PDF de programación - 851A Implementacin ENS Windows Server 2008 R2

SIN CLASIFICAR



GUÍA DE SEGURIDAD DE LAS TIC

(CCN-STIC-851A)

IMPLEMENTACIÓN DEL ESQUEMA

NACIONAL DE SEGURIDAD EN WINDOWS

SERVER 2008 R2 INSTALACIÓN

COMPLETA, CONTROLADOR DE DOMINIO

O MIEMBRO

(NO CORE, NO INDEPENDIENTE)



AGOSTO 2014

SIN CLASIFICAR

CCN-STIC-851A v1.0 Implementación del ENS en Windows Server 2008 R2

SIN CLASIFICAR



Edita:

 Centro Criptológico Nacional, 2014



NIPO: 002-14-037-8

Fecha de Edición: agosto de 2014

Sidertia Solutions S.L. ha participado en la elaboración y modificación del presente documento y sus anexos.

LIMITACIÓN DE RESPONSABILIDAD
El presente documento se proporciona de acuerdo con los términos en él recogidos, rechazando expresamente
cualquier tipo de garantía implícita que se pueda encontrar relacionada. En ningún caso, el Centro Criptológico
Nacional puede ser considerado responsable del daño directo, indirecto, fortuito o extraordinario derivado de la
utilización de la información y software que se indican incluso cuando se advierta de tal posibilidad.

AVISO LEGAL
Quedan rigurosamente prohibidas, sin la autorización escrita del Centro Criptológico Nacional, bajo las sanciones
establecidas en las leyes, la reproducción parcial o total de este documento por cualquier medio o procedimiento,
comprendidos la reprografía y el tratamiento informático, y la distribución de ejemplares del mismo mediante alquiler
o préstamo públicos.

Centro Criptológico Nacional

i

SIN CLASIFICAR

CCN-STIC-851A v1.0 Implementación del ENS en Windows Server 2008 R2

SIN CLASIFICAR

PRÓLOGO



Entre los elementos más característicos del actual escenario nacional e internacional figura el
desarrollo alcanzado por las Tecnologías de la Información y las Comunicaciones (TIC), así como
los riesgos emergentes asociados a su utilización. La Administración no es ajena a este escenario,
y el desarrollo, adquisición, conservación y utilización segura de las TIC por parte de la
Administración es necesario para garantizar su funcionamiento eficaz al servicio del ciudadano y
de los intereses nacionales.

Partiendo del conocimiento y la experiencia del Centro sobre amenazas y vulnerabilidades en
materia de riesgos emergentes, la Ley 11/2002, de 6 de mayo, reguladora del Centro Nacional de
Inteligencia, encomienda al Centro Nacional de Inteligencia el ejercicio de las funciones relativas
a la seguridad de las tecnologías de la información en su artículo 4.e), y de protección de la
información clasificada en su artículo 4.f), a la vez que confiere a su Secretario de Estado Director
la responsabilidad de dirigir el Centro Criptológico Nacional en su artículo 9.2.f).

Una de las funciones más destacables que, asigna al mismo, el Real Decreto 421/2004, de 12 de
marzo, por el que se regula el Centro Criptológico Nacional es la de elaborar y difundir normas,
instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las
tecnologías de la información y las comunicaciones de la Administración.

La ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los servicios públicos,
en su artículo 42.2 crea del Esquema Nacional de Seguridad (ENS), que establece las condiciones
necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar
la seguridad de los sistemas, los datos, las comunicaciones, y los servicios electrónicos.

El Real Decreto 3/2010 de 8 de Enero desarrolla el Esquema Nacional de Seguridad y fija los
principios básicos y requisitos mínimos así como las medidas de protección a implantar en los
sistemas de la Administración. En su artículo 29 se autoriza que a través de la series CCN-STIC
el CCN desarrolle lo establecido en el mismo.

La serie de documentos CCN-STIC se ha elaborado para dar cumplimiento a esta función y a lo
reflejado en el ENS, conscientes de la importancia que tiene el establecimiento de un marco de
referencia en esta materia que sirva de apoyo para que el personal de la Administración lleve a
cabo su difícil, y en ocasiones, ingrata tarea de proporcionar seguridad a los sistemas de las TIC
bajo su responsabilidad.

Agosto 2014



Félix Sanz Roldán
Secretario de Estado

Director del Centro Criptológico Nacional



Centro Criptológico Nacional

ii

SIN CLASIFICAR

CCN-STIC-851A v1.0 Implementación del ENS en Windows Server 2008 R2

SIN CLASIFICAR

ÍNDICE

1. INTRODUCCIÓN ....................................................................................................................................6
2. OBJETO ....................................................................................................................................................6
3. ALCANCE .................................................................................................................................................6
4. DESCRIPCIÓN DEL USO DE ESTA GUÍA .........................................................................................7
4.1 AVISOS IMPORTANTES A LOS USUARIOS DE ESTA GUÍA ......................................................7
5. INTRODUCCIÓN AL ESQUEMA NACIONAL DE SEGURIDAD ..................................................9
5.1 DIMENSIONES DE SEGURIDAD ....................................................................................................10
5.1.1 DISPONIBILIDAD ........................................................................................................................12
5.1.2 AUTENTICIDAD ..........................................................................................................................12
5.1.3 INTEGRIDAD ...............................................................................................................................13
5.1.4 CONFIDENCIALIDAD .................................................................................................................13
5.1.5 TRAZABILIDAD ..........................................................................................................................14
5.2 NIVELES DE DIMENSIONES DE SEGURIDAD ............................................................................14
6. LAS MEDIDAS DE SEGURIDAD .......................................................................................................18
6.1 MARCO ORGANIZATIVO ...............................................................................................................18
6.2 MARCO OPERACIONAL .................................................................................................................20
6.3 MEDIDAS DE PROTECCIÓN ...........................................................................................................21
6.4 RELACIÓN ENTRE LAS DIMENSIONES DE SEGURIDAD, LA NATURALEZA DE LAS
MEDIDAS Y LOS NIVELES .............................................................................................................23
7. APLICACIÓN DE MEDIDAS EN WINDOWS SERVER 2008 R2 ..................................................24
7.1 MARCO OPERACIONAL .................................................................................................................25
7.1.1 CONTROL DE ACCESO ..............................................................................................................25
7.1.1.1 OP. ACC. 1. IDENTIFICACIÓN ...................................................................................................25
7.1.1.2 OP. ACC. 2. REQUISITOS DE ACCESO ....................................................................................26
7.1.1.3 OP. ACC. 3. SEGREGACIÓN DE FUNCIONES Y TAREAS.....................................................26
7.1.1.4 OP. ACC. 4. PROCESO DE GESTIÓN DE DERECHOS DE ACCESO .....................................27
7.1.1.5 OP. ACC. 5. MECANISMOS DE AUTENTICACIÓN ................................................................28
7.1.1.6 OP. ACC. 6. ACCESO LOCAL .....................................................................................................29
7.1.1.7 OP. ACC. 7. ACCESO REMOTO .................................................................................................29
7.1.2 EXPLOTACIÓN ............................................................................................................................30
7.1.2.1 OP. EXP. 2. CONFIGURACIÓN DE SEGURIDAD ....................................................................30
7.1.2.2 OP. EXP. 4. MANTENIMIENTO..................................................................................................30
7.1.2.3 OP. EXP. 8. REGISTRO DE ACTIVIDAD DE LOS USUARIOS ...............................................31
7.1.2.4 OP. EXP. 10. PROTECCIÓN DE LOS REGISTROS DE ACTIVIDAD .....................................31
7.2 MEDIDAS DE SEGURIDAD .............................................................................................................32
7.2.1 PROTECCIÓN DE LOS EQUIPOS ..............................................................................................32
7.2.1.1 MP. EQ. 2. BLOQUEO DE PUESTO DE TRABAJO .......................................