El Centre Criptològic Nacional (CCN) ha fet públics durant este mes d'agost diverses guies relatives a l'Esquema Nacional de Seguretat. Estos documents formen part del conjunt de normes desenvolupades pel Centre Criptològic Nacional per a la implementació de l'ENS (CCN-STIC-800) i tenint com a objecte la protecció dels servicis prestats als ciutadans i entre les diferents administracions.
La Guia CCN-STIC 870A Implementació de l'ENS en Windows Server 2012 R2. té com a propòsit proporcionar plantilles de seguretat per a l'aplicació de mesures que garantisquen aquesta seguretat, en un escenari d'implementació de l'Esquema Nacional de Seguretat i en servidors que tinguen instal·lat Windows Server 2012 R2 baix un entorn de domini, en qualsevol de les seues versions.
La Guía CCN-STIC 870B Implementación del ENS en Windows Server 2012 R2 Servidor Independiente té com a propòsit proporcionar plantilles de seguretat per a l'aplicació de mesures que garantisquen aquesta seguretat, en un escenari d'implementació de l'Esquema Nacional de Seguretat i en servidors que tinguen instal·lat Windows Server 2012 R2 i a través d'una configuració de seguretat sòlida. S'inclouen, a més, operacions bàsiques d'administració per a l'aplicació de les mateixes, així com una sèrie de recomanacions per al seu ús.
Les dos guies contenen una descripció de l'ENS, de la naturalesa de les mesures i de les plantilles de seguretat, així com els mecanismes per a l'aplicació de configuracions i una guia pas a pas són alguns dels capítols d'este document. Al costat d'ells, una explicació de la implementació de tallafocs amb seguretat avançada i una llista de comprovació per a verificar el grau de compliment d'un servidor respecte de les condicions de seguretat que s'establixen en estes guies.
La Guía CCN-STIC 860 Seguridad del Servicio OWA en Microsoft Exchange Server 2010 oferix la informació i mecanismes per a la protecció del servici d'Outlook Web App (OWA), proporcionat pel servici de Microsoft Exchange Server i que permet l'accés a les bústies de correu electrònic a través d'un servici web. No obstant estes garanties d'accés, així com la publicació del mateix, constituïxen el fet que siga un servici altament exposat que pot ser atacat amb l'objecte no solament d'aconseguir accés a la informació existent en aquest servici, sinó com un intent d'obtindre credencials amb les quals accedir a l'organització.
El document proporciona una guia de bones pràctiques per a la protecció de la infraestructura, així com els mecanismes que garantisquen l'enfortiment del servici OWA. S'inclou a més:
- Definició de les condicions de funcionalitat del servici d'OWA.
- Se referencian los riesgos a los que se enfrenta un servicio Web como OWA.
- Se incorporan mecanismos para la implementación, de forma automática, de las configuraciones de seguridad susceptibles de ello.
- Mecanismos de revisión. Se establecen mecanismos de revisión de componentes de OWA para Microsoft Exchange Server 2010.
- Se realiza una presentación de la estructura de ficheros empleados por Microsoft Exchange Server 2010.
- Permite verificar que se cumplen los mecanismos de seguridad definidos en la presente guía.
