Beruflich Dokumente
Kultur Dokumente
Elaborado por
Fecha
Versin
Febrero de 2014
1,0
Tabla de Contenido
1.1
1.1.1
Recomendaciones y supuestos
1.1.2
Planeacin de la Instalacin
1.1.3
Actualizaciones de Windows
1.1.4
10
1.1.5.
Referencias
66
La aplicacin de esta gua, no garantiza que se eliminarn todas las vulnerabilidades del
sistema, ni que ser completamente invulnerable a accesos no autorizados.
Sin
embargo, seguir cuidadosamente los pasos de esta gua resultar en un sistema que es
mucho ms confiable y seguro que el de una instalacin del sistema operativo por
defecto, y a la vez que no es vulnerable a fallas de seguridad conocidas.
Las acciones descritas en esta gua son escritas asumiendo que sern ejecutadas en el
mismo orden que aparecen la misma, y especialmente deberan ser evaluadas en un
ambiente de pruebas o laboratorio. Toda la gua ha sido desarrollada asumiendo que
ser ejecutada por un usuario Administrador con experiencia en la plataforma a
asegurar.
1.1.2.1
1.1.2.2
Para mayor informacin sobre la instalacin de Sever Core en Windows 2008 Server,
consulte Gua paso a paso de la opcin de instalacin Server Core de Windows Server
2008 en http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx.
1.1.2.3
La planificacin de la seguridad antes del despliegue es importante, pero una vez que
las cosas estn en marcha y funcionando, una de las mejores prcticas de seguridad
debe incluir la permanente planificacin y gestin de las polticas de grupo. Es
recomendable tomar la configuracin de directiva de grupo en cuenta antes de la
implementacin de Windows. Tambin tendr que ajustar la configuracin de
directivas con el tiempo, a la vez que los requisitos de seguridad evolucionan.
Aunque puede gestionar por completo la configuracin de Directiva de grupo utilizando
las herramientas que se incluyen con Windows Server 2008 R2, Microsoft ofrece una
herramienta gratuita llamada Security Compliance Manager (SCM) que puede
simplificar el proceso. Descargue SMC del sitio oficinal de Microsoft (Microsoft Security
Compliance
Manager
en
http://www.microsoft.com/enus/download/details.aspx?id=16776 ).
El proceso de instalacin es sencillo y utiliza un asistente grfico. Asegrese de
seleccionar la casilla de verificacin que le dice al asistente de configuracin que debe
comprobar si hay actualizaciones. Microsoft Security Compliance Manager es una
herramienta que facilita enormemente la gestin del bastionado de sistemas y
servicios basados en tecnologa Microsoft. Esta aplicacin permite distintos mtodos de
administracin de la configuracin de seguridad basados en plantillas. Con la
instalacin se descargan las Baselines de buenas prcticas creadas por Microsoft y
adems, tambin crea una lnea base en funcin a la configuracin actual de un
sistema, en caso de que la organizacin tenga parmetros distintos ya configurados.
Una vez se dispone de las baselines, ya sean creadas por los administradores o las
propias de Microsoft, estn se pueden comparar o exportar a distintos formatos, como
son hojas Excel (para gestin), GPOs, SCAP, SCCM DCM o SCM (en el caso de que se
deseen importar posteriormente). De tal forma que puedan ser aplicadas tambin en
equipos fuera del dominio y por lo tanto fuera del alcance de la GPO.
Una vez haya instalado SCM, se puede iniciar a travs del men de inicio del servidor.
Al ejecutarlo por primera vez, el software tendr que importar una serie de diferentes
paquetes de la lnea base de seguridad. Este proceso puede tardar varios minutos en
completarse.
Una vez que haya importado los paquetes de la lnea base de seguridad, ver una lista
de categoras en el rbol de la consola. Expanda el contenedor R2 SP1 de Windows
Server 2008 para ver las opciones disponibles para Windows Server 2008 R2.
Microsoft proporciona lneas base de seguridad para un variado nmero de funciones
de servidor. (Observe la Figura 1).
Microsoft SCM fue un excelente recurso en el desarrollo de esta gua, por lo tanto se
recomienda a los administradores descargar el kit de herramientas para acceder a sus
recursos, incluyendo herramientas como GPOAccelerator y los paquetes de
configuracin DCM, que ayudan en la rpida implementacin de las polticas de
configuracin de seguridad.
Para obtener ms informacin sobre Security Compliance Manager, consulte:
1.1.3.2
gua contiene cambios que pueden ser de un nivel de dificultad altos, o que aplicados
de forma incorrecta pueden generar problemas en el sistema.
Examine el sistema y busque palabras como error, warning, critical, y alert (entre
otras) en los archivos de logs de la mquina.
1.1.4.1
Parmetro / Componente
Configure 'Windows
Update' en 'Automatic'
Tema:
1.1.4.1
Parmetro / Componente
Tema:
1.1.4.1
Parmetro / Componente
'Automatic'
Configure 'Software
Protection' en 'Automatic'
Configure 'Windows
Firewall' en 'Automatic'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Remote
Procedure Call (RPC)' en
'Automatic'
13
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Windows
Management
Instrumentation' en
'Automatic'
Configure 'Cryptographic
Services' en 'Automatic'
14
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Workstation' en
'Automatic'
Configure 'DFS
Replication' en 'Automatic'
Configure 'Desktop
Window Manager Session
Manager' en 'Automatic'
Tema:
1.1.4.1
Parmetro / Componente
Manager
Configure 'Network
Location Awareness' en
'Automatic'
Configure 'Network
security: Allow Local
System to use computer
identity for NTLM' en
'Enabled'
Configure 'Recovery
console: Allow floppy copy
and access to all drives
and all folders' en
'Disabled'
16
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
security: Allow
LocalSystem NULL session
fallback' en 'Disabled'
Configure 'Accounts:
Guest account status' en
'Disabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Domain
controller: LDAP server
signing requirements' en
'Require signing'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators'
Configure 'Network
security: LAN Manager
authentication level' en
'Send NTLMv2 response
only. Refuse LM &
Tema:
1.1.4.1
Parmetro / Componente
NTLM'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Domain
controller: Allow server
operators to schedule
tasks' en 'Disabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
Security: Allow PKU2U
authentication requests en
this computer to use
online identities' to
'Disabled'
Configure 'Devices:
Allowed to format and
eject removable media' en
'Administrators and
Interactive Users'
Configure 'System
objects: Require case
insensitivity for nonWindows subsystems' en
'Enabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
security: Force logoff
when logon hours expire'
en 'Enabled'
23
Tema:
1.1.4.1
Parmetro / Componente
24
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
access: Allow anonymous
SID/Name translation' en
'Disabled'
Configure 'System
cryptography: Use FIPS
compliant algorithms for
encryption, hashing, and
signing' en 'Enabled'
Configure 'Domain
member: Digitally encrypt
or sign secure channel
data (always)' en
'Enabled'
25
Tema:
1.1.4.1
Parmetro / Componente
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Microsoft
network server: Digitally
sign communications
(always)' en 'Enabled'
Configure 'Microsoft
network server:
Disconnect clients when
logon hours expire' en
'Enabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'MSS:
(DisableIPSourceRouting)
IP source routing
protection level (protects
against packet spoofing)'
Tema:
1.1.4.1
Parmetro / Componente
en 'Highest protection,
source routing is
completely disabled'
toma.
29
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Microsoft
network client: Send
unencrypted password en
third-party SMB servers'
to 'Disabled'
Configure 'System
objects: Strengthen
default permissions of
internal system objects
(e.g. Symbolic Links)' en
'Enabled'
30
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
access: Do not allow
anonymous enumeration
of SAM accounts and
shares' en 'Enabled'
31
Tema:
1.1.4.1
Parmetro / Componente
Configure 'MSS:
(ScreenSaverGracePeriod)
The time in seconds
before the screen saver
grace period expires (0
recommended)' en '0'
Configure 'Interactive
logon: Do not require
CTRL+ALT+DEL' en
'Disabled'
Configure 'Devices:
Prevent users from
installing printer drivers'
en 'Enabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'MSS:
(SafeDllSearchMode)
Enable Safe DLL search
mode (recommended)' en
'Enabled'
Configure 'MSS:
(AutoAdminLogon) Enable
Automatic Logon (not
recommended)' en
'Disabled'
33
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Microsoft
network client: Digitally
sign communications
(always)' en 'Enabled'
Configure 'Shutdown:
Clear virtual memory
pagefile' en 'Disabled'
34
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
access: Remotely
accessible registry paths
and sub-paths' en
'System\CurrentControlSe
t\Control\Print\Printers
System\CurrentControlSet
\Services\Eventlog
Software\Microsoft\OLAP
Server
Software\Microsoft\Windo
ws
NT\CurrentVersion\Print
Sof
Configure 'Network
access: Do not allow
anonymous enumeration
Tema:
1.1.4.1
Parmetro / Componente
of SAM accounts' to
'Enabled'
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Microsoft
network client: Digitally
sign communications (if
server agrees)' en
'Enabled'
Configure 'Network
security: LDAP client
signing requirements' en
'Negotiate signing'
elevation
37
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Interactive
logon: Do not display last
user name' en 'Enabled'
Configure 'Network
security: Do not store LAN
Manager hash value on
next password change' en
'Enabled'
38
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Interactive
logon: Prompt user to
change password before
expiration' en '14'
Configure 'Domain
member: Require strong
(Windows 2000 or later)
session key' en 'Enabled'
Configure 'Microsoft
Tema:
1.1.4.1
Parmetro / Componente
Tema:
1.1.4.1
Parmetro / Componente
41
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
access: Remotely
accessible registry paths'
en
'System\CurrentControlSe
t\Control\ProductOptions
System\CurrentControlSet
\Control\Server
Applications
Software\Microsoft\Windo
ws NT\CurrentVersion'
42
Tema:
1.1.4.1
Parmetro / Componente
Configure 'Network
access: Shares that can
be accessed anonymously'
en ''
Tema:
Parmetro / Componente
Configure 'Modify an
object label' en 'No One'
Tema:
Parmetro / Componente
'Administrators'
Configure Generate
security audits en Local
Service, Network Service
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Back up files
and directories
Tema:
Parmetro / Componente
hardware.
Cualquier usuario que tenga activo el
permiso Modify firmware environment
puede configurar los ajustes de un
componente de hardware para que deje de
funcionar, lo que podra conducir a la
corrupcin de datos o una condicin de
denegacin de servicio.
Cualquier usuario que tenga privilegios de
apagar un servidor podra causar una
condicin de denegacin de servicio. Por lo
tanto, este derecho debe ser restringido a
muy pocos usuarios.
Esta poltica permite a usuarios en la red
conectarse a otros computadores y es
requerida por varios protocolos de red que
incluyen los protocolos basados en Server
Message Block (SMB), NetBIOS, Common
Internet File System (CIFS), y Component
Object Model Plus (COM+).
Esta condicin puede tener un mayor nivel
de riesgo para equipos compatibles
Windows NT 4.0 o Windows 2000, porque
los permisos predeterminados para estos
sistemas operativos no son tan restrictivos
como los permisos predeterminados en
Windows Server 2003.
Nota: Es importante verificar que a los
usuarios autorizados se les asigne permisos
sobre los equipos que necesitan acceder en
la red.
Esta poltica determina qu usuarios o
grupos tienen permiso para iniciar sesin a
travs de Escritorio Remoto.
Cualquier cuenta con la opcin Permitir
Computer
Configuration\Windows
Settings\Local
Policies\User
Rights
firmware environment values
Settings\Security
Assignment\Modify
Configuration\Windows
Settings\Security
45
Tema:
Parmetro / Componente
Configure 'Enable
computer and user
accounts to be trusted for
delegation' en 'No One'
Tema:
Parmetro / Componente
Configure 'Add
workstations to domain'
en 'Administrators'
Computer
Configuration\Windows
Settings\Security
Settings\Local Policies\User Rights Assignment\Lock pages in
memory
Settings\Security
Assignment\Add
Tema:
Parmetro / Componente
Tema:
Parmetro / Componente
Computer
Configuration\Windows
Settings\Local
Policies\User
Rights
traverse checking
Settings\Security
Assignment\Bypass
Tema:
Parmetro / Componente
Configure 'Log on as a
batch job' en
'Administrators'
Tema:
Parmetro / Componente
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
Settings\Security
Configuration\Audit
51
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
Policies\Account
Management\Audit
Policy:
Management: Computer Account Management
Account
52
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
Configuration\Windows
Settings\Security
53
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
Settings\Advanced
Audit
Policy
Configuration\Audit
Policies\Privilege Use\Audit Policy: Privilege Use: Sensitive
Privilege Use
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
incidente de seguridad.
Esta subcategora reporta la carga de
cdigo de extensin tal como paquetes de
Configure 'Audit Policy:
autenticacin
en
el
subsistema
de
System: Security System
seguridad.
Extension' en 'Success and Si no se configuran los parmetros de
Failure'
auditora, puede ser difcil o imposible
determinar lo que ocurri durante un
incidente de seguridad.
Esta subcategora informa sobre otros
eventos del sistema.
Si no se configuran los registros de
auditora, puede ser difcil o imposible
Configure 'Audit Policy:
determinar lo que ocurri durante un
System: Other System
incidente de seguridad. Sin embargo, si la
Events' en 'No Auditing'
configuracin de auditora se configura de
manera que se generan eventos de todas
las actividades el registro de seguridad se
llenar con datos difciles de usar.
Esta subcategora informa de los eventos
generados por RADIUS (IAS) y las
peticiones de acceso de usuario de Network
Configure 'Audit Policy:
Access Protection (NAP). Estos eventos
Logon-Logoff: Network
pueden ser otorgar, denegar, descartar,
Policy Server' en 'No
cuarentena,
bloquear
y
desbloquear.
Auditing'
Auditar este tipo de eventos se traducir en
un alto volumen de registros en los
servidores NPS y NIC.
Esta subcategora reporta cuando un
usuario intenta iniciar sesin en el sistema.
Si no se configuran los registros de
Configure 'Audit Policy:
auditora, puede ser difcil o imposible
Logon-Logoff: Logon' en
determinar lo que ocurri durante un
'Success and Failure'
incidente de seguridad. Si no se configuran
los registros de auditora, puede ser difcil o
imposible determinar lo que ocurri
Tema:
1.1.4.3.
Administracin de cuentas
Parmetro / Componente
Tema:
1.1.4.4.
Parmetro / Componente
Configure 'Windows
Firewall: Domain: Display
a notification' en 'Yes
(default)'
56
Tema:
1.1.4.4.
Parmetro / Componente
Configure 'Windows
Firewall: Domain: Apply
local connection security
rules' en 'Yes (default)'
seguridad.
Esta configuracin controla si los
administradores locales pueden crear
reglas de seguridad de conexin que
se aplican junto con las reglas de
seguridad de conexin configuradas
por la directiva de grupo.
Los
usuarios
con
privilegios
administrativos pueden crear reglas
de firewall que exponen el sistema a
ataques remotos.
Configure 'Windows
Firewall: Domain: Allow
unicast response' en 'No'
Configure 'Windows
Firewall: Domain: Firewall
state' en 'On
(recommended)'
Configure 'Windows
Firewall: Private: Firewall
state' en 'On
(recommended)'
Tema:
1.1.4.4.
Parmetro / Componente
Configure 'Windows
Firewall: Public: Apply
local connection security
rules' en 'Yes'
Configure 'Windows
Firewall: Public: Allow
unicast response' en 'No'
Tema:
1.1.4.5.
Parmetro / Componente
Tema:
1.1.4.5.
Parmetro / Componente
threshold
59
Tema:
1.1.4.5.
Parmetro / Componente
Configure 'Minimum
password length' en '14'
or greater
Configure 'Maximum
password age' en '60' or
less
60
Tema:
1.1.4.5.
Parmetro / Componente
Configure 'Enforce
password history' en '24'
or greater
Configure 'Minimum
password age' en '1' or
greater
61
Tema:
1.1.4.5.
Parmetro / Componente
Tema:
1.1.4.6.
es de 0 das.
Esta
configuracin
de
directiva
comprueba todas las contraseas
nuevas para garantizar que cumplen
los requisitos bsicos de la poltica de
contraseas seguras.
Cuando se habilita esta directiva, las
contraseas
deben
cumplir
los
siguientes requisitos mnimos:
No contener el nombre o parte del
nombre completo del usuario y que
tengan ms de dos caracteres
consecutivos de la cuenta del usuario
Tener por lo menos seis caracteres
de longitud
Contener caracteres de tres de las
siguientes cuatro categoras:
Los caracteres en maysculas en
ingls (A a Z)
minsculas Ingls (A a Z)
Base 10 dgitos (del 0 al 9)
Los caracteres no alfabticos (por
ejemplo,!, $, #,%)
Una categora catch-all de
cualquier carcter Unicode que no
cae bajo las cuatro categoras
anteriores. Esta quinta categora
puede ser especfico a nivel regional
Plantillas administrativas
Parmetro / Componente
Security:
Tema:
1.1.4.6.
Plantillas administrativas
Parmetro / Componente
Tema:
1.1.4.6.
Plantillas administrativas
Parmetro / Componente
System:
Configure
'Maximum Log Size (KB)'
en 'Enabled:32768'
Configure
'Retain
events' en 'Disabled'
old
Configure
'Turn
off
Autoplay' en 'Enabled:All
drives'
Configure
'Always
install
Tema:
1.1.4.6.
Plantillas administrativas
Parmetro / Componente
65
1.1.5. Referencias
1.1.5.3.
Microsoft
Windows
Server
2008
R2:
Secure
Your
Windows
Server:
http://technet.microsoft.com/en-us/magazine/hh987048.aspx
Gua paso a paso de la opcin de instalacin Server Core de Windows Server 2008 en
http://technet.microsoft.com/es-es/library/cc753802(v=ws.10).aspx
Microsoft
Free
Security
Tools
Microsoft
Baseline
Security
Analyzer
(https://blogs.technet.com/b/security/archive/2012/10/22/microsoft-free-securitytools-microsoft-baseline-security-analyzer.aspx)
1.1.5.4.
1.1.5.5.
Microsoft Windows
and