10 ETAPAS DE HARDENING DE WINDOWS PARA MEJORAR LA RESILIENCIA CIBERNÉTICA

Las mejores prácticas están cambiando en función del entorno y la funcionalidad del servidor. Las líneas de base del CIS cubren la mayoría de los escenarios relevantes al abordar la primera etapa de su proyecto de hardening.

Microsoft ha estado haciendo algunos trabajos relacionados con la configuración predeterminada de seguridad , pero todavía existe una gran brecha entre las mejores prácticas de seguridad (es decir, benchmarks comunes) y la configuración predeterminada de Windows. Lograr una postura básica de hardening requiere la asignación de tiempo, recursos y planificación por parte de los equipos de TI; pero cada día que pasa es un día en que sus servidores son vulnerables.

Analicemos las primeras 10 etapas para su proyecto de hardening

Qué	Por qué
1. Configuración del Usuario	Proteja sus credenciales.
2. Configuración de Red	Establecer comunicaciones.
3. Configuración de Características y Roles	Añade lo que necesites, elimina lo que no necesites.
4. Instalación de Actualizaciones	Parchar/remediar vulnerabilidades.
5. Configuración NTP	Evite la divergencia del reloj.
6. Configuración del Firewall	Minimice su huella externa.
7. Eliminar Configuración de Acceso	Refuerce (hardenizar) las sesiones de administración remota.
8. Configuración de Servicios	Minimice la superficie de ataque.
9. Logging y monitoreo	Conozca lo que está sucediendo en su sistema.
10. Hardening adicional	Proteja el sistema operativo y otras aplicaciones.

1. CONFIGURACIÓN DEL USUARIO

Las versiones modernas de Windows Server lo obligan a hacer esto, pero asegúrese de que la contraseña de la cuenta de administrador local se cambie a algo seguro. Además, deshabilite el administrador local siempre que sea posible. Hay muy pocos escenarios en los que se requiere esta cuenta y, debido a que es un objetivo popular para un ataque, debe deshabilitarse por completo para evitar que se explote.

Con esa cuenta fuera del camino, debe configurar una cuenta de administrador para usar. Puede agregar una cuenta de dominio adecuada, si el servidor es miembro de un Active Directory (AD), o crear una nueva cuenta local y colocarla en el grupo de administradores. De cualquier manera, debería considerar el uso de una cuenta que no sea de administrador para manejar su negocio siempre que sea posible, solicitando la elevación usando un equivalente sudo de Windows, “Ejecutar Como (Run As)” e ingresar la contraseña de la cuenta de administrador cuando se le solicite.

Compruebe que la cuenta de invitado local esté deshabilitada donde sea aplicable. Ninguna de las cuentas integradas es segura, invitado quizás menos aún, así que simplemente cierre esa puerta. Vuelva a comprobar los grupos de seguridad para asegurarse de que todos están donde se supone que deben estar (por ejemplo, agregar cuentas de dominio al grupo de usuarios de escritorio remoto).

No olvide proteger sus contraseñas. Use una política de contraseñas para asegurarse de que las cuentas del servidor no se vean comprometidas. Si el servidor es miembro de AD, la política de contraseñas se establecerá al nivel de dominio en la Política Predeterminada de Dominio. Los servidores independientes se pueden configurar en el editor de políticas local. De cualquier manera, una buena política de contraseñas al menos establecerá lo siguiente:

Requisitos de complejidad y longitud: qué tan segura debe ser la contraseña
Caducidad de la contraseña: cuánto tiempo es válida la contraseña
Historial de contraseñas: cuánto tiempo pasará hasta que se puedan reutilizar las contraseñas anteriores
Bloqueo de cuenta: cuántos intentos fallidos de contraseña antes de que se suspenda la cuenta

Las contraseñas antiguas representan muchos hacks exitosos, así que asegúrese de protegerse contra estos requiriendo cambios regulares de contraseña.

2. CONFIGURACIÓN DE RED

Los servidores de producción deben tener una IP estática para que los clientes puedan encontrarlos de manera confiable. Esta IP debe estar en un segmento protegido, detrás de un firewall. Configure al menos dos servidores DNS para tener redundancia y verifique la resolución de nombres mediante nslookup desde línea de comandos. Asegúrese de que el servidor tenga un registro A válido en DNS con el nombre que desee, así como un registro PTR para búsquedas inversas. Tenga en cuenta que los cambios de DNS pueden tardar varias horas en propagarse a través de internet, por lo que las direcciones de producción deben establecerse mucho antes de una ventana de puesta en marcha. Por último, deshabilite cualquier servicio de red que el servidor no vaya a utilizar, como IPv6. Esto depende de su entorno y cualquier cambio aquí debe ser bien probado antes de entrar en producción.

3. CONFIGURACIÓN DE CARACTERÍSTICAS Y ROLES DE WINDOWS

Microsoft usa roles y características para administrar paquetes de SO. Los roles son básicamente una colección de características diseñadas para un propósito específico, por lo que generalmente los roles se pueden elegir si el servidor se ajusta a uno de ellos, y luego las características se pueden personalizar desde allí. Dos cosas igualmente importantes que debe hacer son 1) asegurarse de que todo lo que necesita esté instalado. Puede que se trate de una versión de .NET Framework o IIS, pero sin las piezas correctas, sus aplicaciones no funcionarán. 2) Desinstale todo lo que no necesite. Los paquetes extraños extienden innecesariamente la superficie de ataque del servidor y deben eliminarse siempre que sea posible. Esto es igualmente cierto para las aplicaciones predeterminadas instaladas en el servidor que no se utilizarán. Los servidores deben diseñarse teniendo en cuenta la necesidad y eliminar todo lo superfluo para que las piezas necesarias funcionen de la manera más fluida y rápida posible.

4. CONFIGURACIÓN NTP

Una diferencia horaria de solo 5 minutos romperá por completo los inicios de sesión de Windows y varias otras funciones que dependen de la seguridad kerberos. Los servidores que son miembros de un dominio tendrán automáticamente su tiempo sincronizado con un controlador de dominio al unirse al dominio, pero los servidores independientes deben tener NTP configurado para sincronizarse con una fuente externa para que el reloj siga siendo preciso. Los controladores de dominio también deben tener su tiempo sincronizado con un servidor de tiempo, lo que garantiza que todo el dominio permanezca dentro del rango operativo del tiempo real.

5. CONFIGURACIÓN DEL FIREWALL

Si está construyendo un servidor web, por ejemplo, solo querrá que los puertos web (80 y 443) se abran a ese servidor desde Internet. Si los clientes anónimos de Internet pueden hablar con el servidor en otros puertos, eso abre un riesgo de seguridad enorme e innecesario. Si el servidor tiene otras funciones, como escritorio remoto (RDP) para administración, solo deben estar disponibles a través de una conexión VPN, lo que garantiza que las personas no autorizadas no puedan explotar el puerto a voluntad desde la red.

El firewall de Windows es un firewall por software, de buen nivel e integrado, que permite la configuración del tráfico basado en puertos desde el sistema operativo. En un servidor independiente, o en cualquier servidor sin un firewall de hardware frente a él, el firewall de Windows al menos proporcionará cierta protección contra los ataques basados desde la red al limitar la superficie de ataque a los puertos permitidos. Dicho esto, un firewall de hardware siempre es una mejor opción porque descarga el tráfico a otro dispositivo y ofrece más opciones para manejar ese tráfico, dejando que el servidor realice su deber principal. Cualquiera que sea el método que utilice, el punto clave es restringir el tráfico solo a las vías necesarias.

6. ELIMINAR LA CONFIGURACIÓN DE ACCESO

Como se mencionó anteriormente, si usa RDP, asegúrese de que solo sea accesible a través de VPN si es posible. Dejarlo abierto a Internet no garantiza que será pirateado, pero ofrece a los piratas informáticos potenciales otra vía para incursionar en su servidor.

Asegúrese de que RDP solo sea accesible para usuarios autorizados. De forma predeterminada, todos los administradores pueden usar RDP una vez que está habilitado en el servidor. Otras personas pueden unirse al grupo Usuarios de Escritorio Remoto para obtener acceso sin convertirse en administradores.

Además de RDP, varios otros mecanismos de acceso remoto como Powershell y SSH deben ser cuidadosamente bloqueados si se usan, limitando el acceso a ellos solo dentro de un entorno VPN. Telnet nunca debe usarse bajo ningún escenario, ya que pasa información en texto sencillo (desprotegido) y es demasiado inseguro de varias maneras. Lo mismo ocurre con FTP. Use SFTP o SSH (desde una VPN) siempre que sea posible y evite por completo cualquier comunicación no cifrada.

7. CONFIGURACIÓN DE SERVICIOS

Windows Server tiene un conjunto de servicios predeterminados que se inician automáticamente y se ejecutan en segundo plano (background). Muchos de estos son necesarios para que el sistema operativo funcione, pero algunos no lo son y deben deshabilitarse si no están en uso. Siguiendo la misma lógica que el firewall, queremos minimizar la superficie de ataque del servidor deshabilitando todo lo que no sea la funcionalidad principal. Las versiones anteriores de Windows Server tienen más servicios innecesarios que los más nuevos, así que revise cuidadosamente cualquier servidor 2008 o 2003.

Los servicios importantes deben configurarse para que se inicien automáticamente para que el servidor pueda recuperarse sin interacción humana después de un error. Para aplicaciones más complejas, aproveche la opción Automático (Inicio Retrasado) para dar a otros servicios la oportunidad de ponerse en marcha antes de lanzar servicios de aplicaciones intensivas. También puede configurar dependencias de servicio en las que un servicio esperará a que otro servicio, o conjunto de servicios, se inicie correctamente antes de iniciarse. Las dependencias también le permiten detenerse e iniciar una cadena completa a la vez, lo que puede ser útil cuando el tiempo es importante.

Por último, cada servicio se ejecuta en el contexto de seguridad de un usuario específico. Para los servicios predeterminados de Windows, a menudo se trata de cuentas de Sistema Local, Servicio Local o Servicio de Red. Esta configuración puede funcionar la mayor parte del tiempo, pero para los servicios de aplicaciones y usuarios, las mejores prácticas recomiendan la configuración de cuentas específicas de servicio, ya sea localmente o en AD, para administrar estos servicios con la mínima cantidad de acceso necesaria. Esto evita que los actores malintencionados que han comprometido una aplicación extiendan ese compromiso a otras áreas del servidor o dominio.

8. LOGGING Y MONITOREO

Finalmente, debe asegurarse de que sus logs y monitoreo estén configurados y capturando los datos que desea para que, en caso de un problema, pueda encontrar rápidamente lo que necesita y remediarlo. El log funciona de manera diferente dependiendo de si su servidor es parte de un dominio. Los controladores de dominio procesan los inicios de sesión de dominio y, como tales, tienen los registros de auditoría de esa actividad, no el sistema local. Los servidores independientes tendrán auditorías de seguridad disponibles y se pueden configurar para mostrar aprobaciones y/o fallas.

Compruebe el tamaño máximo de sus logs y manténgalos en un tamaño adecuado. Los valores predeterminados de los logs son casi siempre demasiado pequeños para supervisar aplicaciones de producción complejas. Como tal, el espacio en disco debe asignarse durante la construcción del servidor para el log, especialmente para aplicaciones como MS Exchange. Se debe realizar una copia de seguridad de los logs de acuerdo con las políticas de retención de su organización y, a continuación, borrarlos para dejar espacio para eventos más actuales.

Considere una solución centralizada de administración de logs si el manejo de logs individualmente en los servidores se vuelve abrumador. Al igual que un servidor syslog en el mundo Linux, un visor de eventos centralizado para servidores Windows puede ayudar a acelerar los tiempos de solución de problemas y corrección para entornos medianos y grandes.

Establezca una línea base de rendimiento y configure umbrales de notificación para métricas importantes. Ya sea que use el monitor integrado de rendimiento de Windows o una solución de terceros que use un cliente o SNMP para recopilar datos, debe recopilar información de rendimiento en cada servidor. Cosas como el espacio disponible en disco, el uso del procesador y la memoria, la actividad de la red e incluso la temperatura deben analizarse y registrarse constantemente para que las anomalías puedan identificarse y tratarse fácilmente. Este paso a menudo se omite debido a la naturaleza agitada de los programas de producción, pero a la larga pagará dividendos porque la solución de problemas sin líneas de base establecidas es básicamente disparar en la oscuridad.

9. HARDENING ADICIONAL

Microsoft proporciona analizadores de mejores prácticas basados en la función y la versión del servidor que pueden ayudarle a reforzar aún más sus sistemas mediante el análisis y la formulación de recomendaciones.

Aunque el Control de Cuentas de Usuario (UAC) puede ser molesto, sirve el importante propósito de abstraer los ejecutables del contexto de seguridad del usuario que está en sesión. Esto significa que incluso cuando haya iniciado sesión como administrador, UAC evitará que las aplicaciones se ejecuten como si fuera usted sin su consentimiento. Esto evita que el malware se ejecute en segundo plano (background) y que los sitios web maliciosos inicien instaladores u otro código. Deje UAC encendido siempre que sea posible.

Los consejos de esta guía ayudan a proteger el sistema operativo Windows, pero cada aplicación que ejecute también debe reforzarse. Las aplicaciones comunes de servidor de Microsoft, como MS SQL y Exchange, tienen mecanismos de seguridad específicos que pueden ayudar a protegerlas, asegúrese de investigar y ajustar cada aplicación para obtener la máxima resiliencia. Si está construyendo un servidor web, también puede seguir nuestra guía de hardening para mejorar su seguridad frente a Internet.

10. AUTOMATIZACIÓN

Definir su estado ideal es un primer paso importante para la administración del servidor. La Solución de Hardening CHS de CalCom aprenderá su red y le informará qué regla de política resultará en una interrupción de la producción y por qué. A continuación, implementará automáticamente la política deseada en toda su infraestructura, desde un punto de administración centralizado. Finalmente, CHS mantendrá sus activos continuamente endurecidos, evitando desviaciones de cumplimiento que a menudo se pierden de vista y que a menudo conducen a fallas de auditoría luego de una infiltración.

Cookie	Duration	Description
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
_GRECAPTCHA	5 months 27 days	This cookie is set by Google. In addition to certain standard Google cookies, reCAPTCHA sets a necessary cookie (_GRECAPTCHA) when executed for the purpose of providing its risk analysis.
__cfduid	1 month	The cookie is used by cdn services like CloudFare to identify individual clients behind a shared IP address and apply security settings on a per-client basis. It does not correspond to any user ID in the web application and does not store any personally identifiable information.

Cookie	Duration	Description
bcookie	2 years	This cookie is set by linkedIn. The purpose of the cookie is to enable LinkedIn functionalities on the page.
lang	session	This cookie is used to store the language preferences of a user to serve up content in that stored language the next time user visit the website.
lidc	1 day	This cookie is set by LinkedIn and used for routing.
__stidv	1 year	This cookie is used by ShareThis. This cookie is used for sharing the content from the website to social networks.

Cookie	Duration	Description
YSC	session	This cookies is set by Youtube and is used to track the views of embedded videos.
_gat	1 minute	This cookies is installed by Google Universal Analytics to throttle the request rate to limit the colllection of data on high traffic sites.

Cookie	Duration	Description
_ga	2 years	This cookie is installed by Google Analytics. The cookie is used to calculate visitor, session, campaign data and keep track of site usage for the site's analytics report. The cookies store information anonymously and assign a randomly generated number to identify unique visitors.
_gid	1 day	This cookie is installed by Google Analytics. The cookie is used to store information of how visitors use a website and helps in creating an analytics report of how the website is doing. The data collected including the number visitors, the source where they have come from, and the pages visted in an anonymous form.
__stid	1 year	The cookie is set by ShareThis. The cookie is used for site analytics to determine the pages visited, the amount of time spent, etc.

Cookie	Duration	Description
bscookie	2 years	This cookie is a browser ID cookie set by Linked share Buttons and ad tags.
IDE	1 year 24 days	Used by Google DoubleClick and stores information about how the user uses the website and any other advertisement before visiting the website. This is used to present users with ads that are relevant to them according to the user profile.
test_cookie	15 minutes	This cookie is set by doubleclick.net. The purpose of the cookie is to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	This cookie is set by Youtube. Used to track the information of the embedded YouTube videos on a website.