Guía de operaciones de seguridad para Windows 2000 Server (PARTE III)




Asegurar servidores basándose en su función. En el capítulo anterior, observamos cómo se puede usar una directiva de grupo para definir la configuración de seguridad en los servidores. En este capítulo, veremos aspectos más específicos, como las directivas de línea de base que se pueden definir para todos los servidores miembros y controladores de dominio de la organización, y otras modificaciones que puede aplicar a funciones específicas del servidor. Este enfoque permite que los administradores bloqueen los servidores por medio de directivas de línea de base centralizadas, aplicadas de forma coherente a todos los servidores de la organización. Las directivas de línea de base sólo permiten una funcionalidad mínima, pero sí permiten que los servidores se comuniquen con otros equipos en el mismo dominio y su autenticación a través de los controladores de dominio. A partir de este estado más seguro, se pueden aplicar otras directivas incrementales más, que permiten que cada servidor realice únicamente las tareas específicas definidas por su función. Su estrategia de administración de riesgos determinará si es apropiado para su entorno que lleve a cabo estos cambios. Estas operaciones guían la implementación de las directivas de particiones de la siguiente manera: Directiva para todo el dominio. Aborda los requisitos de seguridad comunes, como las directivas de cuentas que se deben aplicar para todos los servidores y estaciones de trabajo. Directivas para el controlador de dominio. Directivas que se aplican a la OU de los controladores de dominio. En particular, la configuración afecta a las directivas de auditoría, las opciones de seguridad y la configuración de servicios. Directivas de línea de base para los servidores miembros. La configuración común para todos los servidores miembros, como las directivas de auditoría, la configuración de servicios, las directivas que restringen el acceso al registro, el sistema de archivos y otros parámetros de seguridad específicos, como borrar el archivo de páginas de la memoria virtual al apagar el sistema. Directivas para la función del servidor. Se definen cuatro funciones distintas de servidor: servidores de aplicaciones, servidores de archivos y de impresión, servidores de infraestructura y servidores IIS. Para cada función, se describen necesidades y configuraciones de seguridad específicas. Este capítulo trata acerca de estas directivas y de otras configuraciones que se deben definir para determinadas funciones de servidor. Para obtener más información acerca del uso de las directivas de grupo para aplicar configuraciones de seguridad. Directivas de dominio En este manual de operaciones, no se aplica una configuración específica en el nivel de dominio, ya que muchos de estos parámetros, como la longitud de la contraseña, varían dependiendo de las directivas de seguridad globales de la organización. No obstante, es muy importante que defina esta configuración de manera apropiada. Directiva de contraseñas De forma predeterminada, se aplica una directiva de contraseñas estándar a todos los servidores del dominio. Requisitos de complejidad Cuando está activada la opción Las contraseñas deben cumplir los requisitos de complejidad de la directiva de grupo, es necesario que las contraseñas tengan una longitud de al menos 6 caracteres (aunque se recomienda establecerla en 8 caracteres). También se necesita que las contraseñas contengan caracteres de al menos tres de estas clases: Letras del alfabeto inglés en mayúsculas A, B, C… Z Letras del alfabeto inglés en minúsculas a, b, c… z Números arábigos 0, 1, 2… 9 Caracteres que no sean alfanuméricos, como los signos de puntuación. Nota: la directiva de contraseñas no sólo debe aplicarse en los servidores que ejecutan Windows 2000, sino en todos los dispositivos que utilicen una contraseña para la autenticación. Los dispositivos de red, como los enrutadores y los conmutadores, son muy sensibles a los ataques si utilizan contraseñas simples. Los atacantes pueden intentar controlar estos dispositivos de red para superar los servidores de seguridad. Directiva de bloqueo de cuentas Una directiva eficaz de bloqueo de cuentas puede evitar que un atacante adivine las contraseñas de sus cuentas. una cuenta que tenga cinco intentos incorrectos de inicio de sesión en un plazo de 30 minutos se bloquea durante 30 minutos (transcurrido este tiempo, se restablece la configuración en 0 intentos incorrectos y se puede volver a intentar iniciar una sesión). La cuenta sólo se puede activar antes de que hayan transcurrido los 30 minutos si un administrador restablece el bloqueo. Para aumentar el nivel de seguridad de su organización, debe considerar la posibilidad de aumentar la duración del bloqueo de cuenta y disminuir el umbral de bloqueo. Nota: las directivas de contraseña y de cuentas deben establecerse en el nivel de dominio. Si se establecen en el nivel de la OU o en cualquier otro lugar de Active Directory, afectarán a las cuentas locales y no a las cuentas de dominio. Sólo se puede tener una directiva de cuentas de dominio; para obtener más información, consulte el artículo de Knowledge Base Q255550, "Configuring Account Policies in Active Directory" (en inglés). Directivas de línea de base para los servidores miembros Una vez establecida la configuración en el nivel de dominio, puede definir la configuración común para todos los servidores miembros. Esto se hace a través de un GPO en la OU del servidor miembro, conocido como directiva de línea de base. Un GPO común automatiza el proceso de configuración de parámetros de seguridad específicos en cada servidor. También deberá aplicar manualmente cierta configuración de seguridad adicional que no se puede aplicar mediante directivas de grupo. Directiva de grupo de línea de base para los servidores miembros La configuración de la directiva de línea de base que se utiliza en este manual se obtiene de la directiva hisecws.inf incluida en las instalaciones del servidor y de las estaciones de trabajo. Algunas de las áreas incluidas en hisecws.inf son: Directiva de auditoría. Determina cómo se lleva a cabo la auditoría en los servidores. Opciones de seguridad. Determina la configuración de seguridad específica mediante valores de registro. Listas de control de acceso a registros. Determinan quién tiene acceso a los registros. Listas de control de acceso a archivos. Determinan quién tiene acceso al sistema de archivos. Configuración de servicios. Determina qué servicios se inician, se detienen, se deshabilitan, etc. Para este manual, hemos modificado hisecws.inf para hacerlo más seguro. La Directiva de línea de base para los servidores miembros, baseline.inf, ayuda a crear un servidor notablemente más resistente a los ataques en los entornos de producción. Hisecws.inf se ha modificado agregándole: Valores del registro relacionados con la seguridad Configuración de servicios Listas de control de acceso a archivos más restringidas Una configuración de auditoría mejorada Directiva de línea de base para la auditoría de servidores miembros La configuración de los registros de sucesos del sistema, de seguridad y de las aplicaciones se establece en la directiva y se aplica a todos los servidores miembros del dominio. El tamaño de cada uno de estos registros se establece en 10 megabytes (MB) y se configura cada registro para que no sobrescriba sucesos. Por lo tanto, es importante que un administrador los revise regularmente y los archive o los borre, según sea necesario. Nota: si un sistema de administración controla regularmente los registros para detectar sucesos específicos, y extrae y reenvía los detalles a una base de datos de administración, se capturarán los datos necesarios y, por lo tanto, podrá establecer que los archivos de registro se sobrescriban. Nota: se muestra la configuración de la directiva para el método de retención Manualmente, lo que significa que no se sobrescribirán los sucesos (el registro se borrará manualmente). Nota: la directiva de dominio predeterminada configura Cerrar automáticamente la sesión de los usuarios cuando termine el tiempo de sesión como deshabilitado. Para configurar esta opción, debe modificar la directiva de dominio predeterminada; por este motivo, no se define en las directivas de línea de base incluidas en este manual. Nota: si aumenta de manera importante el número de objetos para auditar, corre el riesgo de que se llene el registro de seguridad y se fuerce el apagado del sistema. En este caso, no podrá usar el sistema hasta que un administrador borre el registro. Para evitar que esto ocurra, debe deshabilitar la opción de apagado del sistema que aparece en la tabla o bien, preferiblemente, aumentar el tamaño del registro de seguridad. Algunas de las opciones que se establecen aquí deben comentarse con más detalle, ya que afectan directamente a la manera en que los servidores se comunican entre sí en el dominio y también pueden afectar al rendimiento del servidor. Restricciones adicionales para conexiones anónimas De forma predeterminada, Windows 2000 permite que los usuarios anónimos realicen ciertas actividades, como enumerar los nombres de las cuentas de dominio y los recursos compartidos de la red. Esto permite que un atacante vea estas cuentas y comparta nombres en un servidor remoto sin tener que autenticarse con una cuenta de usuario. Para hacer más seguro el acceso anónimo, puede configurar No obtener acceso sin permisos anónimos explícitos. Esto hace que se elimine el grupo Todos del testigo de usuarios anónimos. No se permitirá el acceso anónimo al servidor y se necesitará un acceso explícito a todos los recursos. Nota: para obtener más información acerca de cómo afectará esto a su entorno, consulte el artículo de Knowledge Base Q246261, "How to Use the RestrictAnonymous Registry Value in Windows 2000" (en inglés). Nivel de autenticación de LAN Manager Los sistemas operativos Microsoft Windows 9x y Windows NT® no pueden utilizar Kerberos para la autenticación y utilizan, de forma predeterminada, el protocolo NTLM para la autenticación de la red en un dominio Windows 2000. Puede utilizar un protocolo de autenticación más seguro para Windows 9x y Windows NT: NTLMv2. Para el proceso de inicio de sesión, NTLMv2 abre un canal seguro para proteger el proceso de autenticación. Nota: si usa NTLMv2 para clientes y servidores heredados, los clientes y servidores basados en Windows 2000 seguirán autenticando con los controladores de dominio de Windows 2000 que utilizan Kerberos. Para obtener más información acerca de cómo habilitar NTLMv2, consulte el artículo de Knowledge Base Q239869, "How to Enable NTLM 2 Authentication for Windows 95/98/2000/NT" (en inglés). Windows NT 4.0 necesita el Service Pack 4 para ser compatible con NTLMv2 y las plataformas Windows 9x necesitan tener instalado el cliente del servicio de directorio para ser compatibles con NTLMv2. Borrar el archivo de páginas de la memoria virtual al apagar el sistema La información importante que se mantiene en la memoria real se puede volcar periódicamente al archivo de páginas. Esto ayuda a que Windows 2000 controle las funciones multitarea. Si habilita esta opción, Windows 2000 borra el archivo de páginas al apagar el sistema y quita toda la información almacenada en él. En función del tamaño del archivo, pueden pasar varios minutos antes de que se apague completamente el sistema. Firmar digitalmente la comunicación con el cliente o con el servidor La implementación de la firma digital en las redes de alta seguridad ayuda a evitar la suplantación de los clientes y servidores (lo que se conoce como secuestro de la sesión o ataque de "alguien en medio"). La firma Bloque de mensaje de servidor (SMB) autentica tanto al usuario como al servidor que aloja los datos. Si la autenticación falla en cualquiera de los extremos, no se realiza la transmisión de datos. Cuando se implementa la firma SMB, se observa un exceso del rendimiento de hasta un 15% para firmar y verificar cada paquete entre los servidores. Para obtener más información acerca del efecto de exceso de rendimiento, consulte el artículo de Knowledge Base Q161372, "How to Enable SMB Signing in Windows NT" (en inglés). Otras opciones de seguridad Para este manual, se han agregado valores de registro adicionales al archivo de plantilla de seguridad de línea de base que no están definidos en el archivo de la plantilla administrativa (ADM). Nota: para obtener más información acerca de la relación entre los archivos .inf y .adm, consulte el artículo de Knowledge Base Q228460, "Location of ADM (Administrative Template) Files in Windows" (en inglés). Esta configuración está incrustada en la plantilla de línea de seguridad Baseline.inf para automatizar los cambios. Si se quita la directiva, la configuración no se quita automáticamente y debe cambiarse de forma manual. Consideraciones de seguridad para los ataques a la red Algunos ataques de denegación de servicio pueden ser una amenaza para la pila de TCP/IP en los servidores basados en Windows 2000. Esta configuración del registro ayuda a aumentar la resistencia de la pila de TCP/IP de Windows 2000 a los ataques de denegación de servicio a la red de tipo estándar. Puede obtener información acerca de esta configuración en el artículo de Knowledge Base Q315669, "HOW TO: Harden the TCP/IP Stack in Windows 2000 Against Denial of Service" (en inglés). Se han agregado las siguientes claves de registro al archivo de plantilla como subclaves de HKLM\System\CurrentControlSet\Services\Tcpip|Parameters\: Afd.sys controla los intentos de conexión a las aplicaciones de Windows Sockets, como los servidores de FTP y de Web. Afd.sys se ha modificado para que admita un gran número de conexiones en estado semiabierto, sin denegar el acceso a los clientes legítimos. Esto se logra permitiendo que el administrador configure un registro dinámico. La nueva versión de Afd.sys admite cuatro nuevos parámetros del registro que se pueden usar para controlar el comportamiento del registro dinámico. Para obtener más información acerca de esta configuración, consulte el artículo de Knowledge Base Q142641, "Internet Server Unavailable Because of Malicious SYN Attacks" (en inglés). Se han agregado las siguientes claves de registro al archivo de plantilla como subclaves de HKLM\System\CurrentControlSet\Services\AFD\Parameters\: Deshabilitar la generación automática de nombres de archivo 8.3 Windows 2000 admite los formatos de nombre de archivo 8.3 para compatibilidad con versiones anteriores de aplicaciones de 16 bits. Esto significa que un atacante sólo necesita 8 caracteres para hacer referencia a un archivo que puede tener 20 caracteres. Si no utiliza aplicaciones de 16 bits, puede desactivar esta función. Al deshabilitar la generación de nombres cortos en una partición NTFS también aumenta el rendimiento de enumeración del directorio. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\System\CurrentControlSet\Control\FileSystem\: Nota: si aplica esta configuración a un servidor existente que ya tenga archivos con nombres 8.3 generados automáticamente, estos archivos no se quitarán. Para quitar los nombres de archivo 8.3 existentes, deberá copiar esos archivos fuera del servidor, eliminarlos de su ubicación original y copiarlos de nuevo a sus ubicaciones originales. Deshabilitar la creación de Lmhash Los servidores basados en Windows 2000 pueden autenticar equipos que utilicen cualquier versión anterior de Windows. Sin embargo, las versiones anteriores de Windows no utilizan Kerberos para la autenticación; por lo tanto, Windows 2000 es compatible con Lan Manager (LM), Windows NT (NTLM) y NTLM versión 2 (NTLMv2). LM)hash es relativamente débil en comparación con el hash NTLM y, por tanto, es susceptible a los ataques rápidos mediante fuerza bruta. Si no tiene clientes que necesiten la autenticación LM, deshabilite el almacenamiento de hashes LM. Windows 2000 Service Pack 2 proporciona una configuración del registro para deshabilitar el almacenamiento de los hashes LM. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SYSTEM\CurrentControlSet\Control\Lsa\: Nota: para deshabilitar el almacenamiento de hashes LM con esta configuración del registro, debe estar ejecutando Windows 2000 Service Pack 2 o posterior. Para obtener más información, consulte el artículo de Microsoft Knowledge Base Q147706, "How to Disable LM Authentication on Windows NT" (en inglés). Configuración de la seguridad NTLMSSP El proveedor de servicios de seguridad NTLM (NTLMSSP) permite especificar la configuración de seguridad mínima necesaria para las conexiones de red del lado del servidor por aplicaciones. La directiva de línea de base para los servidores miembros garantiza que la conexión falle si se utiliza la confidencialidad de mensajes y no se negocia el cifrado de 128 bits. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0\: Deshabilitación de Autorun Autorun comienza a leer en una unidad en cuanto se inserta un medio en ella. Como resultado, el archivo de instalación de programas y el sonido de los medios de audio se inician inmediatamente. Para evitar que se inicie un posible programa malicioso al insertar un medio, la directiva de grupo deshabilita Autorun en todas las unidades. Se ha agregado la siguiente clave de registro al archivo de plantilla como subclave de HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\: Directiva de línea de base de listas de control de acceso al registro para servidores miembros La directiva de línea de base para los servidores miembros no cambia las ACL del registro definidas en hisecws.inf. Debe realizar una comprobación cuidadosa en su entorno antes de realizar cambios. Las ACL definidas en hisecws.inf cambian principalmente el grupo Usuarios avanzados, que se crea de forma predeterminada para la compatibilidad con versiones anteriores de entornos basados en Windows NT 4.0. La plantilla garantiza que Usuarios avanzados tenga los mismos permisos que el grupo Usuarios de Windows 2000. Nota: el grupo Usuarios avanzados no está definido en los controladores de dominio. Directiva de línea de base de listas de control de acceso a archivos para servidores miembros Para aumentar la seguridad del sistema de archivos, debe asegurarse de que se apliquen permisos más restrictivos a los directorios y archivos comunes a todos los servidores miembros del dominio. La plantilla de seguridad de línea de base de los servidores miembros incorpora todas las listas de control de acceso a archivos incluidas con la plantilla hisecws.inf y agrega la configuración de varias carpetas y archivos. Nota: para obtener más información acerca de los permisos predeterminados para el registro y los archivos en Windows 2000, consulte el documento "Default Access Control Settings in Windows 2000" (en inglés), disponible en TechNet. En el apartado "Más información", al final de este capítulo, encontrará el vínculo a estas notas del producto. Nota: %SystemRoot% define la ruta de acceso y el nombre de la carpeta en las que están ubicados los archivos del sistema de Windows y %SystemDrive% define la unidad que contiene %systemroot%. También hay un gran número de archivos instalados en el servidor que deben bloquearse aún con más detalle. La directiva de línea de base para los servidores miembros modificará las ACL de los archivos de inicio predeterminados de Windows y de muchos de los ejecutables que pueden ejecutarse desde el símbolo del sistema. Los archivos afectados se indican en el apéndice A. Directivas de línea de base de servicios para los servidores miembros Al instalar Windows 2000 Server por primera vez, se crean servicios predeterminados y se configuran para que se ejecuten al iniciar el sistema. Algunos de estos servicios no necesitan ejecutarse en distintos entornos y como todos los servicios son un posible punto de ataque, debe desactivar los que sean innecesarios. La directiva de línea de base para los servidores miembros sólo habilita los servicios necesarios para que un servidor miembro con Windows 2000 participe en un dominio de Windows 2000 y proporcione servicios de administración básicos. Nota: Hfnetchk es una herramienta que permite comprobar las revisiones instaladas en cada servidor de la organización. El uso de esta herramienta se recomienda en el capítulo 5 "Administrar revisiones". Esta configuración supone un entorno basado en Windows 2000 puro y estándar (con excepción de la herramienta hfnetchk). Si el entorno incluye Windows NT 4.0 (o tiene otras herramientas en todos los servidores miembros) es posible que necesite otros servicios para mantener la compatibilidad. Si habilita otros servicios, estos pueden tener, a su vez, dependencias que hagan necesarios servicios adicionales. Los servicios que se necesitan para una función de servidor específica se pueden agregar a la directiva para esa función de servidor. Servicios clave no incluidos en la línea de base de los servidores miembros El objetivo de la directiva de línea de base para los servidores miembros es ser lo más restrictiva posible. Por este motivo, varios servicios que pueden ser necesarios en su entorno están deshabilitados. Aquí se describen algunos de los más comunes. Servicio SNMP En muchos casos, las aplicaciones de administración necesitan que se instale un agente en cada servidor. Generalmente, estos agentes usan SNMP para reenviar las alertas de vuelta a un servidor de administración centralizado. Si necesita agentes de administración, debe comprobar si necesitan que se inicie el servicio SNMP. Servicios WMI El servicio Instrumental de administración de Windows (WMI) está deshabilitado en la directiva de línea de base para los servidores miembros. Para administrar discos lógicos a través de la administración de equipos, es necesario habilitar el servicio WMI. Muchas otras aplicaciones y herramientas también utilizan WMI. Servicios de mensajería y de alertas Aunque no dependen explícitamente uno del otro, estos servicios funcionan conjuntamente para enviar alertas administrativas. El servicio de mensajería envía las alertas disparadas por el servicio de alertas. Si utiliza Registros y alertas de rendimiento para disparar las alertas, necesitará habilitar estos servicios. Directiva de línea de base para el controlador de dominio Todos los controladores de dominio creados en el dominio se asignan automáticamente a la OU de controladores de dominio. Los controladores de dominio nunca deben moverse fuera de esta OU, ya que en ella se aplican ACL de seguridad específicas. La OU de controladores de dominio es una OU de nivel superior y, por tanto, no aplica la configuración definida en la directiva de línea de base para los servidores miembros. Por este motivo, se ha creado una directiva de línea de base distinta para los controladores de dominio. La configuración implementada en la directiva de línea de base para los controladores de dominio afecta a los apartados siguientes de la directiva: Directiva de auditoría Opciones de seguridad Configuración de servicios Nota: las ACL de archivos, con excepción de los archivos System32 indicados en el apéndice A, y las ACL del registro no se incluyen en esta directiva de grupo, ya que se definen y se implementan cuando el servidor que ejecuta Windows 2000 se promueve a un controlador de dominio. Durante la promoción de un servidor basado en Windows 2000 a un controlador de dominio, se aplica una plantilla de seguridad llamada Defltdc.inf. Esta plantilla aplica ACL al sistema de archivos y a las claves del registro para los servicios adicionales creados con el fin de proporcionar compatibilidad con un controlador de dominio. Directiva de línea de base para las opciones de auditoría y seguridad del controlador de dominio Las directivas de auditoría y las opciones de seguridad configuradas para los controladores de dominio son idénticas a la directiva de línea de base (consulte los detalles de la configuración en el apartado "Directivas de línea de base para los servidores miembros"). Directiva de línea de base de servicios para el controlador de dominio Los servicios configurados para el inicio son los que se definen en la configuración de línea de base del servidor miembro, más los servicios adicionales necesarios para la compatibilidad con las funciones del controlador de dominio. Servicios clave no incluidos en la directiva de línea de base para los controladores de dominio El objetivo de la directiva de línea de base para los controladores de dominio es ser lo más restrictiva posible. Por este motivo, varios servicios que pueden ser necesarios en su entorno están deshabilitados. Aquí se describen algunos de los más comunes que puede necesitar. Serv. de Prot. simple de transf. de correo (STMP) La replicación entre sitios se puede realizar utilizando RPC o SMTP. Si utiliza SMTP para la replicación en su entorno, necesitará activar el servicio SMTP. Mensajería entre sitios Este servicio se utiliza para la replicación entre sitios a través del correo. Cada transporte que se va a utilizar para la replicación se define en una biblioteca de vínculos dinámicos (DLL) complementaria distinta. Estas DLL complementarias se cargan en el servicio de mensajería entre sitios. La mensajería entre sitios dirige las solicitudes enviadas y recibidas a las DLL complementarias de transporte apropiadas que, a su vez, enrutan los mensajes a la mensajería entre sitios del equipo de destino. Si utiliza SMTP para la replicación en su entorno, necesitará activar este servicio. Servicio de administración de IIS Si inicia el servicio SMTP, también deberá iniciar el servicio de administración de IIS, ya que el servicio SMTP depende de él. Servicio de servidor de seguimiento de vínculos distribuidos Este servicio se utiliza para realizar un seguimiento de los archivos en volúmenes NTFS en un dominio completo y se contacta por medio de equipos que ejecutan el servicio de cliente de seguimiento de vínculos distribuidos. Estos equipos intentarán periódicamente establecer contacto con el servicio de servidor de seguimiento de vínculos distribuidos, aunque esté deshabilitado. Nota: si ejecuta la utilidad dcdiag desde las Herramientas de soporte de Windows 2000, se comprobarán todos los servicios que se ejecutan normalmente en los controladores de dominio que se van a iniciar. Como algunos servicios están deshabilitados en la directiva de línea de base para los controladores de dominio, dcdiag comunicará errores. Es normal que esto ocurra y no indica ningún problema con la configuración. Otras tareas de seguridad de línea de base No es posible realizar todas las tareas necesarias para aumentar la seguridad de los servidores miembros y los controladores de dominio que utilizan la directiva de grupo. Hay varios pasos más que debe seguir para aumentar el nivel de seguridad global en todos los servidores. Seguridad de las cuentas integradas Windows 2000 tiene varias cuentas de usuario integradas que no se pueden eliminar pero se les puede cambiar el nombre. Dos de las cuentas integradas más conocidas de Windows 2000 son Invitado y Administrador. De forma predeterminada, la cuenta Invitado está deshabilitada en los servidores miembros y los controladores de dominio. No debe cambiar esta configuración. Para evitar ataques que utilicen un nombre conocido y pongan en peligro al servidor remoto, debe cambiar el nombre de la cuenta Administrador integrada y modificar su descripción. Muchas secuencias de comandos maliciosas utilizan la cuenta de administrador integrada como un primer intento para atacar el servidor. Nota: el nombre de la cuenta de administrador integrada se puede cambiar utilizando la directiva de grupo. No hemos implementado esta configuración en las directivas de línea de base porque debe elegir un nombre que no sea conocido. Seguridad de la cuenta de administrador local Cada servidor miembro tiene una base de datos de cuentas locales y una cuenta de administrador local que proporciona control total sobre el servidor. Por lo tanto, esta cuenta es muy importante. Debe cambiar el nombre de la misma y asegurarse de que tenga una contraseña compleja. También debe asegurarse de que las contraseñas del administrador local no se repliquen en los servidores miembros. Si fuera así, un atacante que obtuviera acceso a un servidor miembro podría obtener acceso a todos los demás con la misma contraseña. No debe hacer que las cuentas de administrador locales formen parte del grupo de administradores de dominio, ya que esto amplía sus capacidades más de lo necesario para administrar los servidores miembros. Por el mismo motivo, es importante asegurarse de que sólo se utilicen las cuentas locales para administrar los servidores miembros. Seguridad de las cuentas de servicio Los servicios de Windows 2000 se ejecutan generalmente en la cuenta del sistema local, aunque también se pueden ejecutar bajo un usuario de dominio o en una cuenta local. Siempre que sea posible, debe usar cuentas locales en lugar de las cuentas de usuario de dominio. Un servicio se ejecuta en el contexto de seguridad de su cuenta de servicio, por lo que si un ataque pone en peligro un servicio en un servidor miembro, la cuenta de servicio podría utilizarse para atacar un controlador de dominio. Al determinar qué cuenta se utilizará como cuenta de servicio, debe asegurarse de que los privilegios asignados se limiten a los necesarios para el correcto funcionamiento del servicio. Todos los servicios predeterminados de Windows 2000 se ejecutan en LocalSystem y no esto no debe cambiarse. Todos los servicios adicionales agregados al sistema que requieran el uso de cuentas de dominio deben evaluarse con cuidado antes de implementarse. Validación de la configuración de línea de base Una vez aplicada la seguridad por primera vez a un servidor, es conveniente comprobar que los parámetros específicos de seguridad están configurados correctamente. Microsoft Security Baseline Analyzer Tool realizará una serie de comprobaciones en los servidores y le avisará de los problemas de seguridad con los que se puede encontrar. Validación de la configuración de puertos Es importante que valide la configuración final de los puertos y que comprenda a qué puertos TCP y UDP "escuchan" los servidores que ejecutan Windows 2000. Después de aplicar las directivas de línea de base, se puede ejecutar el comando netstat para ver a qué puertos sigue escuchando el servidor para cada tarjeta de interfaz de red. Seguridad de cada función del servidor Una vez aplicadas las directivas de línea de base, los servidores estarán notablemente más seguros. En este estado, puede que deba habilitar parámetros adicionales agregando funcionalidad a la línea de base. En este manual, se definen cuatro funciones distintas de los servidores miembros: Servidor de aplicaciones con Windows 2000. Ésta es la más segura y la más restringida de las funciones de servidor. El objetivo de esta función segura de servidor de aplicaciones es proporcionar un servidor sumamente restringido en el que puede instalar una aplicación, como Exchange o SQL. Esta función de servidor está diseñada de manera que lo único que puede hacer es comunicarse con los controladores de dominio para la autenticación. Esta función es la base de las demás funciones. Servidor de archivos y de impresión con Windows 2000. Diseñado para aumentar notablemente la seguridad de los servidores de archivos y de impresión. Servidor de infraestructura con Windows 2000. Diseñado para aumentar notablemente la seguridad de los servidores DNS, DHCP y WINS. Servidor de IIS con Windows 2000 Diseñado para aumentar notablemente la seguridad de los servidores de IIS. Esta función usa una versión modificada de la directiva para servidores de aplicaciones y las herramientas IIS Lockdown y URLScan. Nota: la función de servidor de aplicaciones está deliberadamente muy restringida. Para poder instalar y ejecutar determinadas aplicaciones, es posible que tenga que modificar la configuración de seguridad que se define aquí. Nota: se pueden modificar las plantillas incluidas en este manual para crear plantillas para otras funciones. Si hace esto, es importante que compruebe completamente la plantilla modificada para asegurarse de que proporciona el nivel de seguridad deseado. Función de servidor de aplicaciones con Windows 2000 La configuración de la función de servidor de aplicaciones depende de la aplicación que desee implementar. Por este motivo, la configuración es igual a la de la línea de base de los servidores miembros. Esto significa que la función de servidor de aplicaciones está muy restringida; para instalar y ejecutar ciertas aplicaciones, tendrá que modificar la configuración de seguridad predeterminada que se define aquí. La forma más fácil de hacerlo es crear una nueva OU para la aplicación en la OU de servidores de aplicación. Después, se crea una directiva de grupo que modifique la configuración de la línea de base y se importa la directiva a la nueva OU. Función de servidor de archivos y de impresión con Windows 2000 Generalmente, todos los usuarios de un entorno corporativo obtienen acceso a los servicios de archivo y de impresión, por lo que puede resultar difícil garantizar la máxima seguridad para esta función de servidor. La directiva para servidores de archivos y de impresión: Habilita el servicio de cola de impresión, que se utiliza para imprimir. Deshabilita la configuración de directivas de seguridad Firmar digitalmente la comunicación con el cliente (siempre). Si no está deshabilitada, los clientes pueden imprimir, pero no pueden ver la cola de impresión. Cuando intenten ver la cola de impresión, recibirán el mensaje "No se puede conectar. Acceso denegado." Nota: el servicio de cola de impresión se utiliza en todos los equipos que inician un trabajo de impresión y en los servidores de impresión. La configuración predeterminada para las líneas de base de los servidores miembros y de los controladores de dominio impide emitir trabajos de impresión desde estos equipos Función de servidor de infraestructuras con Windows 2000 La función de servidor de infraestructuras es compatible con los servicios de red DNS, DHCP y WINS. Para que los tres servicios se ejecuten en el mismo servidor miembro, la directiva de infraestructuras habilita los servicios siguientes, además de la directiva de línea de base para los servidores miembros. Función de servidor IIS con Windows 2000 La función de servidor IIS proporciona funcionalidad de servidor Web a un servidor basado en Windows 2000. La directiva de grupo para la función de servidor IIS agrega los servicios siguientes a la directiva de línea de base para los servidores miembros. Además, la directiva de grupo para la función de servidor IIS configura el valor del registro SynAttackProtect en 1. La herramienta IISLockdown Los servidores IIS proporcionan un gran número de funciones. Sin embargo, para que los servidores IIS sean lo más seguros posible, debe restringir esta funcionalidad a lo estrictamente necesario. La forma más sencilla de hacerlo es utilizando la herramienta IISLockdown. IISLockdown es una utilidad que se puede configurar en gran medida y permite especificar la naturaleza del servidor Web. Después, quita todas las funciones que ese servidor Web específico no necesita. Por supuesto, es necesario comprobar exhaustivamente todos los cambios antes de implementarlos en un entorno de producción. Nota: IISLockdown está disponible como parte del Kit de herramientas del programa de seguridad de Microsoft y en el sitio Web de seguridad de Microsoft. Para obtener información más detallada, consulte el apartado "Más información", al final de este capítulo. IISLockdown puede aplicar muchas medidas para hacer más seguros los servidores Web. Puede, por ejemplo: Bloquear archivos Deshabilitar servicios y componentes Instalar URLScan Quitar las asignaciones de secuencias de comandos DLL ISAPI (Internet Server API) innecesarias Quitar los directorios innecesarios Cambiar las ACL Puede usar IIS Lockdown para asegurar muchos tipos de funciones de servidor IIS. Para cada servidor, debe seleccionar la función más restrictiva que satisfaga las necesidades de su servidor Web. Para asegurar un servidor Web estático con IIS Lockdown 1. Inicie IISLockd.exe. 2. Haga clic en Next. 3. Seleccione I Agree y haga clic en Next. 4. Seleccione Static Web server y haga clic en Next. 5. Asegúrese de que Install URLScan filter on the server está seleccionado y haga clic en Next. 6. Haga clic en Next. 7. Si aparece el cuadro de diálogo Digital Signature Not Found, haga clic en Yes. 8. Haga clic en Next. 9. Haga clic en Finish. Si configura un servidor IIS como servidor Web estático, se realizarán los siguientes cambios: Se deshabilita la asignación de las secuencias de comandos de la interfaz Web de Index Server (.idq, .htw, .ida) Se deshabilita la asignación de las secuencias de comandos de Internet Data Connector (.idc) Se deshabilita la asignación de secuencia de comandos de los archivos de inclusión del servidor (.shtml, .shtm, .stm) Se deshabilita la asignación de la secuencia de comandos .HTR(.htr)' Se deshabilita la asignación de las secuencias de comandos de páginas de Active Server (.asp) Se deshabilita la asignación de las secuencias de comandos de impresión de Internet (.printer) Se quita el directorio virtual de la impresora Se deshabilita WebDAV (Creación y control de versiones distribuidos en Web) Se establecen permisos de archivos para evitar que los usuarios anónimos de IIS escriban en los directorios de contenido Se establecen permisos de archivos para evitar que los usuarios anónimos de IIS ejecuten utilidades del sistema Se instala el filtro URLScan en el servidor Se quita el directorio virtual Secuencias de comandos Se quita el directorio virtual MSADC Se quita el directorio virtual IIS Samples Se quita el directorio virtual IISAdmin Se quita el directorio virtual IISHelp Nota: en el capítulo 6, "Auditoría y detección de intrusiones", encontrará más información acerca de URLScan. Otros parámetros de seguridad de la función de servidor IIS La herramienta IIS Lockdown aumenta notablemente la seguridad de los servidores IIS. Sin embargo, hay otras medidas que puede tomar para aumentar aún más la seguridad de los servidores que ejecutan el servicio de IIS de Windows 2000. Configuración de restricciones para las direcciones IP y DNS Esta configuración garantiza que sólo los sistemas con direcciones IP o nombres de DNS específicos puedan tener acceso al servidor Web. No es habitual establecer restricciones a las direcciones IP y DNS, pero es una opción disponible para restringir los sitios Web a determinados usuarios. Sin embargo, si se utilizan nombres DNS en lugar de direcciones IP en las restricciones, IIS deberá realizar una búsqueda de DNS, lo que puede tardar algún tiempo. Uso de una cuenta anónima local De forma predeterminada, la cuenta anónima que se usa para tener acceso a IIS es una cuenta de dominio llamada IUSR_nombreequipo. Para más seguridad, puede deshabilitar la cuenta predeterminada y sustituirla por una cuenta local, que cumpla directivas de contraseña estrictas. De esta manera, si un atacante obtiene acceso a la cuenta, sólo tendrá acceso al sistema local. Es importante comprobar exhaustivamente todos los servidores IIS configurados de esta manera, ya que algunas aplicaciones Web necesitan una cuenta de dominio en lugar de una cuenta local). Nota: puede eliminar la cuenta IUSR_nombreequipo; sin embargo, si sólo la desactiva, puede dejarla como una cuenta de señuelo. Implementación de filtros IPSec para servidores host múltiples El motor de directivas IPSec incluido con Windows 2000 es una herramienta útil para aumentar la seguridad global de la arquitectura de Web, en especial la seguridad de los servidores Web. La directiva IPSec se utiliza generalmente para crear una vía de comunicación segura entre dos hosts o dos sitios remotos. Sin embargo, también se pueden aprovechar sus capacidades de filtrado de puertos y protocolos. Puede usar las listas de filtros en combinación con acciones de filtrado para controlar el tráfico de entrada y salida en el servidor Web. Por ejemplo, puede crear listas con dos filtros, uno para el tráfico de todos los destinos que llegue al puerto 80 y otro para el tráfico de todos los destinos que llegue a cualquier puerto. Después, puede definir acciones de filtrado para permitir el paso del tráfico que cumpla las condiciones de la primera lista de filtrado y bloquear el tráfico que cumpla con la segunda lista de filtrado. Las directivas IPSec se implementan a través de las directivas de grupo. No están incluidas entre las directivas que se describen en este manual, ya que se implementan de diferente manera en función de las características específicas del entorno. Cambios al entorno recomendado El objetivo de las recomendaciones incluidas en este capítulo es crear un entorno notablemente más seguro para los servidores basados en Windows 2000. Sin embargo, es posible que algunos de estos cambios no sean apropiados para su organización. Vamos a plantear dos situaciones: 1) se necesita más capacidad administrativa y 2) no se usa la utilidad Hfnetchk. Cambios administrativos Las directivas de línea de base predeterminadas para los servidores miembros y los controladores de dominio eliminan parte de la funcionalidad de administración remota y local del entorno. La administración remota a través del complemento de administración de equipos Microsoft Management Console (MMC) no funciona con las directivas de línea de base predeterminadas, ya que algunos de los servicios relacionados con MMC están deshabilitados. Las directivas de línea de base habilitan los servicios de servidor y de registro remoto. Esto permite que el complemento de administración de equipos se conecte desde una ubicación remota a otros equipos y administre los siguientes elementos: Carpetas compartidas Usuarios y grupos locales En Administración de almacenamiento, todo excepto las unidades lógicas y los medios de almacenamiento extraíbles. Administrador de dispositivos de servicios Visor de sucesos Registros y alertas de rendimiento WMI no está habilitado en las directivas de línea de base. Esto impide que se administren los siguientes elementos: WMI En Administración de almacenamiento, las unidades lógicas Si necesita administrar estas unidades de forma local o remota, debe habilitar el servicio WMI. No se puede tener acceso remoto a los medios de almacenamiento extraíbles si sólo se inician los servicios de la directiva de línea de base para los servidores miembros. Si no se inicia el servicio de medios de almacenamiento extraíbles en el servidor remoto, éste generará un mensaje de error DCOM en el registro de sucesos, para indicar que el servicio no está disponible. Nota: al habilitar los servicios anteriores para permitir la administración, habilítelos únicamente en las directivas de función de servidor incremental que necesitan esos servicios. Nota: algunas herramientas de administración obligan a realizar cambios de seguridad en el cliente desde el que se ejecuta la herramienta. Por ejemplo, algunas herramientas utilizan la autenticación NTLM y la directiva de línea de base configura los servidores para que acepten únicamente NTLM v2. Consulte la información sobre esta configuración en el apartado "Nivel de autenticación de LAN Manager" de este capítulo. Modificaciones de la seguridad si no se implementa HFNETCHK Hfnetchk es una herramienta que permite comprobar las revisiones instaladas en cada servidor de la organización. Es muy conveniente que se instale una herramienta como Hfnetchk, ya que ayuda a aumentar el nivel global de seguridad en el entorno. Sin embargo, si no implementa Hfnetchk, puede deshabilitar los servicios de registro remoto y de servidor en la directiva de línea de base para los servidores miembros. El servicio de registro remoto se puede deshabilitar en la directiva de línea de base para los controladores de dominio. Si deshabilita estos servicios en la directiva de línea de base para los servidores miembros, necesitará habilitarlos en algunas de las funciones de servidor. Si deshabilita los servicios de servidor y de registro remoto, también perderá casi todas las capacidades de administración remota. Resumen Los servidores basados en Windows 2000 proporcionan un gran número de funciones desde el momento en que se instalan. Sin embargo, no todos los servidores necesitan todas estas funciones. Al definir las tareas que realizarán los servidores, puede deshabilitar los elementos innecesarios y aumentar de esta forma la seguridad en el entorno. Si sigue los pasos sugeridos en este capítulo, hará que su entorno sea mucho más seguro.

Otras artículos de interés:

Instalar tipos de letras (Font) en Linux - Debian | LinuxMint | Xanadu
Todas la distribuciones derivadas de Debian poseen fuentes (Fonts) preinstaladas, ocasionalmente algunas no son instaladas por default aún de ser necesarias por ser privativas, tal es el caso de Microsoft TrueType. ...
RFP (Request for Proposal) de seguridad informática
La famosa Solicitud de Propuesta o Request for Proposal (RFP) como suele llamársela es uno de los documentos más importantes para los responsables de la seguridad informática de cualquier organización. Ventajas ...
Tips: Resetear password en Ubuntu
Arrancar GNU/Linux en modo single user (un usuario) Reinicia tu máquina. Presiona ESC mientras se carga GRUB para entrar al menú. Si hay una opción de recovery (recuperación) selecciónala y presiona B para arrancar en mod...
Cambiar archivos .WAV a MP3 desde consola en Linux
Con este script podemos transofrmar los archivos .WAV (WAV (o WAVE), apócope de WAVE form audio file format, es un formato de audio digital normalmente sin compresión de datos desarrollado y propiedad de Microsoft y de IBM que se utiliza para...
XFCE, el escritorio funcional, ligero y poderoso
XFCE es un entorno de escritorio ligero, estable, rápido y que usa pocos recursos del sistema, sin dejar de ser visualmente atractivo. Es un poquito más pesado que LXDE pero la mejora visual es bienvenida. XFCE, consiste en v...
Implementación efectiva de IDS
Los sniffers e IDS examinan, registran, o actúan sobre el tráfico de red. Prepararse para implementar un sistema de detección de intrusos, o IDS, como parte de su estrategia integral de seguridad, significa conocer a fondo la arquitectura de su re...
El error http 500 en sitio web
Para los desarrolladores web el erro 500 es una verdadera tortura, porque este error puede ser cualquier cosa y allí comienza la carrera para levantar la página y que vuelva a estar operativa en el menor tiempo posible. ...
El Derecho de Autor o Propiedad Intelectual
El Derecho de Autor, se usa para describir los derechos de los creadores sobre sus obras. Las obras bajo el derecho de autor van desde: libros, música, pintura, escultura , imágenes de fotografías, películas hasta el software de computadoras...
Partir archivos grandes en más pequeños rar - UBUNTU
A veces necesitamos partir archivos archivos grandes en archivos más chicos, en UBUNTU es bastante sencillo, sigan estos pasos: Abrimos una terminal o una consola (Aplicaciones - Accesorios - Terminal) o sencillame...
Instalar PHP-GTK en Ubuntu
1. Modificar el sources.list (/etc/apt) para que acepte multiverse y universe 2. Escribir desde consola: sudo aptitude install make sudo aptitude install autoconf sudo aptitude install gcc sudo ap...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • guia
  • hack
  • hacking
  • hosting
  • iii
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • operaciones
  • pgp
  • php
  • sabayon
  • seguridad
  • server
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra