Windows Server 2008

2012
HARDENING
Windows Server
En un entorno de granja de servidores, los servidores individuales desempean funciones especficas. Las recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la funcin que desempea cada uno.
LVAREZ ZAVALA JOSE LUIS; PARRA MARTINEZ JUAN MANUEL Universidad Politcnica de San Luis Potos 19/05/2012
Ciencia Tegnologa y Cultura al Servicio del Ser Humano
WINDOWS SERVER 2008 HARDENING

En un entorno de granja de servidores, los servidores individuales desempean funciones especficas. Las recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la funcin que desempea cada uno. Las recomendaciones sobre el endurecimiento de la seguridad del servidor se basan en las recomendaciones proporcionadas en la siguiente orientacin de seguridad enModelos y prcticas de Microsoft : Proteccin del servidor web Proteccin del servidor de bases de datos Proteccin de la red
Estas guas siguen un enfoque metdico para asegurar los servidores para funciones especficas y para asegurar la red de soporte. Tambin se prescribe el orden en el que se aplican las configuraciones y se instalan las aplicaciones y se endurece su seguridad, empezando con la aplicacin de revisiones y actualizaciones, a continuacin endureciendo la seguridad de la configuracin de red y del sistema operativo y, por ltimo, endureciendo la seguridad de aplicaciones especficas. Por ejemplo, en Proteccin del servidor web recomienda instalar y endurecer la seguridad de Internet Information Services (IIS) slo despus de aplicar la revisin y endurecer la seguridad del sistema operativo. Adems, esta gua prescribe instalar Microsoft .NET Framework una vez que IIS est completamente revisado y su seguridad endurecida.
Comunicacin segura con la base de datos de Microsoft SQL Server

Proteccin del servidor de bases de datos recomienda restringir el acceso a dos puertos de comunicaciones de Microsoft SQL Server predeterminados: el puerto TCP 1433 y el puerto UDP 1434. Para obtener ms informacin sobre entornos de granja de servidores seguros, se recomienda realizar lo siguiente: Bloquear por completo el puerto UDP 1434. Configurar instancias con nombre de SQL Server para escuchar en un puerto no estndar (distintos de puerto TCP 1433 o el puerto UDP 1434). Para obtener seguridad adicional, bloquee el puerto TCP 1433 y reasigne el puerto que usa la instancia predeterminada a un puerto no estndar. Configure los alias de cliente SQL en todos los servidores cliente web y servidores de aplicaciones en la granja de servidores. Una vez bloqueados los puertos TCP 1433 o UDP 1434, los alias de cliente SQL son necesarios en todos los equipos que se comunican con el equipo que ejecuta SQL Server.
Este mtodo proporciona un grado de control mucho mayor sobre la manera en que se implementa y ejecuta SQL Server, incluida la capacidad de asegurar que slo los equipos autorizados puedan comunicarse con el equipo que ejecuta SQL Server.

Los pasos para el endurecimiento de la seguridad para la creacin de un alias de cliente SQL deben realizarse antes de instalar Search Server 2008. Cuando ejecute el programa de instalacin para Search Server 2008 y se le pide que escriba el nombre del equipo SQL Server al que va a conectarse, debe escribir el nombre del alias de cliente SQL.
Bloquear los puertos estndares de SQL Server

Los puertos especficos que se usan para conectarse a SQL Server se ven afectados por el hecho de si las bases de datos se instalan en una instancia predeterminada de SQL Server o una instancia con nombre de SQL Server. La instancia predeterminada de SQL Server escucha las solicitudes de clientes en el puerto TCP 1433. Una instancia con nombre de SQL Server escucha en un nmero de puerto asignado aleatoriamente. Adems, se puede volver a asignar el nmero de puerto para una instancia con nombre si reinicia la instancia (segn si el nmero de puerto asignado anteriormente est disponible). De forma predeterminada, los equipos cliente que se conectan a SQL Server se conectan primero usando el puerto TCP 1433. Si esta comunicacin no tiene xito, los equipos cliente consultan el servicio de resolucin de SQL Server a la escucha en el puerto UDP 1434 para determinar en qu puertos est escuchando la instancia de base de datos. El comportamiento predeterminado de comunicacin con puertos de SQL Server presenta varios problemas que afectan al endurecimiento de la seguridad del servidor. En primer lugar, los puertos usados por SQL Server son puertos bien publicitados y el servicio de resolucin de SQL Server ha sido objeto de ataques de desbordamiento del bfer y por denegacin de servicio, incluido el virus de gusano "Slammer". Incluso a pesar de que SQL Server est revisado para reducir los problemas de seguridad en el servicio de resolucin de SQL Server, los puertos bien conocidos siguen siendo un objetivo. En segundo lugar, si las bases de datos estn instaladas en una instancia con nombre de SQL Server, el puerto de comunicaciones correspondiente se asigna de forma aleatoria y puede cambiar. Este comportamiento puede prevenir potencialmente la comunicacin servidor a servidor en un entorno con seguridad endurecida. La capacidad de controlar qu puertos TCP estn abiertos o bloqueados es necesaria para ayudar a proteger el entorno. Por lo tanto, la recomendacin para una granja de servidores es asignar nmeros de puerto estticos a instancias con nombre de SQL Server y bloquear el puerto UDP 1434 para evitar que los atacantes potenciales tengan acceso al servicio de resolucin de SQL Server. Adems, considere reasignar el puerto usado por la instancia predeterminada, as como bloquear el puerto TCP 1433. Existen varios mtodos que se pueden usar para bloquear puertos. Puede bloquear estos puertos mediante un servidor de seguridad. Sin embargo, a menos que est seguro de que no hay otras rutas al segmento de red y de que no hay usuarios malintencionados con acceso al segmento de red, se recomienda bloquear estos puertos directamente en el servidor que hospeda SQL Server. Esto se puede conseguir usando el Firewall de Windows en el Panel de control.
Configurar instancias de la base de datos de SQL Server para escuchar en un puerto no estndar
SQL Server proporciona la capacidad para reasignar los puertos usados por la instancia predeterminada y cualquier instancia con nombre. En SQL Server 2000, se reasignan puertos mediante la Herramienta de red de servidor. En SQL Server 2005, los puertos se reasignan mediante el Administrador de configuracin de SQL Server.

Configurar alias de cliente SQL
En una granja de servidores, todos los servidores cliente web y los servidores de aplicacin son equipos cliente de SQL Server. Si bloquea el puerto UDP 1434 en el equipo con SQL Server o cambia el puerto predeterminado para la instancia predeterminada, debe configurar un alias de cliente SQL en todos los servidores que se conectan al equipo con SQL Server. Para conectar con una instancia de SQL Server 2000, debe instalar las herramientas del cliente de SQL Server en el equipo de destino y, a continuacin, configurar los alias de cliente SQL, que se instalan mediante la ejecucin de Configuracin de SQL Server y la seleccin de Herramientas de cliente de SQL Server. Para conectar con una instancia de SQL Server 2005, debe instalar los componentes del cliente de SQL Server en el equipo de destino y, a continuacin, configurar el alias del cliente SQL mediante el Administrador de configuracin de SQL Server. Para instalar los componentes del cliente de SQL Server, ejecute Configuracin y seleccione slo los siguientes elementos para su instalacin: Componentes de conectividad Herramientas de administracin (incluye el Administrador de configuracin de SQL Server)
Componentes cliente de SQL Server que funcionen con SQL Server 2000 y puedan usarse en lugar de las herramientas cliente de SQL Server.
Pasos para el endurecimiento de la seguridad
Configurar SQL Server Configurar una instancia de SQL Server 2000 para que escuche en un puerto no predeterminado Use Herramienta de red de servidor para cambiar el puerto TCP que usa una instancia de SQL Server 2000. 1. 2. En el equipo con SQL Server, ejecute Herramienta de red de servidor. En el men Instancias en este servidor, seleccione la instancia. Asegrese de que ha seleccionado la instancia deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. A las instancias con nombre de SQL Server 2000 se les asigna a un nmero de puerto aleatorio. Por lo tanto, es posible que no sepa el nmero de puerto actual asignado a una instancia con nombre cuando se ejecuta Herramienta de red de servidor. En el panel Protocolos habilitados en el lado derecho de la interfaz de Herramienta de red de servidor, haga clic en TCP/IP y, a continuacin, en Propiedades. En el cuadro de dilogo Configurar el valor predeterminado del protocolo de red, cambie el nmero de puerto TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un nmero de puerto de un rango ms alto, como 40000. No active la casilla Ocultar servidor. Haga clic en Aceptar. En el cuadro de dilogo Herramienta de red de servidor, haga clic en Aceptar. Recibir un mensaje que indica que el cambio no tendr efecto hasta que se reinicie el servicio SQL Server. Haga clic en Aceptar. Reinicie el servicio SQL Server y confirme que si equipo con SQL Server est escuchando en el puerto que se seleccion. Puede confirmarlo mirando en el registro del visor de eventos despus de reiniciar el servicio SQL Server. Busque un evento de informacin similar al siguiente evento: Tipo del evento:Informacin
3. 4.
5. 6. 7.

Origen del evento:MSSQLSERVER Categora del evento:(2) Id. del evento:17055 Fecha: 6/3/2008 Hora:11:20:28 a.m. Usuario:N/D Equipo:nombre_de_equipo Descripcin: 19013: SQL Server escuchando en 10.1.2.3: 40000 Configuracin de una instancia de SQL Server 2005 para que escuche en un puerto no predeterminado Use el Administrador de configuracin de SQL Server para cambiar el puerto TCP usado por una sesin de SQL Server 2005. 1. Use el Administrador de configuracin de SQL Server para cambiar el puerto TCP usado por una sesin de SQL Server 2005. 2. En el equipo con SQL Server, abra el Administrador de configuracin de SQL Server. 3. En el panel izquierdo, expanda Configuracin de red de SQL Server 2005. 4. En Configuracin de red de SQL Server 2005, haga clic en la entrada correspondiente para la instancia que se va a configurar. La instancia predeterminada aparece comoProtocolos para MSSQLSERVER. Las instancias con nombre aparecern como Protocolos para instancia_con_nombre. 5. En el panel derecho, haga clic con el botn secundario en TCP/IP y, a continuacin, haga clic en Propiedades. 6. Haga clic en la ficha Direcciones IP. Para cada direccin IP asignada al equipo con SQL Server, hay una entrada correspondiente en esta ficha. De forma predeterminada, SQL Server est escuchando en todas las direcciones IP asignadas al equipo. 7. Para cambiar globalmente el puerto que est escuchando la instancia predeterminada, realice lo siguiente: a. Para cada IP, excepto IPAll, borre todos los valores para los Puertos TCP dinmicos y el Puerto TCP. b. Para IPAll, borre el valor de Puertos TCP dinmicos. En el campo Puerto TCP, escriba el puerto que desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000. 8. Para cambiar globalmente el puerto que est escuchando una instancia con nombre, realice lo siguiente: a. Para cada IP, incluida IPAll, borre todos los valores para Puertos TCP dinmicos. Un valor de 0 para este campo indica que SQL Server usa un puerto TCP dinmico para la direccin IP. Una entrada en blanco para este valor significa que SQL Server 2005 no usar un puerto TCP dinmico para la direccin IP. b. Para cada IP, excepto IPAll, borre todos los valores para Puerto TCP. c. Para IPAll, borre el valor de Puertos TCP dinmicos. En el campo Puerto TCP, escriba el puerto que desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000. 9. Haga clic en Aceptar. Recibir un mensaje que indica que el cambio no tendr efecto hasta que se reinicie el servicio SQL Server. Haga clic en Aceptar. 10. Cierre el Administrador de configuracin de SQL Server.

11. Reinicie el servicio SQL Server y confirme que el equipo con SQL Server est escuchando en el puerto seleccionado. Puede confirmarlo mirando en el registro del visor de eventos despus de reiniciar el servicio SQL Server. Busque un evento de informacin similar al siguiente evento:
Tipo del evento:Informacin Origen del evento:MSSQL$MSSQLSERVER Categora del evento:(2) Id. del evento:26022 Fecha: 6/3/2008 Hora:13:46:11 a.m. Usuario:N/D Equipo:nombre_de_equipo Descripcin: El servidor est escuchando en [ 'any' <ipv4>50000]
Configuracin del Firewall de Windows Configure el Firewall de Windows para bloquear puertos de escucha predeterminados de SQL Server
1. 2. 3. 4. 5. 6. 7. 8. En el Panel de control, abra Firewall de Windows. En la ficha General, haga clic en Activado. Asegrese de que no est activa la casilla de verificacin No permitir excepciones. En la ficha Excepciones, haga clic en Agregar puerto. En el cuadro de dilogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A continuacin, escriba el nmero de puerto. Por ejemplo, 1434. Seleccione el botn de opcin adecuado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic en UDP. Para bloquear el puerto 1433, haga clic en TCP. Haga clic en Cambiar mbito y asegrese de que el mbito para esta excepcin est configurado en Cualquier equipo (incluyendo los de Internet). Haga clic en Aceptar. En la ficha Excepciones, localice la excepcin que ha creado. Para bloquear el puerto, desactive la casilla para dicha excepcin. De forma predeterminada, esta casilla est activada, lo que significa que el puerto est abierto.
Configuracin del Firewall de Windows para abrir manualmente puertos asignados 1. Siga los pasos 1 a 7 en el procedimiento anterior para crear una excepcin para el puerto al que asign manualmente a una instancia de SQL. Por ejemplo cree una excepcin para el puerto TCP 40000.

2. En la ficha Excepciones, localice la excepcin que ha creado. Asegrese de que la casilla de la excepcin est marcada. De forma predeterminada, la casilla est activada, lo que significa que el puerto est abierto. Configuracin de un alias de cliente SQL Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo con SQL Server, debe crear un alias de cliente SQL en los dems equipos de la granja de servidores. Puede usar componentes de clientes de SQL Server para crear alias de cliente SQL para los equipos que se conectan a SQL Server 2000 SQL Server 2005. 1. Ejecute el programa de instalacin para SQL Server 2005 en el equipo de destino y seleccione los siguientes componentes cliente para instalar: a. Componentes de conectividad b. Herramientas de administracin Abra el Administrador de configuracin de SQL Server. En el panel izquierdo, haga clic en Configuracin de SQL Native Client. En el panel de la derecha, haga clic con el botn secundario del mouse (ratn) en Alias y seleccione Nuevo alias. En el cuadro de dilogo Alias, escriba un nombre para el alias y, a continuacin, escriba el nmero de puerto para la instancia de la base de datos. Por ejemplo, escriba SharePoint_alias. En el campo N de puerto, escriba el nmero de puerto para la instancia de la base de datos. Por ejemplo, escriba 40000. Asegrese de que el protocolo est establecido a TCP/IP. En el campo Servidor, escriba el nombre del equipo con SQL Server. Haga clic en Aplicar y, a continuacin, en Aceptar.
2. 3. 4. 5. 6. 7. 8.
Pruebe el alias de cliente SQL Pruebe la conectividad hacia el equipo con SQL Server mediante Microsoft SQL Server Management Studio, que est disponible mediante la instalacin de componentes cliente de SQL Server. 1. 2. Abra SQL Server Management Studio. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que cre y, a continuacin, haga clic en Conectar. Si la conexin es correcta, SQL Server Management Studio se rellena con objetos que corresponden a la base de datos remota. El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Estas canalizaciones pueden comunicarse usando protocolos SMB hospedado directamente o NetBIOS sobre TCP/IP (NetBT). Para un entorno seguro, se recomienda SMB hospedado directamente en lugar de NetBT. Las recomendaciones para el endurecimiento de la seguridad proporcionadas en este artculo asumen que se usar SMB. En la tabla siguiente se describen los requisitos para el endurecimiento de la seguridad introducidos por la dependencia en el servicio Compartir archivos e impresoras.
3.
4.
Categora Requisito
Servicios Compartir archivos impresoras e
Notas
Requiere el uso de canalizaciones con nombre.
Protocolos Canalizaciones Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado con nombre directamente. Sin embargo, NBT no se considera tan seguro como SMB que usan SMB hospedado directamente.
hospedado directamente Desactivar NBT Puertos Puerto Usado por SMB hospedado directamente. TCP/UDP 445
Servicios web de Office Server

El servicio web de Office Services lo usa Search Server 2008 como canal de comunicacin entre servidores web y servidores de aplicacin. Este servicio usa los siguientes puertos: TCP 56737 TCP/SSL 56738
Conexiones con servidores externos

Search Server 2008 puede configurarse para tener acceso al contenido que se encuentra en los equipos de los servidores situados fuera de la granja de servidores. Si configura el acceso a contenido en los servidores externos, asegrese de habilitar la comunicacin entre los equipos apropiados. En la mayora de los casos, los puertos, protocolos y servicios que se usan dependen del recurso externo. Por ejemplo: Las conexiones a los recursos compartidos de archivos usan el servicio Compartir archivos e impresoras. Las conexiones a las bases de datos externas de SQL Server usan los puertos predeterminados o personalizados para la comunicacin con SQL Server. Las conexiones a Oracle usan normalmente OLE DB. Las conexiones a servicios web usan HTTP y HTTPS.
En la siguiente tabla se incluyen las caractersticas que se pueden configurar para tener acceso al contenido que reside en los equipos de servidores situados fuera de la granja de servidores.
Caracterstica Descripcin
Rastreo contenido de Puede configurar reglas de rastreo para rastrear contenido que se encuentra en recursos externos, incluyendo sitios web, recursos compartidos de archivos y carpetas pblicas de Exchange. Al rastrear orgenes de contenido externo, la funcin ndice se comunica directamente con estos recursos externos.
Servicios de Search Server 2008

No deshabilite servicios instalados por Search Server 2008.

Los siguientes servicios estn instalados en todos los servidores cliente web y de aplicaciones y aparecen en el complemento de servicios de Microsoft Management Console (MMC) (orden alfabtico): Office SharePoint Server Search Administracin de Windows SharePoint Services Windows SharePoint Services Search Temporizador de Windows SharePoint Services Seguimiento de Windows SharePoint Services Escritor de VSS de Windows SharePoint Services
Si el entorno no permite servicios que se ejecutan como un sistema local, puede considerar deshabilitar el servicio de administracin de Windows SharePoint Services slo si es consciente de las consecuencias y puede resolverlas. Este servicio es un servicio Win32 que se ejecuta como un servicio local. El servicio de temporizador de Windows SharePoint Services usa este servicio para realizar acciones que requieren credenciales de administrador en el servidor, como crear sitios web IIS, implementar cdigo y detener o iniciar servicios. Si deshabilita este servicio, no podr ejecutar tareas relacionadas con la implementacin desde el sitio de Administracin central. Deber usar la herramienta de lnea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para completar implementaciones multiservidor para Search Server 2008 y para ejecutar otras tareas relacionadas con la implementacin.
Archivo Web.config
.NET Framework, y ASP.NET en particular, usa archivos de configuracin con formato XML para configurar las aplicaciones. Para definir las opciones de configuracin, .NET Framework emplea archivos de configuracin, que son archivos XML basados en texto. En un mismo sistema, es habitual que existan varios archivos de configuracin. En .NET Framework, los parmetros de configuracin de todo el sistema estn definidos en el archivo Machine.config. Este archivo se encuentra en la carpeta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. La configuracin predeterminada que se encuentra en el archivo Machine.config se puede modificar para que afecte al comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones sobre cmo configurar archivos Machine.config. Puede cambiar la configuracin de ASP.NET para una sola aplicacin si crea un archivo Web.config en la carpeta raz de la aplicacin. Al hacerlo, la configuracin en el archivo Web.config reemplaza la configuracin en el archivo Machine.config. Al ampliar una aplicacin web mediante Administracin central, Search Server 2008 crea automticamente un archivo Web.config para la aplicacin web.
Proteccin de las adiciones de instantneas

Esta seccin muestra las adiciones a instantneas en la orientacin de seguridad de modelos y prcticas de Microsoft que se recomienda para entornos de Search Server 2008. stas se detallan en formato de tabla mediante las mismas categoras y el mismo orden que en las guas de seguridad de modelos y prcticas. Este formato est destinado a facilitar la determinacin y la aplicacin de recomendaciones especficas cuando se usan las guas de seguridad de modelos y prcticas de Microsoft. Salvo algunas excepciones mencionadas, estas recomendaciones de endurecimiento de la seguridad se deben aplicar antes de ejecutar el programa de instalacin para Search Server 2008.

Proteger las adiciones de instantneas de red
En la tabla siguiente se describen las recomendaciones para proteger las adiciones de red.
Componente
Todo
Excepcin de caracterstica
No hay recomendaciones adicionales
Proteger las adiciones de instantnea del servidor web

En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor web.
Componente
Servicios
Caracterstica
Habilitar: Compartir archivos e impresoras Office SharePoint Server Search Servicio de publicacin World Wide Web Asegrese de que estos servicios permanecen habilitados tras ejecutar el programa de instalacin: Office SharePoint Server Search Administracin de Windows SharePoint Services Bsqueda de Windows SharePoint Services Temporizador de Windows SharePoint Services Seguimiento de Windows SharePoint Services Escritor de VSS de Windows SharePoint Services Habilitar: SMB Deshabilitar: NetBT Si el servicio de administracin de directorios de Microsoft est habilitado como parte de la integracin de correo electrnico, configure el entorno de Active Directory para permitir el acceso de escritura a la cuenta usada por el servicio de administracin de directorios de Microsoft (la cuenta de la granja de servidores). No hay recomendaciones adicionales

Protocolos
Cuentas
Uso compartido Puertos
Abra el puerto TCP/UDP 445. Abra los puertos TCP 56737 y 56738 para los servicios web de Office Server. Si el puerto UDP 1434 est bloqueado en el equipo con SQL Server y hay bases de datos instaladas en una instancia con nombre, configure un alias de cliente SQL para conectar a la instancia con nombre. Si el puerto TCP 1433 est bloqueado en el equipo con SQL Server y hay bases
10
de datos instaladas en la instancia predeterminada, configure un alias de cliente SQL para conectar a la instancia con nombre. Asegrese de que los puertos permanecen abiertos para aplicaciones web a las que pueden tener acceso los usuarios. Bloquee el acceso externo al puerto que se usa para el sitio de Administracin central.
Auditora y registro
Si los archivos de registro se reubican, asegrese de que las ubicaciones de archivo se actualicen para que coincidan. Vea la orientacin para IIS ms adelante en este tpico.
IIS
Sitios y directorios No hay recomendaciones adicionales virtuales Asignaciones scripts Filtros ISAPI Metabase de IIS .NET Framework de No hay recomendaciones adicionales
No hay recomendaciones adicionales No hay recomendaciones adicionales Vea la orientacin para .NET Framework ms adelante en este tema.
Machine.config: No hay recomendaciones adicionales HttpForbiddenHandler Machine.config: Remoting No hay recomendaciones adicionales
Machine.config: Trace No hay recomendaciones adicionales Machine.config: compilation Machine.config: customErrors Machine.config: sessionState No hay recomendaciones adicionales
Seguridad de acceso a Asegrese de que tiene un conjunto mnimo de permisos de seguridad de acceso a cdigo cdigo habilitado para su aplicacin web. (El elemento <trust> en el archivo Web.config de cada aplicacin web debe establecerse en WSS_Minimal [donde WSS_Minimal tiene sus valores mnimos predeterminados como se definen en 12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que est establecido en el mnimo).
11
LocalIntranet_Zone Internet_Zone Web.config
No hay recomendaciones adicionales No hay recomendaciones adicionales Aplique las siguientes recomendaciones a cada archivo Web.config que se cree despus de ejecutar el programa de instalacin: No permita la compilacin o scripts de pginas de bases de datos mediante los elementos de PageParserPaths. Asegrese de que <SafeMode> CallStack=""false"" y AllowPageLevelTrace=""false"". Asegrese de establecer como bajos los lmites de elementos web prximos a los controles mximos por zona. Asegrese de que la lista SafeControls est establecida en el conjunto de controles mnimo que debe tener para los sitios. Asegrese de que la lista SafeTypes del flujo de trabajo est establecida en el nivel mnimo de SafeTypes necesario. Asegrese de que customErrors est activado (<customErrors mode=""On""/>). Considere la configuracin de su proxy web segn sea necesario (<system.net>/<defaultProxy>). Establezca el lmite de upload.aspx en el tamao ms grande que espera que carguen los usuarios (lo predeterminado son 2 GB). El rendimiento puede verse afectado por cargas mayores a 100 MB.
Proteccin de adiciones de instantneas de servidores de base de datos

En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor de base de datos.
Componente
Servicios Protocolos Cuentas Archivos y directorios Configuracin de SQL Server
Excepcin de caracterstica
No hay recomendaciones adicionales No hay recomendaciones adicionales Eliminacin manual y regular de cuentas no usadas. No hay recomendaciones adicionales Consulte la orientacin para la configuracin de SQL Server ms adelante en este tpico. No hay recomendaciones adicionales

Uso compartido Puertos
Bloquee el puerto UDP 1434. Considere el bloqueo del puerto TCP 1433.
12
Registro Auditora y registro Seguridad de SQL Server
No hay recomendaciones adicionales No hay recomendaciones adicionales No hay recomendaciones adicionales
Inicios de sesin, usuarios y funciones de No hay recomendaciones adicionales SQL Server Objetos de base de datos de SQL Server No hay recomendaciones adicionales
BIBLIOGRAFIA
http://msdn.microsoft.com/es-es/library/aa302434.aspx http://msdn.microsoft.com/es-es/library/aa302431.aspx http://msdn.microsoft.com/es-es/library/aa302432.aspx
13

Windows Server 2008

Transféré par

Informations du document

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Windows Server 2008

Transféré par

Droits d'auteur :

Formats disponibles

2012

Ciencia Tegnologa y Cultura al Servicio del Ser Humano