Post on 02-Aug-2015
description
Hardening Windows Server 2008
Como obtener una configuración robusta de un servidor que ejecuta Windows Server 2008.
19/08/2011
Página | 1
HARDENING
Windows Server 2008
Contenido Introducción ................................................................................................................................................. 2
a. Definición b. Objetivos c. Pasos básicos
Server Manager ............................................................................................................................................ 3
Administración de cuentas ........................................................................................................................... 4
a. Active Directory b. Menor Privilegio c. Escritorio Remoto
Administración de Software Innecesario ..................................................................................................... 7
a. Recomendaciones b. Herramientas
Configuración de Firewall ............................................................................................................................. 9
a. Características en Windows Server 2008 b. Recomendaciones
Configuración de auditoria ......................................................................................................................... 10
a. ¿Qué significa auditar? b. Recomendaciones.
Administración de elementos compartidos ............................................................................................... 12
a. ¿Qué compartir? b. Uso de elementos compartidos ocultos
Actualizaciones y hotfixes .......................................................................................................................... 13
a. Hotfixes b. WSUS c. MBSA
NAP y Antivirus ........................................................................................................................................... 14
a. NAP b. Recomendaciones sobre antivirus
Configuración de políticas de seguridad .................................................................................................... 16
Server Core ................................................................................................................................................. 18
a. Especificaciones b. ¿Por qué tener una instalación minina de Windows Server 2008? c. Requerimientos d. Beneficios e. Utilización básica
Conclusión .................................................................................................................................................. 20
Página | 2
Introducción
Definición. ¿Qué es Hardening?
Cada empresa u organización tiene al menos un servidor que se considera un recurso crítico,
ya sea un servidor de web, un servidor de base de datos, o un servidor de correo.
Desafortunadamente, la mayoría de las aplicaciones de caja y sistemas operativos no protegen
adecuadamente sus activos de información. Debido a esto, las empresas necesitan endurecer
(“hardening”) sus sistemas para garantizar la protección de las aplicaciones, software, e
información sobre ellos.
El Hardening es una estrategia defensiva que protege contra los ataques removiendo servicios
vulnerables e innecesarios, cerrando “huecos” de seguridad y asegurando los controles de
acceso. Este proceso incluye la evaluación de arquitectura de seguridad de la organización y la
auditoría de la configuración de sus sistemas, con el fin de desarrollar e implementar
procedimientos de consolidación para asegurar sus recursos críticos.
Objetivos. ¿Qué queremos conseguir?
Proteger el sistema contra acceso no autorizado.
Prevenir el mal uso del sistema de los usuarios.
Prevenir perdida de información.
Inmunizar el sistema contra ataques conocidos.
Maximizar el tiempo necesario para llevar acabo un ataque.
Pasos básicos para realizar hardening en Windows Server 2008
En este informe se desarrollaran en líneas generales los pasos mencionados a continuación:
Administración de cuentas.
Administración de software.
Configuración de Firewall.
Configuración de Auditoria.
Administración de elementos compartidos.
Actualizaciones y Hotfixes.
Nap y Antivirus.
Página | 3
Server Manager
Server Manager es una consola MMC (Microsoft Management Console) ampliada que permite
ver y gestionar prácticamente toda la información y las herramientas que afectan a la
productividad del servidor. Server Manager dispone de comandos que permiten instalar o
eliminar roles de servidor y funcionalidades concretas, y ampliar roles ya instalados en el
servidor añadiéndole nuevos servicios de rol.
En Windows 2003 disponíamos de la herramienta "Administración de equipos". Sin embargo
se tenía la falencia que en la misma
consola no se podían instalar
aplicaciones, extensiones, features,
administrar el firewall, etc. Para
todas estas tareas era necesaria la
apertura de otras ventanas, y en
algunos casos incluso,
necesitábamos otras aplicaciones.
Es por ello que en determinados
momentos la tarea de administrar
varios elementos a la vez solía
resultar tediosa.
Con "Server Manager" se resuelve
este problema, ya que la
herramienta se integra en las
nuevas consolas de administración
MMC. De éste modo, en una misma
consola, podemos administrar una
parte muy importante de nuestro
sistema operativo, como son por
ejemplo la administración de
usuarios y grupos, Windows Server
Backup, firewall de Windows con seguridad avanzada, log de sucesos, junto a otras.
Todo ello aparece ahora en una misma consola, sin necesidad de abrir otras aplicaciones o
ventanas. De igual modo, desde esta consola de trabajo, podremos redimensionar nuestros
discos, pasando por la creación de tareas programadas o verificar que la realización de las
copias de seguridad se está llevando a efecto de la forma adecuada.
Página | 4
Administración de cuentas
Primero debemos saber que durante la instalación del sistema operativo se crean las cuentas
administrador e invitado.
Debemos manejar adecuadamente dichas cuentas:
Eliminar las cuentas no usadas.
Deshabilitar la cuenta de invitado.
Renombrar la cuenta de administrador.
Usar contraseñas robustas.
Análisis del uso del escritorio remoto
La cuenta de Invitado puede
ser deshabilitada desde el
administrador del servidor
como se muestra en la
siguiente imagen:
El cambio de nombre de la conocida cuenta administrador hace más difícil que personas
no autorizadas averigüen la combinación de contraseña y nombre de los usuarios con más
privilegios.
Página | 5
Active Directory
Active Directory es una implementación de servicio de
directorio en una red distribuida que permite mantener una
serie de objetos relacionados con componentes de una red,
como usuarios, grupos de usuarios, permisos y asignación de
recursos y políticas de acceso.
En Active Directory se definen dominios, dentro del cual
existen diversos grupos y usuarios. Es imprescindible el
análisis de los permisos asignados a los mismos de acuerdo a
los roles que cumplen en la empresa u organización (Ver
concepto de menor privilegio a continuación).
Para evitar que usuarios
sin privilegios realicen
determinadas acciones
sobre el sistema se
definen “directivas de
grupo” que luego son
aplicadas a los grupos que
corresponda. En estas
directivas se puede
determinar acciones de las
más diversas dando el
control necesario al
usuario. En la imagen se
mantiene resaltado como
ejemplo que esta directiva
permite a usuarios no
administradores recibir
notificaciones de las
actualizaciones de
Windows.
Página | 6
MenorPrivilegio
El principio de menor privilegio establece que un administrador sólo debe dar a un objeto o
usuario los privilegios que necesita para completar sus tareas asignadas y no más que eso.
No conceder más permisos que los necesarios a grandes grupos de usuarios o
público/cualquiera.
No conceder más permisos que los necesarios a grupos pequeños de usuarios o usuarios
específicos.
Preferir conceder permisos a grupos pequeños de usuarios o usuarios específico, en vez de
concederlos a grandes grupos de usuarios o público/cualquiera. Es mejor que unos pocos
usuarios tengan más permisos, que muchos usuarios tengan mayor permiso
Escritorio Remoto
A continuación se enumeran tres puntos importantes respecto a las sesiones de escritorio
remoto que reducen las superficies de ataque.
1. Se debe deshabilitar en caso de no ser necesario.
2. De lo contrario se deberá restringir los usuarios que pueden ingresar y la cantidad de sesiones
por usuario, esto se debe a que permitiendo solo un inicio a la vez para un mismo usuario, si
alguien obtuvo de forma ilegitima la contraseña e intenta ingresar no podrá hacerlo si el
usuario legitimo tiene abierta una sesión, de caso contrario si este no la tiene podrá darse
cuenta de que alguien más está conectado a su cuenta cuando intente ingresar.
3. Se podrá además incorporar reglas en el firewall para determinar las ubicaciones desde las
cuales se puede establecer la conexión, esto reduce en gran medida los ataques y es una regla
que no debe pasarse por alto.
Página | 7
Administración de Software Innecesario
Sabemos que el servidor debe poder cumplir solo las funciones necesarias, para ello este no
debe contar con software que no cumpla ninguna función o en caso de que las funciones de
este sean mínimas se debe analizar si realmente es necesario, de serlo debería estar
suficientemente probado con anticipación.
Recomendaciones
El número de aplicaciones debe ser el mínimo indispensable, administrándolo desde
"programas y características".
Una buena idea es probar las aplicaciones a ser utilizadas en ambientes de prueba, antes
de ser instaladas en el servidor.
Algunas aplicaciones utilizan puertas traseras por lo que se recomienda verificar que no
hayan incorporado excepciones al firewall o añadido cuentas para el servicio.
Herramientas
Sysinternals.
Sysinternals fue creado en 1996 por Mark Russinovich y Bryce Cogswell para alojar sus
utilidades de sistema avanzadas, junto con información técnica. En julio de 2006, Microsoft
adquirió Sysinternals pero el mismo continuo siendo distribuido de forma gratuita
(http://technet.microsoft.com/es-ar/sysinternals/bb545021). Tanto profesionales como
desarrolladores de IT encontrarán utilidades en Sysinternals para facilitar la administración y el
diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que
pudieran surgir al respecto.
Este paquete de utilidades se divide en categorías:
Utilidades de disco y archivos
Red
Procesos y subprocesos
Utilidades de seguridad
Información del sistema
Varios
Debido a la gran cantidad de utilidades existentes destacamos dos que pueden ser de utilidad
para el tema tratado en esta sección:
Process Explorer: muestra información sumamente detallada acerca de los procesos que se
han abierto o cargado. Pudiendo conocer que subprocesos abrieron o que librerías DLL
cargaron. Además se puede realizar búsquedas por librerías o identificadores de procesos
determinados.
Página | 8
Rootkitrevealer: es una utilidad avanzada de detección de rootkits (mecanismos y técnicas por
los cuáles código mal intencionado intentan ocultar su presencia del sistema). Para esto
compara los resultados de un análisis de sistema en el nivel más alto con los del nivel más bajo
(API Windows vs Contenidos sin procesar del volumen del sistema de archivo).
Pareció interesante preguntarse si un rootkit puede ocultarse de esta detección, a lo que los
desarrolladores del programa responden: es posible que un rootkit se oculte de
RootkitRevealer. Hacerlo requeriría interceptar lecturas de RootkitRevealer de datos de
subárboles del Registro o datos del sistema de archivos y cambiar el contenido de los datos de
manera tal que los archivos o datos de Registro del rootkit no estén presentes. Sin embargo,
esto requeriría un nivel de sofisticación no visto en los rootkits en la actualidad. Los cambios a
los datos requerirían un conocimiento íntimo de los formatos NTFS, FAT y subárboles de
Registro, sumada la capacidad de cambiar estructuras de datos para que éstas oculten el
rootkit, pero sin producir estructuras incoherentes o no válidas ni discrepancias secundarias
que pudieran ser marcadas por RootkitRevealer.
BelarcAdvisor
Construye un perfil detallado del software y hardware instalados en su PC, incluyendo los
hotfixes (paquete que sirve para resolver un bug) de Microsoft y muestra el resultado en su
explorador Web. Toda la información del perfil se mantiene privada en su PC y no se envía a
ningún servidor Web. Incluso este software permite realizar un benchmark de seguridad, pero
lamentablemente esta característica no funciona con esta versión de Windows para
servidores, pero puede ser de gran utilidad para evaluar a otros puntos conectados a la red
que dependan y trabajen con este.
Los productos comerciales de Belarc, son utilizados para verificar políticas de cumplimiento en
licencias de software, planear actualizaciones de hardware, verificar estados de seguridad,
garantizar niveles en seguridad para auditorías, administración de activos en IT y
administración de configuraciones, entre otras funciones.
La licencia de este software es gratuita pero solo para uso personal, en caso de querer
utilizarse en otros fines se deben adquirir otros paquetes de belarc que lo incluyen como
BelManage, BelManage Small Network Option, BelSecure.
Página | 9
Configuración de Firewall
Sabemos que el firewall es una parte importante en el servidor y además lo es para toda la red
ya que nos permite bloquear accesos no autorizados, es por ello que para su configuración
debe hacerse un profundo análisis de las tareas y/o conexiones que se realizan a fin de
establecer políticas determinadas para la configuración del mismo.
Características en Windows Server 2008
Dependiendo de las reglas que queramos aplicar, podremos implementarlas en función de
diversos factores:
Nombre de aplicación: restringir o permitir a una aplicación la conexión con el exterior.
Puertos: restringir o permitir a todos o a un número determinado de puertos la conexión.
Direcciones IP: restringir o permitir a una dirección IP o un rango entero de direcciones la
conexión con algún tipo de aplicación oservicio.
ICMP o ICMPV6: restringir o permitir algún servicio de este tipo, como por ejemplo ping.
Servicios: restringir o permitir la conexión al exterior de algún servicio.
Usuarios AD, locales, grupos o máquinas: restringir o aplicar reglas para un
determinado grupo de usuarios, usuarios de directorio activo o locales.
Tipos de Interface: aplicar o restringir las reglas en función del tipo de interface que tengamos
en el equipo, ya sea Wireless, Ethernet, u otros.
El Firewall es también administrable a través de la línea de comandos. Para ello disponemos de la herramienta netsh. Esta es una aplicación que opera bajo línea de comandos y que nos permite administrar la configuración de red de un equipo. Este tipo de administración es posible realizarla tanto de forma local como remota.
Recomendaciones
Es necesario que cada servidor cuente con su
firewall basado en host. Además del que presente
la red, esto agrega mayor seguridad y control
personal al servidor. Este no debe contener reglas
o excepciones innecesarias.
Política por defecto: Bloqueo entrante y saliente.
Esta política debe contemplarse cuando se
configure desde cero el servidor y la red, puesto
que es difícil modificar una política permisiva
luego de que todo está en funcionamiento.
No permitir nunca una excepción para un
programa desconocido.
Página | 10
Configuración de auditoria
¿Qué significa auditar?
Se denomina auditar a la recopilación y evaluación de datos sobre información de una entidad,
en nuestro caso, nuestro servidor. El fin es determinar e informar sobre el grado de
correspondencia entre la información y los criterios establecidos, para derivar en un uso
eficiente del mismo, una buena seguridad y adecuarse a los objetivos planteados. La auditoría
debe ser realizada por una persona competente e independiente.
Uno de los cambios más significativos en Windows Server 2008 de auditoría es que ahora no
sólo puede auditar, sino también se puede ver cuál es el valor nuevo y cuál era el valor viejo.
Esto es importante porque ahora se puede decir por qué se ha cambiado y si algo no va bien,
hay mayores posibilidades de encontrar fácilmente lo que debe ser restaurado.
Otro cambio significativo es que en las versiones de servidores antiguas sólo realizaban
auditorías de políticas dentro o fuera de la estructura de Active Directory. En Windows Server
2008, la directiva de auditoría es más granular.
Recomendaciones
Como buena práctica de seguridad se recomienda auditar los siguientes eventos:
Login.
Administración de cuentas.
Acceso al servicio de directorio.
Cambios de políticas.
Uso de privilegios.
Seguimiento de procesos.
Eventos del sistema.
Dicha configuración se lleva a cabo en:
"Directivas de seguridad local/Directivas
locales/Directiva de auditoria", donde se
puede determinar auditar eventos
correctos y/o erróneos.
En un objeto y dominio determinado de
un active directory.
Página | 11
Para obtener información sobre los diferentes logs, existen herramientas o paginas como
http://www.eventid.net, la cual dado el ID del evento nos proporciona una información
detallada del mismo.
http://www.eventid.net
Página | 12
Administración de elementos compartidos
¿Qué compartir?
Como ya hemos dicho muchas veces durante este informe, lo principal es no exponer cosas de
más. Por eso mismo la respuesta a esta pregunta es muy sencilla, NO DEBEN COMPARTIRSE
ELEMENTOS INNECESARIOS. Para esto debemos tener en claro que cosas realmente son
necesarias utilizarla de modo compartido.
Uso de elementos compartidos ocultos.
Una buen método para utilizar elementos compartidos es mediante elementos compartidos
ocultos, los cuales no aparecen en los listados, de esta forma solo aquellos usuarios que
conozcan de su existencia tendrán acceso a estos.
Para saber que elementos estamos compartiendo desde nuestra máquina podemos listar de
alguna de las siguientes formas:
Mediante Interface gráfica: Administrador de equipo/Carpeta compartida/Recurso
compartidos.
Mediante consola: net share.
Para hacer oculto un recurso solo debe incorporarse el signo $ al final del nombre de recurso,
el mismo se encuentra dentro del Uso Compartido Avanzado, situado en la pestaña Compartir
de cada archivo o directorio.
Página | 13
Actualizaciones y hotfixes
Hotfixes
Los Hotfixes son paquetes que pueden incluir varios archivos y que sirven para resolver un bug
específico dentro de una aplicación del sistema.Por lo general suelen ser pequeños parches
diseñados para resolver problemas de reciente aparición, como son los agujeros de seguridad.
En Windows contamos con un sistema de gestión de paquetes, denominado Windows Update
que instala estos parches automáticamente.
Las actualizaciones y revisiones son elementos clave a la hora de realizar un hardening de un
servidor. Los mecanismos de seguridad y parches deben estar en constante actualización
desde el primer día, para protegersecontra las vulnerabilidades.
Estos parches no se limitan al sistema operativo, sino también cualquier aplicación que se aloja
en ellos. Los administradores deben verificar actualizaciones periódicamente en el sitios web
del fabricante. Windows Server 2008 ofrece un conjunto de herramientas que ayuda al
administrador con la actualización y revisión de sus servidores.
WSUS
Windows Server Update Services (WSUS) provee
actualizaciones de seguridad para los sistemas operativos
Microsoft. Mediante este, podemos manejar centralmente la
distribución de parches a través de actualizaciones automáticas
a todas las computadoras de la red corporativa.
La infraestructura de WSUS permite que desde un servidor/es
central se descarguen automáticamente los parches y
actualizaciones para los clientes en la organización, en lugar de
hacerlo desde el sitio web Microsoft Windows Update. Esto
mejora la seguridad ya que las computadoras no necesitan
conectarse individualmente a servidores externos a la
organización, sino que se conectan a servidores locales.
MBSA
Microsoft Baseline Security Analyzer (MBSA) es una herramienta fácil de usar diseñada para
ayudar a determinar el estado de seguridad de un sistema según las recomendaciones de
seguridad de Microsoft y ofrece orientación de soluciones específicas. Mejora el proceso de
administración de seguridad detectando los errores más comunes de configuración de
seguridad y actualizaciones de seguridad que faltan en dicho sistema.
Página | 14
NAP y Antivirus
NAP
El uso de antivirus tanto para el servidor como para las maquinas que se conectan a él, es un
factor indispensable. Pero muchas veces, en redes sumamente grandes y con acceso a
múltiples usuarios, es difícil llevar a cabo esta tarea.
Network Access Protection (NAP) es un nuevo grupo de componentes incluido en Windows
Server 2008 que constituyen una plataforma que garantiza que las máquinas clientes de una
red privada cumplen con los requisitos definidos por el administrador en materia de salud y
seguridad. Las políticas de NAP definen la configuración exigida, el estado de actualización del
sistema operativo de un cliente y el software necesario. Por ejemplo, se puede exigir a los
equipos que dispongan de software antivirus con las últimas actualizaciones de firmas de virus
instaladas, que el sistema operativo contenga las actualizaciones más recientes y un firewall
personal instalado.
Al obligar al cumplimiento de estos requisitos de salud, NAP reduce muchos de los riesgos
ocasionados por máquinas mal configuradas que pueden estar expuestas a virus y otro tipo de
software malintencionado.
NAP aplica unos criterios y monitoriza la evaluación del estado de las máquinas clientes
cuando intentan conectarse o comunicarse con la red corporativa. Si se determina que una
máquina no cumple los requisitos establecidos, se puede redirigir la conexión a una red
restringida que contiene los recursos necesarios para resolver las deficiencias que ha
detectado el proceso, pudiendo después, una vez detectado que cumple los estándares
prefijados, conectarse con normalidad a la red corporativa.
Página | 15
Recomendaciones sobre antivirus
Antivirus pagos:
Kaspersky Anti-Virus 6.0 Para Windows Server: protege la información confidencial
almacenada en servidores con plataformas de la familia de los sistemas operativos
Microsoft Windows (incluyendo las versiones x64), contra todo tipo de programas
maliciosos. El producto se diseñó de manera específica para asegurar un alto grado de
rendimiento a los servidores corporativos que son sobrecargados y se puede instalar en
redes corporativas de cualquier dimensión y grado de dispersión. Su fiabilidad y eficacia,
junto a un alto rendimiento y administración flexible, brinda un muy buen nivel de
protección a los servidores corporativos que funcionan con plataformas Windows
Server.
ESET NOD32 Antivirus: Este software antimalware con su altísimo
nivel de detección proactiva, representa una de las mejores
compatibilidades para garantizar la seguridad en Windows Server
2008 contra virus, gusanos, troyanos, adware, spyware, rootkits y
evolucionadas amenazas informáticas, tanto conocidas como desconocidas.
Antivirus Gratuitos:
En esta rama de sistemas operativos las soluciones gratuitas son escasas, además
considerando que el elemento a proteger es de suma importancia
dentro de una organización o empresa se debe comprobar estas
herramientas antes de utilizarlas.
avast! Server Edition: ofrece una de las protecciones gratuitas más
poderosa para luchar contra las infecciones de virus en su servidor o
servidores. Funciona tanto en protección primaria de un servidor de
archivos en sí, y, a través de sus plug-ins opcionales, como la
protección de varios subsistemas del servidor, tales como el correo
electrónico o un firewall / proxy.
Página | 16
Configuración de políticas de seguridad
El Asistente para configuración de seguridad (SCW) sirve como guía a través del proceso de
creación, edición, aplicación o reversión de una directiva de seguridad. Nos permite crear o
modificar fácilmente una directiva para el servidor basándose en su función.Luego se puede
usar la directiva de grupo para aplicar la directiva de seguridad a varios servidores de destino
que desempeñen la misma función a través de un simple fichero .XML.
El SCW también se puede usar para revertir una directiva a su configuración anterior con fines
de recuperación. Otra característica es que podemos comparar la configuración de seguridad
de un servidor con la directiva de seguridad que deseamos a fin de buscar las configuraciones
vulnerables del sistema.
La versión del SCW de Windows Server 2008 incluye más configuraciones de función de
servidor y opciones de seguridad que la versión del SCW de Windows Server 2003. Además,
usando la versión del SCW de Windows Server 2008, es posible:
Deshabilitar los servicios innecesarios basados en la función de servidor.
Quitar las reglas de firewall que no se usen y limitar las existentes.
Definir directivas de auditoría limitadas.
Una vez creada la directiva de seguridad con el SCW, puede usar la herramienta de línea de
comandos Scwcmd para:
Aplicar la directiva a uno o
más servidores.
Revertir directivas.
Analizar y ver una directiva
del SCW en varios servidores,
así como informes de
cumplimiento que pueden
mostrar cualquier
discrepancia en la
configuración de un servidor.
Transformar una directiva del
SCW en un objeto de
directiva de grupo (GPO) para
implementaciones
centralizadas y administración
mediante los Servicios de
dominio de Active Directory
(AD DS).
Página | 17
Tras la instalación de funciones iniciales, el SCW se puede usar para ayudar a mantener la
seguridad de los servidores comprobando las vulnerabilidades, ya que las configuraciones del
servidor cambian con el tiempo, y realizando las actualizaciones que sean necesarias en la
configuración de la directiva.
Otra importante utilidad es que está integrado con el Firewall de Windows con seguridad
avanzada, por lo que permite el tráfico de red entrante o saliente para los importantes
servicios o características que requiere el sistema operativo. Si se requieren reglas de firewall
adicionales, puede usar el SCW para crearlas. También es posible limitar el acceso modificando
las reglas de firewall proporcionadas. Esta capacidad hace más fácil proteger la red de la
organización.
Todo esto puede realizarse de forma particular como explicamos a lo largo del informe, lo que
aumenta la dificultad por tener que conocer cada sección del sistema operativo, pero brinda la
posibilidad de realizar configuraciones más complejas y específicas que con el asistente SCW.
Página | 18
Arquitectura Server Core
Server Core
Especificaciones
La instalación de Windows Server “ServerCore” permite no tener todos los servicios que puede
tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposición a
ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es más
"incómodo" de administrar, al carecer de GUI (interfaz de usuario) y por lo tanto es necesario
para su administración recurrir a la línea de comandos y/o scripts.
Este servidor tiene sólo las aplicaciones y servicios necesarios para su función, sólo
determinados roles pueden ser asumidos. Dichos roles son:
Servidor de ficheros
Servidor de impresión
Controlador de dominio
Servidor DNS
Servidor DHCP
Servidor WINS
¿Por qué tener una instalación minina
de Windows Server 2008?
Muchas veces Windows es desplegado para cumplir la función de un solo rol, como por
ejemplo servidor de DHCP. Imaginemos tener todo una instalación completa dedicada solo
para esta función. ¿Porque tener todos esos binarios extras? Viéndolo desde un punto de vista
de seguridad, si tenemos menos componentes, menos es la superficie de ataque posible.
También si tenemos menos roles instalados, significa parchar menos componentes, menos
administración y menos servicios corriendo.
Requerimientos
Otros de los puntos muy importantes y a favor de Server Core es el poco consumo de
componentes que este necesita. Una instalación Server Core se conforma con
aproximadamente un gigabyte de espacio de disco para ejecutar la instalación, y
aproximadamente dos gigabyte para ejecutar operaciones posteriores a la instalación, por lo
que con un disco rígido de quince gigabyte es suficiente. El procesador deberá ser de al menos
1GHz, la memoria ram debe ser igual o superar los 512MB mientas que la placa de video podrá
ser solo de 8MB.
Página | 19
Beneficios
Mantenimiento Reducido. Como sólo se instala lo estrictamente necesario para contar con un
servidor manejable con DHCP, File, Print, DNS, Media Services, AD LDS, o Active Directory, una
instalación de Server Core exige menos mantenimiento.
Superficie vulnerable a ataques, reducida. En el servidor se ejecutan menos servicios y
aplicaciones, lo que reduce notablemente cualquier tipo de ataque, sobre todo aquellos
causados por puertas traseras de aplicaciones extras al servidor.
Administración reducida. En el servidor existen menos programas para administrar, por lo que
podemos dedicar más tiempo a estos y configurarlos de una mejor manera.
Menos espacio de disco requerido. Como ya se dijo anteriormente es un SO que tiene una baja
demanda de hardware. Una instalación de Server Core se conforma con aproximadamente 1
gigabyte (GB) de espacio de disco para ejecutar la instalación, y aproximadamente 2 GB para
ejecutar operaciones posteriores a la instalación.
Capacidad de automatizar procesos mediante scripts.
Utilización básica
Algunos de los comandos más utilizados en este sistema son los siguientes:
Mostrar el nombre de la máquina:
set COMPUTERNAME
Mostrar los roles de servidor instalados
oclist
Mostrar información de los servicios que están instalados
scquery o net start
Comenzar un servicio
sc start<servicename> o net start<servicename>
Detener un servicio
sc stop <servicename> o net stop <servicename>
Mostrar los Logs de Eventos
Wevtutil el
Ver eventos en un log específico
wevtutilqe /f:text NOMBRE_DEL_LOG
Mostrar usuario activo
whoami
Cambiar contraseña de administrador
net useradministrator *
Habilitar/deshabilitar el firewall
netsh firewall set opmode [disable/enable].
Agregarla computadora local a un grupo
netlocalgroup<group name>/add
Eliminar una computadora de un dominio
netdom remove <computername>
Eliminar una computadora de un dominio
netdom remove <computername>
Página | 20
Conclusión
El desarrollo de este informe nos permitió arribar a la conclusión de que el proceso de
hardening puede ser tan complejo como uno quiera, nosotros abordamos una introducción a
este dentro del marco de Windows Server, pero muchos conceptos quedaron fuera y otros
fueron analizados con menor profundidad debido a la complejidad mencionada.
Debido a que los sistemas se modifican y los atacantes descubren mas métodos para
corromper el sistema en cuestión, el proceso de hardening es una herramienta que garantiza
reducir las superficies de ataque aun sin conocer cuáles podrían ser los medios utilizados para
el ingreso a nuestro servidor, por lo tanto es una herramienta preventiva muy importante, la
cual no puede detener a todos los intrusos pero no puede faltar en ningún servidor que
requiera al menos un mínimo de protección.
A modo personal nos sirvió como marco introductorio en el uso de este sistema operativo, sus
cambios respecto de versiones hogareñas, las ventajas y desventajas que presenta. Además
tuvimos la oportunidad de configurar un Active Directory e interactuar con privilegios
aplicados a recursos de red y analizar Logs generados por el sistema. Todo lo mencionado fue
probado sobre maquinas virtuales que nos dieron la facilidad de la implementación de una red
de varias computadoras de forma rápida y económica, permitiendo realizar cada paso de
hardening antes de incorporarlo al informe y a la presentación.