Nivel de seguridad del servidor -1

Desde Windows Server 2003 Microsoft siempre ha manifestado que su principal prioridad era la seguridad. Como resultado y en cada versión del sistema operativo desde entonces, se han añadido cambios diseñados para mejorar la seguridad de Windows. Características como la edición CORE, la instalación basada en funciones (ROLES), WSUS, Applocker, y otros que han contribuido a asegurar más y más al sistema. Windows Server 2012, no podía ser menos, continua con esta dinámica con mejoras en funcionalidades como el Control de Acceso Dinámico y la arquitectura de arranque de confianza.

Veamos los mecanismos de seguridad por la parte del servidor en Windows Server 2012. Características avanzadas como el Cortafuegos inteligente integrado, el control dinámico de acceso o Bitlocker. Como recordatorio, es de importancia máxima tener siempre los servidores actualizados y con los parches de seguridad correspondientes.

El nivel de seguridad del servidor es una de las consideraciones más importantes en un entorno de red. Los servidores de una infraestructura no sólo manejan servicios de red críticos, como DNS, DHCP, búsquedas de directorio y autenticación, sino qué además son una ubicación central para la mayoría, sino todos, de los archivos críticos en la red de la organización.  Por lo qu es muy importante establecer un plan de seguridad y aprender y comprender las capacidades de seguridad de Windows Server 2012.

Implementando seguridad física

Uno de los componentes más olvidados, y al tiempo más crítico de la seguridad del servidor es la seguridad física del servidor en sí. El más seguro e infranqueable, servidor web está impotente frente a un usuario malicioso que lo pueda simplemente desconectar de la corriente eléctrica. Peor aún, alguien que inicie sesión interactiva en un servidor de archivos podría copiar datos sensibles, eliminarlos, o incluso sabotear la máquina directamente.

La seguridad física es uno de los deberes para cualquier organización, porque es la causa más común de brechas de seguridad. Así y todo, muchas organizaciones disponen de poca seguridad física implantada en sus servidores de archivos críticos. Comprender que es necesario asegurar físicamente i proteger el acceso a un servidor, sigue siendo pues uno de los deberes por hacer.

Los servidores deberían hallarse en un lugar cerrado y con su acceso controlado . Un sitio cerrado en todo momento es el ideal.

Los servidores además han de estar configurados para permitir que sólo usuarios autorizados puedan iniciar sesión localmente en ellos. (La opción de la directiva Local de seguridad, Configuración de seguridad, directivas locales, asignación de derechos de usuario, Permitir iniciar sesión localmente, quitar usuarios y grupos que no necesitan acceso físico al servidor)

directivaseguridadlocal

* Permitir iniciar sesión localmente puede también configurarse para un dominio entero, o una OU, utilizando directivas de grupos basadas en dominio, pero este mecanismo sólo permite asignar el derecho a usuarios y grupos más que quitarlo. Para impedir a usuarios y grupos el inicio de sesión local con una directiva de grupo, utilizad Denegar el derecho de inicio de sesión local.

Múltiples directivas de contraseña por Dominio

Otro de lo añadido al AD DS de Windows Server 2008 es la capacidad de implementación granular de directivas a través de un sólo dominio. Anteriormente sólo era una opción de utilidades de terceros instaladas en los DC’s del bosque. Desde Windows Server 2008, R2 y ahora 2012, los administradores pueden definir cuales usuarios tienen directivas de contrasenya más complejas y cuales serán capaces de usar directivas más permisivas.

Cabe decir que es bueno entender algunos de los puntos clave de esta tecnología antes de implementarla, como:

  • El nivel del dominio debe ser 2008, 2008 R2 o 2012.
  • Las directivas de contraseñas más precisas ganan frente a la directiva de contraseñas del dominio.
  • Las directivas de contraseña pueden aplicarse a grupos, pero estos deben ser globales de seguridad.
  • Las directivas granulares de contraseña aplicadas a un usuario siempre ganan a la configuración aplicada a un grupo.
  • Los objetos de configuración de contraseña (PSOs) son almacenados en el contenedor de Configuración de contraseñas del AD (qué es: CN=Password Settings Container,CN=System,DC=DOMINIO,DC=LOQUESEA).
  • Sólo un conjunto de directivas de contraseña se le puede aplicar a un usuario. Si hay múltiples directivas a aplicar, la de precedencia más baja se aplicará.

Si queremos crear una directiva de contraseña personalizada para un usuario específico, hemos de crear un PSO mediante el ADAC (Anteriormente era necesario ADSIEdit).

  1. Abrimos ADAC
  2. Vamos al dominio raíz –> Sistema –> Contenedor de Configuraciones de contraseña.
    PasswordPolicies01
  3. Debajo de tareas, seleccionamos Nueva –> Configuración Contraseña.
    PasswordPolicies02
  4. Introducimos la información en el cuadro de diálogo. (Ver Tabla)
    PasswordPolicies03
  5. Clic Aceptar y se creará el PSO.

Atributo

Descripción

Ejemplo

Nombre Nombre único de la directiva Directivapersonal
Precedencia Prioridad de la directiva. Cuanto más bajo el número más precedencia. 20
Exigir longitud mínima contraseña Obliga a una longitud mínima de carácteres a la contraseña. 8
Exigir Historial de contraseñas: Número de contraseñas recordadas Número de contraseñas que recuerda el sistema. 30
Les contraseñas deben cumplir los requerimientos de complejidad La directiva que establece la complejidad de contraseña está habilitada. (Obliga a los usuarios a introducir una combinación de números, minúsculas, mayúsculas y caracteres especiales) Casilla verificación marcada.
Exigir vigencia mínima de contraseña: El usuario no puede cambiarla antes de (días) Días mínimos que hay que esperar para poder cambiar la contraseña. 1
Exigir vigencia máxima de contraseña: El usuario debe cambiarla dentro de (días) Días máximos en qué una contraseña es válida. 60
Exigir directiva de bloqueo de cuenta: número de intentos inválidos de inicio de sesión permitidos. Número de intentos de contraseña inválida antes de bloquearse la cuenta. 5
Exigir directiva de bloqueo de cuenta: Reinicia la cuenta de intentos inválidos de inicio de sesión después de (minutos) Tiempo (minutos) que pasarán para reiniciar la cuenta de intentos inválidos de contraseña. 60
La cuenta se bloqueará Tiempo (minutos) durante el cual la cuenta permanecerá bloqueada. 30
Directamente se aplica Usuario o grupo de usuarios a los cuales se les aplica el PSO. Seleccionado desde el AD.
     

Restaurar objetos eliminados en AD DS: habilitar la papelera de Active Directory

La papelera de reciclaje de AD era soportada en Windows Server 2008 R2, pero dificililla de implementar, y las herramientas de administración no muy fáciles de usar. Ahora en Windows Server 2012, se ha mejorado la funcionalidad, integrada en el Centro de administración de Active Directory (ADAC) y tan sólo requiere ser habilitada iniciando la funcionalidad. Aunque hay unos prerrequisitos a realizar, sin embargo, antes de poder habilitarla.

– El nivel de funcionalidad del dominio y del bosque debe ser al menos de 2008 R2.

– La pertenencia al grupo de Administradores de empresas es necesaria para habilitar la papelera.

– El proceso de habilitación de la papelera es irreversible.

Habilitar la papelera de reciclaje de AD

  1. Clic derecho en Windows PowerShell, elegir Ejecutar como administrador.
  2. Desde el prompt de PowerShell, escribimos dsac.exe para iniciar ADAC.
  3. Clic Administración – Agregar Nodos de navegación, seleccionar el dominio destino y Aceptar.
  4. Ahora seleccionamos el dominio en la izquierda y bajo tareas tenemos Habilitar la papelera de reciclaje…
  5. Aceptar, aceptar y la tendremos instalada.

anablerecyclebin01anablerecyclebin02

anablerecyclebin03anablerecyclebin04

anablerecyclebin05anablerecyclebin06

anablerecyclebin07anablerecyclebin08

 

También puede hacerse desde el propio PowerShell.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration,DC=*******,DC=com' -Scope ForestOrConfiguration 
Set -Target '******.com'
Donde *****.com, es nuestro dominio, y que debemos reemplazar. En mi caso sería juansa en lugar de **** y local en lugar de com.

Windows Server 2012: Servicios de Directorio

Los servicios de Directorio han existido, de una u otra forma, desde los primeros días de la informática, para proporcionar una búsqueda básica y funcionalidad de autenticación para las implementaciones de redes empresariales. Un servicio de Directorio proporciona información detallada sobre un usuario u objeto en la red, muy parecido a la forma en qué una agenda telefónica se utiliza para buscar un número de teléfono mediante un nombre.

Los servicios de Directorio comúnmente se les llama las páginas blancas de una red. Proporcionan la administración y definición de usuario o de objeto.

Introducido en Windows 2000 Server como un reemplazo a los dominios en Windows NT, AD DS (en aquéllos días sólo AD) se mejoró ampliamente en las versiones posteriores de Windows Server 2003, 2003 R2, 2008, 2008 R2 y ahora en Windows Server 2012.

Las características clave de AD DS:

  • Compatibilidad con TCP/IP –A diferencia de algunos de los protocolos propietarios como IPX/SPX y NetBEUI, TCP/IP se diseñó para ser multiplataforma. Con la subsiguiente adopción de TCP/IP como un estándar de Internet para la comunicación entre equipos, lo impulsó a la cabeza del protocolo mundial lo que le hizo un requisito necesario para los sistemas operativos empresariales. AD DS y Windows Server 2012 utilizan la pila del protocolo TCP/IP como su primer método de comunicaciones.
  • Compatibilidad con LDAP –LDAP emergió como el protocolo de directorio estándar de Internet y se utiliza para actualizar y consultar datos dentro del directorio. AD DS soporta directamente LDAP.
  • Compatibilidad con DNS (Domain Name System) –DNS se creó por la necesidad de traducir nombres simplificados que pueden entenderse por los humanos, (www.elcorteingles.es) en direcciones que entienden las computadoras (2.16.38.183). La estructura de AD DS es compatible y requiere efectivamente que la función de DNS trabaje correctamente.
  • Compatibilidad de Seguridad –La compatibilidad basada en estándares de seguridad de Internet es vital para un buen funcionamiento de un entorno que está esencialmente conectado con millones de computadores por todo el mundo. La falta de una seguridad fuerte es una invitación a ser atacado, y Windows Server 2012 y AD DS tienen altos niveles de seguridad. IPsec, Kerberos, autoridades de certificación, y cifrado SSL integrado en Windows Server 2012 i AD DS.
  • Una fácil administración –Aunque frecuentemente se pasa por alto en potentes implementaciones de servicios de directorio, la facilidad en que el entorno es administrado y se configura afecta directamente a los costos globales asociados con su uso. AD DS y Windows Server 2012 están específicamente diseñados con facilidad de uso con el fin de disminuir la curva de aprendizaje asociada con la utilización de un nuevo entorno. En Windows Server 2012 también se ha mejorado la administración de AD DS con la introducción del Centro de Administración de Active Directory, Servicios web de Active Directory y un modulo de Windows PowerShell de Active Directory para administrarlo desde la línea de comandos el cual ha sido mejorado bastante desde el original incluido en Windows Server 2008 y 2008 R2. PowerShell en el 2012 permite ahora mejor resolución de problemas y un aprovisionamiento totalmente automatizado de controladores de dominio y bosques enteros desde la línea de comandos. Además, también permite una virtualización mejorada del controlador de dominio.

Cambios de AD DS en Windows Server 2012

La mejora en la funcionalidad y confiabilidad de AD DS son de importancia clave para el equipo de desarrollo en Microsoft. Por eso, Windows Server 2012 introduce diversas mejoras en AD DS. Desde la capacidad de crear DC’s virtuales, a la de tener múltiples directivas de contraseñas en un dominio para la mejora del despliegue de de DC con la funcionalidad RODC, los cambios hechos en la estructura de AD DS justifican un repaso más cercano.

En Windows Server 2008 ya se introdujeron varios cambios en la funcionalidad de AD DS mucho más allá de las versiones de AD incluidas en Windows Server 2003 y 2003 R2. Ahora se introducen características y funcionalidades superiores aquéllas incluidas en Windows Server 2008 y 2008R2.

Tales como:

  • Mejora del soporte de virtualización –La capacidad de creación de DC’s basados en plantillas de máquinas virtuales es un gran cambio en el 2012. Al mismo tiempo, se han añadido protecciones dentro de AD DS que protegen a los DC de errores realizados con las instantáneas de máquina virtual que causaban mayores problemas anteriormente.
  • Control de acceso dinámico –El control de acceso dinámico crea un modelo nuevo de directiva central de acceso (CAP) qué permite una información de clasificación de archivos y se utilizada en decisiones de autorización. Esto permite a los objetivos empresariales ser más fácilmente evidentes cuando se examina la seguridad que está establecida en los servidores de archivos. Este modelo está soportado en los DCs 2012, asumiendo que estos servidores de archivos también ejecuten Windows Server 2012.
  • Mejoras en la seguridad Kerberos –Microsoft ha añadido la característica FAST (Flexible Authentication Secure Tunneling) en Kerberos con el fin de reducir el que los errores kerberos sean suplantados por ataques de hackers. Llamado con frecuencia Kerberos armoring.
  • Una mayor granularidad de la Directiva de control de contraseñas e interfaces de Papelera de reciclaje de AD –Microsoft ha facilitado ahora, la implantación de una directiva de control de contraseñas más granularizada y al mismo tiempo una papelera de reciclaje para AD, características difíciles de implementar anteriormente.
  • Mejoras en el despliegue del propio AD –Características como AD BA (Active Directory Based Activation) permite a los servidores de licencias activarse más fácilmente, al tiempo que se han añadido mejoras en la funcionalidad de unión de dominios fuera de las instalaciones. Se ha añadido la funcionalidad ADPrep a las herramientas de despliegue, y el proceso entero de unión de un DC a un dominio, o la creación de un nuevo dominio puede realizarse ahora desde PowerShell.
  • Mejoras en AD FS (Active Directory Federation Services) –Ahora se incluye de forma nativa AD FS 2.1 en Windows Server, y soporta llamadas de AD DS directamente, lo que permite la entrega de tokens SAML a las solicitudes de usuario y dispositivos que los toman directamente desde el ticket kerberos.
  • Cuentas de servicio administradas de grupo –Esto permite a las cuentas de servicio administradas ser utilizadas por los servicios que necesitan compartir un único principal de seguridad, como los Clústeres.
  • Mayor soporte Powershell –Una gran cantidad de cmdlets de PowerShell nuevos para Windows Server 2012 AD DS han sido diseñados, permitiendo casi a todas las operaciones ser automatizadas desde la línia de comandos.

Pensando en instalar Windows Server 2012

Antes de empezar con la instalación de Windows Server 2012, habría que tomar algunas decisiones sobre las tareas previas. De lo bien con que llevemos a cabo estos pasos previos dependerá el éxito de la instalación, ya que muchas de las decisiones que tomemos no podrán cambiarse después de completar la instalación.

Tanto como si lo instalamos en un entorno de laboratorio como si es de producción hemos de asegurarnos de cumplir con los requisitos de hardware mínimos, aunque aún así, hay algunas ocasiones en que no serán suficientes dependiendo de la situación y/o escenario a desplegar. Microsoft anuncia en una de sus tablas lo siguiente:

  

Componente

Mínimo

Recomendado

Máximo

Procesador 1.4GHZ 64 bits 2GHZ o superior
Memoria 512 MB 2 GB o más 32 GB standard / 4TB Datacenter
Espacio en disco 32 GB 40 GB instalación completa

De todas formas no suelo hacer mucho caso de las tablas, porque si después resulta que el 2012 ha de albergar un Exchange…??? entonces?

Recordemos eso sí, que sólo procesadores de 64 bits, se acabó el 32 bits para 2012.

Después decidiremos la versión que nos interesa, dos son las versiones existentes: Standard y Datacenter. Las diferencias vienen a ser por compatibilidad de hardware y VMs (máquinas virtuales), cada edición soporta una versión de Server Core.

Elegir instalación nueva o actualizar.

Si tenemos un entorno Windows, puede que queramos instalar un nuevo servidor o actualizar uno existente. Hay ventajas en cada una de las opciones.

¿Nueva?

No sufriremos los problemillas de la migración, software corrupto, configuraciones incorrectas o aplicaciones mal instaladas. Pero sin embargo, perdemos toda la configuración de esa instalación anterior. Las aplicaciones deben ser reinstaladas en cuanto terminemos con el sistema.

¿Actualización?

En contraste, una actualización reemplaza los archivos actuales pero mantiene los usuarios, configuraciones, derechos y permisos intactos. Aquí no necesitaremos reinstalar aplicaciones o restaurar datos. Por supuesto hemos de comprobar antes la compatibilidad de las aplicaciones, puede que no trabajen con 2012.

Aún así, antes de actualizar hay que realizar una copia de seguridad completa, datos y aplicaciones, sin olvidarnos del estado del sistema.

En caso de decidir actualizar: el servidor deberá estar ejecutando Windows Server 2008 R2, no se soportan actualizaciones con versiones anteriores(Un truco es primero actualizar la anterior a 2008 R2, aunque eso es bajo el riesgo de cada cual porque a veces… crash!).

Versión anterior

Actualización a 2012:

Windows Server 2008 R2 standard Standard o Datacenter
Windows Server 2008 R2 Enterprise Datacenter
Windows Server 2008 R2 Datacenter Datacenter

Comienza el camino:

– Server Core o con GUI?

Windows Server 2012 soporta más funcionalidades/Roles en su modo Core que la versión anterior Windows Server 2008 R2.

Una cosa importante es que desde Server Core podemos pasar a la versión con GUI con un comando y reiniciar. También existe algo intermedio, denominado Interfaz de servidor mínima (sin escritorio, IE, windows explorer), y que también podemos pasar a la completa GUI instalando la característica Server grafical shell.

grafical shell

– Información lista para cuando instalemos:

  • El nombre de la máquina: único para la red, mejor si hay una convención de nombrado, máximo de 63 caracteres (letras mayús-minús, números y el guión (-)).
  • Nombre del grupo de trabajo o dominio.
  • Dirección IP

Desde aquí ya podemos comenzar con la instalación.

Windows Server 2012 está aquí!

Con la publicación de una nueva versión de Windows, en este caso la 2012, siempre le acompañan preguntas, como: ¿Qué lleva de nuevo? ¿Cómo puedo aprovecharla en mi entorno? ¿Cómo hago para que funcione?

La parte  difícil para los profesionales no sólo es qué Microsoft libera una nueva versión cada par de años, sino que las aplicaciones deben actualizarse de forma regular, i la llegada de tecnologías basadas en la nube ofrecen alternativas a las organizaciones para escoger su plataforma tecnológica.

Entonces, ¿donde comienzo?

Bien, Windows Server 2012 se ha diseñado sobre la misma tecnología en la que Windows se ha estado ejecutando durante años. Garantizado: sólo hay versión de 64 bits, lo que supone, proporcionar alta disponibilidad, redundancia, alto rendimiento y escalabilidad para la empresa.

Con Windows Server 2012, Microsoft empaqueta una plataforma entera basada en un código base común que incluye, Windows 8 para tablets y sistemas clientes a través de Windows Server 2012 para Centros de datos y empresas. Las similitudes con una interfaz común con el nuevo estilo Metro, y donde también acaban.

Windows Server 2012 es la siguiente generación del sistema operativo Windows Server. Desde el inicio, se parece cualquier otra versión de Windows, tiene una barra de tareas y una consola en pantalla. De hecho más que un inicio en una pantalla negra inicia con la consola de administración del servidor.

administrador-del-servidor

Desde esta consola, los profesionales de IT podemos añadir funciones del servidor (Roles), configurar el propio servidor e iniciar las herramientas de administración, que al fin y al cabo son casi todas las tareas que realizan los administradores.

De todas formas, como creo que he mencionado, comparte la interfaz Metro, pero donde no hay botón Inicio. En su lugar, un encanto, apuntando abajo en la derecha de la pantalla, aparecen una serie de botones de ejecución rápida (incluyendo los de búsqueda y configuración del sistema)

Inicia

Pero debajo de esta superficie, poco a poco, veremos este nuevo servidor, las nuevas tecnologías y sus capacidades, de nombre: Windows Server 2012.