Securización de Windows

Server 2003

Iván González Vilaboa

Microsoft MVP
Windows Server - IIS
Agenda
Seguridad en Windows Server 2003
Guía de Seguridad de Windows Server 2003
Amenazas a la Seguridad y Contramedidas
Conclusiones
Recursos adicionales
 Seguridad en el Diseño Seguridad por Defecto
 Revisión del Código  Un 60% menos de área de
 Re-ingeniería de IIS ataque superficial comparado
con Windows NT 4.0 SP3
 Modelo de Riesgos
 Servicios deshabilitados por
 Inversión de $200M defecto
 Servicios funcionando con el
mínimo de privilegios

Seguridad en el Despliegue Formación

 Guía de Seguridad de
Windows Server 2003
 Comunidades
 Automatización de la
 Webcast
Configuración  Conferencias
 Infraestructura de  TechNet
Monitorización
 Orientación Preceptiva
Porque no a la Securización
por defecto
La Securización debe ir en concordancia con el
entorno
Una solución no sirve para todos los casos
Rompe con aplicaciones existentes
Mala experiencia del usuario
Generalmente las configuraciones por defecto
son apropiadas para redes en las que se confía
Guía de Seguridad de Windows
Server 2003 : Pautas de Diseño
Proporciona una guía de diseño comprensiva
y autorizada, para:
Usuarios Finales
Administradores de Sistemas
Administradores de Seguridad
Las Pautas:
Probadas en ejemplos del mundo real
Relevantes y consiguen una verdadera seguridad
Precisas
Securización del Servidor:
Domain Controllers

Infrastructure Servers

Hardening Procedures
File & Print Servers

Securing Domain Member Server Internet Information Applied through

Infrastructure Baseline Policy Servers Incremental
Group Policy

RADIUS Servers

PKI Servers

Bastion Servers

Aplicar a todos los servidores Relevantes en la organización

Infraestructura de Dominio
Securing Domain
Infrastructure

Establecer límites de Seguridad

La Seguridad comienza en la Infraestructura del Dominio
Bosque vs. Dominio
Verdadero Límite de Seguridad = Bosque
El Dominio es un límite de gestión para la administración
Distinciones Administrativas
Los administradores empresariales son simplemente:
Administradores empresariales
Delegar la Administración
Estructura de Organización administrativa
Ayuda para la administración y Políticas de Grupo
Políticas de Base
Member Server
Baseline Policy

Plantilla de la seguridad de Base – Políticas de Grupo

para todos los servidores miembros
Políticas de Seguridad
Monitorizar acceso a Objetos, Inicio y fin de Sesión, Cambio de
Políticas
Asignación de derechos de Usuarios
Controlar inicios de sesión en el servidor y funcionalidad de los
usuarios
Consejo: Use “Restringir inicio de sesión en red” para evitar que los
servicios realicen inicio de sesión remoto
Opciones de Seguridad
Aumente el grado de compatibilidad con LM, Restrinja accesos
anónimos …
Registro de Eventos
Establecer tamaño de los logs y permisos de acceso
Servicios del Sistema
Deshabilitar y eliminar servicios irrelevantes
demo

Cambiando el Orden
de Búsqueda de las
DLL
Nota: Esta funcionalidad está habilitada
por defecto
 Domain Controllers

Securizando CDs
Los roles más importantes del Servidor, necesitan
un mayor aislamiento físico
Políticas base de un CD – Plantillas de PG
Duplicar las políticas de la mayoría de los servidores
miembros
Un mayor control en la asignación de derechos de
usuarios
Configurar los servicios del sistema específicos del CD –
asegura consistencia
Consideraciones de Seguridad adicionales
Cambio de ubicación de la base de datos del CD y logs
Aumentar el tamaño de los logs y registro de eventos
Proteger el DNS:
Actualizaciones dinámicas seguras
Limitar las transferencias de zona
Bloquear los puertos con filtros
Consejo: No olvidarse de configurar nodefaultexempt
 Infrastructure Servers

Securizando los Servidores de

Infraestructura
Proporcionando Servicios de DNS y WINS
Fundamentos: Políticas de base de los
servidores miembros
Infraestructura Incremental de Política de grupo
Ajustar Servicios de los Sistemas de Infraestructura
Consideraciones de seguridad adicionales
Configurar el registro de DHCP
Limitar el tamaño de los logs (Adición al registro de DWORD)
Limitar permisos de acceso a los Administradores
Bloqueo de puertos con Filtros : Servidores de
Infraestructura
No securiza completamente el Sistema durante el arranque
 File & Print Servers

Securizando Servidores de Archivo e

Impresión
Políticas de Grupo para archivos e Impresión
Fundamentos: Política de base de los servidores miembros
PG Incremental
Modificar Opciones de Seguridad
Servidores de Impresión: Deshabilitar el firmado digital de las
comunicaciones
Ajuste de servicios del Sistema
Servidores de Archivos: Habilitar DFS y Replicación de archivos
Servidor de Impresión: Habilitar “Spooler” de impresión

Consideraciones de Seguridad Adicionales

Bloqueo de puertos con filtros IPSec
Utilizar Servicios de Teminal Server para la gestión Remota
Las Herramientas de gestión pueden tener necesidades específicas de
puertos
Ejemplo: Microsoft Operations Manager
 Internet Information
Servers

Securizando Servidores IIS

Seguro por defecto – IIS no se instala por defecto
La instalación inicial por defecto es una configuración “bloqueada”
Políticas de grupo del Servidor Web
Fundamentos: Política de base de para los servidores miembros
Modificar los servicios del Sistema

Consideraciones de Seguridad adicionales

IIS
Instalación únicamente de los componentes de IIS requeridos
Habilitar las extensiones esenciales de Servicios Web
Conceder permisos a Websites específicos
Configurar el registro de IIS

Tener un disco dedicado para el contenido Web

Establecer niveles de acceso a archivos
Filtrado de Puertos
Consejo: Configurar el filtrado de tráfico saliente para servidores IIS en la
interfaz externa
 RADIUS Servers

Securizando IAS & PKI PKI Servers

Prestar especial atención al servidor de certificados raíz

Políticas de Grupo de Radius/PKI
Fundamentos: Política de base para los servidores miembros
Opciones de Seguridad
Servidores de Certificado
Usar algoritmo para encriptación, hash y firma compatible con FIPS
Ajuste de los servicios del Sistema

Consideraciones de Seguridad Adicionales

Establecer ACLs en las carpetas del servidor de certificados
Establecer auditoría de acceso a nivel de archivo
Separar Base de Datos de Certificados y logs
 Bastion Servers

Securizando los Host Baluarte

Servidores accesibles públicamente
Política de Grupo de los Host Baluarte
Raramente son miembros del Dominio: Requieren políticas locales
Fundamentos: política de base para los servidores miembros
Consejo: No permitir inicio de sesión en red a cuentas “sensibles”
Ajuste de servicios del Sistema
Desactivar:
Actualizaciones automáticas y agente de Backup “intelligent transfer”
Cliente DHCP y netlogon
Plug & play
Administración remota y registro
Servidor y servicios de Terminal
Consideraciones de Seguridad adicionales
Protocolos de red esenciales
Deshabilitar SMB
Deshabilitar netbios sobre TCP/IP
demo

Restringir Acceso a
Usuarios Anónimos
Guía para mitigar Amenazas y
Riesgos
Usar esta guía
La mayoría de ajustes relacionados con la seguridad
tienen lugar en las políticas de grupo
No todas las contramedidas están disponibles a través de
gpo’s: comprender la edición del registro
Un incremento de la seguridad a manudo implica
restar funcionalidad
Mitigar las vulnerabilidades más conocidas
Denegación de Servicio – securización de la pila
Políticas de Contraseñas – proporcionar alta seguridad
Logging – seguimiento de ataques con éxito y fallidos
Disminuir el área expuesta a ataques!
Instalación por Defecto: Mitigar los
ataques DoS
Mitigar los riesgos de DoS
Registro: proteción de ataque synflood
Vulnerabilidad – ataque simple de synflood
Contramedidas – Acelerar el timeout de las conexiones
cuando se detectan ataques de synflood
Registro: tiempo de vida
Vulnerabilidad – Numerosas conexiones acaban con los
recursos
Contramedidas – Establecer un máximo de tiempo de vida
para conexiones inactivas
Políticas de Contraseñas Seguras
Establecer una seguridad alta para las contraseñas
Políticas de grupo: forzar el uso de histórico de contraseñas
Vulnerabilidades – reutilización frecuente de contraseñas reduce la
efectividad de políticas empresariales de contraseñas
Contramedidas – Establecer un histórico de 24 contraseñas
Políticas de grupo: caducidad de las contraseñas
Vulnerabilidades – ataques de fuerza bruta y uso fraudulento de
contraseñas obtenidas ilícitamente
Contramedidas – establecer un tiempo para la caducidad de las
contraseñas de entre 30 y 60 días
Políticas de grupo: requisitos de complejidad en las contraseñas
Vulnerabilidades – las contraseñas alfanuméricas son fáciles de
crackear
Contramedidas
Mayor longitud = mejor
Usar al menos 3 de las 5 métodos de complejidad
Pensar la contraseña
demo

Eliminar los LMHashes

Comprehensive Logging
Establecer políticas de auditoría
Características de registro
Vulnerabilidades – Generalmente es preferible conocer cuando se
producen los ataques
Contramedidas – Activar todas las opciones disponibles de registro
Políticas de Grupo: métodos de mantenimiento de los logs de
eventos
Vulnerabilidades – Debe existir un equilibrio entre tamaño de los log y
mantener un histórico relevante de los log
Contramedidas – Sobrescribir los logs cuando sea preciso, usar un
conjunto de históricos de logs
Registro: Delegar el acceso a registro de eventos
Vulnerabilidades – Borrado no intencionado o encubrimiento
malicioso de los datos de los logs
Contramedidas – Permitir acceso de sólo lectura a determinado
personal técnico, acceso completo únicamente a operadores en los
que se confía
Resumen
Las configuraciones por defecto son apropiadas
para entornos en los que se confía
Guía de Securización de Windows Server 2003
Punto clave: La seguridad óptima requiere un
profundo conocimiento del entorno
Consejos
Denegar el inicio de sesión en red protege las
cuentas sensibles
NoDefaultExempt asegura que las políticas de
filtrado son efectivas
SafeDllSearchMode previene de Nimda
RestrictAnonymous protege la información
sensible
Los filtros para tráfico saliente crean un
compromiso adicional de seguridad
NoLMHash incrementa exponencialmente el
tiempo necesario para “crackear” una
contraseña
 Recursos de Microsoft
Localizar un partner que le ayuden con
la seguridad en Sistemas Micrososft:
Microsoft Certified Providers Directory
http://mcspreferral.microsoft.com/
Microsoft Consulting Services
http://www.microsoft.com/BUSINESS/services/mcs.asp
Para información técnica:
Security information on Microsoft Produts
http://www.microsoft.com/technet/security
Windows Server 2003
http://www.microsoft.com/windowsserver2003/
Threats and Countermeasures in Windows
Server 2003 and Windows XP
http://go.microsoft.com/fwlink/?LinkId=15160
MBSA
http://www.microsoft.com/technet/security/tool
s/Tools/mbsahome.asp
Para consultas de preparación
y certificación:
Microsoft Training and Certification
http://www.microsoft.com/training
Para preparación y orientación sobre
temas de Seguridad:
Securing Windows 2000 Server Security
Solution
http://www.microsoft.com/technet/security/pr
odtech/Windows/SecWin2k/Default.asp
Windows 2000 Security Hardening Guide
http://www.microsoft.com/technet/security/pr
odtech/Windows/Win2kHG.asp
Windows Server 2003 Security Guide
http://go.microsoft.com/fwlink/?LinkId=14846
Windows XP Security Guide
http://go.microsoft.com/fwlink/?Linkid=14840
Recursos de la Comunidad

Recursos de la Comunidad
http://www.microsoft.com/communities/default.mspx

Most Valuable Professional (MVP)

http://www.mvp.support.microsoft.com/

Grupos de noticias
Mantenga conversaciones online con grupos de noticias de Microsoft de
todo el mundo
http://www.microsoft.com/communities/newsgroups/default.mspx

Grupos de usuarios
Mantenga encuentros y aprenda con sus iguales
http://www.microsoft.com/communities/usergroups/default.mspx
 Lecturas recomendadas

TÍTULO Idioma

Microsoft® Windows® Security

Resource Kit Inglés
ISBN: 0-7356-1868-2

Web Application Security

Assessment
Inglés
ISBN: 0-7356-1946-8
 © 2004 Microsoft Corporation. Todos los derechos reservados.
This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.