Regístrate
Condiciones
SobreServerspace
Infraestructura
NubeVPS
Soluciones
Productos
Tutoriales
Para Socios
07.06.2023

Asegurado Windows Server Lista de verificación

Lista de verificación de seguros Windows Server:

El tema de la seguridad de los servidores ha sido y será relevante. Consideremos las reglas básicas para garantizar la seguridad de los servidores que ejecutan el sistema operativo de la familia Windows Server.

Instale periódicamente actualizaciones del sistema operativo y del software instalado.

En la vida cotidiana, existe la opinión de que Windows no necesita actualizaciones y generalmente es mejor apagarlas, supuestamente “para que el sistema no se vuelque”. Este es uno de los mayores errores. Es importante instalar las actualizaciones de manera oportuna, especialmente las críticas. Esta tarea se simplifica mediante una utilidad especial, que se puede encontrar en el sitio web oficial de Windows Update.

También es importante mantener actualizado el software relacionado instalado, incluidos DBMS, varios frameworks, y así sucesivamente.

Use software de fuentes confiables.

Le recomendamos que se asegure de que la fuente sea confiable antes de descargar el paquete de instalación del software, incluido el código abierto. A menudo sucede que un recurso visualmente similar al sitio web oficial distribuye software ya comprometido (Fishing). Es posible que se agregue un archivo con código malicioso al paquete de instalación.

Configura correctamente el firewall.

Es importante comprender que se puede acceder al servidor desde Internet. Por este motivo, el SO debe estar protegido por cualquier dispositivo que actúe como firewall. Si no existen tales dispositivos, entonces el Windows Firewall será la última esperanza de protección contra conexiones no autorizadas al servidor.

Cuantos menos puertos TCP/UDP estén disponibles desde el exterior, menos probable es que ataque el servidor. En este asunto, es importante comprender lo que necesita bloquear. Si estamos hablando de un servidor web, entonces los puertos TCP 80 y 443 deben dejarse disponibles (el servicio escucha en estos puertos por defecto).

Estos eran puertos públicos, pero no olvide que hay puertos a los que se debe proporcionar acceso de acuerdo con el principio de la lista “blanca”, es decir, solo a un determinado grupo de personas. Ejemplo de puertos:

No es difícil crear una regla. Abierto Menú de inicio→ Panel de control → Sistema y seguridad → Herramientas administrativas → Windows Firewall con Seguridad Avanzada.

en el programaram ventana, derecha-click en "Reglas para conexiones entrantes". En el menú contextual que se abre, seleccione "Crear regla...".

 

Cambie el nombre de la cuenta de administrador.

Utilice varias cuentas de administrador.

Si varias personas administran el servidor, debe crear una cuenta individual para cada una. Tal medida le permitirá rastrear al culpable de lo que sucedió.

Utilice una cuenta de usuario con derechos limitados.

No siempre es necesario utilizar una cuenta con derechos administrativos para realizar las tareas cotidianas. Le recomendamos que cree una cuenta con derechos limitados. Si la cuenta está comprometida, el atacante tendrá que intentar obtener derechos de administrador y hacer algunas cosas malas será mucho más complejo para él. Además, tal medida puede ayudar a salvar al servidor de sus propias acciones.

En caso de acceso no autorizado bajo la cuenta de administrador, el atacante tendrá acceso completo al sistema.

Restrinja el uso compartido de archivos y carpetas, habilite la protección con contraseña.

Le recomendamos encarecidamente que no comparta conexiones con usuarios anónimos o usuarios sin contraseña. Incluso si los archivos almacenados en carpetas no tienen ningún valor, nada impide que un atacante reemplace su archivo con un archivo con contenido malicioso. Las consecuencias de tal cambio pueden ser muy diferentes.

Además de utilizar la protección con contraseña, recomendamos restringir a diferentes usuarios en el nivel de acceso tanto a archivos como a carpetas (lectura, escritura, cambio).

Habilite la solicitud de una contraseña para iniciar sesión al salir del modo inactivo, así como la desconexión de sesiones cuando esté inactivo.

Cuando utilice un servidor físico (no remoto ni virtual), se recomienda habilitar la solicitud de contraseña de usuario al despertar. Este ajuste se configura en el panel de control: Panel de control → Todos los elementos del panel de control → Opciones de energía.

También es importante establecer límites de inactividad del usuario, y “al regresar” solicitar una contraseña. Esto excluirá la posibilidad de que otra persona inicie sesión en nombre del usuario si abandonó u olvidó cerrar el RDP sesión. Para configurar este elemento, utilice el secpol.msc establecimiento de políticas locales.

Utilice el asistente de configuración de seguridad.

(SCW: asistente de configuración de seguridad) le permite crear archivos XML de políticas de seguridad, que luego se pueden transferir a otros servidores. Estas políticas incluyen no solo las reglas de uso del servicio, sino también la configuración general del sistema y Firewall reglas.

Configurar correctamente las políticas de seguridad.

Además de la configuración inicial de las políticas de grupo de Active Directory, deben revisarse y reconfigurarse periódicamente. Esta es una de las principales formas de garantizar la seguridad de los Windows infraestructura.

Para la conveniencia de administrar políticas de grupo, puede usar no solo la utilidad gpmc.msc integrada en Windows Server, sino también el (Gerente de Cumplimiento de Seguridad SCM).

, utilidad ofrecida por Microsoft.

Utilice políticas de seguridad locales.

Además de usar las políticas de seguridad de grupo de Active Directory, también debe usar políticas locales que afecten los derechos de los usuarios remotos y las cuentas locales.

Para administrar las políticas locales, puede usar el complemento "Política de seguridad local" apropiado, llamado por el secpol.msc comando desde Inicio -> Ejecutar (Windows tecla + R).

Proteger el servicio de escritorio remoto (RDP).

  1. Bloquear RDP conexiones para usuarios con una contraseña en blanco.

La presencia de usuarios sin contraseña es inaceptable, pero si esto no se puede evitar, al menos puede deshabilitar la conexión a RDP. Para hacer esto, abra Inicio → Herramientas administrativas.

En el directorio que se abre, ejecute el Política de seguridad local.

En la ventana Políticas de seguridad local, a la izquierda, seleccione Políticas locales → Opciones de seguridad. En la parte principal de la ventana, encontramos "Cuentas: limite el uso de la cuenta local de contraseñas en blanco al inicio de sesión de la consola únicamente".

Seleccione este elemento haciendo doble-clihaciendo clic y mueva el interruptor a la posición “Discapacitado" posición. Presione el "OK.

Cambiar por defecto RDP Puerto TCP.

Reemplazar los números de puerto TCP de los servicios estándar con otros valores puede aumentar la seguridad del servidor, lo principal es no olvidar el nuevo número de puerto.

Para cambiar un puerto:

  1. Abra la Windows Editor del registro - Windows + R
  2. Por si acaso, creamos una copia de seguridad del registro (Archivo → Exportar)
  3. Ampliar la sucursal HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-TCP y, en la parte derecha de la ventana, busque el PortNumber paraméter.
  5. Abra la opción haciendo doble-clihaciendo clic en el ratón. En la ventana que se abre, selecciona el Sistema de cálculo: Decimal, especifique un nuevo valor de puerto, climarque el “OKy cierre la ventana del editor de registro.

Para poder conectarnos al servidor, creamos una regla apropiada para el Windows Firewall. Derecha-click en "Reglas de entrada"y seleccione"Nueva regla" del menú contextual.

En elWizards” ventana, seleccione “para puerto"

Luego seleccione "Protocolo TCP,Puertos Locales Específicos” y especifique un nuevo número de puerto.

Como siguiente paso es seleccionar "Permitir la conexión"

Configuramos para que redes se aplicará la regla, marcamos las necesarias con daws.

En el paso final, especifique el nombre de la regla y una descripción para ella.

Reinicie el servidor para aplicar los cambios.

Para conectarnos a un escritorio remoto, ahora usamos una dirección IP o un nombre de dominio, y especificamos el puerto mediante dos puntos.

Configure la puerta de enlace de servicios de terminal.

El servicio "Puerta de enlace de TS (Servicios de escritorio remoto)" le permite asegurar una conexión de escritorio remoto mediante el HTTPprotocolo S(SSL), evitando así que el administrador del sistema tenga que configurar un VPN. La herramienta puede controlar de manera integral el acceso a las máquinas, así como establecer reglas y requisitos de autorización para usuarios remotos, por ejemplo:

La lógica de funcionamiento de Remote Desktop Gateway requiere el uso de una máquina separada. Sin embargo, no prohíbe el uso de una máquina virtual independiente.

Instale el servicio de puerta de enlace TS.

Abra el Administrador del servidor.

Seleccionar "Agregar roles y características"

En el "Tipo de instalación” etapa, seleccione “Instalar funciones y características".

El siguiente paso es seleccionar el servidor actual.

rol de servidor - Servicio de escritorio remoto.

Pasemos al servicio de roles. Seleccione "Puerta de enlace de escritorio remoto".

Pasamos a la etapa de confirmación, climarque el "Instalar.

Instalación de un certificado SSL.

Después de instalar el rol, en la ventana Administrador del servidor, seleccione Herramientas → Servicios de escritorio remoto → Administrador de puerta de enlace de escritorio remoto.

En la ventana que se abre, en su parte izquierda, click en el icono del servidor. En la parte principal de la ventana, seleccione "Ver y cambiar las propiedades del certificado".

En elPropiedades” ventana que se abre, vaya a la “Certificado SSL" pestaña. Seleccione el elemento "Crear un certificado autofirmado", click el botón "Crear e importar un certificado".

Si tiene un certificado creado anteriormente, puede usar una de las siguientes opciones, según quién lo haya emitido.

En la nueva ventana, verifique la configuración. Si todo es correcto, click “OK.

Con una nueva ventana, el sistema le notificará la creación exitosa del certificado y le dará la ruta al archivo.

Vaya a la ventana de propiedades del servidor. Click "Aplicá".

Solo queda configurar las políticas de grupo.

En elAdministrador de puerta de enlace de escritorio remoto" ventana, en la columna izquierda, expanda la rama del servidor, seleccione "Políticas ", entonces "Políticas de autorización de conexión”. En la columna derecha de la misma ventana, seleccione “Crear una nueva política" "Wizard.

En la nueva ventana, seleccione "Crear solo una política de autorización de conexión de escritorio remoto", click "Siguiente".

Especifique el nombre deseado para la política. Le recomendamos que introduzca el nombre en latín.

El siguiente paso es elegir un método de autenticación conveniente: una contraseña o un tarjeta electrónica. Deja solo "Contraseña"comprobado. Climarque el "Añadir grupo..."

En la ventana de selección de grupo, click en el "Avanzado.

El tamaño de la ventana cambiará. Clihaga clic en el “Buscar" botón. En los resultados encontrados, seleccione "Administradores del dominio"Y climarque el "OK.

En la ventana de selección de grupos, verifique los nombres de los objetos seleccionados y click “OK.

El grupo ha sido agregado. Para continuar con el siguiente paso, climarque el "Siguiente.

En el siguiente paso, seleccione el elemento "Habilitar la redirección de dispositivos para todos clidispositivos ent"Y click “Siguiente.

Configure los tiempos de espera de la sesión. Y acciones posteriores a su vencimiento. Recomendamos desconectar la sesión para que los procesos de usuario en segundo plano no ocupen CPU en las transacciones. Click "Siguiente".

En la última etapa, vemos el resumen, click “Acabado.


Para confirmar la creación de la política, click "Cerrar".

Configure una política de autorización de recursos.

El proceso se lleva a cabo de manera similar al anterior.

En la ventana Administrador de puerta de enlace de Escritorio remoto, expanda el Políticas → Políticas de autorización de conexión rama. En la parte derecha de la ventana, seleccione “Crear una nueva política” → “Asistente”.

En la ventana que se abre, seleccione "Crear solo una política de autorización de recursos de escritorio remoto", climarque el "Siguiente.

 

El primer paso es especificar el nombre deseado para la política de autorización. Le recomendamos encarecidamente que especifique el nombre en latín. Presionamos el “Siguiente".

 

En la ventana de selección de grupo, click en el "Avanzado.

La ventana cambiará de tamaño. Presione el "Buscarbotón ". En los resultados de búsqueda, busque "Administradores del dominio"Y climarque el "OK.

En la ventana de selección de grupos, verifique los nombres de los objetos seleccionados y click “OK.

El grupo ha sido agregado. Para continuar con el siguiente paso, climarque el "Siguiente.

 

En el siguiente paso, permitimos que los usuarios se conecten a cualquier recurso de red. Para ello, seleccione la opción adecuada y climarque el “Siguiente".

Configure los puertos permitidos. Si el puerto de la RDP servidor no ha sido cambiado, entonces deje 3389. Click “Siguiente.

El paso final es verificar la configuración y climarque el “Acabado".

En la ventana actualizada, click "Cerrar".

Aislar roles de servidor. Deshabilitar los servicios no utilizados.

En la etapa de planificación preliminar de la arquitectura de la red, una de las tareas principales es planificar los riesgos en caso de falla de cualquier elemento de la red. Puede haber muchas razones para esto, desde fallas en el equipo hasta "piratería" desde el exterior. Cuantas más funciones se asignen al servidor, más graves serán las consecuencias si el servidor falla. Para minimizar los riesgos y daños, debe, si es posible, delinear las funciones del servidor en la etapa de diseño. Deshabilitar los servicios y roles de servidor que se necesitan también tendrá un efecto positivo en su funcionamiento.

El caso ideal es que un servidor realice una función específica, como un controlador de dominio, un servidor de archivos o un servidor de terminales. En la práctica, tal separación de roles es difícil de lograr.

El aislamiento de roles también puede ser manejado por servidores virtuales. Las modernas tecnologías de virtualización ofrecen un alto nivel de rendimiento y estabilidad, mientras que ni el administrador ni el usuario experimentan restricciones. El hardware correctamente seleccionado y las piezas de software configuradas pueden ser un reemplazo completo para toda una flota de equipos.

Visión general de Windows Nano servidor.

Nano Servidor se convirtió en un nuevo desarrollo de Windows Server Core. Esta versión del kit de distribución excluye el uso de una interfaz gráfica de usuario. Toda la gestión se centra en WMI - Windows Instrumentación de Gestión, así como Windows Potencia Shell. Este Windows Server la distribución tiene un 92 % menos de recomendaciones críticas de seguridad. Nano Server solo está disponible para clientes de Microsoft Software Assurance y plataformas de computación en la nube como Microsoft Azure y Amazon Web Services. Empezando con Windows Server build 1709, Nano Server solo se puede instalar dentro de un host de contenedor.

Vea también
Instrucciones para instalar y configurar PHP y MySQL junto con IIS
Apilar ELK en Centos 7