Seguridad de servidores
Páginas: 5 (1174 palabras)
Publicado: 1 de junio de 2011
Prácticas de seguridad para servidores Windows
Consideraciones básicas de seguridad.
• Deshabilitar los usuarios de invitado (guest)
En algunas versiones de Windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe asignar unacontraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.
• Limitar el número de cuentas en tu servidor
Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuariosregularmente.
Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker.
• Limitar los accesos de la cuenta de administración
El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a lacuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo“ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué.
• Renombrar la cuenta de administración
Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios.
• Crear una cuenta “tonta” de administradorEsta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos. Monitorea la utilización de la misma.
• Cuidar los privilegios por omisión para los grupos de usuarios
En el contexto de Windowsexisten grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos.
• Colocar las particiones con NTFSLos sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes.
• Configurar políticas de seguridad en su servidor y su red
Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se puedeneditar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de Microsoft.
• Apagar servicios innecesarios en el servidor
Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para suequipo. Revise servicios como: IIS, RAS, terminal Services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted. Algunos servicios a...
Consideraciones básicas de seguridad.
• Deshabilitar los usuarios de invitado (guest)
En algunas versiones de Windows los usuarios de invitado vienen por omisión deshabilitadas pero no en todas. Por ello es importante chequear luego de la instalación en que estatus se encuentra. De igual forma a estos usuarios se les debe asignar unacontraseña compleja y se puede restringir el número de logons que puede realizar por día como medida extra de seguridad.
• Limitar el número de cuentas en tu servidor
Elimina cualquier usuario innecesario: duplicados (por ejemplo invitado y guest), prueba, compartidos, departamento, etc. Utiliza políticas de grupos para asignar los permisos que se van necesitando. Audita tus usuariosregularmente.
Las cuentas genéricas son conocidas por contraseñas débiles y muchos accesos desde múltiples equipos. Son el primer punto de ataque de un hacker.
• Limitar los accesos de la cuenta de administración
El administrador no debe utilizar la cuenta de mayores privilegios para sus actividades diarias que no necesitan accesos especiales. De esta forma puedes colocarle a lacuenta de administración con todos los privilegios una política de accesos más agresiva: contraseña compleja con cambio cada 3 meses mínimo y un correo o registro de cada acceso de la misma al servidor. De ser posible los administradores sólo deben usar la cuenta de administración una vez que están en el servidor con su cuenta personal y utilizar la cuenta de mayores privilegios en el modo“ejecuta como” o “run as if”, esto permite que sepas quien usaba la cuenta en qué momento y por qué.
• Renombrar la cuenta de administración
Aunque se discute aún se discute si esta medida es o no efectiva. Es cierto que al menos dificulta el trabajo de hackers principiantes. La idea es que el nombre del usuario no indique sus privilegios.
• Crear una cuenta “tonta” de administradorEsta es otra estrategia que se utiliza, crear una cuenta llamada administrador y no se le otorgan privilegios y una contraseña compleja de al menos 10 caracteres. Esto puede mantener a algunas personas que están tratando de acceder entretenidos. Monitorea la utilización de la misma.
• Cuidar los privilegios por omisión para los grupos de usuarios
En el contexto de Windowsexisten grupos como “Everyone” en el que todo el que entra al sistema tiene acceso a los datos de tu red. Por omisión existen carpetas compartidas para los usuarios del sistema operativo y algunas personas que no conocen los riesgos colocan datos en ellas. Por lo tanto, revisa que grupos pueden acceder a qué carpetas y considera si deben o no tener estos accesos.
• Colocar las particiones con NTFSLos sistemas FAT y FAT32 no soportan buenos niveles de seguridad y constituyen una puerta trasera ideal para los atacantes.
• Configurar políticas de seguridad en su servidor y su red
Microsoft provee kits de herramientas para la configuración de seguridad a su medida. Estos kits proveen plantillas para seleccionar el nivel de seguridad que su organización requiere y se puedeneditar aspectos como: perfil de usuarios, permisología de carpetas, tipos de autenticación, etc. Pata mayor información al respecto puede consultar las páginas de technet de Microsoft.
• Apagar servicios innecesarios en el servidor
Por omisión algunos servicios vienen configurados y listos para utilizarse, aquellos que no están siendo utilizados constituyen una vulnerabilidad para suequipo. Revise servicios como: IIS, RAS, terminal Services. Estos servicios poseen vulnerabilidades conocidas y deben ser configurados cuidadosamente para evitar ataques. También pueden existir servicios ejecutándose silenciosamente por lo que es necesario auditar periódicamente y verifique que los servicios que están abiertos son aquellos que se están utilizando por usted. Algunos servicios a...
Leer documento completo
Regístrate para leer el documento completo.