L'SP1 de Microsoft Windows 2003 trae una herramienta nova que nos ayudará a la hora de assegurar i configurar el nostre servidor en temes de seguretat. És un assistent que nos ayuda a assegurar el nostre servidor capant algunes parts del registre, deshabilitando serveis innecessaris, quitando aplicacions MS que no se usen y por supuesto habilitaria el firewall de Microsoft y cerraría los puertos que no són necessaris.

Para usarlo, simplement, hem d'anar a “Panell de Control” > “Agregar o quitar Programas” > “Agregar o quitar components de Windows” > Y deberíamos marcar el component de “Asistente para configuración de seguridad”, “Següent” y metemos el CD para que nos lo instale.

Un cop instal·lat, podem accedir a la consola desde las “Eines administratives” > “Asistente para configuración de seguridad”

Bé, antes de començar hem que tener claro que tenemos que tener todas las aplicacions que use el nostre servidor en ejecución. Si és un servidor de FTP, pues el servei o la aplicació servei FTP debería de estar en uso para que el asistente vea el portto 20 y 21 abiertos y en uso; así el asistente no nos los cerrará. “Següent”

Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opció “Crear una nueva directiva de seguridad” para crear una directiva, que luego la podremos aplicar a més servidors si es que tenemos diversos que tienen la mateixa configuració.

Si queremos obtenir la configuració base de algún servidor para aplicarsela al local. Per exemple si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Següent”

Esperamos mientras lee les directivas de ese host…

Ok, “Següent”

Aquest procés ens veurà que els serveis (Característiques, funcions i opcions) estan corriendo en el servidor, on hauríem d'indicar si són correctes o si hem d'afegir algú que no ens detecte. “Següent”

Comprovem els serveis (Funcions) que estan instal·lats i habilitem els que ens interessen, en aquest cas el meu servidor és un servidor web (IIS) y servidor FTP (IIS), així que comprovo totes les funcions que m'interessin i que estiguin habilitades i les que no interessin es desmarquen. “Següent”

En aquest cas, són certs serveis que no són aplicacions servidoras, si no, clients, i hem d'habilitar els que ens interessin. Per exemple, perquè Windows Update continuï funcionant correctament, lògicament el “Client d'actualització automàtica” ha d'estar marcat, així tots els que ens interessin, “Següent”,

Aquestes opcions són normalment per administrar el servidor de forma remota. Si ens interessa alguna, l'habilitem, per exemple si ens connectarem a aquest servidor amb el client RDP perquè estigui habilitat el “Administració d'escriptori remot”; “Següent”

Aquests són un resum dels serveis que no reconeix com a S.O.. i hem d'habilitar o no perquè funcionin després. “Següent”,

Todos los serveis que no hemos habilitado tenemos dos opcions, podem deshabilitarlos todos (un poco agressiu, pero puede ser que sea necessari) i que no arranquen o dejarlos como están (Manuales o Deshabilitados). Elegim l'opció que nos interese y “Següent”

És un resumen de cómo quedarán los serveis, Los que se modificarán. Comprovem que todo esté OK, “Següent”,

Ara comença l'assistent per a seguretat de redes. Serà tema de firewall de Windows y ús de IPsec en el servidor. “Següent”

Aquest assistent ens detecta els puertos que hem en uso y por defecto, Ens obríem a l'obra. Hem de comprovar que realment els volem oberts o no. Podem personalitzar-los i dir per exemple el meu servei de FTP (Port 21) des de “Opciones avanzadas…” des que sitios se nos conectarán, en aquest exemple se ve que sólo la red 172.16.0.0/255.255.0.0 podrán usar el FTP, pero las demás redes no, para mayor seguridad.

Comprobamos el resumen, los puertos que nos deja abiertos y los que nos cierre. “Següent”,

Para mayor seguridad, lo que nos hará ahora es capar más puertos. Por ejemplo Windows 2003 trae soporte de autenticación a S.O. que ya son vulnerables y de estas vulnerabilidades se podría aprovechar cualquier “hacker”, “Següent” per configurar-lo.

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “Següent”, (el SMB – Server Message Block)

Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una local… Lògicament, si estem executant aquest assistent de seguretat és perquè no tenim cap Windows 9x a la xarxa que emmagatzemi les claus localment. “Següent”

Marquem les opcions que complim, Espero que ambdues “Següent”, És per al tema del LAN Manager…

Aquest seria el resum del que acabem d'indicar a l'assistent, Comprovem que tot està bé i seguim “Següent”,

Aquesta serà una política per auditar accions en objectes, siguin correctes o no, Ara la configurem si volem auditar alguna cosa. “Següent”. Per veure aquests resultats d'auditoria només es podrà des del visor d'esdeveniments del servidor.

Marcarem com volem auditar els objectes, Si volem que només ens generi informes d'ús correctes en els objectes (per exemple un inici de sessió correcte pero no nos logearía si hi ha inicios de sessió incorrectos). Personalmente, si se van a usar les auditorias de Windows marcaremos ambambes, que audite lo correcte y lo incorrecto que és lo que ens mostra si tenim algun problema de seguretat en la red, per exemple qui intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Següent”,

Per defecto el personal nos auditaria tots els objectes o “tipos de sucesos”, si no ens interessa algú en concret podríem editar aquesta plantilla i modificar això valos por “Sin auditar”. “Següent”

Nos ha detectat que tenemos un IIS, ara ens pediràs que es lo que usamos de él, del sitio web, per assegurararlo, marcaremos les extensions de servei que usamos. Si sólo servidor webs en ASP marcaríamos el primer componente, o si por ejemplo son HTM o HTMLS, no tendríamos que marcar ninguna extensión; o si usamos WebDAV… Lo lógico es que las demás extensiones que no vemos las denegemos marcando “Prohibir las demás extensiones del servicio Web que no se muestran arriba” & “Següent”,

Més, nos detecta que nuestro IIS tiene los siguientes directorios virtuales, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaríamos el directorio virtual “Exchange”; “Següent”,

Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, l'habiliten. Y se da por hecho también que si se pretende asegurar un servidor no se usará un sistema de archivos FAT, si no NTFS. “Següent”

Un breu resum del que acabem de configurar, ho comprovem i si tot està bé, seguim “Següent”,

Ara podem desar la directiva que acabem de generar, i no cal aplicar-la a aquest servidor, ni molt menys, si no, desar-la i aplicar-la a altres servidors fent servir aquest mateix assistent, però al principi no crearíem una nova directiva de seguretat, sinó que obriríem una que ja tinguem creada. “Següent”

La desem en algun camí, jo on són totes per defecte, li indiquem un nom .xml i una descripció del que fa aquesta directiva, que tinguem clar a quins servidors es podria aplicar. “Següent”.

Podem aplicar-la ara o més tard (per no aplicar-la ara). En aquest exemple, la aplicaré ara, què passaria en un servidor “destinació”, marco “Aplicar ara” i li donem a “Següent”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicacions que se vean afectados se puedan modificar. “Acceptar”

Esperamos un rato mientras nos aplica la directiva…

Val, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ara deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realment está más capado o no. Una vez reiniciado podríamos intentarle atacar amb DoS, o algún escaner de vulnerabilitats para comprobar la mejora. “Finalitzar”

Podem comprobar que realment se me han deshabilitat ciertos serveis, o directament que el Firewall de Windows ya está habilitado amb els porttos que le hem indicado que