Hardening Windows Server 2008

Como obtener una configuración robusta de un servidor que ejecuta Windows Server 2008.

19/08/2011

Página | 1

HARDENING

Windows Server 2008

Contenido Introducción ................................................................................................................................................. 2

a. Definición b. Objetivos c. Pasos básicos

Server Manager ............................................................................................................................................ 3

Administración de cuentas ........................................................................................................................... 4

a. Active Directory b. Menor Privilegio c. Escritorio Remoto

Administración de Software Innecesario ..................................................................................................... 7

a. Recomendaciones b. Herramientas

Configuración de Firewall ............................................................................................................................. 9

a. Características en Windows Server 2008 b. Recomendaciones

Configuración de auditoria ......................................................................................................................... 10

a. ¿Qué significa auditar? b. Recomendaciones.

Administración de elementos compartidos ............................................................................................... 12

a. ¿Qué compartir? b. Uso de elementos compartidos ocultos

Actualizaciones y hotfixes .......................................................................................................................... 13

a. Hotfixes b. WSUS c. MBSA

NAP y Antivirus ........................................................................................................................................... 14

a. NAP b. Recomendaciones sobre antivirus

Configuración de políticas de seguridad .................................................................................................... 16

Server Core ................................................................................................................................................. 18

a. Especificaciones b. ¿Por qué tener una instalación minina de Windows Server 2008? c. Requerimientos d. Beneficios e. Utilización básica

Conclusión .................................................................................................................................................. 20

Página | 2

Introducción

Definición. ¿Qué es Hardening?

Cada empresa u organización tiene al menos un servidor que se considera un recurso crítico,

ya sea un servidor de web, un servidor de base de datos, o un servidor de correo.

Desafortunadamente, la mayoría de las aplicaciones de caja y sistemas operativos no protegen

adecuadamente sus activos de información. Debido a esto, las empresas necesitan endurecer

(“hardening”) sus sistemas para garantizar la protección de las aplicaciones, software, e

información sobre ellos.

El Hardening es una estrategia defensiva que protege contra los ataques removiendo servicios

vulnerables e innecesarios, cerrando “huecos” de seguridad y asegurando los controles de

acceso. Este proceso incluye la evaluación de arquitectura de seguridad de la organización y la

auditoría de la configuración de sus sistemas, con el fin de desarrollar e implementar

procedimientos de consolidación para asegurar sus recursos críticos.

Objetivos. ¿Qué queremos conseguir?

Proteger el sistema contra acceso no autorizado.

Prevenir el mal uso del sistema de los usuarios.

Prevenir perdida de información.

Inmunizar el sistema contra ataques conocidos.

Maximizar el tiempo necesario para llevar acabo un ataque.

Pasos básicos para realizar hardening en Windows Server 2008

En este informe se desarrollaran en líneas generales los pasos mencionados a continuación:

Administración de cuentas.

Administración de software.

Configuración de Firewall.

Configuración de Auditoria.

Administración de elementos compartidos.

Actualizaciones y Hotfixes.

Nap y Antivirus.

Página | 3

Server Manager

Server Manager es una consola MMC (Microsoft Management Console) ampliada que permite

ver y gestionar prácticamente toda la información y las herramientas que afectan a la

productividad del servidor. Server Manager dispone de comandos que permiten instalar o

eliminar roles de servidor y funcionalidades concretas, y ampliar roles ya instalados en el

servidor añadiéndole nuevos servicios de rol.

En Windows 2003 disponíamos de la herramienta "Administración de equipos". Sin embargo

se tenía la falencia que en la misma

consola no se podían instalar

aplicaciones, extensiones, features,

administrar el firewall, etc. Para

todas estas tareas era necesaria la

apertura de otras ventanas, y en

algunos casos incluso,

necesitábamos otras aplicaciones.

Es por ello que en determinados

momentos la tarea de administrar

varios elementos a la vez solía

resultar tediosa.

Con "Server Manager" se resuelve

este problema, ya que la

herramienta se integra en las

nuevas consolas de administración

MMC. De éste modo, en una misma

consola, podemos administrar una

parte muy importante de nuestro

sistema operativo, como son por

ejemplo la administración de

usuarios y grupos, Windows Server

Backup, firewall de Windows con seguridad avanzada, log de sucesos, junto a otras.

Todo ello aparece ahora en una misma consola, sin necesidad de abrir otras aplicaciones o

ventanas. De igual modo, desde esta consola de trabajo, podremos redimensionar nuestros

discos, pasando por la creación de tareas programadas o verificar que la realización de las

copias de seguridad se está llevando a efecto de la forma adecuada.

Página | 4

Administración de cuentas

Primero debemos saber que durante la instalación del sistema operativo se crean las cuentas

administrador e invitado.

Debemos manejar adecuadamente dichas cuentas:

Eliminar las cuentas no usadas.

Deshabilitar la cuenta de invitado.

Renombrar la cuenta de administrador.

Usar contraseñas robustas.

Análisis del uso del escritorio remoto

La cuenta de Invitado puede

ser deshabilitada desde el

administrador del servidor

como se muestra en la

siguiente imagen:

El cambio de nombre de la conocida cuenta administrador hace más difícil que personas

no autorizadas averigüen la combinación de contraseña y nombre de los usuarios con más

privilegios.

Página | 5

Active Directory

Active Directory es una implementación de servicio de

directorio en una red distribuida que permite mantener una

serie de objetos relacionados con componentes de una red,

como usuarios, grupos de usuarios, permisos y asignación de

recursos y políticas de acceso.

En Active Directory se definen dominios, dentro del cual

existen diversos grupos y usuarios. Es imprescindible el

análisis de los permisos asignados a los mismos de acuerdo a

los roles que cumplen en la empresa u organización (Ver

concepto de menor privilegio a continuación).

Para evitar que usuarios

sin privilegios realicen

determinadas acciones

sobre el sistema se

definen “directivas de

grupo” que luego son

aplicadas a los grupos que

corresponda. En estas

directivas se puede

determinar acciones de las

más diversas dando el

control necesario al

usuario. En la imagen se

mantiene resaltado como

ejemplo que esta directiva

permite a usuarios no

administradores recibir

notificaciones de las

actualizaciones de

Windows.

Página | 6

MenorPrivilegio

El principio de menor privilegio establece que un administrador sólo debe dar a un objeto o

usuario los privilegios que necesita para completar sus tareas asignadas y no más que eso.

No conceder más permisos que los necesarios a grandes grupos de usuarios o

público/cualquiera.

No conceder más permisos que los necesarios a grupos pequeños de usuarios o usuarios

específicos.

Preferir conceder permisos a grupos pequeños de usuarios o usuarios específico, en vez de

concederlos a grandes grupos de usuarios o público/cualquiera. Es mejor que unos pocos

usuarios tengan más permisos, que muchos usuarios tengan mayor permiso

Escritorio Remoto

A continuación se enumeran tres puntos importantes respecto a las sesiones de escritorio

remoto que reducen las superficies de ataque.

1. Se debe deshabilitar en caso de no ser necesario.

2. De lo contrario se deberá restringir los usuarios que pueden ingresar y la cantidad de sesiones

por usuario, esto se debe a que permitiendo solo un inicio a la vez para un mismo usuario, si

alguien obtuvo de forma ilegitima la contraseña e intenta ingresar no podrá hacerlo si el

usuario legitimo tiene abierta una sesión, de caso contrario si este no la tiene podrá darse

cuenta de que alguien más está conectado a su cuenta cuando intente ingresar.

3. Se podrá además incorporar reglas en el firewall para determinar las ubicaciones desde las

cuales se puede establecer la conexión, esto reduce en gran medida los ataques y es una regla

que no debe pasarse por alto.

Página | 7

Administración de Software Innecesario

Sabemos que el servidor debe poder cumplir solo las funciones necesarias, para ello este no

debe contar con software que no cumpla ninguna función o en caso de que las funciones de

este sean mínimas se debe analizar si realmente es necesario, de serlo debería estar

suficientemente probado con anticipación.

Recomendaciones

El número de aplicaciones debe ser el mínimo indispensable, administrándolo desde

"programas y características".

Una buena idea es probar las aplicaciones a ser utilizadas en ambientes de prueba, antes

de ser instaladas en el servidor.

Algunas aplicaciones utilizan puertas traseras por lo que se recomienda verificar que no

hayan incorporado excepciones al firewall o añadido cuentas para el servicio.

Herramientas

Sysinternals.

Sysinternals fue creado en 1996 por Mark Russinovich y Bryce Cogswell para alojar sus

utilidades de sistema avanzadas, junto con información técnica. En julio de 2006, Microsoft

adquirió Sysinternals pero el mismo continuo siendo distribuido de forma gratuita

(http://technet.microsoft.com/es-ar/sysinternals/bb545021). Tanto profesionales como

desarrolladores de IT encontrarán utilidades en Sysinternals para facilitar la administración y el

diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que

pudieran surgir al respecto.

Este paquete de utilidades se divide en categorías:

Utilidades de disco y archivos

Red

Procesos y subprocesos

Utilidades de seguridad

Información del sistema

Varios

Debido a la gran cantidad de utilidades existentes destacamos dos que pueden ser de utilidad

para el tema tratado en esta sección:

Process Explorer: muestra información sumamente detallada acerca de los procesos que se

han abierto o cargado. Pudiendo conocer que subprocesos abrieron o que librerías DLL

cargaron. Además se puede realizar búsquedas por librerías o identificadores de procesos

determinados.

Página | 8

Rootkitrevealer: es una utilidad avanzada de detección de rootkits (mecanismos y técnicas por

los cuáles código mal intencionado intentan ocultar su presencia del sistema). Para esto

compara los resultados de un análisis de sistema en el nivel más alto con los del nivel más bajo

(API Windows vs Contenidos sin procesar del volumen del sistema de archivo).

Pareció interesante preguntarse si un rootkit puede ocultarse de esta detección, a lo que los

desarrolladores del programa responden: es posible que un rootkit se oculte de

RootkitRevealer. Hacerlo requeriría interceptar lecturas de RootkitRevealer de datos de

subárboles del Registro o datos del sistema de archivos y cambiar el contenido de los datos de

manera tal que los archivos o datos de Registro del rootkit no estén presentes. Sin embargo,

esto requeriría un nivel de sofisticación no visto en los rootkits en la actualidad. Los cambios a

los datos requerirían un conocimiento íntimo de los formatos NTFS, FAT y subárboles de

Registro, sumada la capacidad de cambiar estructuras de datos para que éstas oculten el

rootkit, pero sin producir estructuras incoherentes o no válidas ni discrepancias secundarias

que pudieran ser marcadas por RootkitRevealer.

BelarcAdvisor

Construye un perfil detallado del software y hardware instalados en su PC, incluyendo los

hotfixes (paquete que sirve para resolver un bug) de Microsoft y muestra el resultado en su

explorador Web. Toda la información del perfil se mantiene privada en su PC y no se envía a

ningún servidor Web. Incluso este software permite realizar un benchmark de seguridad, pero

lamentablemente esta característica no funciona con esta versión de Windows para

servidores, pero puede ser de gran utilidad para evaluar a otros puntos conectados a la red

que dependan y trabajen con este.

Los productos comerciales de Belarc, son utilizados para verificar políticas de cumplimiento en

licencias de software, planear actualizaciones de hardware, verificar estados de seguridad,

garantizar niveles en seguridad para auditorías, administración de activos en IT y

administración de configuraciones, entre otras funciones.

La licencia de este software es gratuita pero solo para uso personal, en caso de querer

utilizarse en otros fines se deben adquirir otros paquetes de belarc que lo incluyen como

BelManage, BelManage Small Network Option, BelSecure.

Página | 9

Configuración de Firewall

Sabemos que el firewall es una parte importante en el servidor y además lo es para toda la red

ya que nos permite bloquear accesos no autorizados, es por ello que para su configuración

debe hacerse un profundo análisis de las tareas y/o conexiones que se realizan a fin de

establecer políticas determinadas para la configuración del mismo.

Características en Windows Server 2008

Dependiendo de las reglas que queramos aplicar, podremos implementarlas en función de

diversos factores:

Nombre de aplicación: restringir o permitir a una aplicación la conexión con el exterior.

Puertos: restringir o permitir a todos o a un número determinado de puertos la conexión.

Direcciones IP: restringir o permitir a una dirección IP o un rango entero de direcciones la

conexión con algún tipo de aplicación oservicio.

ICMP o ICMPV6: restringir o permitir algún servicio de este tipo, como por ejemplo ping.

Servicios: restringir o permitir la conexión al exterior de algún servicio.

Usuarios AD, locales, grupos o máquinas: restringir o aplicar reglas para un

determinado grupo de usuarios, usuarios de directorio activo o locales.

Tipos de Interface: aplicar o restringir las reglas en función del tipo de interface que tengamos

en el equipo, ya sea Wireless, Ethernet, u otros.

El Firewall es también administrable a través de la línea de comandos. Para ello disponemos de la herramienta netsh. Esta es una aplicación que opera bajo línea de comandos y que nos permite administrar la configuración de red de un equipo. Este tipo de administración es posible realizarla tanto de forma local como remota.

Recomendaciones

Es necesario que cada servidor cuente con su

firewall basado en host. Además del que presente

la red, esto agrega mayor seguridad y control

personal al servidor. Este no debe contener reglas

o excepciones innecesarias.

Política por defecto: Bloqueo entrante y saliente.

Esta política debe contemplarse cuando se

configure desde cero el servidor y la red, puesto

que es difícil modificar una política permisiva

luego de que todo está en funcionamiento.

No permitir nunca una excepción para un

programa desconocido.

Página | 10

Configuración de auditoria

¿Qué significa auditar?

Se denomina auditar a la recopilación y evaluación de datos sobre información de una entidad,

en nuestro caso, nuestro servidor. El fin es determinar e informar sobre el grado de

correspondencia entre la información y los criterios establecidos, para derivar en un uso

eficiente del mismo, una buena seguridad y adecuarse a los objetivos planteados. La auditoría

debe ser realizada por una persona competente e independiente.

Uno de los cambios más significativos en Windows Server 2008 de auditoría es que ahora no

sólo puede auditar, sino también se puede ver cuál es el valor nuevo y cuál era el valor viejo.

Esto es importante porque ahora se puede decir por qué se ha cambiado y si algo no va bien,

hay mayores posibilidades de encontrar fácilmente lo que debe ser restaurado.

Otro cambio significativo es que en las versiones de servidores antiguas sólo realizaban

auditorías de políticas dentro o fuera de la estructura de Active Directory. En Windows Server

2008, la directiva de auditoría es más granular.

Recomendaciones

Como buena práctica de seguridad se recomienda auditar los siguientes eventos:

Login.

Administración de cuentas.

Acceso al servicio de directorio.

Cambios de políticas.

Uso de privilegios.

Seguimiento de procesos.

Eventos del sistema.

Dicha configuración se lleva a cabo en:

"Directivas de seguridad local/Directivas

locales/Directiva de auditoria", donde se

puede determinar auditar eventos

correctos y/o erróneos.

En un objeto y dominio determinado de

un active directory.

Página | 11

Para obtener información sobre los diferentes logs, existen herramientas o paginas como

http://www.eventid.net, la cual dado el ID del evento nos proporciona una información

detallada del mismo.

http://www.eventid.net

Página | 12

Administración de elementos compartidos

¿Qué compartir?

Como ya hemos dicho muchas veces durante este informe, lo principal es no exponer cosas de

más. Por eso mismo la respuesta a esta pregunta es muy sencilla, NO DEBEN COMPARTIRSE

ELEMENTOS INNECESARIOS. Para esto debemos tener en claro que cosas realmente son

necesarias utilizarla de modo compartido.

Uso de elementos compartidos ocultos.

Una buen método para utilizar elementos compartidos es mediante elementos compartidos

ocultos, los cuales no aparecen en los listados, de esta forma solo aquellos usuarios que

conozcan de su existencia tendrán acceso a estos.

Para saber que elementos estamos compartiendo desde nuestra máquina podemos listar de

alguna de las siguientes formas:

Mediante Interface gráfica: Administrador de equipo/Carpeta compartida/Recurso

compartidos.

Mediante consola: net share.

Para hacer oculto un recurso solo debe incorporarse el signo $ al final del nombre de recurso,

el mismo se encuentra dentro del Uso Compartido Avanzado, situado en la pestaña Compartir

de cada archivo o directorio.

Página | 13

Actualizaciones y hotfixes

Hotfixes

Los Hotfixes son paquetes que pueden incluir varios archivos y que sirven para resolver un bug

específico dentro de una aplicación del sistema.Por lo general suelen ser pequeños parches

diseñados para resolver problemas de reciente aparición, como son los agujeros de seguridad.

En Windows contamos con un sistema de gestión de paquetes, denominado Windows Update

que instala estos parches automáticamente.

Las actualizaciones y revisiones son elementos clave a la hora de realizar un hardening de un

servidor. Los mecanismos de seguridad y parches deben estar en constante actualización

desde el primer día, para protegersecontra las vulnerabilidades.

Estos parches no se limitan al sistema operativo, sino también cualquier aplicación que se aloja

en ellos. Los administradores deben verificar actualizaciones periódicamente en el sitios web

del fabricante. Windows Server 2008 ofrece un conjunto de herramientas que ayuda al

administrador con la actualización y revisión de sus servidores.

WSUS

Windows Server Update Services (WSUS) provee

actualizaciones de seguridad para los sistemas operativos

Microsoft. Mediante este, podemos manejar centralmente la

distribución de parches a través de actualizaciones automáticas

a todas las computadoras de la red corporativa.

La infraestructura de WSUS permite que desde un servidor/es

central se descarguen automáticamente los parches y

actualizaciones para los clientes en la organización, en lugar de

hacerlo desde el sitio web Microsoft Windows Update. Esto

mejora la seguridad ya que las computadoras no necesitan

conectarse individualmente a servidores externos a la

organización, sino que se conectan a servidores locales.

MBSA

Microsoft Baseline Security Analyzer (MBSA) es una herramienta fácil de usar diseñada para

ayudar a determinar el estado de seguridad de un sistema según las recomendaciones de

seguridad de Microsoft y ofrece orientación de soluciones específicas. Mejora el proceso de

administración de seguridad detectando los errores más comunes de configuración de

seguridad y actualizaciones de seguridad que faltan en dicho sistema.

Página | 14

NAP y Antivirus

NAP

El uso de antivirus tanto para el servidor como para las maquinas que se conectan a él, es un

factor indispensable. Pero muchas veces, en redes sumamente grandes y con acceso a

múltiples usuarios, es difícil llevar a cabo esta tarea.

Network Access Protection (NAP) es un nuevo grupo de componentes incluido en Windows

Server 2008 que constituyen una plataforma que garantiza que las máquinas clientes de una

red privada cumplen con los requisitos definidos por el administrador en materia de salud y

seguridad. Las políticas de NAP definen la configuración exigida, el estado de actualización del

sistema operativo de un cliente y el software necesario. Por ejemplo, se puede exigir a los

equipos que dispongan de software antivirus con las últimas actualizaciones de firmas de virus

instaladas, que el sistema operativo contenga las actualizaciones más recientes y un firewall

personal instalado.

Al obligar al cumplimiento de estos requisitos de salud, NAP reduce muchos de los riesgos

ocasionados por máquinas mal configuradas que pueden estar expuestas a virus y otro tipo de

software malintencionado.

NAP aplica unos criterios y monitoriza la evaluación del estado de las máquinas clientes

cuando intentan conectarse o comunicarse con la red corporativa. Si se determina que una

máquina no cumple los requisitos establecidos, se puede redirigir la conexión a una red

restringida que contiene los recursos necesarios para resolver las deficiencias que ha

detectado el proceso, pudiendo después, una vez detectado que cumple los estándares

prefijados, conectarse con normalidad a la red corporativa.

Página | 15

Recomendaciones sobre antivirus

Antivirus pagos:

Kaspersky Anti-Virus 6.0 Para Windows Server: protege la información confidencial

almacenada en servidores con plataformas de la familia de los sistemas operativos

Microsoft Windows (incluyendo las versiones x64), contra todo tipo de programas

maliciosos. El producto se diseñó de manera específica para asegurar un alto grado de

rendimiento a los servidores corporativos que son sobrecargados y se puede instalar en

redes corporativas de cualquier dimensión y grado de dispersión. Su fiabilidad y eficacia,

junto a un alto rendimiento y administración flexible, brinda un muy buen nivel de

protección a los servidores corporativos que funcionan con plataformas Windows

Server.

ESET NOD32 Antivirus: Este software antimalware con su altísimo

nivel de detección proactiva, representa una de las mejores

compatibilidades para garantizar la seguridad en Windows Server

2008 contra virus, gusanos, troyanos, adware, spyware, rootkits y

evolucionadas amenazas informáticas, tanto conocidas como desconocidas.

Antivirus Gratuitos:

En esta rama de sistemas operativos las soluciones gratuitas son escasas, además

considerando que el elemento a proteger es de suma importancia

dentro de una organización o empresa se debe comprobar estas

herramientas antes de utilizarlas.

avast! Server Edition: ofrece una de las protecciones gratuitas más

poderosa para luchar contra las infecciones de virus en su servidor o

servidores. Funciona tanto en protección primaria de un servidor de

archivos en sí, y, a través de sus plug-ins opcionales, como la

protección de varios subsistemas del servidor, tales como el correo

electrónico o un firewall / proxy.

Página | 16

Configuración de políticas de seguridad

El Asistente para configuración de seguridad (SCW) sirve como guía a través del proceso de

creación, edición, aplicación o reversión de una directiva de seguridad. Nos permite crear o

modificar fácilmente una directiva para el servidor basándose en su función.Luego se puede

usar la directiva de grupo para aplicar la directiva de seguridad a varios servidores de destino

que desempeñen la misma función a través de un simple fichero .XML.

El SCW también se puede usar para revertir una directiva a su configuración anterior con fines

de recuperación. Otra característica es que podemos comparar la configuración de seguridad

de un servidor con la directiva de seguridad que deseamos a fin de buscar las configuraciones

vulnerables del sistema.

La versión del SCW de Windows Server 2008 incluye más configuraciones de función de

servidor y opciones de seguridad que la versión del SCW de Windows Server 2003. Además,

usando la versión del SCW de Windows Server 2008, es posible:

Deshabilitar los servicios innecesarios basados en la función de servidor.

Quitar las reglas de firewall que no se usen y limitar las existentes.

Definir directivas de auditoría limitadas.

Una vez creada la directiva de seguridad con el SCW, puede usar la herramienta de línea de

comandos Scwcmd para:

Aplicar la directiva a uno o

más servidores.

Revertir directivas.

Analizar y ver una directiva

del SCW en varios servidores,

así como informes de

cumplimiento que pueden

mostrar cualquier

discrepancia en la

configuración de un servidor.

Transformar una directiva del

SCW en un objeto de

directiva de grupo (GPO) para

implementaciones

centralizadas y administración

mediante los Servicios de

dominio de Active Directory

(AD DS).

Página | 17

Tras la instalación de funciones iniciales, el SCW se puede usar para ayudar a mantener la

seguridad de los servidores comprobando las vulnerabilidades, ya que las configuraciones del

servidor cambian con el tiempo, y realizando las actualizaciones que sean necesarias en la

configuración de la directiva.

Otra importante utilidad es que está integrado con el Firewall de Windows con seguridad

avanzada, por lo que permite el tráfico de red entrante o saliente para los importantes

servicios o características que requiere el sistema operativo. Si se requieren reglas de firewall

adicionales, puede usar el SCW para crearlas. También es posible limitar el acceso modificando

las reglas de firewall proporcionadas. Esta capacidad hace más fácil proteger la red de la

organización.

Todo esto puede realizarse de forma particular como explicamos a lo largo del informe, lo que

aumenta la dificultad por tener que conocer cada sección del sistema operativo, pero brinda la

posibilidad de realizar configuraciones más complejas y específicas que con el asistente SCW.

Página | 18

Arquitectura Server Core

Server Core

Especificaciones

La instalación de Windows Server “ServerCore” permite no tener todos los servicios que puede

tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposición a

ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es más

"incómodo" de administrar, al carecer de GUI (interfaz de usuario) y por lo tanto es necesario

para su administración recurrir a la línea de comandos y/o scripts.

Este servidor tiene sólo las aplicaciones y servicios necesarios para su función, sólo

determinados roles pueden ser asumidos. Dichos roles son:

Servidor de ficheros

Servidor de impresión

Controlador de dominio

Servidor DNS

Servidor DHCP

Servidor WINS

¿Por qué tener una instalación minina

de Windows Server 2008?

Muchas veces Windows es desplegado para cumplir la función de un solo rol, como por

ejemplo servidor de DHCP. Imaginemos tener todo una instalación completa dedicada solo

para esta función. ¿Porque tener todos esos binarios extras? Viéndolo desde un punto de vista

de seguridad, si tenemos menos componentes, menos es la superficie de ataque posible.

También si tenemos menos roles instalados, significa parchar menos componentes, menos

administración y menos servicios corriendo.

Requerimientos

Otros de los puntos muy importantes y a favor de Server Core es el poco consumo de

componentes que este necesita. Una instalación Server Core se conforma con

aproximadamente un gigabyte de espacio de disco para ejecutar la instalación, y

aproximadamente dos gigabyte para ejecutar operaciones posteriores a la instalación, por lo

que con un disco rígido de quince gigabyte es suficiente. El procesador deberá ser de al menos

1GHz, la memoria ram debe ser igual o superar los 512MB mientas que la placa de video podrá

ser solo de 8MB.

Página | 19

Beneficios

Mantenimiento Reducido. Como sólo se instala lo estrictamente necesario para contar con un

servidor manejable con DHCP, File, Print, DNS, Media Services, AD LDS, o Active Directory, una

instalación de Server Core exige menos mantenimiento.

Superficie vulnerable a ataques, reducida. En el servidor se ejecutan menos servicios y

aplicaciones, lo que reduce notablemente cualquier tipo de ataque, sobre todo aquellos

causados por puertas traseras de aplicaciones extras al servidor.

Administración reducida. En el servidor existen menos programas para administrar, por lo que

podemos dedicar más tiempo a estos y configurarlos de una mejor manera.

Menos espacio de disco requerido. Como ya se dijo anteriormente es un SO que tiene una baja

demanda de hardware. Una instalación de Server Core se conforma con aproximadamente 1

gigabyte (GB) de espacio de disco para ejecutar la instalación, y aproximadamente 2 GB para

ejecutar operaciones posteriores a la instalación.

Capacidad de automatizar procesos mediante scripts.

Utilización básica

Algunos de los comandos más utilizados en este sistema son los siguientes:

Mostrar el nombre de la máquina:

set COMPUTERNAME

Mostrar los roles de servidor instalados

oclist

Mostrar información de los servicios que están instalados

scquery o net start

Comenzar un servicio

sc start<servicename> o net start<servicename>

Detener un servicio

sc stop <servicename> o net stop <servicename>

Mostrar los Logs de Eventos

Wevtutil el

Ver eventos en un log específico

wevtutilqe /f:text NOMBRE_DEL_LOG

Mostrar usuario activo

whoami

Cambiar contraseña de administrador

net useradministrator *

Habilitar/deshabilitar el firewall

netsh firewall set opmode [disable/enable].

Agregarla computadora local a un grupo

netlocalgroup<group name>/add

Eliminar una computadora de un dominio

netdom remove <computername>

Eliminar una computadora de un dominio

netdom remove <computername>

Página | 20

Conclusión

El desarrollo de este informe nos permitió arribar a la conclusión de que el proceso de

hardening puede ser tan complejo como uno quiera, nosotros abordamos una introducción a

este dentro del marco de Windows Server, pero muchos conceptos quedaron fuera y otros

fueron analizados con menor profundidad debido a la complejidad mencionada.

Debido a que los sistemas se modifican y los atacantes descubren mas métodos para

corromper el sistema en cuestión, el proceso de hardening es una herramienta que garantiza

reducir las superficies de ataque aun sin conocer cuáles podrían ser los medios utilizados para

el ingreso a nuestro servidor, por lo tanto es una herramienta preventiva muy importante, la

cual no puede detener a todos los intrusos pero no puede faltar en ningún servidor que

requiera al menos un mínimo de protección.

A modo personal nos sirvió como marco introductorio en el uso de este sistema operativo, sus

cambios respecto de versiones hogareñas, las ventajas y desventajas que presenta. Además

tuvimos la oportunidad de configurar un Active Directory e interactuar con privilegios

aplicados a recursos de red y analizar Logs generados por el sistema. Todo lo mencionado fue

probado sobre maquinas virtuales que nos dieron la facilidad de la implementación de una red

de varias computadoras de forma rápida y económica, permitiendo realizar cada paso de

hardening antes de incorporarlo al informe y a la presentación.