Usando el Asistente para configuración de seguridad en Windows 2003

印刷に優しい, PDFとEメール

El SP1 de Microsoft Windows 2003 trae una herramienta nueva que nos ayudará a la hora de asegurar y configurar nuestro servidor en temas de seguridad. Es un asistente que nos ayuda a asegurar nuestro servidor capandole ciertas partes del registro, deshabilitando servicios innecesarios, quitando aplicaciones MS que no se usen y por supuesto habilitaría el firewall de Microsoft y cerraría los puertos que no son necesarios.

Para usarlo, ただ, 私たちは行かなければなりません “Panel de Control(パネル・ド・コントロール)” > “Agregar o quitar Programas” > “Windows コンポーネントの追加または削除” > Y deberíamos marcar el componente deAsistente para configuración de seguridad”, “次” y metemos el CD para que nos lo instale.

インストールしたら, podemos acceder a la consola desde las “管理ツール” > “Asistente para configuración de seguridad

悪くありません, antes de comenzar tenemos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 そして 21 abiertos y en uso; así el asistente no nos los cerrará. “次”

Si es la primera vez que lo ejecutamos deberíamos de seleccionar la primera opciónCrear una nueva directiva de seguridadpara crear una directiva, que luego la podremos aplicar a más servidores si es que tenemos varios que tienen la misma configuración.

Si queremos obtener la configuración base de algún servidor para aplicarsela al local. Por ejemplo si tenemos varias directivas de seguridad ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “次”

Esperamos mientras lee las directivas de ese host

わかりました, “次”

Este proceso nos verá que servicios (特性, funciones y opciones) están corriendo en el servidor, donde deberemos indicar si son correctos o si debemos añadir alguno que no nos detecte. “次”

Comprobamos los servicios (Funciones) que están instalados y habilitamos los que nos interesan, en este caso mi servidor es un servidor web (IIS の) y servidor FTP (IIS の), así que compruebo todos las funciones que me interesen y que estén habilitadas y las que no interesen se desmarcan. “次”

この場合, son ciertos servicios que no son aplicaciones servidoras, 然も無くば, クライアント, y debemos habilitar los que nos interesen. Por ejemplo para que el Windows Update siga funcionando correctamente, lógicamente elCliente de actualización automáticadebe estar marcado, así todos los que nos interesen, “次”,

Estas opciones son normalmente para administrar el servidor de forma remota. Si nos interesa alguna la habilitamos, por ejemplo si nos vamos a conectar a este servidor con el cliente RDP para que esté habilitado elAdministración de escritorio remoto”; “次”

Estos son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen después. “次”,

Todos los servicios que no hemos habilitado tenemos dos opciones, podemos deshabilitarlos todos (un poco agresiva, pero puede ser que sea necesaria) y que no arranquen o dejarlos como están (Manuales o Deshabilitados). Elegimos la opción que nos interese y “次”

Es un resumen de cómo quedarán los servicios, los que se modificarán. Comprobamos que todo esté OK, “次”,

Ahora comienza el asistente para seguridad de redes. Será tema de firewall de Windows y uso de IPsec en el servidor. “次”

Este asistente nos detecta los puertos que tenemos en uso y por defecto, nos los abrirá. Debemos comprobar que realmente los queremos abiertos o no. Podemos personalizarlos y decir por ejemplo mi servicio de FTP (港 21) から “詳細オプション…” desde que sitios se nos conectarán, en este ejemplo se ve que sólo la red 172.16.0.0/255.255.0.0 podrán usar el FTP, pero las demás redes no, para mayor seguridad.

概要を確認します, los puertos que nos deja abiertos y los que nos cierre. “次”,

Para mayor seguridad, lo que nos hará ahora es capar más puertos. Por ejemplo Windows 2003 trae soporte de autenticación a S.O. que ya son vulnerables y de estas vulnerabilidades se podría aprovechar cualquierhacker”, “次” セットアップするには.

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “次”, (el SMBServer Message Block)

Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos siempre con una cuenta de dominio la marcaremos, o si es una localLógicamente si estamos ejecutando este asistente de seguridad es por que no tenemos ningún Windows 9x en la red que almacene las claves en local. “次”

Marcamos las opciones que cumplamos, espero que ambas y “次”, es para el tema del LAN Manager

Este sería el resumen de lo que acabamos de indicarle al asistente, すべてが正常であることを確認し、続行します “次”,

これは、オブジェクトのアクションが正しいかどうかを監査するための指示となります, 今、何かを監査したい場合には設定を行います. “次”. 監査結果を見るには、サーバーのイベントビューアーからのみ可能です.

オブジェクトの監査方法をマークします, オブジェクトの正しい使用報告のみを生成するかどうかを決定します (たとえば、正しいログインを記録しますが、不正なログインは記録しません). 個人的には, Windowsの監査を使用する場合は、両方をマークします, 正しいものと不正なものを監査し、ネットワークにどのようなセキュリティ問題があるかを示します, たとえば、ファイルを削除しようとしてできない人や、削除できる人についてです, しかし記録されることになる. “次”,

デフォルトではアシスタントがすべてのオブジェクトや “イベントの種類を監査します”, 特定のものに興味がない場合は、このテンプレートを編集し、特定の値を変更することができます “監査なし”. “次”

IISを検出しました, 今、何を使用しているのかを尋ねられます, ウェブサイトの, 安全にするために, 私たちが使用しているサービスの拡張子にチェックを入れます. もしASPでウェブサーバのみを使用しているなら、最初のコンポーネントにチェックを入れるでしょう, または、たとえばHTMまたはHTMLSの場合, 私たちはいかなる拡張子にもチェックを入れる必要はないでしょう; またはWebDAVを使用している場合… 論理的には、他の見えない拡張子は、次のように拒否されるべきです “上に表示されていないWebサービスの他の拡張子を禁止します” & “次”,

もっとその, IISに次の仮想ディレクトリがあることが検出されました, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaríamos el directorio virtual “交換”; “次”,

Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, 私たちはそれを可能にします. Y se da por hecho también que si se pretende asegurar un servidor no se usará un sistema de archivos FAT, si no NTFS. “次”

Un breve resumen de lo que acabamos de configurar, lo comprobamos y si todo está OK, 私たち “次”,

Ahora podemos guardar la directiva que acabamos de generar, y no tenemos por que aplicarla a este servidor, それどころか, 然も無くば, guardarla y aplicarla a otros servidores usando este mismo asistente, pero al principio no crearíamos una nueva directiva de seguridad, si no abriríamos ya una que tengamos creada. “次”

La guardamos en algún path, yo donde están todas por defecto, le indicamos un nombre .xml y una descripción de lo que hace esta directiva, que lo tengamos claro a que servidores se podría aplicar. “次”.

Podemos aplicarla ahora o más tarde (para no aplicarla ahora). この例では、, la voy a aplicar ahora que sería lo que sucedería en un servidor “運命”, marcoAplicar ahora” そして、私たちは与えます “次”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “受け入れる”

Esperamos un rato mientras nos aplica la directiva

わかりました, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. 再起動したら、DoSで攻撃しようとすることができるかもしれません。, あるいは、改善を確認するために脆弱性スキャナーを使用することもできます。. “終わり”

実際にいくつかのサービスが無効化されたことを確認できます。, または、Windowsファイアウォールがすでに私たちが指定したポートで有効になっていることを直接確認できます。


おすすめの投稿

Centreon による SQL Server の監視
読む
Windows Server ブック 2022 スペイン語で
読む
Citrixの新しいチーム
読む
PowerShell ブック (スペイン語)
読む

著者

によって エクトル・エレーロ 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, 私に連絡することを躊躇しないでください, できる限りお手伝いします, シェアリングは生きていること ;) . ドキュメントを楽しむ!!!

ABEを設定しています。 - Windowsにおけるアクセスベースの列挙。 2003

22 10 月 2008

WindowsのActive Directoryデータベースをデフラグまたは圧縮します。 2003

24 10 月 2008