Hardening. Windows Server Como obtener una configuración robusta de un servidor que ejecuta Windows Server 2008.

Transcripción

1 Hardening Windows Server 2008 Como obtener una configuración robusta de un servidor que ejecuta Windows Server /08/2011

2 HARDENING Windows Server 2008 Contenido Introducción... 2 a. Definición b. Objetivos c. Pasos básicos Server Manager... 3 Administración de cuentas... 4 a. Active Directory b. Menor Privilegio c. Escritorio Remoto Administración de Software Innecesario... 7 a. Recomendaciones b. Herramientas Configuración de Firewall... 9 a. Características en Windows Server 2008 b. Recomendaciones Configuración de auditoria a. Qué significa auditar? b. Recomendaciones. Administración de elementos compartidos a. Qué compartir? b. Uso de elementos compartidos ocultos Actualizaciones y hotfixes a. Hotfixes b. WSUS c. MBSA NAP y Antivirus a. NAP b. Recomendaciones sobre antivirus Configuración de políticas de seguridad Server Core a. Especificaciones b. Por qué tener una instalación minina de Windows Server 2008? c. Requerimientos d. Beneficios e. Utilización básica Conclusión Página 1

3 Introducción Definición. Qué es Hardening? Cada empresa u organización tiene al menos un servidor que se considera un recurso crítico, ya sea un servidor de web, un servidor de base de datos, o un servidor de correo. Desafortunadamente, la mayoría de las aplicaciones de caja y sistemas operativos no protegen adecuadamente sus activos de información. Debido a esto, las empresas necesitan endurecer ( hardening ) sus sistemas para garantizar la protección de las aplicaciones, software, e información sobre ellos. El Hardening es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e innecesarios, cerrando huecos de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de la organización y la auditoría de la configuración de sus sistemas, con el fin de desarrollar e implementar procedimientos de consolidación para asegurar sus recursos críticos. Objetivos. Qué queremos conseguir? Proteger el sistema contra acceso no autorizado. Prevenir el mal uso del sistema de los usuarios. Prevenir perdida de información. Inmunizar el sistema contra ataques conocidos. Maximizar el tiempo necesario para llevar acabo un ataque. Pasos básicos para realizar hardening en Windows Server 2008 En este informe se desarrollaran en líneas generales los pasos mencionados a continuación: Administración de cuentas. Administración de software. Configuración de Firewall. Configuración de Auditoria. Administración de elementos compartidos. Actualizaciones y Hotfixes. Nap y Antivirus. Página 2

4 Server Manager Server Manager es una consola MMC (Microsoft Management Console) ampliada que permite ver y gestionar prácticamente toda la información y las herramientas que afectan a la productividad del servidor. Server Manager dispone de comandos que permiten instalar o eliminar roles de servidor y funcionalidades concretas, y ampliar roles ya instalados en el servidor añadiéndole nuevos servicios de rol. En Windows 2003 disponíamos de la herramienta "Administración de equipos". Sin embargo se tenía la falencia que en la misma consola no se podían instalar aplicaciones, extensiones, features, administrar el firewall, etc. Para todas estas tareas era necesaria la apertura de otras ventanas, y en algunos casos incluso, necesitábamos otras aplicaciones. Es por ello que en determinados momentos la tarea de administrar varios elementos a la vez solía resultar tediosa. Con "Server Manager" se resuelve este problema, ya que la herramienta se integra en las nuevas consolas de administración MMC. De éste modo, en una misma consola, podemos administrar una parte muy importante de nuestro sistema operativo, como son por ejemplo la administración de usuarios y grupos, Windows Server Backup, firewall de Windows con seguridad avanzada, log de sucesos, junto a otras. Todo ello aparece ahora en una misma consola, sin necesidad de abrir otras aplicaciones o ventanas. De igual modo, desde esta consola de trabajo, podremos redimensionar nuestros discos, pasando por la creación de tareas programadas o verificar que la realización de las copias de seguridad se está llevando a efecto de la forma adecuada. Página 3

5 Administración de cuentas Primero debemos saber que durante la instalación del sistema operativo se crean las cuentas administrador e invitado. Debemos manejar adecuadamente dichas cuentas: Eliminar las cuentas no usadas. Deshabilitar la cuenta de invitado. Renombrar la cuenta de administrador. Usar contraseñas robustas. Análisis del uso del escritorio remoto La cuenta de Invitado puede ser deshabilitada desde el administrador del servidor como se muestra en la siguiente imagen: El cambio de nombre de la conocida cuenta administrador hace más difícil que personas no autorizadas averigüen la combinación de contraseña y nombre de los usuarios con más privilegios. Página 4

6 Active Directory Active Directory es una implementación de servicio de directorio en una red distribuida que permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos y políticas de acceso. En Active Directory se definen dominios, dentro del cual existen diversos grupos y usuarios. Es imprescindible el análisis de los permisos asignados a los mismos de acuerdo a los roles que cumplen en la empresa u organización (Ver concepto de menor privilegio a continuación). Para evitar que usuarios sin privilegios realicen determinadas acciones sobre el sistema se definen directivas de grupo que luego son aplicadas a los grupos que corresponda. En estas directivas se puede determinar acciones de las más diversas dando el control necesario al usuario. En la imagen se mantiene resaltado como ejemplo que esta directiva permite a usuarios no administradores recibir notificaciones de las actualizaciones de Windows. Página 5

7 MenorPrivilegio El principio de menor privilegio establece que un administrador sólo debe dar a un objeto o usuario los privilegios que necesita para completar sus tareas asignadas y no más que eso. No conceder más permisos que los necesarios a grandes grupos de usuarios o público/cualquiera. No conceder más permisos que los necesarios a grupos pequeños de usuarios o usuarios específicos. Preferir conceder permisos a grupos pequeños de usuarios o usuarios específico, en vez de concederlos a grandes grupos de usuarios o público/cualquiera. Es mejor que unos pocos usuarios tengan más permisos, que muchos usuarios tengan mayor permiso Escritorio Remoto A continuación se enumeran tres puntos importantes respecto a las sesiones de escritorio remoto que reducen las superficies de ataque. 1. Se debe deshabilitar en caso de no ser necesario. 2. De lo contrario se deberá restringir los usuarios que pueden ingresar y la cantidad de sesiones por usuario, esto se debe a que permitiendo solo un inicio a la vez para un mismo usuario, si alguien obtuvo de forma ilegitima la contraseña e intenta ingresar no podrá hacerlo si el usuario legitimo tiene abierta una sesión, de caso contrario si este no la tiene podrá darse cuenta de que alguien más está conectado a su cuenta cuando intente ingresar. 3. Se podrá además incorporar reglas en el firewall para determinar las ubicaciones desde las cuales se puede establecer la conexión, esto reduce en gran medida los ataques y es una regla que no debe pasarse por alto. Página 6

8 Administración de Software Innecesario Sabemos que el servidor debe poder cumplir solo las funciones necesarias, para ello este no debe contar con software que no cumpla ninguna función o en caso de que las funciones de este sean mínimas se debe analizar si realmente es necesario, de serlo debería estar suficientemente probado con anticipación. Recomendaciones El número de aplicaciones debe ser el mínimo indispensable, administrándolo desde "programas y características". Una buena idea es probar las aplicaciones a ser utilizadas en ambientes de prueba, antes de ser instaladas en el servidor. Algunas aplicaciones utilizan puertas traseras por lo que se recomienda verificar que no hayan incorporado excepciones al firewall o añadido cuentas para el servicio. Herramientas Sysinternals. Sysinternals fue creado en 1996 por Mark Russinovich y Bryce Cogswell para alojar sus utilidades de sistema avanzadas, junto con información técnica. En julio de 2006, Microsoft adquirió Sysinternals pero el mismo continuo siendo distribuido de forma gratuita ( Tanto profesionales como desarrolladores de IT encontrarán utilidades en Sysinternals para facilitar la administración y el diagnóstico de sistemas y aplicaciones de Windows, así como la solución de problemas que pudieran surgir al respecto. Este paquete de utilidades se divide en categorías: Utilidades de disco y archivos Red Procesos y subprocesos Utilidades de seguridad Información del sistema Varios Debido a la gran cantidad de utilidades existentes destacamos dos que pueden ser de utilidad para el tema tratado en esta sección: Process Explorer: muestra información sumamente detallada acerca de los procesos que se han abierto o cargado. Pudiendo conocer que subprocesos abrieron o que librerías DLL cargaron. Además se puede realizar búsquedas por librerías o identificadores de procesos determinados. Página 7

9 Rootkitrevealer: es una utilidad avanzada de detección de rootkits (mecanismos y técnicas por los cuáles código mal intencionado intentan ocultar su presencia del sistema). Para esto compara los resultados de un análisis de sistema en el nivel más alto con los del nivel más bajo (API Windows vs Contenidos sin procesar del volumen del sistema de archivo). Pareció interesante preguntarse si un rootkit puede ocultarse de esta detección, a lo que los desarrolladores del programa responden: es posible que un rootkit se oculte de RootkitRevealer. Hacerlo requeriría interceptar lecturas de RootkitRevealer de datos de subárboles del Registro o datos del sistema de archivos y cambiar el contenido de los datos de manera tal que los archivos o datos de Registro del rootkit no estén presentes. Sin embargo, esto requeriría un nivel de sofisticación no visto en los rootkits en la actualidad. Los cambios a los datos requerirían un conocimiento íntimo de los formatos NTFS, FAT y subárboles de Registro, sumada la capacidad de cambiar estructuras de datos para que éstas oculten el rootkit, pero sin producir estructuras incoherentes o no válidas ni discrepancias secundarias que pudieran ser marcadas por RootkitRevealer. BelarcAdvisor Construye un perfil detallado del software y hardware instalados en su PC, incluyendo los hotfixes (paquete que sirve para resolver un bug) de Microsoft y muestra el resultado en su explorador Web. Toda la información del perfil se mantiene privada en su PC y no se envía a ningún servidor Web. Incluso este software permite realizar un benchmark de seguridad, pero lamentablemente esta característica no funciona con esta versión de Windows para servidores, pero puede ser de gran utilidad para evaluar a otros puntos conectados a la red que dependan y trabajen con este. Los productos comerciales de Belarc, son utilizados para verificar políticas de cumplimiento en licencias de software, planear actualizaciones de hardware, verificar estados de seguridad, garantizar niveles en seguridad para auditorías, administración de activos en IT y administración de configuraciones, entre otras funciones. La licencia de este software es gratuita pero solo para uso personal, en caso de querer utilizarse en otros fines se deben adquirir otros paquetes de belarc que lo incluyen como BelManage, BelManage Small Network Option, BelSecure. Página 8

10 Configuración de Firewall Sabemos que el firewall es una parte importante en el servidor y además lo es para toda la red ya que nos permite bloquear accesos no autorizados, es por ello que para su configuración debe hacerse un profundo análisis de las tareas y/o conexiones que se realizan a fin de establecer políticas determinadas para la configuración del mismo. Características en Windows Server 2008 Dependiendo de las reglas que queramos aplicar, podremos implementarlas en función de diversos factores: Nombre de aplicación: restringir o permitir a una aplicación la conexión con el exterior. Puertos: restringir o permitir a todos o a un número determinado de puertos la conexión. Direcciones IP: restringir o permitir a una dirección IP o un rango entero de direcciones la conexión con algún tipo de aplicación oservicio. ICMP o ICMPV6: restringir o permitir algún servicio de este tipo, como por ejemplo ping. Servicios: restringir o permitir la conexión al exterior de algún servicio. Usuarios AD, locales, grupos o máquinas: restringir o aplicar reglas para un determinado grupo de usuarios, usuarios de directorio activo o locales. Tipos de Interface: aplicar o restringir las reglas en función del tipo de interface que tengamos en el equipo, ya sea Wireless, Ethernet, u otros. El Firewall es también administrable a través de la línea de comandos. Para ello disponemos de la herramienta netsh. Esta es una aplicación que opera bajo línea de comandos y que nos permite administrar la configuración de red de un equipo. Este tipo de administración es posible realizarla tanto de forma local como remota. Recomendaciones Es necesario que cada servidor cuente con su firewall basado en host. Además del que presente la red, esto agrega mayor seguridad y control personal al servidor. Este no debe contener reglas o excepciones innecesarias. Política por defecto: Bloqueo entrante y saliente. Esta política debe contemplarse cuando se configure desde cero el servidor y la red, puesto que es difícil modificar una política permisiva luego de que todo está en funcionamiento. No permitir nunca una excepción para un programa desconocido. Página 9

11 Configuración de auditoria Qué significa auditar? Se denomina auditar a la recopilación y evaluación de datos sobre información de una entidad, en nuestro caso, nuestro servidor. El fin es determinar e informar sobre el grado de correspondencia entre la información y los criterios establecidos, para derivar en un uso eficiente del mismo, una buena seguridad y adecuarse a los objetivos planteados. La auditoría debe ser realizada por una persona competente e independiente. Uno de los cambios más significativos en Windows Server 2008 de auditoría es que ahora no sólo puede auditar, sino también se puede ver cuál es el valor nuevo y cuál era el valor viejo. Esto es importante porque ahora se puede decir por qué se ha cambiado y si algo no va bien, hay mayores posibilidades de encontrar fácilmente lo que debe ser restaurado. Otro cambio significativo es que en las versiones de servidores antiguas sólo realizaban auditorías de políticas dentro o fuera de la estructura de Active Directory. En Windows Server 2008, la directiva de auditoría es más granular. Recomendaciones Como buena práctica de seguridad se recomienda auditar los siguientes eventos: Login. Administración de cuentas. Acceso al servicio de directorio. Cambios de políticas. Uso de privilegios. Seguimiento de procesos. Eventos del sistema. Dicha configuración se lleva a cabo en: "Directivas de seguridad local/directivas locales/directiva de auditoria", donde se puede determinar auditar eventos correctos y/o erróneos. En un objeto y dominio determinado de un active directory. Página 10

12 Para obtener información sobre los diferentes logs, existen herramientas o paginas como la cual dado el ID del evento nos proporciona una información detallada del mismo. Página 11

13 Administración de elementos compartidos Qué compartir? Como ya hemos dicho muchas veces durante este informe, lo principal es no exponer cosas de más. Por eso mismo la respuesta a esta pregunta es muy sencilla, NO DEBEN COMPARTIRSE ELEMENTOS INNECESARIOS. Para esto debemos tener en claro que cosas realmente son necesarias utilizarla de modo compartido. Uso de elementos compartidos ocultos. Una buen método para utilizar elementos compartidos es mediante elementos compartidos ocultos, los cuales no aparecen en los listados, de esta forma solo aquellos usuarios que conozcan de su existencia tendrán acceso a estos. Para saber que elementos estamos compartiendo desde nuestra máquina podemos listar de alguna de las siguientes formas: Mediante Interface gráfica: Administrador de equipo/carpeta compartida/recurso compartidos. Mediante consola: net share. Para hacer oculto un recurso solo debe incorporarse el signo $ al final del nombre de recurso, el mismo se encuentra dentro del Uso Compartido Avanzado, situado en la pestaña Compartir de cada archivo o directorio. Página 12

14 Actualizaciones y hotfixes Hotfixes Los Hotfixes son paquetes que pueden incluir varios archivos y que sirven para resolver un bug específico dentro de una aplicación del sistema.por lo general suelen ser pequeños parches diseñados para resolver problemas de reciente aparición, como son los agujeros de seguridad. En Windows contamos con un sistema de gestión de paquetes, denominado Windows Update que instala estos parches automáticamente. Las actualizaciones y revisiones son elementos clave a la hora de realizar un hardening de un servidor. Los mecanismos de seguridad y parches deben estar en constante actualización desde el primer día, para protegersecontra las vulnerabilidades. Estos parches no se limitan al sistema operativo, sino también cualquier aplicación que se aloja en ellos. Los administradores deben verificar actualizaciones periódicamente en el sitios web del fabricante. Windows Server 2008 ofrece un conjunto de herramientas que ayuda al administrador con la actualización y revisión de sus servidores. WSUS Windows Server Update Services (WSUS) provee actualizaciones de seguridad para los sistemas operativos Microsoft. Mediante este, podemos manejar centralmente la distribución de parches a través de actualizaciones automáticas a todas las computadoras de la red corporativa. La infraestructura de WSUS permite que desde un servidor/es central se descarguen automáticamente los parches y actualizaciones para los clientes en la organización, en lugar de hacerlo desde el sitio web Microsoft Windows Update. Esto mejora la seguridad ya que las computadoras no necesitan conectarse individualmente a servidores externos a la organización, sino que se conectan a servidores locales. MBSA Microsoft Baseline Security Analyzer (MBSA) es una herramienta fácil de usar diseñada para ayudar a determinar el estado de seguridad de un sistema según las recomendaciones de seguridad de Microsoft y ofrece orientación de soluciones específicas. Mejora el proceso de administración de seguridad detectando los errores más comunes de configuración de seguridad y actualizaciones de seguridad que faltan en dicho sistema. Página 13

15 NAP y Antivirus NAP El uso de antivirus tanto para el servidor como para las maquinas que se conectan a él, es un factor indispensable. Pero muchas veces, en redes sumamente grandes y con acceso a múltiples usuarios, es difícil llevar a cabo esta tarea. Network Access Protection (NAP) es un nuevo grupo de componentes incluido en Windows Server 2008 que constituyen una plataforma que garantiza que las máquinas clientes de una red privada cumplen con los requisitos definidos por el administrador en materia de salud y seguridad. Las políticas de NAP definen la configuración exigida, el estado de actualización del sistema operativo de un cliente y el software necesario. Por ejemplo, se puede exigir a los equipos que dispongan de software antivirus con las últimas actualizaciones de firmas de virus instaladas, que el sistema operativo contenga las actualizaciones más recientes y un firewall personal instalado. Al obligar al cumplimiento de estos requisitos de salud, NAP reduce muchos de los riesgos ocasionados por máquinas mal configuradas que pueden estar expuestas a virus y otro tipo de software malintencionado. NAP aplica unos criterios y monitoriza la evaluación del estado de las máquinas clientes cuando intentan conectarse o comunicarse con la red corporativa. Si se determina que una máquina no cumple los requisitos establecidos, se puede redirigir la conexión a una red restringida que contiene los recursos necesarios para resolver las deficiencias que ha detectado el proceso, pudiendo después, una vez detectado que cumple los estándares prefijados, conectarse con normalidad a la red corporativa. Página 14

16 Recomendaciones sobre antivirus Antivirus pagos: Kaspersky Anti-Virus 6.0 Para Windows Server: protege la información confidencial almacenada en servidores con plataformas de la familia de los sistemas operativos Microsoft Windows (incluyendo las versiones x64), contra todo tipo de programas maliciosos. El producto se diseñó de manera específica para asegurar un alto grado de rendimiento a los servidores corporativos que son sobrecargados y se puede instalar en redes corporativas de cualquier dimensión y grado de dispersión. Su fiabilidad y eficacia, junto a un alto rendimiento y administración flexible, brinda un muy buen nivel de protección a los servidores corporativos que funcionan con plataformas Windows Server. ESET NOD32 Antivirus: Este software antimalware con su altísimo nivel de detección proactiva, representa una de las mejores compatibilidades para garantizar la seguridad en Windows Server 2008 contra virus, gusanos, troyanos, adware, spyware, rootkits y evolucionadas amenazas informáticas, tanto conocidas como desconocidas. Antivirus Gratuitos: En esta rama de sistemas operativos las soluciones gratuitas son escasas, además considerando que el elemento a proteger es de suma importancia dentro de una organización o empresa se debe comprobar estas herramientas antes de utilizarlas. avast! Server Edition: ofrece una de las protecciones gratuitas más poderosa para luchar contra las infecciones de virus en su servidor o servidores. Funciona tanto en protección primaria de un servidor de archivos en sí, y, a través de sus plug-ins opcionales, como la protección de varios subsistemas del servidor, tales como el correo electrónico o un firewall / proxy. Página 15

17 Configuración de políticas de seguridad El Asistente para configuración de seguridad (SCW) sirve como guía a través del proceso de creación, edición, aplicación o reversión de una directiva de seguridad. Nos permite crear o modificar fácilmente una directiva para el servidor basándose en su función.luego se puede usar la directiva de grupo para aplicar la directiva de seguridad a varios servidores de destino que desempeñen la misma función a través de un simple fichero.xml. El SCW también se puede usar para revertir una directiva a su configuración anterior con fines de recuperación. Otra característica es que podemos comparar la configuración de seguridad de un servidor con la directiva de seguridad que deseamos a fin de buscar las configuraciones vulnerables del sistema. La versión del SCW de Windows Server 2008 incluye más configuraciones de función de servidor y opciones de seguridad que la versión del SCW de Windows Server Además, usando la versión del SCW de Windows Server 2008, es posible: Deshabilitar los servicios innecesarios basados en la función de servidor. Quitar las reglas de firewall que no se usen y limitar las existentes. Definir directivas de auditoría limitadas. Una vez creada la directiva de seguridad con el SCW, puede usar la herramienta de línea de comandos Scwcmd para: Aplicar la directiva a uno o más servidores. Revertir directivas. Analizar y ver una directiva del SCW en varios servidores, así como informes de cumplimiento que pueden mostrar cualquier discrepancia en la configuración de un servidor. Transformar una directiva del SCW en un objeto de directiva de grupo (GPO) para implementaciones centralizadas y administración mediante los Servicios de dominio de Active Directory (AD DS). Página 16

18 Tras la instalación de funciones iniciales, el SCW se puede usar para ayudar a mantener la seguridad de los servidores comprobando las vulnerabilidades, ya que las configuraciones del servidor cambian con el tiempo, y realizando las actualizaciones que sean necesarias en la configuración de la directiva. Otra importante utilidad es que está integrado con el Firewall de Windows con seguridad avanzada, por lo que permite el tráfico de red entrante o saliente para los importantes servicios o características que requiere el sistema operativo. Si se requieren reglas de firewall adicionales, puede usar el SCW para crearlas. También es posible limitar el acceso modificando las reglas de firewall proporcionadas. Esta capacidad hace más fácil proteger la red de la organización. Todo esto puede realizarse de forma particular como explicamos a lo largo del informe, lo que aumenta la dificultad por tener que conocer cada sección del sistema operativo, pero brinda la posibilidad de realizar configuraciones más complejas y específicas que con el asistente SCW. Página 17

19 Server Core Especificaciones La instalación de Windows Server ServerCore permite no tener todos los servicios que puede tener un servidor instalado de forma "normal"; lo que reduce su superficie de exposición a ataques y reduce sus tareas de mantenimiento, entre otras cosas. A cambio, es más "incómodo" de administrar, al carecer de GUI (interfaz de usuario) y por lo tanto es necesario para su administración recurrir a la línea de comandos y/o scripts. Este servidor tiene sólo las aplicaciones y servicios necesarios para su función, sólo determinados roles pueden ser asumidos. Dichos roles son: Servidor de ficheros Servidor de impresión Controlador de dominio Servidor DNS Servidor DHCP Servidor WINS Arquitectura Server Core Por qué tener una instalación minina de Windows Server 2008? Muchas veces Windows es desplegado para cumplir la función de un solo rol, como por ejemplo servidor de DHCP. Imaginemos tener todo una instalación completa dedicada solo para esta función. Porque tener todos esos binarios extras? Viéndolo desde un punto de vista de seguridad, si tenemos menos componentes, menos es la superficie de ataque posible. También si tenemos menos roles instalados, significa parchar menos componentes, menos administración y menos servicios corriendo. Requerimientos Otros de los puntos muy importantes y a favor de Server Core es el poco consumo de componentes que este necesita. Una instalación Server Core se conforma con aproximadamente un gigabyte de espacio de disco para ejecutar la instalación, y aproximadamente dos gigabyte para ejecutar operaciones posteriores a la instalación, por lo que con un disco rígido de quince gigabyte es suficiente. El procesador deberá ser de al menos 1GHz, la memoria ram debe ser igual o superar los 512MB mientas que la placa de video podrá ser solo de 8MB. Página 18

20 Beneficios Mantenimiento Reducido. Como sólo se instala lo estrictamente necesario para contar con un servidor manejable con DHCP, File, Print, DNS, Media Services, AD LDS, o Active Directory, una instalación de Server Core exige menos mantenimiento. Superficie vulnerable a ataques, reducida. En el servidor se ejecutan menos servicios y aplicaciones, lo que reduce notablemente cualquier tipo de ataque, sobre todo aquellos causados por puertas traseras de aplicaciones extras al servidor. Administración reducida. En el servidor existen menos programas para administrar, por lo que podemos dedicar más tiempo a estos y configurarlos de una mejor manera. Menos espacio de disco requerido. Como ya se dijo anteriormente es un SO que tiene una baja demanda de hardware. Una instalación de Server Core se conforma con aproximadamente 1 gigabyte (GB) de espacio de disco para ejecutar la instalación, y aproximadamente 2 GB para ejecutar operaciones posteriores a la instalación. Capacidad de automatizar procesos mediante scripts. Utilización básica Algunos de los comandos más utilizados en este sistema son los siguientes: Mostrar el nombre de la máquina: set COMPUTERNAME Mostrar los roles de servidor instalados oclist Mostrar información de los servicios que están instalados scquery o net start Comenzar un servicio sc start<servicename> o net start<servicename> Detener un servicio sc stop <servicename> o net stop <servicename> Mostrar los Logs de Eventos Wevtutil el Ver eventos en un log específico wevtutilqe /f:text NOMBRE_DEL_LOG Mostrar usuario activo whoami Cambiar contraseña de administrador net useradministrator * Habilitar/deshabilitar el firewall netsh firewall set opmode [disable/enable]. Agregarla computadora local a un grupo netlocalgroup<group name>/add Eliminar una computadora de un dominio netdom remove <computername> Eliminar una computadora de un dominio netdom remove <computername> Página 19

21 Conclusión El desarrollo de este informe nos permitió arribar a la conclusión de que el proceso de hardening puede ser tan complejo como uno quiera, nosotros abordamos una introducción a este dentro del marco de Windows Server, pero muchos conceptos quedaron fuera y otros fueron analizados con menor profundidad debido a la complejidad mencionada. Debido a que los sistemas se modifican y los atacantes descubren mas métodos para corromper el sistema en cuestión, el proceso de hardening es una herramienta que garantiza reducir las superficies de ataque aun sin conocer cuáles podrían ser los medios utilizados para el ingreso a nuestro servidor, por lo tanto es una herramienta preventiva muy importante, la cual no puede detener a todos los intrusos pero no puede faltar en ningún servidor que requiera al menos un mínimo de protección. A modo personal nos sirvió como marco introductorio en el uso de este sistema operativo, sus cambios respecto de versiones hogareñas, las ventajas y desventajas que presenta. Además tuvimos la oportunidad de configurar un Active Directory e interactuar con privilegios aplicados a recursos de red y analizar Logs generados por el sistema. Todo lo mencionado fue probado sobre maquinas virtuales que nos dieron la facilidad de la implementación de una red de varias computadoras de forma rápida y económica, permitiendo realizar cada paso de hardening antes de incorporarlo al informe y a la presentación. Página 20