• Artículo

Vigilancia de seguridadAsistente para configuración de seguridad

John Morello

Esta columna contiene información preliminar sobre "Longhorn" de Windows Server y está sujeta a cambios.

La protección constante y eficaz de los servidores es un desafío para muchas organizaciones de TI, especialmente las que tienen muchos equipos dispersados por muchas zonas geográficas y de la organización. Si bien aumentar la protección de un solo servidor puede ser una tarea relativamente sencilla para un administrador con experiencia, hacerlo para decenas, centenares o

hasta miles de servidores es una situación muy diferente. Con el paso de los años, muchas organizaciones han elaborado sus propias listas de comprobación o estándares internos relativos a la seguridad de los servidores. También han incorporado las directrices ofrecidas por Microsoft, el Instituto Nacional de Estándares y Tecnología u otras terceras partes externas. Aunque esta documentación puede resultar de gran valor, por sí sola no es suficiente para que las organizaciones pongan estas recomendaciones en práctica en sus redes. En consecuencia, muchas han optado por mantener la configuración de instalación predeterminada o por invertir una cantidad de tiempo y esfuerzo considerables en la creación de sus propias secuencias de comandos o directivas para fortalecer los sistemas.

Con la llegada del Asistente para configuración de seguridad (SCW) en Windows Server® 2003 Service Pack 1 (SP1), Microsoft ofrece un método sencillo y compatible para fortalecer los servidores y reducir su superficie expuesta a ataques basándose en las funciones que realizan. Mediante la combinación de las prestaciones del SCW con las capacidades de implementación y administración centralizadas de la directiva de grupo, el SCW se puede escalar para su uso en las empresas de TI de mayor tamaño. En la columna de este mes, voy a ofrecer una introducción sobre cómo pueden usar el SCW y la directiva de grupo las organizaciones de TI para administrar sus servidores de manera más segura y coherente, a la vez que reducen los costos operativos y de implementación.

¿Qué es el SCW?

El SCW es un componente opcional, instalado a través del panel de control para agregar o quitar componentes de Windows®, disponible en todos miembros de la familia de Windows Server 2003 SP1, incluido Windows Server 2003 R2. Un administrador debe empezar ejecutando el SCW en un servidor de destino para identificar las funciones que desempeña. A continuación, el SCW ayuda al administrador a crear una directiva de seguridad que protege el equipo mediante un esquema de privilegios mínimos. Dicho de otro modo, el SCW ayuda a asegurar que sólo están disponibles los servicios, capacidades de aplicación y puertos requeridos para el funcionamiento de las funciones. Todo aquello que no sea específicamente necesario para las funciones del servidor será deshabilitado. Este enfoque ayuda a reducir la superficie de ataque del servidor de destino. Si ejecuta servicios que no son requeridos para la función que el servidor realiza, aumenta el riesgo para el servidor sin contrapartida alguna de capacidad ni funcionalidad. Si se deshabilitan estos servicios, se reduce el riesgo y se puede mejorar el rendimiento del servidor.

Mientras Microsoft ha introducido muchos avances de seguridad en Windows Server 2003, reduciendo en gran medida su superficie de ataque global en comparación con versiones anteriores de Windows Server, no ha avanzado en el mismo núcleo de muchos componentes que constituyen Windows Vista™ y la próxima versión Windows Server, denominada "Longhorn". Así, en una instalación predeterminada de Windows Server 2003, puede haber servicios habilitados y en ejecución que no son necesarios para todas las configuraciones de la función de servidor. Por ejemplo, el servicio de cola de impresión está habilitado de forma predeterminada, pero no es necesario en equipos que sólo actúan como servidor de base de datos.

Hacer realidad la seguridad basada en funciones

En los últimos años, Microsoft ha publicado abundante documentación centrada en la seguridad, que ayuda a los administradores a entender qué servicios son requeridos en distintas funciones de servidor y ofrece plantillas integradas para las funciones bien conocidas, por ejemplo los servidores web. Sin embargo, directrices como la de la Guía de seguridad de Windows Server 2003 pueden resultar de difícil implementación en entornos de gran tamaño, especialmente cuando las aplicaciones usadas en esos entornos son, con frecuencia, más compleja que las instalaciones básicas de IIS o SQL Server. Todo se complica más por los centenares de aplicaciones de otros fabricantes que usan las empresas, muchas de las cuales dependen de varias funciones de servidor y cuyos requisitos de aplicaciones y servicios no son siempre bien definidos.

SCW se ocupa de estos problemas mediante la agrupación en un asistente dirigido a los administradores de todos los conocimientos sobre dependencias y las recomendaciones de los manuales. Por ejemplo, si un administrador implementa una nueva aplicación (LOB) que requiere SQL Server™ e IIS, ya no tiene que invertir gran cantidad de tiempo en analizar la guía de seguridad y desarrollar su propia lista de dependencias personalizadas. En vez de eso, puede instalar la aplicación en el servidor e iniciar el SCW. El SCW detectará qué servicios se ejecutan actualmente y proporcionará al administrador una lista de las funciones que puede elegir para el servidor. En función de lo que seleccione, el SCW generará una directiva que deshabilitará todos servicios no requeridos por la matriz de dependencias de las funciones. El SCW ofrecerá también opciones para fortalecer el Registro, bloqueando las comunicaciones de red innecesarias y aplicando una directiva de auditoría eficaz. Después que ejecutar el SCW, el administrador puede guardar la directiva del SCW como archivo XML y aplicarlo a cualquier otro servidor que en que se ejecuta la misma aplicación LOB.

La ejecución del SCW ofrece tres importantes ventajas sobre otros enfoques manuales convencionales para proteger Windows Server. Primero, reduce mucho (si no la elimina por completo) la necesidad de que el administrador consulte constantemente la documentación del producto para determinar los servicios y la configuración necesarios para una carga de trabajo dada. Esta información está integrada en el SCW y la interfaz, controlada por preguntas, facilita al administrador la introducción de los datos necesarios. En segundo lugar, el SCW reúne las directrices de varias áreas, como el reforzamiento de los servicios, la reducción de la superficie de ataque de la red, el reforzamiento de los servicios LDAP y SMB, y el bloqueo de IIS. Hasta ahora, la realización de estas tareas de configuración requería distintas herramientas, cada con su interfaz y enfoque propios. Finalmente, puesto que el SCW muestra la configuración en un archivo de directiva XML, se puede usar en escenarios "crea una vez, aplica muchas veces". Es igual que vaya a implementar 1 o 100 servidores para una aplicación LOB concreta: la misma directiva del SCW se puede aplicar fácilmente a todos ellos. Así, la configuración de seguridad es más coherente y se reducen los costos operativos. Además, resulta más sencillo SCW anular las directivas.

Componentes del SCW

Por todas sus capacidades y prestaciones, el SCW es una herramienta relativamente sencilla que consta de tres partes principales: la interfaz del asistente, la interfaz de línea de comandos y la Base de datos de la configuración de seguridad (SCD). Los administradores de empresas pequeñas o medianas podrían tener que usar únicamente la interfaz del asistente. En entornos más grande o complejos, los administradores pueden usar la interfaz de línea de comandos para contribuir a automatizar tareas del SCW como la transformación de una directiva de SCW en un Objeto de directiva de grupo (GPO). Normalmente, sólo modificarán el SCD los administradores avanzados que deseen crear sus propias funciones personalizadas del SCW.

La interfaz del asistente, que se muestra en la Figura 1, permite a los administradores crear, editar, aplicar, y revertir la configuración de seguridad en un servidor de destino. Ofrece opciones a los administradores en un flujo de trabajo coherente que primero examina los servicios y la configuración, a continuación la conectividad de red, las directivas de auditoría de seguridad, y finalmente la configuración IIS.

Figura 1 Interfaz del SCW

Figura 1** Interfaz del SCW **(Hacer clic en la imagen para ampliarla)

La interfaz de línea de comandos del SCW ofrece tres funciones básicas. Permite a los administradores analizar y configurar varios servidores (locales o remotos) y revertir las directivas. Se puede usar para convertir automáticamente una directiva basada en XML del SCW en un GPO que se puede utilizar nativamente en herramientas de administración de GPO estándar, como la Consola de administración de directivas de grupo. Por último, la herramienta de línea de comandos del SCW que se muestra en la Figura 2 se usa para registrar nuevas extensiones de la Base de datos de configuración de seguridad.

Figura 2 Herramienta de línea de comandos de SCW

Figura 2** Herramienta de línea de comandos de SCW **(Hacer clic en la imagen para ampliarla)

La SCD no es más que una colección de archivos XML que detallan los servicios y la configuración concretos necesarios para cada función del SCW. Estos archivos se encuentran en el directorio %win­dir%\security\msscw\kbs. De forma predeterminada, el SCW se suministra con varias funciones esenciales de Windows Server, así como 12 funciones de aplicaciones predefinidas: BizTalk®, Commerce Server, Exchange Server, Host Integration Server, Internet Security and Acceleration Server, Microsoft Identity Integration Server, Microsoft Operations Manager, Small Business Server, SharePoint® Portal Server, SharePoint Team Services, SQL Server, y Systems Management Server. Cada función tiene su propio archivo XML (consulte la Figura 3). Cada vez que se crea una definición de función nueva, el archivo XML correspondiente se coloca en este directorio. Los archivos son XML estándar y se pueden leer en cualquier visor de texto u otra aplicación compatible con XML (consulte la Figura 4).

Figura 3 Funciones predefinidas

Figura 3** Funciones predefinidas **(Hacer clic en la imagen para ampliarla)

Figura 4 Archivo de configuración de función

Figura 4** Archivo de configuración de función **(Hacer clic en la imagen para ampliarla)

Combinar el SCW y la directiva de grupo

Por sí mismo, el SCW es una gran herramienta, pero su verdadera eficacia no se descubre hasta que se combina con la directiva de grupo. Desde la publicación de Windows® 2000, las recomendaciones de Microsoft para proteger los servidores de Windows se han centrado en usar la directiva de grupo para ofrecer una aplicación de directivas administrada centralizadamente, persistente y coherente. Mediante la agrupación de servidores en unidades organizativas en función de sus funciones, los administradores pueden implementar configuraciones de seguridad estándar en toda la empresa en lugar de tener que hacerlo en cada uno de los equipos individuales. Partiendo de la lógica de acumulación y de aplicaciones estándar de la directiva de grupo, las organizaciones pueden diseñar una jerarquía de funciones de servidor en niveles en la que unas cuantas directivas maestras pueden proteger cientos o miles de servidores individuales. Si hay funciones exclusivas de servidor que exigen desviarse de las directivas maestras, se pueden crear directivas delta más pequeñas centradas en la función más "cercanas" a los servidores en la jerarquía de la unidad organizativa. Así, se admiten pequeños cambios para habilitar la funcionalidad específica de la función sin tener que duplicar la totalidad de la directiva maestra, un enfoque que ofrece a las empresas grandes las ventajas de una directiva administrada centralmente y la flexibilidad para adaptarse a aplicaciones concretas cuando es necesario.

El verdadero desafío de este enfoque está en hacerlo realidad. En grandes organizaciones con muchas aplicaciones y funciones de servidor, la creación del conjunto correcto de directivas es difícil y laborioso, o lo era hasta la llegada del SCW. Mediante el uso del SCW para generar directivas y, a continuación, adjuntarlas a la unidad organizativa correcta, puede reducir mucho el tiempo necesario para implementar la seguridad alojada en directorio y basada en funciones, tanto para cargas de trabajo existente como para las que pueda adoptar más adelante. Para ilustrar mejor cómo podría hacer una organización que esto funcione, vamos a analizar la implementación en una empresa de gran tamaño del SCW y las directivas de grupo basadas en las funciones.

SCW en la empresa

Para este ejemplo, yo usaré la red ficticia de Contoso. Contoso tiene una organización de TI grande, compleja y geográficamente dispersa. Con la expectativa de reducir sus costos operativos y aumentar la seguridad de sus servidores, Contoso sigue los consejos de Microsoft para crear una jerarquía de unidades organizativas basada en las funciones, que separa y organiza los servidores en función de la carga de trabajo. Para crear las directivas y adjuntarlas a las unidades organizativas, Contoso usa el SCW.

Puesto que el SCW no se instala de forma predeterminada, Contoso debe habilitar específicamente el componente SCW en su imagen de instalación desatendida. Para hacerlo, agrega una línea, SCW=On, a la sección [Components] de Unattend.txt. A partir de ese momento, en todos los nuevos sistemas creados con esta imagen el componente SCW se instalará durante instalación. Tenga en cuenta que la mera configuración del SCW para que se instale no aplica ninguna directiva a los equipos cuando se generan.

Para aplicar una directiva predeterminada durante el proceso de configuración, Contoso edita la sección [Commands] del archivo de cmdlines.txt de la imagen para llamar a Scwcmd con las opciones siguientes:

scwcmd configure /p:ContosoBaselinePolicy.xml

El archivo de texto y el archivo XML deben estar en el directorio $OEM$ de la imagen. ¿Por qué aplicaría Contoso una directiva de línea de base en el tiempo de creación en lugar de depender únicamente de la adjuntada a la unidad organizativa superior del directorio? Mediante la aplicación de una directiva en tiempo de creación, Contoso puede garantizar que la línea de base es coherente, independientemente de que un equipo esté unido a Active Directory®. Por ejemplo, si se crea un servidor realizar pruebas, aplicando la directiva de línea de base durante el proceso de creación se asegura que, al menos, cumple la directiva de seguridad estándar de la organización, incluso si no se une nunca a Active Directory de producción. Si, más adelante, el servidor se une a Active Directory, la aplicación de la directiva de grupo y el algoritmo de prioridad sustituirá la configuración local por la del nivel de dominio o unidad organizativa (recuerde que el orden de prioridad para la aplicación de directivas es local, sitio, dominio y unidad organizativa).

Una vez que se ha instalado el SCW, Contoso puede empezar a crear su directiva de línea de base. La directiva de línea de base debe ser la que se implemente en el nivel superior de la jerarquía de unidades organizativas basada en funciones y, normalmente, será la directiva más restrictiva de la jerarquía. El objetivo es disponer de una directiva predeterminada lo más segura posible, y abrir sólo los servicios y puertos para cargas de trabajo individuales necesarios para las funciones de servidor. Para ello, la directiva de línea de base se debe crear a partir de un servidor vacío y recién creado, para después agregar el conjunto de herramientas de administración y utilidades de Contoso y, finalmente, ejecutar el SCW en el servidor. Por ejemplo, después de terminar la instalación básica de Windows, Contoso instala en el servidor (manualmente o mediante el archivo cmdlines.txt) sus herramientas antivirus, de copia de seguridad, de administración y de supervisión estándar. Dado que es probable que cada una de estas herramientas cree sus propios servicios de Windows, tenerlas en el servidor antes de crear la directiva de línea de base permite al SCW conocer su existencia durante la fase de bloqueo de servicios.

Una vez que se ha creado el servidor, Contoso ejecuta el SCW en él. El SCW se puede ejecutar de forma local o de forma remota, y lo debe ejecutar un miembro del grupo de administradores locales del equipo. Si el SCW se ejecuta de forma remota, ofrece una opción para especificar la cuenta de usuario en la que se debe ejecutar en el host remoto; si se ejecuta de forma local, se puede usar runas.exe para obtener el mismo resultado. La primera tarea que emprende el SCW es la de evaluar los servicios en ejecución en el equipo local y mostrar qué funciones están instaladas actualmente (consulte la Figura 5).

Figura 5 Seleccionar y ver las funciones de servidor

Figura 5** Seleccionar y ver las funciones de servidor **(Hacer clic en la imagen para ampliarla)

No se debe seleccionar ninguna función en el servidor de línea de base de Contoso, puesto que el equipo se ha diseñado para estar en un estado muy restringido. Después de seleccionar las funciones que realiza el servidor, el paso siguiente consiste en identificar las características de cliente necesarias para habilitar funcionalidad como Actualizaciones automáticas, Active Directory, o el cliente de FTP. Para la mayoría de las organizaciones, la aceptación de los valores predeterminados del SCW (como se muestra en la Figura 6) proporciona la funcionalidad importante (por ejemplo, la capacidad de unirse a un dominio), pero prohíbe las características menos esenciales (como el cliente de FTP).

Figura 6 Características instaladas

Figura 6** Características instaladas **(Hacer clic en la imagen para ampliarla)

A continuación, el SCW le permite elegir las herramientas administrativas específicas y los servicios no predeterminados que se van a admitir. Las opciones de los servicios no predeterminados son la razón por la que debe ejecutar el SCW después de instalar el conjunto estándar de la administración de servidores de Contoso. Cuando se instalen las aplicaciones antivirus, de copia de seguridad y otras relacionadas, el SCW tendrá constancia de la existencia de estos servicios y, por lo tanto los incluirá en la configuración de la directiva resultante.

La última pregunta de la sección de la seguridad de servicios pregunta cómo manejar los servicios no especificados. Son servicios que se pueden encontrar en otros equipos en los que se aplica la directiva del SCW, aunque no se ejecuten en el equipo en que la directiva se creó originalmente. Por ejemplo, si la directiva de línea de base se aplicada a un servidor nuevo que tiene una aplicación de otro fabricante nueva, todos los servicios que instale esa aplicación se tratan según la opción que el administrador elija aquí. El SCW permite al administrador no cambiar el modo de inicio del servicio o deshabilitarlo. La deshabilitación es la opción más segura, pero se debe usar con cautela, ya que los servicios cuya ejecución no se admita explícitamente no se podrán ejecutar. Por ello, esta opción está muy indicada para entornos de alta seguridad bien administrados. Para otras partes de una organización, se recomienda no cambiar el modo de inicio. Así, en el ejemplo de Contoso, es la opción elegida. Antes de finalizar las tareas de la sección de refuerzo de los servicios, el SCW proporciona al administrador un informe sobre los servicios que se verán alterados.

Tras finalizar el aumento de la seguridad de los servicios, el SCW ofrece opciones para limitar el acceso entrante a la red. Al igual que con la lista de servicios necesarios para una función determinada, la lista de puertos necesarios para una carga de trabajo determinada se incluye en la base de datos XML de SCW.

Los administradores pueden configurar puertos adicionales si es necesario y crear reglas de puerto por servicio, como se muestra en la Figura 7. Para el servidor de línea de base de Contoso, sólo se deben admitir los servicios más básicos, por ejemplo Escritorio remoto. Todas las demás excepciones se configurarán en las directivas basadas funciones que están más abajo en la jerarquía de unidades organizativas.

Figura 7 Ver y permitir puertos

Figura 7** Ver y permitir puertos **(Hacer clic en la imagen para ampliarla)

A continuación, el SCW permite al administrador seleccionar opciones de Registro, como la firma del tráfico de archivos e impresoras. Una vez más, en la configuración de la línea de base, es recomendable elegir los valores predeterminados más seguros.

En el siguiente grupo de opciones interviene la directiva de auditoría del sistema. En la mayoría de los sistemas, la mejor opción es seleccionar Auditar actividades correctas. La auditoría de todas las actividades consume más recursos del procesador y genera gran cantidad de datos en el registro de auditoría. Si se sospecha que se ha producido un ataque o se necesita un análisis más detallado, se puede habilitar la auditoría de los errores en un equipo concreto.

Finalmente, el SCW ofrecerá al administrador opciones para reforzar IIS. Estas opciones son parecidas a las disponibles en la herramienta de bloqueo de IIS y, ahora, están integradas directamente en la directiva del SCW.

Cuando se han finalizado todos los pasos, el SCW solicita al administrador que guarde el archivo XML. El archivo guardado se debe convertir en un formato que la directiva de grupo pueda reconocer de forma nativa. Se usa el archivo Scwcmd.exe para transformar el archivo XML guardado en un GPO. Éste es el comando que se debe escribir:

scwcmd transform /p:ContosoPolicy.xml /g:ContosoBaselineSecurityPolicy

Esta directiva se crea automáticamente en Active Directory y se puede adjuntar al nivel superior de la jerarquía de unidades organizativas de seguridad basada en funciones de Contoso.

Una vez que se ha aplicado esta directiva al nivel superior de la jerarquía, cualquier equipo que se agregue a la jerarquía de unidades organizativas heredará su configuración. Si se agrega un equipo que requiere modificaciones en esta directiva (por ejemplo, un servidor de IIS que requiera la ejecución del servicio W3SVC), los administradores de Contoso volverán a ejecutar el SCW para esa nueva función de servidor, transformarán esta nueva directiva en un GPO y adjuntarán dicho GPO a una nueva sub-unidad organizativa en la que se encuentran los servidores. Puesto que el GPO más cercano al servidor tendrá prioridad, el resultado será que todos los valores de la línea de base estarán en su lugar, excepto los que se tengan que modificar para habilitar la funcionalidad deseada de la función para esa unidad organizativa (consulte la Figura 8).

Figura 8 Aplicación de la directiva en Contoso

Figura 8** Aplicación de la directiva en Contoso **(Hacer clic en la imagen para ampliarla)

El verdadero valor de este enfoque queda claro en organizaciones más grandes o cuando se implementan muchos servidores. Una vez que se ha creado la directiva inicial del SCW y se ha adjuntado a una unidad organizativa, sólo es necesario agregar los servidores subsiguientes a esa unidad organizativa, que heredan automáticamente la directiva de seguridad apropiada. Así, una vez que el conjunto inicial de directivas se ha creado y agregado a Active Directory, la implementación de otros servidores o la sustitución de los existentes es un proceso sencillo y rápido.

Con vistas al futuro

En la próxima versión de Windows Server "Longhorn", Microsoft ha dividido el sistema operativo en gran cantidad de componentes, lo que produce una superficie de ataque simplificada y limitada. En lugar de centrarse en bloquear la instalación predeterminada mínima, los administradores usarán la herramienta Administrador de servidores para agregar las funciones y cargas de trabajo necesarias en cada servidor. Administrador de servidores funciona como el SCW, en el sentido que tiene una base de datos interna de las dependencias que permite al instalador agregar sólo las partes de funcionalidad necesarias para proporcionar el servicio de funciones deseado. Además, la seguridad basada en funciones administrada centralmente con la directiva de grupo como se describe en este artículo se mejora aún más mediante el conjunto ampliado de características controladas por GPO. En resumen, Windows Server "Longhorn" hace avanzar el concepto de SCW a un siguiente nivel, con mayor flexibilidad y una seguridad más eficaz en el producto suministrado.

Recursos del SCW

Las siguientes páginas web le ayudarán a empezar a usar el SCW:

John Morello se licenció en LSU y ha trabajado con Microsoft seis años en distintos puestos. Como consultor sénior, ha diseñado soluciones de seguridad para empresas pertenecientes a Fortune 100 y para clientes de defensa, civiles y federales. Actualmente es director de programas en el grupo de Windows Server que trabaja en tecnologías de seguridad y acceso remoto.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.