El Centre Criptològic Nacional (CCN) ha fet públics durant aquest mes d'agost diverses guies relatives a l'Esquema Nacional de Seguretat. Aquests documents formen part del conjunt de normes desenvolupades pel Centre Criptològic Nacional per a la implementació de l'ENS (CCN-STIC-800) i tenint com a objecte la protecció dels serveis prestats als ciutadans i entre les diferents administracions.
La Guia CCN-STIC 870A Implementació de l'ENS en Windows Server 2012 R2. té com a propòsit proporcionar plantilles de seguretat per a l'aplicació de mesures que garanteixin aquesta seguretat, en un escenari d'implementació de l'Esquema Nacional de Seguretat i en servidors que tinguin instal·lat Windows Server 2012 R2 sota un entorn de domini, en qualsevol de les seves versions.
La Guía CCN-STIC 870B Implementación del ENS en Windows Server 2012 R2 Servidor Independiente té com a propòsit proporcionar plantilles de seguretat per a l'aplicació de mesures que garanteixin aquesta seguretat, en un escenari d'implementació de l'Esquema Nacional de Seguretat i en servidors que tinguin instal·lat Windows Server 2012 R2 i a través d'una configuració de seguretat sòlida. S'inclouen, a més, operacions bàsiques d'administració per a l'aplicació de les mateixes, així com una sèrie de recomanacions per al seu ús.
Ambdues guies contenen una descripció de l'ENS, de la naturalesa de les mesures i de les plantilles de seguretat, així com els mecanismes per a l'aplicació de configuracions i una guia pas a pas són alguns dels capítols d'aquest document. Al costat d'ells, una explicació de la implementació de tallafocs amb seguretat avançada i una llista de comprovació per verificar el grau de compliment d'un servidor pel que fa a les condicions de seguretat que s'estableixen en aquestes guies.
La Guia CCN-STIC 860 Seguretat del Servei OWA en Microsoft Exchange Server 2010 ofereix la informació i mecanismes per a la protecció del servei d'Outlook Web App (OWA), proporcionat pel servei de Microsoft Exchange Server i que permet l'accés a les bústies de correu electrònic a través d'un servei web. No obstant aquestes garanties d'accés, així com la publicació del mateix, constitueixen el fet que sigui un servei altament exposat que pot ser atacat amb l'objecte no solament d'aconseguir accés a la informació existent en aquest servei, sinó com un intent d'obtenir credencials amb les quals accedir a l'organització.
El document proporciona una guia de bones pràctiques per a la protecció de la infraestructura, així com els mecanismes que garanteixin l'enfortiment del servei OWA. S'inclou a més:
- Definició de les condicions de funcionalitat del servei d'OWA.
- Es referencien els riscos als quals s'enfronta un servei Web com OWA.
- S'incorporen mecanismes per a la implementació, de forma automàtica, de les configuracions de seguretat susceptibles d'això.
- Mecanismos de revisión. Se establecen mecanismos de revisión de componentes de OWA para Microsoft Exchange Server 2010.
- Es realitza una presentació de l'estructura de fitxers emprats per Microsoft Exchange Server 2010.
- Permet verificar que es compleixen els mecanismes de seguretat definits en la present guia.
