Las mejores prácticas están cambiando en función del entorno y la funcionalidad del servidor. Las líneas de base del CIS cubren la mayoría de los escenarios relevantes al abordar la primera etapa de su proyecto de hardening.

 

Microsoft ha estado haciendo algunos trabajos relacionados con la configuración predeterminada de seguridad , pero todavía existe una gran brecha entre las mejores prácticas de seguridad (es decir, benchmarks comunes) y la configuración predeterminada de Windows.  Lograr una postura básica de hardening requiere la asignación de tiempo, recursos y planificación por parte de los equipos de TI; pero cada día que pasa es un día en que sus servidores son vulnerables.

 

Analicemos las primeras 10 etapas para su proyecto de hardening

 

Qué Por qué
1. Configuración del Usuario Proteja sus credenciales.
2. Configuración de Red Establecer comunicaciones.
3. Configuración de Características y Roles Añade lo que necesites, elimina lo que no necesites.
4. Instalación de Actualizaciones Parchar/remediar vulnerabilidades.
5. Configuración NTP Evite la divergencia del reloj.
6. Configuración del Firewall Minimice su huella externa.
7. Eliminar Configuración de Acceso Refuerce (hardenizar) las sesiones de administración remota.
8. Configuración de Servicios Minimice la superficie de ataque.
9. Logging y monitoreo Conozca lo que está sucediendo en su sistema.
10. Hardening adicional Proteja el sistema operativo y otras aplicaciones.

 

1. CONFIGURACIÓN DEL USUARIO


Las versiones modernas de Windows Server lo obligan a hacer esto, pero asegúrese de que la contraseña de la cuenta de administrador local se cambie a algo seguro. Además, deshabilite el administrador local siempre que sea posible. Hay muy pocos escenarios en los que se requiere esta cuenta y, debido a que es un objetivo popular para un ataque, debe deshabilitarse por completo para evitar que se explote.

 

Con esa cuenta fuera del camino, debe configurar una cuenta de administrador para usar. Puede agregar una cuenta de dominio adecuada, si el servidor es miembro de un Active Directory (AD), o crear una nueva cuenta local y colocarla en el grupo de administradores. De cualquier manera, debería considerar el uso de una cuenta que no sea de administrador para manejar su negocio siempre que sea posible, solicitando la elevación usando un equivalente sudo de Windows, “Ejecutar Como (Run As)” e ingresar la contraseña de la cuenta de administrador cuando se le solicite.

 

Compruebe que la cuenta de invitado local esté deshabilitada donde sea aplicable. Ninguna de las cuentas integradas es segura, invitado quizás menos aún, así que simplemente cierre esa puerta. Vuelva a comprobar los grupos de seguridad para asegurarse de que todos están donde se supone que deben estar (por ejemplo, agregar cuentas de dominio al grupo de usuarios de escritorio remoto).

 

No olvide proteger sus contraseñas. Use una política de contraseñas para asegurarse de que las cuentas del servidor no se vean comprometidas. Si el servidor es miembro de AD, la política de contraseñas se establecerá al nivel de dominio en la Política Predeterminada de Dominio. Los servidores independientes se pueden configurar en el editor de políticas local. De cualquier manera, una buena política de contraseñas al menos establecerá lo siguiente:

 

  • Requisitos de complejidad y longitud: qué tan segura debe ser la contraseña
  • Caducidad de la contraseña: cuánto tiempo es válida la contraseña
  • Historial de contraseñas: cuánto tiempo pasará hasta que se puedan reutilizar las contraseñas anteriores
  • Bloqueo de cuenta: cuántos intentos fallidos de contraseña antes de que se suspenda la cuenta

 

Las contraseñas antiguas representan muchos hacks exitosos, así que asegúrese de protegerse contra estos requiriendo cambios regulares de contraseña.

 

2. CONFIGURACIÓN DE RED


Los servidores de producción deben tener una IP estática para que los clientes puedan encontrarlos de manera confiable. Esta IP debe estar en un segmento protegido, detrás de un firewall. Configure al menos dos servidores DNS para tener redundancia y verifique la resolución de nombres mediante nslookup desde línea de comandos. Asegúrese de que el servidor tenga un registro A válido en DNS con el nombre que desee, así como un registro PTR para búsquedas inversas. Tenga en cuenta que los cambios de DNS pueden tardar varias horas en propagarse a través de internet, por lo que las direcciones de producción deben establecerse mucho antes de una ventana de puesta en marcha. Por último, deshabilite cualquier servicio de red que el servidor no vaya a utilizar, como IPv6. Esto depende de su entorno y cualquier cambio aquí debe ser bien probado antes de entrar en producción.

 

3. CONFIGURACIÓN DE CARACTERÍSTICAS Y ROLES DE WINDOWS


Microsoft usa roles y características para administrar paquetes de SO. Los roles son básicamente una colección de características diseñadas para un propósito específico, por lo que generalmente los roles se pueden elegir si el servidor se ajusta a uno de ellos, y luego las características se pueden personalizar desde allí. Dos cosas igualmente importantes que debe hacer son 1) asegurarse de que todo lo que necesita esté instalado. Puede que se trate de una versión de .NET Framework o IIS, pero sin las piezas correctas, sus aplicaciones no funcionarán. 2) Desinstale todo lo que no necesite. Los paquetes extraños extienden innecesariamente la superficie de ataque del servidor y deben eliminarse siempre que sea posible. Esto es igualmente cierto para las aplicaciones predeterminadas instaladas en el servidor que no se utilizarán. Los servidores deben diseñarse teniendo en cuenta la necesidad y eliminar todo lo superfluo para que las piezas necesarias funcionen de la manera más fluida y rápida posible.

4. CONFIGURACIÓN NTP


Una diferencia horaria de solo 5 minutos romperá por completo los inicios de sesión de Windows y varias otras funciones que dependen de la seguridad kerberos. Los servidores que son miembros de un dominio tendrán automáticamente su tiempo sincronizado con un controlador de dominio al unirse al dominio, pero los servidores independientes deben tener NTP configurado para sincronizarse con una fuente externa para que el reloj siga siendo preciso. Los controladores de dominio también deben tener su tiempo sincronizado con un servidor de tiempo, lo que garantiza que todo el dominio permanezca dentro del rango operativo del tiempo real.

 

5. CONFIGURACIÓN DEL FIREWALL


Si está construyendo un servidor web, por ejemplo, solo querrá que los puertos web (80 y 443) se abran a ese servidor desde Internet. Si los clientes anónimos de Internet pueden hablar con el servidor en otros puertos, eso abre un riesgo de seguridad enorme e innecesario. Si el servidor tiene otras funciones, como escritorio remoto (RDP) para administración, solo deben estar disponibles a través de una conexión VPN, lo que garantiza que las personas no autorizadas no puedan explotar el puerto a voluntad desde la red.

 

El firewall de Windows es un firewall por software, de buen nivel e integrado, que permite la configuración del tráfico basado en puertos desde el sistema operativo. En un servidor independiente, o en cualquier servidor sin un firewall de hardware frente a él, el firewall de Windows al menos proporcionará cierta protección contra los ataques basados desde la red al limitar la superficie de ataque a los puertos permitidos. Dicho esto, un firewall de hardware siempre es una mejor opción porque descarga el tráfico a otro dispositivo y ofrece más opciones para manejar ese tráfico, dejando que el servidor realice su deber principal. Cualquiera que sea el método que utilice, el punto clave es restringir el tráfico solo a las vías necesarias.

 

6. ELIMINAR LA CONFIGURACIÓN DE ACCESO


Como se mencionó anteriormente, si usa RDP, asegúrese de que solo sea accesible a través de VPN si es posible. Dejarlo abierto a Internet no garantiza que será pirateado, pero ofrece a los piratas informáticos potenciales otra vía para incursionar en su servidor.

 

Asegúrese de que RDP solo sea accesible para usuarios autorizados. De forma predeterminada, todos los administradores pueden usar RDP una vez que está habilitado en el servidor. Otras personas pueden unirse al grupo Usuarios de Escritorio Remoto para obtener acceso sin convertirse en administradores.

 

Además de RDP, varios otros mecanismos de acceso remoto como  Powershell y SSH deben ser cuidadosamente bloqueados si se usan, limitando el acceso a ellos solo dentro de un entorno VPN. Telnet nunca debe usarse bajo ningún escenario, ya que pasa información en texto sencillo (desprotegido) y es demasiado inseguro de varias maneras. Lo mismo ocurre con FTP. Use SFTP o SSH (desde una VPN) siempre que sea posible y evite por completo cualquier comunicación no cifrada.

 

7. CONFIGURACIÓN DE SERVICIOS

 

Windows Server tiene un conjunto de servicios predeterminados que se inician automáticamente y se ejecutan en segundo plano (background). Muchos de estos son necesarios para que el sistema operativo funcione, pero algunos no lo son y deben deshabilitarse si no están en uso. Siguiendo la misma lógica que el firewall, queremos minimizar la superficie de ataque del servidor deshabilitando todo lo que no sea la funcionalidad principal. Las versiones anteriores de Windows Server tienen más servicios innecesarios que los más nuevos, así que revise cuidadosamente cualquier servidor 2008 o 2003.

 

Los servicios importantes deben configurarse para que se inicien automáticamente para que el servidor pueda recuperarse sin interacción humana después de un error. Para aplicaciones más complejas, aproveche la opción Automático (Inicio Retrasado) para dar a otros servicios la oportunidad de ponerse en marcha antes de lanzar servicios de aplicaciones intensivas. También puede configurar dependencias de servicio en las que un servicio esperará a que otro servicio, o conjunto de servicios, se inicie correctamente antes de iniciarse. Las dependencias también le permiten detenerse e iniciar una cadena completa a la vez, lo que puede ser útil cuando el tiempo es importante.

 

Por último, cada servicio se ejecuta en el contexto de seguridad de un usuario específico. Para los servicios predeterminados de Windows, a menudo se trata de cuentas de Sistema Local, Servicio Local o Servicio de Red. Esta configuración puede funcionar la mayor parte del tiempo, pero para los servicios de aplicaciones y usuarios, las mejores prácticas recomiendan la configuración de cuentas específicas de servicio, ya sea localmente o en AD, para administrar estos servicios con la mínima cantidad de acceso necesaria. Esto evita que los actores malintencionados que han comprometido una aplicación extiendan ese compromiso a otras áreas del servidor o dominio.

 

8. LOGGING Y MONITOREO


Finalmente, debe asegurarse de que sus logs y monitoreo estén configurados y capturando los datos que desea para que, en caso de un problema, pueda encontrar rápidamente lo que necesita y remediarlo. El log funciona de manera diferente dependiendo de si su servidor es parte de un dominio. Los controladores de dominio procesan los inicios de sesión de dominio y, como tales, tienen los registros de auditoría de esa actividad, no el sistema local. Los servidores independientes tendrán auditorías de seguridad disponibles y se pueden configurar para mostrar aprobaciones y/o fallas.

 

Compruebe el tamaño máximo de sus logs y manténgalos en un tamaño adecuado. Los valores predeterminados de los logs son casi siempre demasiado pequeños para supervisar aplicaciones de producción complejas. Como tal, el espacio en disco debe asignarse durante la construcción del servidor para el log, especialmente para aplicaciones como MS Exchange. Se debe realizar una copia de seguridad de los logs de acuerdo con las políticas de retención de su organización y, a continuación, borrarlos para dejar espacio para eventos más actuales.

 

Considere una solución centralizada de administración de logs si el manejo de logs individualmente en los servidores se vuelve abrumador. Al igual que un servidor syslog en el mundo Linux, un visor de eventos centralizado para servidores Windows puede ayudar a acelerar los tiempos de solución de problemas y corrección para entornos medianos y grandes.

 

Establezca una línea base de rendimiento y configure umbrales de notificación para métricas importantes. Ya sea que use el monitor integrado de rendimiento de Windows o una solución de terceros que use un cliente o SNMP para recopilar datos, debe recopilar información de rendimiento en cada servidor. Cosas como el espacio disponible en disco, el uso del procesador y la memoria, la actividad de la red e incluso la temperatura deben analizarse y registrarse constantemente para que las anomalías puedan identificarse y tratarse fácilmente. Este paso a menudo se omite debido a la naturaleza agitada de los programas de producción, pero a la larga pagará dividendos porque la solución de problemas sin líneas de base establecidas es básicamente disparar en la oscuridad.

 

9. HARDENING ADICIONAL


Microsoft proporciona analizadores de mejores prácticas basados en la función y la versión del servidor que pueden ayudarle a reforzar aún más sus sistemas mediante el análisis y la formulación de recomendaciones.

 

Aunque el Control de Cuentas de Usuario (UAC) puede ser molesto, sirve el importante propósito de abstraer los ejecutables del contexto de seguridad del usuario que está en sesión. Esto significa que incluso cuando haya iniciado sesión como administrador, UAC evitará que las aplicaciones se ejecuten como si fuera usted sin su consentimiento. Esto evita que el malware se ejecute en segundo plano (background) y que los sitios web maliciosos inicien instaladores u otro código. Deje UAC encendido siempre que sea posible.

 

Los consejos de esta guía ayudan a proteger el sistema operativo Windows, pero cada aplicación que ejecute también debe reforzarse. Las aplicaciones comunes de servidor de Microsoft, como MS SQL y Exchange, tienen mecanismos de seguridad específicos que pueden ayudar a protegerlas, asegúrese de investigar y ajustar cada aplicación para obtener la máxima resiliencia. Si está construyendo un servidor web, también puede seguir nuestra guía de hardening para mejorar su seguridad frente a Internet.

 

10. AUTOMATIZACIÓN


Definir su estado ideal es un primer paso importante para la administración del servidor.  La Solución de Hardening CHS de CalCom aprenderá su red y le informará qué regla de política resultará en una interrupción de la producción y por qué. A continuación, implementará automáticamente la política deseada en toda su infraestructura, desde un punto de administración centralizado. Finalmente, CHS mantendrá sus activos continuamente endurecidos, evitando desviaciones de cumplimiento que a menudo se pierden de vista y que a menudo conducen a fallas de auditoría luego de una infiltración.

 

Request a Demo ES

You might be interested