Windows Server bastión guía

Gua de bastionado de Microsoft Windows Server | El conocimiento ...
http://abdulet.net/?p=607
El conocimiento compartido
es conocimiento en crecimiento
Gua de bastionado de Microsoft Windows Server

Esta es una gua que he desarrollado para un cliente, por lo tanto hay aspectos que se adaptan a sus necesidades (como el cortafuegos). Pero ha grandes rasgos puede ser utilizada en cualquier mbito.
Tabla de contenido [-]

1.
Principios genricos
2.
Instalacin bsica
3.
2.1.
Entorno de instalacin seguro
2.2.
Instalacin de aplicaciones imprescindibles del sistema
2.3.
Configuracin de las interfaces de red (NIC)
Configuracin Segura de Cuentas

3.1.
3.2.
4.
Peticin obligatoria de contrasea

3.1.1.
Establecer una longitud mnima de contrasea
3.1.2.
Impedir el uso de contraseas en blanco en las conexiones remotas
Control de Usuarios Creados durante la Instalacin

3.2.1.
Crear una cuenta con privilegios de administracin
3.2.2.
Deshabilitar la cuenta del usuario Administrador
3.2.3.
Deshabilitar la cuenta de Invitado
3.3.
Asegurar la Robustez de las Contraseas
3.4.
Asignacin de Derechos de Usuarios
Control de acceso a la red

4.1.
Proteccin de NETBIOS y SMB

4.1.1.
Deshabilitar NETBIOS
4.1.2.
Activar la firma de paquetes SMB como cliente
4.1.3.
Activar la firma de paquetes SMB como servidor
4.1.4.
Impedir la enumeracin de recursos compartidos y cuentas SAM por usuarios anni-
mos
1 de 22
4.2.
Proteccin del protocolo ARP
4.3.
Apagado de la mquina
4.4.
Acceso Remoto a travs de RDP

4.4.1.
Forzar la peticin de contrasea durante el inicio de sesin
4.4.2.
Establecer el nivel de cifrado
4.4.3.
Impedir que se guarden las contraseas en el cliente
4.5.
Antivirus
4.6.
Desactivar IPv6
13/05/2013 17:06
4.7.
Impedir la conversin SID a nombre de usuario y viceversa a usuarios annimos
4.8.
Impedir el listado de cuentas SAM por usuarios annimos
4.9.
Establecer el mensaje corporativo de inicio de sesin
4.10. Activar el Firewall o cortafuegos

4.11. Eliminar el usuario annimo del FTP
5.
6.
7.
Proteccin de la informacin
5.1.
Eliminar las unidades compartidas con propsitos administrativos
5.2.
Permisos de Carpetas y Ficheros
5.3.
Integridad de Archivos y Directorios
5.3.2.
Comprobar la integridad de archivos y directorios que no son del sistema
Activar el Filtro de Ejecucin de Aplicaciones Maliciosas
5.5.
Mostrar las Extensiones de los Archivos
Configuracin de Servicios del Sistema

6.1.
Deshabilitar los Servicios Innecesarios
6.2.
Deshabilitar la cach de Contraseas y Usuarios
6.3.
Control de Sesiones
6.4.
Configuracin de NTP
6.4.1.
Permitir la salida del trfico NTP en el firewall
6.4.2.
Configurar la sincronizacin de tiempo
Auditabilidad del Sistema

Habilitar el Registro de Auditoria
Actualizaciones y Parches
8.1.
9.
Comprobar la integridad de archivos y directorios del sistema
5.4.
7.1.
8.
5.3.1.
Instalacin de los Parches verificados por la compaa

8.1.1.
Aplicar los ltimos parches homologados
8.1.2.
Configurar las actualizaciones automticas
Otras opciones de seguridad

9.1.
Procesamiento de directivas del registro
9.2.
Desactivar la ejecucin automtica
10. Control de cuentas de usuario (UAC): a partir de Windows Server 2008

10.1. Modo de aprobacin para la cuenta de Administrador integrada
10.2. Pedir la contrasea cuando se requiera una elevacin de privilegios
1.
Principios genricos
A la hora de instalar, configurar y administrar un servidor, se debe:
Cifrar todos los datos que se transmiten a travs de la red, son particularmente importante los datos relativos a nombres de usuario y contraseas
Minimizar la cantidad de programas y servicios instalados y en ejecucin para minimizar el riesgo potencial ante vulnerabilidades
Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o antimalware
Auditar los elementos crticos y/o de mayor riesgo de cada servidor
Minimizar la instalacin de varios servicios en un mismo servidor, para reducir el riesgo de que un servicio comprometido afecte a otros servicios
2 de 22
13/05/2013 17:06
Realizar un buen seguimiento de las cuentas de usuario, seguir una poltica de contraseas slida y
forzar su uso as como eliminar las cuentas de usuarios innecesarias o que ya no se utilicen
Revisar los logs de sistema y de aplicacin de manera rutinaria. Enviar los logs a un servidor de logs
Minimizar el uso de usuarios locales
Utilizar la metodologa del menor privilegio en todos los mbitos
2.
Instalacin bsica
2.1.
Entorno de instalacin seguro
Hay que instalar el SO desde DVD sin que est conectado a la red hasta que se hayan completado los pasos
de esta gua, sin embargo habrn ocasiones en las que esto no sea posible, en esos casos se debe asegurar
que:
Se ha bastionado el equipo siguiendo los pasos de esta gua

El servidor debe estar protegido por un cortafuegos (Firewall)
No debe ser accesible desde Internet
Debe tener el mnimo acceso necesario a Internet
Si existe algn servidor comprometido en el mismo segmento de red, no se debe realizar la instalacin
hasta que se haya solucionado la incidencia o se desconecte de la red el servidor comprometido o el
servidor a instalar
Debe tener dos tarjetas de red; una para gestin por consola con perfil de administracin, y otra para la
red.
2.2.
Instalacin de aplicaciones imprescindibles del sistema
Se realizar una instalacin del sistema base, sin seleccionar ningn grupo de aplicaciones y funciones durante la instalacin, e instalar a posteriori las aplicaciones y funciones requeridas. De esta forma evitamos
que se instalen programas, libreras o extensiones que no sean necesarias.
Un ejemplo son las siguientes:
Data Access Components (MDAC)

HTML version of the Services Manager
MS index Server
Los siguientes servicios deben sustituirse por sus homlogos ms seguros:
FTP, SMTP y NNTP

Telnet
ASP.NET si no lo usa ninguna aplicacin
3 de 22
13/05/2013 17:06
4 de 22
webDAV
2.3.
Configuracin de las interfaces de red (NIC)
No hay que utilizar el protocolo DHCP para configurar las interfaces de red, todas deben tener una IP esttica. Una vez obtenida la direccin IP hay que configurar la interfaz deseada siguiendo estos pasos
1. Abrir
Windows 2003
Panel de control>Conexiones de red
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red
1. Pulsar el botn derecho sobre la conexin deseada, seleccionar Propiedades y pulsar doble click sobre
Protocolo de Internet Versin 4 (TCP/IPv4)
Protocolo de Internet (TCP/IP)
1. En la pestaa General seleccionar la opcin Usar la siguiente direccin IP y rellenar los campos: Direccin IP, Mscara de subred y Puerta de enlace predeterminada
2. Seleccionar la opcin Usar las siguientes direcciones de servidor DNS y rellenar los campos: Servidor
DNS preferido y Servidor DNS alternativo
3.
Configuracin Segura de Cuentas
3.1.
Peticin obligatoria de contrasea
Para que Windows no pida la contrasea, es necesario establecerla en blanco, as que nunca se debe establecer una contrasea en blanco, para evitar su uso hay que establecer una longitud mnima de contrasea.
3.1.1.
Establecer una longitud mnima de contrasea
Establecer la longitud mnima de contrasea a 6 caracteres desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Di-
13/05/2013 17:06
5 de 22
rectivas de cuenta>Directiva de contraseas>Longitud mnima de contraseas
Windows 2008: CCE-2240-0, Windows 2003: CCE-3424-9
3.1.2.
Impedir el uso de contraseas en blanco en las conexiones remotas
Hay que habilitar la opcin que limita el uso de contraseas en blanco a usuarios que hayan iniciado sesin
por consola impidiendo, de esta manera, el uso de contraseas en blanco en conexiones remotas. Para habilitar esta opcin ir a
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Directivas de seguridad>Cuentas: Limitar el uso de cuentas locales con contrasea en blanco solo para iniciar sesin en la consola
3.2.
3.2.1.
Control de Usuarios Creados durante la Instalacin

Crear una cuenta con privilegios de administracin
Antes de desactivar la cuenta de Administrador hay que crear una nueva, el usuario corporativo de explotacin es ExpSG as que hay que crearlo siguiendo estos pasos:
Windows server 2003
Pulsar el botn derecho sobre
Panel de control>Herramientas administrativas>Administrador del servidor>Herramientas del sistema>Usuarios y grupos locales>Usuarios
Y seleccionar la opcin Usuario nuevo=, introducir ExpSG como nombre de usuario, establecer una contrasea y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario
y en la pestaa Miembro de quitar el grupo Usuarios y aadir el grupo Administradores
Windows server 2008
Pulsar el botn derecho sobre
Panel de control>Herramientas administrativas>Administrador del servidor>Configuracin >Usuarios y grupos

locales>Usuarios
Y seleccionar la opcin Usuario nuevo=, introducir ExpSG como nombre de usuario, establecer una contrasea y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario
13/05/2013 17:06
y en la pestaa Miembro de quitar el grupo Usuarios y aadir el grupo Administradores.
3.2.2.
Deshabilitar la cuenta del usuario Administrador
Hay que deshabilitar el usuario Administrador creado durante la instalacin. Para ello establecer a Deshabilitada la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cuentas: Estado de la cuenta de administrador
3.2.3.
Deshabilitar la cuenta de Invitado
La cuenta de invitado debe estar deshabilitada, en la familia server viene desactivada por defecto, pero hay
que asegurarse de que est deshabilitada la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local >Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cuentas: estado de la cuenta de invitado
3.3.
Asegurar la Robustez de las Contraseas
Hay que asegurar que se cumplen los requisitos de la poltica de contraseas de la organizacin a fin de que
se asegure la dificultad o imposibilidad de:
Prediccin de contraseas
Ataques de diccionario
Ataques de fuerza bruta
Si el servidor no forma parte de un directorio activo, Las opciones de contrasea se establecen en
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas de cuenta>Directivas de contrasea
3.4.
Asignacin de Derechos de Usuarios
Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en
mente la filosofa de otorgar el menor privilegio.
Se debe tener en cuenta, que permisos asignados a grupos, les puede elevar o disminuir el nivel de privilegios.
6 de 22
13/05/2013 17:06
4.
Control de acceso a la red
Como norma general se deber:
Minimizar los protocolos utilizados

Minimizar las direcciones de red a las que escucha el servidor
Minimizar los puertos en los que escucha el servidor
4.1.
Proteccin de NETBIOS y SMB
En aquellas mquinas en las que por los servicios que ofrecen no sea necesario, o cuando est bien implantada una infraestructura de DNS o AD, se desactivar NETBIOS. Tericamente Este paso no debera acarrear problemas, an as en algunas situaciones puede surgir alguno, as que hay que asegurarse que no
afecte a ningn servicio, especialmente en controladores de dominio.
4.1.1.
Deshabilitar NETBIOS
Para deshabilitar NETBIOS
1. Abrir
Windows server 2003
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de red
1. Pulsar el botn derecho sobre la conexin deseada y seleccionar
Propiedades>Propiedades de protocolo TCP IPv4 >Opciones avanzadas>WINS
1. Marcar la opcin
Deshabilitar NetBios a travs de TCP/IP
En el caso de no poder desactivar NETBIOS hay que limitar la respuesta de peticiones NETBIOS a peticiones que provengan del servidor WINS habilitando la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>MSS: (NoNameReleaseOnDemand) Allow the computer to ignore
NetBIOS name release request except from WINS servers
7 de 22
13/05/2013 17:06
Si no aparece esta opcin hay que instalar el archivo GPO.MSI, adjunto en el anexo, una vez instalado hay
que pulsar el botn secundario del ratn sobre
Inicio>Todos los programas>LocalGPO>LocalGPO Command-line
Y seleccionar la opcin Ejecutar como administrador, una vez abierta la lnea de comandos hay que ejecutar
cscript LocalGPO.wsf /ConfigSCE
Tras realizar estos pasos, vuelve a abrir el editor de polticas y aparecern las opciones de MSS
4.1.2.
Activar la firma de paquetes SMB como cliente
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cliente de redes Microsoft: Firmar digitalmente las comunicaciones
(si el servidor lo permite)
4.1.3.
Activar la firma de paquetes SMB como servidor
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de Windows>Directivas locales>Opciones de seguridad>Servidor de red Microsoft: Firmar digitalmente las comunicaciones
(si el cliente lo permite)
4.1.4.
Impedir la enumeracin de recursos compartidos y cuentas SAM por usua-
rios annimos
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de Windows>Directivas locales>Opciones de seguridad>Acceso de red: No permitir enumeraciones annimas de cuentas y
recursos compartidos SAM
8 de 22
13/05/2013 17:06
Windows server 2008: CCE-2340-8, Windows server 2003: CCE-3591-5
Al activar esta opcin pueden aparecer algunos de los problemas descritos en: http://support.microsoft.com
/kb/823659 y http://support.microsoft.com/kb/318866
4.2.
Proteccin del protocolo ARP
Se debe reducir el tiempo de caducidad por defecto que marca la frecuencia de borrado de las entradas de la
tabla ARP. En el caso de Windows Server 2008, realiza por defecto el borrado entre 15 y 45 segundos.
Windows server 2003
Ejecutar
regedit.exe
Y establecer a un valor entre 15 y 45 la clave (ej: 30)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ArpCacheLife
Si no existe la clave hay que crearla de tipo REG_DWORD
4.3.
Apagado de la mquina
Se debe deshabilitar la opcin que permite apagar el sistema sin iniciar sesin, deshabilitando la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Apagado: Permitir apagar el sistema sin tener que iniciar sesin
4.4.
Acceso Remoto a travs de RDP
Al activar el acceso remoto a travs de RDP hay que aplicar las siguientes medidas de seguridad.
4.4.1.
Forzar la peticin de contrasea durante el inicio de sesin
Mediante esta opcin forzamos a que el servidor pida la contrasea aunque el usuario la tenga memorizada
en el cliente, as se impide que alguien pueda acceder al servidor accediendo a un equipo cliente con la contrasea memorizada. Para establecer esta opcin ejecutar
gpedit.msc
9 de 22
13/05/2013 17:06
Y habilitar la opcin
Windows server 2003
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y

Seguridad>Solicitar la contrasea siempre al conectar
CCE-3666-5
Windows server 2008
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal

Server>Seguridad>Solicitar la contrasea siempre al conectar
CCE-7636-4
4.4.2.
Establecer el nivel de cifrado
Se deben cifrar las comunicaciones del protocolo RDP. Ejecutar
gpedit.msc
Windows server 2003
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y

Seguridad> Establecer el nivel de cifrado de conexin de cliente
CCE-3812-5
Estableciendo el nivel de cifrado a Nivel alto.
Windows server 2008
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal

Server>Seguridad>Establecer el nivel de cifrado de conexin de cliente
CCE-7667-9
Estableciendo el nivel de cifrado a Nivel alto.
4.4.3.
10 de 22
Impedir que se guarden las contraseas en el cliente
13/05/2013 17:06
Aunque se establezca en el servidor la opcin de que siempre pida la contrasea a los clientes, para evitar
que se diseminen credenciales por los equipos de la red hay que indicar al servidor que impida a los clientes
guardar las contraseas. Ejecutar
gpedit.msc
Windows server 2003
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente>No permitir que se guarden las contraseas
Windows server 2008
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente de

conexin a escritorio remoto>No permitir que se guarden las contraseas
4.5.
Antivirus
Mantener los archivos del Servidor a salvo de virus usando y manteniendo actualizado un software antivirus.
4.6.
Desactivar IPv6
El uso de IPv6 todava no est extendido e introduce vectores de ataque desconocidos as que hay que desactivarlo en todas las interfaces de red del servidor.
1. Abrir
Windows 2003
Windows server 2008
Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red
1. Pulsar el botn derecho sobre la conexin deseada, seleccionar Propiedades y, si existe, quitar la marca de la opcin
Protocolo de Internet Versin 6 (TCP/IPv6)
4.7.
11 de 22
Impedir la conversin SID a nombre de usuario y viceversa a usua-
13/05/2013 17:06
12 de 22
rios annimos
Esto impide extraer informacin sobre las cuentas existentes si se obtiene el SID o el nombre de usuario y dificulta un ataque de fuerza bruta contra las contraseas. Deshabilitar la opcin desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de

seguridad>Acceso de red: Permitir traduccin SID/nombre annima
4.8.
Impedir el listado de cuentas SAM por usuarios annimos
Impide que un usuario annimo determine fcilmente la lista de usuarios en el sistema. Habilitar la opcin

seguridad>Acceso a redes: No permitir enumeraciones annimas de cuentas SAM
4.9.
Establecer el mensaje corporativo de inicio de sesin
Todos los servidores corporativos debern mostrar el siguiente mensaje cuando un usuario intente iniciar sesin en ellos:
AGREGAR AQU EL TEXTO DESEADO
Para configurarlo copiar el texto en

seguridad>Inicio de sesin interactivo: Texto del mensaje para los usuarios que intentan iniciar una sesin
Tambin se debe configurar el ttulo del mensaje a Aviso legal mediante la opcin

seguridad>Inicio de sesin interactivo: Ttulo del mensaje para los usuarios que intentan iniciar una sesin
13/05/2013 17:06
4.10. Activar el Firewall o cortafuegos

El firewall es una pieza del engranaje de la seguridad que coge cada vez ms protagonismo y debe activarse
en todos los equipos, a pesar de que su configuracin no es una de las tareas del bastionado ya que lo realiza el departamento de configuracin de red.
S que es necesario activar el cortafuegos desde
Windows server 2003
Panel de control>Firewall de Windows>Excepciones
Y activar la opcin Escritorio remoto, para permitir la administracin remota del servidor, despus ir a la pestaa General y seleccionar la opcin Activado
Windows server 2008
Panel de control>Firewall de Windows>Activar o desactivar Firewall de Windows>Activado
4.11. Eliminar el usuario annimo del FTP

Si existe algn servicio de FTP en el servidor asegrate de que no se tenga habilitada la cuenta del usuario
annimo. Para comprobarlo sigue estos pasos:
1. Abre una lnea de comandos cmd.exe

2. Ejecuta el comando: telnet IP_DEL_SERVIDOR 21
3. Introduce el usuario anonymous
4. Introduce cualquier contrasea que contenga una @ en el medio
Si permite iniciar sesin hay que desactivar la cuenta del usuario annimo
5.
Proteccin de la informacin
5.1.
Eliminar las unidades compartidas con propsitos administrativos
Deshabilitar la funcionalidad de compartir las unidades de disco con propsitos administrativos en aquellas
mquinas que se encuentren en entornos crticos o inseguros (como DMZ).
Es necesario editar el registro de Windows para realizar esta tarea, ejecutar
regedit.exe
13 de 22
13/05/2013 17:06
Y modificar la clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
La clave es de tipo REG_DWORD y hay que establecer su valor a 0. Si la clave no existe hay que crearla.
Windows server 2003
Para finalizar hay que reiniciar el servicio server y sus dependencias ejecutar los comandos
net stop server
net start server
En el caso de existir dependencias tambin se debern iniciar
Windows server 2008
Para finalizar hay que reiniciar el servicio srvnet y sus dependencias ejecutar los comandos
net stop srvnet
net start srvnet
En el caso de existir dependencias tambin se debern iniciar
5.2.
Permisos de Carpetas y Ficheros
Seguir la poltica del mnimo privilegio en los permisos del sistema de archivos. El objetivo es crear un ambiente restrictivo que se pueda ir abriendo selectivamente en funcin de las necesidades de la mquina.
5.3.
Integridad de Archivos y Directorios
Una medida eficaz para detectar cambios es comprobar la integridad de los ficheros de sistema, configuracin y Logs.
5.3.1.
Comprobar la integridad de archivos y directorios del sistema
Para los archivos del sistema desde la versin de Server 2000, Windows incluye las utilidades SFC (System
File Checker) y WFP (Windows File Protection). Mediante SFC se puede comprobar la integridad de archivos
que Microsoft considera esenciales y restaurarlos a su versin original, pero este proceso se realiza de forma
transparente y en tiempo real mediante la utilidad WFP.
14 de 22
13/05/2013 17:06
Para desactivar SFC hay que establecer a 2,3 o 4 la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCScan\SFCDisable
Y a 0 para activarlo por lo tanto hay que asegurar que esta clave no exista o est establecida a 0.
5.3.2.
Comprobar la integridad de archivos y directorios que no son del sistema
Para archivos de configuracin o que no sean del sistema se puede utilizar la utilidad FCI, que puede descargarse de
http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/Windows-KB841290x86-ENU.exe
Una vez instalado hay que abrir una consola, cmd.exe, y ejecutar el comando
fciv -add ruta_del_archivo sha1 -xml ruta_de_la_bd_en_xml
Donde ruta_del_archivo es la ruta completa de un archivo cuyo checksum queramos agregar a la base de datos en formato XML indicada por el parmetro ruta_de_la_db_en_xml. Se puede agregar un directorio mediante la opcin -r, recursivo.
Para comprobar la integridad de los archivos incluidos en la base de datos XML hay que ejecutar el comando:
fciv -v xml ruta_de_la_bd_en_xml
Una vez definidos sobre qu archivos queremos realizar la base de datos xml y generados los valores de
checksum, hay que guardar en un medio de solo lectura o que est totalmente aislado de la red, el archivo de
base de datos xml ruta_de_la_bd_en_xml para evitar que sea modificado por un atacante.
5.4.
Activar el Filtro de Ejecucin de Aplicaciones Maliciosas
Se debe activar el filtro de ejecucin de aplicaciones maliciosas (Data execution Prevention DEP) ms las
protecciones por hardware para evitar que se ejecuten ficheros daados por virus y otras amenazas de seguridad.
Windows server 2003
Panel de control>Sistema>Opciones avanzadas>Rendimiento>Configuracin>Prevencin de ejecucin de

datos
15 de 22
13/05/2013 17:06
Y activar DEP para todos los programas y servicios a excepcin de los que seleccione
Windows server 2008
Panel de control>Sistema>Configuracin avanzada del sistema>Opciones avanzadas>Rendimiento>Configuracin>Prevencin de ejecucin de datos
Y activar DEP para todos los programas y servicios a excepcin de los que seleccione
5.5.
Mostrar las Extensiones de los Archivos
Hay que mostrar las extensiones de los archivos, debido a que algunas amenazas como pueden ser los virus
y gusanos, aprovechan este comportamiento para confundir al usuario. Para mostrar las extensiones para el
usuario actual abrir un explorador de archivos y desmarcaremos la opcin
Herramientas>Opciones de carpeta>Ver>Configuracin Avanzada>Ocultar las extensiones de archivo para

los tipos de archivo conocidos.
NOTA: Este paso se deber repetir para cada usuario
6.
Configuracin de Servicios del Sistema
6.1.
Deshabilitar los Servicios Innecesarios
Durante la instalacin de sistemas operativos muchos servicios se configuran para que se inicien automticamente durante el inicio del SO. Algunos de estos servicios pueden no ser necesarios. Se debe verificar y habilitar nicamente aquellos que sean necesarios. Para revisar los servicios que existen y cuando se inician
abrir
Panel de control>Herramientas administrativas>Servicios
Pulsar sobre la columna Tipo de inicio y los servicios que se inician automticamente aparecern los primeros, para modificar el tipo de inicio realizar un doble click sobre el servicio y en la ventana emergente establecer el campo Tipo de inicio al valor deseado.
6.2.
Deshabilitar la cach de Contraseas y Usuarios
No se debe mostrar nunca el nombre del ltimo usuario que inici una sesin. Habilitar la opcin

seguridad>Inicio de sesin interactivo: no mostrar el ltimo nombre de usuario
16 de 22
13/05/2013 17:06
6.3.
Control de Sesiones
Debe activarse un protector de pantalla que bloquee el terminal con contrasea al cabo de un tiempo. Por defecto Windows lo trae habilitado a 10 minutos. Pulsar el botn derecho sobre el escritorio y seleccionar la opcin Personalizar, establecer el tiempo deseado y marcar la opcin Ensear la ventana de inicio al volver. A
los usuarios de los centros de control no se les debe aplicar
6.4.
Configuracin de NTP
Se debe configurar el servicio NTP para que se sincronice con el servidor NTP.
Windows server 2003
Abrir una consola
Inicio>Smbolo del sistema
Una vez abierta aplica los puntos 10.4.1 y 10.4.2
Windows server 2008
Abrir una consola como administrador pulsando la tecla Shift y el botn derecho sobre
Inicio>Smbolo del sistema
Y seleccionando la opcin Ejecutar como administrador, una vez abierta aplica los puntos 10.4.1 y 10.4.2
6.4.1.
Permitir la salida del trfico NTP en el firewall
Windows server 2003
Ejecutar el comando
netsh firewall add portopening protocol=UDP port=123 name=NTP scope=custom addresses=ip-del-servidor-ntp
Windows server 2008
Ejecuta el comando mediante
netsh advfirewall firewall add rule name=Sincronizacion de tiempo NTP action=allow dir=out protocol=udp
17 de 22
13/05/2013 17:06
remoteport=123 remoteip=ip-del-servidor-ntp
6.4.2.
Configurar la sincronizacin de tiempo
Ejecuta los comandos
w32tm /config /manualpeerlist:ip-del-servidor-ntp,0x8 /syncfromflags:MANUAL
w32tm /config /update
w32tm /resync
7.
Auditabilidad del Sistema
Hay que habilitar los servicios de auditora del sistema. Debe tenerse en cuenta que la auditora puede causar un impacto en el rendimiento del sistema y un uso mayor del espacio en disco, as que hay que buscar un
equilibrio.
7.1.
Habilitar el Registro de Auditoria
Las opciones de auditora se configuran desde
Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Directiva de

auditora
Como mnimo habr que activar los eventos correctos y fallidos de las opciones:
Auditar eventos de inicio de sesin de cuenta (Windows server 2008: CCE-2251-7,CCE-1779-8, Windows server 2003: CCE-3321-7, CCE-3467-8)
Auditar eventos de inicio de sesin (Windows server 2008: CCE-2242-6, CCE-2574-2, Windows server
2003: CCE-3603-8, CCE-3391-0)
Auditar eventos del sistema (Windows server 2008: CCE-1837-4,CCE-1939-8, Windows server 2003:
CCE-3594-9, CCE-3611-1)
8.
18 de 22
Actualizaciones y Parches
13/05/2013 17:06
8.1.
Instalacin de los Parches verificados por la compaa
Es muy importante mantener los sistemas actualizados a las versiones ms recientes para proteger los equipos ante errores conocidos y solventados.
8.1.1.
Aplicar los ltimos parches homologados
(TODO: Describir el proceso de actualizaciones una vez definido)
8.1.2.
Configurar las actualizaciones automticas
Dado que los parches debern ser verificados y, una vez aprobados, distribuidos por la empresa, hay que
configurar las actualizaciones automticas para que sincronicen con la infraestructura interna en lugar de los
servidores oficiales de Microsoft. Hay que ejecutar el comando:
gpedit.msc
1. Habilitar la opcin
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Windows update>Configurar

actualizaciones automticas
Seleccionando la opcin 2-Notificar descarga y notificar instalacin del campo Configurar actualizacin automtica
1. Habilitar la opcin
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Windows update>Especificar

la ubicacin del servicio Windows Update en la intranet
Y establecer a http://ip-del-servidor-de-actualizaciones la opcin Establecer el servicio de actualizacin de

la intranet para detectar actualizaciones: y la opcin Establecer el servidor de estadsticas de la intranet
9.
Otras opciones de seguridad
Esta seccin agrupa varias opciones que por su naturaleza no pertenecen a ningn apartado especfico.
9.1.
Procesamiento de directivas del registro
Al activar esta opcin se fuerza a que se actualicen las polticas aunque no se haya modificado ningn objeto de las polticas globales, asegura que se aplican las polticas globales reemplazando cualquier cambio realizado localmente. Para establecer esta opcin ejecutar
19 de 22
13/05/2013 17:06
gpedit.msc
Configuracin del equipo>plantillas administrativas>Sistema>Directiva de grupo>Procesamiento de directivas

del registro
Marcando adems la casilla
Procesar incluso si los objetos de directiva de grupo no han cambiado
9.2.
Desactivar la ejecucin automtica
A lo largo de su historia la reproduccin automtica ha sido un vector de ataque muy utilizado por virus, troyanos, malware y dems amenazas, por ms que ha mejorado su seguridad con el tiempo se encuentran nuevas formas de explotar esta funcionalidad, as que hay que desactivarla. Para establecer esta opcin ejecutar
gpedit.msc
Windows server 2003
Requiere la actualizacin para Windows server 2003 (KB967715)
Configuracin del equipo>plantillas administrativas>Sistema>>Desactivar Reproduccin Automtica
CCE-3597-2
Estableciendo a Todas las unidades la opcin
Desactivar reproduccin automtica en:
Windows server 2008
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Directivas de reproduccin

automtica>Desactivar Reproduccin Automtica
CCE-8634-8
Estableciendo a Todas las unidades la opcin
20 de 22
13/05/2013 17:06
Desactivar reproduccin automtica en:
10. Control de cuentas de usuario (UAC): a partir de Windows

Server 2008
En esta seccin se describen pasos para el uso ptimo de las mejoras de seguridad ofrecidas por la tecnologa de control de cuentas de usuario.
10.1. Modo de aprobacin para la cuenta de Administrador integrada

Al activar esta opcin el usuario administrador creado durante la instalacin pasa a estar protegido por la tecnologa UAC. Para activarlo ejecutar
gpedit.msc
Configuracin del equipo>Configuracin de Windows>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Modo de aprobacin de Administrador integrado
CCE-2302-8
10.2. Pedir la contrasea cuando se requiera una elevacin de privilegios

Mediante esta opcin se pide la introduccin de la contrasea cada vez que una tarea requiera de la elevacin de privilegios, de esta forma si se produce un acceso no autorizado a un servidor con una sesin iniciada, no bastar para poder ejecutar tareas como Administrador ya que ser necesario conocer la contrasea.
Ejecutar
gpedit.msc
Y establecer a Pedir credenciales el valor de la opcin
Configuracin del equipo>Configuracin de Windows>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Comportamiento del indicador de elevacin para los administradores en Modo de aprobacin de administrador
CCE-2474-5
Esta entrada se public en Seguridad, Sistemas y est etiquetada con Microsoft, Seguridad, Sysadmin en
18/febrero/2013 [http://abdulet.net/?p=607] .
21 de 22
13/05/2013 17:06
Un pensamiento en Gua de bastionado de Microsoft Windows Server
charlie
4/mayo/2013 en 3:09:08:000000
muy bueno
22 de 22
13/05/2013 17:06

Windows Server bastión guía

Hochgeladen von

Dokumentinformationen

Originaltitel

Copyright

Verfügbare Formate

Dieses Dokument teilen

Dokument teilen oder einbetten

Freigabeoptionen

Stufen Sie dieses Dokument als nützlich ein?

Sind diese Inhalte unangemessen?

Copyright:

Verfügbare Formate

Windows Server bastión guía

Hochgeladen von

Copyright:

Verfügbare Formate

Gua de bastionado de Microsoft Windows Server | El conocimiento ...

Gua de bastionado de Microsoft Windows Server

Tabla de contenido [-]

Entorno de instalacin seguro

Instalacin de aplicaciones imprescindibles del sistema

Configuracin de las interfaces de red (NIC)

Configuracin Segura de Cuentas

Peticin obligatoria de contrasea

Establecer una longitud mnima de contrasea

Impedir el uso de contraseas en blanco en las conexiones remotas

Control de Usuarios Creados durante la Instalacin

Crear una cuenta con privilegios de administracin

Deshabilitar la cuenta del usuario Administrador

Deshabilitar la cuenta de Invitado

Asegurar la Robustez de las Contraseas

Asignacin de Derechos de Usuarios

Control de acceso a la red

Proteccin de NETBIOS y SMB

Activar la firma de paquetes SMB como cliente

Activar la firma de paquetes SMB como servidor

Impedir la enumeracin de recursos compartidos y cuentas SAM por usuarios anni-

Proteccin del protocolo ARP

Acceso Remoto a travs de RDP

Forzar la peticin de contrasea durante el inicio de sesin

Establecer el nivel de cifrado

Impedir que se guarden las contraseas en el cliente

Gua de bastionado de Microsoft Windows Server | El conocimiento ...

Impedir la conversin SID a nombre de usuario y viceversa a usuarios annimos

Impedir el listado de cuentas SAM por usuarios annimos

Establecer el mensaje corporativo de inicio de sesin

4.10. Activar el Firewall o cortafuegos

Eliminar las unidades compartidas con propsitos administrativos

Permisos de Carpetas y Ficheros

Integridad de Archivos y Directorios

Comprobar la integridad de archivos y directorios que no son del sistema

Activar el Filtro de Ejecucin de Aplicaciones Maliciosas

Mostrar las Extensiones de los Archivos

Configuracin de Servicios del Sistema

Deshabilitar los Servicios Innecesarios

Deshabilitar la cach de Contraseas y Usuarios

Permitir la salida del trfico NTP en el firewall

Configurar la sincronizacin de tiempo

Auditabilidad del Sistema

Comprobar la integridad de archivos y directorios del sistema

Instalacin de los Parches verificados por la compaa

Aplicar los ltimos parches homologados

Configurar las actualizaciones automticas

Otras opciones de seguridad

Procesamiento de directivas del registro

Desactivar la ejecucin automtica

10. Control de cuentas de usuario (UAC): a partir de Windows Server 2008

A la hora de instalar, configurar y administrar un servidor, se debe:

Gua de bastionado de Microsoft Windows Server | El conocimiento ...

Entorno de instalacin seguro

Se ha bastionado el equipo siguiendo los pasos de esta gua

Instalacin de aplicaciones imprescindibles del sistema

Un ejemplo son las siguientes:

Data Access Components (MDAC)

Los siguientes servicios deben sustituirse por sus homlogos ms seguros:

FTP, SMTP y NNTP

Gua de bastionado de Microsoft Windows Server | El conocimiento ...

Configuracin de las interfaces de red (NIC)

Panel de control>Conexiones de red