Lo SP1 di Microsoft Windows 2003 porta uno strumento nuovo che ci aiuterà al momento di proteggere e configurare il nostro server su temi di sicurezza. È un assistente che ci aiuta a proteggere il nostro server limitando alcune parti del registro, disabilitando servizi non necessari, rimuovendo applicazioni MS che non vengono usate e naturalmente abiliterebbe il firewall di Microsoft e chiuderebbe le porte non necessarie.

Para usarlo, semplicemente, Dobbiamo andare a “Pannello di controllo” > “Agregar o quitar Programas” > “Aggiungere o rimuovere componenti di Windows” > Y deberíamos marcar el componente de “Asistente para configuración de seguridad”, “Seguente” y metemos el CD para que nos lo instale.

Una volta installato, podemos acceder a la consola desde las “Strumenti amministrativi” > “Asistente para configuración de seguridad”

Non male, antes di iniziare tenemos que tener claro que tenemos que tener todas las applicazioni que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 e 21 abiertos y en uso; así el asistente no nos los cerrará. “Seguente”

Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opción “Crear una nueva directiva de seguridad” para crear una directiva, que luego la podremos aplicar a más servidores si es que tenemos varios que tienen la misma configurazione.

Si queremos ottenere la configuración base de algún servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Seguente”

Esperamos mientras lee las directivas de ese host…

Ok, “Seguente”

Este proceso nos verá que servicios (Características, funciones y opciones) están corriendo en el servidor, donde deberemos indicar se son correctos o si dobbiamo aggiungere qualcuno che no nos detecte. “Seguente”

Comprobamos los servicios (Funzioni) que están instalados y abilitamos los que nos interessan, en questo caso mi servidor es un servidor web (IIS) y servidor FTP (IIS), quindi verifico tutte le funzioni che mi interessano e che sono abilitate e quelle che non interessano vengono deselezionate. “Seguente”

In questo caso, sono certi servizi che non sono applicazioni server, altrimenti, Clienti, e dobbiamo abilitare quelli che ci interessano. Per esempio affinché Windows Update continui a funzionare correttamente, logicamente il “Client di aggiornamento automatico” deve essere selezionato, così tutti quelli che ci interessano, “Seguente”,

Queste opzioni sono normalmente per amministrare il server in remoto. Se ci interessa qualcuno lo abilitiamo, per esempio se ci collegheremo a questo server con il client RDP affinché sia abilitato il “Gestione desktop remoto”; “Seguente”

Questi sono un riepilogo dei servizi che non riconosce come di S.O. e dobbiamo abilitare o meno affinché funzionino dopo. “Seguente”,

Tutti i servizi che non abbiamo abilitato abbiamo due opzioni, possiamo disabilitarli tutti (un po' aggressivo, ma potrebbe essere necessario) e che non si avviino o lasciarli così come sono (Manuali o Disabilitati). Scegliamo l'opzione che ci interessa e “Seguente”

È un riepilogo di come rimarranno i servizi, quelli che saranno modificati. Controlliamo che tutto sia OK, “Seguente”,

Ora inizia l'assistente per la sicurezza delle reti. Sarà riguardo al firewall di Windows e all'uso di IPsec sul server. “Seguente”

Questo assistente ci rileva le porte che abbiamo in uso e di default, ce le aprirà. Dobbiamo controllare se vogliamo davvero che siano aperte o no. Possiamo personalizzarle e dire ad esempio il mio servizio FTP (Porto 21) poiché “Opzioni avanzate…” da quali siti ci si connetteranno, in questo esempio si vede che solo la rete 172.16.0.0/255.255.0.0 podrán usar el FTP, pero las demás redes no, para mayor seguridad.

Comprobamos el resumen, los puertos que nos deja abiertos y los que nos cierre. “Seguente”,

Para mayor seguridad, lo que nos hará ahora es capar más puertos. Por ejemplo Windows 2003 trae soporte de autenticación a S.O. que ya son vulnerables y de estas vulnerabilidades se podría aprovechar cualquier “hacker”, “Seguente” per configurarlo.

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “Seguente”, (el SMB – Server Message Block)

Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una local… Logicamente se stiamo eseguendo questo assistente di sicurezza è perché non abbiamo nessun Windows 9x nella rete che memorizzi le chiavi localmente. “Seguente”

Selezioniamo le opzioni che soddisfiamo, spero entrambe e “Seguente”, è per la questione del LAN Manager…

Questo sarebbe il riepilogo di ciò che abbiamo appena indicato all'assistente, controlliamo che tutto sia corretto e continuiamo “Seguente”,

Questa sarà una direttiva per controllare le azioni sugli oggetti siano corrette o meno, ora lo configuriamo se desideriamo controllare qualcosa. “Seguente”. Per vedere questi risultati di controllo si potrà fare solo dal visualizzatore eventi del server.

Segneremo come vogliamo controllare gli oggetti, se vogliamo che generi solo report di utilizzo corretti sugli oggetti (por ejemplo un inicio de sesión correcto pero no nos logearía si hay inicios de sesión incorrectos). Personalmente, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos muestra si tenemos algún problema de seguridad en la red, por esempio quien intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Seguente”,

Por defecto el asistente nos auditaría todos los objetos o “tipos de sucesos”, si no nos interessa alguno en concreto podiamo editar questa plantilla y modificare cierto valos por “Sin auditar”. “Seguente”

Nos ha detectado que tenemos un IIS, ahora nos pedirá que es lo que usamos de él, del sitio web, para asegurarlo, marcaremos las extensiones de servicio que usamos. Si sólo servidor webs en ASP marcaríamos el primer componente, o si por ejemplo son HTM o HTMLS, no tendríamos que marcar ninguna extensión; o si usamos WebDAV… Lo lógico es que las demás extensiones que no vemos las denegemos marcando “Prohibir las demás extensiones del servicio Web que no se muestran arriba” & “Seguente”,

Più, nos detecta que nuestro IIS tiene los siguientes directorios virtuales, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaríamos el directorio virtual “Sostituzione”; “Seguente”,

Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, Noi lo abilitiamo. Y se da por hecho también que si se pretende asegurar un servidor no se usará un sistema de archivos FAT, si no NTFS. “Seguente”

Un breve resumen de lo que acabamos de configurar, lo comprobamos y si todo está OK, Noi “Seguente”,

Ahora podemos guardar la directiva que acabamos de generar, y no tenemos por que aplicarla a este servidor, Tutt'altro, altrimenti, guardarla y aplicarla a otros servidores usando este mismo asistente, pero al principio no crearíamos una nueva directiva de seguridad, si no abriríamos ya una que tengamos creada. “Seguente”

La guardamos en algún path, yo donde están todas por defecto, le indicamos un nombre .xml y una descripción de lo que hace esta directiva, que lo tengamos claro a que servidores se podría aplicar. “Seguente”.

Podemos aplicarla ahora o más tarde (para no aplicarla ahora). In questo esempio, la voy a aplicar ahora que sería lo que sucedería en un servidor “destino”, marco “Aplicar ahora” e noi diamo “Seguente”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “Accettare”

Esperamos un rato mientras nos aplica la directiva…

Ok, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. Una vez reiniciado podríamos intentarle atacar con DoS, o algún escaner de vulnerabilidades para comprobar la mejora. “Fine”

Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya está habilitado con los puertos que le hemos indicado que