Esta es una guía que he desarrollado para un cliente, por lo tanto hay aspectos que se adaptan a sus necesidades (como el cortafuegos). Pero ha grandes rasgos puede ser utilizada en cualquier ámbito.
TDC / TOC
- 1. Principios genéricos
- 2. Instalación básica
- 3. Configuración Segura de Cuentas
- 4. Control de acceso a la red
- 4.1. Protección de NETBIOS y SMB
- 4.2. Protección del protocolo ARP
- 4.3. Apagado de la máquina
- 4.4. Acceso Remoto a través de RDP
- 4.5. Antivirus
- 4.6. Desactivar IPv6
- 4.7. Impedir la conversión SID a nombre de usuario y viceversa a usuarios anónimos
- 4.8. Impedir el listado de cuentas SAM por usuarios anónimos
- 4.9. Establecer el mensaje corporativo de inicio de sesión
- 4.10. Activar el Firewall o cortafuegos
- 4.11. Eliminar el usuario anónimo del FTP
- 5. Protección de la información
- 6. Configuración de Servicios del Sistema
- 7. Auditabilidad del Sistema
- 8. Actualizaciones y Parches
- 9. Otras opciones de seguridad
- 10. Control de cuentas de usuario (UAC): a partir de Windows Server 2008
1. Principios genéricos
A la hora de instalar, configurar y administrar un servidor, se debe:
- Cifrar todos los datos que se transmiten a través de la red, son particularmente importante los datos relativos a nombres de usuario y contraseñas
- Minimizar la cantidad de programas y servicios instalados y en ejecución para minimizar el riesgo potencial ante vulnerabilidades
- Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o antimalware
- Auditar los elementos críticos y/o de mayor riesgo de cada servidor
- Minimizar la instalación de varios servicios en un mismo servidor, para reducir el riesgo de que un servicio comprometido afecte a otros servicios
- Realizar un buen seguimiento de las cuentas de usuario, seguir una política de contraseñas sólida y forzar su uso así como eliminar las cuentas de usuarios innecesarias o que ya no se utilicen
- Revisar los logs de sistema y de aplicación de manera rutinaria. Enviar los logs a un servidor de logs
- Minimizar el uso de usuarios locales
- Utilizar la metodología del menor privilegio en todos los ámbitos
2. Instalación básica
2.1. Entorno de instalación seguro
Hay que instalar el SO desde DVD sin que esté conectado a la red hasta que se hayan completado los pasos de esta guía, sin embargo habrán ocasiones en las que esto no sea posible, en esos casos se debe asegurar que:
- Se ha bastionado el equipo siguiendo los pasos de esta guía
- El servidor debe estar protegido por un cortafuegos (Firewall)
- No debe ser accesible desde Internet
- Debe tener el mínimo acceso necesario a Internet
- Si existe algún servidor comprometido en el mismo segmento de red, no se debe realizar la instalación hasta que se haya solucionado la incidencia o se desconecte de la red el servidor comprometido o el servidor a instalar
- Debe tener dos tarjetas de red; una para gestión por consola con perfil de administración, y otra para la red.
2.2. Instalación de aplicaciones imprescindibles del sistema
Se realizará una instalación del sistema base, sin seleccionar ningún grupo de aplicaciones y funciones durante la instalación, e instalar a posteriori las aplicaciones y funciones requeridas. De esta forma evitamos que se instalen programas, librerías o extensiones que no sean necesarias.
Un ejemplo son las siguientes:
- Data Access Components (MDAC)
- HTML version of the Services Manager
- MS index Server
Los siguientes servicios deben sustituirse por sus homólogos más seguros:
- FTP, SMTP y NNTP
- Telnet
- ASP.NET si no lo usa ninguna aplicación
- webDAV
2.3. Configuración de las interfaces de red (NIC)
No hay que utilizar el protocolo DHCP para configurar las interfaces de red, todas deben tener una IP estática. Una vez obtenida la dirección IP hay que configurar la interfaz deseada siguiendo estos pasos
- Abrir
Windows 2003
Panel de control>Conexiones de red
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red
- Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y pulsar doble click sobre
Protocolo de Internet Versión 4 (TCP/IPv4)
O
Protocolo de Internet (TCP/IP)
- En la pestaña General seleccionar la opción Usar la siguiente dirección IP y rellenar los campos: Dirección IP, Máscara de subred y Puerta de enlace predeterminada
- Seleccionar la opción Usar las siguientes direcciones de servidor DNS y rellenar los campos: Servidor DNS preferido y Servidor DNS alternativo
3. Configuración Segura de Cuentas
3.1. Petición obligatoria de contraseña
Para que Windows no pida la contraseña, es necesario establecerla en blanco, así que nunca se debe establecer una contraseña en blanco, para evitar su uso hay que establecer una longitud mínima de contraseña.
3.1.1. Establecer una longitud mínima de contraseña
Establecer la longitud mínima de contraseña a 6 caracteres desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directiva de contraseñas>Longitud mínima de contraseñas
Windows 2008: CCE-2240-0, Windows 2003: CCE-3424-9
3.1.2. Impedir el uso de contraseñas en blanco en las conexiones remotas
Hay que habilitar la opción que limita el uso de contraseñas en blanco a usuarios que hayan iniciado sesión por consola impidiendo, de esta manera, el uso de contraseñas en blanco en conexiones remotas. Para habilitar esta opción ir a
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Directivas de seguridad>Cuentas: Limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola
Windows 2008: CCE-2364-8, Windows 2003: CCE-3357-1
3.2. Control de Usuarios Creados durante la Instalación
3.2.1. Crear una cuenta con privilegios de administración
Antes de desactivar la cuenta de Administrador hay que crear una nueva, el usuario corporativo de explotación es ExpSG así que hay que crearlo siguiendo estos pasos:
Windows server 2003
Pulsar el botón derecho sobre
Panel de control>Herramientas administrativas>Administrador del servidor>Herramientas del sistema>Usuarios y grupos locales>Usuarios
Y seleccionar la opción Usuario nuevo…, introducir ExpSG como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios y añadir el grupo Administradores
Windows server 2008
Pulsar el botón derecho sobre
Panel de control>Herramientas administrativas>Administrador del servidor>Configuración >Usuarios y grupos locales>Usuarios
Y seleccionar la opción Usuario nuevo…, introducir ExpSG como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios y añadir el grupo Administradores.
3.2.2. Deshabilitar la cuenta del usuario Administrador
Hay que deshabilitar el usuario Administrador creado durante la instalación. Para ello establecer a Deshabilitada la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: Estado de la cuenta de administrador
Windows 2008: CCE-2337-4, Windows 2003: CCE-8049-9
3.2.3. Deshabilitar la cuenta de Invitado
La cuenta de invitado debe estar deshabilitada, en la familia server viene desactivada por defecto, pero hay que asegurarse de que esté deshabilitada la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local >Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: estado de la cuenta de invitado
Windows 2008: CCE-2342-4, Windows 2003: CCE-2908-2
3.3. Asegurar la Robustez de las Contraseñas
Hay que asegurar que se cumplen los requisitos de la política de contraseñas de la organización a fin de que se asegure la dificultad o imposibilidad de:
- Predicción de contraseñas
- Ataques de diccionario
- Ataques de fuerza bruta
Si el servidor no forma parte de un directorio activo, Las opciones de contraseña se establecen en
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directivas de contraseña
3.4. Asignación de Derechos de Usuarios
Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en mente la filosofía de otorgar el menor privilegio.
Se debe tener en cuenta, que permisos asignados a grupos, les puede elevar o disminuir el nivel de privilegios.
4. Control de acceso a la red
Como norma general se deberá:
- Minimizar los protocolos utilizados
- Minimizar las direcciones de red a las que escucha el servidor
- Minimizar los puertos en los que escucha el servidor
4.1. Protección de NETBIOS y SMB
En aquellas máquinas en las que por los servicios que ofrecen no sea necesario, o cuando esté bien implantada una infraestructura de DNS o AD, se desactivará NETBIOS. Teóricamente Este paso no debería acarrear problemas, aún así en algunas situaciones puede surgir alguno, así que hay que asegurarse que no afecte a ningún servicio, especialmente en controladores de dominio.
4.1.1. Deshabilitar NETBIOS
Para deshabilitar NETBIOS
- Abrir
Windows server 2003
Panel de control>Conexiones de red
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de red
- Pulsar el botón derecho sobre la conexión deseada y seleccionar
Propiedades>Propiedades de protocolo TCP IPv4 >Opciones avanzadas>WINS
- Marcar la opción
Deshabilitar NetBios a través de TCP/IP
En el caso de no poder desactivar NETBIOS hay que limitar la respuesta de peticiones NETBIOS a peticiones que provengan del servidor WINS habilitando la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release request except from WINS servers
Windows 2008: CCE-2320-0, Windows 2003: CCE-2817-5
Si no aparece esta opción hay que instalar el archivo “GPO.MSI”, adjunto en el anexo, una vez instalado hay que pulsar el botón secundario del ratón sobre
Inicio>Todos los programas>LocalGPO>LocalGPO Command-line
Y seleccionar la opción Ejecutar como administrador, una vez abierta la línea de comandos hay que ejecutar
cscript LocalGPO.wsf /ConfigSCE
Tras realizar estos pasos, vuelve a abrir el editor de políticas y aparecerán las opciones de MSS
4.1.2. Activar la firma de paquetes SMB como cliente
Habilitar la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cliente de redes Microsoft: Firmar digitalmente las comunicaciones (si el servidor lo permite)
Windows 2008: CCE-2378-8, Windows 2003: CCE-8534-0
4.1.3. Activar la firma de paquetes SMB como servidor
Habilitar la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Servidor de red Microsoft: Firmar digitalmente las comunicaciones (si el cliente lo permite)
Windows 2008: CCE-2263-2, Windows 2003: CCE-3189-8
4.1.4. Impedir la enumeración de recursos compartidos y cuentas SAM por usuarios anónimos
Habilitar la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Acceso de red: No permitir enumeraciones anónimas de cuentas y recursos compartidos SAM
Windows server 2008: CCE-2340-8, Windows server 2003: CCE-3591-5
Al activar esta opción pueden aparecer algunos de los problemas descritos en: http://support.microsoft.com/kb/823659 y http://support.microsoft.com/kb/318866
4.2. Protección del protocolo ARP
Se debe reducir el tiempo de caducidad por defecto que marca la frecuencia de borrado de las entradas de la tabla ARP. En el caso de Windows Server 2008, realiza por defecto el borrado entre 15 y 45 segundos.
Windows server 2003
Ejecutar
regedit.exe
Y establecer a un valor entre 15 y 45 la clave (ej: 30)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ArpCacheLife
Si no existe la clave hay que crearla de tipo REG_DWORD
4.3. Apagado de la máquina
Se debe deshabilitar la opción que permite apagar el sistema sin iniciar sesión, deshabilitando la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Apagado: Permitir apagar el sistema sin tener que iniciar sesión
Windows server 2008: CCE-2403-4, Windows server 2003: CCE-3448-8
4.4. Acceso Remoto a través de RDP
Al activar el acceso remoto a través de RDP hay que aplicar las siguientes medidas de seguridad.
4.4.1. Forzar la petición de contraseña durante el inicio de sesión
Mediante esta opción forzamos a que el servidor pida la contraseña aunque el usuario la tenga memorizada en el cliente, así se impide que alguien pueda acceder al servidor accediendo a un equipo cliente con la contraseña memorizada. Para establecer esta opción ejecutar
gpedit.msc
Y habilitar la opción
Windows server 2003
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad>Solicitar la contraseña siempre al conectar
CCE-3666-5
Windows server 2008
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Solicitar la contraseña siempre al conectar
CCE-7636-4
4.4.2. Establecer el nivel de cifrado
Se deben cifrar las comunicaciones del protocolo RDP. Ejecutar
gpedit.msc
Y habilitar la opción
Windows server 2003
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad> Establecer el nivel de cifrado de conexión de cliente
CCE-3812-5
Estableciendo el nivel de cifrado a Nivel alto.
Windows server 2008
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Establecer el nivel de cifrado de conexión de cliente
CCE-7667-9
Estableciendo el nivel de cifrado a Nivel alto.
4.4.3. Impedir que se guarden las contraseñas en el cliente
Aunque se establezca en el servidor la opción de que siempre pida la contraseña a los clientes, para evitar que se diseminen credenciales por los equipos de la red hay que indicar al servidor que impida a los clientes guardar las contraseñas. Ejecutar
gpedit.msc
Y habilitar la opción
Windows server 2003
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente>No permitir que se guarden las contraseñas
Windows server 2008
Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente de conexión a escritorio remoto>No permitir que se guarden las contraseñas
4.5. Antivirus
Mantener los archivos del Servidor a salvo de virus usando y manteniendo actualizado un software antivirus.
4.6. Desactivar IPv6
El uso de IPv6 todavía no está extendido e introduce vectores de ataque desconocidos así que hay que desactivarlo en todas las interfaces de red del servidor.
- Abrir
Windows 2003
Panel de control>Conexiones de red
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red
- Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y, si existe, quitar la marca de la opción
Protocolo de Internet Versión 6 (TCP/IPv6)
4.7. Impedir la conversión SID a nombre de usuario y viceversa a usuarios anónimos
Esto impide extraer información sobre las cuentas existentes si se obtiene el SID o el nombre de usuario y dificulta un ataque de fuerza bruta contra las contraseñas. Deshabilitar la opción desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso de red: Permitir traducción SID/nombre anónima
Windows server 2008: CCE-2318-4, Windows server 2003: CCE-3402-5
4.8. Impedir el listado de cuentas SAM por usuarios anónimos
Impide que un usuario anónimo determine fácilmente la lista de usuarios en el sistema. Habilitar la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso a redes: No permitir enumeraciones anónimas de cuentas SAM
Windows server 2008: CCE-1962-0, Windows server 2003: CCE-3631-9
4.9. Establecer el mensaje corporativo de inicio de sesión
Todos los servidores corporativos deberán mostrar el siguiente mensaje cuando un usuario intente iniciar sesión en ellos:
AGREGAR AQUÍ EL TEXTO DESEADO
Para configurarlo copiar el texto en
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Texto del mensaje para los usuarios que intentan iniciar una sesión
Windows server 2008: CCE-2225-1, Windows server 2003: CCE-3672-3
También se debe configurar el título del mensaje a Aviso legal mediante la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Título del mensaje para los usuarios que intentan iniciar una sesión
Windows server 2008: CCE-2037-0, Windows server 2003: CCE-2790-4
4.10. Activar el Firewall o cortafuegos
El firewall es una pieza del engranaje de la seguridad que coge cada vez más protagonismo y debe activarse en todos los equipos, a pesar de que su configuración no es una de las tareas del bastionado ya que lo realiza el departamento de configuración de red.
Sí que es necesario activar el cortafuegos desde
Windows server 2003
Panel de control>Firewall de Windows>Excepciones
Y activar la opción Escritorio remoto, para permitir la administración remota del servidor, después ir a la pestaña General y seleccionar la opción Activado
Windows server 2008
Panel de control>Firewall de Windows>Activar o desactivar Firewall de Windows>Activado
4.11. Eliminar el usuario anónimo del FTP
Si existe algún servicio de FTP en el servidor asegúrate de que no se tenga habilitada la cuenta del usuario anónimo. Para comprobarlo sigue estos pasos:
- Abre una línea de comandos cmd.exe
- Ejecuta el comando: telnet IP_DEL_SERVIDOR 21
- Introduce el usuario anonymous
- Introduce cualquier contraseña que contenga una @ en el medio
Si permite iniciar sesión hay que desactivar la cuenta del usuario anónimo
5. Protección de la información
5.1. Eliminar las unidades compartidas con propósitos administrativos
Deshabilitar la funcionalidad de compartir las unidades de disco con propósitos administrativos en aquellas máquinas que se encuentren en entornos críticos o inseguros (como DMZ).
Es necesario editar el registro de Windows para realizar esta tarea, ejecutar
regedit.exe
Y modificar la clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
La clave es de tipo REG_DWORD y hay que establecer su valor a 0. Si la clave no existe hay que crearla.
Windows server 2003
Para finalizar hay que reiniciar el servicio server y sus dependencias ejecutar los comandos
net stop server
net start server
En el caso de existir dependencias también se deberán iniciar
Windows server 2008
Para finalizar hay que reiniciar el servicio srvnet y sus dependencias ejecutar los comandos
net stop srvnet
net start srvnet
En el caso de existir dependencias también se deberán iniciar
5.2. Permisos de Carpetas y Ficheros
Seguir la política del mínimo privilegio en los permisos del sistema de archivos. El objetivo es crear un ambiente restrictivo que se pueda ir abriendo selectivamente en función de las necesidades de la máquina.
5.3. Integridad de Archivos y Directorios
Una medida eficaz para detectar cambios es comprobar la integridad de los ficheros de sistema, configuración y Logs.
5.3.1. Comprobar la integridad de archivos y directorios del sistema
Para los archivos del sistema desde la versión de Server 2000, Windows incluye las utilidades SFC (System File Checker) y WFP (Windows File Protection). Mediante SFC se puede comprobar la integridad de archivos que Microsoft considera esenciales y restaurarlos a su versión original, pero este proceso se realiza de forma transparente y en tiempo real mediante la utilidad WFP.
Para desactivar SFC hay que establecer a 2,3 o 4 la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCScan\SFCDisable
Y a 0 para activarlo por lo tanto hay que asegurar que esta clave no exista o esté establecida a 0.
5.3.2. Comprobar la integridad de archivos y directorios que no son del sistema
Para archivos de configuración o que no sean del sistema se puede utilizar la utilidad FCI, que puede descargarse de
Una vez instalado hay que abrir una consola, cmd.exe, y ejecutar el comando
fciv -add ruta_del_archivo –sha1 -xml ruta_de_la_bd_en_xml
Donde ruta_del_archivo es la ruta completa de un archivo cuyo checksum queramos agregar a la base de datos en formato XML indicada por el parámetro ruta_de_la_db_en_xml. Se puede agregar un directorio mediante la opción -r, recursivo.
Para comprobar la integridad de los archivos incluidos en la base de datos XML hay que ejecutar el comando:
fciv -v –xml ruta_de_la_bd_en_xml
Una vez definidos sobre qué archivos queremos realizar la base de datos xml y generados los valores de checksum, hay que guardar en un medio de solo lectura o que esté totalmente aislado de la red, el archivo de base de datos xml ruta_de_la_bd_en_xml para evitar que sea modificado por un atacante.
5.4. Activar el Filtro de Ejecución de Aplicaciones Maliciosas
Se debe activar el filtro de ejecución de aplicaciones maliciosas (Data execution Prevention DEP) más las protecciones por hardware para evitar que se ejecuten ficheros dañados por virus y otras amenazas de seguridad.
Windows server 2003
Panel de control>Sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos
Y activar DEP para todos los programas y servicios a excepción de los que seleccione
Windows server 2008
Panel de control>Sistema>Configuración avanzada del sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos
Y activar DEP para todos los programas y servicios a excepción de los que seleccione
5.5. Mostrar las Extensiones de los Archivos
Hay que mostrar las extensiones de los archivos, debido a que algunas amenazas como pueden ser los virus y gusanos, aprovechan este comportamiento para confundir al usuario. Para mostrar las extensiones para el usuario actual abrir un explorador de archivos y desmarcaremos la opción
Herramientas>Opciones de carpeta>Ver>Configuración Avanzada>Ocultar las extensiones de archivo para los tipos de archivo conocidos.
NOTA: Este paso se deberá repetir para cada usuario
6. Configuración de Servicios del Sistema
6.1. Deshabilitar los Servicios Innecesarios
Durante la instalación de sistemas operativos muchos servicios se configuran para que se inicien automáticamente durante el inicio del SO. Algunos de estos servicios pueden no ser necesarios. Se debe verificar y habilitar únicamente aquellos que sean necesarios. Para revisar los servicios que existen y cuando se inician abrir
Panel de control>Herramientas administrativas>Servicios
Pulsar sobre la columna Tipo de inicio y los servicios que se inician automáticamente aparecerán los primeros, para modificar el tipo de inicio realizar un doble click sobre el servicio y en la ventana emergente establecer el campo Tipo de inicio al valor deseado.
6.2. Deshabilitar la caché de Contraseñas y Usuarios
No se debe mostrar nunca el nombre del último usuario que inició una sesión. Habilitar la opción
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: no mostrar el último nombre de usuario
Windows server 2008: CCE-2199-8, Windows server 2003: CCE-3527-9
6.3. Control de Sesiones
Debe activarse un protector de pantalla que bloquee el terminal con contraseña al cabo de un tiempo. Por defecto Windows lo trae habilitado a 10 minutos. Pulsar el botón derecho sobre el escritorio y seleccionar la opción Personalizar, establecer el tiempo deseado y marcar la opción Enseñar la ventana de inicio al volver. A los usuarios de los centros de control no se les debe aplicar
6.4. Configuración de NTP
Se debe configurar el servicio NTP para que se sincronice con el servidor NTP.
Windows server 2003
Abrir una consola
Inicio>Símbolo del sistema
Una vez abierta aplica los puntos 10.4.1 y 10.4.2
Windows server 2008
Abrir una consola como administrador pulsando la tecla Shift y el botón derecho sobre
Inicio>Símbolo del sistema
Y seleccionando la opción Ejecutar como administrador, una vez abierta aplica los puntos 10.4.1 y 10.4.2
6.4.1. Permitir la salida del tráfico NTP en el firewall
Windows server 2003
Ejecutar el comando
netsh firewall add portopening protocol=UDP port=123 name=»NTP» scope=»custom» addresses=»ip-del-servidor-ntp»
Windows server 2008
Ejecuta el comando mediante
netsh advfirewall firewall add rule name=»Sincronizacion de tiempo NTP» action=allow dir=out protocol=udp remoteport=123 remoteip=ip-del-servidor-ntp
6.4.2. Configurar la sincronización de tiempo
Ejecuta los comandos
w32tm /config /manualpeerlist:ip-del-servidor-ntp,0x8 /syncfromflags:MANUAL
w32tm /config /update
w32tm /resync
7. Auditabilidad del Sistema
Hay que habilitar los servicios de auditoría del sistema. Debe tenerse en cuenta que la auditoría puede causar un impacto en el rendimiento del sistema y un uso mayor del espacio en disco, así que hay que buscar un equilibrio.
7.1. Habilitar el Registro de Auditoria
Las opciones de auditoría se configuran desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Directiva de auditoría
Como mínimo habrá que activar los eventos correctos y fallidos de las opciones:
- Auditar eventos de inicio de sesión de cuenta (Windows server 2008: CCE-2251-7,CCE-1779-8, Windows server 2003: CCE-3321-7, CCE-3467-8)
- Auditar eventos de inicio de sesión (Windows server 2008: CCE-2242-6, CCE-2574-2, Windows server 2003: CCE-3603-8, CCE-3391-0)
- Auditar eventos del sistema (Windows server 2008: CCE-1837-4,CCE-1939-8, Windows server 2003: CCE-3594-9, CCE-3611-1)
8. Actualizaciones y Parches
8.1. Instalación de los Parches verificados por la compañía
Es muy importante mantener los sistemas actualizados a las versiones más recientes para proteger los equipos ante errores conocidos y solventados.
8.1.1. Aplicar los últimos parches homologados
(TODO: Describir el proceso de actualizaciones una vez definido)
8.1.2. Configurar las actualizaciones automáticas
Dado que los parches deberán ser verificados y, una vez aprobados, distribuidos por la empresa, hay que configurar las actualizaciones automáticas para que sincronicen con la infraestructura interna en lugar de los servidores oficiales de Microsoft. Hay que ejecutar el comando:
gpedit.msc
- Habilitar la opción
Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Configurar actualizaciones automáticas
Seleccionando la opción “2-Notificar descarga y notificar instalación” del campo “Configurar actualización automática”
- Habilitar la opción
Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Especificar la ubicación del servicio Windows Update en la intranet
Y establecer a “http://ip-del-servidor-de-actualizaciones” la opción “Establecer el servicio de actualización de la intranet para detectar actualizaciones:” y la opción “Establecer el servidor de estadísticas de la intranet”
9. Otras opciones de seguridad
Esta sección agrupa varias opciones que por su naturaleza no pertenecen a ningún apartado específico.
9.1. Procesamiento de directivas del registro
Al activar esta opción se fuerza a que se actualicen las políticas aunque no se haya modificado ningún objeto de las políticas globales, asegura que se aplican las políticas globales reemplazando cualquier cambio realizado localmente. Para establecer esta opción ejecutar
gpedit.msc
Y habilitar la opción
Configuración del equipo>plantillas administrativas>Sistema>Directiva de grupo>Procesamiento de directivas del registro
Windows server 2008: CCE-8492-1, Windows server 2003: CCE-8043-2
Marcando además la casilla
Procesar incluso si los objetos de directiva de grupo no han cambiado
9.2. Desactivar la ejecución automática
A lo largo de su historia la reproducción automática ha sido un vector de ataque muy utilizado por virus, troyanos, malware y demás amenazas, por más que ha mejorado su seguridad con el tiempo se encuentran nuevas formas de explotar esta funcionalidad, así que hay que desactivarla. Para establecer esta opción ejecutar
gpedit.msc
Y habilitar la opción
Windows server 2003
Requiere la actualización para Windows server 2003 (KB967715)
Configuración del equipo>plantillas administrativas>Sistema>>Desactivar Reproducción Automática
CCE-3597-2
Estableciendo a Todas las unidades la opción
Desactivar reproducción automática en:
Windows server 2008
Configuración del equipo>plantillas administrativas>Componentes de Windows>Directivas de reproducción automática>Desactivar Reproducción Automática
CCE-8634-8
Estableciendo a Todas las unidades la opción
Desactivar reproducción automática en:
10. Control de cuentas de usuario (UAC): a partir de Windows Server 2008
En esta sección se describen pasos para el uso óptimo de las mejoras de seguridad ofrecidas por la tecnología de control de cuentas de usuario.
10.1. Modo de aprobación para la cuenta de Administrador integrada
Al activar esta opción el usuario administrador creado durante la instalación pasa a estar protegido por la tecnología UAC. Para activarlo ejecutar
gpedit.msc
Y habilitar la opción
Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Modo de aprobación de Administrador integrado
CCE-2302-8
10.2. Pedir la contraseña cuando se requiera una elevación de privilegios
Mediante esta opción se pide la introducción de la contraseña cada vez que una tarea requiera de la elevación de privilegios, de esta forma si se produce un acceso no autorizado a un servidor con una sesión iniciada, no bastará para poder ejecutar tareas como Administrador ya que será necesario conocer la contraseña. Ejecutar
gpedit.msc
Y establecer a Pedir credenciales el valor de la opción
Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador
CCE-2474-5
Felicidades Abdul!!
Enhorabuena por tu trabajo
Donde puedo bajar el archivo anexo GPO.MSI que se menciona para activar el MSS
muy bueno tio!
buen trabajo.
Gracias charlie, me alegro que te haya gustado 😉
muy bueno