Guía de bastionado de Microsoft Windows Server

Esta es una guía que he desarrollado para un cliente, por lo tanto hay aspectos que se adaptan a sus necesidades (como el cortafuegos). Pero ha grandes rasgos puede ser utilizada en cualquier ámbito.

TDC / TOC

1.     Principios genéricos

A la hora de instalar, configurar y administrar un servidor, se debe:

  • Cifrar todos los datos que se transmiten a través de la red, son particularmente importante los datos relativos a nombres de usuario y contraseñas
  • Minimizar la cantidad de programas y servicios instalados y en ejecución para minimizar el riesgo potencial ante vulnerabilidades
  • Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o antimalware
  • Auditar los elementos críticos y/o de mayor riesgo de cada servidor
  • Minimizar la instalación de varios servicios en un mismo servidor, para reducir el riesgo de que un servicio comprometido afecte a otros servicios
  • Realizar un buen seguimiento de las cuentas de usuario, seguir una política de contraseñas sólida y forzar su uso así como eliminar las cuentas de usuarios innecesarias o que ya no se utilicen
  • Revisar los logs de sistema y de aplicación de manera rutinaria. Enviar los logs a un servidor de logs
  • Minimizar el uso de usuarios locales
  • Utilizar la metodología del menor privilegio en todos los ámbitos

2.     Instalación básica

2.1.    Entorno de instalación seguro

Hay que instalar el SO desde DVD sin que esté conectado a la red hasta que se hayan completado los pasos de esta guía, sin embargo habrán ocasiones en las que esto no sea posible, en esos casos se debe asegurar que:

  • Se ha bastionado el equipo siguiendo los pasos de esta guía
  • El servidor debe estar protegido por un cortafuegos (Firewall)
  • No debe ser accesible desde Internet
  • Debe tener el mínimo acceso necesario a Internet
  • Si existe algún servidor comprometido en el mismo segmento de red, no se debe realizar la instalación hasta que se haya solucionado la incidencia o se desconecte de la red el servidor comprometido o el servidor a instalar
  • Debe tener dos tarjetas de red; una para gestión por consola con perfil de administración, y otra para la red.

2.2.    Instalación de aplicaciones imprescindibles del sistema

Se realizará una instalación del sistema base, sin seleccionar ningún grupo de aplicaciones y funciones durante la instalación, e instalar a posteriori las aplicaciones y funciones requeridas. De esta forma evitamos que se instalen programas, librerías o extensiones que no sean necesarias.

Un ejemplo son las siguientes:

  • Data Access Components (MDAC)
  • HTML version of the Services Manager
  • MS index Server

 

Los siguientes servicios deben sustituirse por sus homólogos más seguros:

  • FTP, SMTP y NNTP
  • Telnet
  • ASP.NET si no lo usa ninguna aplicación
  • webDAV

2.3.    Configuración de las interfaces de red (NIC)

No hay que utilizar el protocolo DHCP para configurar las interfaces de red, todas deben tener una IP estática. Una vez obtenida la dirección IP hay que configurar la interfaz deseada siguiendo estos pasos

  1. Abrir

Windows 2003

Panel de control>Conexiones de red

Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red

  1. Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y pulsar doble click sobre

Protocolo de Internet Versión 4 (TCP/IPv4)

O

Protocolo de Internet (TCP/IP)

  1. En la pestaña General seleccionar la opción Usar la siguiente dirección IP y rellenar los campos: Dirección IP, Máscara de  subred y Puerta de enlace predeterminada
  2. Seleccionar la opción Usar las siguientes direcciones de servidor DNS y rellenar los campos: Servidor DNS preferido y Servidor DNS alternativo

3.     Configuración Segura de Cuentas

3.1.    Petición obligatoria de contraseña

Para que Windows no pida la contraseña, es necesario establecerla en blanco, así que nunca se debe establecer una contraseña en blanco, para evitar su uso hay que establecer una longitud mínima de contraseña.

3.1.1.        Establecer una longitud mínima de contraseña

Establecer la longitud mínima de contraseña a 6 caracteres desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directiva de contraseñas>Longitud mínima de contraseñas

Windows 2008: CCE-2240-0, Windows 2003: CCE-3424-9

3.1.2.        Impedir el uso de contraseñas en blanco en las conexiones remotas

Hay que habilitar la opción que limita el uso de contraseñas en blanco a usuarios que hayan iniciado sesión por consola impidiendo, de esta manera, el uso de contraseñas en blanco en conexiones remotas. Para habilitar esta opción ir a

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Directivas de seguridad>Cuentas: Limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola

Windows 2008: CCE-2364-8, Windows 2003: CCE-3357-1

3.2.    Control de Usuarios Creados durante la Instalación

3.2.1.        Crear una cuenta con privilegios de administración

Antes de desactivar la cuenta de Administrador hay que crear una nueva, el usuario corporativo de explotación es ExpSG así que hay que crearlo siguiendo estos pasos:

Windows server 2003

Pulsar el botón derecho sobre

Panel de control>Herramientas administrativas>Administrador del servidor>Herramientas del sistema>Usuarios y grupos locales>Usuarios

Y seleccionar la opción Usuario nuevo…, introducir ExpSG como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios  y añadir el grupo Administradores

Windows server 2008

Pulsar el botón derecho sobre

Panel de control>Herramientas administrativas>Administrador del servidor>Configuración >Usuarios y grupos locales>Usuarios

Y seleccionar la opción Usuario nuevo…, introducir ExpSG como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios  y añadir el grupo Administradores.

3.2.2.        Deshabilitar la cuenta del usuario Administrador

Hay que deshabilitar el usuario Administrador creado durante la instalación. Para ello establecer a Deshabilitada la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: Estado de la cuenta de administrador

Windows 2008: CCE-2337-4, Windows 2003: CCE-8049-9

3.2.3.        Deshabilitar la cuenta de Invitado

La cuenta de invitado debe estar deshabilitada, en la familia server viene desactivada por defecto, pero hay que asegurarse de que esté deshabilitada la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local >Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: estado de la cuenta de invitado

Windows 2008: CCE-2342-4, Windows 2003: CCE-2908-2

3.3.    Asegurar la Robustez de las Contraseñas

Hay que asegurar que se cumplen los requisitos de la política de contraseñas de la organización a fin de que se asegure la dificultad o imposibilidad de:

  • Predicción de contraseñas
  • Ataques de diccionario
  • Ataques de fuerza bruta

Si el servidor no forma parte de un directorio activo, Las opciones de contraseña se establecen en

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directivas de contraseña

3.4.    Asignación de Derechos de Usuarios

Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en mente la filosofía de otorgar el menor privilegio.

Se debe tener en  cuenta, que permisos asignados a grupos, les puede elevar o disminuir el nivel de privilegios.

4.     Control de acceso a la red

Como norma general se deberá:

  • Minimizar los protocolos utilizados
  • Minimizar las direcciones de red a las que escucha el servidor
  • Minimizar los puertos en los que escucha el servidor

4.1.    Protección de NETBIOS y SMB

En aquellas máquinas en las que por los servicios que ofrecen no sea necesario, o cuando esté bien implantada una infraestructura de DNS o AD, se desactivará NETBIOS. Teóricamente Este paso no debería acarrear problemas, aún así en algunas situaciones puede surgir alguno, así que hay que asegurarse que no afecte a ningún servicio, especialmente en controladores de dominio.

4.1.1.        Deshabilitar NETBIOS

Para deshabilitar NETBIOS

  1. Abrir

Windows server 2003

Panel de control>Conexiones de red

Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de red

  1. Pulsar el botón derecho sobre la conexión deseada y seleccionar

Propiedades>Propiedades de protocolo TCP   IPv4 >Opciones avanzadas>WINS

  1. Marcar la opción

Deshabilitar NetBios a través de TCP/IP

En el caso de no poder desactivar NETBIOS hay que limitar la respuesta de peticiones NETBIOS a peticiones que provengan del servidor WINS habilitando la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release request except from WINS servers

Windows 2008: CCE-2320-0, Windows 2003: CCE-2817-5

Si no aparece esta opción hay que instalar el archivo “GPO.MSI”, adjunto en el anexo, una vez instalado hay que pulsar el botón secundario del ratón sobre

Inicio>Todos los programas>LocalGPO>LocalGPO Command-line

Y seleccionar la opción Ejecutar como administrador, una vez abierta la línea de comandos hay que ejecutar

cscript LocalGPO.wsf /ConfigSCE

Tras realizar estos pasos, vuelve a abrir el editor de políticas y aparecerán las opciones de MSS

4.1.2.        Activar la firma de paquetes SMB como cliente

Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cliente de redes Microsoft: Firmar digitalmente las comunicaciones (si el servidor lo permite)

Windows 2008: CCE-2378-8, Windows 2003: CCE-8534-0

4.1.3.        Activar la firma de paquetes SMB como servidor

Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Servidor de red Microsoft: Firmar digitalmente las comunicaciones (si el cliente lo permite)

Windows 2008: CCE-2263-2, Windows 2003: CCE-3189-8

4.1.4.        Impedir la enumeración de recursos compartidos y cuentas SAM por usuarios anónimos

Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Acceso de red: No permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Windows server 2008: CCE-2340-8, Windows server 2003: CCE-3591-5

Al activar esta opción pueden aparecer algunos de los problemas descritos en: http://support.microsoft.com/kb/823659 y http://support.microsoft.com/kb/318866

4.2.    Protección del protocolo ARP

Se debe reducir el tiempo de caducidad por defecto que marca la frecuencia de borrado de las entradas de la tabla ARP. En el caso de Windows Server 2008, realiza por defecto el borrado entre 15 y 45 segundos.

Windows server 2003

Ejecutar

regedit.exe

Y establecer a un valor entre 15 y 45 la clave (ej: 30)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ArpCacheLife

Si no existe la clave hay que crearla de tipo REG_DWORD

4.3.    Apagado de la máquina

Se debe deshabilitar la opción que permite apagar el sistema sin iniciar sesión, deshabilitando la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Apagado: Permitir apagar el sistema sin tener que iniciar sesión

Windows server 2008: CCE-2403-4, Windows server 2003: CCE-3448-8

4.4.    Acceso Remoto a través de RDP

Al activar el acceso remoto a través de RDP hay que aplicar las siguientes medidas de seguridad.

4.4.1.        Forzar la petición de contraseña durante el inicio de sesión

Mediante esta opción forzamos a que el servidor pida la contraseña aunque el usuario la tenga memorizada en el cliente, así se impide que alguien pueda acceder al servidor accediendo a un equipo cliente con la contraseña memorizada. Para establecer esta opción ejecutar

gpedit.msc

Y habilitar la opción

Windows server 2003

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad>Solicitar la contraseña siempre al conectar

CCE-3666-5

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Solicitar la contraseña siempre al conectar

CCE-7636-4

4.4.2.        Establecer el nivel de cifrado

Se deben cifrar las comunicaciones del protocolo RDP. Ejecutar

gpedit.msc

Y habilitar la opción

Windows server 2003

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad> Establecer el nivel de cifrado de conexión de cliente

CCE-3812-5

Estableciendo el nivel de cifrado a Nivel alto.

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Establecer el nivel de cifrado de conexión de cliente

CCE-7667-9

Estableciendo el nivel de cifrado a Nivel alto.

4.4.3.        Impedir que se guarden las contraseñas en el cliente

Aunque se establezca en el servidor la opción de que siempre pida la contraseña a los clientes,  para evitar que se diseminen credenciales por los equipos de la red hay que indicar al servidor que impida a los clientes guardar las contraseñas. Ejecutar

gpedit.msc

Y habilitar la opción

Windows server 2003

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente>No permitir que se guarden las contraseñas

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente de conexión a escritorio remoto>No permitir que se guarden las contraseñas

4.5.    Antivirus

Mantener los archivos del Servidor a salvo de virus usando y manteniendo actualizado un software antivirus.

4.6.    Desactivar IPv6

El uso de IPv6 todavía no está extendido e introduce vectores de ataque desconocidos así que hay que desactivarlo en todas las interfaces de red del servidor.

  1. Abrir

Windows 2003

Panel de control>Conexiones de red

Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red

  1. Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y, si existe, quitar la marca de la opción

Protocolo de Internet Versión 6 (TCP/IPv6)

4.7.    Impedir la conversión SID a nombre de usuario y viceversa a usuarios anónimos

Esto impide extraer información sobre las cuentas existentes si se obtiene el SID o el nombre de usuario y dificulta un ataque de fuerza bruta contra las contraseñas. Deshabilitar la opción desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso de red: Permitir traducción SID/nombre anónima

Windows server 2008: CCE-2318-4, Windows server 2003: CCE-3402-5

4.8.    Impedir el listado de cuentas SAM por usuarios anónimos

Impide que un usuario anónimo determine fácilmente la lista de usuarios en el sistema. Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso a redes: No permitir enumeraciones anónimas de cuentas SAM

Windows server 2008: CCE-1962-0, Windows server 2003: CCE-3631-9

4.9.    Establecer el mensaje corporativo de inicio de sesión

Todos los servidores corporativos deberán  mostrar el siguiente mensaje cuando un usuario intente iniciar sesión en ellos:

 

AGREGAR AQUÍ EL TEXTO DESEADO

Para configurarlo copiar el texto en

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Texto del mensaje para los usuarios que intentan iniciar una sesión

Windows server 2008: CCE-2225-1, Windows server 2003: CCE-3672-3

También se debe configurar el título del mensaje a Aviso legal  mediante la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Título del mensaje para los usuarios que intentan iniciar una sesión

Windows server 2008: CCE-2037-0, Windows server 2003: CCE-2790-4

4.10. Activar el Firewall o cortafuegos

El firewall es una pieza del engranaje de la seguridad que coge cada vez más protagonismo y debe activarse en todos los equipos, a pesar de que su configuración no es una de las tareas del bastionado ya que lo realiza el departamento de configuración de red.

Sí que es necesario activar el cortafuegos desde

Windows server 2003

Panel de control>Firewall de Windows>Excepciones

Y activar la opción Escritorio remoto, para permitir la administración remota del servidor, después ir a la pestaña General y seleccionar la opción Activado

Windows server 2008

Panel de control>Firewall de Windows>Activar o desactivar Firewall de Windows>Activado

4.11. Eliminar el usuario anónimo del FTP

Si existe algún servicio de FTP en el servidor asegúrate de que no se tenga habilitada la cuenta del usuario anónimo. Para comprobarlo sigue estos pasos:

  1. Abre una línea de comandos cmd.exe
  2. Ejecuta el comando: telnet IP_DEL_SERVIDOR 21
  3. Introduce el usuario anonymous
  4. Introduce cualquier contraseña que contenga una @ en el medio

Si permite iniciar sesión hay que desactivar la cuenta del usuario anónimo

5.     Protección de la información

5.1.    Eliminar las unidades compartidas con propósitos administrativos

Deshabilitar la funcionalidad de compartir las unidades de disco con propósitos administrativos en aquellas máquinas que se encuentren en entornos críticos o inseguros (como DMZ).

Es necesario editar el registro de Windows para realizar esta tarea, ejecutar

regedit.exe

Y modificar la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer

La clave es de tipo REG_DWORD y hay que establecer su valor a 0. Si la clave no existe hay que crearla.

Windows server 2003

Para finalizar hay que reiniciar el servicio server y sus dependencias ejecutar los comandos

net stop server

net start server

En el caso de existir dependencias también se deberán iniciar

Windows server 2008

Para finalizar hay que reiniciar el servicio srvnet y sus dependencias ejecutar los comandos

net stop srvnet

net start srvnet

En el caso de existir dependencias también se deberán iniciar

5.2.    Permisos de Carpetas y Ficheros

Seguir la política del mínimo privilegio en los permisos del sistema de archivos. El objetivo es crear un ambiente restrictivo que se pueda ir abriendo selectivamente en función de las necesidades de la máquina.

5.3.    Integridad de Archivos y Directorios

Una medida eficaz para detectar cambios es comprobar la integridad de los ficheros de sistema, configuración y Logs.

5.3.1.        Comprobar la integridad de archivos y directorios del sistema

Para los archivos del sistema desde la versión de Server 2000, Windows incluye las utilidades SFC (System File Checker) y WFP (Windows File Protection). Mediante SFC se puede comprobar la integridad de archivos que Microsoft considera esenciales y restaurarlos a su versión original, pero este proceso se realiza de forma transparente y en tiempo real mediante la utilidad WFP.

Para desactivar SFC hay que establecer a 2,3 o 4 la clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCScan\SFCDisable

Y a 0 para activarlo por lo tanto hay que asegurar que esta clave no exista o esté establecida a 0.

5.3.2.        Comprobar la integridad de archivos y directorios que no son del sistema

Para archivos de configuración o que no sean del sistema se puede utilizar la utilidad FCI, que puede descargarse de

http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/Windows-KB841290-x86-ENU.exe

Una vez instalado hay que abrir una consola, cmd.exe, y ejecutar el comando

fciv -add ruta_del_archivo –sha1 -xml ruta_de_la_bd_en_xml

Donde ruta_del_archivo es la ruta completa de un archivo cuyo checksum queramos agregar a la base de datos en formato XML indicada por el parámetro ruta_de_la_db_en_xml. Se puede agregar un directorio mediante la opción -r, recursivo.

Para comprobar la integridad de los archivos incluidos en la base de datos XML hay que ejecutar el comando:

fciv -v –xml ruta_de_la_bd_en_xml

Una vez definidos sobre qué archivos queremos realizar la base de datos xml y generados los valores de checksum, hay que guardar en un medio de solo lectura o que esté totalmente aislado de la red, el archivo de base de datos xml ruta_de_la_bd_en_xml para evitar que sea modificado por un atacante.

5.4.    Activar el Filtro de Ejecución de Aplicaciones Maliciosas

Se debe activar el filtro de ejecución de aplicaciones maliciosas (Data execution Prevention DEP) más las protecciones por hardware para evitar que se ejecuten ficheros dañados por virus y otras amenazas de seguridad.

Windows server 2003

Panel de control>Sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos

Y activar DEP para todos los programas y servicios a excepción de los que seleccione

Windows server 2008

Panel de control>Sistema>Configuración avanzada del sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos

Y activar DEP para todos los programas y servicios a excepción de los que seleccione

5.5.    Mostrar las Extensiones de los Archivos

Hay que mostrar las extensiones de los archivos, debido a que algunas amenazas como pueden ser los virus y gusanos, aprovechan este comportamiento para confundir al usuario. Para mostrar las extensiones para el usuario actual abrir un explorador de archivos y desmarcaremos la opción

Herramientas>Opciones de carpeta>Ver>Configuración Avanzada>Ocultar las extensiones de archivo para los tipos de archivo conocidos.

NOTA: Este paso se deberá repetir para cada usuario

6.     Configuración de Servicios del Sistema

6.1.    Deshabilitar los Servicios Innecesarios

Durante la instalación de sistemas operativos muchos servicios se configuran para que se inicien automáticamente durante el inicio del SO. Algunos de estos servicios pueden no ser necesarios. Se debe verificar y habilitar únicamente aquellos que sean necesarios. Para revisar los servicios que existen y cuando se inician abrir

Panel de control>Herramientas administrativas>Servicios

Pulsar sobre la columna Tipo de inicio y los servicios que se inician automáticamente aparecerán los primeros, para modificar el tipo de inicio realizar un doble click sobre el servicio y en la ventana emergente establecer el campo Tipo de inicio al valor deseado.

6.2.    Deshabilitar la caché de Contraseñas y Usuarios

No se debe mostrar nunca el nombre del último usuario que inició una sesión. Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: no mostrar el último nombre de usuario

Windows server 2008: CCE-2199-8, Windows server 2003: CCE-3527-9

6.3.    Control de Sesiones

Debe activarse un protector de pantalla que bloquee el terminal con contraseña al cabo de un tiempo. Por defecto Windows lo trae habilitado a 10 minutos. Pulsar el botón derecho sobre el escritorio y seleccionar la opción Personalizar, establecer el tiempo deseado y marcar la opción Enseñar la ventana de inicio al volver. A los usuarios de los centros de control no se les debe aplicar

6.4.    Configuración de NTP

Se debe configurar el servicio NTP para que se sincronice con el servidor NTP.

Windows server 2003

Abrir una consola

Inicio>Símbolo del sistema

Una vez abierta aplica los puntos 10.4.1 y 10.4.2

Windows server 2008

Abrir una consola como administrador pulsando la tecla Shift y el botón derecho sobre

Inicio>Símbolo del sistema

Y seleccionando la opción Ejecutar como administrador, una vez abierta aplica los puntos 10.4.1 y 10.4.2

6.4.1.        Permitir la salida del tráfico NTP en el firewall

Windows server 2003

Ejecutar el comando

netsh firewall add portopening protocol=UDP port=123 name=»NTP» scope=»custom» addresses=»ip-del-servidor-ntp»

Windows server 2008

Ejecuta el comando mediante

netsh advfirewall firewall add rule name=»Sincronizacion de tiempo NTP» action=allow dir=out protocol=udp remoteport=123 remoteip=ip-del-servidor-ntp

6.4.2.        Configurar la sincronización de tiempo

Ejecuta los comandos

w32tm /config /manualpeerlist:ip-del-servidor-ntp,0x8 /syncfromflags:MANUAL
w32tm /config /update
w32tm /resync

7.     Auditabilidad del Sistema

Hay que habilitar los servicios de auditoría del sistema. Debe tenerse en cuenta que la auditoría puede causar un impacto en el rendimiento del sistema y un uso mayor del espacio en disco, así que hay que buscar un equilibrio.

7.1.    Habilitar el Registro de Auditoria

Las opciones de auditoría se configuran desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Directiva de auditoría

Como mínimo habrá que activar los eventos correctos y fallidos de las opciones:

  • Auditar eventos de inicio de sesión de cuenta (Windows server 2008: CCE-2251-7,CCE-1779-8, Windows server 2003: CCE-3321-7, CCE-3467-8)
  • Auditar eventos de inicio de sesión (Windows server 2008: CCE-2242-6, CCE-2574-2, Windows server 2003: CCE-3603-8, CCE-3391-0)
  • Auditar eventos del sistema (Windows server 2008: CCE-1837-4,CCE-1939-8, Windows server 2003: CCE-3594-9, CCE-3611-1)

8.     Actualizaciones y Parches

8.1.    Instalación de los Parches verificados por la compañía

Es muy importante mantener los sistemas actualizados a las versiones más recientes para proteger los equipos ante errores conocidos y solventados.

8.1.1.        Aplicar los últimos parches homologados

(TODO: Describir el proceso de actualizaciones una vez definido)

8.1.2.        Configurar las actualizaciones automáticas

Dado que los parches deberán ser verificados y, una vez aprobados, distribuidos por la empresa, hay que configurar las actualizaciones automáticas para que sincronicen con la infraestructura interna en lugar de los servidores oficiales de Microsoft. Hay que ejecutar el comando:

gpedit.msc

  1. Habilitar la opción

Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Configurar actualizaciones automáticas

Seleccionando la opción “2-Notificar descarga y notificar instalación” del campo “Configurar actualización automática”

  1. Habilitar la opción

Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Especificar la ubicación del servicio Windows Update en la intranet

Y establecer a “http://ip-del-servidor-de-actualizaciones” la opción “Establecer el servicio de actualización de la intranet para detectar actualizaciones:” y la opción “Establecer el servidor de estadísticas de la intranet”

9.     Otras opciones de seguridad

Esta sección agrupa varias opciones que por su naturaleza no pertenecen a ningún apartado específico.

9.1.    Procesamiento de directivas del registro

Al activar esta opción se fuerza a que se actualicen las políticas aunque no se haya  modificado ningún objeto de las políticas globales, asegura que se aplican las políticas globales reemplazando cualquier cambio realizado localmente. Para establecer esta opción ejecutar

gpedit.msc

Y habilitar la opción

Configuración del equipo>plantillas administrativas>Sistema>Directiva de grupo>Procesamiento de directivas del registro

Windows server 2008: CCE-8492-1, Windows server 2003: CCE-8043-2

Marcando además la casilla

Procesar incluso si los objetos de directiva de grupo no han cambiado

9.2.    Desactivar la ejecución automática

A lo largo de su historia la reproducción automática ha sido un vector de ataque muy utilizado por virus, troyanos, malware y demás amenazas, por más que ha mejorado su seguridad con el tiempo se encuentran nuevas formas de explotar esta funcionalidad, así que hay que desactivarla. Para establecer esta opción ejecutar

gpedit.msc

Y habilitar la opción

Windows server 2003

Requiere la actualización para Windows server 2003 (KB967715)

Configuración del equipo>plantillas administrativas>Sistema>>Desactivar Reproducción Automática

CCE-3597-2

Estableciendo a Todas las unidades la opción

Desactivar reproducción automática en:

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Directivas de reproducción automática>Desactivar Reproducción Automática

CCE-8634-8

Estableciendo a Todas las unidades la opción

Desactivar reproducción automática en:

10.  Control de cuentas de usuario (UAC): a partir de  Windows Server 2008

En esta sección se describen pasos para el uso óptimo de las mejoras de seguridad ofrecidas por la tecnología de control de cuentas de usuario.

10.1. Modo de aprobación para la cuenta de Administrador integrada

Al activar esta opción el usuario administrador creado durante la instalación pasa a estar protegido por la tecnología UAC. Para activarlo ejecutar

gpedit.msc

Y habilitar la opción

Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Modo de aprobación de Administrador integrado

CCE-2302-8

10.2. Pedir la contraseña cuando se requiera una elevación de privilegios

Mediante esta opción se pide la introducción de la contraseña cada vez que una tarea requiera de la elevación de privilegios, de esta forma si se produce un acceso no autorizado a un servidor con una sesión iniciada, no bastará para poder ejecutar tareas como Administrador ya que será necesario conocer la contraseña. Ejecutar

gpedit.msc

Y establecer a Pedir credenciales el valor de la opción

Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador

CCE-2474-5

4 comentarios en “Guía de bastionado de Microsoft Windows Server

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.