9 formas de enseñarle a construir un Windows Server 2008 seguro

En la actualidad, muchas empresas utilizan la plataforma Windows de Microsoft como su plataforma preferida. Recientemente, con el lanzamiento de Windows Server 2008, cada vez más empresas planean actualizarse a esta nueva versión del sistema operativo del servidor. De hecho, según el pronóstico del consultor de la industria IDC, para fines de este año, la cantidad de instalaciones de Windows Server 2008 en todo el mundo alcanzará más de 3.5 millones.
medida que las empresas para ejecutar aplicaciones críticas de negocio que utilizan la plataforma de Windows dependientes de seguridad cada vez mayor, la importancia de la disponibilidad de la plataforma Windows es evidente por sí mismo. Después de todo, bajo las condiciones actuales cada vez más competitivas, el impacto de las fallas del sistema en las empresas puede ser catastrófico, por lo que la gestión efectiva de los servidores Windows se ha convertido en un asunto muy urgente para los departamentos de TI de la empresa. Afortunadamente, hay una serie de herramientas y servicios bien establecidos que pueden ayudar a las empresas a administrar sus servidores para recibir, maximizar y mantener sus inversiones en el entorno de Windows, incluso si eligen migrar a Windows Server 2008.
Windows Server 2008 puede decirse que es, con mucho, el más robusto servidor de Windows Caozuojitong, todas sus funciones son proporcionar una base más sólida para la plataforma de servicios empresariales y aplicaciones de este tipo de diseño en torno al objetivo. Las nuevas capacidades de disponibilidad, virtualización, seguridad y administración de Windows Server 2008 ayudan a los profesionales de tecnología de la información (TI) a maximizar el control y la administración de su infraestructura.
Por ejemplo, Windows Server 2008 presenta la tecnología de Windows PowerShell. Windows PowerShell es una herramienta de administración de sistema de script y shell de línea de comandos. PowerShell es un shell basado en objetos construido en el marco .Net que admite los modelos de administración de Windows, WMI, COM, ADO.NET, ADSI y otros existentes. Además, también contiene más de 130 herramientas. Tal entorno de desarrollo y administración facilita a los departamentos de TI el control y la automatización de las tareas repetitivas de administración del sistema.
Además, Windows Server 2008, el nuevo Administrador del servidor (Administrador de servidores) es sólo un único panel de control, que proporciona a los administradores ha traído una gran comodidad, los administradores pueden instalar fácilmente, configurar y administrar el servidor Funciones y características de Windows Server 2008.
Debido a estas mejoras de Windows Server 2008, muchas empresas están dispuestos a migrar a la plataforma de negocios más potente. Debido a esto, las medidas de protección proporcionadas para el entorno de Windows actualizado se han convertido en la tarea más urgente para los departamentos de TI de la empresa. Para mantener la continuidad del negocio, los departamentos de TI deben poder encontrar una solución efectiva que no solo restaure datos, sistemas y aplicaciones, sino que también admita e integre nuevas funciones en Windows Server 2008.
1. La configuración de seguridad
proceso de instalación del sistema
para crear un servidor potente y seguro tendrá que prestar atención a cada detalle, desde el principio del tiempo para instalar Seguridad El nuevo servidor debe instalarse en una red aislada para eliminar todos los canales de ataque posibles hasta que se completen las defensas del sistema operativo.

En los pasos iniciales de inicio de la instalación, se le pedirá que elija entre FAT (Tabla de asignación de archivos) y NTFS (Sistema de archivos de nueva tecnología). En este punto, debe elegir el formato NTFS para todas las unidades de disco. FAT es un sistema de archivos relativamente primitivo diseñado para los primeros sistemas operativos. NTFS surgió con la llegada de Windows NT, que proporciona una función de seguridad no disponible en FAT, incluidas las listas de control de acceso (ACL) y el registro del sistema de archivos, y el registro del sistema de archivos. Cualquier cambio en el sistema de archivos. A continuación, debe instalar el último Service Pack (SP2) y todos los parches populares disponibles. Si bien muchos de los parches en el Service Pack son bastante antiguos, pueden solucionar varias vulnerabilidades conocidas que pueden causar amenazas, como ataques de denegación de servicio, ejecución remota de código y secuencias de comandos entre sitios.

2. Después de configurar la política de seguridad
de instalar el sistema, puede sentarse y hacer un poco de seguridad más detallada. La forma más fácil de mejorar la inmunidad de Windows Server 2003 es usar el Asistente de configuración del servidor (SCW), que lo guía a través del proceso de creación de una política segura basada en la función del servidor en la red.

SCW es diferente del Asistente para configurar su servidor. SCW no instala los componentes del servidor, pero supervisa los puertos y servicios y configura los ajustes de registro y auditoría. SCW no está instalado de forma predeterminada, por lo que debe agregarlo a través de la ventana Agregar o quitar programas del Panel de control. Seleccione el botón "Agregar o quitar componentes de Windows" y seleccione "Asistente de configuración de seguridad" y el proceso de instalación se iniciará automáticamente. Una vez instalado, se puede acceder a SCW desde las Herramientas administrativas. política de seguridad
SCW mediante la creación de un formato de archivo XML que se puede utilizar para configurar los servicios, seguridad de red, los valores de registro específicas, la directiva de auditoría, IIS, incluso si es posible, también puede ser configurado. La interfaz de configuración le permite crear nuevas políticas de seguridad o editar las existentes y aplicarlas a otros servidores en la red. Si la política creada por una operación crea un conflicto o inestabilidad, puede revertir la operación.

SCW cubre todos los aspectos básicos de la seguridad de Windows Server 2003. Al ejecutar el asistente, lo primero que aparece es la Base de datos de configuración de seguridad, que contiene todos los roles, funciones del cliente, opciones de administración, servicios, puertos y más. SCW también incluye una amplia base de conocimientos de conocimiento de aplicaciones. Esto significa que cuando un rol de servidor seleccionado requiere una aplicación - funciones de cliente como actualizaciones automáticas o aplicaciones de administración como respaldo - el Firewall de Windows abrirá automáticamente los puertos necesarios. El puerto se bloquea automáticamente cuando se cierra la aplicación.

La configuración de seguridad de la red, los protocolos de registro y la seguridad de la firma del Bloque de mensajes del servidor (SMB) aumentan la seguridad de las funciones críticas del servidor. La configuración de Autenticación de salida determina el nivel de autenticación requerido para conectarse a recursos externos. El paso final
SCW y la directiva de auditoría relacionada. De forma predeterminada, Windows Server 2003 solo audita las actividades exitosas, pero para una versión mejorada del sistema, tanto las actividades exitosas como las que fallan deben ser auditadas y registradas. Una vez que se ejecuta el asistente, la política de seguridad creada se almacena en un XML y puede ser utilizada por el servidor inmediatamente, para su uso posterior e incluso por otros servidores. Los servidores que no realizan el primer paso del proceso de fortalecimiento durante la instalación del servidor también pueden instalar SCW.

3. Establezca los permisos de control de acceso adecuados para las máquinas físicas y los componentes lógicos.

Desde el momento en que presiona el botón de encendido del servidor hasta que se inicia la operación y Antes de que todos los servicios estén activos, el comportamiento malicioso del sistema de amenazas aún tiene la oportunidad de dañar el sistema. Además del sistema operativo del sistema operativo, un servidor en buen estado debe comenzar con un BIOS /firmware protegido por contraseña. Además, en lo que respecta a la BIOS, la secuencia de encendido del servidor debe configurarse correctamente para evitar el arranque desde otros medios no autorizados.

Inmediatamente después de iniciar la computadora, presione la tecla F2 y se lo llevará a la página de configuración del BIOS. Puede utilizar Alt-P para moverse hacia adelante y hacia atrás en las distintas pestañas de configuración del BIOS. En la pestaña Orden de inicio, establezca la preferencia de inicio del servidor en HDD interno. En la pestaña Orden de inicio, hay tres opciones para las contraseñas del disco duro: principal, administrativo y difícil.

Del mismo modo, la capacidad para ejecutar automáticamente medios externos, incluidos CD, DVD y unidades USB, debe estar deshabilitada. En el registro, ingrese la ruta HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesCdrom (u otro nombre de dispositivo) y establezca el valor Autorun en 0. La función de ejecución automática tiene el potencial de lanzar automáticamente aplicaciones malintencionadas en medios portátiles. Esta es una forma fácil de instalar malware, como Trojan, Backdoor, KeyLogger y Listener (ver Figura 4).

La siguiente línea de defensa es sobre cómo los usuarios inician sesión en el sistema. Si bien las tecnologías alternativas para la autenticación, como la biométrica, los tokens, las tarjetas inteligentes y las contraseñas de un solo uso, se pueden usar para proteger los sistemas en Windows Server 2003, muchos administradores de sistemas, ya sean locales o remotos, utilizan La combinación de nombre de usuario y contraseña se utiliza como el código de verificación para el servidor de inicio de sesión. Pero muchas veces, todos usan la contraseña predeterminada, que obviamente está buscando problemas (por favor, ¡no use el real @ 55w0rd!).
anterior, tenga en cuenta estos puntos son muy evidentes. Sin embargo, si tiene que usar una contraseña, es mejor usar una política de contraseña segura: la contraseña tiene una longitud de al menos 8 caracteres, incluyendo letras mayúsculas en inglés, números y caracteres no alfanuméricos. Además, es mejor que cambies tu contraseña periódicamente y no uses la misma contraseña por un período específico de tiempo.
una política de contraseñas fuertes, más autentificación múltiple (autenticación de múltiples factores), esto es sólo el principio. Gracias a la funcionalidad de ACL proporcionada por NTFS, a cada usuario se le puede asignar diferentes niveles de acceso a todos los aspectos de un servidor. Control de acceso a archivos La configuración de los permisos de uso compartido de impresión debe basarse en Grupo en lugar de Todos. Esto se puede hacer en el servidor oa través de Active Directory.

También es importante asegurarse de que solo un usuario autentificado legítimo pueda acceder y editar el registro. El objetivo es limitar el número de usuarios que acceden a estos servicios y aplicaciones críticos.