Buenasprcticasdeseguridadparaservidoreswindows

Consideracionesbsicasdeseguridad

Deshabilitalosusuariosdeinvitado(guest) En algunas versiones de windows los usuarios de invitado vienen por omisin deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalacinenqueestatusseencuentra.Deigualformaaestosusuariosselesdebe asignar una contrasea compleja yse puede restringir el nmero de logons que puederealizarpordacomomedidaextradeseguridad.

Limitaelnmerodecuentasentuservidor Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba,compartidos,departamento,etc.Utilizapolticasdegruposparaasignarlos permisosquesevannecesitando.Auditatususuariosregularmente. Lascuentasgenricassonconocidasporcontraseasdbilesymuchosaccesos desdemltiplesequipos.Sonelprimerpuntodeataquedeunhacker.

Limitalosaccesosdelacuentadeadministracin El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a la cuenta de administracin con todos los privilegios una poltica de accesosmsagresiva:contraseacomplejaconcambiocada3mesesmnimoyun correo o registro de cada acceso de la misma al servidor. De ser posible los administradoresslodebenusarlacuentadeadministracinunavezqueestnenel servidorconsucuentapersonalyutilizarlacuentademayoresprivilegiosenelmodo ejecutacomoorunasif,estopermitequesepasquienusabalacuentaenqu momentoyporqu.

Renombralacuentadeadministracin Aunquesediscuteansediscutesiestamedidaesonoefectiva.Esciertoqueal menosdificultaeltrabajodehackersprincipiantes.Laideaesqueelnombredel usuarionoindiquesusprivilegios.

Creaunacuentatontadeadministrador Estaesotraestrategiaqueseutiliza,crearunacuentallamadaadministradorynose leotorganprivilegiosyunacontraseacomplejadealmenos10caracteres.Esto puedemanteneraalgunaspersonasqueestntratandodeaccederentretenidos. Monitorealautilizacindelamisma.

Cuidadoconlosprivilegiosporomisinparalosgruposdeusuarios EnelcontextodewindowsexistengruposcomoEveryoneenelquetodoelque entraalsistematieneaccesoalosdatosdetured.Poromisinexistencarpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocenlosriesgoscolocandatosenellas.Porlotanto,revisaquegrupospueden accederaqucarpetasyconsiderasidebenonotenerestosaccesos.

ColocalaspaticionesconNTFS LossistemasFATyFAT32nosoportanbuenosnivelesdeseguridadyconstituyen unapuertatraseraidealparalosatacantes.

Configurapolticasdeseguridadensuservidorysured Microsoft provee kits de herramientas para la configuracin de seguridad a su medida.Estoskitsproveenplantillasparaseleccionarelniveldeseguridadquesu organizacin requiere y se pueden editar aspectos como: perfil de usuarios, permisologa de carpetas, tipos de autenticacin, etc. Pata mayor informacin al respectopuedeconsultarlaspginasdetechnetdemicrosoft.

Apagaserviciosinnecesariosenelservidor Poromisinalgunosserviciosvienenconfiguradosylistosparautilizarse,aquellos quenoestnsiendoutilizadosconstituyenunavulnerabilidadparasuequipo.Revise servicioscomo:IIS,RAS,terminalservices.Estosserviciosposeenvulnerabilidades conocidasydebenserconfiguradoscuidadosamenteparaevitarataques.Tambin pueden existir servicios ejecutndose silenciosamente por lo que es necesario auditarperidicamenteyverifiquequelosserviciosqueestnabiertossonaquellos queseestnutilizandoporusted.Algunosserviciosarevisarsonlossiguientes:

Computer Browser Microsoft DNS Server Netlogon NTLM SSP RPC Locator RPC Service

TCP/IP NetBIOS Helper Spooler Server WINS Workstation Event Log

Cierraelaccesoapuertosquenoseestnutilizando Losservidoressonelprincipalobjetivodeunatacante.Unadelasestrategiasms utilizadasalahoradelocalizarunavctimaes verificarlospuertosquelamisma tieneabierta.Porello,verifiqueelarchivolocalizadoen: %systemroot%\drivers\etc\services. Configure sus puertos va la consola de

seguridad TCP/IP ubicada en el panel de control sus accesos de red. Una recomendacingeneraleshabilitarespecficamentetrficoTCPeICMP,paraello seleccionelaopcindeUDPyprotocoloIPcomopermitidonicamenteydejelos camposenblanco.Puedeconseguirenlaspginasdemicrosoftlospuertosabiertos poromisinparaelsistemaoperativoquetieneinstalado.

Habilitalaauditoraensuservidor Laformamsbsicaparadetectarintrusosenunsistemaoperativomicrosoftes habilitar las auditoras. Esto le brindar alertas en aspectos de seguridad muy importantescomo:cambiosenlaspolticasdeseguridad,intentosderompimientode claves,accesosnoautorizados,modificacionesaprivilegiosdeusuarios,etc.Como mnimoconsiderehabilitarlassiguientesopciones: Eventosdelogindeusuario, gestin de cuentas de usuario, acceso a objetos, cambios en polticas, uso de privilegios y eventos del sistema. Es importante que registre tanto los eventos exitososcomolosfallidosyaqueambasleindicaranqueunapersonanoautorizada esttratandoderealizaractividadesensuservidor.

Colocaproteccinasusarchivosderegistrosdeeventos Poromisinlosarchivosdeeventosnoestnprotegidosesimportantedarpermisos tantodelecturacomoescriturasoloalosusuariosdesistemayadministradores.De locontrariounatacantepodrfcilmenteeliminarsushuellasluegodeunataque.

Desactiva la opcin del ltimo usuario para desplegarse en la pantalla de inicioobloqueodelsistema EnwindowsporomisincuandosepresionaCtrlAltDelapareceelltimousuario queutilizelequipoestohacemuyfcilobtenerelnombredelacuentadeusuario deadministracin,elatacantepuedeutilizarsushabilidadesparaadivinarocrackear lacontraseadelusuario.Esteparmetrodeconfiguracinpuedemodificarseenlas plantillasdesuCDdeinstalacinoenlaspolticasdeseguridad.

Verificalosparchesdeseguridadqueliberamicrosoftmensualmente Microsoftliberaboletinesdeseguridadmensualmenteindicandoparchesparasus sistemas operativos, es indispensable estar al tanto de los mismos y aplicar metdicamenteparaevitarservctimadeataquesconocidosyyareparados.Usted puedesuscribirsealistasdeactualizacinenlasqueleindicaranquparchesestn disponiblesyendndedescargarlos.

Deshabilitalascarpetascompartidasporomisinquenosonnecesarias Colocandonetshareenlalneadecomandodelpromptpodrsconocerlascarpetas

compartidas.

Deshabilitalaopcindecreacindelarchivodump Aunqueestaopcinesmuytilparaconocerlospormenoresdeunerrorenel servidorcomolascausasdelosfamosospantallazosazules.Tambinsirvepara proveeralatacantedeinformacinsensiblecomocontraseasdelasaplicaciones. Puedes deshabilitar esta opcin en: panel de control, sistema, propiedades, avanzadas,recuperacinyreinicio.Alldeshabilitalaopcinescribirinformacinde fallas a ninguna. Si necesitas conocer las causas de una falla recurrente en el servidorsiemprepuedesvolverahabilitarlaopcinyverificarquestsucendiendo. Silohacesrecuerdaeliminarlosarchivosquesecreendespusdeutilizarlos.

Referencias
JosF.Torres.PracticasbsicasdedeseguridadenWindows.2da.EscuelaVenezolanade SeguridaddeCmputo.Agosto2006. Universidad Autnoma de Madrid. Gua bsica de seguridad para Windows . http://www.uam.es/servicios/ti/servicios/ss/rec/winnt.html MicrosoftTechnet.TechNet:SecurityGuidanceforServerSecurity Microsoft.WindowsServer2003SecurityGuide. Microsot.SecurityTemplates.http://go.microsoft.com/fwlink/?LinkId=14846