Asegurando (hardening) Servidores Windows Server 2012 utilizando Security Configuration Wizard (es-ES)
En este artículo Wiki , se explica como utilizar el SCW en Windows Server 2012.
El escenario de este tutorial es el Siguiente:
El Equipo es un Controlador de Dominio con Nivel Funcional Windows Server 2012. También está instalado en el equipo un Servidor DNS y un DHCP (no configurado aún).
Comenzamos....
Primeramente ejecutamos Server Manager
http://2.bp.blogspot.com/-evGULTvuB5o/Umq9tEeqYGI/AAAAAAAAAI0/a_CcxEBFXXU/s1600/1.jpg
Luego Ejecutamos Security Configuration Wizard desde Tools
http://3.bp.blogspot.com/-yskd2eRpKzs/Umq9xnNdyNI/AAAAAAAAAKE/vWByeHxVmgc/s320/2.jpg
Luego nos aparecerá la ventana del SCW donde haremos clic en Next
http://2.bp.blogspot.com/-x5ESGMM2RTM/Umq915S3DcI/AAAAAAAAALI/vpYJ5waTGX0/s320/3.jpg
En la siguiente ventana seleccionaremos si queremos crear una nueva política, editar una exisente, aplicar una existente o volver a la última política de seguridad aplicada.
En este ejemplo crearemos una nueva, pero si quisiéramos aplicar una ya existente, editarla o volver a una anterior, deberemos utilizar esta herramienta para hacerlo.
Luego hacemos clic en Next
http://4.bp.blogspot.com/-hr7BDyJTDzc/Umq92Vl__wI/AAAAAAAAALQ/OzL3y9f3N0k/s320/4.jpg
Luego en la siguiente ventana nos pedirá a que equipo queremos crearle la directiva.
Si tenemos los suficientes privilegios, podemos seleccionar un equipo de la red. Por defecto el equipo será el equipo local. Luego haremos clic en Next
http://1.bp.blogspot.com/-PsUM042F32A/Umq92-YZlCI/AAAAAAAAALY/ys8xpXjTFKA/s320/5.jpg
A continuación se creará la Base de Datos para la configuración según los roles, características, servicios, etc. del equipo.
Cuando concluya podremos ver el archivo de BD.
Hacemos clic en Next.
http://4.bp.blogspot.com/-9Dqn0WQNSyc/Umq93MlSytI/AAAAAAAAALg/5xUgFr1IUTU/s320/6.jpg
Luego nos aparecerá la pantalla inicial de configuración de los Roles. Hacemos clic en Next.
http://2.bp.blogspot.com/-bO-cqoaKFFs/Umq93vDVxOI/AAAAAAAAALo/Ve5arb_e28k/s320/7.jpg
Nos aparecerá una lista de todos los roles instalados en el equipo. Nosotros podemos por un lado listarlos y por otro si seleccionar los roles que aplican a nuestra directiva de seguridad.
Luego haremos clic en Next
http://3.bp.blogspot.com/-gnoT15LpDEM/Umq94MfhLVI/AAAAAAAAAL0/MbUZqxNod44/s320/8.jpg
Luego deberemos seleccionar las características “Cliente” de nuestro equipo que aplicará nuestra directiva de Seguridad.
Hacemos clic en siguiente.
http://2.bp.blogspot.com/-pExgBjsttps/Umq94hjtIXI/AAAAAAAAAL4/YilDUCW0AcE/s320/9.jpg
En la siguiente ventana deberemos seleccionar las opciones administrativas y otras que se asegurarán con nuestra directiva.
http://2.bp.blogspot.com/-9_xAW68FEy4/Umq9tu8JBKI/AAAAAAAAAI4/AhyjSRF9wk8/s320/10.jpg
Luego deberemos seleccionar los servicios adicionales que están instalados en el equipo.
http://1.bp.blogspot.com/-MZUaeTRlOPs/Umq9tma3VFI/AAAAAAAAAI8/sV_tPpdGrB8/s320/11.jpg
En la siguiente ventana tenemos la chance de indicar cómo el Sistema Operativo se comportará cuando se ejecute un servicio no especificado en la política de seguridad.
http://1.bp.blogspot.com/-yRqqy8BERlo/Umq9uE8fytI/AAAAAAAAAJI/c1BA8KiySJs/s320/12.jpg
A continuación podremos revisar todos los cambios que se realizarán en los servicios
http://4.bp.blogspot.com/-YzqhtcBem2g/Umq9ulGAitI/AAAAAAAAAJQ/XpkZ8n9NRAs/s320/13.jpg
Luego tendremos que configurar la política con relación a la red (nótese que podemos omitir la sección).
Hacemos clic en siguiente
http://1.bp.blogspot.com/-3chnTU9foXY/Umq9vYDxaGI/AAAAAAAAAJc/wU8HOT_aIbo/s320/14.jpg
En la siguiente ventana se listan las reglas de Firewall que son necesarias para los roles y opciones seleccionadas. Si queremos, podemos modificarlas.
Hacemos clic en Next.
http://4.bp.blogspot.com/-f8tu-C9V7MU/Umq9vRnAP4I/AAAAAAAAAJg/rREvVXLQaaw/s320/15.jpg
Luego deberemos configurar las opciones del Registro (también si queremos podemos omitir esta sección).
Luego hacemos clic en Next
http://3.bp.blogspot.com/-uPb2FX1uVxs/Umq9vy96IzI/AAAAAAAAAJk/2sQA-1d7tWk/s320/16.jpg
En esta ventana se determina si un paquete firmado es requerido por el Servidor SMB.
Hacer clic en Next.
http://2.bp.blogspot.com/-4PotYTXqbEI/Umq9wahfldI/AAAAAAAAAJs/jumJWocXau4/s320/17.jpg
En la siguiente ventana (en el caso de que sea un Controlador de Dominio, como es el Servidor Ejemplo) deberemos seleccionar si queremos que se requiera la firma del protocolo LDAP (Windows 200 SP3 o superior).
Luego hacemos clic en Next.
http://2.bp.blogspot.com/-vR_cAzmsIW8/Umq9woyaLeI/AAAAAAAAAJ4/y7sMtoSDfYU/s320/18.jpg
A continuación determinaremos si queremos que se utilice el nivel de autenticación LAN Manager para las conexiones entrantes y salientes.
Hacemos clic en Next.
http://2.bp.blogspot.com/-PF886OIOozA/Umq9xiWHcpI/AAAAAAAAAKI/xc68d1AaLKE/s320/19.jpg
La siguiente ventana nos permitirá configurar en la política el nivel de autenticación LAN Manager utilizada cuando se realicen conexiones de salida.
Cuando se termine hacer clic en Next.
http://4.bp.blogspot.com/-tpgYhcSDEnU/Umq9yIv_9DI/AAAAAAAAAKM/lBJzitN8--M/s320/20.jpg
En la siguiente ventana veremos un resumen de las opciones de registro en la Política.
Haremos clic en Next.
http://4.bp.blogspot.com/-IDjCp8F3TtI/Umq9yhgQPQI/AAAAAAAAAKY/VSXD0PbgZU4/s320/22.jpg
Luego procederemos a configurar los objetivos de auditoría (si queremos podemos omitir esta sección).
Hacemos clic en Next.
http://4.bp.blogspot.com/-rZ6Hm6U5pg8/Umq9y_1ucHI/AAAAAAAAAKg/1wznC2mMWec/s320/23.jpg
Acá deberemos seleccionar los objetivos de auditoría, es decir, si queremos auditar actividades correctas y erróneas, o si queremos auditar actividades correctas solamente o bien no auditar.
Una vez seleccionado el objetivo, hacemos clic en Next.
http://3.bp.blogspot.com/-2Z1Ke4jwaz8/Umq9zfK9oeI/AAAAAAAAAKo/rnhJrBRLPhI/s320/24.jpg
Luego veremos un resumen con respecto a los objetivos de auditoría configurados en la política.
Hacemos clic en Next.
http://4.bp.blogspot.com/-x-jy6PhqKMs/Umq9zkQWI0I/AAAAAAAAAK4/iwh6BLlx9QA/s320/25.jpg
Ahora procederemos a guardar la política
http://1.bp.blogspot.com/-F20oa5CNDwo/Umq90Hxlx7I/AAAAAAAAAKw/0rxeqYsmbTY/s320/26.jpg
Deberemos seleccionar la ruta (que por defecto es %SystemRoot%\security\msscw\Policies\) y se asignaremos un nombre al archivo (que tendrá una extensión .xml).
http://3.bp.blogspot.com/-BygHBd0N678/Umq91CrCwbI/AAAAAAAAALA/n5yqgesRVvw/s320/27.jpg
Como anteúltimo paso seleccionaremos si queremos aplicar la política ahora o luego (si seleccionamos luego deberemos abrir nuevamente la consola SCW para hacerlo)
Luego hacemos clic en Next.
http://4.bp.blogspot.com/-Yi9vI8zqUmg/UmrANGZzk1I/AAAAAAAAAMQ/1n6tmdwXbiE/s320/30.jpg
Por último hacemos clic en Finish para terminar.
http://3.bp.blogspot.com/-5ljz-EmpzDc/Umq95OBcxcI/AAAAAAAAAMA/7I5emdbTrAI/s320/28.jpg
De esta manera aseguraremos nuestros Servidores tengan una Política de Seguridad bien definida y alineada con los roles, características, servicios, registro, etc. que tenga instalados.
Espero les sea útil.
Saludos