El portal de archivos de Mirage se ejecuta en Windows Server 2008 o posterior. Este host se debe proteger de las vulnerabilidades habituales de los sistemas operativos.
Use filtros de spyware, sistemas de detección de intrusiones y otras medidas de seguridad dictadas por sus directivas empresariales.
Asegúrese de que todas las medidas de seguridad estén actualizadas, incluidos los parches de sistema operativo.
Tabla 1.
Configuración de protección del código MFP01
Elemento de configuración |
Descripción |
Código |
MFP01 |
Nombre |
Mantiene correctamente instalados los parches del portal de archivos de Mirage. |
Descripción |
Mantener actualizados los parches de sistema operativo permite reducir las vulnerabilidades del sistema operativo. |
Riesgo o control |
Si un atacante obtiene acceso al sistema y vuelve a asignar privilegios en el portal de archivos de Mirage, el atacante podrá obtener acceso a todos los archivos que se transfieran a través del portal de archivos de Mirage. |
Nivel recomendado |
Empresa |
Condición o pasos |
Emplea un sistema para mantener el portal de archivos de Mirage actualizado con parches, de acuerdo con las directrices estándar del sector o las directrices internas donde corresponda. |
Tabla 2.
Configuración de protección del código MFP02
Elemento de configuración |
Descripción |
Código |
MFP02 |
Nombre |
Proporciona protección de sistema operativo en el host del portal de archivos de Mirage. |
Descripción |
Al proporcionar protección en el nivel del sistema operativo, se reducen las vulnerabilidades del sistema operativo. Esta protección incluye medidas antimalware, antivirus y otras similares. |
Riesgo o control |
Si un atacante obtiene acceso al sistema y vuelve a asignar privilegios en el portal de archivos de Mirage, el atacante podrá obtener acceso a todos los archivos que se transfieran a través del portal de archivos de Mirage. |
Nivel recomendado |
Empresa |
Condición o pasos |
Proporciona protección de sistema operativo, como antivirus, de acuerdo con las directrices estándar del sector o las directrices internas donde corresponda. |
Tabla 3.
Configuración de protección del código MFP03
Elemento de configuración |
Descripción |
Código |
MFP03 |
Nombre |
Restringe el inicio de sesión de usuarios con privilegios. |
Descripción |
Debe reducirse al mínimo el número de usuarios con privilegios que tienen permisos para iniciar sesión en el portal de archivos de Mirage como administradores. |
Riesgo o control |
Si un usuario con privilegios no autorizado obtiene acceso al portal de archivos de Mirage, el sistema será vulnerable a cambios no autorizados. |
Nivel recomendado |
Empresa |
Condición o pasos |
Cree cuentas de inicio de sesión con privilegios específicos para individuales. Estas cuentas deben formar parte del grupo local de administradores. |
Tabla 4.
Configuración de protección del código MFP04
Elemento de configuración |
Descripción |
Código |
MFP04 |
Nombre |
Implementa una directiva de contraseña de administración. |
Descripción |
Configura una directiva de contraseña para todo el portal de archivos de Mirage. La contraseña debe incluir ciertos parámetros:
- Una longitud de contraseña mínima
- Requerir tipos de caracteres especiales
- Requerir un cambio periódico de la contraseña
|
Riesgo o control |
Si un usuario con privilegios no autorizado obtiene acceso al portal de archivos de Mirage, el sistema será vulnerable a cambios no autorizados. |
Nivel recomendado |
Empresa |
Condición o pasos |
Configura una directiva de contraseña para el portal de archivos de Mirage. |
Tabla 5.
Configuración de protección del código MFP05
Elemento de configuración |
Descripción |
Código |
MFP05 |
Nombre |
Elimina los protocolos de red que no son necesarios. |
Descripción |
El portal de archivos de Mirage solo usa el protocolo IPv4 de comunicaciones. Debe eliminar otros servicios, como el uso compartido de archivos e impresoras, NFS, el servidor Samba, Novell IPX, etc. |
Riesgo o control |
Si se habilitan protocolos que no son necesarios, el portal de archivos de Mirage es más vulnerable a ataques de red. |
Nivel recomendado |
Empresa |
Condición o pasos |
En el panel de control o en la herramienta administrativa del sistema operativo del portal de archivos de Mirage, elimine o desinstale los protocolos que no sean necesarios. |
Tabla 6.
Configuración de protección del código MFP06
Elemento de configuración |
Descripción |
Código |
MFP06 |
Nombre |
Deshabilita los servicios que no son necesarios. |
Descripción |
El portal de archivos de Mirage requiere un número mínimo de servicios para el sistema operativo. Al deshabilitar los servicios que no son necesarios se mejora la seguridad. De esta forma se evita que los servicios se inicien automáticamente en el momento del arranque. |
Riesgo o control |
Si se ejecutan servicios que no son necesarios, el portal de archivos de Mirage es más vulnerable a ataques de red. |
Nivel recomendado |
Empresa |
Condición o pasos |
Compruebe que no haya ninguna función de servidor habilitada. Deshabilite los servicios que no sean necesarios. Existen varios servicios de Windows en Server 2008 que se inician de forma predeterminada y que no son necesarios. Se recomienda deshabilitarlos.
- Experiencia con aplicaciones
- Administración de aplicaciones
- Propagación de certificados
- Sistema de eventos COM+
- Cliente DHCP
- Cliente de seguimiento de vínculos distribuidos
- Coordinador de transacciones distribuidas
- Servicio de directivas de diagnóstico
- Agente de directiva IPsec
- Administrador de trabajos de impresión
- Servicio de notificación de eventos de sistema
|
El portal de archivos de Mirage se implementa normalmente en una red perimetral o DMZ (Demilitarized Zone), o en un centro de datos interno para controlar los datos de usuario y el acceso al navegador en una red potencialmente hostil, como Internet. En una red perimetral o centro de datos interno es importante usar un cortafuegos para controlar el acceso del protocolo de red.
Tabla 7.
Configuración de protección del código MFP07
Elemento de configuración |
Descripción |
Código |
MFP07 |
Nombre |
Usa un cortafuegos externo en la red perimetral (DMZ, Demilitarized Zone) para controlar el acceso a la red. |
Descripción |
El portal de archivos de Mirage se implementa normalmente en una red perimetral o DMZ. Debe controlar qué puertos de red y protocolos se permiten para restringir la comunicación con el portal de archivos de Mirage al mínimo requerido. El portal de archivos de Mirage envía automáticamente solicitudes a los servidores de administración de Mirage del centro de datos y garantiza que todo el tráfico reenviado proceda de usuarios autenticados. |
Riesgo o control |
Permitir el uso de puertos y protocolos que no sean necesarios puede aumentar la posibilidad de un ataque por parte de un usuario malintencionado, especialmente en el caso de protocolos y puertos para la comunicación de red con Internet. |
Nivel recomendado |
Configure un cortafuegos a ambos lados del portal de archivos de Mirage para restringir los protocolos y puertos de red al conjunto mínimo requerido entre los navegadores y el almacenamiento de datos de Mirage. Debe implementar el portal de archivos de Mirage en una red aislada para limitar el alcance de la transmisión de tramas. Esta configuración puede contribuir a evitar que un usuario malintencionado en la red interna supervise la comunicación entre el portal de archivos de Mirage y el servidor de administración de Mirage. Se recomienda que use funciones de seguridad avanzadas en su switch de red para impedir la supervisión malintencionada de las comunicaciones de la puerta de enlace de Mirage con los servidores Miragey protegerse contra ataques de supervisión, como el envenenamiento de caché ARP. |
Configuración de objetos o parámetros |
Para obtener más información sobre las reglas de cortafuegos requeridas para la implementación de una red perimetral o DMZ, consulte la Guía de instalación de VMware Mirage. |
Tabla 8.
Configuración de protección del código MFP08
Elemento de configuración |
Descripción |
Código |
MFP08 |
Nombre |
No use los certificados de servidor autofirmados predeterminados en el portal de archivos de Mirage. |
Descripción |
Al instalar por primera vez el portal de archivos de Mirage, el servidor HTTPS no puede funcionar hasta que no se preparen certificados firmados. El portal de archivos de Mirage y el servidor HTTPS requieren certificados de servidor SSL firmados por una entidad de certificación comercial (CA, Certificate Authority) o de la organización. |
Riesgo o control |
El uso de certificados autofirmados hace que la conexión SSL/TSL sea más vulnerable a ataques de tipo "man-in-the-middle". Solicitar certificados a una entidad emisora de confianza reduce el potencial de estos ataques. |
Nivel recomendado |
Empresa |
Condición o pasos |
Para obtener más información sobre la configuración de los certificados del portal de archivos de Mirage, consulte la Guía de instalación de VMware Mirage. |
Prueba |
Use una herramienta de examen de las vulnerabilidades para conectarse al portal de archivos de Mirage. Compruebe que esté firmada por la entidad de certificación correspondiente. |