revisión del cliente para actualizar la base de clientes actual y la revisión de administración para actualizar el área de creación de clientes del servidor.

Administración de revisiones de la organización

La manera exacta de implementar la administración de revisiones depende en gran medida del tamaño y de la complejidad de la organización. Sin embargo, es esencial que comprenda la importancia de la administración de las revisiones y cómo ésta se integra en la estrategia global de administración de riesgos de la organización. Por ejemplo, si decide que es necesario reducir el riesgo al mínimo, cueste lo que cueste, la estrategia que debe seguir consiste en apagar todos los sistemas de producción cada vez que se detecte una nueva vulnerabilidad en el software. Puede elegir no volver a iniciar los sistemas hasta que se haya realizado una comprobación exhaustiva de la revisión de seguridad y se haya instalado en toda la organización. Este proceso es sumamente costoso en términos económicos y de tiempo, y resulta imposible de aplicar para muchas organizaciones.

Durante todo el proceso de administración de revisiones, es necesario evaluar los riesgos en relación con los costos de aplicar las soluciones apropiadas. Una vez se ha detectado una vulnerabilidad en la seguridad, puede pasar cierto tiempo hasta que aparezca una revisión con la solución. Necesitará evaluar el aumento del riesgo ocasionado por la vulnerabilidad y determinar las medidas que es necesario tomar antes de comprobar e instalar una revisión. Estas medidas incluyen deshabilitar servicios, desconectar sistemas o restringir el acceso a los usuarios internos o a otros grupos, según sea necesario. Una vez está disponible la revisión, es necesario determinar el riesgo de implementarla inmediatamente, teniendo en cuenta los costos de mantener los servidores inactivos o desprotegidos durante el corto tiempo necesario para probar la revisión y asegurarse de que no afecta negativamente al sistema. Si decide realizar pruebas, deberá determinar hasta qué punto son necesarias en función del riesgo de implementar o no la revisión.

Nota: la organización debe instaurar un proceso de administración de cambios. MOF incluye un proceso de administración de cambios que puede utilizarse como base del proceso de organización. Consulte el vínculo a MOF en el apartado "Más información", al final de este capítulo.

Evaluación del entorno actual

Con frecuencia, las revisiones se instalan de forma poco coherente en una organización, sin que exista documentación que recoja por qué, cuándo y dónde se instalaron. Para poder administrar correctamente la seguridad del entorno, es necesario conocer con detalle su estado actual. Para la administración de las revisiones, debe saber, por lo menos:

Qué sistemas hay en su entorno.

El sistema operativo y su versión

El nivel de revisión (versión del Service Pack, las revisiones (hotfix) y otras modificaciones)

Función

Aplicaciones

Información de propiedad y de contacto


Qué activos existen en su entorno y cuál es su valor relativo.


Cuáles son las amenazas conocidas y con qué procesos cuenta para identificar otras nuevas o los cambios en el nivel de riesgo.


Cuáles son las vulnerabilidades conocidas y con qué procesos cuenta para identificar otras nuevas o los cambios en el nivel de vulnerabilidad.

Qué soluciones se han aplicado.

Es muy conveniente que mantenga esta información al alcance de todas las personas involucradas en el proceso de administración de revisiones y que se asegure que esté siempre actualizada.

Cuando haya identificado los activos, las vulnerabilidades, las amenazas y la configuración del entorno, puede determinar qué amenazas y vulnerabilidades representan realmente un problema para la organización.

Sistemas de actualización de la seguridad

En muchos entornos, puede ser conveniente tener equipos especializados en los que se puedan llevar a cabo muchos de los pasos del proceso de administración de revisiones. Estos sistemas proporcionan ubicaciones especializadas para las herramientas de seguridad, las revisiones, los Service Packs y la documentación. Puede usar estos sistemas para realizar el análisis, la recuperación y la instalación de las revisiones. En este manual, nos referiremos a estos sistemas como Sistemas de actualización de la seguridad.

Debe asegurarse de que los Sistemas de actualización de la seguridad estén en uno o varios equipos dedicados que puedan asegurarse y controlarse estrechamente, ya que son los que se utilizarán para instalar y mantener las revisiones de seguridad para todos los sistemas de su entorno. Los Sistemas de actualización de la seguridad generalmente no necesitan ser servidores muy potentes, ya que la carga que soportan suele ser bastante ligera. No obstante, la alta disponibilidad es muy importante, ya que estos equipos serán la base para mantener el entorno actualizado con las revisiones más recientes.

Para poder aplicar correctamente un Sistema de actualización de la seguridad, el equipo necesita tener acceso directo o indirecto a Internet para descargar la información más reciente de las revisiones de fuentes confiables, así como acceso a todos los equipos a los que debe mantener actualizados.

Más adelante en este capítulo utilizaremos ejemplos y muestras de secuencias de comandos que se deben ejecutar desde un Sistema de actualización de la seguridad.

Nota: MOF trata los sistemas de actualización como parte del proceso de administración de la versión.

Comunicación

Si la compañía es pequeña, es posible que sea suficiente con una persona encargada de mantener las revisiones actualizadas, realizar pruebas con las mismas, instalarlas y leer los distintos archivos de registro. Sin embargo, en los entornos más grandes suele haber varias personas encargadas de los diferentes aspectos de la seguridad. Es muy importante que exista una comunicación eficaz entre todas las personas involucradas en la administración de las revisiones. Esto permite garantizar que se toman decisiones sin duplicar esfuerzos y que no se omite ningún paso del proceso.

Administración de revisiones y de cambios

La administración de revisiones es en realidad sólo un subconjunto de la administración de cambios. Si ya dispone de un procedimiento de administración de cambios en la organización, no es necesario crear otro proceso totalmente nuevo para la administración de revisiones. Aún así, es conveniente que lea este capítulo para conocer la información específica del proceso de administración de revisiones.

Un buen procedimiento de control de cambios tiene un propietario identificado, una vía de entrada de información de los clientes, una pista de auditoría de todos los cambios, un período definido de avisos y revisión, procedimientos de pruebas y un plan de contingencias conocido.

Kit de herramientas de seguridad de Microsoft

El kit de herramientas de seguridad de Microsoft puede ser útil para obtener los Service Packs y las revisiones necesarios para mantener los servidores actualizados. Contiene información de seguridad importante, los Service Packs más recientes y las revisiones de seguridad críticas para Windows NT 4.0, Windows 2000, IIS e Internet Explorer. También incluye la herramienta de notificación de actualizaciones críticas. Esta herramienta tiene un vínculo al sitio de actualización de Windows que garantiza la instalación de las revisiones más recientes.

Procesos de administración de revisiones

Análisis. Observe el entorno actual y determine las posibles amenazas. Determine qué revisiones debe instalar para reducir estas amenazas.

Plan. Determine qué revisiones debe instalar para reducir las posibles amenazas y vulnerabilidades detectadas. Identifique quién llevará a cabo las pruebas y la instalación, y cuáles son los pasos que hay que seguir.

Realización de pruebas. Revise las revisiones disponibles y clasifíquelas en categorías para su entorno; compruebe todas las revisiones identificadas para asegurarse de que funcionan en su entorno sin efectos secundarios negativos. Comprenda qué hace realmente la revisión y cómo afecta al entorno. Asegúrese de que tiene el efecto previsto.


Instalación. Instale las revisiones adecuadas para asegurar el entorno.

Control. Compruebe todos los sistemas después de instalar las revisiones para asegurarse de que no producen efectos no deseados.


Revisión. Como parte del proceso, debe revisar periódicamente las nuevas revisiones que han ido apareciendo, el entorno y las revisiones que necesita la compañía. Si durante este proceso determina que se necesitan nuevas revisiones, vuelva a empezar desde el primer paso.

Nota: es muy conveniente que realice copias de seguridad de todos los sistemas de producción antes de instalar una revisión.

Análisis del entorno para detectar revisiones que faltan

De manera continua, debe asegurarse de que tiene instaladas las revisiones más recientes. En algunos casos, aparecerá una nueva revisión que necesitará instalar en todos los servidores. En otros, se conectará un nuevo servidor al que será necesario instalar las revisiones apropiadas. Debe analizar de manera continua todos los servidores para asegurarse de que están totalmente actualizados con las revisiones más recientes necesarias. Como ayuda en este proceso, puede utilizar varias herramientas.

Microsoft Network Security Hotfix Checker (Hfnetchk)

Hfnetchk es una utilidad de la línea de comandos que le permite comprobar si la configuración actual de los servidores está actualizada y si tiene las revisiones de seguridad apropiadas. Esta herramienta funciona descargando directamente de Microsoft una base de datos XML (Extensible Markup Language) que contiene una lista de las revisiones más recientes que hay que comprobar para estar seguro. Hfnetchk también utiliza una base de datos XML local si no está conectado a Internet, aunque esto puede producir resultados no actualizados.

Nota: para usar Hfnetchk, debe tener acceso de administrador (local o de dominio) al equipo en el que se están comprobando las revisiones.

Secuencia de comandos de administración de revisiones

Este manual incluye una secuencia de comandos de administración de revisiones, hfnetchk.cmd, que comprueba varios servidores para detectar las revisiones que faltan y registra los resultados en un archivo de registro que se guarda en una carpeta basada en fechas. La secuencia de comandos utiliza Hfnetchk para explorar los servidores y otra secuencia de comandos, movelog.vbs, para mover los archivos a las carpetas adecuadas. Con el tiempo, estas carpetas forman un historial que puede revisar como parte de las fases de análisis y revisión, y que le ayuda a mantener un entorno más seguro.

Nota: la secuencia de comandos que se proporciona con este manual necesita Hfnetchk.exe versión 3.32 o posterior.

Después de descargar y extraer las secuencias de comandos que se proporcionan con este manual, tendrá la siguiente estructura de carpetas para la secuencia de comandos de administración de revisiones.

Para instalar y usar el archivo de comandos Hfnetchk.cmd en un Sistema de actualización de la seguridad

1. Ejecute SecurityOps.exe para extraer los archivos de la secuencia de comandos que se proporcionan con este manual y crear la estructura de carpetas que se indica en la tabla 5.2.

2. Descargue y extraiga la utilidad Hfnetchk de http://www.microsoft.com/Downloads/Release.asp?ReleaseID=31154 (en inglés) y coloque hfnetchk.exe en la carpeta C:SecurityOpsPatchMgmtHfnetchk. Si el equipo que ejecuta la secuencia de comandos no está conectado a Internet, necesitará descargar y extraer el archivo Mssecure.xml de http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab (en inglés). Mssecure.xml debe colocarse en la carpeta C:SecurityOpsPatchMgmt.

3. Cree un archivo de texto de lista de servidores en C:SecurityOpsPatchMgmtServerLists. Este archivo de texto contiene los nombres NetBIOS de los servidores que desea comprobar, separados por retornos de carro.

Nota: Hfnetchk.exe versión 3.32 no explora ningún servidor que tenga un espacio después del nombre del mismo y antes del retorno de carro. Antes de ejecutar Hfnetchk, compruebe que no haya líneas que terminen con un espacio.

4. Inicie un símbolo del sistema, cambie a la carpeta C:SecurityOpsPatchMgmt e inicie la secuencia de comandos con la siguiente línea de comandos.

Hfnetchk.cmd listaservidores.txt

En esta línea de comandos, listaservidores.txt es el nombre del archivo de texto que contiene la lista de servidores.

Nota: si aparece un cuadro de diálogo que le pregunta si desea descargar el archivo mssecure.xml, haga clic en Sí.

5. Cambie a la carpeta C:SecurityOpsPatchMgmtLogs, abra la carpeta con la fecha actual y abra el archivo con el mismo nombre que el archivo listaservidores.txt.

6. Examine el archivo de registro para determinar las revisiones que faltan en los servidores.


Nota: si ejecuta la secuencia de comandos de administración de revisiones dos veces en el mismo día, se sobrescribirá el archivo de registro de la primera vez que ejecutó la secuencia de comandos.

Uso de varias listas de servidores

En una red a gran escala puede haber varios tipos de servidores distintos. Como parte del proceso de administración de riesgos, puede determinar que necesita controlar algunos servidores con mayor frecuencia que otros para detectar si faltan revisiones. Si usa varias listas de servidores, puede programar la secuencia de comandos de administración de revisiones para que explore los diferentes tipos de servidores en intervalos distintos. También resulta útil tener varias listas de servidores si hay distintos administradores responsables de los diferentes grupos de servidores. Si utiliza varias listas, puede crear informes independientes de las revisiones que faltan para cada grupo de administradores

Programación de la secuencia de comandos de administración de revisiones

Para asegurarse de que hfnetchk.cmd se ejecuta regularmente, puede programar la ejecución periódica de la herramienta. Esto se puede hacer con el programador de tareas o el comando AT. Si utiliza varias listas de servidores, puede hacer que se comprueben los diferentes servidores en momentos distintos.

Nota: de forma predeterminada, el servicio de programación está deshabilitado en las directivas de línea de base para los servidores miembros y para los controladores de dominio. Necesitará habilitarlo si desea programar la secuencia de comandos de administración de revisiones.

Otros métodos para determinar los niveles de revisión

Si no desea o no puede utilizar la herramienta hfnetchk en algunas partes del entorno, hay otras maneras de determinar si se han instalado revisiones.

La forma más fácil es mirar el registro bajo la clave HKLMSoftwareMicrosoftWindows NtCurrentversionhotfix. Cada revisión nueva instalada debe tener una clave con un nombre Q que corresponde al artículo de Knowledge Base que trata de la revisión. Sin embargo, esto no ocurre con algunas revisiones antiguas y con las de algunas aplicaciones.

Hay otras dos herramientas gratuitas de Microsoft que pueden utilizarse para obtener esta información. Éstas son:

Qfecheck.exe /v. Indica el nivel del Service Pack y las revisiones instaladas. Qfecheck también indica si la revisión no se instaló correctamente.

Hotfix.exe -l. Muestra las revisiones instaladas.

Plan

No todas las amenazas y vulnerabilidades suponen un riesgo importante para su entorno. Cuando lea avisos de posibles nuevas vulnerabilidades de un sistema operativo o una aplicación, debe evaluar si éstas afectan a su entorno. Por ejemplo, si la vulnerabilidad afecta al servicio de FTP de Windows 2000 y usted nunca lo ha habilitado, la vulnerabilidad no le afecta. Es lo mismo que si le informan de que hay más probabilidades de que haya huracanes este año, pero su entorno de TI está en un área protegida de los huracanes: el riesgo es mínimo. Si responde a las amenazas y vulnerabilidades que no son reales para su entorno, utilizará valiosos recursos y puede incluso afectar negativamente a la estabilidad de su entorno sin llegar a obtener ningún beneficio.

A medida que se descubren nuevas amenazas y vulnerabilidades, debe leer toda la información de apoyo correspondiente. Esto le permitirá tomar una decisión inteligente sobre si existe un riesgo significativo para su entorno y determinar, por lo tanto, la respuesta apropiada. Esta respuesta puede ser no hacer nada, desactivar el servicio que corre el riesgo o instalar una revisión.

Nota: al crear el plan para instalar una nueva revisión, también debe crear un plan para desinstalarla.

Nota: para asegurarse de que tiene la información actualizada acerca de las revisiones más recientes, asegúrese de que recibe regularmente los boletines de seguridad de Microsoft. Para registrarse y recibirlos, vaya al sitio Web de seguridad de Microsoft. Consulte el vínculo en el apartado "Más información", al final de este capítulo.

Clasificación de las revisiones

Siempre que aparece una nueva revisión, debe determinar su importancia para su entorno. Esto determinará si es urgente que la instale y la cantidad de pruebas que debe realizar.

El sistema de calificación clasifica las vulnerabilidades según el posible efecto que pueden tener y la probabilidad de que eso ocurra.

Puede usar este sistema de clasificación como una guía para clasificar las revisiones. No obstante, el sistema de calificación de Microsoft es sólo una estimación global de las posibles repercusiones en un contexto de millones de clientes en todo el mundo; las calificaciones de gravedad se basan en la experiencia previa y en criterios subjetivos, por lo que no siempre pueden predecir exactamente lo que ocurrirá en su entorno. En último término, es usted quien debe clasificar las revisiones basándose en su propio entorno.

Realizar pruebas de las revisiones

Como ocurre con cualquier software, es posible que las revisiones no funcionen perfectamente en todos los entornos. Lo ideal es comprobar exhaustivamente todas las revisiones que va a instalar en su entorno. Sin embargo, muchas revisiones de seguridad deben instalarse rápidamente para reparar problemas potencialmente importantes. En muchos casos, verá que el procedimiento de prueba es una solución intermedia entre la necesidad de resolver un problema de seguridad y la necesidad de garantizar que la revisión sea estable en su entorno.

La cantidad de pruebas necesarias depende de cómo haya clasificado la revisión.

Evaluación de la revisión

Como mínimo, la evaluación de la revisión debe incluir los pasos siguientes:

Identificación del propietario de la revisión. Todas las revisiones deben tener un propietario identificado que sea el responsable de la evaluación de la revisión.

Revisión de toda la documentación. Antes de aplicar cualquier Service Pack, revisión o revisión de seguridad, se debe leer toda la documentación relevante y debe ser revisada por otras personas del mismo nivel. Este proceso de revisión es fundamental, ya que reduce el riesgo de que a una sola persona se le escape algún punto crítico o importante al evaluar la actualización.


Verificación de la categoría de la revisión. Es posible que al evaluar con más detalle la revisión, necesite cambiar su categoría. Esto afectará a otros aspectos de la realización de pruebas.

Al leer la documentación, plantéese lo siguiente:

¿Es relevante la actualización y puede resolver el problema en cuestión?


¿La instalación de la actualización puede ocasionar otros problemas que supongan un riesgo para el sistema de producción?


¿Existen dependencias relacionadas con la actualización? (Por ejemplo, que haya que habilitar o deshabilitar ciertas funciones para que la actualización surta efecto.)

¿Es necesario realizar acciones antes de instalar la actualización?

Además de examinar la documentación incluida con la actualización, debe buscar en el sitio Web de soporte de Microsoft información adicional sobre la actualización publicada después de su comercialización. En su sitio Web, TechNet también proporciona boletines de seguridad en una base de datos en la que se pueden realizar búsquedas por nombre de producto y Service Pack. Estos materiales proporcionan información crítica a la que hay que referirse.

Instalación

Debe asegurarse de que la revisión se instale tal como está previsto, saber si necesita que se reinicie el sistema, cuánto espacio ocupa (incluida la carpeta de desinstalación), comprender de qué opciones dispone, etc. Además de instalar la revisión, debe leer toda la documentación de apoyo para obtener más información.

Operaciones del servidor

Una vez instalada la revisión, debe asegurarse de que el servidor sigue funcionando normalmente. También es una buena idea supervisar el registro de sucesos y el Monitor de sistema por si se producen resultados inesperados. Compruebe todas las funciones del servidor y asegúrese de que todo funciona normalmente. El riesgo que está dispuesto a asumir en un determinado servidor y para una vulnerabilidad específica determinará cuánto tiempo debe funcionar el servidor antes de determinar que todo funciona normalmente. Si hay cualquier problema, debe asegurarse de que está documentado y de que se han evaluado las ventajas y las desventajas de aplicar la revisión. Si ocurre algún problema, debe comunicarse a Microsoft lo antes posible.

Nota: puede usar Microsoft Operations Manager para obtener la información del Registro de sucesos y del Monitor de sistema.

Operaciones de las aplicaciones

Como parte del procedimiento de realización de pruebas, es importante que pruebe la revisión con todas las aplicaciones que coexistan en los servidores y que se asegure de identificar todos los problemas con dependencias. Después de instalar la revisión, debe comprobar que todas las aplicaciones siguen funcionando igual que antes.

Desinstalación

Es posible que, a pesar de haber realizado pruebas, surjan problemas que hagan necesario desinstalar la revisión. Por lo tanto, es importante comprobar que la desinstalación funciona. Después de desinstalar la revisión, debe comprobar que el servidor sigue funcionando según lo previsto y continuar vigilando los contadores del Registro de sucesos y del Monitor de sistema.

Creación de un plan de contingencias

Aunque la realización de pruebas se lleve a cabo totalmente sin ninguna incidencia, es posible que surja algún problema al instalar la revisión en toda la organización. Por este motivo, es necesario contar con un plan de acción para restaurar el sistema al estado en el que estaba antes de instalar la revisión. En algunos casos, esto se hace realizando una copia de seguridad instantánea de un servidor antes de la instalación, de manera que si surge algún problema sea posible restaurar el servidor muy rápidamente. Sea cual sea el plan de contingencias, debe realizar pruebas exhaustivas.

Instalación de las revisiones

Si las pruebas se llevan a cabo sin problemas, estará listo para instalar la revisión en toda la organización. Esto puede hacerse por distintos métodos, que son:

Manual

Directivas de grupo

Archivos de comandos

Nota: para obtener más información acerca de la instalación de revisiones, consulte el artículo de TechNet "Best Practices for Applying Service Packs, Hotfixes and Security Patches" (en inglés). Consulte el vínculo en el apartado "Más información", al final de este capítulo.

Manual

La instalación manual de revisiones es el método de instalación más común en la mayoría de las organizaciones. Consiste simplemente en ejecutar el archivo .exe que corresponde a la revisión en cada servidor. Si su organización tiene un gran número de servidores, es posible que esta opción no sea práctica.

El nombre de la mayoría de las revisiones proporciona información importante acerca de la reparación. Por ejemplo, un nombre típico de revisión es Q292435_W2K_SP3_x86_en.EXE. En este caso:

Q292435 es el número del artículo de Knowledge Base en el que puede obtener más información acerca de la revisión.

W2K es el producto para el que se ha diseñado (Microsoft Windows 2000)


SP3 es el Service Pack en el que se va a incluir.


x86 es la arquitectura de procesador para la que se ha diseñado.en es el idioma (inglés).

Nota: las revisiones que tienen como nombre de archivo QXXXXXX.exe y no incluyen la parte de W2K_SP3_x86 son específicas para aplicaciones como Internet Explorer.


Si incluye una secuencia de comandos en la instalación de varias revisiones, es conveniente utilizar los modificadores -q y -z para que la revisión se instale sin interfaz de usuario y no reinicie el sistema.

Normalmente, cuando se instalan varias revisiones es necesario reiniciar el equipo entre cada una. Esto se debe a que no se pueden reemplazar los archivos bloqueados o que están utilizándose, y se colocan en una cola para sustituirse al reiniciar el sistema. QChain es una herramienta que permite encadenar varias revisiones reiniciando una sola vez, en lugar de reiniciar después de cada instalación. Para utilizar QChain, ejecute el instalador de la revisión con el modificador -z para indicar al instalador que no debe reiniciar después de la instalación. Después, ejecute QChain.exe y reinicie el equipo.

Nota: QChain está disponible en TechNet. Para obtener información más detallada, consulte el apartado "Más información", al final de este capítulo.

Si se agregan otros componentes, como DNS, después de aplicar un Service Pack y revisiones, será necesario volver a aplicar el Service Pack y las revisiones para que el nuevo componente tenga todas las correcciones necesarias.

Directiva de grupo

Windows 2000 admite, de forma nativa, la distribución de software por medio de una directiva de grupo. Las revisiones no se incluyen normalmente en un paquete del instalador de Windows. Sin embargo, se puede usar el ejecutable en combinación con un archivo .zap.

Las aplicaciones que no utilizan paquetes del instalador de Windows deben utilizar un archivo .zap para describir el programa de instalación existente. Un archivo .zap es un archivo de texto (similar a los archivos .ini) que proporciona información acerca de cómo instalar un programa, las propiedades de la aplicación y los puntos de entrada que debe instalar la aplicación.

Un archivo .zap sólo se puede asignar a un usuario, lo que significa que una vez configurada la directiva de grupo para distribuir la revisión, necesitará iniciar una sesión en el equipo con la cuenta de usuario a la que se asignó el archivo .zap.

Nota: para obtener más información acerca de la creación de archivos .zap y su asignación por medio de directivas de grupo, consulte el artículo de Knowledge Base Q231747, "How to Publish non-MSI Programs with .zap Files" (en inglés).

Archivos de comandos

Es posible que desee crear sus propios archivos VBScripts o por lotes para distribuir las revisiones. Estos archivos pueden tener forma de secuencias de comando de conexión o de inicio, que comprueben el estado de la revisión actual y, a continuación, si existen actualizaciones en un servidor centralizado.

Las secuencias de comandos pueden incluir QChain para garantizar que sólo se reinicie una vez si es necesario instalar más de una revisión.

Supervisión

Después de instalar las revisiones en el entorno de producción, es necesario seguir supervisando los servidores. Asegúrese de revisar los contadores del Registro de sucesos y del Monitor de sistema para detectar cualquier problema. Si observa algún error en el equipo durante las siguientes semanas, debe realizar pruebas para asegurarse de que no está relacionado con la revisión implementada. Asimismo, si instaló una revisión sin una comprobación de laboratorio exhaustiva debido a una situación crítica, deberá comprobar posteriormente la revisión en un entorno de laboratorio para asegurarse de que no omitió nada.

Además de controlar los servidores existentes, es importante que supervise el entorno completo para asegurarse de que no se han incluido en la red nuevos servidores a los que no se hayan aplicado las revisiones actuales. La versión más reciente debe estar siempre disponible para aplicarla a los servidores nuevos y debe asegurarse de que se aplique.

Revisión

Sólo puede estar seguro de que un proceso funciona correctamente si lo revisa. Al terminar el proceso de administración de revisiones para cada revisión, debe revisarla para asegurarse de que se instaló correctamente y de que todos los procedimientos funcionan tal como estaba previsto. Esto le permitirá estar seguro de que los procesos seguirán funcionando correctamente. Al revisar el proceso de administración de revisiones, debe seguir analizando si se han producido otros cambios al entorno que puedan iniciar de nuevo el proceso de administración de revisiones.

Administración de revisiones del lado del cliente

Este capítulo trata acerca del proceso de administración de revisiones del lado del servidor, pero debe recordar que, muchas veces, los virus y otras amenazas para la seguridad de la organización obtienen acceso por el lado del cliente.

La mayoría de los elementos anteriores también se aplican a la administración del lado del cliente, pero existen algunas diferencias. En la mayoría de los casos, las diferencias no están tanto en lo que hace la revisión sino en cómo se determina en la organización qué revisiones se necesitan, cómo se realizan las pruebas y cómo se instalan.

Hay varias herramientas que ayudan específicamente con la administración de revisiones del lado del cliente.

Windows Update

Si está ejecutando una base de clientes con Windows XP, una forma sencilla de comprobar y aplicar correcciones es utilizando Windows Update. Al entrar en el sitio Web de Windows Update, se explora el equipo y se muestra una lista de todas las revisiones, tanto de seguridad como de otro tipo, que no están instaladas y se pueden descargar.

Para ejecutar Windows Update, debe ser un administrador del equipo local. Esto puede hacer que la herramienta no sea práctica en muchos entornos.

Windows Update Corporate Edition

El sitio Web de Windows Update Corporate Edition proporciona un catálogo completo de las actualizaciones que se pueden distribuir a través de una red corporativa. En la misma ubicación se encuentra el contenido de Windows Update y controladores de dispositivos con el logotipo de Microsoft Windows Hardware Quality Lab (WHQL).

Windows Update Corporate Edition permite:

Buscar las actualizaciones más recientes del software y los controladores por palabras clave, sistema operativo, tipo de actualización, tipo de componente, idioma, fecha de publicación y fabricante, con el fin de encontrar las más relevantes para su organización.


Descargar las actualizaciones necesarias de una en una o seleccionar varias para descargarlas como un paquete listo para distribuirlo en toda la red.


Utilizar el historial de descargas para revisar las actualizaciones descargadas previamente y dónde están ubicadas.


Usar el archivo Lea esto primero suministrado con cada descarga para obtener información detallada acerca de cada actualización antes de descargarla. Los archivos Lea esto primero se proporcionan con todos los paquetes de descarga y contienen vínculos a sitios Web relevantes que contienen más información.



Microsoft Baseline Security Analyzer

Esta aplicación de seguridad se puede descargar de TechNet y ayuda a garantizar que los sistemas basados en Windows 2000 y Windows XP estén seguros y actualizados. Baseline Security Analyzer explora uno o varios sistemas y devuelve un informe de problemas como: revisiones de seguridad que faltan, contraseñas débiles, configuración de seguridad de Internet Explorer y Outlook Express y configuración de protección de las macros de Office. También proporciona información acerca del problema de seguridad detectado, cómo repararlo y vínculos con información adicional acerca del problema.

Otras herramientas

Si sigue las recomendaciones incluidas hasta aquí en este capítulo, habrá recorrido la mayor parte del camino necesario para administrar eficazmente las revisiones en su organización. Sin embargo, aún hay varias herramientas más que puede utilizar para automatizar el proceso de administración de revisiones.

SMS

Si tiene Microsoft Systems Management Server (SMS) instalado en su organización, puede usarlo como ayuda en muchas de las fases descritas anteriormente.

El Kit de herramientas del programa de seguridad de Microsoft contiene una herramienta de importación de SMS que puede utilizarse para automatizar la distribución y la instalación de las correcciones de seguridad de IIS recomendadas. SMS puede ayudarle a determinar qué equipos necesitan las correcciones de seguridad y a instalarlas.

Las funciones de instalación de software de SMS se pueden utilizar para distribuir revisiones en su entorno a todos los equipos que tengan el cliente SMS. Si crea un paquete de software para la revisión, puede llevar a cabo la actualización de todos los equipos del entorno o de un grupo determinado. Una de las ventajas principales es que puede controlar qué equipos tienen la revisión instalada. Sin embargo, en la mayoría de los casos necesitará un administrador de SMS o una persona que sepa crear paquetes SMS para distribuirlos correctamente.

Herramientas de otros fabricantes

Hay varias herramientas de otros fabricantes disponibles que ayudan a la administración de revisiones. Estas herramientas ofrecen algunas funciones que aún no están disponibles en las herramientas gratuitas de Microsoft, como la posibilidad de implementar correcciones y recibir un informe del estado final, crear grupos de equipos con necesidades de actualización similares, compatibilidad con productos que las herramientas antes descritas no contemplan, y áreas de comandos en la interfaz gráfica de usuario (GUI) para las tareas administrativas. Debe evaluar estas funciones y determinar si son necesarias en su entorno.

Utilidad Polaris Group Hotfix/Service Pack

Esta herramienta tiene una GUI fácil de usar, es compatible con todos los productos Microsoft y puede automatizar el proceso de implementación de Service Packs y revisiones para que todos los equipos funcionen de acuerdo con el estándar corporativo especificado.

http://www.polarisgroup.com/solutions (sitio Web en inglés)

Shavlik Hfnetchkpro

Creado a partir de la tecnología Hfnetchk. Tiene una GUI y permite mantener un historial de exploraciones que no está disponible en la versión de la línea de comandos.

http://www.shavlik.com/nshc.htm (sitio Web en inglés)

Bindview Security Advisor

La herramienta Bindview tiene una GUI que simplifica el proceso de comprobar si hay equipos que no cumplen los requisitos. También tiene un servicio de actualización que le informa cuando aparecen nuevas revisiones.

http://www.bindview.com/Solutions/Security/SecAdvisor_bvCtrlW2k.cfm (sitio Web en inglés)

Pedestal Software’s Security Expressions

Esta herramienta permite a los administradores aplicar directivas de bloqueo de seguridad en equipos con Windows y UNIX. También puede comprobar si se han aplicado revisiones y, en caso necesario, descargarlas e instalarlas.

http://www.pedestalsoftware.com/secexp/index.htm (sitio Web en inglés)

Resumen

La mayoría de los problemas de seguridad en TI se deben al uso de sistemas que no están plenamente actualizados con las revisiones de seguridad más recientes. Para minimizar los riesgos de seguridad, es esencial contar con una buena administración de revisiones. Si se toma en serio la administración de revisiones, puede reducir notablemente los costos asociados con los problemas de seguridad.

Más información

Más información acerca de Hfnetchk:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q303215 (en inglés)

Para descargar Hfnetchk:

http://www.microsoft.com/downloads/release.asp?releaseid=31154 (en inglés)

Descarga de mssecure.cab:

http://download.microsoft.com/download/xml/security/1.0/nt5/en-us/mssecure.cab (en inglés)

Para obtener más información acerca de cómo crear un archivo .zap para utilizarlo con una directiva de grupo, consulte:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q231747 (en inglés)

o bien

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnexnt00/html/ewn0085.asp (en inglés)

Información y descarga de Qfecheck.exe:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q282784 (en inglés)

Información acerca de Hotfix.exe:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q184305 (en inglés)

Información acerca de Qchain y descarga del archivo ejecutable:

http://support.microsoft.com/default.aspx?scid=kb;EN-US;q296861 (en inglés)

Información acerca del sistema de calificación de la seguridad de Microsoft:

http://www.microsoft.com/technet/security/policy/rating.asp

(en inglés)

Para recibir periódicamente los boletines de seguridad de Microsoft:

http://www.microsoft.com/technet/security/current.asp

(en inglés)

Kit de herramientas del programa de seguridad de Microsoft

http://www.microsoft.com/technet/security/tools/stkintro.asp

(en inglés)

Microsoft Operations Framework (MOF):

http://www.microsoft.com/business/services/mcsmof.asp

(en inglés)

Mejores prácticas para aplicar Service Packs, revisiones y revisiones de seguridad:

http://www.microsoft.com/technet/security/bestprac/bpsp.asp

(en inglés)




Otras noticias de interés:

Vulnerabilidad de Cross-Site Scripting en Internet Explorer
Las versiones 5.5 y 6.0 de Microsoft Internet Explorer son vulnerables a cross-site scripting, debido a una vulnerabilidad que se produce cuando hay un error durante el parseo de una petición URL de un fichero XML. Si Microsoft XML (MSXML) es inca...
Google crakea claves en formato MD5
El autor de un blog dedicado a la seguridad informática ha descubierto una faceta desconocida del buscador de Google: el descifrado de contraseñas MD5, una característica peligrosa para aquellos que confíen en este sistema....
Primeros pasos para la implantación de IPv6
Finalmente, el uso de IPv6 empieza a dar sus primeros y tímidos pasos hacia el gran público, después que seis de los trece servidores de nombres raíz hayan añadido soporte para registros AAAA, que son los que usan IPv6....
Vulnerabilidades y actualización para FTGatePro
Según se ha publicado en http://www.infowarfare.dk/Advisories/iw-16-advisory.txt, se encuentra disponible una nueva actualización de FTGate Pro que viene a corregir dos vulnerabilidades por desbordamiento de buffer en el servidor de correo....
Entrevista con los creadores de Mpack: Somos como los fabricantes de munición
SecurityFocus publica una interesante entrevista con uno de los creadores de Mpack. Mpack es una infraestructura PHP creada para automatizar y centralizar ataques web. Genera exploits que, alojados en servidores web comprometidos, infecta a qui...
Red Hat abre el código de su tecnología de seguridad
Red Hat ha abierto el código de su sistema de seguridad y gestión de identidades. Con anterioridad, la compañía ha defendido en repetidas ocasiones que el software open source ofrece la infraestructura más segura....
Descubierto el primer Botnet de servidores web Linux
Un investigador ruso descubrió un clúster de servidores Linux infectados y convertidos en un botnet para distribuir malware a navegantes desprevenidos usando Windows. Se trataría del primer botnet de servidores web conectados con un centro de cont...
Google Desktop 2 ya está disponible en castellano
Ya está disponible en castellano Google Desktop 2, la herramienta de búsqueda en el escritorio de Google. La principal novedad de la aplicación dispone es una barra lateral, denominada Sidebar, que proporciona acceso personalizado a noticias, corr...
WhatsApp con vulnerabilidad
Cada día son más y más móviles los que están conectados entre sí con WhatsApp. Debido a su compatibilidad con diferentes sistemas operativos, se ha erigido como una competencia bastante fuerte frente a BlackBerry Messenger, aún líder en ese s...
Análisis de riesgos
Resumen a mostrar Se dice que el sentido común es el menos común de los sentidos. Acudo a esta frase porque también se dice que se debe usar el análisis de riesgos para una gran variedad de situaciones y esto, infortunadamente es también poco co...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • guia
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • operaciones
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra