Cerrado como…
Uno de los desafios mas grandes que tienen los consultores de seguridad es:
¿Como cerrar lo suficientemente bien un server dependiendo del servicio que éste brinda?
Temas a resolver en esta situacion:
¿Que servcios debo dejar corriendo y cuales debo deshabilitar?
¿Quien sabe de memoria el listado de servicios exactos por rol de servidor?
Si bien es algo que deberiamos saber, hay una herramienta que es una incomprendida pero que vale oro, el Security Configuration Wizard.
La primera gran noticia es que en Windows Server 2008 viene disponible listo para usar en Administrative Tools. Asi que no hay excusas para no usarlo.
Ahi se puede crear, modificar, aplicar e importantisimo, se puede hacer rollback de una politica aplicada que no se comporta como uno espera. Lo bueno de esto es que al aplicar una politica el SCW guarda automaticamente la anterior, asi que es sumamente sencillo volver y recuperarse de una politica con problemas.
Luego el server donde estaremos trabajando, es importante recordar que para trabajar en u server remoto se deben tener privilegios administrativos en ese server.
Luego el SCW recorrera la base de datos de su base de conocimiento con todos los roles que sabe configurar tildando como activos los roles que el server efectivamente esta cumpliendo.
Ahi uno puede seleccionar o deseleccionar roles a gusto. Luego lo mismo con las caracteristicas, opciones y servicios adicionales. Tambien uno puede decidir que hacer con el resto de servicios no detectados o entendidos por el SCW.
Una vez tomadas esas decisionens el SCW mostrara todos los servicios presentes, su estado actual y como quedaran luego de aplicar el SCW, notese la gran cantidad de servicios dehabilitados que ofrecera el SCW, dificilmente uno tome por si mismo la decision de deshabilitar todo eso, pero si el SCW lo dice ……
Luego el Firewall, al saber los roles y las caracteristicas es facil para el SCW saber que sockets debe dejar establecer, de todas formas uno puede ahi hacer ajustes finos.
Despues, registry settings, temas de autenticacion y cosas por el estilo
A continuacion la auditoria, es importante saber que pasa y quien lo hace, es ahi donde la auditoria hace la diferencia
Uno puede grabar las configuraciones de esa politica para luego reutilizarla y puede aplicarla en ese instante o despues.
Al aplicarla el SCW guardara automaticamente las configuraciones actuales para eventualmente poder hacer rollback con lo cual es super sencillo recuperarse.
Una vez que uno tiene la politica lista puede automatizar la aplicacion de estos templates usando scwcmd.
La gran verdad es que scwcmd es tan poderoso como el propio wizard ya que con el se puede entre otras cosas
Configurar uno o varios servidores con politicas de SCW.
Analizar uno o muchos servidores comparandolos con politicas de SCW.
Ver Resultados generados en HTML.
Hacer rollback.
Transformar politicas SCW en templates de seguridad soportados por Group Policies.
Muchachos, no hay excusas para no usarlo. Es sin dudas una de nuestros mejores amigos a la hora de asegurar los servers. No trae riesgos y sabe tanto como nosotros sobre cada rol
https://technet.microsoft.com/en-us/library/cc782586(WS.10).aspx
Comments
- Anonymous
March 08, 2010
El título hace referencia a Ken?