Que sepan Vds. que MS dispone de una guía llena de técnicas, orientación, etc… para ello.
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en
Diremos que disponemos de algunas posibilidades para fortificar nuestro servidor con 2003+SP1:
– El asistente de configuración de seguridad (Security Configuration Wizard) o SCW, con el que podemos crear, comprobar y desplegar directivas de fortificación basadas en diferentes funciones de servidor (web, sql, etc…).
– Mediante la utilización de directivas, GPOs, en un entorno Active Directory.
– Diseñando el dominio, OU, GPO y grupos administrativos, ya que afectan a la seguridad.
– Usarlas todas a la vez, ¿que tal?
¿Cuál puede ser el problema?
Pues que cualquier cambio en la configuración de seguridad puede afectar a parte de otras configuraciones de forma negativa o inesperada por nosotros, por lo que es importante comprobar bien dichos cambios antes de aplicarlos definitivamente en un entorno de productividad.
SCW es un asistente y como tal sigue un guión, es decir, lo inicias y lo vas siguiendo mientras se le indica las posibilidades que queremos ir aplicando o configurando; al final, podemos guardar varias plantillas, aplicarlas, aplicarlas en otros servidores, etc…(Algo a grosso modo tenía yo por ahí: http://msmvps.com/blogs/juansa/search.aspx?q=SCW&p=1)
Por supuesto es fácilmente deducible que su propósito es proporcionar un proceso paso a paso bastante flexible para reducir la superfície de ataque de los servidores W2k3+SP1. También que es un conjunto de herramientas que se combinan con bases de datos XML. Su objetivo es ayudar a determinar un mínimo de funcionalidad requerida para cada función de servidor (rol) que los servidores pueden tener específicamente.
La verdad es que no es difícil de utilizar y nos sirve para realizar pruebas, además de poder regresar al punto de partida.
- Determina los servicios que deben estar activos, cuales necesitar ejecutarse al ser requeridos y cuales pueden deshabilitarse.
- Se combina con Windows Firewall y administrar el filtrado de puertos de red.
- Controlar que extensiones de IIS se permiten para los servidores Web.
- Reducir la exposición de protocolos, SMB, NetBIOS, CIFS o LDAP.
- Crear útiles auditorías de directivas que capturan eventos de interés.
Encontraremos documentación de SCW en: http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en
NOTA MAYÚSCULA: SCW es sólo para Windows Server 2003+SP1, NO PARA w2k, XP o SBS 2003.