Académique Documents
Professionnel Documents
Culture Documents
HARDENING
Windows Server
En un entorno de granja de servidores, los servidores individuales desempean funciones especficas. Las recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la funcin que desempea cada uno.
LVAREZ ZAVALA JOSE LUIS; PARRA MARTINEZ JUAN MANUEL Universidad Politcnica de San Luis Potos 19/05/2012
Estas guas siguen un enfoque metdico para asegurar los servidores para funciones especficas y para asegurar la red de soporte. Tambin se prescribe el orden en el que se aplican las configuraciones y se instalan las aplicaciones y se endurece su seguridad, empezando con la aplicacin de revisiones y actualizaciones, a continuacin endureciendo la seguridad de la configuracin de red y del sistema operativo y, por ltimo, endureciendo la seguridad de aplicaciones especficas. Por ejemplo, en Proteccin del servidor web recomienda instalar y endurecer la seguridad de Internet Information Services (IIS) slo despus de aplicar la revisin y endurecer la seguridad del sistema operativo. Adems, esta gua prescribe instalar Microsoft .NET Framework una vez que IIS est completamente revisado y su seguridad endurecida.
Este mtodo proporciona un grado de control mucho mayor sobre la manera en que se implementa y ejecuta SQL Server, incluida la capacidad de asegurar que slo los equipos autorizados puedan comunicarse con el equipo que ejecuta SQL Server.
Configurar instancias de la base de datos de SQL Server para escuchar en un puerto no estndar
SQL Server proporciona la capacidad para reasignar los puertos usados por la instancia predeterminada y cualquier instancia con nombre. En SQL Server 2000, se reasignan puertos mediante la Herramienta de red de servidor. En SQL Server 2005, los puertos se reasignan mediante el Administrador de configuracin de SQL Server.
Componentes cliente de SQL Server que funcionen con SQL Server 2000 y puedan usarse en lugar de las herramientas cliente de SQL Server.
Configurar SQL Server Configurar una instancia de SQL Server 2000 para que escuche en un puerto no predeterminado Use Herramienta de red de servidor para cambiar el puerto TCP que usa una instancia de SQL Server 2000. 1. 2. En el equipo con SQL Server, ejecute Herramienta de red de servidor. En el men Instancias en este servidor, seleccione la instancia. Asegrese de que ha seleccionado la instancia deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. A las instancias con nombre de SQL Server 2000 se les asigna a un nmero de puerto aleatorio. Por lo tanto, es posible que no sepa el nmero de puerto actual asignado a una instancia con nombre cuando se ejecuta Herramienta de red de servidor. En el panel Protocolos habilitados en el lado derecho de la interfaz de Herramienta de red de servidor, haga clic en TCP/IP y, a continuacin, en Propiedades. En el cuadro de dilogo Configurar el valor predeterminado del protocolo de red, cambie el nmero de puerto TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un nmero de puerto de un rango ms alto, como 40000. No active la casilla Ocultar servidor. Haga clic en Aceptar. En el cuadro de dilogo Herramienta de red de servidor, haga clic en Aceptar. Recibir un mensaje que indica que el cambio no tendr efecto hasta que se reinicie el servicio SQL Server. Haga clic en Aceptar. Reinicie el servicio SQL Server y confirme que si equipo con SQL Server est escuchando en el puerto que se seleccion. Puede confirmarlo mirando en el registro del visor de eventos despus de reiniciar el servicio SQL Server. Busque un evento de informacin similar al siguiente evento: Tipo del evento:Informacin
3. 4.
5. 6. 7.
Tipo del evento:Informacin Origen del evento:MSSQL$MSSQLSERVER Categora del evento:(2) Id. del evento:26022 Fecha: 6/3/2008 Hora:13:46:11 a.m. Usuario:N/D Equipo:nombre_de_equipo Descripcin: El servidor est escuchando en [ 'any' <ipv4>50000]
Configuracin del Firewall de Windows Configure el Firewall de Windows para bloquear puertos de escucha predeterminados de SQL Server
1. 2. 3. 4. 5. 6. 7. 8. En el Panel de control, abra Firewall de Windows. En la ficha General, haga clic en Activado. Asegrese de que no est activa la casilla de verificacin No permitir excepciones. En la ficha Excepciones, haga clic en Agregar puerto. En el cuadro de dilogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A continuacin, escriba el nmero de puerto. Por ejemplo, 1434. Seleccione el botn de opcin adecuado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic en UDP. Para bloquear el puerto 1433, haga clic en TCP. Haga clic en Cambiar mbito y asegrese de que el mbito para esta excepcin est configurado en Cualquier equipo (incluyendo los de Internet). Haga clic en Aceptar. En la ficha Excepciones, localice la excepcin que ha creado. Para bloquear el puerto, desactive la casilla para dicha excepcin. De forma predeterminada, esta casilla est activada, lo que significa que el puerto est abierto.
Configuracin del Firewall de Windows para abrir manualmente puertos asignados 1. Siga los pasos 1 a 7 en el procedimiento anterior para crear una excepcin para el puerto al que asign manualmente a una instancia de SQL. Por ejemplo cree una excepcin para el puerto TCP 40000.
2. 3. 4. 5. 6. 7. 8.
Pruebe el alias de cliente SQL Pruebe la conectividad hacia el equipo con SQL Server mediante Microsoft SQL Server Management Studio, que est disponible mediante la instalacin de componentes cliente de SQL Server. 1. 2. Abra SQL Server Management Studio. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que cre y, a continuacin, haga clic en Conectar. Si la conexin es correcta, SQL Server Management Studio se rellena con objetos que corresponden a la base de datos remota. El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Estas canalizaciones pueden comunicarse usando protocolos SMB hospedado directamente o NetBIOS sobre TCP/IP (NetBT). Para un entorno seguro, se recomienda SMB hospedado directamente en lugar de NetBT. Las recomendaciones para el endurecimiento de la seguridad proporcionadas en este artculo asumen que se usar SMB. En la tabla siguiente se describen los requisitos para el endurecimiento de la seguridad introducidos por la dependencia en el servicio Compartir archivos e impresoras.
3.
4.
Categora Requisito
Servicios Compartir archivos impresoras e
Notas
Requiere el uso de canalizaciones con nombre.
Protocolos Canalizaciones Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado con nombre directamente. Sin embargo, NBT no se considera tan seguro como SMB que usan SMB hospedado directamente.
hospedado directamente Desactivar NBT Puertos Puerto Usado por SMB hospedado directamente. TCP/UDP 445
En la siguiente tabla se incluyen las caractersticas que se pueden configurar para tener acceso al contenido que reside en los equipos de servidores situados fuera de la granja de servidores.
Caracterstica Descripcin
Rastreo contenido de Puede configurar reglas de rastreo para rastrear contenido que se encuentra en recursos externos, incluyendo sitios web, recursos compartidos de archivos y carpetas pblicas de Exchange. Al rastrear orgenes de contenido externo, la funcin ndice se comunica directamente con estos recursos externos.
Si el entorno no permite servicios que se ejecutan como un sistema local, puede considerar deshabilitar el servicio de administracin de Windows SharePoint Services slo si es consciente de las consecuencias y puede resolverlas. Este servicio es un servicio Win32 que se ejecuta como un servicio local. El servicio de temporizador de Windows SharePoint Services usa este servicio para realizar acciones que requieren credenciales de administrador en el servidor, como crear sitios web IIS, implementar cdigo y detener o iniciar servicios. Si deshabilita este servicio, no podr ejecutar tareas relacionadas con la implementacin desde el sitio de Administracin central. Deber usar la herramienta de lnea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para completar implementaciones multiservidor para Search Server 2008 y para ejecutar otras tareas relacionadas con la implementacin.
Archivo Web.config
.NET Framework, y ASP.NET en particular, usa archivos de configuracin con formato XML para configurar las aplicaciones. Para definir las opciones de configuracin, .NET Framework emplea archivos de configuracin, que son archivos XML basados en texto. En un mismo sistema, es habitual que existan varios archivos de configuracin. En .NET Framework, los parmetros de configuracin de todo el sistema estn definidos en el archivo Machine.config. Este archivo se encuentra en la carpeta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. La configuracin predeterminada que se encuentra en el archivo Machine.config se puede modificar para que afecte al comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones sobre cmo configurar archivos Machine.config. Puede cambiar la configuracin de ASP.NET para una sola aplicacin si crea un archivo Web.config en la carpeta raz de la aplicacin. Al hacerlo, la configuracin en el archivo Web.config reemplaza la configuracin en el archivo Machine.config. Al ampliar una aplicacin web mediante Administracin central, Search Server 2008 crea automticamente un archivo Web.config para la aplicacin web.
Componente
Todo
Excepcin de caracterstica
No hay recomendaciones adicionales
Componente
Servicios
Caracterstica
Habilitar: Compartir archivos e impresoras Office SharePoint Server Search Servicio de publicacin World Wide Web Asegrese de que estos servicios permanecen habilitados tras ejecutar el programa de instalacin: Office SharePoint Server Search Administracin de Windows SharePoint Services Bsqueda de Windows SharePoint Services Temporizador de Windows SharePoint Services Seguimiento de Windows SharePoint Services Escritor de VSS de Windows SharePoint Services Habilitar: SMB Deshabilitar: NetBT Si el servicio de administracin de directorios de Microsoft est habilitado como parte de la integracin de correo electrnico, configure el entorno de Active Directory para permitir el acceso de escritura a la cuenta usada por el servicio de administracin de directorios de Microsoft (la cuenta de la granja de servidores). No hay recomendaciones adicionales
Protocolos
Cuentas
Abra el puerto TCP/UDP 445. Abra los puertos TCP 56737 y 56738 para los servicios web de Office Server. Si el puerto UDP 1434 est bloqueado en el equipo con SQL Server y hay bases de datos instaladas en una instancia con nombre, configure un alias de cliente SQL para conectar a la instancia con nombre. Si el puerto TCP 1433 est bloqueado en el equipo con SQL Server y hay bases
10
de datos instaladas en la instancia predeterminada, configure un alias de cliente SQL para conectar a la instancia con nombre. Asegrese de que los puertos permanecen abiertos para aplicaciones web a las que pueden tener acceso los usuarios. Bloquee el acceso externo al puerto que se usa para el sitio de Administracin central.
Auditora y registro
Si los archivos de registro se reubican, asegrese de que las ubicaciones de archivo se actualicen para que coincidan. Vea la orientacin para IIS ms adelante en este tpico.
IIS
Sitios y directorios No hay recomendaciones adicionales virtuales Asignaciones scripts Filtros ISAPI Metabase de IIS .NET Framework de No hay recomendaciones adicionales
No hay recomendaciones adicionales No hay recomendaciones adicionales Vea la orientacin para .NET Framework ms adelante en este tema.
Machine.config: No hay recomendaciones adicionales HttpForbiddenHandler Machine.config: Remoting No hay recomendaciones adicionales
Machine.config: Trace No hay recomendaciones adicionales Machine.config: compilation Machine.config: customErrors Machine.config: sessionState No hay recomendaciones adicionales
Seguridad de acceso a Asegrese de que tiene un conjunto mnimo de permisos de seguridad de acceso a cdigo cdigo habilitado para su aplicacin web. (El elemento <trust> en el archivo Web.config de cada aplicacin web debe establecerse en WSS_Minimal [donde WSS_Minimal tiene sus valores mnimos predeterminados como se definen en 12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que est establecido en el mnimo).
11
No hay recomendaciones adicionales No hay recomendaciones adicionales Aplique las siguientes recomendaciones a cada archivo Web.config que se cree despus de ejecutar el programa de instalacin: No permita la compilacin o scripts de pginas de bases de datos mediante los elementos de PageParserPaths. Asegrese de que <SafeMode> CallStack=""false"" y AllowPageLevelTrace=""false"". Asegrese de establecer como bajos los lmites de elementos web prximos a los controles mximos por zona. Asegrese de que la lista SafeControls est establecida en el conjunto de controles mnimo que debe tener para los sitios. Asegrese de que la lista SafeTypes del flujo de trabajo est establecida en el nivel mnimo de SafeTypes necesario. Asegrese de que customErrors est activado (<customErrors mode=""On""/>). Considere la configuracin de su proxy web segn sea necesario (<system.net>/<defaultProxy>). Establezca el lmite de upload.aspx en el tamao ms grande que espera que carguen los usuarios (lo predeterminado son 2 GB). El rendimiento puede verse afectado por cargas mayores a 100 MB.
Componente
Servicios Protocolos Cuentas Archivos y directorios Configuracin de SQL Server
Excepcin de caracterstica
No hay recomendaciones adicionales No hay recomendaciones adicionales Eliminacin manual y regular de cuentas no usadas. No hay recomendaciones adicionales Consulte la orientacin para la configuracin de SQL Server ms adelante en este tpico. No hay recomendaciones adicionales
Bloquee el puerto UDP 1434. Considere el bloqueo del puerto TCP 1433.
12
Inicios de sesin, usuarios y funciones de No hay recomendaciones adicionales SQL Server Objetos de base de datos de SQL Server No hay recomendaciones adicionales
BIBLIOGRAFIA
13