O Centro Criptolóxico Nacional (CCN) fixo públicos durante este mes de agosto varias guías relativas ao Esquema Nacional de Seguridade. Estes documentos forman parte do conxunto de normas desenvolvidas polo Centro Criptolóxico Nacional para a implementación do ENS (CCN-STIC-800) e tendo como obxecto a protección dos servizos prestados aos cidadáns e entre as diferentes administracións.
Guíaa CCN-STIC 870A Implementación do ENS en Windows Server 2012 R2. ten como propósito proporcionar persoais de seguridade para a aplicación de medidas que garantan dita seguridade, nun escenario de implementación do Esquema Nacional de Seguridade e en servidores que teñan instalado Windows Server 2012 R2 baixo unha contorna de dominio, en calquera das súas versións.
A Guía CCN-STIC 870B Implementación del ENS en Windows Server 2012 R2 Servidor Independiente ten como propósito proporcionar persoais de seguridade para a aplicación de medidas que garantan dita seguridade, nun escenario de implementación do Esquema Nacional de Seguridade e en servidores que teñan instalado Windows Server 2012 R2 e a través dunha configuración de seguridade sólida. Inclúense, ademais, operacións básicas de administración para a aplicación das mesmas, así como unha serie de recomendacións para o seu uso.
Ambas as guías conteñen unha descrición do ENS, da natureza das medidas e dos persoais de seguridade, así como os mecanismos para a aplicación de configuracións e unha guía paso a paso son algúns dos capítulos deste documento. Xunto a eles, unha explicación da implementación de devasa con seguridade avanzada e unha lista de comprobación para verificar o grao de cumprimento dun servidor con respecto ás condicións de seguridade que se establecen nestas guías.
Guíaa CCN-STIC 860 Seguridade do Servizo OWA en Microsoft Exchange Server 2010 ofrece a información e mecanismos para a protección do servizo de Outlook Web App (OWA), proporcionado polo servizo de Microsoft Exchange Server e que permite o acceso ás caixas de correos de correo electrónico a través dun servizo web. Non obstante estas garantías de acceso, así como a publicación do mesmo, constitúen o feito de que sexa un servizo altamente exposto que pode ser atacado co obxecto non só de conseguir acceso á información existente no este servizo, senón como un intento de obter credenciais coas cales acceder á organización.
El documento proporciona una guía de buenas prácticas para la protección de la infraestructura, así como los mecanismos que garanticen el fortalecimiento del servicio OWA. Se incluye además:
- Definición das condicións de funcionalidade do servizo de OWA.
- Referéncianse os riscos aos que se enfronta un servizo Web como OWA.
- Incorpóranse mecanismos para a implementación, de forma automática, das configuracións de seguridade susceptibles diso.
- Mecanismos de revisión. Establécense mecanismos de revisión de compoñentes de OWA para Microsoft Exchange Server 2010.
- Realízase unha presentación da estrutura de ficheiros empregados por Microsoft Exchange Server 2010.
- Permite verificar que se cumplen los mecanismos de seguridad definidos en la presente guía.