Controlar quién puede acceder a los servidores desde la red y a qué usuarios se les debe denegar este acceso es una acción básica en el proceso de hardening del sistema. Permitir a los usuarios acceder a un servidor desde la red a veces es fundamental para la funcionalidad de ciertos servicios o aplicaciones, aunque normalmente el precio es la disminución de la seguridad. Decidir quién puede acceder requiere un equilibrio entre seguridad y funcionalidad.
Hay prácticas recomendadas que indican a quién se debe permitir y a quién se debe denegar, pero seguirlas podría afectar negativamente las tareas delegadas.
Tenga en cuenta que hay diferentes recomendaciones para los usuarios que acceden al servidor desde la red y aquellos usuarios a quienes se les niega el acceso a través de la red. También hay diferentes recomendaciones para diferentes roles de servidor (ej. Controladores de Dominio, Servidores Miembro).
Este artículo cubrirá:
- Acceder a este Computador Desde la Red: cómo configurar y el impacto potencial de esta política.
- Negar el Acceso a este Computador Desde la Red: cómo configurar y el impacto potencial de esta política.
- ¿Cómo establecer el acceso y denegar el acceso a este computador desde la red sin causar daños?
ACCEDER A ESTE SERVIDOR DESDE LA RED:
La configuración de esta política controla qué usuarios pueden acceder a un dispositivo desde la red. Varios protocolos de red dependen de esta configuración. Es fundamental proteger esta configuración, limitando qué usuarios tendrán acceso, pero es importante generar un análisis de impacto antes de aplicar las reglas.
Cómo configurar la configuración “Acceder a este computador desde la red”:
Todos | Usuarios Autenticados | Controlador de Dominio Corporativo | Administradores | Nadie | |
End Point | ? | ? | |||
Servidor Miembro | ? | ? | |||
Controlador de Dominio | ? | ? | ? | ||
Ambiente de Alta-Seguridad | ? |
El impacto potencial de esta política:
Los componentes del sistema, como los servidores ASP.NET e IIS, podrían verse afectados por esta acción de protección. Determine qué cuentas de usuario deben tener acceso a la red para que estos componentes sigan funcionando correctamente.
Además, hay algunos protocolos de red que requieren acceso desde el computador:
- Protocolos de bloque de mensajes de servidor (SMB)
- NetBIOS
- Sistema Común de Archivos de Internet (CIFS)
- Modelo de Objetos Componentes Plus (COM+)
Antes de cambiar esta configuración, asegúrese de que no está utilizando estos protocolos.
DENEGAR EL ACCESO A ESTE SERVIDOR DESDE LA RED:
Esta política restringe la conexión de grupos de usuarios a un computador desde la red. Si no configura este parámetro correctamente permitirá a los usuarios acceder y modificar datos de forma remota. Se recomienda utilizar servidores de red para compartir archivos cuando sea necesario.
¡Nota! El derecho de usuario ‘Denegar el acceso a este computador desde la red’ sustituye al derecho de usuario “Acceder a este computador desde la red” en caso de que una cuenta esté sujeta a ambos.
Cómo configurar la configuración “Denegar el acceso a este computador desde la red”:
End Point: Denegar el acceso desde el inicio de sesión Anónimo, cuenta de Administrador local integrada, cuenta de Invitado local, Todas las cuentas de servicio
Servidor Miembro: Denegar el acceso de Invitados, cuentas Locales y miembros del grupo Administradores.
Controlador de Dominio- Denegar el acceso de los Invitados.
En entornos de alta seguridad, no debería ser necesario que los usuarios remotos accedan a los datos de un computador.
El impacto potencial de esta política:
Cambiar la configuración de un Servidor Miembro o de un servidor independiente al estado recomendado puede afectar a las aplicaciones que requieren la creación de una cuenta local de servicio en el grupo Administradores. Para resolver este problema, tiene la opción de convertir la aplicación para usar una cuenta de servicio hospedada en el dominio (domain-hosted) o cambiar el valor de esta configuración quitando la cuenta Local y un miembro del grupo Administradores. La primera opción es preferida cuando sea posible.
Si utiliza una conexión IPsec, se recomienda asignarla al grupo Autenticación de Usuarios.
Es posible que componentes como ASP.NET e IIS configuren este parámetro de forma diferente para que la funcionalidad no se vea afectada.
¿CÓMO ESTABLECER EL ACCESO Y DENEGAR EL ACCESO A ESTE COMPUTADOR DESDE LA RED SIN CAUSAR DAÑOS?
El mayor desafío para establecer quién puede acceder y a quién se debe negar el acceso a un ordenador desde la red es mejorar la seguridad sin causar daños a la funcionalidad de los componentes del sistema. Por lo tanto, antes de implementar cualquier cambio de estas directivas, debe realizar el análisis de impacto.
El mejor enfoque para realizar un análisis de impacto es utilizar herramientas de automatización de hardening para generar automáticamente informes de impacto. Las herramientas de automatización de hardening le permitirán omitir el procedimiento de análisis de impacto y generar un informe detallado sobre cuál será el impacto de cada cambio de directiva y por qué. Invertir en estas herramientas minimizará el riesgo de interrupciones de producción y le ahorrará tiempo y recursos invertidos en pruebas. Descubra cómo la solucion de automatización de hardening de CalCom puede generar automáticamente un informe de análisis de impacto.
Cuando no se utiliza la automatización, el análisis de impacto se realiza manualmente. Estas son las etapas por las que tendrá que pasar para generar un solo informe:
- Establecer un entorno de prueba que simule el entorno de producción.
- Implementar el cambio deseado en el entorno de prueba para ver si algún componente se ve afectado por él.
- Si encuentra que no puede implementar la directiva deseada, entender por qué y decidir sobre una nueva directiva y probarla nuevamente.
Este es un procedimiento crítico, pero muy complejo y un error en él puede tener resultados devastadores. Por lo tanto, se recomienda usar la automatización para este procedimiento y para toda la tarea de hardening.