Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Hardening. Windows Server 2008. Como Obtener Una Configuración Robusta de Un Servidor Que Ejecuta Windows Server 2008.
Hardening. Windows Server 2008. Como Obtener Una Configuración Robusta de Un Servidor Que Ejecuta Windows Server 2008.
19/08/2011
HARDENING
Windows Server 2008
Contenido
Introduccin ................................................................................................................................................. 2
a.
b.
c.
Definicin
Objetivos
Pasos bsicos
Active Directory
Menor Privilegio
Escritorio Remoto
Recomendaciones
Herramientas
Qu significa auditar?
Recomendaciones.
Qu compartir?
Uso de elementos compartidos ocultos
Hotfixes
WSUS
MBSA
NAP
Recomendaciones sobre antivirus
Especificaciones
Por qu tener una instalacin minina de Windows Server 2008?
Requerimientos
Beneficios
Utilizacin bsica
Conclusin .................................................................................................................................................. 20
Pgina | 1
Introduccin
Definicin. Qu es Hardening?
Cada empresa u organizacin tiene al menos un servidor que se considera un recurso crtico,
ya sea un servidor de web, un servidor de base de datos, o un servidor de correo.
Desafortunadamente, la mayora de las aplicaciones de caja y sistemas operativos no protegen
adecuadamente sus activos de informacin. Debido a esto, las empresas necesitan endurecer
(hardening) sus sistemas para garantizar la proteccin de las aplicaciones, software, e
informacin sobre ellos.
El Hardening es una estrategia defensiva que protege contra los ataques removiendo servicios
vulnerables e innecesarios, cerrando huecos de seguridad y asegurando los controles de
acceso. Este proceso incluye la evaluacin de arquitectura de seguridad de la organizacin y la
auditora de la configuracin de sus sistemas, con el fin de desarrollar e implementar
procedimientos de consolidacin para asegurar sus recursos crticos.
Administracin de cuentas.
Administracin de software.
Configuracin de Firewall.
Configuracin de Auditoria.
Administracin de elementos compartidos.
Actualizaciones y Hotfixes.
Nap y Antivirus.
Pgina | 2
Server Manager
Server Manager es una consola MMC (Microsoft Management Console) ampliada que permite
ver y gestionar prcticamente toda la informacin y las herramientas que afectan a la
productividad del servidor. Server Manager dispone de comandos que permiten instalar o
eliminar roles de servidor y funcionalidades concretas, y ampliar roles ya instalados en el
servidor aadindole nuevos servicios de rol.
En Windows 2003 disponamos de la herramienta "Administracin de equipos". Sin embargo
se tena la falencia que en la misma
consola no se podan instalar
aplicaciones, extensiones, features,
administrar el firewall, etc. Para
todas estas tareas era necesaria la
apertura de otras ventanas, y en
algunos casos incluso,
necesitbamos otras aplicaciones.
Es por ello que en determinados
momentos la tarea de administrar
varios elementos a la vez sola
resultar tediosa.
Con "Server Manager" se resuelve
este problema, ya que la
herramienta se integra en las
nuevas consolas de administracin
MMC. De ste modo, en una misma
consola, podemos administrar una
parte muy importante de nuestro
sistema operativo, como son por
ejemplo la administracin de
usuarios y grupos, Windows Server
Backup, firewall de Windows con seguridad avanzada, log de sucesos, junto a otras.
Todo ello aparece ahora en una misma consola, sin necesidad de abrir otras aplicaciones o
ventanas. De igual modo, desde esta consola de trabajo, podremos redimensionar nuestros
discos, pasando por la creacin de tareas programadas o verificar que la realizacin de las
copias de seguridad se est llevando a efecto de la forma adecuada.
Pgina | 3
Administracin de cuentas
Primero debemos saber que durante la instalacin del sistema operativo se crean las cuentas
administrador e invitado.
Debemos manejar adecuadamente dichas cuentas:
Pgina | 4
Active Directory
Active Directory es una implementacin de servicio de
directorio en una red distribuida que permite mantener una
serie de objetos relacionados con componentes de una red,
como usuarios, grupos de usuarios, permisos y asignacin de
recursos y polticas de acceso.
En Active Directory se definen dominios, dentro del cual
existen diversos grupos y usuarios. Es imprescindible el
anlisis de los permisos asignados a los mismos de acuerdo a
los roles que cumplen en la empresa u organizacin (Ver
concepto de menor privilegio a continuacin).
Para evitar que usuarios
sin privilegios realicen
determinadas acciones
sobre el sistema se
definen directivas de
grupo que luego son
aplicadas a los grupos que
corresponda. En estas
directivas se puede
determinar acciones de las
ms diversas dando el
control necesario al
usuario. En la imagen se
mantiene resaltado como
ejemplo que esta directiva
permite a usuarios no
administradores recibir
notificaciones de las
actualizaciones de
Windows.
Pgina | 5
MenorPrivilegio
El principio de menor privilegio establece que un administrador slo debe dar a un objeto o
usuario los privilegios que necesita para completar sus tareas asignadas y no ms que eso.
Escritorio Remoto
A continuacin se enumeran tres puntos importantes respecto a las sesiones de escritorio
remoto que reducen las superficies de ataque.
1.
2.
3.
Pgina | 6
Recomendaciones
Herramientas
Sysinternals.
Sysinternals fue creado en 1996 por Mark Russinovich y Bryce Cogswell para alojar sus
utilidades de sistema avanzadas, junto con informacin tcnica. En julio de 2006, Microsoft
adquiri Sysinternals pero el mismo continuo siendo distribuido de forma gratuita
(http://technet.microsoft.com/es-ar/sysinternals/bb545021). Tanto profesionales como
desarrolladores de IT encontrarn utilidades en Sysinternals para facilitar la administracin y el
diagnstico de sistemas y aplicaciones de Windows, as como la solucin de problemas que
pudieran surgir al respecto.
Este paquete de utilidades se divide en categoras:
Debido a la gran cantidad de utilidades existentes destacamos dos que pueden ser de utilidad
para el tema tratado en esta seccin:
Process Explorer: muestra informacin sumamente detallada acerca de los procesos que se
han abierto o cargado. Pudiendo conocer que subprocesos abrieron o que libreras DLL
cargaron. Adems se puede realizar bsquedas por libreras o identificadores de procesos
determinados.
Pgina | 7
Pgina | 8
Configuracin de Firewall
Sabemos que el firewall es una parte importante en el servidor y adems lo es para toda la red
ya que nos permite bloquear accesos no autorizados, es por ello que para su configuracin
debe hacerse un profundo anlisis de las tareas y/o conexiones que se realizan a fin de
establecer polticas determinadas para la configuracin del mismo.
Recomendaciones
Es necesario que cada servidor cuente con su
firewall basado en host. Adems del que presente
la red, esto agrega mayor seguridad y control
personal al servidor. Este no debe contener reglas
o excepciones innecesarias.
Poltica por defecto: Bloqueo entrante y saliente.
Esta poltica debe contemplarse cuando se
configure desde cero el servidor y la red, puesto
que es difcil modificar una poltica permisiva
luego de que todo est en funcionamiento.
No permitir nunca una excepcin para un
programa desconocido.
Pgina | 9
Configuracin de auditoria
Qu significa auditar?
Se denomina auditar a la recopilacin y evaluacin de datos sobre informacin de una entidad,
en nuestro caso, nuestro servidor. El fin es determinar e informar sobre el grado de
correspondencia entre la informacin y los criterios establecidos, para derivar en un uso
eficiente del mismo, una buena seguridad y adecuarse a los objetivos planteados. La auditora
debe ser realizada por una persona competente e independiente.
Uno de los cambios ms significativos en Windows Server 2008 de auditora es que ahora no
slo puede auditar, sino tambin se puede ver cul es el valor nuevo y cul era el valor viejo.
Esto es importante porque ahora se puede decir por qu se ha cambiado y si algo no va bien,
hay mayores posibilidades de encontrar fcilmente lo que debe ser restaurado.
Otro cambio significativo es que en las versiones de servidores antiguas slo realizaban
auditoras de polticas dentro o fuera de la estructura de Active Directory. En Windows Server
2008, la directiva de auditora es ms granular.
Recomendaciones
Como buena prctica de seguridad se recomienda auditar los siguientes eventos:
Login.
Administracin de cuentas.
Acceso al servicio de directorio.
Cambios de polticas.
Uso de privilegios.
Seguimiento de procesos.
Eventos del sistema.
Pgina | 10
Para obtener informacin sobre los diferentes logs, existen herramientas o paginas como
http://www.eventid.net, la cual dado el ID del evento nos proporciona una informacin
detallada del mismo.
http://www.eventid.net
Pgina | 11
Para hacer oculto un recurso solo debe incorporarse el signo $ al final del nombre de recurso,
el mismo se encuentra dentro del Uso Compartido Avanzado, situado en la pestaa Compartir
de cada archivo o directorio.
Pgina | 12
Actualizaciones y hotfixes
Hotfixes
Los Hotfixes son paquetes que pueden incluir varios archivos y que sirven para resolver un bug
especfico dentro de una aplicacin del sistema.Por lo general suelen ser pequeos parches
diseados para resolver problemas de reciente aparicin, como son los agujeros de seguridad.
En Windows contamos con un sistema de gestin de paquetes, denominado Windows Update
que instala estos parches automticamente.
Las actualizaciones y revisiones son elementos clave a la hora de realizar un hardening de un
servidor. Los mecanismos de seguridad y parches deben estar en constante actualizacin
desde el primer da, para protegersecontra las vulnerabilidades.
Estos parches no se limitan al sistema operativo, sino tambin cualquier aplicacin que se aloja
en ellos. Los administradores deben verificar actualizaciones peridicamente en el sitios web
del fabricante. Windows Server 2008 ofrece un conjunto de herramientas que ayuda al
administrador con la actualizacin y revisin de sus servidores.
WSUS
Windows Server Update Services (WSUS) provee
actualizaciones de seguridad para los sistemas operativos
Microsoft. Mediante este, podemos manejar centralmente la
distribucin de parches a travs de actualizaciones automticas
a todas las computadoras de la red corporativa.
La infraestructura de WSUS permite que desde un servidor/es
central se descarguen automticamente los parches y
actualizaciones para los clientes en la organizacin, en lugar de
hacerlo desde el sitio web Microsoft Windows Update. Esto
mejora la seguridad ya que las computadoras no necesitan
conectarse individualmente a servidores externos a la
organizacin, sino que se conectan a servidores locales.
MBSA
Microsoft Baseline Security Analyzer (MBSA) es una herramienta fcil de usar diseada para
ayudar a determinar el estado de seguridad de un sistema segn las recomendaciones de
seguridad de Microsoft y ofrece orientacin de soluciones especficas. Mejora el proceso de
administracin de seguridad detectando los errores ms comunes de configuracin de
seguridad y actualizaciones de seguridad que faltan en dicho sistema.
Pgina | 13
NAP y Antivirus
NAP
El uso de antivirus tanto para el servidor como para las maquinas que se conectan a l, es un
factor indispensable. Pero muchas veces, en redes sumamente grandes y con acceso a
mltiples usuarios, es difcil llevar a cabo esta tarea.
Network Access Protection (NAP) es un nuevo grupo de componentes incluido en Windows
Server 2008 que constituyen una plataforma que garantiza que las mquinas clientes de una
red privada cumplen con los requisitos definidos por el administrador en materia de salud y
seguridad. Las polticas de NAP definen la configuracin exigida, el estado de actualizacin del
sistema operativo de un cliente y el software necesario. Por ejemplo, se puede exigir a los
equipos que dispongan de software antivirus con las ltimas actualizaciones de firmas de virus
instaladas, que el sistema operativo contenga las actualizaciones ms recientes y un firewall
personal instalado.
Al obligar al cumplimiento de estos requisitos de salud, NAP reduce muchos de los riesgos
ocasionados por mquinas mal configuradas que pueden estar expuestas a virus y otro tipo de
software malintencionado.
NAP aplica unos criterios y monitoriza la evaluacin del estado de las mquinas clientes
cuando intentan conectarse o comunicarse con la red corporativa. Si se determina que una
mquina no cumple los requisitos establecidos, se puede redirigir la conexin a una red
restringida que contiene los recursos necesarios para resolver las deficiencias que ha
detectado el proceso, pudiendo despus, una vez detectado que cumple los estndares
prefijados, conectarse con normalidad a la red corporativa.
Pgina | 14
Antivirus Gratuitos:
En esta rama de sistemas operativos las soluciones gratuitas son escasas, adems
considerando que el elemento a proteger es de suma importancia
dentro de una organizacin o empresa se debe comprobar estas
herramientas antes de utilizarlas.
avast! Server Edition: ofrece una de las protecciones gratuitas ms
poderosa para luchar contra las infecciones de virus en su servidor o
servidores. Funciona tanto en proteccin primaria de un servidor de
archivos en s, y, a travs de sus plug-ins opcionales, como la
proteccin de varios subsistemas del servidor, tales como el correo
electrnico o un firewall / proxy.
Pgina | 15
Una vez creada la directiva de seguridad con el SCW, puede usar la herramienta de lnea de
comandos Scwcmd para:
Pgina | 16
Tras la instalacin de funciones iniciales, el SCW se puede usar para ayudar a mantener la
seguridad de los servidores comprobando las vulnerabilidades, ya que las configuraciones del
servidor cambian con el tiempo, y realizando las actualizaciones que sean necesarias en la
configuracin de la directiva.
Otra importante utilidad es que est integrado con el Firewall de Windows con seguridad
avanzada, por lo que permite el trfico de red entrante o saliente para los importantes
servicios o caractersticas que requiere el sistema operativo. Si se requieren reglas de firewall
adicionales, puede usar el SCW para crearlas. Tambin es posible limitar el acceso modificando
las reglas de firewall proporcionadas. Esta capacidad hace ms fcil proteger la red de la
organizacin.
Todo esto puede realizarse de forma particular como explicamos a lo largo del informe, lo que
aumenta la dificultad por tener que conocer cada seccin del sistema operativo, pero brinda la
posibilidad de realizar configuraciones ms complejas y especficas que con el asistente SCW.
Pgina | 17
Server Core
Especificaciones
La instalacin de Windows Server ServerCore permite no tener todos los servicios que puede
tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposicin a
ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es ms
"incmodo" de administrar, al carecer de GUI (interfaz de usuario) y por lo tanto es necesario
para su administracin recurrir a la lnea de comandos y/o scripts.
Este servidor tiene slo las aplicaciones y servicios necesarios para su funcin, slo
determinados roles pueden ser asumidos. Dichos roles son:
Servidor de ficheros
Servidor de impresin
Controlador de dominio
Servidor DNS
Servidor DHCP
Servidor WINS
Requerimientos
Otros de los puntos muy importantes y a favor de Server Core es el poco consumo de
componentes que este necesita. Una instalacin Server Core se conforma con
aproximadamente un gigabyte de espacio de disco para ejecutar la instalacin, y
aproximadamente dos gigabyte para ejecutar operaciones posteriores a la instalacin, por lo
que con un disco rgido de quince gigabyte es suficiente. El procesador deber ser de al menos
1GHz, la memoria ram debe ser igual o superar los 512MB mientas que la placa de video podr
ser solo de 8MB.
Pgina | 18
Beneficios
Mantenimiento Reducido. Como slo se instala lo estrictamente necesario para contar con un
servidor manejable con DHCP, File, Print, DNS, Media Services, AD LDS, o Active Directory, una
instalacin de Server Core exige menos mantenimiento.
Superficie vulnerable a ataques, reducida. En el servidor se ejecutan menos servicios y
aplicaciones, lo que reduce notablemente cualquier tipo de ataque, sobre todo aquellos
causados por puertas traseras de aplicaciones extras al servidor.
Administracin reducida. En el servidor existen menos programas para administrar, por lo que
podemos dedicar ms tiempo a estos y configurarlos de una mejor manera.
Menos espacio de disco requerido. Como ya se dijo anteriormente es un SO que tiene una baja
demanda de hardware. Una instalacin de Server Core se conforma con aproximadamente 1
gigabyte (GB) de espacio de disco para ejecutar la instalacin, y aproximadamente 2 GB para
ejecutar operaciones posteriores a la instalacin.
Capacidad de automatizar procesos mediante scripts.
Utilizacin bsica
Algunos de los comandos ms utilizados en este sistema son los siguientes:
Pgina | 19
Conclusin
El desarrollo de este informe nos permiti arribar a la conclusin de que el proceso de
hardening puede ser tan complejo como uno quiera, nosotros abordamos una introduccin a
este dentro del marco de Windows Server, pero muchos conceptos quedaron fuera y otros
fueron analizados con menor profundidad debido a la complejidad mencionada.
Debido a que los sistemas se modifican y los atacantes descubren mas mtodos para
corromper el sistema en cuestin, el proceso de hardening es una herramienta que garantiza
reducir las superficies de ataque aun sin conocer cules podran ser los medios utilizados para
el ingreso a nuestro servidor, por lo tanto es una herramienta preventiva muy importante, la
cual no puede detener a todos los intrusos pero no puede faltar en ningn servidor que
requiera al menos un mnimo de proteccin.
A modo personal nos sirvi como marco introductorio en el uso de este sistema operativo, sus
cambios respecto de versiones hogareas, las ventajas y desventajas que presenta. Adems
tuvimos la oportunidad de configurar un Active Directory e interactuar con privilegios
aplicados a recursos de red y analizar Logs generados por el sistema. Todo lo mencionado fue
probado sobre maquinas virtuales que nos dieron la facilidad de la implementacin de una red
de varias computadoras de forma rpida y econmica, permitiendo realizar cada paso de
hardening antes de incorporarlo al informe y a la presentacin.
Pgina | 20