Using the Security Setup Wizard in Windows 2003

El SP1 de Microsoft Windows 2003 It brings a new tool that will help us when securing and configuring our server in security issues. It is a wizard that helps us secure our server by blocking certain parts of the registry, disabling unnecessary services, removing MS applications that are not used and of course it would enable Microsoft's firewall and close ports that are not needed.

Para usarlo, simply, We must go to “Panel de Control” > “Agregar o quitar Programas” > “Add or remove Windows components” > Y deberíamos marcar el componente de “Asistente para configuración de seguridad”, “Following” y metemos el CD para que nos lo instale.

Once installed, podemos acceder a la consola desde las “Administrative tools” > “Asistente para configuración de seguridad”

GOOD, antes de comenzar tenemos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 and 21 abiertos y en uso; así el asistente no nos los cerrará. “Following”

Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opción “Crear una nueva directiva de seguridad” para crear una directiva, que luego la podremos aplicar a más servidores si es que tenemos varios que tienen la misma configuración.

Si queremos obtener la configuración base de algún servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Following”

Esperamos mientras lee las directivas de ese host…

Ok, “Following”

Este proceso nos verá que servicios (Characteristics, funciones y opciones) están corriendo en el servidor, donde deberemos indicar si son correctos o si debemos añadir alguno que no nos detecte. “Following”

Comprobamos los servicios (Functions) que están instalados y habilitamos los que nos interesan, en este caso mi servidor es un servidor web (IIS) y servidor FTP (IIS), así que compruebo todos las funciones que me interesen y que estén habilitadas y las que no interesen se desmarcan. “Following”

In this case, son ciertos servicios que no son aplicaciones servidoras, otherwise, clients, y debemos habilitar los que nos interesen. Por ejemplo para que el Windows Update siga funcionando correctamente, lógicamente el “Cliente de actualización automática” debe estar marcado, así todos los que nos interesen, “Following”,

Estas opciones son normalmente para administrar el servidor de forma remota. Si nos interesa alguna la habilitamos, por ejemplo si nos vamos a conectar a este servidor con el cliente RDP para que esté habilitado el “Administración de escritorio remoto”; “Following”

Estos son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen después. “Following”,

Todos los servicios que no hemos habilitado tenemos dos opciones, podemos deshabilitarlos todos (un poco agresiva, but it may be necessary) and that they don't start or leave them as they are (Manual or Disabled). We choose the option that interests us and “Following”

It is a summary of how the services will be, those that will be modified. We check that everything is OK, “Following”,

Now the network security wizard begins. It will be about Windows firewall and using IPsec on the server. “Following”

This wizard detects the ports we have in use and by default, it will open them for us. We must check if we really want them open or not. We can customize them and say, for example, my FTP service (Port 21) since “Advanced options…” from which locations they will connect to us, in this example you can see that only the network 172.16.0.0/255.255.0.0 They will be able to use FTP, but not the other networks, for greater security.

We check the summary, the ports that are left open and the ones that are closed. “Following”,

For greater security, what it will do now is block more ports. For example, Windows 2003 comes with OS authentication support. which is already vulnerable and these vulnerabilities could be exploited by any “hacker”, “Following” to set it up.

This enables LANManager to sign the network communications of the server, both for files and printers. We check if we meet its requirements “Following”, (the SMB – Server Message Block)

We select the logins that this server will support, if we always log in with a domain account, we will check it, or if it is a local one… Lógicamente si estamos ejecutando este asistente de seguridad es por que no tenemos ningún Windows 9x en la red que almacene las claves en local. “Following”

Marcamos las opciones que cumplamos, espero que ambas y “Following”, es para el tema del LAN Manager…

Este sería el resumen de lo que acabamos de indicarle al asistente, comprobamos que todo está bien y seguimos “Following”,

Está será una directiva para auditar acciones en objetos sean correctas o no, ahora lo configuramos si deseamos auditar algo. “Following”. Para ver estos resultados de auditoría sólo se podrá desde el visor de sucesos del servidor.

Marcaremos cómo queremos auditar los objetos, si queremos que sólo nos genere informes de uso correctos en los objetos (for example a successful login but it would not log us in if there are failed login attempts). Personally, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos muestra si tenemos algún problema de seguridad en la red, por ejemplo quien intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Following”,

Por defecto el asistente nos auditaría todos los objetos otipos de sucesos”, si no nos interesa alguno en concreto podríamos editar esta plantilla y modificar cierto valos porSin auditar”. “Following”

Nos ha detectado que tenemos un IIS, ahora nos pedirá que es lo que usamos de él, del sitio web, para asegurarlo, marcaremos las extensiones de servicio que usamos. Si sólo servidor webs en ASP marcaríamos el primer componente, o si por ejemplo son HTM o HTMLS, no tendríamos que marcar ninguna extensión; or if we use WebDAV… The logical thing is that we deny the other extensions that we don't see by marking them “Block the other extensions of the web service that are not shown above” & “Following”,

More, it detects that our IIS has the following virtual directories, we will mark the ones we are interested in being able to access, if, for example, it is a server that has the OWA service running, we would mark the virtual directory “Exchange”; “Following”,

Normally, anonymous users cannot write anything on the server, We enable it. And it is also assumed that if you intend to secure a server, a FAT file system will not be used, but NTFS. “Following”

A brief summary of what we have just configured, we check it and if everything is OK, We “Following”,

Now we can save the policy we just generated, y no tenemos por que aplicarla a este servidor, far from it, otherwise, guardarla y aplicarla a otros servidores usando este mismo asistente, pero al principio no crearíamos una nueva directiva de seguridad, si no abriríamos ya una que tengamos creada. “Following”

La guardamos en algún path, yo donde están todas por defecto, le indicamos un nombre .xml y una descripción de lo que hace esta directiva, que lo tengamos claro a que servidores se podría aplicar. “Following”.

Podemos aplicarla ahora o más tarde (para no aplicarla ahora). In this example, la voy a aplicar ahora que sería lo que sucedería en un servidor “destiny”, frame “Aplicar ahora” and we give “Following”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “Accept”

Esperamos un rato mientras nos aplica la directiva…

Vale, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. Una vez reiniciado podríamos intentarle atacar con DoS, o algún escaner de vulnerabilidades para comprobar la mejora. “End”

Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya está habilitado con los puertos que le hemos indicado que


Recommended Posts

Author

nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Do not hesitate to contact me, I will try to help you whenever I can, Sharing is living ;) . Enjoy documents!!!