BIGDA FIRMES

El propósito principal de las configuraciones propuestas para Windows Server en el entorno ENS es…. habilitar dinámicamente servicios para cubrir usos emergentes sin control. reducir la superficie de ataque con perfiles restrictivos y coherentes. asegurar compatibilidad amplia aceptando valores por defecto del fabricante. aumentar el rendimiento priorizando servicios no críticos del sistema.

Una ventaja clave de “Máquinas virtuales blindadas” en Windows Server 2016 es que…. eliminan la necesidad de controladores de dominio y de directorio activo. reemplazan el hipervisor para impedir cualquier acceso administrativo. permiten cifrar la VM con BitLocker y ejecutarla solo en hosts confiables. fuerzan autenticación multifactor de los usuarios locales de cada VM.

El Virtual Secure Mode (VSM) contribuye a la seguridad porque…. crea regiones de memoria aisladas para proteger credenciales y procesos. sustituye el arranque seguro por listas blancas de aplicaciones. deshabilita servicios de red para impedir comunicaciones laterales. cifra todo el almacenamiento con claves derivadas por software únicamente.

En Windows Server 2022, un “secured-core server” se apoya principalmente en…. listas de control de acceso basadas en reputación de aplicaciones. capacidades integradas de hardware, firmware y SO para defensa reforzada. cifrado de disco completo gestionado desde el servicio DNS integrado. túneles IPSec por defecto entre todos los roles para segmentación total.

La función “hardware root-of-trust” con TPM 2.0 aporta…. cifrado de tráfico SMB con claves efímeras de sesión TLS 1.3. almacenamiento seguro de claves y medición del arranque del sistema. aislamiento de procesos de usuario en contenedores por defecto. eliminación de contraseñas de BIOS mediante autenticación biométrica.

La “Firmware protection” en el enfoque secured-core ayuda a mitigar…. divulgación de eventos por tamaños de log insuficientes en producción. ataques que apuntan a componentes de firmware y DMA en equipos críticos. errores de configuración de GPO en unidades organizativas anidadas. exfiltración de datos vía servicios de impresión compartidos en red.

La “Virtualization-based security (VBS)” y HVCI protegen especialmente contra…. saturación de puertos mediante inundación SYN en segmentos públicos. explotación de vulnerabilidades del kernel y minería maliciosa con aislamiento. errores de resolución DNS por zonas sin firmas DNSSEC. elevación de privilegios vía contraseñas por defecto en servicios heredados.

En Active Directory, diseñar OUs por nivel de Dominio, Referencia y Rol permite…. fusionar controladores de dominio con servidores de aplicaciones. aplicar políticas comunes y especificar requisitos por servidor y función. deshabilitar el GPO predeterminado para simplificar el mantenimiento. delegar siempre la administración a usuarios finales para agilidad.

La política de contraseñas del dominio debe complementarse porque…. la reutilización periódica refuerza la memoria y mejora la seguridad. cumplir complejidad no evita contraseñas predecibles por malos hábitos. el uso de solo caracteres ASCII simplifica auditorías de cumplimiento. los requisitos técnicos garantizan por sí mismos resistencia al phishing.

La directiva de bloqueo de cuentas incrementa seguridad, pero puede…. deshabilitar la cuenta de administrador de forma predeterminada. facilitar ataques de denegación de servicio por bloqueos masivos. eliminar la necesidad de auditoría de inicios de sesión fallidos. impedir cualquier intento de autenticación desde redes remotas.

Reducir la validez de los tickets Kerberos contribuye a…. permitir inicios de sesión offline sin caché de credenciales. desactivar la delegación de servicios en todo el bosque. disminuir la ventana de suplantación si se compromete una credencial. evitar totalmente la necesidad de sincronización de tiempo.

En “Opciones de seguridad”, deshabilitar la traducción anónima SID/nombre previene que…. se generen tickets Kerberos con validez indefinida en el dominio. un atacante obtenga el nombre del administrador a partir de un SID conocido. las auditorías registren detalles que exceden el tamaño del log. las cuentas de servicio se autoconfiguren con privilegios innecesarios.

La política de auditoría de seguridad es fundamental para…. sustituir la revisión de GPO por reglas automáticas de firewall. monitorizar accesos, cambios y eventos relevantes en equipos y dominio. desactivar todos los logs a fin de proteger la confidencialidad de usuarios. evitar la necesidad de roles diferenciados en OUs específicas.

Una recomendación para servidores miembro y DC es…. aislar físicamente y no combinar la función de DC con servicios no necesarios. centralizar todos los registros del sistema en el servidor DNS principal. habilitar por defecto IIS y DHCP para disponibilidad de servicios web y red. mantener todos los servicios instalados aunque estén sin uso.

En “Servicios del sistema”, la línea base propone…. eliminar el uso de PowerShell para administración de servicios. mover servicios críticos al contexto de usuario estándar por defecto. deshabilitar servicios no requeridos y evaluar impacto antes de habilitarlos. permitir que los roles instalen cualquier característica de forma dinámica.

Respecto al firewall de Windows con seguridad avanzada, para cada perfil se sugiere…. aplicar reglas solo a IPv4 dejando IPv6 abierto para compatibilidad. bloquear entrantes no coincidentes y permitir salientes no coincidentes. desactivar el perfil de dominio cuando hay múltiples NIC activas. permitir entrantes y bloquear salientes por defecto en redes públicas.

Un ejemplo de regla entrante adecuada es…. abrir SMB hacia Internet para facilitar administración remota. permitir UDP 53 al servidor cuando actúa como servicio DNS autorizado. permitir RDP desde cualquier origen sin restricciones por disponibilidad. aceptar ICMP eco entrante continuo para pruebas de latencia.

Sobre cuentas de servicio, una práctica más segura es…. almacenar contraseñas en scripts locales para ejecución desatendida. usar cuentas administradas y evitar dominios salvo necesidad imprescindible. compartir una misma cuenta entre varios servidores por simplicidad. configurar servicios críticos con cuentas de administrador del dominio.

El Security Compliance Toolkit y Policy Analyzer ayudan a…. cifrar discos del servidor mediante perfiles de cumplimiento por rol. comparar, analizar y ajustar líneas base GPO para coherencia y gaps. crear usuarios del dominio de forma automatizada desde plantillas CSV. sustituir completamente las auditorías de eventos del sistema operativo.

La herramienta CLARA (CCN) se emplea para…. calibrar el rendimiento del hipervisor en controladores de dominio. administrar copias de seguridad de objetos de Grupo de Directiva. verificar cumplimiento ENS comparando con plantillas CCN-STIC aplicables. sustituir el directorio activo en entornos con múltiples bosques.

Las configuraciones de este tema asumen un entorno limpio y buscan ser lo más restrictivas posible. Verdadero. Falso.

En Windows Server 2019 destaca ATP de Defender, con sensores a nivel de kernel y memoria. Verdadero. Falso.

TLS 1.3 y HTTPS vienen deshabilitados por defecto en Windows Server 2022. Verdadero. Falso.

La cuenta de administrador del dominio está protegida por la política de bloqueo de cuentas. Verdadero. Falso.

La estructura de OUs facilita aplicar GPO de referencia y por rol de servidor de forma acumulativa. Verdadero. Falso.

Reducir la validez de tickets Kerberos puede disminuir el riesgo de suplantación de sesiones. Verdadero. Falso.

Es recomendable permitir reglas de firewall innecesarias para no interrumpir servicios potenciales. Verdadero. Falso.

Los registros de eventos deben dimensionarse y gestionarse como parte de la línea base de seguridad. Verdadero. Falso.

Las cuentas de servicio deben ejecutarse preferentemente con credenciales de administrador del dominio. Verdadero. Falso.

Policy Analyzer permite identificar configuraciones redundantes o en conflicto entre varios GPO. Verdadero. Falso.

En Windows Server 2022, las medidas que fortalecen el canal seguro incluyen…. exponer SMB sin cifrado para asegurar compatibilidad con clientes antiguos. VBS e integridad de código basada en hipervisor (HVCI). hardware root-of-trust con TPM 2.0. deshabilitar el arranque seguro UEFI en controladores de dominio.

En el diseño de Active Directory, son objetivos clave de las OUs y GPO…. aplicar políticas acumulativas por referencia y por rol. centralizar todos los servicios en el mismo servidor por simplicidad. coherencia de configuración estándar en servidores y equipos. evitar plantillas incrementales para reducir complejidad de seguridad.

Para robustecer la política de contraseñas se recomienda…. permitir reciclaje inmediato de contraseñas para reducir soporte. usar mayúsculas, minúsculas, números, símbolos y espacios cuando sea posible. combinar complejidad con pautas de uso que eviten patrones previsibles. aceptar palabras de diccionario porque cumplen longitud mínima.

Buenas prácticas del firewall de Windows con seguridad avanzada son…. importar políticas .wfw recomendadas y ajustarlas por rol. abrir puertos de administración desde cualquier origen por conveniencia. revisar y deshabilitar reglas predeterminadas innecesarias. permitir cualquier tráfico IPv6 por no estar contemplado en GPO.

Herramientas y guías útiles en la línea base de Windows Server incluyen…. sustituir auditoría por escaneos periódicos sin correlación de eventos. plantillas CCN-STIC 570A/599A aplicadas a OUs correspondientes. Security Compliance Toolkit (SCT) y Policy Analyzer de Microsoft. clientes Windows 10 con roles de DC para simplificar dependencias.

Un objetivo central del SSDLC es…. delegar la seguridad exclusivamente al equipo de operaciones. integrar actividades de seguridad en todas las fases del ciclo de desarrollo. ejecutar pruebas de seguridad únicamente tras el despliegue en producción. posponer requisitos de seguridad hasta cerrar el alcance funcional.

La derivación de requisitos de seguridad debe basarse en…. disponibilidad de librerías según el lenguaje elegido. modelado de amenazas, casos de abuso y análisis de riesgos. decisiones de UX tomadas durante prototipado visual. métricas de rendimiento y tiempos de respuesta de la aplicación.

Una práctica eficaz previa a producción es…. pruebas basadas en riesgo y test de penetración con caja negra y blanca. aceptar vulnerabilidades menores si el usuario no las percibe. limitar el análisis a revisiones de interfaz y estilos. desactivar registros para no afectar al rendimiento de la app.

En una arquitectura clásica de tres capas, la lógica de negocio reside típicamente en…. el servidor web sirviendo solo contenido HTML plano. el servidor de aplicaciones junto con la presentación. la base de datos con triggers exclusivamente. el navegador del cliente con plantillas estáticas.

El modelo AJAX introduce…. cifrado punto a punto entre navegador y base de datos sin servidor intermedio. un motor en cliente que gestiona intercambio asíncrono sin bloquear la interfaz. reemplazo del protocolo HTTP por sockets binarios persistentes. renderizado solo en servidor para minimizar JavaScript en el cliente.

Un riesgo señalado del enfoque AJAX es que…. añade superficie en cliente que puede introducir nuevas vulnerabilidades. impide el versionado de API y la validación de entrada. fuerza el uso exclusivo de XML en vez de JSON. elimina la necesidad de controles de acceso en servidor.

En el patrón MVC, el “Modelo” se encarga principalmente de…. interceptar peticiones de red y cifrar cookies. gestionar datos y acceso a repositorios asociados a la aplicación. aplicar estilos CSS y componentes de interfaz. decidir el ruteo de peticiones y renderizar vistas HTML.

La “Vista” debe considerar, desde seguridad, que…. no afecta a la seguridad al no ejecutar lógica de negocio alguna. puede filtrar o exponer datos, por lo que conviene validar y sanear salidas. encripta automáticamente formularios con algoritmos del DOM. sustituye la autenticación de servidor por validaciones del navegador.

Un consejo común al implementar autenticación en frameworks es…. usar mecanismos del propio framework para evitar errores frecuentes. enviar credenciales por GET para permitir cacheo eficiente. depender de cabeceras Referer como factor de confianza. implementar siempre Basic HTTP para compatibilidad universal.

Sobre el protocolo HTTP, un principio de seguridad es que…. HEAD modifica recursos y requiere autenticación fuerte. GET no debería causar efectos y no debe transportar datos sensibles. TRACE cifra cabeceras para depuración segura de sesiones. PUT es más inseguro que POST porque no admite codificación MIME.

Un riesgo de usar GET con parámetros sensibles es que…. requieren certificados de cliente para ser aceptados. quedan en URL y pueden almacenarse en logs, cachés e historiales. bloquean el control de caché de navegadores modernos. impiden la compresión de respuestas en proxies intermedios.

La vulnerabilidad Cross-Site Tracing (XST) se relaciona con…. el método CONNECT que evita túneles hacia servicios internos. el método TRACE que refleja cabeceras en el cuerpo de respuesta. el método OPTIONS que desactiva CORS de manera global. el método HEAD que omite cabeceras de autenticación.

La técnica para mitigar CSRF en formularios incluye…. token aleatorio verificado por el servidor en cada petición sensible. almacenar la contraseña de usuario en campos ocultos del formulario. usar GET para operaciones de creación por ser idempotente. depender del Referer como única evidencia de origen.

En HTTP Response Splitting, el atacante intenta…. abrir un túnel TLS sin verificación de certificados del servidor. inyectar secuencias CRLF para forzar respuestas múltiples manipuladas. cambiar el método a CONNECT para eludir controles de servidor. sustituir el cuerpo por código SQL ejecutado en base de datos.

Un beneficio de separar capas en la arquitectura web es…. escalabilidad y seguridad al distribuir responsabilidades y controles. evitar autenticación centralizada por cada servicio. menor complejidad al poner toda la aplicación en un solo proceso. prescindir de validación de entrada en la capa de presentación.

Dentro de los “Seven Touchpoints” de McGraw, destacan…. firma digital de logs como reemplazo de control de acceso. revisión de código, análisis de riesgo arquitectónico y pruebas de penetración. únicamente cifrado de datos en reposo con claves simétricas. auditoría de interfaz gráfica con heurísticas de usabilidad.