Mes: mayo 2006

Tres…. son los caminos de que disponemos para la aplicación de las directivas (políticas).

1. Aplicarlas desde el GUI de SCW


2. Aplicarlas con el comando de línea de comandos Scwcmd


3. Convertir la política SCW en GPO y enlazarla al dominio o OU.

Cada opción tiene sus propias ventajas e inconvenientes.

Aplicarlas desde el GUI de SCW.

La principal ventaja es la simplicidad. El GUI permite fácilmente elegir una política predefinida y aplicarla en un equipo.
La desventaja es la de poder aplicar políticas en un sólo equipo a la vez. No parece un camino adecuado para entornos grandes y la guía de MS no lo contempla.

Aplicarlas con Scwcmd.

Opción muy interesante para aplicar las políticas a múltiples equipos sin AD. También podría combinarse con el uso de scripts para proporcionar cierto grado de implantación de políticas automatizado, quizás como parte de un proceso existente que se usa para instalar e implantar servidores.
La mayor desventaja de Scwcmd es que no es automático. Se tiene que especificar la política y el servidor elegido, manualmente o mediante algún script, lo que significa que hay múltiples posibilidades de aplicar la política incorrecta al equipo incorrecto. Si tenemos servidores en un grupo con configuraciones ligeramente distintas, necesitaremos manualmente políticas separadas para cada uno de aquéllos equipos y aplicarlas separadamente. La guía de MS tampoco trata estas limitaciones ni usa este camino.

Convertir las políticas SCW a GPOs

Este tercer camino usa el comando Scwcmd para convertir la política desde su XML a GPO. Aunque en principio esta conversión parezca un paso innecesario, encontramos las siguientes ventajas:

• Las políticas se replican, implantan y aplican con mecanismos familiares basados en Directorio Activo.


• Al ser GPOs nativas, las políticas pueden utilizarse con OUs, herencia y políticas incrementales para afinar la fortificación de servidores que están configurados de forma similar. Con Directivas de Grupo, podemos colocar estos servidores en una OU hija y aplicarles la política incremental, mientras que con SCW habría que crear una política para cada configuración.


• Las políticas se aplican automáticamente a todos los servidores pertenecientes a una OU. Las de SCW han de ser aplicadas manualmente o en combinación con algún script.

Podemos usar SCW para crear y comprobar, con bastante rapidez, directivas de seguridad para varios servidores desde un único equipo. Esta capacidad nos permite gestionar directivas en toda la empresa desde un mismo sitio. Las directivas nos proporcionan consistencia y medidas soportadas de fortificación que son apropiadas para las funciones que desempeñan cada servidor dentro de la empresa. Si usamos SCW para la creación y comprobación de las directivas deberíamos desplegar SCW a todos los servidores elegidos. Aunque creemos la directiva en una estación, SCW intentará comunicarse con los servidores elegidos para inspeccionar su configuración y afinar la directiva resultante.

SCW está integrado con los subsistemas IPsec y Windows Firewall y modificara sus ajustes adecuadamente. A menos que se evite, SCW configurará Windows Firewall para permitir tráfico de red de entrada a los puertos que requiere el sistema, así como a las aplicaciones que se encuentren a la escucha (listenning). Si se necesitan más filtrados de puertos, SCW puede crearlos. Por consiguiente, las directivas hechas con SCW necesitan la personalización de scripts para ajustar o modificar filtros IPsec para bloquear tráfico indeseado. Esta capacidad simplifica la administración de la fortificación de la red. La configuración de filtros de red para servicios que usan RPC o puertos dinámicos pueden simplificarse.

SCW proporciona además la capacidad de personalizar significativamente las directivas que creamos. Esta flexibilidad nos ayuda en la creación de una configuración que permite una funcionalidad necesaria pero que también reduce los riesgos de seguridad. Como suma a los comportamientos y ajustes básicos, podemos sobreescribir las siguientes áreas:

• Servicios


• Puertos de red


• Excepciones de aplicación de Windows Firewall


• Ajustes del registro


• Ajustes de IIS


• Inclusión de plantillas de seguridad pre-existentes.(archivos .inf)

SCW nos advierte sobre algunos de los más importantes ajustes del registro. Para reducir la complejidad de la herramienta, sus diseñadores eligieron incluir tan sólo aquéllos ajustes que tienen gran impacto en seguridad. Sin embargo, la guía discute muchos más ajustes del registro. Para superar las limitaciones de esta herramienta podemos combinar plantillas de seguridad con los resultados obtenidos desde SCW para crear una configuración más completa.

Cuando usemos SCW para crear una directiva nueva ésta se basa en la configuración actual del servidor como configuración inicial. Por eso, debemos elegir un servidor del mismo tipo como aquéllos a los que deseamos implantar la directiva que vamos a crear. El GUI de SCW nos crea un archivo XML y lo guarda de manera predefinida en %systemdir%securitymsscwPolicies. Después de crear nuestras directivas, podemos usan tanto el GUI como la línea de comandos para aplicarlas a los servidores de comprobación.

Cuando vayamos a probar las directivas puede que existan otras en uso, podemos quitarlas mediante SCW o la línea de comandos con lo que se guardará en un archivo XML la configuración previa.

Que sepan Vds. que MS dispone de una guía llena de técnicas, orientación, etc… para ello.
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en

Diremos que disponemos de algunas posibilidades para fortificar nuestro servidor con 2003+SP1:
– El asistente de configuración de seguridad (Security Configuration Wizard) o SCW, con el que podemos crear, comprobar y desplegar directivas de fortificación basadas en diferentes funciones de servidor (web, sql, etc…).
– Mediante la utilización de directivas, GPOs, en un entorno Active Directory.
– Diseñando el dominio, OU, GPO y grupos administrativos, ya que afectan a la seguridad.
– Usarlas todas a la vez, ¿que tal?

¿Cuál puede ser el problema?
Pues que cualquier cambio en la configuración de seguridad puede afectar a parte de otras configuraciones de forma negativa o inesperada por nosotros, por lo que es importante comprobar bien dichos cambios antes de aplicarlos definitivamente en un entorno de productividad.

SCW es un asistente y como tal sigue un guión, es decir, lo inicias y lo vas siguiendo mientras se le indica las posibilidades que queremos ir aplicando o configurando; al final, podemos guardar varias plantillas, aplicarlas, aplicarlas en otros servidores, etc…(Algo a grosso modo tenía yo por ahí: http://msmvps.com/blogs/juansa/search.aspx?q=SCW&p=1)

Por supuesto es fácilmente deducible que su propósito es proporcionar un proceso paso a paso bastante flexible para reducir la superfície de ataque de los servidores W2k3+SP1. También que es un conjunto de herramientas que se combinan con bases de datos XML. Su objetivo es ayudar a determinar un mínimo de funcionalidad requerida para cada función de servidor (rol) que los servidores pueden tener específicamente.
La verdad es que no es difícil de utilizar y nos sirve para realizar pruebas, además de poder regresar al punto de partida.

• Determina los servicios que deben estar activos, cuales necesitar ejecutarse al ser requeridos y cuales pueden deshabilitarse.


• Se combina con Windows Firewall y administrar el filtrado de puertos de red.


• Controlar que extensiones de IIS se permiten para los servidores Web.


• Reducir la exposición de protocolos, SMB, NetBIOS, CIFS o LDAP.


• Crear útiles auditorías de directivas que capturan eventos de interés.

Encontraremos documentación de SCW en: http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en

NOTA MAYÚSCULA: SCW es sólo para Windows Server 2003+SP1, NO PARA w2k, XP o SBS 2003.

Un Webcast interesante sobre la próxima versión servidor de MS con demo incluída.

http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032294712&Culture=en-US

·  TITLE: Installing, Configuring, and Managing Server Roles in Windows Server “Longhorn” (Level 300)

·  DATE: Wednesday, May 31

·  TIME:  Start is 1:00pm Redmond, WA, USA time

 

Animaos!!

Punto de información sobre Network Access Protection.

http://blogs.msdn.com/nap/archive/2006/05/04/590467.aspx

 

El sitio web del popular complemento (add-in) MZ-Tools
(http://www.mztools.com) del MVP Carlos Quintero para los entornos VB6, VB5,
VBA, VS.NET 2002/2003 y VS 2005 ha sido traducido al español junto con los
programas de instalación de las distintas versiones del producto, de manera
que el inglés ya no sea una barrera para los desarrolladores que no están
cómodos con ese idioma. Aunque la interfaz de usuario de dicho producto
estaba traducida al español desde sus orígenes, el sitio web estaba sólo en
inglés.

MZ-Tools es una familia de complementos, algunos de ellos gratuitos, para
los distintos entornos de desarrollo (IDEs) de Microsoft que mejora la
productividad añadiendo más de 40 funcionalidades mediante una barra de
botones y distintos menús, permitiendo escribir, buscar código o diseñar
formularios más deprisa, documentar las aplicaciones, etc.

Más información en http://www.mztools.com