Buenas Recomendaciones Para Servidores
Páginas: 6 (1252 palabras)
Publicado: 29 de mayo de 2012
Buenas prácticas de seguridad para servidores windows
Consideraciones básicas de seguridad
• Deshabilita los usuarios de invitado (guest)
En algunas versiones de windows los usuarios de invitado vienen por omisión
deshabilitadas pero no en todas. Por ello es importante chequear luego de la
instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe
asignar unacontraseña compleja y se puede restringir el número de logons que
puede realizar por día como medida extra de seguridad.
• Limita el número de cuentas en tu servidor
Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest),
prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los
permisos que se van necesitando. Audita tus usuarios regularmente.Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos
desde múltiples equipos. Son el primer punto de ataque de un hacker.
• Limita los accesos de la cuenta de administración
El administrador no debe utilizar la cuenta de mayores privilegios para sus
actividades diarias que no necesitan accesos especiales. De esta forma puedes
colocarle a la cuenta de administracióncon todos los privilegios una política de
accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un
correo o registro de cada acceso de la misma al servidor. De ser posible los
administradores sólo deben usar la cuenta de administración una vez que están en el
servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo
“ejecuta como” o “run as if”,esto permite que sepas quien usaba la cuenta en qué
momento y por qué.
• Renombra la cuenta de administración
Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al
menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del
usuario no indique sus privilegios.
• Crea una cuenta “tonta” de administrador
Esta es otra estrategia que seutiliza, crear una cuenta llamada administrador y no se
le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto
puede mantener a algunas personas que están tratando de acceder entretenidos.
Monitorea la utilización de la misma.
• Cuidado con los privilegios por omisión para los grupos de usuarios
En el contexto de windows existen grupos como “Everyone” en el que todo el queentra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas
compartidas para los usuarios del sistema operativo y algunas personas que no
conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden
acceder a qué carpetas y considera si deben o no tener estos accesos.
• Coloca las paticiones con NTFS
Los sistemas FAT y FAT32 no soportan buenosniveles de seguridad y constituyen
una puerta trasera ideal para los atacantes.
• Configura políticas de seguridad en su servidor y su red
Microsoft provee kits de herramientas para la configuración de seguridad a su
medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su
organización requiere y se pueden editar aspectos como: perfil de usuarios,
permisología decarpetas, tipos de autenticación, etc. Pata mayor información al
respecto puede consultar las páginas de technet de microsoft.
• Apaga servicios innecesarios en el servidor
Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos
que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise
servicios como: IIS, RAS, terminal services. Estosservicios poseen vulnerabilidades
conocidas y deben ser configurados cuidadosamente para evitar ataques. También
pueden existir servicios ejecutándose silenciosamente por lo que es necesario
auditar periódicamente y verifique que los servicios que están abiertos son aquellos
que se están utilizando por usted. Algunos servicios a revisar son los siguientes:
Computer Browser
Microsoft DNS Server...
Consideraciones básicas de seguridad
• Deshabilita los usuarios de invitado (guest)
En algunas versiones de windows los usuarios de invitado vienen por omisión
deshabilitadas pero no en todas. Por ello es importante chequear luego de la
instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe
asignar unacontraseña compleja y se puede restringir el número de logons que
puede realizar por día como medida extra de seguridad.
• Limita el número de cuentas en tu servidor
Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest),
prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los
permisos que se van necesitando. Audita tus usuarios regularmente.Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos
desde múltiples equipos. Son el primer punto de ataque de un hacker.
• Limita los accesos de la cuenta de administración
El administrador no debe utilizar la cuenta de mayores privilegios para sus
actividades diarias que no necesitan accesos especiales. De esta forma puedes
colocarle a la cuenta de administracióncon todos los privilegios una política de
accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un
correo o registro de cada acceso de la misma al servidor. De ser posible los
administradores sólo deben usar la cuenta de administración una vez que están en el
servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo
“ejecuta como” o “run as if”,esto permite que sepas quien usaba la cuenta en qué
momento y por qué.
• Renombra la cuenta de administración
Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al
menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del
usuario no indique sus privilegios.
• Crea una cuenta “tonta” de administrador
Esta es otra estrategia que seutiliza, crear una cuenta llamada administrador y no se
le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto
puede mantener a algunas personas que están tratando de acceder entretenidos.
Monitorea la utilización de la misma.
• Cuidado con los privilegios por omisión para los grupos de usuarios
En el contexto de windows existen grupos como “Everyone” en el que todo el queentra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas
compartidas para los usuarios del sistema operativo y algunas personas que no
conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden
acceder a qué carpetas y considera si deben o no tener estos accesos.
• Coloca las paticiones con NTFS
Los sistemas FAT y FAT32 no soportan buenosniveles de seguridad y constituyen
una puerta trasera ideal para los atacantes.
• Configura políticas de seguridad en su servidor y su red
Microsoft provee kits de herramientas para la configuración de seguridad a su
medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su
organización requiere y se pueden editar aspectos como: perfil de usuarios,
permisología decarpetas, tipos de autenticación, etc. Pata mayor información al
respecto puede consultar las páginas de technet de microsoft.
• Apaga servicios innecesarios en el servidor
Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos
que no están siendo utilizados constituyen una vulnerabilidad para su equipo. Revise
servicios como: IIS, RAS, terminal services. Estosservicios poseen vulnerabilidades
conocidas y deben ser configurados cuidadosamente para evitar ataques. También
pueden existir servicios ejecutándose silenciosamente por lo que es necesario
auditar periódicamente y verifique que los servicios que están abiertos son aquellos
que se están utilizando por usted. Algunos servicios a revisar son los siguientes:
Computer Browser
Microsoft DNS Server...
Leer documento completo
Regístrate para leer el documento completo.