Usando el Asistente para configuración de seguridad en Windows 2003
El SP1 de Microsoft Windows 2003 trae una herramienta nueva que nos ayudará a la hora de asegurar y configurar nuestro servidor en temas de seguridad. Es un asistente que nos ayuda a asegurar nuestro servidor capandole ciertas partes del registro, deshabilitando servicios innecesarios, quitando aplicaciones MS que no se usen y por supuesto habilitaría el firewall de Microsoft y cerraría los puertos que no son necesarios.
Para usarlo, simplemente, debemos ir a “Panel de Control” > “Agregar o quitar Programas” > “Agregar o quitar componentes de Windows” > Y deberíamos marcar el componente de “Asistente para configuración de seguridad”, “Siguiente” y metemos el CD para que nos lo instale.
Una vez instalado, podemos acceder a la consola desde las “Herramientas administrativas” > “Asistente para configuración de seguridad”
Bien, antes de comenzar tenemos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 y 21 abiertos y en uso; así el asistente no nos los cerrará. “Siguiente”
Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opción “Crear una nueva directiva de seguridad” para crear una directiva, que luego la podremos aplicar a más servidores si es que tenemos varios que tienen la misma configuración.
Si queremos obtener la configuración base de algún servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Siguiente”
Esperamos mientras lee las directivas de ese host…
Ok, “Siguiente”
Este proceso nos verá que servicios (Características, funciones y opciones) están corriendo en el servidor, donde deberemos indicar si son correctos o si debemos añadir alguno que no nos detecte. “Siguiente”
Comprobamos los servicios (Funciones) que están instalados y habilitamos los que nos interesan, en este caso mi servidor es un servidor web (IIS) y servidor FTP (IIS), así que compruebo todos las funciones que me interesen y que estén habilitadas y las que no interesen se desmarcan. “Siguiente”
En este caso, son ciertos servicios que no son aplicaciones servidoras, si no, clientes, y debemos habilitar los que nos interesen. Por ejemplo para que el Windows Update siga funcionando correctamente, lógicamente el “Cliente de actualización automática” debe estar marcado, así todos los que nos interesen, “Siguiente”,
Estas opciones son normalmente para administrar el servidor de forma remota. Si nos interesa alguna la habilitamos, por ejemplo si nos vamos a conectar a este servidor con el cliente RDP para que esté habilitado el “Administración de escritorio remoto”; “Siguiente”
Estos son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen después. “Siguiente”,
Todos los servicios que no hemos habilitado tenemos dos opciones, podemos deshabilitarlos todos (un poco agresiva, pero puede ser que sea necesaria) y que no arranquen o dejarlos como están (Manuales o Deshabilitados). Elegimos la opción que nos interese y “Siguiente”
Es un resumen de cómo quedarán los servicios, los que se modificarán. Comprobamos que todo esté OK, “Siguiente”,
Ahora comienza el asistente para seguridad de redes. Será tema de firewall de Windows y uso de IPsec en el servidor. “Siguiente”
Este asistente nos detecta los puertos que tenemos en uso y por defecto, nos los abrirá. Debemos comprobar que realmente los queremos abiertos o no. Podemos personalizarlos y decir por ejemplo mi servicio de FTP (Puerto 21) desde “Opciones avanzadas…” desde que sitios se nos conectarán, en este ejemplo se ve que sólo la red 172.16.0.0/255.255.0.0 podrán usar el FTP, pero las demás redes no, para mayor seguridad.
Comprobamos el resumen, los puertos que nos deja abiertos y los que nos cierre. “Siguiente”,
Para mayor seguridad, lo que nos hará ahora es capar más puertos. Por ejemplo Windows 2003 trae soporte de autenticación a S.O. que ya son vulnerables y de estas vulnerabilidades se podría aprovechar cualquier “hacker”, “Siguiente” para configurarlo.
Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “Siguiente”, (el SMB – Server Message Block)
Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una local… Lógicamente si estamos ejecutando este asistente de seguridad es por que no tenemos ningún Windows 9x en la red que almacene las claves en local. “Siguiente”
Marcamos las opciones que cumplamos, espero que ambas y “Siguiente”, es para el tema del LAN Manager…
Este sería el resumen de lo que acabamos de indicarle al asistente, comprobamos que todo está bien y seguimos “Siguiente”,
Está será una directiva para auditar acciones en objetos sean correctas o no, ahora lo configuramos si deseamos auditar algo. “Siguiente”. Para ver estos resultados de auditoría sólo se podrá desde el visor de sucesos del servidor.
Marcaremos cómo queremos auditar los objetos, si queremos que sólo nos genere informes de uso correctos en los objetos (por ejemplo un inicio de sesión correcto pero no nos logearía si hay inicios de sesión incorrectos). Personalmente, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos muestra si tenemos algún problema de seguridad en la red, por ejemplo quien intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Siguiente”,
Por defecto el asistente nos auditaría todos los objetos o “tipos de sucesos”, si no nos interesa alguno en concreto podríamos editar esta plantilla y modificar cierto valos por “Sin auditar”. “Siguiente”
Nos ha detectado que tenemos un IIS, ahora nos pedirá que es lo que usamos de él, del sitio web, para asegurarlo, marcaremos las extensiones de servicio que usamos. Si sólo servidor webs en ASP marcaríamos el primer componente, o si por ejemplo son HTM o HTMLS, no tendríamos que marcar ninguna extensión; o si usamos WebDAV… Lo lógico es que las demás extensiones que no vemos las denegemos marcando “Prohibir las demás extensiones del servicio Web que no se muestran arriba” & “Siguiente”,
Más, nos detecta que nuestro IIS tiene los siguientes directorios virtuales, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaríamos el directorio virtual “Exchange”; “Siguiente”,
Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, lo habilitamos. Y se da por hecho también que si se pretende asegurar un servidor no se usará un sistema de archivos FAT, si no NTFS. “Siguiente”
Un breve resumen de lo que acabamos de configurar, lo comprobamos y si todo está OK, seguimos “Siguiente”,
Ahora podemos guardar la directiva que acabamos de generar, y no tenemos por que aplicarla a este servidor, ni mucho menos, si no, guardarla y aplicarla a otros servidores usando este mismo asistente, pero al principio no crearíamos una nueva directiva de seguridad, si no abriríamos ya una que tengamos creada. “Siguiente”
La guardamos en algún path, yo donde están todas por defecto, le indicamos un nombre .xml y una descripción de lo que hace esta directiva, que lo tengamos claro a que servidores se podría aplicar. “Siguiente”.
Podemos aplicarla ahora o más tarde (para no aplicarla ahora). En este ejemplo, la voy a aplicar ahora que sería lo que sucedería en un servidor “destino”, marco “Aplicar ahora” y le damos a “Siguiente”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “Aceptar”
Esperamos un rato mientras nos aplica la directiva…
Vale, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. Una vez reiniciado podríamos intentarle atacar con DoS, o algún escaner de vulnerabilidades para comprobar la mejora. “Finalizar”
Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya está habilitado con los puertos que le hemos indicado que