O SP1 do Microsoft Windows 2003 traz uma nova ferramenta que nos ajudará na altura de assegurar e configurar o nosso servidor em questões de segurança. É um assistente que nos ajuda a assegurar o nosso servidor limitando certas partes do registo, desativando serviços desnecessários, removendo aplicações MS que não se usam e, claro, ativaria o firewall da Microsoft e fecharia as portas que não são necessárias.

Para usarlo, simplesmente, devemos ir a “Painel de Controle” > “Agregar o quitar Programas” > “Adicionar ou remover componentes do Windows” > Y deberíamos marcar el componente de “Asistente para configuración de seguridad”, “Seguinte” y metemos el CD para que nos lo instale.

Uma vez instalado, podemos acceder a la consola desde las “Ferramentas administrativas” > “Asistente para configuración de seguridad”

Nada mau, antes de começar temos que tener claro que tenemos que tener todas las aplicaciones que use nuestro servidor en ejecución. Si es un servidor de FTP, pues el servicio o la aplicación servicio FTP debería de estar en uso para que el asistente vea el puerto 20 e 21 abiertos y en uso; así el asistente no nos los cerrará. “Seguinte”

Si es la primera vez que lo ejecutamos deberíamos de selecionar la primera opción “Crear una nueva directiva de seguridad” para crear una directiva, que depois la podremos aplicar a más servidores si es que tenemos vários que tienen la misma configuración.

Si queremos obter la configuración base de algún servidor para aplicarsela al local. Por exemplo si tenemos várias directivas de segurança ya aplicadas en algún servidor para aplicarnosla. Metemos el nombre del servidor & “Seguinte”

Esperamos enquanto lee las directivas de ese host…

Okey, “Seguinte”

Este processo nos verá que servicios (Características, funciones y opciones) están a correr no servidor, onde devemos indicar se são corretos o se devemos adicionar alguém que no nos detecte. “Seguinte”

Comprobamos los servicios (Funções) que están instalados y habilitamos los que nos interessam, neste caso o meu servidor é um servidor web (IIS) y servidor FTP (IIS), assim que compruebo todos las funciones que me interessa y que estén habilitadas y las que no interesen se desmarcan. “Seguinte”

Neste caso, son ciertos servicios que no son aplicaciones servidoras, caso contrário, Clientes, y devemos habilitar los que nos interessam. Por exemplo para que el Windows Update siga funcionando correctamente, lógicamente el “Cliente de actualización automática” debe estar marcado, así todos los que nos interessam, “Seguinte”,

Estas opções são normalmente para administrar el servidor de forma remota. Si nos interessa alguma la habilitamos, por exemplo se nos vamos a conectar a este servidor com o cliente RDP para que esteja habilitado el “Administración de escritorio remoto”; “Seguinte”

Estas son un resumen de los servicios que no reconoce como de S.O. y debemos habilitar o no para que funcionen depois. “Seguinte”,

Todos los servicios que no hemos habilitado tenemos dos options, podemos deshabilitarlos todos (un poco agresiva, pero puede ser que sea necesaria) y que no arranquen o dejarlos como están (Manuales o Deshabilitados). Elegimos la opción que nos interessa y “Seguinte”

Es un resumen de cómo quedarán los servicios, los que se modificarán. Comprobamos que todo esteja OK, “Seguinte”,

Agora começa o assistente para segurança de redes. Será tema de firewall de Windows y uso de IPsec no servidor. “Seguinte”

Este asistente nos detecta los puertos que temos en uso y por defecto, Nos abrirá. Devemos comprobar que realmente los queremos abertos o não. Podemos personalizar e dizer por exemplo o meu serviço de FTP (Porta 21) desde “Opciones avanzadas…” desde que sitios se nos conectarán, en este exemplo se ve que sólo la red 172.16.0.0/255.255.0.0 podrán usar o FTP, pero las demás redes não, para maior segurança.

Comprobamos el resumen, los puertos que nos deja abiertos y los que nos cierre. “Seguinte”,

Para maior segurança, o que nos hará agora es capar más puertos. Por exemplo Windows 2003 trae suporte de autenticação a S.O. que ya son vulneráveis e de estas vulnerabilidades se poderia aproveitar qualquier “hacker”, “Seguinte” para configurarlo.

Esto habilita el LANManager para firmar las comunicaciones de red del servidor, tanto de archivos como de impresoras. Marcamos si cumplimos sus requisitos “Seguinte”, (el SMB – Server Message Block)

Marcamos los inicios de sesión que va a soportar este servidor, si nos logeamos sempre com uma conta de domínio la marcaremos, o si es una local… Logicamente, se estamos a executar este assistente de segurança é porque não temos nenhum Windows 9x na rede que armazene as chaves localmente. “Seguinte”

Marcamos as opções que cumprimos, espero que ambas e “Seguinte”, é para o tema do LAN Manager…

Este seria o resumo do que acabámos de indicar ao assistente, verificamos que tudo está bem e seguimos “Seguinte”,

Esta será uma diretiva para auditar ações em objetos, estejam corretas ou não, Agora configuramos se desejarmos auditar algo. “Seguinte”. Para ver estes resultados de auditoria, só será possível a partir do visualizador de eventos do servidor.

Marcaremos como queremos auditar os objetos, se queremos que apenas nos gere relatórios de uso corretos nos objetos (por exemplo um início de sessão correcto pero no nos logearía si há inicios de sessão incorrectos). Personalmente, si se van a usar las auditorias de Windows marcaremos ambas, que audite lo correcto y lo incorrecto que es lo que nos mostra si temos algum problema de segurança en la red, por exemplo quem intenta borrar un fichero y no puede o si puede, pero quedaría registrado. “Seguinte”,

Por defecto o assistente nos auditaría todos los objetos o “tipos de sucesos”, si no nos interessa alguno en concreto podríamos editar esta plantilla y modificar cierto valos por “Sin auditar”. “Seguinte”

Nos ha detectado que tenemos un IIS, ahora nos pedirá que es lo que usamos de él, del sitio web, para assegurararlo, marcaremos las extensiones de servicio que usamos. Si sólo servidor webs en ASP marcaríamos el primer componente, o si por ejemplo son HTM o HTMLS, no tendríamos que marcar ninguna extensión; o si usamos WebDAV… Lo lógico es que las demás extensiones que no vemos las denegemos marcando “Prohibir las demás extensiones del servicio Web que no se muestran arriba” & “Seguinte”,

Mais, nos detecta que nuestro IIS tiene los siguientes directorios virtuales, marcaremos los que nos interesen que se puedan acceder, si por ejemplo es un servidor que tiene corriendo el servicio de OWA, marcaríamos el directorio virtual “Troca”; “Seguinte”,

Lo normal es que los usuarios anonimos no puedan escribir nada en el servidor, Nós o habilitamos. Y se da por hecho también que si se pretende asegurar un servidor no se usará un sistema de archivos FAT, si no NTFS. “Seguinte”

Um breve resumo do que acabámos de configurar, verificamo-lo e, se estiver tudo OK, Nós “Seguinte”,

Agora podemos guardar a diretiva que acabámos de gerar, e não temos de a aplicar a este servidor, longe disso, caso contrário, guardar e aplicá-la noutros servidores usando este mesmo assistente, mas no início não criaríamos uma nova diretiva de segurança, senão abriríamos uma que já tenhamos criada. “Seguinte”

Guardamo-la num determinado caminho, eu onde estão todas por defeito, indicamos-lhe um nome .xml e uma descrição do que esta diretiva faz, para que fique claro a que servidores se poderia aplicar. “Seguinte”.

Podemos aplicá-la agora ou mais tarde (para não a aplicar agora). Neste exemplo, vou aplicá-la agora, o que é que aconteceria num servidor “destino”, marco “Aplicar agora” e nós damos “Seguinte”. Nos indica que se debe de reiniciar el servidor para que todos los servicios/funciones/componentes/aplicaciones que se vean afectados se puedan modificar. “Aceitar”

Esperamos un rato mientras nos aplica la directiva…

Okey, el asistente nos muestra donde nos guarda la directiva. Si nos la hemos aplicado, ahora deberíamos reiniciar el servidor para comprobar que efectos tenemos en él, si realmente está más capado o no. Una vez reiniciado podríamos intentarle atacar con DoS, o algún escaner de vulnerabilidades para comprobar la mejora. “Fim”

Podemos comprobar que realmente se me han deshabilitado ciertos servicios, o directamente que el Firewall de Windows ya está habilitado con los puertos que le hemos indicado que