noticias
Serverspace Tecnologías en los Emiratos Árabes Unidos: lanzamiento de Falconcloud
Iniciar sesión Regístrate
DF
Sábado, Junio 29, 2022
Actualizado junio 7, 2023

Asegurado Windows Server Lista de verificación

Windows

Lista de verificación de seguros Windows Server:

El tema de la seguridad de los servidores ha sido y será relevante. Consideremos las reglas básicas para garantizar la seguridad de los servidores que ejecutan el sistema operativo de la familia Windows Server.

Instale periódicamente actualizaciones del sistema operativo y del software instalado.

En la vida cotidiana, existe la opinión de que Windows no necesita actualizaciones y generalmente es mejor apagarlas, supuestamente “para que el sistema no se vuelque”. Este es uno de los mayores errores. Es importante instalar las actualizaciones de manera oportuna, especialmente las críticas. Esta tarea se simplifica mediante una utilidad especial, que se puede encontrar en el sitio web oficial de Windows Update.

También es importante mantener actualizado el software relacionado instalado, incluidos DBMS, varios frameworks, y así sucesivamente.

Use software de fuentes confiables.

Le recomendamos que se asegure de que la fuente sea confiable antes de descargar el paquete de instalación del software, incluido el código abierto. A menudo sucede que un recurso visualmente similar al sitio web oficial distribuye software ya comprometido (Fishing). Es posible que se agregue un archivo con código malicioso al paquete de instalación.

Configura correctamente el firewall.

Es importante comprender que se puede acceder al servidor desde Internet. Por este motivo, el SO debe estar protegido por cualquier dispositivo que actúe como firewall. Si no existen tales dispositivos, entonces el Windows Firewall será la última esperanza de protección contra conexiones no autorizadas al servidor.

Cuantos menos puertos TCP/UDP estén disponibles desde el exterior, menos probable es que ataque el servidor. En este asunto, es importante comprender lo que necesita bloquear. Si estamos hablando de un servidor web, entonces los puertos TCP 80 y 443 deben dejarse disponibles (el servicio escucha en estos puertos por defecto).

Estos eran puertos públicos, pero no olvide que hay puertos a los que se debe proporcionar acceso de acuerdo con el principio de la lista “blanca”, es decir, solo a un determinado grupo de personas. Ejemplo de puertos:

  • 3389 - RDP (Protocolo de escritorio remoto);
  • 135-139 - NetBIOS;
  • 445 - Samba (compartir archivos y carpetas);
  • 5000 - 5050 - FTP en modo pasivo;
  • 1433 - 1434 - Puertos SQL;
  • 3306 - puerto estándar para MySQL;
  • 53 - DNS

No es difícil crear una regla. Abierto Menú de inicio→ Panel de control → Sistema y seguridad → Herramientas administrativas → Windows Firewall con Seguridad Avanzada.

Windows Server Manager

en el programaram ventana, derecha-click en "Reglas para conexiones entrantes". En el menú contextual que se abre, seleccione "Crear regla...".

Creating a rule

 

Cambie el nombre de la cuenta de administrador.

Utilice varias cuentas de administrador.

Si varias personas administran el servidor, debe crear una cuenta individual para cada una. Tal medida le permitirá rastrear al culpable de lo que sucedió.

Utilice una cuenta de usuario con derechos limitados.

No siempre es necesario utilizar una cuenta con derechos administrativos para realizar las tareas cotidianas. Le recomendamos que cree una cuenta con derechos limitados. Si la cuenta está comprometida, el atacante tendrá que intentar obtener derechos de administrador y hacer algunas cosas malas será mucho más complejo para él. Además, tal medida puede ayudar a salvar al servidor de sus propias acciones.

En caso de acceso no autorizado bajo la cuenta de administrador, el atacante tendrá acceso completo al sistema.

Restrinja el uso compartido de archivos y carpetas, habilite la protección con contraseña.

Le recomendamos encarecidamente que no comparta conexiones con usuarios anónimos o usuarios sin contraseña. Incluso si los archivos almacenados en carpetas no tienen ningún valor, nada impide que un atacante reemplace su archivo con un archivo con contenido malicioso. Las consecuencias de tal cambio pueden ser muy diferentes.

Además de utilizar la protección con contraseña, recomendamos restringir a diferentes usuarios en el nivel de acceso tanto a archivos como a carpetas (lectura, escritura, cambio).

Habilite la solicitud de una contraseña para iniciar sesión al salir del modo inactivo, así como la desconexión de sesiones cuando esté inactivo.

Cuando utilice un servidor físico (no remoto ni virtual), se recomienda habilitar la solicitud de contraseña de usuario al despertar. Este ajuste se configura en el panel de control: Panel de control → Todos los elementos del panel de control → Opciones de energía.

También es importante establecer límites de inactividad del usuario, y “al regresar” solicitar una contraseña. Esto excluirá la posibilidad de que otra persona inicie sesión en nombre del usuario si abandonó u olvidó cerrar el RDP sesión. Para configurar este elemento, utilice el secpol.msc establecimiento de políticas locales.

Utilice el asistente de configuración de seguridad.

(SCW: asistente de configuración de seguridad) le permite crear archivos XML de políticas de seguridad, que luego se pueden transferir a otros servidores. Estas políticas incluyen no solo las reglas de uso del servicio, sino también la configuración general del sistema y Firewall reglas.

Configurar correctamente las políticas de seguridad.

Además de la configuración inicial de las políticas de grupo de Active Directory, deben revisarse y reconfigurarse periódicamente. Esta es una de las principales formas de garantizar la seguridad de los Windows infraestructura.

Para la conveniencia de administrar políticas de grupo, puede usar no solo la utilidad gpmc.msc integrada en Windows Server, sino también el (Gerente de Cumplimiento de Seguridad SCM).

, utilidad ofrecida por Microsoft.

Utilice políticas de seguridad locales.

Además de usar las políticas de seguridad de grupo de Active Directory, también debe usar políticas locales que afecten los derechos de los usuarios remotos y las cuentas locales.

Para administrar las políticas locales, puede usar el complemento "Política de seguridad local" apropiado, llamado por el secpol.msc comando desde Inicio -> Ejecutar (Windows tecla + R).

Proteger el servicio de escritorio remoto (RDP).

  1. Bloquear RDP conexiones para usuarios con una contraseña en blanco.

La presencia de usuarios sin contraseña es inaceptable, pero si esto no se puede evitar, al menos puede deshabilitar la conexión a RDP. Para hacer esto, abra Inicio → Herramientas administrativas.

Windows Administartive tools

En el directorio que se abre, ejecute el Política de seguridad local.

Local Security Policy

En la ventana Políticas de seguridad local, a la izquierda, seleccione Políticas locales → Opciones de seguridad. En la parte principal de la ventana, encontramos "Cuentas: limite el uso de la cuenta local de contraseñas en blanco al inicio de sesión de la consola únicamente".

Limit local account use of blank passwords

Seleccione este elemento haciendo doble-clihaciendo clic y mueva el interruptor a la posición “Discapacitado" posición. Presione el "OK.

Disable Local security setting

Cambiar por defecto RDP Puerto TCP.

Reemplazar los números de puerto TCP de los servicios estándar con otros valores puede aumentar la seguridad del servidor, lo principal es no olvidar el nuevo número de puerto.

Para cambiar un puerto:

  1. Abra la Windows Editor del registro - Windows + R
  2. Por si acaso, creamos una copia de seguridad del registro (Archivo → Exportar)
  3. Ampliar la sucursal HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP y, en la parte derecha de la ventana, busque el PortNumber paraméter.
  4. Port number
  5. Abra la opción haciendo doble-clihaciendo clic en el ratón. En la ventana que se abre, selecciona el Sistema de cálculo: Decimal, especifique un nuevo valor de puerto, climarque el “OKy cierre la ventana del editor de registro.

Changing Port Number

Para poder conectarnos al servidor, creamos una regla apropiada para el Windows Firewall. Derecha-click en "Reglas de entrada"y seleccione"Nueva regla" del menú contextual.

New rule for Windows Firewall

En elWizards” ventana, seleccione “para puerto"

Choosing "For Port"

Luego seleccione "Protocolo TCP,Puertos Locales Específicos” y especifique un nuevo número de puerto.

Select a new port

Como siguiente paso es seleccionar "Permitir la conexión"

Allow connection

Configuramos para que redes se aplicará la regla, marcamos las necesarias con daws.

Put all ticks

En el paso final, especifique el nombre de la regla y una descripción para ella.

Select a name and optionally a description for your rule

Reinicie el servidor para aplicar los cambios.

Para conectarnos a un escritorio remoto, ahora usamos una dirección IP o un nombre de dominio, y especificamos el puerto mediante dos puntos.

Checking new rule

Configure la puerta de enlace de servicios de terminal.

El servicio "Puerta de enlace de TS (Servicios de escritorio remoto)" le permite asegurar una conexión de escritorio remoto mediante el HTTPprotocolo S(SSL), evitando así que el administrador del sistema tenga que configurar un VPN. La herramienta puede controlar de manera integral el acceso a las máquinas, así como establecer reglas y requisitos de autorización para usuarios remotos, por ejemplo:

  • Usuarios o grupos de usuarios a los que se les permite conectarse a los recursos de la red interna;
  • Recursos de red a los que los usuarios pueden conectarse;
  • Ya sea cliLas computadoras ent deben tener membresía de Active Directory;
  • Ya sea cliLos participantes deben usar una autenticación basada en tarjeta inteligente o contraseña, o pueden usar uno de los métodos de autenticación anteriores.

La lógica de funcionamiento de Remote Desktop Gateway requiere el uso de una máquina separada. Sin embargo, no prohíbe el uso de una máquina virtual independiente.

Instale el servicio de puerta de enlace TS.

Abra el Administrador del servidor.

Open a Server Manager

Seleccionar "Agregar roles y características"

Creating a rule

En el "Tipo de instalación” etapa, seleccione “Instalar funciones y características".

Select role

El siguiente paso es seleccionar el servidor actual.

Select a server

rol de servidor - Servicio de escritorio remoto.

Choosing a Remote Desktop

Pasemos al servicio de roles. Seleccione "Puerta de enlace de escritorio remoto".

Install Remote Desktop Gateway

Pasamos a la etapa de confirmación, climarque el "Instalar.

Accept installing

Instalación de un certificado SSL.

Después de instalar el rol, en la ventana Administrador del servidor, seleccione Herramientas → Servicios de escritorio remoto → Administrador de puerta de enlace de escritorio remoto.

Remote Desktop Gateway Manager

En la ventana que se abre, en su parte izquierda, click en el icono del servidor. En la parte principal de la ventana, seleccione "Ver y cambiar las propiedades del certificado".

Properties

En elPropiedades” ventana que se abre, vaya a la “Certificado SSL" pestaña. Seleccione el elemento "Crear un certificado autofirmado", click el botón "Crear e importar un certificado".

SSL Sertificate

Si tiene un certificado creado anteriormente, puede usar una de las siguientes opciones, según quién lo haya emitido.

En la nueva ventana, verifique la configuración. Si todo es correcto, click “OK.

Creating a SSL

Con una nueva ventana, el sistema le notificará la creación exitosa del certificado y le dará la ruta al archivo.

Created certificate

Vaya a la ventana de propiedades del servidor. Click "Aplicá".

Apply a new certificate

Solo queda configurar las políticas de grupo.

En elAdministrador de puerta de enlace de escritorio remoto" ventana, en la columna izquierda, expanda la rama del servidor, seleccione "Políticas internas", entonces "Políticas de autorización de conexión”. En la columna derecha de la misma ventana, seleccione “Crear una nueva política" "Wizard.

New policy in the RD Gateway Manager

En la nueva ventana, seleccione "Crear solo una política de autorización de conexión de escritorio remoto", click "Siguiente".

Only RD CAP

Especifique el nombre deseado para la política. Le recomendamos que introduzca el nombre en latín.

A name for a new policy

El siguiente paso es elegir un método de autenticación conveniente: una contraseña o un tarjeta electrónica. Deja solo "Contraseña"comprobado. Climarque el "Añadir grupo..."

Adding a group

En la ventana de selección de grupo, click en el "Avanzado.

Advanced

El tamaño de la ventana cambiará. Clihaga clic en el “Buscar" botón. En los resultados encontrados, seleccione "Administradores del dominio"Y climarque el "OK.

Adding a new group

En la ventana de selección de grupos, verifique los nombres de los objetos seleccionados y click “OK.

Check the selected group

El grupo ha sido agregado. Para continuar con el siguiente paso, climarque el "Siguiente.

En el siguiente paso, seleccione el elemento "Habilitar la redirección de dispositivos para todos clidispositivos ent"Y click “Siguiente.

Enable device redirection

Configure los tiempos de espera de la sesión. Y acciones posteriores a su vencimiento. Recomendamos desconectar la sesión para que los procesos de usuario en segundo plano no ocupen CPU en las transacciones. Click "Siguiente".

CPU time

En la última etapa, vemos el resumen, click “Acabado.

Click Finish
Para confirmar la creación de la política, click "Cerrar".

Click Close

Configure una política de autorización de recursos.

El proceso se lleva a cabo de manera similar al anterior.

En la ventana Administrador de puerta de enlace de Escritorio remoto, expanda el Políticas → Políticas de autorización de conexión rama. En la parte derecha de la ventana, seleccione “Crear una nueva política” → “Asistente”.

New policy in the RD Gateway Manager

En la ventana que se abre, seleccione "Crear solo una política de autorización de recursos de escritorio remoto", climarque el "Siguiente.

Onlu RD RAP

 

El primer paso es especificar el nombre deseado para la política de autorización. Le recomendamos encarecidamente que especifique el nombre en latín. Presionamos el “Siguiente".

Name for new RD RAP

 

En la ventana de selección de grupo, click en el "Avanzado.

Advanced

La ventana cambiará de tamaño. Presione el "Buscarbotón ". En los resultados de búsqueda, busque "Administradores del dominio"Y climarque el "OK.

Adding a new group

En la ventana de selección de grupos, verifique los nombres de los objetos seleccionados y click “OK.

Check the selected group

El grupo ha sido agregado. Para continuar con el siguiente paso, climarque el "Siguiente.

 

En el siguiente paso, permitimos que los usuarios se conecten a cualquier recurso de red. Para ello, seleccione la opción adecuada y climarque el “Siguiente".

Any networks

Configure los puertos permitidos. Si el puerto de la RDP servidor no ha sido cambiado, entonces deje 3389. Click “Siguiente.

Select a port

El paso final es verificar la configuración y climarque el “Acabado".

Finish

En la ventana actualizada, click "Cerrar".

Close

Aislar roles de servidor. Deshabilitar los servicios no utilizados.

En la etapa de planificación preliminar de la arquitectura de la red, una de las tareas principales es planificar los riesgos en caso de falla de cualquier elemento de la red. Puede haber muchas razones para esto, desde fallas en el equipo hasta "piratería" desde el exterior. Cuantas más funciones se asignen al servidor, más graves serán las consecuencias si el servidor falla. Para minimizar los riesgos y daños, debe, si es posible, delinear las funciones del servidor en la etapa de diseño. Deshabilitar los servicios y roles de servidor que se necesitan también tendrá un efecto positivo en su funcionamiento.

El caso ideal es que un servidor realice una función específica, como un controlador de dominio, un servidor de archivos o un servidor de terminales. En la práctica, tal separación de roles es difícil de lograr.

El aislamiento de roles también puede ser manejado por servidores virtuales. Las modernas tecnologías de virtualización ofrecen un alto nivel de rendimiento y estabilidad, mientras que ni el administrador ni el usuario experimentan restricciones. El hardware correctamente seleccionado y las piezas de software configuradas pueden ser un reemplazo completo para toda una flota de equipos.

Visión general de Windows Nano servidor.

Nano Servidor se convirtió en un nuevo desarrollo de Windows Server Core. Esta versión del kit de distribución excluye el uso de una interfaz gráfica de usuario. Toda la gestión se centra en WMI - Windows Instrumentación de Gestión, así como Windows Potencia Shell. Este Windows Server la distribución tiene un 92 % menos de recomendaciones críticas de seguridad. Nano Server solo está disponible para clientes de Microsoft Software Assurance y plataformas de computación en la nube como Microsoft Azure y Amazon Web Services. Empezando con Windows Server build 1709, Nano Server solo se puede instalar dentro de un host de contenedor.

Votar:
4 de 5
Calificación promedio: 4.5
Calificado por: 4
1101 CT Ámsterdam Países Bajos, Herikerbergweg 292
+31 20 262-58-98
700 300
ITGLOBAL.COM NL
700 300

¡Gracias! Indique el motivo de la baja calificación para que podamos mejorar el artículo.

Crear una cuenta

o regístrate con

Al registrarte aceptas las Términos de Servicio.

Utilizamos cookies para hacer que su experiencia en el Serverspace mejor. Al continuar navegando en nuestro sitio web, usted acepta nuestros
Uso de Cookies y Política de Privacidad.