O Centro Criptolóxico Nacional (CCN) fixo públicos durante este mes de agosto varias guías relativas ao Esquema Nacional de Seguridade. Estes documentos forman parte do conxunto de normas desenvolvidas polo Centro Criptolóxico Nacional para a implementación do ENS (CCN-STIC-800) e tendo como obxecto a protección dos servizos prestados aos cidadáns e entre as diferentes administracións.
Guíaa CCN-STIC 870A Implementación do ENS en Windows Server 2012 R2. ten como propósito proporcionar persoais de seguridade para a aplicación de medidas que garantan dita seguridade, nun escenario de implementación do Esquema Nacional de Seguridade e en servidores que teñan instalado Windows Server 2012 R2 baixo unha contorna de dominio, en calquera das súas versións.
A Guía CCN-STIC 870B Implementación del ENS en Windows Server 2012 R2 Servidor Independiente ten como propósito proporcionar persoais de seguridade para a aplicación de medidas que garantan dita seguridade, nun escenario de implementación do Esquema Nacional de Seguridade e en servidores que teñan instalado Windows Server 2012 R2 e a través dunha configuración de seguridade sólida. Inclúense, ademais, operacións básicas de administración para a aplicación das mesmas, así como unha serie de recomendacións para o seu uso.
Ambas as guías conteñen unha descrición do ENS, da natureza das medidas e dos persoais de seguridade, así como os mecanismos para a aplicación de configuracións e unha guía paso a paso son algúns dos capítulos deste documento. Xunto a eles, unha explicación da implementación de devasa con seguridade avanzada e unha lista de comprobación para verificar o grao de cumprimento dun servidor con respecto ás condicións de seguridade que se establecen nestas guías.
Guíaa CCN-STIC 860 Seguridade do Servizo OWA en Microsoft Exchange Server 2010 ofrece a información e mecanismos para a protección do servizo de Outlook Web App (OWA), proporcionado polo servizo de Microsoft Exchange Server e que permite o acceso ás caixas de correos de correo electrónico a través dun servizo web. Non obstante estas garantías de acceso, así como a publicación do mesmo, constitúen o feito de que sexa un servizo altamente exposto que pode ser atacado co obxecto non só de conseguir acceso á información existente no este servizo, senón como un intento de obter credenciais coas cales acceder á organización.
O documento proporciona unha guía de boas prácticas para a protección da infraestrutura, así como os mecanismos que garantan o fortalecemento do servizo OWA. Inclúese ademais:
- Definición das condicións de funcionalidade do servizo de OWA.
- Referéncianse os riscos aos que se enfronta un servizo Web como OWA.
- Incorpóranse mecanismos para a implementación, de forma automática, das configuracións de seguridade susceptibles diso.
- Mecanismos de revisión. Se establecen mecanismos de revisión de componentes de OWA para Microsoft Exchange Server 2010.
- Realízase unha presentación da estrutura de ficheiros empregados por Microsoft Exchange Server 2010.
- Permite verificar que se cumpren os mecanismos de seguridade definidos na presente guía.