Planificacion de seguridad

Transcripción

Microsoft Dynamics™ GP
Planificación de seguridad
Copyright
Copyright © 2007 Microsoft Corporation. Todos los derechos reservados.
El cumplimiento de todas las leyes de copyright correspondientes es responsabilidad del usuario.
Sin limitación de los derechos protegidos por copyright, ninguna parte del presente documento
puede reproducirse, almacenarse ni introducirse en un sistema de recuperación, ni transmitirse
de ninguna forma o en ningún medio (electrónico, mecánico, mediante fotocopia o grabación,
etc.), ni con ningún propósito, sin la autorización expresa y por escrito de Microsoft Corporation.
No obstante lo expresado anteriormente, el licenciatario del software que se proporcionó con
este documento podrá realizar una cantidad razonable de copias del presente sólo para uso
interno.
Marcas comerciales
Microsoft, Active Directory, Dexterity, Excel, Microsoft Dynamics, Windows, Windows NT, and
Windows Server son marcas comerciales o marcas comerciales registradas de Microsoft
Corporation o de sus filiales en los Estados Unidos y/o en otros países. FairCom y c-tree Plus son
marcas comerciales de FairCom Corporation y están registradas en los Estados Unidos y en otros
países.
Los nombres de las compañías y productos reales mencionados en esta documentación pueden
ser marcas comerciales o marcas registradas, en los Estados Unidos y/o en otros países, de sus
respectivos propietarios.
Los ejemplos de compañías, organizaciones, productos, nombres de dominio, direcciones de
correo electrónico, logotipos, personas, lugares y acontecimientos descritos aquí son ficticios. No
representan de ningún modo a ninguna persona, compañía, organización, producto, nombre de
dominio, dirección de correo electrónico, logotipo, lugar o acontecimiento reales.
Propiedad intelectual
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas comerciales, derechos de
copyright u otros derechos de propiedad intelectual que protejan los contenidos del presente
documento. Excepto en lo dispuesto expresamente en cualquier contrato escrito de licencia de
Microsoft, la entrega del presente documento no otorga licencia alguna sobre estas patentes,
marcas comerciales, derechos de copyright o propiedad intelectual.
Renuncia de garantía
Microsoft Corporation renuncia a toda responsabilidad con respecto al código de muestra
contenido en esta documentación, incluidas las garantías implícitas de comerciabilidad e
idoneidad para un fin determinado.
Limitación de
responsabilidad
El contenido del presente documento está diseñado sólo para su uso informativo, está sujeto a
cambios sin previo aviso y no debe interpretarse como un compromiso por parte de Microsoft
Corporation. Microsoft Corporation no asume ninguna responsabilidad ni obligación por
cualquier error o inexactitud que pueda aparecer en este manual. Ni Microsoft Corporation ni
ninguna de las partes involucradas en la creación, producción o entrega de esta documentación
serán responsables por ningún tipo de daño, ya sea indirecto, incidental, especial, ejemplar o
derivado, incluida, pero sin limitarse a, la pérdida de beneficios anticipados, provocado por el
uso de esta documentación o del código de muestra.
Contrato de licencia
El uso de este producto está protegido por un contrato de licencia que se proporciona con el
software. Si tiene alguna pregunta, llame al Departamento de atención al cliente de Microsoft
Dynamics GP al 800-456-0025 (en EE. UU. o Canadá) o al +1-701-281-6500.
Fecha de publicación
Abril de 2007
Contenido
Introducción ................................................................................................................................................ 1
Contenido de este documento ....................................................................................................................1
Símbolos y convenciones .............................................................................................................................2
Recursos disponibles desde el menú Ayuda ............................................................................................2
Envíenos sus comentarios de la documentación......................................................................................4
Capítulo 1: Recomendaciones básicas de seguridad .......................................... 5
Se deben seguir los pasos siguientes a fin de asegurar la instalación de Microsoft Dynamics GP...5
Seguridad física .............................................................................................................................................6
Empleados......................................................................................................................................................7
Administradores de sistema........................................................................................................................8
Administración de revisiones de seguridad .............................................................................................8
Service packs de Microsoft Dynamics GP ...............................................................................................10
Revisiones de seguridad para el cliente...................................................................................................10
Capítulo 2: Seguridad del sistema operativo del servidor ........................... 11
Seguridad del sistema operativo del servidor ........................................................................................ 11
Autenticación...............................................................................................................................................12
Protección con contraseña .........................................................................................................................12
Contraseñas seguras ...................................................................................................................................13
Definición de la política de contraseñas ..................................................................................................14
Definición de una política de bloqueo de cuenta ...................................................................................15
Control de acceso ........................................................................................................................................16
Inicio de sesión único .................................................................................................................................17
Servidor de seguridad externo..................................................................................................................18
ISA Server 2000 ...........................................................................................................................................18
Opciones adicionales de seguridad de SQL Server ...............................................................................19
Capítulo 3: Seguridad de red .................................................................................................. 21
Estrategias para la seguridad de red........................................................................................................21
Redes inalámbricas .....................................................................................................................................23
Escenarios de seguridad de red ................................................................................................................23
Capítulo 4: Protección contra virus ................................................................................. 27
Información general sobre virus ...............................................................................................................27
Tipos de virus ..............................................................................................................................................27
Capítulo 5: Microsoft Dynamics GP seguridad ...................................................... 29
Áreas afectadas por la configuración de seguridad...............................................................................29
Concesión de acceso de seguridad ...........................................................................................................30
Utilización de las contraseñas en Microsoft Dynamics GP...................................................................31
Elementos para los que puede configurar seguridad............................................................................32
Seguridad de aplicación.............................................................................................................................33
Seguridad de utilidades de Microsoft Dynamics GP ............................................................................33
Etiquetas inteligentes de Office.................................................................................................................34
Solución de problemas de seguridad.......................................................................................................35
P L A N I FI C A C I Ó N D E S E G U R I D AD
i
Capítulo 6: El modelo de seguridad de bases de datos
de Microsoft Dynamics GP ....................................................................................................... 37
Seguridad de contraseñas ..........................................................................................................................37
Función de base de datos DYNGRP.........................................................................................................37
Función de servidor fijo SysAdmin..........................................................................................................38
Funciones de bases de datos fijas de SQL Server que comienzan con “rpt_”....................................38
Capítulo 7: Tareas de seguridad de la aplicación principal ........................ 39
Creación de registros de usuario ..............................................................................................................39
Eliminación de registros de usuario.........................................................................................................40
Concesión de acceso de usuario ...............................................................................................................40
Realizar copias de seguridad de bases de datos.....................................................................................41
Restauración de bases de datos ................................................................................................................42
Alertas de negocio ......................................................................................................................................42
Mantenimiento de SQL ..............................................................................................................................42
Eliminación de compañías.........................................................................................................................43
Eliminación de cuentas de usuario inactivas..........................................................................................43
Capítulo 8: Preguntas frecuentes ....................................................................................... 45
Cuentas de usuario .....................................................................................................................................45
Microsoft Dynamics GP ventanas ............................................................................................................45
Seguridad en Microsoft Dynamics GP.....................................................................................................46
ii
P L A N I F I C A C I Ó N
D E
S E G U R I D A D
Introducción
Utilice la información incluida en este documento para ayudar a planificar la
seguridad en Microsoft Dynamics™ GP.
La introducción se divide en las secciones siguientes:
•
•
•
•
Contenido de este documento
Símbolos y convenciones
Recursos disponibles desde el menú Ayuda
Envíenos sus comentarios de la documentación
Contenido de este documento
Este documento ha sido diseñado para que conozca las acciones que le permiten
brindar la mayor seguridad posible a los datos de Microsoft Dynamics GP.
Microsoft® Windows®, la base de Microsoft Dynamics GP, proporciona seguridad
de red sofisticada basada en estándares. En sentido amplio, la seguridad implica la
planificación y la consideración de intercambios. Por ejemplo, un equipo puede
estar encerrado en una bóveda y sólo el administrador del sistema puede tener
acceso a él. Este equipo puede ser seguro, pero no es muy utilizable ya que no está
conectado a otro equipo. Debe evaluar cómo hacer obtener la mayor seguridad
posible para la red sin sacrificar su utilidad.
La mayoría de las organizaciones se preparan para ataques externos y construyen
servidores de seguridad, pero muchas compañías no piensan cómo mitigar las
infracciones de seguridad una vez que un usuario malicioso entra en el servidor de
seguridad. Las medidas de seguridad en el entorno de la organización funcionarán
bien si los usuarios no deben realizar demasiados procedimientos y pasos para
llevar a cabo sus tareas de manera segura. La implementación de políticas de
seguridad debe ser lo más fácil posible para los usuarios; de lo contrario, los
usuarios encontrarán formas menos seguras para llevar a cabo sus tareas.
Dado que el tamaño de las implementaciones de Microsoft Dynamics GP puede
variar considerablemente, resulta importante evaluar en detalle las necesidades de
una empresa pequeña y considerar la efectividad en comparación con los costos que
puede implicar. Utilice su mejor criterio para recomendar una política que ayude a
satisfacer las necesidades de seguridad.
Este documento se divide en la siguiente información:
•
En el Capítulo 1, “Recomendaciones básicas de seguridad,” se proporcionan
algunas recomendaciones básicas sobre seguridad como ayuda para brindar la
mayor seguridad posible a sus datos en Microsoft Dynamics GP.
•
En el Capítulo 2, “Seguridad del sistema operativo del servidor,” se
proporciona información sobre la seguridad del sistema operativo del servidor.
•
En el Capítulo 3, “Seguridad de red,” se proporciona información sobre la
seguridad de la red.
•
En el Capítulo 4, “Protección contra virus,” se proporciona información sobre
los diferentes tipos de virus que existen y las medidas que se pueden tomar
para evitar que los equipos se vean infectados por virus.
1
•
En el Capítulo 5, “Microsoft Dynamics GP seguridad,” se proporciona
información general sobre las características de seguridad disponibles en
Microsoft Dynamics GP.
•
En el Capítulo 6, “El modelo de seguridad de bases de datos de Microsoft
Dynamics GP,” se proporciona información sobre el modelo de seguridad de
bases de datos de Microsoft Dynamics GP.
•
En el Capítulo 7, “Tareas de seguridad de la aplicación principal,” se enumeran
las opciones más seguras para llevar a cabo tareas de seguridad comunes en
•
En el Capítulo 8, “Preguntas frecuentes,” se incluyen respuestas a preguntas
frecuentes sobre la seguridad en Microsoft Dynamics GP.
Símbolos y convenciones
En este documento se utilizan los símbolos siguientes para enfatizar información.
Símbolo
Descripción
El símbolo de la bombilla indica consejos útiles, accesos
directos y sugerencias.
El símbolo de advertencia indica situaciones en las que debe
prestar especial atención al completar las tareas.
En este documento se utilizan las siguientes convenciones para hacer referencia a
secciones, a la navegación y a otro tipo de información.
Convención
Descripción
Creación de un lote
El texto en cursiva indica el nombre de una sección o un
procedimiento.
Archivo >> Imprimir o
Archivo > Imprimir
Los símbolos (>>) o (>) indican una secuencia de acciones,
como seleccionar elementos de un menú o de una barra de
herramientas, o presionar los botones de una ventana. Este
ejemplo indica que debe ir al menú Archivo y elegir Imprimir.
TABULADOR
o INTRO
Las letras versalitas indican una tecla o una secuencia de
teclas.
Recursos disponibles desde el menú Ayuda
El menú Ayuda de Microsoft Dynamics GP proporciona acceso a los recursos de
asistencia al usuario en el equipo y en la Web.
Contenido
Abre el archivo de Ayuda del componente activo de Microsoft Dynamics GP y
muestra el tema de “contenido” principal. Para examinar una tabla de contenido
más detallada, haga clic en la ficha Contenido ubicada en la parte superior del panel
de exploración Ayuda. Los elementos de la ficha y del tema de contenido están
dispuestos por módulo. Si el contenido de un componente activo incluye el tema
“Archivos de ayuda adicionales”, haga clic en los vínculos para ver los archivos de
Ayuda específicos que describen los componentes adicionales.
2
D E
S E G U R I D A D
Para buscar información en Ayuda con la búsqueda de texto completo o el índice,
haga clic en la ficha correspondiente de la parte superior del panel de exploración y
escriba la palabra clave que desea buscar.
Para guardar el vínculo de un tema en Ayuda, seleccione un tema y, a continuación,
seleccione la ficha Favoritos. Haga clic en Agregar.
Índice
Abre el archivo de Ayuda del componente activo de Microsoft Dynamics GP, en la
ficha Índice. Para buscar información sobre una ventana que no se muestra en ese
momento, escriba el nombre de la ventana y haga clic en Mostrar.
Acerca de esta ventana
Muestra información general sobre la ventana actual. Para ver temas relacionados y
descripciones de los campos, botones y menús de la ventana, elija el vínculo
correspondiente en el tema. También puede presionar F1 para mostrar Ayuda
acerca de la ventana actual.
Consulta
Abre una ventana de consulta, si la ventana que está visualizando tiene una ventana
de consulta. Por ejemplo, si la ventana Mantenimiento chequera está abierta, puede
elegir este elemento para abrir la ventana de consulta Chequeras.
Mostrar campos requeridos
Resalta los campos en los que es obligatorio escribir información. Para poder
guardar el registro y cerrar la ventana, se debe incluir información en los campos
obligatorios. Puede cambiar el color y el estilo de la fuente que se utiliza para
resaltar los campos obligatorios. En el menú Microsoft Dynamics GP, elija
Preferencias de usuario y, a continuación, seleccione Mostrar.
Manuales imprimibles
Muestra una lista de manuales en formato .pdf de Adobe Acrobat, que se pueden
imprimir o ver.
Cursos de orientación
Otorga acceso a tutoriales en línea que muestran cómo realizar los procedimientos
básicos de Microsoft Dynamics GP. En el sitio Web de CustomerSource, se
encuentran disponibles tutoriales adicionales.
Novedades
Proporciona información acerca de las mejoras que se incorporaron a Microsoft
Dynamics GP desde la última versión.
Microsoft Dynamics GP en línea
Abre una página Web que proporciona vínculos a varios recursos de asistencia al
usuario en la Web. Para tener acceso a algunos elementos, se requiere registrarse en
un plan de soporte pago.
Opciones de comentarios de clientes
Brinda información sobre cómo participar en el Programa de mejora de la
experiencia del cliente a fin de mejorar la calidad, la confiabilidad y el rendimiento
de los servicios y el software de Microsoft.
3
Envíenos sus comentarios de la documentación
Le agradecemos que comparta con nosotros sus comentarios sobre la utilidad de la
documentación de Microsoft Dynamics GP. Si tiene sugerencias o comentarios
específicos acerca de este documento, envíenos sus comentarios por correo
electrónico a la siguiente dirección: [email protected].
Para enviar comentarios sobre temas específicos desde Ayuda, haga clic en el
vínculo Comentarios de la documentación, en la parte inferior de cada tema de
Ayuda.
Nota: Al enviar sugerencias a Microsoft, otorga permiso a dicha compañía para utilizarlas
libremente.
4
D E
S E G U R I D A D
Capítulo 1:
Recomendaciones básicas de
seguridad
La información siguiente contiene recomendaciones de seguridad que debe tener en
cuenta antes de instalar Microsoft Dynamics GP.
Esta información se divide en las secciones siguientes.
•
•
•
•
•
•
•
Se deben seguir los pasos siguientes a fin de asegurar la instalación de Microsoft
Dynamics GP.
Seguridad física
Empleados
Administradores de sistema
Administración de revisiones de seguridad
Service packs de Microsoft Dynamics GP
Revisiones de seguridad para el cliente
Se deben seguir los pasos siguientes a fin de asegurar
la instalación de Microsoft Dynamics GP.
A fin de proteger el entorno de Microsoft Dynamics GP, se deben seguir determinados pasos
para establecer la comunicación entre el cliente de Microsoft Dynamics GP y Microsoft SQL
Server™. Si no se cumplen estas instrucciones, la instalación de Microsoft Dynamics GP
puede verse afectada por diversas amenazas graves de seguridad.
Si utiliza Microsoft SQL Server 2000, es necesario utilizar certificados de protocolo
Secure Sockets Layer (SSL), a fin de establecer un vínculo de comunicación entre el
cliente de Microsoft Dynamics GP y Microsoft SQL Server 2000. Cuando configura
SQL Server para SSL, todos los datos transmitidos entre el cliente y el servidor (y
viceversa) deben estar cifrados para asegurar la confidencialidad de los datos
durante la transmisión entre el cliente y SQL Server. Si actualmente no utiliza
certificados SSL, debe solicitarlos mediante Certificate Services de Microsoft.
Asimismo, se recomienda seguir las instrucciones del manual de Microsoft SQL
Server 2000 Books Online para establecer un vínculo de comunicación segura entre
SQL Server y un equipo cliente.
Microsoft SQL Server 2005 cifra el intercambio de credenciales anterior a la
conexión de forma predeterminada, pero para cifrar toda la sesión de comunicación
entre SQL Server 2005 y Microsoft Dynamics GP, se deben seguir las instrucciones
del manual de Microsoft SQL Server 2005 Books Online.
Para obtener más información sobre la seguridad de la red, consulte los siguientes
sitios Web:
Seguridad de acceso a datos
http://msdn2.microsoft.com/en-us/library/aa302392.aspx
Uso de certificados SSL para cifrar todas las comunicaciones entre el
cliente y el servidor
http://msdn2.microsoft.com/en-us/library/aa302414.aspx
Uso de Microsoft SQL Server 2005
http://www.microsoft.com/sql/2005/default.mspx
5
A fin de ejecutar un entorno seguro de Microsoft Dynamics GP, se deben seguir
algunas reglas generales referidas a la administración:
•
Si el propietario o gerente de la empresa tiene privilegios administrativos, los
usuarios, como los coordinadores de cuentas a pagar, los cajeros o los
representantes de ventas, no necesitan privilegios administrativos en el
dominio. Estas cuentas de usuario solo deben ser usuarios de dominio.
•
No se deben volver a utilizar las contraseñas. Frecuentemente, en la práctica, se
vuelven a usar las contraseñas en los sistemas y dominios. Por ejemplo es
posible que un administrador que sea responsable de dos dominios cree
cuentas de administrador de dominio que utilicen la misma contraseña, e
incluso configure la misma contraseña de administrador local en los equipos
del dominio. En este caso, si se afecta una sola cuenta o un solo equipo, puede
verse afectado todo el dominio.
•
Las cuentas del administrador del dominio no se deben usar como cuentas de
servicios. Asimismo, es común utilizar cuentas de administrador del dominio
como cuentas de servicio para servicios comunes, como la realización de copias
de seguridad de los sistemas. Sin embargo, esto implica un riesgo para la
seguridad, ya que la contraseña se debe almacenar, o guardar en caché,
localmente en cada equipo en el que se encuentre el servicio. Cualquier persona
con derechos administrativos respecto del equipo puede recuperar fácilmente la
contraseña. En este caso, si se afecta un equipo, puede verse afectado todo el
dominio. Las cuentas de servicios no deben ser cuentas de administrador de
dominio y sus privilegios deben ser lo más limitados posible.
•
Aunque puede utilizarse Microsoft Dynamics GP en diversos sistemas
operativos, es recomendable utilizar los sistemas operativos más recientes con
las características de seguridad m{as actualizadas. Asimismo, las ediciones de
sistemas operativos para fines empresariales suelen tener más funciones de
seguridad.
•
Utilice la herramienta Windows Update proporcionada con Windows 2000,
Windows XP y Windows Server® 2003 para mantener actualizadas las
revisiones de seguridad.
•
Si planea utilizar Microsoft Dynamics GP Business Portal, se recomienda
implementar las recomendaciones de seguridad mencionadas en la Guía de
instalación de Business Portal, la cual se puede encontrar en el sitio Web de
CustomerSource.
El resto de este documento contiene recomendaciones sobre varios métodos para mejorar la
seguridad de la instalación de Microsoft Dynamics GP. Aunque estas recomendaciones son
altamente aconsejables, no son de carácter obligatorio.
Seguridad física
La seguridad física representa el mejor punto de inicio para la prevención de
ataques maliciosos. Por ejemplo, si una unidad de disco duro es robada, también se
robarán los datos contenidos en esa unidad. Considere los siguientes problemas de
seguridad física al elaborar una política con los usuarios:
•
6
D E
Para implementaciones mayores con departamentos de TI específicos,
asegúrese de que las habitaciones del servidor y los lugares donde se guarda el
software y los manuales se encuentren cerrados.
S E G U R I D A D
•
Mantenga a los usuarios no autorizados alejados de los interruptores de
encendido y reinicio del servidor.
•
Piense en quitar de las estaciones de trabajo los dispositivos de almacenamiento
extraíbles, incluidas las grabadoras de CD.
•
Asegúrese de que las alarmas contra robo estén instaladas, independientemente
del grado de confidencialidad de los datos.
•
Asegúrese de almacenar las copias de seguridad de datos críticos en un lugar
separado y de que el software se guarde en contenedores a prueba de agua y de
incendio cuando no se utiliza.
Empleados
Es aconsejable limitar los derechos administrativos en todos los productos y
características. De forma predeterminada, debe otorgarles a los empleados acceso
de sólo lectura a las funciones del sistema, a menos que requieran mayor acceso
para realizar su trabajo. Se recomienda el siguiente principio de privilegios
mínimos: otorgue a los usuarios sólo los privilegios mínimos necesarios para tener
acceso a los datos y a las funciones. Por ejemplo, evite que sea necesario contar con
derechos administrativos para ejecutar características.
Los empleados insatisfechos y los ex empleados constituyen una amenaza a la
seguridad de la red. Se recomienda utilizar la siguiente política respecto de los
empleados:
•
Lleve a cabo investigaciones de antecedentes pre-ocupacionales.
•
Espere “venganza” de los empleados insatisfechos o ex empleados.
•
Asegúrese de desactivar todas las cuentas y contraseñas asociadas a Windows
cuando un empleado deja de trabajar en la organización. Con fines de informe,
no elimine usuarios.
•
Enséñele a los usuarios a estar alerta y a comunicar actividades sospechosas.
•
No otorgue privilegios de forma automática. Si no es necesario que los usuarios
tengan acceso a determinados equipos, habitaciones de equipos o conjuntos de
archivos, asegúrese de que no tengan acceso a ellos.
•
Enséñele a los supervisores a identificar potenciales problemas con los
empleados y responder a ellos.
•
Supervise el uso del sistema para detectar actividades no habituales.
•
Asegúrese de que los empleados comprendan su función en del mantenimiento
de la seguridad de red.
•
Entregue una copia de las políticas de la compañía a todos los empleados.
•
No permita que los usuarios instalen su propio software.
7
Administradores de sistema
Es muy recomendable que los administradores de sistema se mantengan
actualizados sobre las correcciones de seguridad más recientes de Microsoft. Los
piratas informáticos son expertos en combinar pequeños errores para permitir
grandes intrusiones en una red. Los administradores deben, en primer lugar,
garantizar la mayor seguridad posible a cada equipo individual y, posteriormente,
agregar actualizaciones y revisiones de seguridad. Con este fin, se ofrecen muchos
vínculos y recursos en esta guía como ayuda para encontrar la información y las
mejores prácticas relacionadas con la seguridad.
La complejidad incorpora otro conjunto de intercambios para la seguridad de su
red. Cuanto más compleja sea la red, más difícil será asegurarla o corregirla cuando
un intruso haya logrado tener acceso a ella. El administrador debe documentar la
topografía de la red meticulosamente y trabajar para mantenerla tan simple como
sea posible.
La seguridad implica, principalmente, la administración de riesgos. El solo uso de la
tecnología no garantiza la seguridad. La seguridad efectiva requiere una
combinación de tecnología y políticas. Es decir, la seguridad depende de la forma en
que se utiliza la tecnología. Microsoft proporciona tecnología y características con
funciones de seguridad, pero sólo el administrador y la gerencia pueden determinar
las políticas correctas para cada organización. Asegúrese de planear la seguridad en
el comienzo del proceso de implementación y desarrollo. Comprenda qué necesita
proteger su compañía y qué medidas está dispuesta a tomar para esta protección.
Asimismo, desarrolle planes de contingencia para emergencias antes de que
sucedan y combine una planeación exhaustiva con una tecnología sólida. Para
obtener más información sobre la seguridad en general, consulte “The Ten
Immutable Laws of Security Administration”, que se encuentra en http://
www.microsoft.com/technet/archive/community/columns/security/essays/
10salaws.mspx.
Administración de revisiones de seguridad
Generalmente, los sistemas operativos y las aplicaciones son muy complejos.
Pueden estar compuestos por millones de líneas de código, escritas por muchos
programadores diferentes. Resulta esencial que el funcionamiento del software sea
confiable y no afecte la seguridad o la estabilidad del entorno de TI. Para minimizar
los problemas, se realizan pruebas exhaustivas de los programas antes de su
lanzamiento. Sin embargo, los atacantes constantemente se esfuerzan por descubrir
las debilidades del software, por lo tanto, no se pueden prever todos los ataques
futuros.
En muchas organizaciones, la administración de revisiones formará parte de la
estrategia general de administración de configuración y cambio. Sin embargo,
cualquiera sea la naturaleza y el tamaño de la organización, es imprescindible
contar con una buena estrategia de administración de revisiones, aun si la
organización no cuenta con una administración de configuración y cambio efectiva.
La gran mayoría de los ataques exitosos contra sistemas informáticos se producen
en sistemas que no tienen instaladas las revisiones de seguridad.
Las revisiones de seguridad representan un desafío específico para la mayoría de las
organizaciones. Cuando se descubre una debilidad en el software, los atacantes
suelen divulgar rápidamente la información sobre dicha debilidad en toda la
comunidad de piratas informáticos. Cuando un software tiene una debilidad,
8
D E
S E G U R I D A D
Microsoft se esfuerza por lanzar una revisión de seguridad lo antes posible. Hasta
que la revisión se implemente, la seguridad que el usuario espera, y de la que
depende, puede verse seriamente disminuida.
En el entorno Windows, se debe asegurar de contar con las revisiones de seguridad
más recientes en todo el sistema. Para facilitar esta tarea, debe considerar el uso de
las tecnologías disponibles de Microsoft. Éstos incluyen:
Servicio de notificación de seguridad de Microsoft El Servicio de
notificación de seguridad es una lista enviada por correo electrónico donde se
distribuyen notificaciones cada vez que existe una nueva actualización disponible.
Estas notificaciones sirven como una pieza fundamental de una estrategia de
seguridad proactiva. También están disponibles en el sitio Web de notificación de
seguridad de producto de TechNet: : http://www.microsoft.com/technet/
security/bulletin/notify.mspx.
Herramienta de búsqueda de boletines de seguridad de Microsoft La
herramienta de búsqueda de boletines de seguridad está disponible en el sitio Web
del servicio de boletines de seguridad y revisiones. Puede determinar qué
actualizaciones necesita según el sistema operativo, las aplicaciones y los service
packs que ejecuta actualmente. Para obtener más información sobre la herramienta
de búsqueda de boletines de seguridad de Microsoft, consulte http://
www.microsoft.com/technet/security/current.aspx.
Microsoft Baseline Security Analyzer (MBSA) Esta herramienta gráfica
está disponible en el sitio Web de Microsoft Baseline Security Analyzer. Esta
herramienta compara el estado actual de un equipo con una lista de actualizaciones
de Microsoft. MBSA también realiza algunas comprobaciones básicas de seguridad
respecto de las configuraciones de seguridad y caducidad de la contraseña, las
políticas de cuentas de invitado y varias otras áreas. MBSA también busca las
vulnerabilidades en Servicios de Internet Information Server (IIS), Microsoft SQL
Server 2000, Microsoft Exchange 5.5, Microsoft Exchange 2000 y Microsoft Exchange
Server 2003. Para obtener más información sobre Microsoft Baseline Security
Analyzer, consulte http://www.microsoft.com/technet/security/tools/
mbsahome.mspx.
Windows Server Update Services (WSUS) Esta herramienta, antes
conocida como Windows Update Corporate Edition y Software Update Services,
permite que las empresas alojen en los equipos locales todas las actualizaciones
críticas y los paquetes de acumulación de seguridad (SRP) disponibles en el sitio
público de Windows Update. Esta herramienta funciona con una nueva versión de
clientes de actualización automática (AU) y conforma la base de una poderosa
estrategia de descargas e instalaciones automáticas. El nuevo conjunto de clientes
de AU incluye un cliente para los sistemas operativos Windows 2000 y Windows
Server 2003 y tiene la capacidad de instalar automáticamente las actualizaciones
descargadas. Para obtener más información sobre Microsoft WSUS, consulte http:/
/www.microsoft.com/windowsserversystem/updateservices/default.mspx.
Microsoft Systems Management Server (SMS) Software Update
Services Feature Pack El paquete SMS Software Update Services Feature Pack
contiene varias herramientas destinadas a facilitar el proceso de distribución de
actualizaciones de software en toda la empresa. Las herramientas incluyen una
herramienta de inventario de actualizaciones de seguridad, una herramienta de
inventario para actualizaciones de Microsoft Office, el asistente para distribuir las
actualizaciones de software y la herramienta de informes Web para SMS con el
complemento de informes Web para las actualizaciones de software. Para obtener
9
más información sobre cada herramienta, consulte http://www.microsoft.com/
smserver/downloads/20/featurepacks/suspack/.
Se recomienda tener en cuenta cada una de estas herramientas de seguridad y
promover su uso. Es muy importante que los problemas de seguridad se traten con
la mayor brevedad posible y que, a la vez, se mantenga la estabilidad del entorno.
Service packs de Microsoft Dynamics GP
Las revisiones de seguridad de Microsoft Dynamics GP se distribuyen como parte
de los service packs. Los service packs se encuentran en el área Downloads and
Updates del sitio Web CustomerSource. Debe visitar periódicamente este sitio para
asegurarse de estar completamente actualizado sobre los problemas de seguridad
que afectan específicamente a Microsoft Dynamics GP. Puede obtener instrucciones
actualizadas sobre cómo actualizar a la versión más reciente de Microsoft Dynamics
GP en http://go.microsoft.com/fwlink/?LinkID=79222.
Revisiones de seguridad para el cliente
Los usuarios de Microsoft Dynamics GP pueden asegurarse de que los equipos
cliente cuenten con revisiones de seguridad actualizadas para Microsoft Windows
2000, Windows XP y Windows Server 2003 mediante la herramienta de
actualización de Windows proporcionada con estos sistemas. Asimismo, si
Microsoft Security Update Services está instalado en el servidor, gran parte del
proceso de actualización puede ser automatizado internamente por el
departamento de TI de la empresa. El Servicio de notificaciones de seguridad de
Microsoft le enviará información detallada sobre todas las revisiones de seguridad
para SQL Server 2000.
10
D E
S E G U R I D A D
Capítulo 2:
Seguridad del sistema operativo del
servidor
La siguiente información proporciona algunas de las prácticas recomendadas para
la seguridad de los sistemas operativos del servidor. Se debe tener en cuenta esta
información antes de implementar Microsoft Dynamics GP.
•
•
•
•
•
•
•
•
•
•
•
Seguridad del sistema operativo del servidor
Autenticación
Protección con contraseña
Contraseñas seguras
Definición de la política de contraseñas
Definición de una política de bloqueo de cuenta
Control de acceso
Inicio de sesión único
Servidor de seguridad externo
ISA Server 2000
Opciones adicionales de seguridad de SQL Server
Seguridad del sistema operativo del servidor
Algunas empresas pequeñas no tienen un sistema operativo del servidor. Sin
embargo, es importante que los gerentes de empresas pequeñas comprendan varias
de las mismas prácticas de seguridad que se aplican a empresas más grandes con
entornos de red más complejos. Tenga en cuenta que muchas de las políticas y
prácticas de este documento pueden aplicarse fácilmente a empresas que sólo
cuentan con sistemas operativos de clientes.
Los conceptos incluidos en esta sección se aplican a los productos de Microsoft
Windows 2000 Server y Microsoft Windows Server2003, aunque esta información
proviene principalmente de la Ayuda en línea de Windows Server 2003. Windows
Server 2003 ofrece un sólido conjunto de características de seguridad. La Ayuda en
línea de Windows Server 2003 contiene información completa sobre todos los
procedimientos y las funciones de seguridad.
Para obtener más información sobre Windows 2000 Server, visite Windows 2000
Server Security Center, en http://www.microsoft.com/technet/security/
prodtech/win2000/default.mspx.
Para Windows Server 2003, Microsoft ha publicado la “Guía de seguridad de
Windows Server 2003” (Windows Server 2003 Security Guide), que se encuentra en
http://www.microsoft.com/technet/security/prodtech/win2003/w2003hg/
sgch00.mspx.
Las características más importantes del modelo de seguridad de Windows Server
son la autenticación, el control de acceso y el inicio de sesión único, las cuales se
describen a continuación.
•
La autenticación representa el proceso mediante el cual el sistema valida la
identidad del usuario con sus credenciales de inicio de sesión. Se compara el
nombre de usuario y la contraseña con una lista autorizada. Si el sistema detecta
elementos coincidentes, se concede el acceso en la medida determinada en la
lista de permisos para ese usuario.
11
•
El control de acceso limita el acceso de los usuarios a la información o recursos
según la identidad del usuario y su pertenencia a varios grupos predefinidos.
Normalmente, los administradores de sistema utilizan el control de acceso para
controlar el acceso de los usuarios a los recursos de la red, como servidores,
directorios y archivos, y, generalmente, se implementa mediante la concesión de
permisos a usuarios y grupos para tener acceso a objetos determinados.
•
El inicio de sesión único permite que un usuario inicie sesión en el dominio de
Windows una vez, con una contraseña única, y pueda ser autenticado en
cualquier equipo del dominio de Windows. El inicio de sesión único permite
que los administradores implementen una autenticación de contraseña segura
en toda la red de Windows, a la vez que proporciona facilidad de acceso a los
usuarios finales.
Los temas siguientes ofrecen una descripción más detallada de estas tres
características clave para la seguridad del entorno de sistemas.
Autenticación
La autenticación constituye un aspecto fundamental de la seguridad del sistema.
Confirma la identidad de cualquier usuario que intente iniciar sesión en un dominio
o tener acceso a recursos de red. El punto débil de cualquier sistema de
autenticación es la contraseña del usuario.
Las contraseñas ofrecen la primera línea de defensa contra el acceso no autorizado
al dominio y a los equipos locales. Se recomienda aplicar las prácticas
recomendadas sobre contraseñas, si resultasen adecuadas, para su organización.
Para obtener más información, consulte Protección con contraseña en la página 12,
Contraseñas seguras en la página 13 y Definición de la política de contraseñas en la
página 14.
Protección con contraseña
Es importante que los usuarios utilicen contraseñas y sigan estas recomendaciones
sobre contraseñas.
12
D E
•
Siempre solicite contraseñas seguras. Para obtener más información, consulte
Contraseñas seguras en la página 13.
•
Si se deben escribir las contraseñas en un papel, guarde el papel en un lugar
seguro y destrúyalo cuando ya no lo necesite.
•
Nunca comparta las contraseñas con otras personas.
•
Utilice contraseñas diferentes para todas las cuentas de usuario.
•
Cambie las contraseñas de inmediato si se han visto comprometidas.
•
Sea cauteloso sobre el lugar donde guarda las contraseñas en los equipos.
Algunos cuadros de diálogo, como los utilizados para el acceso remoto y otras
conexiones telefónicas, cuentan con una opción para guardar o recordar una
contraseña. La selección de esta opción representa una amenaza potencial a la
seguridad, ya que la contraseña se almacena en el registro del sistema.
S E G U R I D A D
Contraseñas seguras
Frecuentemente se subestima o se omite la función que tienen las contraseñas en la
seguridad de la red de una organización. Como se ha mencionado, las contraseñas
proporcionan la primera línea de defensa contra el acceso no autorizado a la
organización. La familia de Windows Server 2003 incluye una nueva característica
que comprueba la complejidad de la contraseña de la cuenta del administrador
durante la configuración del sistema operativo. Si la contraseña está en blanco o no
reúne los requisitos de complejidad, aparece un cuadro de diálogo de la instalación
de Windows, donde se advierte sobre el peligro que implica no usar una contraseña
segura para la cuenta del administrador.
En un entorno de grupo de trabajo, un usuario no puede tener acceso a un equipo
de la red con una cuenta cuya contraseña está en blanco. Las contraseñas
vulnerables ofrecen a los atacantes acceso fácil a los equipos y la red, mientras que
las contraseñas seguras son mucho más difíciles de descifrar, incluso con los
programas para descifrar contraseñas que existen en la actualidad.
Las herramientas para descifrar contraseñas continúan mejorando y los equipos
utilizados para descifrar contraseñas son más poderosos que nunca. El software
para descifrar contraseñas utiliza uno de estos tres enfoques: suposiciones
inteligentes, ataques de diccionario, ataques físicos automatizados que intentan
todas las combinaciones de caracteres posibles. Con tiempo suficiente, el método
automatizado puede descifrar cualquier contraseña. Sin embargo, las contraseñas
seguras son mucho más difíciles de descifrar que las contraseñas vulnerables. Un
equipo seguro tiene contraseñas seguras para todas las cuentas de usuario.
Una contraseña vulnerable
•
No es una contraseña.
•
Contiene el nombre de usuario, el nombre real o el nombre de la empresa.
•
Contiene una palabra exacta del diccionario. Por ejemplo, la palabra Contraseña
es una contraseña vulnerable.
Una contraseña segura
•
Tiene siete caracteres como mínimo.
•
No contiene el nombre de usuario, el nombre real o el nombre de la empresa.
•
No contiene una palabra exacta del diccionario.
•
Es muy diferente de las contraseñas anteriores. Las contraseñas que utilizan
incrementos (Contraseña1, Contraseña2, Contraseña3, etc.) no son seguras.
•
Contiene caracteres de cada uno de los cuatro grupos que se enumeran en la
tabla siguiente.
Grupo
Ejemplo
Letras mayúsculas
ABCD
Letras minúsculas
abcd
Números
01234
Símbolos
‘~@#$%^&*()_+-={}[]\:“;<>?,./
13
Ejemplos de contraseñas seguras son C0ntra$eñA y J*p2le04>F.
Una contraseña puede cumplir la mayoría de los criterios de una contraseña segura
pero aún puede ser vulnerable. Por ejemplo, ¡HolaAto2! es una contraseña
relativamente insegura, aunque cumple la mayoría de los criterios de una
contraseña segura y también cumple los requisitos de complejidad de la política de
contraseñas. H!olZ¡2a es una contraseña segura porque la palabra del diccionario
está intercalada con símbolos, números y otras letras. Resulta importante informar a
los usuarios acerca de las ventajas de utilizar contraseñas seguras y enseñarles cómo
crear contraseñas que ofrezcan verdadera seguridad.
Se pueden crear contraseñas que contengan caracteres del conjunto de caracteres
ASCII extendido. El uso de caracteres ASCII extendido aumenta la cantidad de
caracteres que se pueden elegir al crear contraseñas. Por consiguiente, el software
para descifrar contraseñas puede tardar más tiempo en descifrar las contraseñas
que contienen estos caracteres ASCII extendidos que en descifrar otras contraseñas.
Antes de utilizar caracteres ASCII extendidos en una contraseña, pruébelos
exhaustivamente para asegurarse de que las contraseñas que contienen dichos
caracteres son compatibles con las aplicaciones que se utilizan en la organización.
Tenga especial cuidado con el uso de los caracteres ASCII extendidos en las
contraseñas si la organización utiliza varios sistemas operativos diferentes.
Encontrará los caracteres ASCII extendidos en el Mapa de caracteres. Algunos
caracteres ASCII extendidos no deben utilizarse en las contraseñas. No utilice un
carácter que no tenga definida una pulsación de tecla en la equina inferior derecha
del cuadro de diálogo Mapa de caracteres. Para obtener más información sobre
cómo utilizar el Mapa de caracteres, consulte la Ayuda en línea de Windows Server.
Ejemplos de contraseñas que contienen caracteres del grupo de caracteres ASCII
extendido son kUµ!0o y Wf©$0k#"g¤5ªrd.
Puede implementar una política de contraseñas que exija los requisitos de
complejidad de contraseñas. Para obtener más información sobre esta política,
consulte “Las contraseñas deben cumplir los requerimientos de complejidad” en la
Ayuda en línea de Windows Server.
Las contraseñas de Windows pueden tener hasta 127 caracteres. Sin embargo, si
utiliza una red que también contiene equipos con Windows 98, considere la
posibilidad de utilizar contraseñas que no tengan más de 14 caracteres. Microsoft
Windows 98 admite un máximo de 14 caracteres. Si una contraseña es más larga, es
posible que los usuarios no puedan iniciar una sesión en la red desde esos equipos.
Definición de la política de contraseñas
Al definir una política de contraseñas, asegúrese de crear una política que exija que
todos las cuentas de usuario tengan contraseñas seguras. Las siguientes opciones de
Windows Server requieren contraseñas seguras.
14
D E
•
Defina la configuración de política Forzar el historial de contraseñas de forma
que se recuerden varias contraseñas anteriores. Con esta configuración de
política, los usuarios no pueden utilizar la misma contraseña cuando ésta
caduca.
•
Defina la configuración de política Vigencia máxima de la contraseña de forma
que las contraseñas caduquen con la frecuencia necesaria para el entorno del
cliente, por lo general, cada 30 a 90 días.
S E G U R I D A D
•
Defina la configuración de política Vigencia mínima de la contraseña de forma
que las contraseñas no se puedan cambiar hasta que hayan estado en vigencia
por una cantidad determinada de días. Esta configuración de política actúa en
combinación con la configuración de política Forzar el historial de contraseñas.
Si se define una duración mínima de las contraseñas, los usuarios no pueden
cambiar reiteradamente las contraseñas para eludir la configuración de política
Forzar el historial de contraseñas y utilizar las contraseñas originales. Los
usuarios deben esperan el número de días especificado para cambiar las
contraseñas.
•
Defina la configuración de política Longitud mínima de contraseña de forma
que las contraseñas deban tener un número mínimo de caracteres especificado.
Las contraseñas largas (de siete caracteres o más) suelen ser más seguras que las
contraseñas cortas. Con esta configuración de política, los usuarios no pueden
utilizar contraseñas en blanco y deben crear contraseñas que tengan un número
mínimo de caracteres.
•
Habilite la configuración de política Las contraseñas deben cumplir los
requerimientos de complejidad. Esta configuración de política comprueba todas
las contraseñas nuevas para asegurarse de que cumplen los requisitos básicos
de contraseña segura. Para obtener una lista de estos requisitos, consulte “Las
contraseñas deben cumplir los requerimientos de complejidad” en la Ayuda en
línea de Windows Server.
Definición de una política de bloqueo de cuenta
Sea cauteloso al definir una política de bloqueo de cuenta. La política de bloqueo de
cuentas no debe establecerse de forma arbitraria. Aunque la probabilidad de
frustrar un ataque no autorizado a su organización aumenta con la política de
bloqueo de cuentas, también es posible que se bloquee involuntariamente a
usuarios autorizados, lo que puede resultar muy costoso para la organización.
Si decide aplicar la política de bloqueo de cuentas, establezca la configuración de
política Umbral de bloqueos de la cuenta en un número lo suficientemente alto para
que los usuarios autorizados no queden bloqueados en sus cuentas de usuario
simplemente porque han escrito la contraseña incorrectamente.
Los usuarios autorizados pueden quedar bloqueados si cambian su contraseña en
un equipo, pero no las cambian en otro equipo. El equipo que aún utiliza la
contraseña anterior intentará constantemente autenticar al usuario con la
contraseña anterior, y finalmente bloqueará la cuenta del usuario. Ésta puede ser
una consecuencia costosa de la definición de la política de bloqueo de cuentas, ya
que los usuarios autorizados no podrán tener acceso a los recursos de red hasta que
se restablezcan sus cuentas. Este problema no existe en las organizaciones que sólo
utilizan controladores de dominio que son miembros de la familia de Windows
Server.
Para obtener más información sobre la política de bloqueo de cuentas, consulte
“Introducción a la directiva de bloqueo de cuentas” en la Ayuda en línea de
Windows Server. Para obtener información acerca de cómo aplicar o modificar la
política de bloqueo de cuentas, consulte “Aplicar o modificar la directiva de
bloqueo de cuentas”, también en la Ayuda en línea de Windows Server.
15
Control de acceso
Para proteger una red de Windows y sus recursos se debe tener en cuenta qué
derechos tienen los usuarios, grupos de usuarios y otros equipos en la red. Puede
proteger un equipo o varios equipos concediendo derechos de usuario específicos a
los usuarios o grupos. Puede proteger un objeto, como un archivo o una carpeta,
mediante la asignación de permisos que permitan a los usuarios o grupos realizar
determinadas acciones en ese objeto. Los siguientes conceptos clave conforman el
control de acceso:
•
•
•
•
•
Permisos
Propiedad de objetos
Herencia de permisos
Derechos de usuario
Auditoría de objetos
Permisos
Los permisos definen el tipo de acceso concedido a un usuario o grupo para un
objeto o una propiedad de objeto, como archivos, carpetas y objetos de registro. Los
permisos se aplican a cualquier objeto protegido, como archivos u objetos de
registro. Los permisos se pueden conceder a cualquier usuario, grupo o equipo. Es
aconsejable asignar permisos a grupos.
Propiedad de objetos
Cuando se crea un objeto, se le asigna un propietario. De forma predeterminada, en
Windows 2000 Server, el propietario es el creador del objeto. Esto ha cambiado en
Windows Server 2003 para lo objetos creados por miembros del grupo de
administradores.
Cuando un miembro del grupo de administradores crea un objeto en Windows
Server 2003, el grupo se convierte en el propietario, en lugar de la cuenta individual
que creó el objeto. Este comportamiento puede modificarse en el complemento de
configuración de seguridad local de Microsoft Management Console (MMC)
utilizando la configuración Objetos de sistema: propietario predeterminado para
objetos creados por miembros del grupo de administradores. Sin importar qué
permisos se establecieron para un objeto, el propietario de éste siempre puede
cambiar los permisos del objeto. Para más información, consulte “Propiedad” en la
Herencia de permisos
La herencia permite a los administradores asignar y administrar permisos
fácilmente. Esta característica hace que los objetos de un contenedor hereden
automáticamente todos los permisos heredables de ese contenedor. Por ejemplo,
cuando se crean los archivos de una carpeta, heredan los permisos de la carpeta.
Sólo se heredan los permisos marcados para ser heredados.
Derechos de usuario
Los derechos de usuario conceden privilegios y derechos de inicio de sesión
determinados a usuarios y grupos del entorno de sistemas. Para obtener más
información sobre los derechos de usuario, consulte “Derechos de usuario” en la
16
D E
S E G U R I D A D
Auditoría de objetos
Es posible auditar el acceso de los usuarios a los objetos. Puede entonces ver estos
sucesos relacionados con la seguridad en el registro de seguridad mediante el Visor
de sucesos. Para más información, consulte “Auditoría” en la Ayuda en línea de
Windows Server.
Prácticas recomendadas de control de acceso
Utilice la siguiente información para conceder o denegar el acceso al sistema
operativo del servidor.
•
Asigne permisos a grupos en lugar de a usuarios. Debido a que no resulta eficaz
mantener cuentas de usuario directamente, la asignación de permisos por
usuario debe realizarse excepcionalmente.
•
Utilice los permisos Denegar para determinados casos especiales. Por ejemplo,
puede utilizar Denegar para excluir un subconjunto de un grupo que tiene
permisos permitidos. Utilice Denegar para excluir un permiso en particular
cuando ya ha concedido control total a un usuario o grupo.
•
Nunca deniegue al grupo Todos el acceso a un objeto. Si deniega el permiso a
todos respecto de un objeto, se incluye a los administradores. Una mejor
solución sería quitar el grupo Todos, siempre que conceda a otros usuarios,
grupos o equipos permisos para ese objeto.
•
Asigne permisos a un objeto en el nivel más alto posible del árbol y, luego,
aplique la herencia para propagar la configuración de seguridad en todo el
árbol. Puede aplicar de forma rápida y eficaz la configuración de control de
acceso a todos los objetos secundarios o a un subárbol de un objeto principal.
De esta manera, se obtiene la mayor extensión del efecto con el esfuerzo
mínimo. La configuración de permisos que especifique debe ser adecuada para
la mayoría de los usuarios, grupos y equipos.
•
Los permisos explícitos pueden a veces reemplazar los permisos heredados. Los
permisos Denegar heredados no impiden el acceso a un objeto si el objeto tiene
una entrada explícita de permiso explícito Permitir. Los permisos explícitos
prevalecen sobre los permisos heredados, incluso los permisos Denegar
heredados.
•
Para los permisos en objetos de Active Directory®, asegúrese de comprender las
prácticas recomendadas concernientes a objetos de Active Directory. Para
obtener más información, consulte “Prácticas recomendadas para asignar
permisos de objetos de Active Directory” en la Ayuda en línea de Windows
Server 2003.
Inicio de sesión único
Una característica clave de la autenticación de la familia de Windows Server es su
compatibilidad con el inicio de sesión único. El inicio de sesión único permite que
un usuario inicie sesión en el dominio de Windows una vez, con una contraseña
única, y pueda autenticarse en cualquier equipo del dominio de Windows sin
necesidad de volver a escribir la contraseña.
El inicio de sesión único brinda dos beneficios de seguridad principales. Para el
usuario, el uso de una única contraseña o tarjeta inteligente reduce la confusión y
mejora la eficiencia laboral. Para los administradores, se reduce la cantidad de
17
soporte administrativo requerido para los usuarios del dominio, debido a que el
administrador sólo debe administrar una cuenta por usuario.
La autenticación, que incluye el inicio de sesión único, se implementa como un
proceso formado por dos partes: inicio de sesión interactivo y autenticación de red.
Una autenticación de usuario correcta depende de ambos procesos. Para obtener
más información sobre cómo configurar la característica de inicio de sesión único de
Windows, consulte la Ayuda en línea de Windows Server.
Servidor de seguridad externo
Un servidor de seguridad es un hardware o un software que impide que los
paquetes de datos entren o salgan de una red específica. Para controlar el flujo de
tráfico, los puertos numerados del servidor de seguridad están abiertos o cerrados a
los paquetes de información. El servidor de seguridad examina la información de
cada paquete entrante o saliente:
•
•
•
•
El protocolo mediante el cual se envía el paquete
El destino o el remitente del paquete
El tipo de contenido del paquete
El número de puerto al cual se envía
Si el servidor de seguridad está configurado para aceptar el protocolo especificado
en el puerto de destino, se permite el acceso del paquete. Microsoft Windows Small
Business Server 2003 Premium Edition se incluye con Microsoft Internet Security
and Acceleration (ISA) Server 2000 como solución de servidor de seguridad.
ISA Server 2000
Internet Security and Acceleration (ISA) Server 2000 distribuye de forma segura las
solicitudes y respuestas entre los equipos de Internet y clientes en la red interna.
ISA Server actúa como puerta de enlace segura a Internet para los clientes de la red
local. El equipo de ISA Server es transparente para otros participantes en la ruta de
comunicación. El usuario de Internet no debe notar la existencia del servidor de
seguridad, a menos que el usuario intente tener acceso a un servicio o visitar un
sitio al que el equipo de ISA Server deniegue el acceso. El servidor de Internet al
cual se tiene acceso interpreta las solicitudes del equipo de ISA Server como si éstas
se originaran de la aplicación del cliente.
Al seleccionar el filtro de fragmentos de Protocolo de Internet (IP), se permite que
los servicios de Proxy Web y servidor de seguridad filtren los fragmentos de
paquetes. Al filtrar los fragmentos de paquetes, se eliminan todos los paquetes IP
fragmentados. Un conocido “ataque” consiste en enviar paquetes fragmentados y
luego ensamblarlos de nuevo de forma que puedan dañar el sistema.
ISA Server presenta un mecanismo de detección de intrusiones, el cual identifica el
momento en que se intenta realizar un ataque contra la red y realiza un conjunto de
acciones configuradas (o avisos) en caso de un ataque.
Si Internet Information Services (IIS) está instalado en el equipo de ISA Server, debe
configurarlo a fin de que no utilice los puertos que utiliza ISA Server para las
solicitudes Web salientes (de forma predeterminada, 8080) y para solicitudes Web
entrantes (de forma predeterminada, 80). Por ejemplo, puede modificar IIS de forma
que supervise el puerto 81 y, luego, configurar el equipo de ISA Server de forma que
dirija las solicitudes Web entrantes al puerto 81 del equipo local que ejecuta IIS.
18
D E
S E G U R I D A D
Si existe un conflicto entre los puertos que utilizan ISA Server e IIS, el programa de
instalación detiene el servicio publicación de IIS. En ese momento, puede cambiar
IIS de forma que supervise un puerto diferente y reiniciar el servicio publicación de
IIS.
Políticas de ISA Server
Puede definir una política de ISA Server que rija el acceso de entrada y salida. Las
reglas de sitio y de contenido determinan a qué sitios y contenidos se puede tener
acceso. Las reglas de protocolo indican si es posible tener acceso a un protocolo
determinado para comunicación de entrada o de salida.
Se pueden crear reglas de sitios y de contenido, reglas de protocolo, reglas de
publicación Web y filtros de paquetes IP. Estas políticas determinan cómo se
comunican los clientes de ISA Server con Internet y qué comunicación se permite.
Opciones adicionales de seguridad de SQL Server
Ya sea que utilice SQL Server 2000 o SQL Server 2005 con Microsoft Dynamics GP,
resulta importante tomar medidas que permitan aumentar la seguridad de la
instalación de SQL Server. Los pasos siguientes lo ayudarán a aumentar la
seguridad de SQL Server:
•
Asegúrese de tener instalados los service packs y las actualizaciones más
recientes del sistema operativo y de SQL Server. Consulte el sitio Web Microsoft
Security & Privacy (http://www.microsoft.com/security/default.asp) para
obtener la información más reciente.
•
Para la seguridad del sistema de archivos, asegúrese de que todos los datos y
archivos del sistema de SQL Server estén instalados en particiones NTFS.
Asegúrese de que sólo los usuarios administrativos o de nivel de sistema
tengan acceso a los archivos mediante permisos NTFS. De esta forma, se
brindará protección contra los usuarios que tienen acceso a esos archivos
cuando no se está ejecutando el servicio de SQL Server (MSSQLSERVER).
•
Utilice una cuenta de dominio con bajos privilegios o la cuenta LocalSystem
para el servicio de SQL Server (MSSQLSERVER). Esta cuenta debe tener
derechos mínimos en el dominio y debe ayudar a contener, pero no detener, un
ataque al servidor en caso de peligro. En otras palabras, esta cuenta debe tener
sólo permisos de usuario en el dominio. Cuando SQL Server utiliza una cuenta
de administrador de dominio para ejecutar los servicios, si se compromete el
servidor, se verá comprometido todo el dominio. Para cambiar esta
configuración, utilice SQL Server 2000 Enterprise Manager o SQL Server 2005
Management Studio a fin de realizar este cambio. Las listas de control de acceso
(ACL) sobre archivos, el registro y los derechos de usuario se cambiarán
automáticamente.
•
La mayoría de las ediciones de SQL Server se instalan con dos bases de datos
predeterminadas, Neptuno y pubs. Las dos bases de datos constituyen bases de
datos de ejemplo que se utilizan para pruebas, formación y para ejemplos
generales. No deben implementarse en un sistema de producción. Si un
atacante sabe que estas bases de datos están presentes, puede intentar atacar las
opciones y la configuración predeterminadas. Si Neptuno y pubs están
presentes en el equipo de producción de SQL Server, se deben quitar. SQL
Server 2005 Express Edition no instala estas bases de datos de forma
predeterminada.
19
•
De forma predeterminada, el sistema de SQL Server 2000 no puede ser
auditado, por lo tanto tampoco se auditan las condiciones. Por lo tanto, las
intrusiones son difíciles de detectar y se ayuda a los atacantes a borrar sus
huellas. Como mínimo, debe habilitar la auditoría de inicios de sesión fallidos.
Para obtener la información sobre seguridad más reciente sobre SQL Server,
consulte http://www.microsoft.com/sql/techinfo/administration/2000/security/
default.asp.
20
D E
S E G U R I D A D
Capítulo 3:
Seguridad de red
Utilice la información siguiente para conocer más sobre cómo mantener la
seguridad de la red.
•
•
•
Estrategias para la seguridad de red
Redes inalámbricas
Escenarios de seguridad de red
Estrategias para la seguridad de red
Debido a que el diseño y la implementación de un entorno de red IP requiere un
equilibrio entre los intereses de red pública y privada, el servidor de seguridad se
ha transformado en un elemento primordial para proteger la integridad de la red.
Un servidor de seguridad no es un componente único. La NCSA (National
Computer Security Association) define un servidor de seguridad como “un sistema
o una combinación de sistemas que impone un límite entre dos o más redes”.
Aunque se utilizan términos diferentes, ese límite es frecuentemente conocido como
una red de perímetro. La red de perímetro protege la intranet o red de área local
(LAN) de la empresa contra intrusiones mediante el control del acceso desde
Internet u otras grandes redes.
En la siguiente ilustración, se muestra una red de perímetro definida por servidores
de seguridad y ubicada entre una red privada e Internet a fin de proteger la red
privada.
Las organizaciones difieren en sus enfoques respecto del uso de servidores de
seguridad a fin de proporcionar seguridad. El filtro de paquetes IP ofrece baja
seguridad, es difícil de administrar y es fácil de vulnerar. Las puertas de enlace de
aplicaciones son más seguras que los filtros de paquetes y más fáciles de
administrar, ya que sólo están relacionadas con unas pocas aplicaciones específicas,
como un sistema de correo electrónico determinado. Las puertas de enlace de
circuito son más eficaces cuando el usuario de una aplicación de red es de mayor
interés que los datos transmitidos por esa aplicación. El servidor proxy constituye
una herramienta de seguridad integral que incluye una puerta de enlace de
aplicaciones, un acceso seguro para usuarios anónimos y otros servicios. A
continuación se detalla información adicional sobre cada una de estas opciones
diferentes:
21
Filtro de paquetes IP El filtro de paquetes IP fue la primera implementación de
la tecnología de servidores de seguridad. Se examinan los encabezados de paquetes
para obtener las direcciones de origen y destino, los números de puerto del
Protocolo de control de transporte (TCP) y el Protocolo de datagrama de usuario
(UDP), y otra información. El filtro de paquetes constituye una tecnología limitada
que funciona mejor en entornos de seguridad transparente en los cuales, por
ejemplo, se considera que todo lo que está fuera de la red de perímetro no es
confiable y todo lo incluido en ella sí lo es. En los últimos años, varios proveedores
han mejorado el método de filtro de paquetes con características de toma de
decisiones inteligentes en el núcleo de filtro de paquetes y, así, han creado una
nueva forma de filtro de paquetes denominada inspección dinámica de protocolos.
Puede configurar el filtro de paquetes de forma que (1) acepte tipos específicos de
paquetes y rechace el resto o (2) rechace tipos específicos de paquetes y acepte el
resto.
Puertas de enlace de aplicaciones Las puertas de enlace de aplicaciones se
utilizan cuando el contenido real de una aplicación constituye el interés principal.
Se refieren a aplicaciones específicas por sus puntos fuertes y sus limitaciones, dado
que no se adaptan fácilmente a los cambios en la tecnología.
Puertas de enlace de circuitos Las puertas de enlace de circuitos son túneles
construidos mediante un servidor de seguridad que conectan procesos o sistemas
específicos con procesos o sistemas específicos. Las puertas de enlace de circuitos
funcionan mejor en situaciones en que el usuario de la aplicación constituye un
riesgo potencial mayor que la información transmitida por la aplicación. La puerta
de enlace de circuitos difiere de un filtro de paquetes en su capacidad de conectarse
con un esquema de aplicación fuera de banda que puede agregar información
adicional.
Servidores proxy Los servidores proxy son herramientas de seguridad integral,
que incluyen las funciones de puerta de enlace de aplicaciones y servidor de
seguridad, que administran el tráfico de Internet hacia una LAN y desde ella. Los
servidores proxy también proporcionan caché de documentos y control de acceso.
Un servidor proxy puede mejorar el rendimiento al almacenar en caché y
proporcionar directamente los datos solicitados con frecuencia, por ejemplo, una
página Web visitada con frecuencia. Un servidor proxy también filtra y descarta
solicitudes que el propietario no considera adecuadas, como solicitudes de acceso
no autorizado a archivos de propietario.
Asegúrese de aprovechar las funciones de servidor de seguridad que pueden ser
útiles para la organización. Ubique una red de perímetro dentro de la topología de
red en un punto donde todo el tráfico proveniente del exterior de la red corporativa
deba pasar a través del perímetro establecido por el servidor de seguridad externo.
Es posible realizar ajustes precisos del control de acceso de forma que el servidor de
seguridad satisfaga las necesidades de su organización y, también, configurar los
servidores de seguridad de forma que informen sobre todos los intentos de acceso
no autorizado.
Para minimizar el número de puertos que se necesita abrir en el servidor de
seguridad interno, se puede utilizar un servidor de seguridad de capa de aplicación,
por ejemplo, ISA Server 2000.
Para obtener más información sobre TCP/IP, consulte “Designing a TCP/IP
Network”, que se encuentra en http://www.microsoft.com/resources/
documentation/WindowsServ/2003/all/deployguide/en-us/
dnsbb_tcp_overview.asp.
22
D E
S E G U R I D A D
Redes inalámbricas
De forma predeterminada, las redes inalámbricas se configuran de forma que
permiten los ataques de monitorización de las señales inalámbricas. Pueden ser
vulnerables a intrusos que deseen obtener acceso mediante la configuración
predeterminada de algunos hardware inalámbricos, la accesibilidad que ofrecen las
redes inalámbricas y los métodos de cifrado existentes. Existen herramientas y
opciones de configuración que pueden ofrecer protección contra ataques de
monitorización, pero recuerde que no toman medidas para proteger los equipos
contra piratas informáticos y contra virus que ingresan a través de la conexión a
Internet. Por lo tanto, resulta sumamente importante incluir un servidor de
seguridad para proteger los equipos de los intrusos no deseados de Internet.
Para obtener más información sobre cómo proteger una red inalámbrica, consulte
“Cómo hacer que la red doméstica inalámbrica 802.11b sea más segura”, ubicado en
http://support.microsoft.com/default.aspx?scid=kb;en-us;309369.
Escenarios de seguridad de red
El nivel de seguridad de red que requiere la organización depende de varios
factores. Generalmente se reduce a un compromiso entre el presupuesto y la
necesidad de mantener la seguridad de los datos corporativos. Una compañía
pequeña puede proporcionar una estructura de seguridad muy compleja que
asegure el máximo nivel de seguridad de red posible, pero una compañía pequeña
tal vez no pueda afrontar ese nivel de seguridad. En esta sección, consideraremos
cuatro escenarios y propondremos recomendaciones que ofrecen diversos niveles
de seguridad a un costo relativo.
Sin servidor de seguridad Si su organización tiene una conexión a Internet
pero no tiene un servidor de seguridad, se debe implementar alguna medida de
seguridad de red. Existen dispositivos simples de servidor de seguridad de red,
descriptos en la siguiente sección, que proporcionan la seguridad necesaria para
disuadir a los posibles piratas informáticos.
23
Un servidor de seguridad simple El nivel de seguridad mínimo
recomendado consiste en un servidor de seguridad simple entre Internet y los
datos. Este servidor de seguridad no puede proporcionar un nivel de seguridad
avanzada y no debe ser considerado muy seguro. Pero es mejor que no utilizar un
servidor de seguridad.
Lo ideal es que el presupuesto permita aplicar una solución más segura que proteja
los datos corporativos. Una de estas soluciones es ISA Server. El mayor costo de este
servidor adicional proporciona mucha más seguridad que un servidor de seguridad
para el consumo normal, dado que generalmente proporciona sólo traducción de
direcciones de red (NAT) y filtro de paquetes.
Esta solución de servidor de seguridad simple es más segura que un dispositivo de
servidor de seguridad de entrada y proporciona servicios de seguridad específicos
de Windows.
24
D E
S E G U R I D A D
Un servidor de seguridad existente Si tiene un servidor de seguridad
existente que separa la intranet de Internet, debe tener en cuenta la posibilidad de
usar un servidor de seguridad adicional que proporcione múltiples formas de
configurar los recursos internos a Internet.
Uno de estos métodos es la publicación Web. Se implementa ISA Server frente a un
servidor Web de la organización que proporciona acceso a usuarios de Internet. Con
las solicitudes Web entrantes, ISA Server puede imitar a un servidor Web para los
usuarios del exterior y, así, cumplir las solicitudes de clientes sobre el contenido
Web desde su caché. ISA Server envía solicitudes al servidor Web sólo cuando las
solicitudes no pueden ser enviadas desde su caché.
Otro método es publicación de servidor. ISA Server permite la publicación de
servidores internos en Internet sin afectar la seguridad de la red interna. Es posible
configurar las reglas de publicación Web y publicación de servidor a fin de
determinar qué solicitudes deben enviarse a un servidor en la red local y
proporcionar una capa mayor de seguridad para los servidores internos.
25
Dos servidores de seguridad existentes El cuarto escenario incluye dos
servidores de seguridad implementados con una red de perímetro establecida
(DMZ). Uno o más de estos servidores proporcionan servicios proxy inversos a fin
de que los clientes de Internet no tengan acceso a los servidores en la intranet de
forma directa. En cambio, uno de los servidores de seguridad (en lo posible, el
servidor de seguridad interno) intercepta las solicitudes de red para los servidores
internos, examina esos paquetes y los envía en nombre del host de Internet.
Este escenario es similar al escenario anterior una vez que se agrega el segundo
servidor de seguridad. La única diferencia es que el servidor de seguridad interno
que admite proxy inverso no es ISA Server. En este escenario, debe trabajar
conjuntamente con los administradores de cada servidor de seguridad a fin de
definir las reglas de publicación de servidor que cumplen la política de seguridad.
26
D E
S E G U R I D A D
Capítulo 4:
Protección contra virus
Utilice la información siguiente para conocer los diferentes tipos de virus
informáticos y las medidas que puede adoptar para ayudar a evitar que los equipos
de su empresa se infecten con estos virus.
•
•
Información general sobre virus
Tipos de virus
Información general sobre virus
Un virus informático es un archivo ejecutable diseñado para replicarse, para borrar
o dañar programas y archivos de datos y para evitar su detección. Por lo general, los
virus se vuelven a escribir y se adaptan para que no se los pueda detectar. Los virus
suelen enviarse como archivos adjuntos en un correo electrónico. Los programas
antivirus deben actualizarse permanentemente para buscar virus nuevos y
modificados. Los virus constituyen el método principal de vandalismo informático.
El software antivirus está específicamente diseñado para la detección y la
prevención de programas de virus. Debido a que se crean programas de virus
nuevos de forma continua, muchos fabricantes de productos antivirus ofrecen a los
clientes actualizaciones periódicas de su software. Microsoft recomienda
implementar software antivirus en el entorno de su organización.
El software de virus se instala, por lo general, en cada uno de estos tres lugares:
estaciones de trabajo de usuarios, servidores y la red en la que el correo electrónico
ingresa en la organización (y en algunos casos, sale de ella).
Para obtener más información sobre virus y seguridad informática en general,
consulte los siguientes sitios Web de seguridad de Microsoft:
•
Microsoft Seguridad (http://www.microsoft.com/spain/seguridad/
default.mspx).
•
Documentación de seguridad en Microsoft TechNet (http://
www.microsoft.com/technet/security/Default.mspx) (en inglés).
Tipos de virus
Existen cuatro tipos principales de virus que infectan sistemas informáticos: virus
del sector de inicio, virus que infectan archivos, programas de caballo de Troya y
virus de macro.
Virus del sector de inicio Cuando se inicia un equipo, este tipo de virus
explora el sector de inicio del disco duro antes de cargar el sistema operativo o
cualquier otro archivo de inicio. Un virus del sector de inicio está diseñado para
reemplazar la información contenida en los sectores de inicio del disco duro por su
propio código. Cuando un virus del sector de inicio infecta un equipo, se lee el
código del virus en la memoria antes de todo. Una vez que el virus está en la
memoria, puede replicarse en otros discos que se utilicen en el equipo infectado.
Virus que infectan archivos Los virus que infectan archivos, el tipo de virus
más común, se adjuntan a un archivo de programa ejecutable agregando su propio
27
código al archivo. La forma en que se agrega el código del virus, por lo general,
impide su detección. Cuando se ejecuta el archivo infectado, el virus puede
adjuntarse a otros archivos ejecutables. Este tipo de virus suele infectar archivos con
las extensiones de nombre de archivo .com, .exe o .sys.
Algunos virus que infectan archivos están diseñados para programas específicos.
Los tipos de programa que generalmente son objeto de ese tipo de virus son los
archivos de superposición (.ovl) y archivos de bibliotecas de vínculos dinámicos
(.dll). Aunque estos archivos no se ejecutan, son llamados por los archivos
ejecutables. El virus se transmite cuando se realiza la llamada.
Los datos se dañan cuando se desencadena el virus. Un virus puede
desencadenarse cuando se ejecuta un archivo infectado o cuando se da una
configuración particular del entorno (por ejemplo, una fecha determinada del
sistema).
Programas de caballo de Troya Un programa de caballo de Troya no es
realmente un virus. La distinción principal entre un virus y un programa de caballo
de Troya es que éste último no se replica; sólo destruye información del disco duro.
Un programa de caballo de Troya aparenta ser un programa legítimo, como un
juego o una utilidad. Sin embargo, cuando se ejecuta, puede destruir o codificar
datos.
Virus de macro Este tipo de virus informático está almacenado en la macro de
un archivo, de una plantilla o de un complemento. La propagación de un virus de
macro puede evitarse. A continuación encontrará algunos consejos que
recomendamos compartir en su organización para evitar infecciones.
28
D E
•
Instale una solución de protección contra virus que explore los mensajes
entrantes de Internet en busca de virus antes de que los mensajes pasen por el
enrutador. Esto garantizará la exploración del correo electrónico en busca de
virus conocidos.
•
Sepa de dónde provienen los documentos que reciba. No se debe abrir ningún
documento a menos que provengan de alguien confiable para el usuario.
•
Hable con la persona que creó el documento. Si los usuarios no están seguros de
que el documento sea seguro, deben comunicarse con la persona que lo creó.
•
Utilice la protección contra virus de macro de Microsoft Office. En Office, las
aplicaciones avisan al usuario si un documento contiene macros. Esta
característica permite que el usuario habilite o deshabilite las macros al abrir un
documento.
•
Utilice un programa antivirus para detectar y quitar los virus de macro. El
programa antivirus puede detectar y, por lo general, quitar virus de macro de
los documentos. Microsoft recomienda utilizar un antivirus certificado por
ICSA (International Computer Security Association).
•
Configure el nivel de seguridad de macros de los archivos de Microsoft Office
en Alto o Medio y utilice firmas digitales. Una firma digital es una marca de
autenticación electrónica segura y basada en el cifrado de una macro o de un
documento. Esta firma garantiza que la macro o el documento fueron creados el
firmante y que no se han modificado. Para obtener más información sobre las
características de seguridad de Microsoft Office, visite el sitio Web de Microsoft
Office Online (http://office.microsoft.com/es-hn/default.aspx).
S E G U R I D A D
Capítulo 5:
Microsoft Dynamics GP seguridad
Microsoft Dynamics GP proporciona diversos tipos de seguridad. La información
incluida a continuación consiste en una descripción general sobre las características
de seguridad disponibles en Microsoft Dynamics GP.
Para obtener instrucciones paso a paso sobre cómo configurar la seguridad de la
aplicaciónMicrosoft Dynamics GP, consulte la Parte 2: Configuración de usuario de
Microsoft Dynamics GP del manual de configuración del sistema.
Se puede tener acceso al manual de configuración del sistema de Microsoft
Dynamics GP seleccionando la opción Manuales imprimibles desde el menú Ayuda
de Microsoft Dynamics GP, o descargándolos desde el sitio Web CustomerSource.
Microsoft Dynamics GP utiliza las funciones fijas y de base de datos de Microsoft
SQL Server para lograr una administración más eficaz de la seguridad.
•
•
•
•
•
•
•
•
Áreas afectadas por la configuración de seguridad
Concesión de acceso de seguridad
Utilización de las contraseñas en Microsoft Dynamics GP
Elementos para los que puede configurar seguridad
Seguridad de aplicación
Seguridad de utilidades de Microsoft Dynamics GP
Etiquetas inteligentes de Office
Solución de problemas de seguridad
Áreas afectadas por la configuración de seguridad
Las siguientes áreas de Microsoft Dynamics GP se ven afectadas por la
configuración de seguridad.
Sistema La seguridad de sistema controla el acceso a la información de
configuración de todo el sistema, como la configuración de nuevos registros de
usuario, la asignación de seguridad de usuario o la impresión de reportes con dicha
información. La seguridad del nivel del sistema se controla a través del uso de una
contraseña, que sólo debe conocer un número reducido de usuarios.
Compañía La seguridad de compañía controla el acceso a las compañías de cada
uno de los usuarios. Cuando se configura un nuevo registro de usuario, esa persona
no tiene acceso a ninguna compañía. Es necesario concederle acceso mediante la
ventana Configuración de acceso de usuario, para que pueda iniciar sesión en
Tareas de seguridad Se asignan tareas de seguridad a las distintas funciones y
se concede acceso a ventanas, reportes, archivos y otros recursos de Microsoft
Dynamics GP a los que los usuarios necesitan acceder para completar tareas
específicas. Se han creado algunas tareas de seguridad predeterminadas. Por
ejemplo, la tarea DEFAULTUSER permite a los usuarios acceder a funciones que la
mayoría de los usuarios necesitarán utilizar en Microsoft Dynamics GP.
Funciones de seguridad Las funciones de seguridad incluyen las tareas a las
que los usuarios necesitan acceder para realizar su trabajo. Se han creado algunas
funciones de seguridad predeterminadas. Por ejemplo, la función ACCOUNTING
29
MANAGER* incluye tareas de seguridad que permiten al usuario a quien se asigna
esta función consultar la información de cuentas de Contabilidad, especificar
entradas de diario, especificar transacciones bancarias y realizar otras tareas
correspondientes a un administrador de contabilidad.
Usuarios individuales En Microsoft Dynamics GP, la seguridad individual se
basa en funciones. Se debe asignar a cada usuario una función de seguridad para
que puedan acceder a formularios, reportes y otros datos de Microsoft Dynamics
GP. Para comenzar con la asignación de seguridad de usuario, identifique las tareas
diarias que los usuarios deben completar en Microsoft Dynamics GP. A
continuación, seleccione las opciones de funciones de seguridad predeterminadas o
cree nuevas funciones para conceder acceso únicamente a las tareas que necesitan
los usuarios.
Por ejemplo, el usuario ABC es el administrador de contabilidad de Fabrikam, Inc.,
y necesita acceso para configurar Contabilidad, impuestos y cuentas bancarias, y
para realizar otras tareas de contabilidad. Analice las funciones de seguridad
predeterminadas de Microsoft Dynamics GP para buscar aquella que concede
acceso a las funcionalidades de contabilidad adecuadas para el usuario ABC. Para
este ejemplo, la función de seguridad ACCOUNTING MANAGER* es la adecuada
para el usuario ABC. Utilice la ventana Configuración de seguridad de usuario para
asignar la función de seguridad ACCOUNTING MANAGER* al usuario ABC en la
compañía Fabrikam, Inc.
Tareas específicas del módulo La mayoría de los módulos de Microsoft
Dynamics GP incluyen tareas específicas que se pueden configurar de manera que
requieran una contraseña; cada tarea puede tener una contraseña diferente. En este
caso, todos los usuarios que traten de realizar una tarea, deben introducir la
contraseña. Consulte la documentación de configuración de cada módulo contable
para obtener información sobre estas contraseñas.
Cuenta La seguridad del nivel de cuenta aumenta la seguridad y las vistas de las
cuentas. Los usuarios pueden especificar, editar y ver información de un grupo
reducido de cuentas según el nivel de acceso que se haya concedido a las mismas.
Seguridad de nivel de campo La seguridad de nivel de campo restringe el
acceso a cualquier campo, ventana o formulario de Microsoft Dynamics GP. Permite
aplicar una contraseña o hacer que una ventana o formulario no esté disponible.
Además, también permite ocultar, bloquear o aplicar contraseñas a campos.
Concesión de acceso de seguridad
Los administradores de sistema pueden conceder acceso a distintas partes del
sistema Microsoft Dynamics GP de todas las compañías para usuarios individuales.
Si utiliza Report Writer o Modificador para modificar formularios o reportes, un
administrador debe agregar los formularios y reportes modificados a un Id. de
formularios y reportes alternativos/modificados y luego asignar este Id. a cada
usuario que pueda consultar dichos reportes.
Usuarios individuales En Microsoft Dynamics GP, la seguridad individual se
basa en funciones. Se debe asignar a cada usuario una función de seguridad para
que puedan acceder a formularios, reportes y otros datos de Microsoft Dynamics
GP. Para comenzar con la asignación de seguridad de usuario, identifique las tareas
diarias que los usuarios deben completar en Microsoft Dynamics GP. A
continuación, seleccione las opciones de funciones de seguridad predeterminadas o
30
D E
S E G U R I D A D
cree nuevas funciones para conceder acceso únicamente a las tareas que necesitan
los usuarios.
Por ejemplo, el usuario ABC es el administrador de contabilidad de Fabrikam, Inc.,
y necesita acceso para configurar Contabilidad, impuestos y cuentas bancarias, y
para realizar otras tareas de contabilidad. Analice las funciones de seguridad
predeterminadas de Microsoft Dynamics GP para buscar aquella que concede
acceso a las funcionalidades de contabilidad adecuadas para el usuario ABC. Para
este ejemplo, la función de seguridad ACCOUNTING MANAGER* es la adecuada
para el usuario ABC. Utilice la ventana Configuración de seguridad de usuario para
asignar la función de seguridad ACCOUNTING MANAGER* al usuario ABC en la
compañía Fabrikam, Inc.
Tareas específicas del módulo La mayoría de los módulos de Microsoft
Dynamics GP tienen tareas específicas que se pueden configurar de manera que
requieran una contraseña; cada tarea puede tener una contraseña diferente. En este
caso, todos los usuarios que traten de realizar una tarea, deben introducir la
contraseña. Consulte la documentación de configuración de cada módulo contable
para obtener información sobre estas contraseñas.
Utilización de las contraseñas en Microsoft Dynamics
GP
En Microsoft Dynamics GP, las contraseñas se utilizan para controlar el acceso a
una compañía y a partes seleccionadas del sistema contable. Las contraseñas
pueden contener letras mayúsculas y minúsculas, caracteres numéricos, signos de
puntuación y espacios incrustados. Existen tres tipos de contraseña.
Contraseñas de usuario Las contraseñas de usuario controlan el acceso a
Microsoft Dynamics GP de usuarios concretos. Las contraseñas de usuario deben
ser configuradas, inicialmente, en la ventana Configuración de usuarios por un
administrador o se deben especificar durante el proceso de instalación inicial de
Microsoft Dynamics GP. Los usuarios pueden cambiar sus contraseñas en la
ventana Configuración de contraseña de usuario.
Contraseñas del sistema La contraseña del sistema controla el acceso a la
información de todo el sistema, como la configuración de nuevos registros de
usuario, la asignación de la seguridad de usuario o la impresión de los informes con
dicha información. La contraseña del sistema se configura mediante la ventana
Configuración de contraseña del sistema. Sólo un número reducido de usuarios
deben conocer esta contraseña.
Contraseñas de tareas La mayoría de los módulos de Microsoft Dynamics GP
tienen tareas específicas que se pueden configurar de manera que requieran una
contraseña; cada tarea puede tener una contraseña distinta. En este caso, todos los
usuarios que traten de realizar una tarea, deben introducir la contraseña. Consulte
la documentación de configuración de cada módulo contable para obtener
información sobre estas contraseñas.
31
Elementos para los que puede configurar seguridad
Puede configurar la seguridad para los siguientes elementos de Microsoft Dynamics
GP y productos de integración.
Artículo
Descripción
Ventanas
Ventanas del producto seleccionado.
Reportes
Informes del producto seleccionado.
Ventanas modificadas
Ventanas personalizadas mediante el modificador.
Informes modificados
Copias principales de los informes creados con Report Writer. Nota:
En la lista aparece el nombre Report Writer del reporte. Dicho
nombre es el que aparece en la barra de título de la ventana Salida
en pantalla cuando se imprime un informe.
Archivos
Tablas del producto seleccionado.
Informes de Microsoft
Reportes de Microsoft Dynamics GP que se han incorporado a los
Dynamics GP alternativos* productos de integración instalados.
Ventanas alternativas de
Microsoft Dynamics GP*
Ventanas de Microsoft Dynamics GP que se han incorporado a los
productos de integración instalados.
Reportes alternativos
modificados de Microsoft
Dynamics GP*
Informes alternativos que se han modificado mediante Report
Writer.
Ventanas alternativas
modificadas de Microsoft
Dynamics GP*
Ventanas alternativas que se han modificado mediante el
modificador.
Reportes personalizados
Copias secundarias y nuevos informes creados en Report Writer.
Informes financieros
avanzados
Informes financieros avanzados modificados.
Permisos de
contabilización de serie
Tareas de contabilización específicas para cada producto de
Microsoft Dynamics GP adquirido.
Herramientas de
personalización
Herramientas utilizadas para personalizar el sistema contable, como
Report Writer o el modificador. Los usuarios nuevos no tienen
acceso a estas herramientas de forma predeterminada. Se les debe
conceder acceso.
Importación de Microsoft
Dynamics GP **
El Administrador de integración de Microsoft Dynamics GP.
También configura la seguridad de la Utilidad para importar de
Microsoft Dynamics GP. Los usuarios nuevos no tienen acceso a
estas herramientas de forma predeterminada. Se les debe conceder
acceso.
Acceso a documento
Cotizaciones, pedidos, facturas, devoluciones y pedidos en espera
para procesos de ventas. Órdenes de compra estándar y de entrega
directa para procesos de compras.
Cartas
Correspondencia para clientes, empleados y proveedores que están
disponibles mediante el Asistente para escribir cartas.
Listas de exploración
Principales listas predeterminadas. Nota: Si se restringe el acceso a
una lista principal, el acceso a las vistas de lista que se basa en
dichas listas principales también estará restringido.
*Estos elementos aparecen sólo si está utilizando un producto de integración y lo ha
seleccionado en la lista Productos.
**Estos tipos sólo aparecen si el elemento correspondiente está instalado y registrado.
32
D E
S E G U R I D A D
Seguridad de aplicación
Utilice la siguiente información para comprender mejor cómo Microsoft Dynamics
GP administra la seguridad de la aplicación.
•
Las tareas que debe llevar a cabo un administrador incluyen hacer copias de
seguridad, crear compañías y crear nuevos Id. de usuario.
•
El propietario de la base de datos está configurado en DYNSA para todas las
bases de datos de Microsoft Dynamics GP. Resulta esencial que DYNSA
continúe siendo el propietario de todas las bases de datos de Microsoft
Dynamics GP. Si se asigna un propietario diferente, pueden surgir
complicaciones cuando se eliminan cuentas de usuario y se concede acceso a
compañías.
•
Los usuarios DYNSA y sa se asignan automáticamente a la función de
seguridad POWERUSER. Todos los usuarios a quienes se asigne la función de
seguridad POWERUSER tendrán acceso total a Microsoft Dynamics GP, a
excepción de las listas privadas.
•
Todos los usuarios deben tener contraseñas válidas para iniciar sesión en la
aplicación. Si se detecta una contraseña en blanco, se le solicitará al usuario que
cambie la contraseña antes de iniciar sesión en la aplicación. Asimismo, se
recomienda eliminar todas las cuentas de usuario inactivas o asignarles una
contraseña válida y quitarles del acceso a la compañía.
•
Los usuarios del tutorial sólo tienen acceso a la compañía de ejemplo.
•
Cada función de seguridad nueva que se crea automáticamente incluye la tarea
de seguridad DEFAULTUSER. La tarea de seguridad DEFAULTUSER permite a
los usuarios acceder a funciones que la mayoría de los usuarios generalmente
necesitarán utilizar en Microsoft Dynamics GP.
Seguridad de utilidades de Microsoft Dynamics GP
Cualquier miembro de la función de servidor fijo SysAdmin puede actualizar desde
una versión anterior o instalar Microsoft Dynamics GP.
Seguridad para instalaciones nuevas
Utilidades de Microsoft Dynamics GP comprueba si existe una conexión de
DYNSA. Si no existe, se crea la conexión, y el usuario DYNSA debe escribir una
contraseña para poder continuar. DYNSA está configurado como propietario de
bases de datos para TODAS las bases de datos de Microsoft Dynamics GP.
•
Cuando se crea la conexión de DYNSA, éste se asigna a las funciones de
servidor fijo SecurityAdmin y dbCreator.
•
Cualquier usuario con los permisos SQL adecuados puede instalar Microsoft
Dynamics GP.
•
Al instalar la compañía de ejemplo, se deben proporcionar las contraseñas
cuando se crean las cuentas de los usuarios de tutorial (LESSONUSER).
•
Cuando se crean las conexiones de DYNSA, LESSONUSER1 y LESSONUSER2,
estos usuarios no tienen acceso a la tabla SY02400 (tabla maestra de contraseñas
33
del sistema). Esto significa que éstas tampoco pueden tener acceso a esta tabla
mediante Report Writer.
Actualización desde una versión anterior
•
Cuando el administrador del sistema (“sa”) inicia sesión en las Utilidades de
Microsoft Dynamics GP, la aplicación comprueba si la contraseña de DYNSA
está <en blanco> o es ACCESO. Si una de estas opciones es verdadera, el
usuario debe escribir una nueva contraseña de DYNSA para continuar con la
actualización.
•
Se quita el acceso a la tabla SY02400 (tabla maestra de contraseñas de sistema)
en Report Writer para todos los usuarios.
•
Cuando se crea la conexión de DYNSA, éste se asigna automáticamente a las
funciones de servidor fijo SecurityAdmin y dbCreator.
Etiquetas inteligentes de Office
El administrador de etiquetas inteligentes de Microsoft Office se utiliza para
configurar y activar las etiquetas inteligentes de Office en la aplicación Microsoft
Dynamics GP. Las etiquetas inteligentes de Microsoft Office no están asociadas a la
seguridad de Microsoft Dynamics GP.
El administrador de etiquetas inteligentes de Office se descarga por separado del área
Downloads & Updates (descargas y actualizaciones) del sitio Web CustomerSource. Para
obtener instrucciones detalladas sobre la instalación de las etiquetas inteligentes de Office,
consulte el manual de etiquetas inteligentes de Office de Microsoft Dynamics GP.
Las etiquetas inteligentes de Office se configuran según grupos de red, de forma
que los usuarios con necesidades comerciales comunes (como representantes de
atención al cliente, analistas comerciales o vendedores) puedan tener acceso al
mismo conjunto de etiquetas inteligentes y a las mismas bases de datos de la
compañía. Se debe planear y configurar los grupos de red antes de la instalación del
administrador de etiquetas inteligentes de Office. Luego de instalar el
administrador de etiquetas inteligentes de Office y de crear los grupos de red, y
agregar los usuarios a los grupos correspondientes, se debe definir el acceso a las
entidades, acciones y compañías aplicables para cada grupo de red en la
herramienta de administración de etiquetas inteligentes de Office.
Se puede hacer que las entidades y acciones estén disponibles o no disponibles de
manera individual o todas a la vez. Cuando una entidad no está disponible,
tampoco lo están todas sus acciones.
Debe conceder acceso de grupo a por lo menos una entidad, acción o compañía para
que el administrador de etiquetas inteligentes de Office esté disponible para los
miembros del grupo.
Las etiquetas inteligentes de Office se identifican por el tipo de datos o entidades
que reconocen desde las aplicaciones de Microsoft Dynamics. Cada entidad puede
llevar a cabo varias acciones, y las acciones proporcionan vínculos directos a las
aplicaciones de Microsoft Dynamics desde Office.
Para cada grupo del administrador de etiquetas inteligentes de Office, se debe
habilitar el acceso a las entidades de etiquetas inteligentes adecuadas para las
necesidades comerciales del grupo. Por ejemplo, puede resultar adecuado que los
34
D E
S E G U R I D A D
representantes de atención al cliente tengan acceso a las etiquetas inteligentes
Cliente, Artículo y Cuenta, o que los analistas comerciales tengan acceso a todas las
etiquetas inteligentes de Microsoft. Debe también habilitar el acceso a acciones para
cada una de las entidades de etiquetas inteligentes habilitadas según corresponda a
cada grupo. Por ejemplo, puede resultar adecuado habilitar sólo la visualización de
acciones para los representantes de atención al cliente, cuya única responsabilidad
es responder las consultas de pedidos de clientes, en lugar de otorgarles la
capacidad de abrir las ventanas de aplicación.
Para cada grupo del administrador de etiquetas inteligentes de Office, también debe
habilitar el acceso a compañías específicas en la aplicación de Microsoft Dynamics.
Este acceso debe corresponder con las necesidades comerciales comunes de los
usuarios.
Cuando un usuario pertenece a más de un grupo del administrador de etiquetas inteligentes,
ese usuario sólo tiene acceso a las entidades, acciones y compañías de etiquetas inteligentes
habilitadas en todos los grupos. Si una entidad, acción o compañía no está disponible en uno
de los grupos, dicha entidad, acción o compañía no estará disponible para el usuario.
Asimismo, no se puede crear un grupo de red con el nombre de grupo “SmartTags” porque
esta frase constituye un nombre reservado en la aplicación.
Solución de problemas de seguridad
Muchos de los procesos de Microsoft Dynamics GP, como la contabilización o la
impresión, requieren que el usuario que los realiza tenga acceso a varias ventanas,
informes y tablas. Si se deniega a un usuario el acceso a un elemento que es parte de
un proceso, el usuario no podrá finalizar el proceso. Es posible que aparezca un
mensaje indicando que el usuario no tiene derechos para abrir el recurso. Sin
embargo, no siempre aparece un mensaje que indica el problema. Al denegar acceso
a tablas, sólo se deniega el acceso a los informes que tienen acceso a la tabla.
Si un usuario tiene problemas para llevar a cabo un proceso, compruebe que las
funciones asignadas al usuario en la ventana Configuración de seguridad de
usuario incluyan las tareas que el usuario necesita para completar el proceso. La
causa del problema puede ser que el usuario no tenga acceso a todos los elementos
que se utilizan en el proceso.
35
36
D E
S E G U R I D A D
Capítulo 6:
El modelo de seguridad de bases de
datos de Microsoft Dynamics GP
Utilice esta información para aprender sobre el modelo de seguridad de bases de
datos de Microsoft Dynamics GP.
•
•
•
•
Seguridad de contraseñas
Función de base de datos DYNGRP
Función de servidor fijo SysAdmin
Funciones de bases de datos fijas de SQL Server que comienzan con “rpt_”
Seguridad de contraseñas
Las cuentas de usuarios deben crearse en la aplicación de Microsoft Dynamics GP a
fin de garantizar que la seguridad se aplique a todas las ventanas y reportes de .
Microsoft Dynamics GP cifra la contraseña durante el proceso de creación de
usuarios antes de que se transfiera a Microsoft SQL Server. Por ejemplo, si se crea
una cuenta de usuario con la contraseña ‘1234’, antes de que se cree la cuenta de
usuario en Microsoft SQL Server, dicha contraseña pasa a través del proceso de
cifrado de Microsoft Dynamics GP y se cambia por ‘ABCD’. Cuando esto sucede,
sólo la aplicación de Microsoft Dynamics GP y otras aplicaciones que utilizan el
proceso de cifrado de Microsoft Dynamics GP pueden traducir la contraseña del
usuario antes de enviarla a Microsoft SQL Server.
Si un usuario intenta tener acceso a Microsoft SQL Server desde afuera de una
aplicación de Microsoft Dynamics GP, se denegará el intento de inicio de sesión, ya
que no coinciden las contraseñas. Para mayor seguridad, Microsoft Dynamics GP
no permite que un usuario cambie su contraseña por una en blanco o no cifrada.
Función de base de datos DYNGRP
Es vital comprender la función de base de datos DYNGRP para la seguridad de los
datos. La función de base de datos DYNGRP se utiliza para obtener acceso a objetos,
como tablas, procedimientos almacenados y vistas, que existen en la base de datos.
De esta forma, se simplifica el proceso de asignación de permisos específicos a
objetos de bases de datos. Al conceder permisos SELECCIONAR, ACTUALIZAR,
INSERTAR, ELIMINAR Y EJECUTAR a la base de datos DYNGRP para todos los
objetos existentes en ella, se elimina la necesidad de conceder explícitamente el
acceso a objetos a usuarios individuales para las bases de datos de SQL y la
aplicación de Microsoft Dynamics GP. En cambio, los usuarios individuales de
Microsoft Dynamics GP son miembros de la base de datos DYNGRP, y dichos
usuarios heredan los mismos permisos. Cuando un administrador concede a un
usuario acceso a una compañía de Microsoft Dynamics GP, el usuario también se
transforma en miembro de DYNGRP para la base de datos correspondiente.
A pesar de que esta función de base de datos se utiliza conjuntamente con la
aplicación de Microsoft Dynamics GP, resulta importante comprender que sólo los
usuarios de Microsoft Dynamics GP deben ser miembros de esta función. Si las
cuentas de usuario que no tienen contraseñas cifradas se ubican dentro de esta
función de base de datos, los usuarios posiblemente tengan acceso a través de otras
aplicaciones. Si otras aplicaciones necesitan tener acceso a los datos de Microsoft
Dynamics GP, el administrador debe crear nuevas funciones de base de datos con
permisos específicos establecidos sólo para los objetos a los cuales necesitan tener
37
acceso los usuarios individuales. El cumplimiento de este proceso reduce el riesgo
de que usuarios no autorizados tengan acceso a sus datos.
Función de servidor fijo SysAdmin
Existen dos tipos de funciones de SQL Server: de servidor fijo y de bases de datos.
Las funciones de servidor fijo se utilizan para administrar SQL Server y para
realizar funciones que afectan la disponibilidad y los procesos de SQL Server, como
crear bases de datos y agregar conexiones. Las funciones de base de datos se
utilizan para administrar la base de datos específica a la cual se asignan las
funciones de base de datos. Las funciones de administración de bases de datos
incluyen conceder acceso de usuario, conceder permisos a objetos de bases de datos
y hacer copias de seguridad de la base de datos.
Funciones de bases de datos fijas de SQL Server que
comienzan con “rpt_”
Durante la instalación de Microsoft Dynamics GP, se crea una función de bases de
datos fijas de SQL Server que corresponde a cada uno de los reportes de SQL Server
Reporting Services, conexiones de datos y reportes de Microsoft Excel®. Cada
función comienza con “rpt_” e incluye acceso SELECT a los datos de Microsoft
Dynamics GP para la conexión de datos o el reporte a los que corresponde la
función.
Los usuarios deben agregarse como miembros de las funciones de SQL Server que
corresponden a los reportes o las conexiones de datos a los que necesitan acceder.
Para obtener más información, consulte la Guía de configuración del sistema(Ayuda
>> Contenido >> seleccione Configuración del sistema).
38
D E
S E G U R I D A D
Capítulo 7:
Tareas de seguridad de la aplicación
principal
La información siguiente describe tareas comunes de seguridad de la aplicación
principal y varias opciones para llevar a cabo las tareas. Las opciones ofrecen
distintos niveles de seguridad. La opción con el número más alto constituye la
opción más segura para cada tarea.
•
•
•
•
•
•
•
•
•
Creación de registros de usuario
Eliminación de registros de usuario
Concesión de acceso de usuario
Realizar copias de seguridad de bases de datos
Restauración de bases de datos
Alertas de negocio
Mantenimiento de SQL
Eliminación de compañías
Eliminación de cuentas de usuario inactivas
Creación de registros de usuario
La creación y la administración de cuentas de usuario en Microsoft Dynamics GP
son algunas de las tareas más delicadas, ya que implican la concesión de acceso a los
datos. Se pueden elegir las siguientes opciones disponibles. La elección más segura
es la opción 5.
Opciones
1.
Inicie sesión en Microsoft Dynamics GP como el administrador del sistema
(“sa”) y cree los usuarios según sea necesario (no hay diferencia con las
versiones anteriores). Las cuentas de administrador de Microsoft Dynamics GP
pueden ser cualquier cuenta de usuario de la aplicación.
2.
Asigne las cuentas de inicio de sesión de SQL específicas del administrador de
Microsoft Dynamics GP a la función de servidor fijo SysAdmin. El usuario
actual debe ser un miembro de DYNGRP en la base de datos DYNAMICS a fin
de ejecutar procedimientos almacenados. Con esta opción, el administrador de
Microsoft Dynamics GP puede ser cualquier cuenta de usuario de la aplicación
de Microsoft Dynamics GP.
3.
Asigne el inicio de sesión del propietario (DYNSA) de la base de datos
DYNAMICS a la función de servidor fijo SecurityAdmin e inicie sesión en el
cliente que utiliza el usuario DYNSA.
4.
Asigne la cuenta de conexión SQL específica del administrador(es) de Microsoft
Dynamics GP a la función de servidor fijo SecurityAdmin y también a la
función de base de datos Db_Owner existente en la base de datos DYNAMICS.
Con esta opción, el administrador de Microsoft Dynamics GP puede ser
cualquier cuenta de usuario de la aplicación de Microsoft Dynamics GP; sin
embargo, DYNSA debe ser el propietario de base de datos de TODAS las bases
de datos de Microsoft Dynamics GP.
39
5.
Dynamics GP a la función de servidor fijo SecurityAdmin y a las funciones de
base de datos Db_AccessAdmin y Db_SecurityAdmin existentes en la base de
datos DYNAMICS. Con esta opción, el administrador de Microsoft Dynamics
GP puede ser cualquier cuenta de usuario de la aplicación de Microsoft
Dynamics GP; sin embargo, DYNSA debe ser el propietario de base de datos de
TODAS las bases de datos de Microsoft Dynamics GP.
Eliminación de registros de usuario
La eliminación de registros de usuario es tan importante para la seguridad como la
creación de cuentas de usuario. Por ello, las mismas opciones que están disponibles
cuando se crean registros de usuario están disponibles cuando se eliminan dichos
registros. Las siguientes opciones están disponibles. La opción más segura es la
opción 5.
Opciones
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) y elimine
los registros de usuarios según sea necesario (no hay diferencia con las
versiones anteriores).
2.
Asigne las cuentas de inicio de sesión de SQL específicas del administrador(es)
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin. Con esta
opción, el administrador de Microsoft Dynamics GP puede ser cualquier cuenta
de usuario de la aplicación de Microsoft Dynamics GP.
3.
Asigne el inicio de sesión del propietario (DYNSA) de la base de datos a la
función de servidor fijo SecurityAdmin e inicie sesión en el cliente que utiliza
DYNSA. Con esta opción, DYNSA debe ser el propietario de base de datos de
TODAS la bases de datos de Microsoft Dynamics GP.
4.
función de base de datos Db_Owner existente en todas las bases de datos de
Microsoft Dynamics GP. El Administrador de Microsoft Dynamics GP puede
ser cualquier cuenta de usuario de la aplicación de Microsoft Dynamics GP.
5.
función de base de datos Db_AccessAdmin existente en todas las bases de datos
de Microsoft Dynamics GP. Con esta opción, el administrador de Microsoft
Dynamics GP puede ser cualquier cuenta de usuario de la aplicación de
Microsoft Dynamics GP; sin embargo, DYNSA debe ser el propietario de base
de datos de TODAS las bases de datos de Microsoft Dynamics GP.
Concesión de acceso de usuario
Los pasos requeridos para conceder acceso a una base de datos de una compañía en
Microsoft Dynamics GP Versión 9.0 siguen siendo los mismos que en las versiones
anteriores. Sin embargo, el usuario debe tener permisos suficientes para tener
acceso a la base de datos de la compañía. Las siguientes opciones están disponibles.
La elección más segura es la opción 5.
40
D E
S E G U R I D A D
Opciones
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) y
conceda el acceso según sea necesario (no hay diferencia con las versiones
anteriores).
2.
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin. Con esta
opción, el administrador de Microsoft Dynamics GP puede ser cualquier cuenta
de usuario de la aplicación de Microsoft Dynamics GP.
3.
Inicie sesión como el propietario de base de datos (DYNSA). Con esta opción,
DYNSA debe ser el propietario de base de datos de TODAS la bases de datos de
4.
Dynamics GP a la función de base de datos Db_Owner existente en todas las
bases de datos de Microsoft Dynamics GP. Con esta opción, el administrador de
Microsoft Dynamics GP puede ser cualquier cuenta de usuario de la aplicación
de Microsoft Dynamics GP; sin embargo, DYNSA debe ser el propietario de
base de datos de TODAS las bases de datos de Microsoft Dynamics GP.
5.
Dynamics GP a las funciones de base de datos Db_AccessAdmin y
Db_SecurityAdmin existentes en todas las bases de datos de Microsoft
Dynamics GP. Con esta opción, el administrador de Microsoft Dynamics GP
puede ser cualquier cuenta de usuario de la aplicación de Microsoft Dynamics
GP; sin embargo, DYNSA debe ser el propietario de base de datos de TODAS
las bases de datos de Microsoft Dynamics GP.
Realizar copias de seguridad de bases de datos
Se pueden elegir las siguientes opciones disponibles. La elección más segura es la
opción 4.
Opciones
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) y haga
las copias de seguridad según sea necesario (no hay diferencia con las versiones
anteriores).
2.
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin.
3.
Inicie sesión en la aplicación mediante el inicio de sesión de propietario de la
base de datos (DYNSA).
4.
Asigne las cuentas de inicio de sesión de SQL específicas del usuario(s) de
Microsoft Dynamics GP a la función de base de datos Db_BackupOperator.
Dado que esta opción no requiere que el(los) administrador(es) inicie sesión
como el administrador del sistema de SQL Server, es la opción más segura.
41
Restauración de bases de datos
También se ofrece la opción de restaurar bases de datos en la aplicación de
Microsoft Dynamics GP. Debido a que existe el riesgo de que esta característica se
emplee incorrectamente para modificar, eliminar o dañar datos, el acceso a la
ventana Restaurar compañía está restringido al inicio de sesión del administrador
del sistema (“sa”).
Alertas de negocio
Para la creación o ejecución de alertas de negocio se requieren varios “puntos de
contacto” o acceso en Microsoft SQL Server. Los alertas de negocio crean
procedimientos almacenados, trabajos en Microsoft SQL Server y pueden enviar
mensajes por correo electrónico a usuarios. Por lo tanto, no sólo se deben conceder
los permisos correctos a las bases de datos de la compañía sino también a objetos
existentes en las bases de datos maestra y msdb. La propiedad de objetos también
constituye un problema al crear estos objetos, en especial para los trabajos de
Microsoft SQL Server. Por ello, tan sólo se incluyen dos opciones para la creación de
alertas de negocio. La elección más segura es la opción 2.
Opciones
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) y cree las
alertas de negocios según sea necesario (no hay diferencia con las versiones
anteriores).
2.
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin. Dado que
esta opción no requiere que el (los) administrador(es) inicie sesión como el
administrador del sistema de SQL Server, es la opción más segura.
Mantenimiento de SQL
La ventana Mantenimiento de SQL ofrece la posibilidad de borrar y crear tablas y
procedimientos almacenados desde la aplicación de Microsoft Dynamics GP. El
administrador del sistema (“sa”) y el propietario de base de datos (DYNSA) tienen
acceso a esta ventana, aunque también se puede asignar acceso a otros inicios de
sesión. Existen tres modos de obtener acceso a esta ventana. La elección más segura
es la opción 3.
Opciones
42
D E
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) para
tener acceso a esta ventana (no hay diferencia con las versiones anteriores).
2.
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin y utilice esa
cuenta para tener acceso a esta ventana.
3.
Inicie sesión como el propietario de base de datos (DYNSA) para tener acceso a
esta ventana. Dado que esta opción no requiere que el (los) administrador(es)
inicie sesión como el administrador del sistema de SQL Server, es la opción más
segura.
S E G U R I D A D
Eliminación de compañías
La ventana Eliminar compañía se utiliza para eliminar compañías de Microsoft
Dynamics GP. Las siguientes opciones están disponibles. La Opción 3 es la más
segura.
Opciones
1.
Inicie sesión en la aplicación como el administrador del sistema (“sa”) y
proceda según sea necesario (no hay diferencia con las versiones anteriores).
2.
de Microsoft Dynamics GP a la función de servidor fijo SysAdmin.
3.
Inicie sesión como el propietario de base de datos (DYNSA). Dado que esta
opción no requiere que el (los) administrador(es) inicie sesión como el
administrador del sistema de SQL Server, es la opción más segura.
Eliminación de cuentas de usuario inactivas
Los usuarios pueden quitar sus propias conexiones inactivas sin ayuda de un
administrador. Si fuera necesario, se puede quitar esta opción modificándola en
Microsoft Dexterity® o Visual Basic para modificación de aplicaciones.
43
44
D E
S E G U R I D A D
Capítulo 8:
Preguntas frecuentes
La información siguiente contiene preguntas frecuentes sobre Microsoft Dynamics
GP.
•
•
•
Cuentas de usuario
Microsoft Dynamics GP ventanas
Seguridad en Microsoft Dynamics GP
Cuentas de usuario
La información siguiente contiene respuestas a preguntas sobre cuentas de usuario.
¿Por qué una cuenta de usuario debe tener acceso a todas las bases
de datos de Microsoft Dynamics GP para eliminar otra cuenta de
usuario?
Cuando se elimina una cuenta de usuario, Microsoft Dynamics GP quita la cuenta
de usuario de todas las bases de datos de las cuales es miembro y elimina la
conexión SQL. El usuario actual debe tener acceso a cada una de las bases de datos,
así como también debe contar con los permisos adecuados a fin de eliminar la
cuenta de usuario de SQL Server. Si el usuario actual no tiene acceso a la base de
datos para quitar una cuenta de usuario, aparece un mensaje que le avisa sobre esta
situación.
¿Debe la cuenta de usuario estar en la misma función de base de
datos para todas las bases de datos?
Técnicamente, no es necesario que el usuario pertenezca a la misma función de base
de datos para todas las bases de datos, pero es muy recomendable que así sea. Es
posible que un usuario pertenezca a la función DB_OWNER en una base de datos y
a DB_ACCESSADMIN y DB_SECURITYADMIN en otra base de datos, y que la
capacidad de conceder a los usuarios acceso a las bases de datos de la compañía
funcione adecuadamente. Sin embargo, es aconsejable que todos los usuarios de
Microsoft Dynamics GP pertenezcan a la función de base de datos DYNGRP para
un correcto funcionamiento de la aplicación.
Microsoft Dynamics GP ventanas
La información siguiente contiene respuestas a preguntas sobre ventanas de
Cuando abro la ventana Acceso de usuario, ¿por qué no están
disponibles las casillas de verificación?
Cuando no se cumplen los requisitos para utilizar la ventana Acceso de usuario, las
casillas de verificación no están disponibles. En la ventana Acceso de usuario, se
puede conceder o denegar acceso a las compañías. Para conceder o denegar acceso
tan sólo hay que agregar o quitar cuentas de usuario de la base de datos y
configurar el usuario como miembro de DYNGRP. La habilitación de las casillas de
verificación se encuentra determinada por los dos factores siguientes:
45
•
Los permisos de base de datos que tiene el usuario actual cuando abre la
ventana.
•
El usuario que ejecuta la acción tiene los permisos de base de datos correctos
descriptos en la sección Acceso de usuario de este documento. No es posible
deshabilitar individualmente cada casilla de verificación según los permisos
configurados en la ventana de la base de datos.
¿Por qué el botón Guardar no está disponible en la ventana
Configuración de usuarios?
El botón Guardar no está disponible cuando el usuario actual no tiene los permisos
adecuados para crear una cuenta de usuario. Si el usuario actual no pertenece a la
función de servidor fijo SysAdmin, se debe usar una combinación de funciones de
SQL Server a fin de crear la conexión. El usuario actual debe ser miembro de la
función de servidor fijo SecurityAdmin y también de, al menos, la función
Db_Owner o las funciones Db_AccessAdmin y Db_SecurityAdmin de la base de
datos DYNAMICS.
¿Por qué el botón Eliminar no está disponible en la ventana
El botón Eliminar no está disponible cuando el usuario actual no tiene los permisos
adecuados para eliminar una cuenta de usuario. Si el usuario actual no pertenece a
la función de servidor fijo SysAdmin, se debe usar una combinación de funciones
de SQL Server a fin de crear la conexión. El usuario actual debe ser miembro de la
función de Servidor fijo SecurityAdmin y también de, al menos, la función
Db_Owner o Db_AccessAdmin de todas las bases de datos existentes en la tabla
Maestro de compañía (SY01500). Si existen registros en la tabla Maestro de
compañía que no tienen una base de datos correspondiente, se deben quitar dichos
registros a fin de que el botón Eliminar esté disponible.
¿Por qué el campo Contraseña no está disponible en la ventana
El campo Contraseña no está disponible si se especifica el Id. de usuario del
administrador del sistema (“sa”) en la ventana Configuración de usuarios. No se
puede cambiar la contraseña del usuario “sa” en la aplicación de Microsoft
Dynamics GP debido a que se cifraría y dejaría de ser válida en cualquier otra
herramienta de Microsoft SQL Server.
¿Por qué algunos de los campos de contraseña (Cambiar contraseña
en el próximo inicio de sesión, Cumplir con directiva de contraseña, y
Cumplir con caducidad contraseña) no están disponibles en la
ventana Configuración de usuarios? ¿Cómo puedo comenzar a usar
dichos campos?
Estas características sólo se admiten cuando Microsoft Dynamics GP se utiliza junto
con Microsoft SQL Server 2005 y Windows Server 2003. No es compatible el uso con
Microsoft SQL Server 2000.
Seguridad en Microsoft Dynamics GP
La información siguiente contiene respuestas a preguntas sobre la seguridad en
46
D E
S E G U R I D A D
¿La aplicación de Microsoft Dynamics GP reconocerá cualquier
función de SQL Server?
Microsoft Dynamics GP reconoce y utiliza las siguientes funciones de Microsoft
SQL Server. No se seleccionan otras funciones para permitir o denegar acceso a las
funciones del producto Microsoft Dynamics GP. Se requiere que cada usuario de
Microsoft Dynamics GP sea miembro de la función de base de datos DYNGRP de
cada base de datos de Microsoft Dynamics GP.
•
Servidor fijo SysAdmin: ejecuta cualquier actividad en SQL Server. Los
permisos de esta función abarcan todas las demás funciones de servidor fijo.
•
Servidor fijo SecurityAdmin: administra las conexiones al servidor.
•
Db_Owner: realiza las actividades de todas las funciones de base de datos, así
como también otras actividades de mantenimiento y configuración en la base
de datos. Los permisos de esta función abarcan todas las demás funciones de
base de datos fijas.
•
Db_AccessAdmin: agrega o quita grupos y usuarios de Windows NT® 4.0 o
Windows 2000 y usuarios de SQL Server en la base de datos.
•
Db_SecurityAdmin: administra las funciones y los componentes de las
funciones de base de datos de SQL Server 2000 y administra los permisos de
instrucciones y objetos en la base de datos.
•
Db_BackupOperator: tiene permiso para hacer copias de seguridad de la base
de datos.
¿Los productos de integración admiten todas las características de
seguridad en Microsoft Dynamics GP
Algunas de las características de seguridad no se incluyen actualmente en “todos”
los productos adicionales, pero probablemente se agreguen en una versión futura.
Por lo tanto, es posible que un administrador necesite utilizar el inicio de sesión del
administrador del sistema (“sa”) para inicializar o convertir tablas que requieran
una conversión. Para que los diccionarios de productos adicionales utilicen las
funciones de seguridad, se ha creado una nueva característica, denominada
syUserInRole, que permite determinar a qué funciones de base de datos pertenece
un usuario.
Configuré la seguridad limitando el acceso a determinadas paletas en
una versión anterior de Microsoft Dynamics GP. Dado que Microsoft
Dynamics GP ya no utiliza paletas, ¿qué debo hacer ahora?
Debido a que se debe conceder o denegar el acceso a ventanas, informes y tablas,
limitar el acceso a paletas (en versiones anteriores a la versión 8.0) sólo impedía que
los usuarios tuvieran acceso a las ventanas disponibles mediante el método de
exploración. Estos usuarios aún podrían haber tenido acceso a las mismas ventanas
mediante otros métodos de exploración (por ejemplo, la barra de acceso rápido u
otras ventanas a las que tuvieran acceso). También podrían tener acceso a la
información mediante informes o mediante el acceso a las tablas donde se almacena
la información a través de otra aplicación. Por lo tanto, se deben concede o denegar
derechos de acceso a ventanas, informes y tablas, y no simplemente limitar la
exploración.
47

Planificacion de seguridad

Transcripción

Documentos relacionados

Oportunidades de mejora en Infraestructura IT