"Siempre Innovando para garantizar su tranquilidad"

Seguridad en servidores Windows- Tips y Consejos

06 Mar

Seguridad en servidores Windows- Tips y Consejos

  • Deshabilita los usuarios de invitado (guest)

En algunas versiones de Windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos usuarios se les debes asignar una contraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.

  • Limita el número de cuentas en tu servidor

Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuarios regularmente. Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker.

  • Limita los accesos de la cuenta de administración

El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a la cuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo“ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué.

  • Renombrar la cuenta de administración

Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios.

  • Crea una cuenta “tonta” de administrador

Esta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos. Monitorea la utilización de la misma.

  • Cuidado con los privilegios por omisión para los grupos de usuarios

En el contexto de windows existen grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos.

  • Coloca las particiones con NTFS

Los sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes.

  • Configura políticas de seguridad en su servidor y su red

Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se pueden editar aspectos como: perfil de usuarios,permisología de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de microsoft.

  • Apaga servicios innecesarios en el servidor

Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise servicios como: IIS, RAS, terminal services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted.

  • Cierra el acceso a puertos que no se están utilizando

Los servidores son el principal objetivo de un atacante. Una de las estrategias más utilizadas a la hora de localizar una víctima es verificar los puertos que la misma tiene abierta. Por ello, verifique el archivo localizado en: %systemroot%\drivers\etc\services. Configure sus puertos vía la consola de seguridad TCP/IP ubicada en el panel de control sus accesos de red. Una recomendación general es habilitar específicamente tráfico TCP e ICMP, para ello seleccione la opción de UDP y protocolo IP como permitido únicamente y deje los campos en blanco. Puede conseguir en las páginas de microsoft los puertos abiertos por omisión para el sistema operativo que tiene instalado.

  • Habilita la auditaría en el servidor  

La forma más básica para detectar intrusos en un sistema operativo microsoft es habilitar las auditorías. Esto le brindará alertas en aspectos de seguridad muy importantes como: cambios en las políticas de seguridad, intentos de rompimiento de claves, accesos no autorizados, modificaciones a privilegios de usuarios, etc. Como mínimo considere habilitar las siguientes opciones: Eventos de login de usuario, gestión de cuentas de usuario, acceso a objetos, cambios en políticas, uso de privilegios y eventos del sistema. Es importante que registre tanto los eventos exitosos como los fallidos ya que ambas le indicaran que una persona no autorizada está tratando de realizar actividades en su servidor.

  • Coloca protección a sus archivos de registros de eventos

Por omisión los archivos de eventos no están protegidos es importante dar permisos tanto de lectura como escritura solo a los usuarios de sistema y administradores. De lo contrario un atacante podrá fácilmente eliminar sus huellas luego de un ataque.

  • Desactiva la opción del último usuario para desplegarse en la pantalla de

inicio o bloqueo del sistema

En windows por omisión cuando se presiona Ctrl­Alt­Del aparece el último usuario que utilizó el equipo esto hace muy fácil obtener el nombre de la cuenta de usuario de administración, el atacante puede utilizar sus habilidades para adivinar o crackear la contraseña del usuario. Este parámetro de configuración puede modificarse en las plantillas de su CD de instalación o en las políticas de seguridad.

  • Verifica los parches de seguridad que libera microsoft mensualmente

Microsoft libera boletines de seguridad mensualmente indicando parches para sus sistemas operativos, es indispensable estar al tanto de los mismos y aplicar metódicamente para evitar ser víctima de ataques conocidos y ya reparados. Usted puede suscribirse a listas de actualización en las que le indicaran qué parches están disponibles y en dónde descargarlos.

  • Deshabilita las carpetas compartidas por omisión que no son necesarias

Colocando net share en la línea de comando del prompt podrás conocer las carpetas compaartidas

  • Deshabilita la opción de creación del archivo dump

Aunque esta opción es muy útil para conocer los por menores de un error en el servidor como las causas de los famosos pantallazos azules. También sirve para proveer al atacante de información sensible como contraseñas de las aplicaciones. Puedes deshabilitar esta opción en: panel de control, sistema, propiedades, avanzadas, recuperación y reinicio. Allí deshabilita la opción “escribir información de fallas” a ninguna. Si necesitas conocer las causas de una falla recurrente en el servidor siempre puedes volver a habilitar la opción y verificar qué está sucediendo. Si lo haces recuerda eliminar los archivos que se creen después de utilizarlos.

 

 

Write a Reply or Comment