Autor: juansa

Como sabemos, AD habilita a las aplicaciones a encontrar, usar y gestionar los propios recursos del directorio en un entorno distribuido. Para obtener información detallada en cuestión de diseño de AD necesitaríamos de un libro entero, pero aún así la guía de MS discute estos conceptos con el fin de establecer un contexto que sirva para seguirla, ya que se ha de entender el uso de las GPOs para una administración segura de dominios, controladores de dominio y funciones de servidor específicas. La guía no ofrece una orientación específica para asegurar el directorio de AD, pero si nos indica mediante un vínculo donde podemos encontrar un documento «Best Practice Guide for Securing Active Directory Installations»
http://www.microsoft.com/downloads/details.aspx?FamilyID=4e734065-3f18-488a-be1e-f03390ec5f91&DisplayLang=en
que al fin y al cabo es otra guía práctica.

Si creamos una infrestructura de AD debemos considerar encarecidamente los límites de seguridad del entorno. Valorando adecuadamente la implementación y la delegación, obtendremos un diseño más seguro y que en caso de grandes cambios del propio entorno sólo sería necesario restructurar el diseño inicial.

Cuando hablamos de límites de AD nos referimos a los que definen el bosque, el dominio, la topología de sitios y la delegación de permisos, que son normal y automáticamente establecidos cuando se instala AD. Sin embargo hay que asegurarse que límites de permisos incorporamos a las políticas y requerimientos organizativos. La delegación de permisos administrativos pueden ser bastante flexibles para acomodarse a las necesidades de distintos tipos de organización. Por ejemplo, para el mantenimiento de un balance adecuado entre seguridad y funcionalidad administrativa podemos dividir los límites de la delegación de permisos entre: límites de seguridad y límites administrativos.

Tres…. son los caminos de que disponemos para la aplicación de las directivas (políticas).

1. Aplicarlas desde el GUI de SCW


2. Aplicarlas con el comando de línea de comandos Scwcmd


3. Convertir la política SCW en GPO y enlazarla al dominio o OU.

Cada opción tiene sus propias ventajas e inconvenientes.

Aplicarlas desde el GUI de SCW.

La principal ventaja es la simplicidad. El GUI permite fácilmente elegir una política predefinida y aplicarla en un equipo.
La desventaja es la de poder aplicar políticas en un sólo equipo a la vez. No parece un camino adecuado para entornos grandes y la guía de MS no lo contempla.

Aplicarlas con Scwcmd.

Opción muy interesante para aplicar las políticas a múltiples equipos sin AD. También podría combinarse con el uso de scripts para proporcionar cierto grado de implantación de políticas automatizado, quizás como parte de un proceso existente que se usa para instalar e implantar servidores.
La mayor desventaja de Scwcmd es que no es automático. Se tiene que especificar la política y el servidor elegido, manualmente o mediante algún script, lo que significa que hay múltiples posibilidades de aplicar la política incorrecta al equipo incorrecto. Si tenemos servidores en un grupo con configuraciones ligeramente distintas, necesitaremos manualmente políticas separadas para cada uno de aquéllos equipos y aplicarlas separadamente. La guía de MS tampoco trata estas limitaciones ni usa este camino.

Convertir las políticas SCW a GPOs

Este tercer camino usa el comando Scwcmd para convertir la política desde su XML a GPO. Aunque en principio esta conversión parezca un paso innecesario, encontramos las siguientes ventajas:

• Las políticas se replican, implantan y aplican con mecanismos familiares basados en Directorio Activo.


• Al ser GPOs nativas, las políticas pueden utilizarse con OUs, herencia y políticas incrementales para afinar la fortificación de servidores que están configurados de forma similar. Con Directivas de Grupo, podemos colocar estos servidores en una OU hija y aplicarles la política incremental, mientras que con SCW habría que crear una política para cada configuración.


• Las políticas se aplican automáticamente a todos los servidores pertenecientes a una OU. Las de SCW han de ser aplicadas manualmente o en combinación con algún script.

Podemos usar SCW para crear y comprobar, con bastante rapidez, directivas de seguridad para varios servidores desde un único equipo. Esta capacidad nos permite gestionar directivas en toda la empresa desde un mismo sitio. Las directivas nos proporcionan consistencia y medidas soportadas de fortificación que son apropiadas para las funciones que desempeñan cada servidor dentro de la empresa. Si usamos SCW para la creación y comprobación de las directivas deberíamos desplegar SCW a todos los servidores elegidos. Aunque creemos la directiva en una estación, SCW intentará comunicarse con los servidores elegidos para inspeccionar su configuración y afinar la directiva resultante.

SCW está integrado con los subsistemas IPsec y Windows Firewall y modificara sus ajustes adecuadamente. A menos que se evite, SCW configurará Windows Firewall para permitir tráfico de red de entrada a los puertos que requiere el sistema, así como a las aplicaciones que se encuentren a la escucha (listenning). Si se necesitan más filtrados de puertos, SCW puede crearlos. Por consiguiente, las directivas hechas con SCW necesitan la personalización de scripts para ajustar o modificar filtros IPsec para bloquear tráfico indeseado. Esta capacidad simplifica la administración de la fortificación de la red. La configuración de filtros de red para servicios que usan RPC o puertos dinámicos pueden simplificarse.

SCW proporciona además la capacidad de personalizar significativamente las directivas que creamos. Esta flexibilidad nos ayuda en la creación de una configuración que permite una funcionalidad necesaria pero que también reduce los riesgos de seguridad. Como suma a los comportamientos y ajustes básicos, podemos sobreescribir las siguientes áreas:

• Servicios


• Puertos de red


• Excepciones de aplicación de Windows Firewall


• Ajustes del registro


• Ajustes de IIS


• Inclusión de plantillas de seguridad pre-existentes.(archivos .inf)

SCW nos advierte sobre algunos de los más importantes ajustes del registro. Para reducir la complejidad de la herramienta, sus diseñadores eligieron incluir tan sólo aquéllos ajustes que tienen gran impacto en seguridad. Sin embargo, la guía discute muchos más ajustes del registro. Para superar las limitaciones de esta herramienta podemos combinar plantillas de seguridad con los resultados obtenidos desde SCW para crear una configuración más completa.

Cuando usemos SCW para crear una directiva nueva ésta se basa en la configuración actual del servidor como configuración inicial. Por eso, debemos elegir un servidor del mismo tipo como aquéllos a los que deseamos implantar la directiva que vamos a crear. El GUI de SCW nos crea un archivo XML y lo guarda de manera predefinida en %systemdir%securitymsscwPolicies. Después de crear nuestras directivas, podemos usan tanto el GUI como la línea de comandos para aplicarlas a los servidores de comprobación.

Cuando vayamos a probar las directivas puede que existan otras en uso, podemos quitarlas mediante SCW o la línea de comandos con lo que se guardará en un archivo XML la configuración previa.

Que sepan Vds. que MS dispone de una guía llena de técnicas, orientación, etc… para ello.
http://www.microsoft.com/downloads/details.aspx?FamilyId=8A2643C1-0685-4D89-B655-521EA6C7B4DB&displaylang=en

Diremos que disponemos de algunas posibilidades para fortificar nuestro servidor con 2003+SP1:
– El asistente de configuración de seguridad (Security Configuration Wizard) o SCW, con el que podemos crear, comprobar y desplegar directivas de fortificación basadas en diferentes funciones de servidor (web, sql, etc…).
– Mediante la utilización de directivas, GPOs, en un entorno Active Directory.
– Diseñando el dominio, OU, GPO y grupos administrativos, ya que afectan a la seguridad.
– Usarlas todas a la vez, ¿que tal?

¿Cuál puede ser el problema?
Pues que cualquier cambio en la configuración de seguridad puede afectar a parte de otras configuraciones de forma negativa o inesperada por nosotros, por lo que es importante comprobar bien dichos cambios antes de aplicarlos definitivamente en un entorno de productividad.

SCW es un asistente y como tal sigue un guión, es decir, lo inicias y lo vas siguiendo mientras se le indica las posibilidades que queremos ir aplicando o configurando; al final, podemos guardar varias plantillas, aplicarlas, aplicarlas en otros servidores, etc…(Algo a grosso modo tenía yo por ahí: http://msmvps.com/blogs/juansa/search.aspx?q=SCW&p=1)

Por supuesto es fácilmente deducible que su propósito es proporcionar un proceso paso a paso bastante flexible para reducir la superfície de ataque de los servidores W2k3+SP1. También que es un conjunto de herramientas que se combinan con bases de datos XML. Su objetivo es ayudar a determinar un mínimo de funcionalidad requerida para cada función de servidor (rol) que los servidores pueden tener específicamente.
La verdad es que no es difícil de utilizar y nos sirve para realizar pruebas, además de poder regresar al punto de partida.

• Determina los servicios que deben estar activos, cuales necesitar ejecutarse al ser requeridos y cuales pueden deshabilitarse.


• Se combina con Windows Firewall y administrar el filtrado de puertos de red.


• Controlar que extensiones de IIS se permiten para los servidores Web.


• Reducir la exposición de protocolos, SMB, NetBIOS, CIFS o LDAP.


• Crear útiles auditorías de directivas que capturan eventos de interés.

Encontraremos documentación de SCW en: http://www.microsoft.com/downloads/details.aspx?FamilyID=903fd496-9eb9-4a45-aa00-3f2f20fd6171&displaylang=en

NOTA MAYÚSCULA: SCW es sólo para Windows Server 2003+SP1, NO PARA w2k, XP o SBS 2003.

Un Webcast interesante sobre la próxima versión servidor de MS con demo incluída.

http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032294712&Culture=en-US

·  TITLE: Installing, Configuring, and Managing Server Roles in Windows Server “Longhorn” (Level 300)

·  DATE: Wednesday, May 31

·  TIME:  Start is 1:00pm Redmond, WA, USA time

 

Animaos!!

Punto de información sobre Network Access Protection.

http://blogs.msdn.com/nap/archive/2006/05/04/590467.aspx

 

El sitio web del popular complemento (add-in) MZ-Tools
(http://www.mztools.com) del MVP Carlos Quintero para los entornos VB6, VB5,
VBA, VS.NET 2002/2003 y VS 2005 ha sido traducido al español junto con los
programas de instalación de las distintas versiones del producto, de manera
que el inglés ya no sea una barrera para los desarrolladores que no están
cómodos con ese idioma. Aunque la interfaz de usuario de dicho producto
estaba traducida al español desde sus orígenes, el sitio web estaba sólo en
inglés.

MZ-Tools es una familia de complementos, algunos de ellos gratuitos, para
los distintos entornos de desarrollo (IDEs) de Microsoft que mejora la
productividad añadiendo más de 40 funcionalidades mediante una barra de
botones y distintos menús, permitiendo escribir, buscar código o diseñar
formularios más deprisa, documentar las aplicaciones, etc.

Más información en http://www.mztools.com

Primero debemos asegurarnos que  la consola de administración de impresoras  de Windows 2003 está instalada. Podemos hacerlo mediante el asistente de Configurar tu Servidor (Configure your server wizard), iniciamos el asistente y agregamos la función de Servidor de Impresión.

Una vez que tenemos la consola podemos acceder desde las Herramientas Administrativas.

Por ejemplo: Tenemos instalada la administración de impresoras en un R2 cuyo nombre es SERVER121, es un controlador de dominio dentro del dominio.local.  La Administración de impresoras puede examinar la red en busca de cualquier impresora presente y proceder a la instalación de sus controladores, así como las colas de impresión para el uso del servidor como servidor de impresión.

Abrimos el nodo de servidores de impresión de la consola de administración y vemos que se nos muestra el servidor.

Con clic derecho podemos seleccionar automáticamente agregar impresoras de red. Mediante una ventana de diálogo se examinará la subred buscando impresoras.

Encontrada cualquier impresora se instalarán sus controladores y se creará su cola de impresión, además se compartirá automáticamente. En todo caso deberemos indicar el lugar donde se encuentren los controladores de forma manual.

También podemos agregar otros servidores de impresión existentes en la red (que no sea el propio local), haciendo clic derecho sobre el nodo de servidores de impresión y seleccionando Agregar/Eliminar Servidores. La opción nos ofrecerá la posibilidad de especificar el servidor a agregar o a examinar la red para buscarlo, luego pulsamos en el botón de agregar y ya está.

Con clic derecho sobre cualquiera de las impresoras que se nos muestran en los distintos nodos de servidores añadidos, accedemos a una serie de configuraciones como:

• Ver la cola de impresión de la impresora.
  
• Parar o reiniciar la cola de impresión de la impresora.
  
• Cancelar cualquier trabajo pendiente, si lo hay.
  
• Configurar varias propiedades de las hojas.
  
• Imprimir una página de comprobación.