Vigilancia de seguridadUso de SCW en Windows Server 2008
Jesper M. Johansson
Este artículo se basa en una versión preliminar de Windows Server 2008. Por tanto, toda la información de este documento está sujeta a cambios.
En el año 2005, Microsoft lanzó al mercado Windows Server 2003 SP1. Este Service Pack introdujo la primera herramienta de administración de seguridad basada en funciones para Windows: el Asistente para configuración de seguridad (SCW). Principalmente, Microsoft diseñó SCW como herramienta para reducir la superficie de ataque. Su propósito era analizar lo que el usuario
hace con su equipo y, automáticamente, configurarlo para admitir las funciones necesarias, y deshabilitar las funciones y los servicios no utilizados.
Windows Server® 2008 conserva SCW, que se ha actualizado con funciones nuevas e integración con el nuevo Firewall de Windows®. Sin embargo, continúa siendo una herramienta de administración tan avanzada como siempre.
Windows Server 2008 incluye también la nueva herramienta Administrador de servidores basada en funciones y sus complementos, el Asistente para agregar funciones y el Asistente para agregar características. En Windows Server 2008, en lugar de agregar componentes individuales a través del antiguo panel de control Agregar o quitar componentes de Windows, ahora se usan las herramientas de administración de funciones para configurar el servidor. Byron Hynes cubre estas herramientas en el artículo "Configuración de funciones con el Administrador de servidores", incluido en esta edición de TechNet Magazine.
Los asistentes para agregar funciones y características configuran el servidor con los componentes correctos para admitir las funciones elegidas. Además, configuran el firewall integrado para garantizar que estas funciones se ejecutan correctamente. Dado esto, quizás esté preguntándose si hay necesidad de usar SCW. Cierto, hay muchos administradores que ya no necesitan SCW. Sin embargo, hay dos grupos de personas para quien SCW puede ser una herramienta de valor incalculable. El primero está formado por los paranoicos de la seguridad. Estas personas aprecian la capacidad de SCW para llevar la seguridad a un nivel avanzado.
Puede pensar en los asistentes para agregar funciones y características como herramientas que toman un servidor predeterminado y lo configuran para ofrecer compatibilidad segura con las funciones y las características que desea. SCW, por el contrario, es la herramienta que configura el servidor para admitir sólo las funciones y las características que desea. SCW tiene también un efecto pedagógico, ya que ayuda a entender más a fondo la configuración del servidor. Por lo tanto, le recomiendo que ejecute SCW una vez que se haya configurado el servidor con su complemento de funciones y características.
El segundo grupo de personas incluye a los usuarios que desean entender las relaciones entre los componentes. SCW viene con un conjunto de archivos XML que documentan las relaciones entre funciones y características, servicios y puertos de red. Si le interesa entender lo que necesitan los distintos componentes, SCW es una herramienta muy valiosa.
En esta columna, describiré el funcionamiento de SCW y cómo usarlo para proteger el servidor. Ofreceré una comparación entre SCW y las herramientas del Administrador de servidores. Sepa que esta columna está adaptada de mi libro, Windows Server 2008 Security Resource Kit (Microsoft Press®, 2008).
Información general sobre el Asistente para configuración de seguridad (SCW)
Como introducción, presentaré algunas estadísticas acerca de la superficie de ataque en Windows Server 2008. Antes de configurar un servidor con su selección personal de funciones y características, aún tiene una cantidad significativa de servicios. De forma predeterminada, Windows Server 2008 tiene 105 servicios; de ellos, 42 están configurados para iniciarse automáticamente, 55 son de inicio manual y el resto están deshabilitados. Compare esto con una instalación limpia de Windows Server 2003 R2 SP2, que tiene 86 servicios instalados de forma predeterminada: 34 están configurados para iniciarse automáticamente, 32 están configurados para solicitar el inicio y el resto están deshabilitados.
Incluso con la metáfora de funciones y la reducción en funciones predeterminadas compatibles, Windows Server 2008 tiene una superficie más amplia y requiere que tome precauciones adicionales al asegurar los servidores. SCW le ayudará a crear una configuración de seguridad personalizada para sus servidores particulares.
SCW aplica un enfoque de seguridad de servidores completamente diferente a la estrategia de las herramientas existentes. Funciona con una metáfora de funciones para configurar el sistema de modo que admita dichas funciones y poco más. SCW ayuda a configurar el firewall, igual que los asistentes para agregar funciones y características, pero, además, SCW deshabilita los servicios innecesarios y configura algunos parámetros de configuración de seguridad adicionales. Finalmente, los asistentes para agregar funciones y características sólo pueden instalar y configurar funciones integradas en Windows, mientras que SCW es extensible. Un desarrollador o un administrador pueden escribir un archivo de configuración personalizado de función o característica y usar SCW para configurar cualquier producto.
SCW está diseñado para el uso posterior a la instalación de todas las funciones y las características que el servidor debe tener. Si tiene aplicaciones de terceros en su servidor, también debería instalarlas antes de ejecutar SCW.
Para demostrar cómo funciona esto, he configurado un servidor con tres funciones (servidor de aplicaciones, servidor DNS y servidor web) y dos características (las características de Microsoft® .NET Framework 3.0 y el servicio WAS, Windows Process Activation Service). Este no es un conjunto especialmente lógico de funciones y características, pero sirve como buen ejemplo para esta discusión.
Para iniciar SCW, ejecútelo desde el menú Herramientas administrativas. Verá el cuadro de diálogo que muestra la Figura 1.
Figura 1** SCW empieza por preguntar lo que desea hacer. **(Hacer clic en la imagen para ampliarla)
El primer paso es elegir si desea crear una directiva de seguridad nueva, editar o aplicar una directiva existente o revertir una directiva de forma que el sistema recupere la configuración original. Las opciones no necesitan mucha explicación.
Cuando elige crear una directiva de seguridad nueva, SCW crea una directiva nueva con el uso de algún equipo como plantilla para lo que la directiva debe admitir. Analiza el equipo, determina qué características y funciones admite y garantiza que estas funcionan, pero también se asegura de que muchas características innecesarias no estén habilitadas.
SCW funciona en un modelo prototipo. Usa archivos XML para especificar la apariencia de las funciones y las características según los archivos instalados, los servicios configurados, etc. Por esta razón necesita tener instalado en el equipo todo lo que desea que la directiva controle. Si tiene programas de terceros que instalan definiciones de SCW durante su configuración, se integrarán sin complicaciones. Sin embargo, si sus programas de terceros no instalan definiciones de SCW, necesitará configurarlos manualmente.
Como puede ver, es posible crear una directiva en un sistema y, después, aplicarla a muchos sistemas. Si se dispone a crear una red con muchos sistemas, primero debería definir las clases de host configuradas por separado. Seguidamente, puede crear una directiva que use una de estas clases como prototipo y aplicar fácilmente la directiva a todas las demás con modificaciones mínimas.
Al hacer clic en Siguiente (en el cuadro de diálogo que muestra la Figura 1), el asistente pregunta qué equipo desea usar como línea base, o prototipo, para esta directiva nueva. Por lo general, elegirá el equipo local, pero también tiene la opción de usar un equipo remoto como prototipo.
Después de especificar el sistema que se debe usar, pasamos a la fase de análisis. Aquí, SCW enumera qué funciones y características hay instaladas y las compara con las funciones y las características de la base de datos. La base de datos contiene información sobre los servicios utilizados por cada función y cada característica, los puertos de red que necesitan y otros datos de configuración importantes. Después de completar el análisis, puede hacer clic en Ver base de datos de configuración para averiguar lo que ha encontrado el Asistente para configuración de seguridad. Tenga en cuenta que esta es una vista de sólo lectura que presenta información completa acerca de la configuración del equipo. De hecho, si le interesa de verdad entender lo que hay en su equipo, puede emplear una cantidad considerable de tiempo en el análisis de esta información.
Configuración del servidor con SCW
Al hacer clic en Siguiente, se obtiene acceso a la primera de cuatro secciones en SCW: Configuración del servicio basada en funciones. Es posible que advierta que las funciones en SCW, como muestra la Figura 2, no son las mismas que en el Asistente para agregar funciones. La mayor parte de las funciones disponibles en el Asistente para agregar funciones también están presentes aquí pero, además, SCW ofrece algunas que no están incluidas en el Asistente para agregar funciones. Por ejemplo, la función Servidor de aplicaciones que seleccioné no está presente. Esto es así porque SCW usa una metáfora ligeramente diferente para funciones. Trataré esto más detalladamente en breve.
Figura 2** Uso de SCW para seleccionar las funciones que debe admitir su servidor **(Hacer clic en la imagen para ampliarla)
Con frecuencia, tendrá el conjunto correcto de funciones ya seleccionado en este cuadro de diálogo. Así que compruebe simplemente que el análisis encontró lo que cree que debería haber encontrado. Si hay algo que no cuadra, compruebe que la función está instalada, e instálela si es necesario antes de volver a ejecutar SCW. Si comete un error, no es el fin del mundo. La característica de reversión en SCW le devolverá al punto de inicio al deshacer cualquier cambio que haya hecho la directiva.
Las respuestas que ofrezca en esta sección son muy importantes, porque determinan lo que verá más tarde en la sección de red. Afortunadamente, la lógica de detección es bastante buena y, generalmente, está seleccionado el conjunto de funciones correcto.
Fíjese también que, de forma predeterminada, verá Funciones instaladas, que son las funciones que el servidor puede admitir con el disco en el estado actual. Las funciones seleccionadas son las que admite actualmente. También puede ver todas las funciones en la base de datos. Para hacerlo, seleccione Todas las funciones en la lista desplegable. Esto es útil principalmente cuando hay que crear una directiva con un servidor prototipo que todavía no tiene todas las funciones necesarias instaladas.
Tras la configuración de funciones, seleccionamos las características de cliente que desea admitir. El conjunto de características es semejante, aunque no idéntico, al conjunto del Asistente para agregar características, y hay menos características en el conjunto. Una vez más, las metáforas no son exactamente iguales, y SCW se puede ampliar, así que lo que veremos es distinto a lo incluido en el Asistente para agregar características.
Al hacer clic en Siguiente en la página Características de cliente de SCW, obtenemos acceso al cuadro de diálogo Seleccionar Opciones de administración y otras, como muestra la Figura 3. Una "opción" en SCW es algo que no coincide exactamente con una función ni con una característica. Puede ofrecer funcionalidad administrativa o puede ser un servicio único, como la Detección de servicios interactivos. Igualmente en este caso, la mayor parte de las opciones que necesita deberían estar seleccionadas. Vale la pena mencionar el menú desplegable. Este menú ofrece opciones pertinentes a las funciones y las características seleccionadas anteriormente, y será diferente en equipos distintos.
Figura 3** Selección de otros servicios y características en SCW **(Hacer clic en la imagen para ampliarla)
Para continuar, tenemos el cuadro de diálogo Servicios adicionales. Aunque SCW incluye una base de datos de servicios muy amplia, aquí no se describe todo. Los servicios que SCW encuentra en un equipo que no están presentes en la base de datos se muestran en la página Servicios adicionales. Todos los servicios integrados deberían estar aquí, y no debería ver este cuadro de diálogo a menos que tenga instalado algún servicio de terceros.
El asistente permite seleccionar lo que se desea hacer con los servicios que no se van a configurar. Esta opción está diseñada para el uso cuando se desea aplicar la directiva creada a un equipo diferente. Si este equipo tiene servicios diferentes que aquel en el que se creó la directiva, SCW necesita saber qué hacer con ellos. Una opción es dejarlos como están, que es la opción predeterminada. La otra opción es deshabilitarlos, que es más segura pero puede causar problemas de funcionamiento. Pero, si sigue el consejo de únicamente aplicar las directivas a los servidores que son idénticos al equipo de creación, la opción que elija en esta página es irrelevante.
Así, acabamos la parte de configuración de funciones de SCW, y el asistente resume lo que hemos hecho. Como vemos en la Figura 4, con tan sólo elegir la configuración predeterminada, modificaremos apreciablemente la superficie de ataque del equipo. Por ejemplo, como este equipo no es un servidor de impresión y no tiene impresoras instaladas, no hay por qué ejecutar el servicio Administrador de trabajos de impresión. SCW deshabilita todos los servicios que no son necesarios. En nuestro servidor de prueba, SCW deshabilita 17 servicios que estaban configurados para el inicio automático y 42 servicios de inicio manual. Por supuesto, sus resultados variarán según la configuración del servidor, pero puede ver que SCW permite adaptar fácilmente una directiva concreta a sus servidores particulares, con lo que se reduce en gran medida la superficie de ataque.
Figura 4** SCW resume los cambios realizados. **(Hacer clic en la imagen para ampliarla)
Ahora pasamos a la sección posiblemente más importante de SCW: funciones de red. Después de la página de bienvenida inicial, vemos el cuadro de diálogo Reglas de seguridad de red, como muestra la Figura 5. Este cuadro contiene una lista de todas las reglas de firewall propuestas por SCW, que se basan en la compatibilidad con funciones seleccionada en las secciones anteriores.
Figura 5** SCW determina y enumera las reglas que necesita. **(Hacer clic en la imagen para ampliarla)
Si no se modifica la configuración en la sección de red, SCW creará reglas de firewall que bloquean las interfaces de red de forma que sólo se admitan estas funciones y características pero que todos los clientes puedan obtener acceso a ellas. Pero, para optimizar realmente la seguridad en los servidores, debería usar SCW como elemento esencial a la hora de crear una estrategia de aislamiento de servidores. Para aprender más sobre el aislamiento de servidores (y el aislamiento de dominios), vea technet.microsoft.com/network/bb545651.
El kit de recursos de seguridad de Windows Server 2008 incluye un capítulo sobre la protección de la red con el aislamiento de servidores y dominios. También trata el uso del modelado de amenazas de red para analizar la red y facilitar la implementación del aislamiento de servidores. SCW es una herramienta valiosa en este proceso.
Puede configurar restricciones en las reglas propuestas al seleccionar la regla y hacer clic en Editar. Esto nos lleva al cuadro de diálogo de la Figura 6. Esta es una de cuatro páginas que permiten aplicar restricciones adicionales a las reglas para redes. Por ejemplo, puede requerir la autenticación IPsec. En este caso, también podemos enlazar el puerto con extremos determinados. De este modo, podemos configurarlo para permitir la administración remota sólo desde ciertos sistemas host. Como puede ver, esta es una ventaja clave que no ofrecen los asistentes para agregar funciones y características.
Figura 6** SCW permite crear reglas de IPsec y firewall. **(Hacer clic en la imagen para ampliarla)
Esta capacidad de crear reglas de seguridad de conexión basadas en las funciones seleccionadas tiene dos propósitos importantes. Primero, ofrece una oportunidad de aprendizaje dorada para entender lo que hacen los servidores. Ni tan siquiera es necesario diseñar un servidor. Basta con ejecutar el asistente, realizar las selecciones y ver su efecto en las opciones de páginas posteriores. En segundo lugar, permite asociar el abstracto concepto de "puerto" al concepto mucho más lógico de "servicio", y configurar restricciones de red según lo que el sistema esté haciendo realmente.
Si se hace correctamente, esto permite desarrollar una configuración muy precisa para los servidores. La sección de redes de SCW es indudablemente el lugar donde debería emplear la mayor parte de su tiempo al crear la directiva de seguridad para los servidores.
El resto de SCW permite configurar parámetros de auditoría y algunos parámetros del Registro. La configuración predeterminada de estos parámetros es adecuada para la mayoría de las organizaciones y, a menos que tenga requisitos especiales, no necesitará hacer mucho aquí.
Después de crear la directiva, puede guardarla y aplicarla al equipo en que trabaja. O puede aplicarla a los otros equipos. También puede transformar la directiva en Objeto de directiva de grupo (GPO) mediante el comando scwcmd.exe /transform.
Sin embargo, si tiene parámetros específicos del equipo en la directiva, es posible que esto no se realice correctamente o que produzca resultados muy extraños. Por ejemplo, si crea restricciones de extremo que incluyen adaptadores locales en la sección de redes, se considera que la directiva es específica del equipo y no se transformará correctamente. Esto se debe al hecho de que los adaptadores deben quedar especificados mediante GUIDs. El GUID de un adaptador en un equipo no tiene sentido en otro equipo.
Por lo tanto, es mejor usar SCW con cada servidor independiente y como herramienta de aprendizaje. Para granjas de servidores grandes, puede usar SCW con el fin de obtener más información sobre los equipos y desarrollar una directiva básica. Entonces, puede tomar esta directiva y volver a crearla para la aplicación con cualquier herramienta que use para configurar los servidores, por ejemplo, la directiva de grupo o un sistema de administración empresarial (como Microsoft Systems Center).
SCW frente al Administrador de servidores
Una cosa que hemos visto hasta ahora es que la metáfora utilizada para funciones y características es diferente. Una "característica" en SCW es algo que el equipo hace para actuar como cliente. Un "función" es algo que hace para actuar como servidor.
Esto difiere de la metáfora usada en las herramientas del Administrador de servidores, donde una función es una colección de servicios y características que se pueden tomar como unidad, y una característica es algo que ofrece compatibilidad con funciones. En esencia, el Administrador de servidores considera que una función es aquello para lo que compró el servidor. Las características son importantes, pero no son la razón de compra del servidor. Las dos metáforas y los dos usos diferentes de los mismos términos confunden a los usuarios. Considere este aspecto con cuidado antes de cambiar de una herramienta a otra.
Además, las herramientas del Administrador de servidores no son extensibles. Están diseñadas para administrar sólo los componentes que vienen con Windows. En contraste, los programas de terceros instalados pueden agregar funciones y características a SCW. Incluso puede escribir sus propias funciones y características. Las notas del producto "Extending the Security Configuration Wizard" (en go.microsoft.com/fwlink/?LinkId=107397) explican cómo hacerlo.
SCW deshabilita también los componentes que no necesita. Por el contrario, las herramientas del Administrador de servidores se limitan a implementar los componentes que solicita; no tocan nada más en el equipo. Si necesita ayuda para determinar qué componentes no necesita, SCW es la herramienta que debe usar.
Además, tanto las herramientas del Administrador de servidores como SCW configurarán la red, pero SCW es mucho más eficaz en este sentido. Si se dispone a crear una estrategia de aislamiento de servidores, SCW puede ser una mina de información y su mejor amigo a la hora de llevar a cabo la implementación. Esto es obviamente un tema de administración de seguridad avanzada, pero SCW es una herramienta de seguridad avanzada.
Finalmente, SCW configurará también algunos parámetros de seguridad adicionales, algo que no harán las herramientas del Administrador de servidores. Sin embargo, estos quedan superados en gran parte por controles más eficaces, o ya establecidos de forma predeterminada, en Windows Server 2008.
Jesper M. Johansson es ingeniero de seguridad dedicado a problemas de seguridad de software y es editor colaborador de TechNet Magazine. Tiene un doctorado en MIS y más de 20 años de experiencia en seguridad.
© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.