WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

WINDOWS 2003 - Asistente para configuracin de seguridad

El SP1 de Microsoft Windows 2003 trae una herramienta nueva que nos ayudar a la hora de asegurar y configurar nuestro servidor en temas de seguridad. Es un asistente que nos ayuda a asegurar nuestro servidor capandole ciertas partes del registro, deshabilitando servicios innecesarios, quitando aplicaciones MS que no se usen y por supuesto habilitara el firewall de Microsoft y cerrara los puertos que no son necesarios.

Para usarlo, simplemente, debemos ir a "Panel de Control" > "Agregar o quitar Programas" > "Agregar o quitar componentes de Windows" > Y deberamos marcar el componente de "Asistente para configuracin de seguridad", "Siguiente" y metemos el CD para que nos lo instale.

Una vez instalado, podemos acceder a la consola desde las "Herramientas administrativas" > "Asistente para configuracin de seguridad"

1 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Bien, antes de comenzar tenemos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecucin. Si es un servidor de FTP, pues el servicio o la aplicacin servicio FTP debera de estar en uso para que el asistente vea el puerto 20 y 21 abiertos y en uso; as el asistente no nos los cerrar. "Siguiente"

Si es la primera vez que lo ejecutamos deberamos de seleccionar la primera opcin "Crear una nueva directiva de seguridad" para crear una directiva, que luego la podremos aplicar a ms servidores si es que tenemos varios que tienen la misma configuracin.

2 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Si queremos obtener la configuracin base de algn servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algn servidor para aplicarnosla. Metemos el nombre del servidor & "Siguiente"

Esperamos mientras lee las directivas de ese host...

3 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Ok, "Siguiente"

Este proceso nos ver que servicios (Caractersticas, funciones y opciones) estn corriendo en el servidor, donde deberemos indicar si son correctos o si debemos aadir alguno que no nos detecte. "Siguiente"

4 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Comprobamos los servicios (Funciones) que estn instalados y habilitamos los que nos interesan, en este caso mi servidor es un servidor web (IIS) y servidor FTP (IIS), as que compruebo todos las funciones que me interesen y que estn habilitadas y las que no interesen se desmarcan. "Siguiente"

En este caso, son ciertos servicios que no son aplicaciones servidoras, si no, clientes, y debemos habilitar los que nos interesen. Por ejemplo para que el Windows Update siga funcionando correctamente, lgicamente el "Cliente de actualizacin automtica" debe estar marcado, as todos los que nos interesen, "Siguiente",

5 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Estas opciones son normalmente para administrar el servidor de forma remota. Si nos interesa alguna la habilitamos, por ejemplo si nos vamos a conectar a este servidor con el cliente RDP para que est habilitado el "Administracin de escritorio remoto"; "Siguiente"

Estos son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen despus. "Siguiente",

6 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Todos los servicios que no hemos habilitado tenemos dos opciones, podemos deshabilitarlos todos (un poco agresiva, pero puede ser que sea necesaria) y que no arranquen o dejarlos como estn (Manuales o Deshabilitados). Elegimos la opcin que nos interese y "Siguiente"

Es un resumen de cmo quedarn los servicios, los que se modificarn. Comprobamos que todo est OK, "Siguiente",

7 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Ahora comienza el asistente para seguridad de redes. Ser tema de firewall de Windows y uso de IPsec en el servidor. "Siguiente"

Este asistente nos detecta los puertos que tenemos en uso y por defecto, nos los abrir. Debemos comprobar que realmente los queremos abiertos o no. Podemos personalizarlos y decir por ejemplo mi servicio de FTP (Puerto 21) desde "Opciones avanzadas..." desde que sitios se nos conectarn, en este ejemplo se ve que slo la red 172.16.0.0/255.255.0.0 podrn usar el FTP, pero las dems redes no, para mayor seguridad.

8 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Comprobamos el resumen, los puertos que nos deja abiertos y los que nos cierre. "Siguiente",

Para mayor seguridad, lo que nos har ahora es capar ms puertos. Por ejemplo Windows 2003 trae soporte de autenticacin a S.O. que ya son vulnerables y de estas vulnerabilidades se podra aprovechar cualquier "hacker", "Siguiente" para configurarlo.

9 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos "Siguiente", (el SMB - Server Message Block)

Marcamos los inicios de sesin que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una local... Lgicamente si estamos ejecutando este asistente de seguridad es por que no tenemos ningn Windows 9x en la red que almacene las claves en local. "Siguiente"

10 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Marcamos las opciones que cumplamos, espero que ambas y "Siguiente", es para el tema del LAN Manager...

Este sera el resumen de lo que acabamos de indicarle al asistente, comprobamos que todo est bien y seguimos "Siguiente",

11 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Est ser una directiva para auditar acciones en objetos sean correctas o no, ahora lo configuramos si deseamos auditar algo. "Siguiente". Para ver estos resultados de auditora slo se podr desde el visor de sucesos del servidor.

Marcaremos cmo queremos auditar los objetos, si queremos que slo nos genere informes de uso correctos en los objetos (por ejemplo un inicio de sesin correcto pero no nos logeara si hay inicios de sesin incorrectos). Personalmente, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos muestra si tenemos algn problema de seguridad en la red, por ejemplo quien intenta borrar un fichero y no puede o si puede, pero quedara registrado. "Siguiente",

12 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Por defecto el asistente nos auditara todos los objetos o "tipos de sucesos", si no nos interesa alguno en concreto podramos editar esta plantilla y modificar cierto valos por "Sin auditar". "Siguiente"

Nos ha detectado que tenemos un IIS, ahora nos pedir que es lo que usamos de l, del sitio web, para asegurarlo, marcaremos las extensiones de servicio que usamos. Si slo servidor webs en ASP marcaramos el primer componente, o si por ejemplo son HTM o HTMLS, no tendramos que marcar ninguna extensin; o si usamos WebDAV... Lo lgico es que las dems extensiones que no vemos las denegemos marcando "Prohibir las dems extensiones del servicio Web que no se muestran arriba" & "Siguiente",

13 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Ms, nos detecta que nuestro IIS tiene los siguientes directorios virtuales, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaramos el directorio virtual "Exchange"; "Siguiente",

Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, lo habilitamos. Y se da por hecho tambin que si se pretende asegurar un servidor no se usar un sistema de archivos FAT, si no NTFS. "Siguiente"

14 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Un breve resumen de lo que acabamos de configurar, lo comprobamos y si todo est OK, seguimos "Siguiente",

Ahora podemos guardar la directiva que acabamos de generar, y no tenemos por que aplicarla a este servidor, ni mucho menos, si no, guardarla y aplicarla a otros servidores usando este mismo asistente, pero al principio no crearamos una nueva directiva de seguridad, si no abriramos ya una que tengamos creada. "Siguiente"

15 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

La guardamos en algn path, yo donde estn todas por defecto, le indicamos un nombre .xml y una descripcin de lo que hace esta directiva, que lo tengamos claro a que servidores se podra aplicar. "Siguiente".

Podemos aplicarla ahora o ms tarde (para no aplicarla ahora). En este ejemplo, la voy a aplicar ahora que sera lo que sucedera en un servidor "destino", marco "Aplicar ahora" y le damos a "Siguiente". Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. "Aceptar"

16 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Esperamos un rato mientras nos aplica la directiva...

Vale, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberamos reiniciar el servidor para comprobar que efectos tenemos en l, si realmente est ms capado o no. Una vez reiniciado podramos intentarle atacar con DoS, o algn escaner de vulnerabilidades para comprobar la mejora. "Finalizar"

17 de 18

01/12/2007 1:32

WINDOWS 2003 - Asistente para configuracin de seguridad

http://www.bujarra.com/ProcedimientoW2003AsistenteSeguridad.html

Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya est habilitado con los puertos que le hemos indicado que permita, as como las auditorias...

18 de 18

01/12/2007 1:32