El SP1 de Microsoft Windows 2003 Il apporte un nouvel outil qui nous aidera lors de la sécurisation et de la configuration de notre serveur en cas de problèmes de sécurité. Il s’agit d’un assistant qui nous aide à sécuriser notre serveur en bloquant certaines parties du registre, Désactiver les services inutiles, supprimer les applications MS qui ne sont pas utilisées et, bien sûr, cela activerait le pare-feu de Microsoft et fermerait les ports qui ne sont pas nécessaires.

Para usarlo, simplement, Nous devons aller à “Panel de Contrôle” > “Agregar o quitar Programas” > “Ajouter ou supprimer des composants Windows” > Y deberíamos marcar el componente de “Asistente para configuración de seguridad”, “Suivant” y metemos el CD para que nos lo instale.

Une fois installé, podemos acceder a la consola desde las “Outils administratifs” > “Asistente para configuración de seguridad”

Pas mal, antes de comenzar tenemos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 et 21 abiertos y en uso; así el asistente no nos los cerrará. “Suivant”

Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opción “Crear una nueva directiva de seguridad” para crear una directiva, que luego la podremos aplicar a más servidores si es que tenemos varios que tienen la misma configuración.

Si queremos obtener la configuración base de algún servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Suivant”

Esperamos mientras lee las directivas de ese host…

D’accord, “Suivant”

Este proceso nos verá que servicios (Fonctionnalités, funciones y opciones) están corriendo en el servidor, donde deberemos indicar si son correctos o si debemos añadir alguno que no nos detecte. “Suivant”

Comprobamos los servicios (Fonctions) que están instalados y habilitamos los que nos interesan, en este caso mi servidor es un servidor web (L’IIS) y servidor FTP (L’IIS), así que compruebo todos las funciones que me interesen y que estén habilitadas y las que no interesen se desmarcan. “Suivant”

Dans ce cas, son ciertos servicios que no son aplicaciones servidoras, autrement, Maîtres d’ouvrage, y debemos habilitar los que nos interesen. Por ejemplo para que el Windows Update siga funcionando correctamente, lógicamente el “Cliente de actualización automática” debe estar marcado, así todos los que nos interesen, “Suivant”,

Estas opciones son normalmente para administrar el servidor de forma remota. Si nos interesa alguna la habilitamos, por ejemplo si nos vamos a conectar a este servidor con el cliente RDP para que esté habilitado el “Administración de escritorio remoto”; “Suivant”

Estos son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen después. “Suivant”,

Tous les services que nous n'avons pas activés, nous avons deux options, nous pouvons tous les désactiver (un peu agressif, mais cela peut être nécessaire) et qu'ils ne démarrent pas ou les laisser tels quels (Manuels ou Désactivés). Nous choisissons l'option qui nous intéresse et “Suivant”

C'est un résumé de la façon dont les services resteront, ceux qui seront modifiés. Nous vérifions que tout est OK, “Suivant”,

Maintenant, l'assistant pour la sécurité des réseaux commence. Il s'agira du firewall de Windows et de l'utilisation d'IPsec sur le serveur. “Suivant”

Cet assistant détecte les ports que nous avons utilisés et par défaut, il les ouvrira pour nous. Nous devons vérifier si nous voulons vraiment qu'ils soient ouverts ou non. Nous pouvons les personnaliser et dire par exemple mon service FTP (Port 21) depuis “Options avancées…” de quels sites ils se connecteront, dans cet exemple, on voit que seulement le réseau 172.16.0.0/255.255.0.0 podrán usar el FTP, pero las demás redes no, para mayor seguridad.

Nous vérifions le résumé, los puertos que nos deja abiertos y los que nos cierre. “Suivant”,

Para mayor seguridad, lo que nos hará ahora es capar más puertos. Por ejemplo Windows 2003 trae soporte de autenticación a S.O. que ya son vulnerables y de estas vulnerabilidades se podría aprovechar cualquier “hacker”, “Suivant” pour le configurer.

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “Suivant”, (el SMB – Server Message Block)

Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una local… Logiquement, si nous exécutons cet assistant de sécurité, c'est parce que nous n'avons aucun Windows 9x sur le réseau qui stocke les clés localement. “Suivant”

Nous cochons les options que nous remplissons, j'espère que les deux et “Suivant”, c'est pour le sujet du LAN Manager…

Voici le résumé de ce que nous venons d'indiquer à l'assistant, nous vérifions que tout est correct et continuons “Suivant”,

Ceci sera une directive pour auditer les actions sur les objets, qu'elles soient correctes ou non, Maintenant, nous le configurons si nous souhaitons auditer quelque chose. “Suivant”. Pour voir ces résultats d'audit, cela ne pourra se faire que depuis le visionneur d'événements du serveur.

Nous cocherons comment nous voulons auditer les objets, si nous voulons qu'il ne génère que des rapports d'utilisation corrects sur les objets (por ejemplo un inicio de sesión correcto pero no nos logearía si hay inicios de sesión incorrectos). Personalmente, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos muestra si tenemos algún problema de seguridad en la red, por ejemplo quien intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Suivant”,

Por defecto el asistente nos auditaría todos los objetos o “tipos de sucesos”, si no nos interesa alguno en concreto podríamos editar esta plantilla y modificar cierto valos por “Sin auditar”. “Suivant”

Nos ha detectado que tenemos un IIS, ahora nos pedirá que es lo que usamos de él, del sitio web, para asegurarlo, marcaremos las extensiones de servicio que usamos. Si nous avons seulement des serveurs web en ASP, nous marquerions le premier composant, ou si par exemple ce sont des fichiers HTM ou HTMLS, nous n'aurions pas à marquer d'extension; ou si nous utilisons WebDAV… Il est logique que nous refusons les autres extensions que nous ne voyons pas en les marquant “Interdire les autres extensions du service Web qui ne sont pas montrées ci-dessus” & “Suivant”,

Plus, Il nous détecte que notre IIS a les répertoires virtuels suivants, Nous marquerons ceux qui nous intéressent pour qu'ils puissent être accessibles, Si par exemple c'est un serveur qui fait fonctionner le service OWA, Nous marquerions le répertoire virtuel “Échanger”; “Suivant”,

Normalement, les utilisateurs anonymes ne peuvent rien écrire sur le serveur, Nous le permettons. Et il est également entendu que si l'on veut sécuriser un serveur, on n'utilisera pas un système de fichiers FAT, mais NTFS. “Suivant”

Un bref résumé de ce que nous venons de configurer, nous le vérifions et si tout est OK, Nous “Suivant”,

Maintenant nous pouvons enregistrer la directive que nous venons de générer, et nous n'avons pas besoin de l'appliquer à ce serveur, Loin de là, autrement, l'enregistrer et l'appliquer à d'autres serveurs en utilisant le même assistant, mais au début nous ne créerions pas une nouvelle directive de sécurité, sinon nous ouvririons déjà une directive que nous avons créée. “Suivant”

Nous l'enregistrons dans un chemin, pour moi là où elles sont toutes par défaut, nous lui donnons un nom .xml et une description de ce que fait cette directive, pour que ce soit clair à quels serveurs elle pourrait s'appliquer. “Suivant”.

Nous pouvons l'appliquer maintenant ou plus tard (pour ne pas l'appliquer maintenant). Dans cet exemple, je vais l'appliquer maintenant, que se passerait-il sur un serveur “destin”, je coche “Appliquer maintenant” et nous donnons “Suivant”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “Accepter”

Esperamos un rato mientras nos aplica la directiva…

D’accord, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. Una vez reiniciado podríamos intentarle atacar con DoS, o algún escaner de vulnerabilidades para comprobar la mejora. “Fin”

Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya está habilitado con los puertos que le hemos indicado que