Page 1
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------
Module 12: Securing Windows Servers by Using Group Policy Objects
--------------------------------------------------------------------------------------------------------------------------------------------------------------------------
----------------------------------------------------------------------------------------------------------------------
Seguridad en Windows Server 2012 R2:
Windows Server 2012 R2 incluye un buen numero de herramientas y soluciones destinadas a implementar medidas de
seguridad en la red.
En este modulo trataremos las herramientas de seguridad disponibles a traves de las GPOs:
- Politicas de seguridad en la red: Contraseñas, bloqueo de cuentas,…
- Habilitacion del cifrado en comunicaciones.
- Restriccion de instalacion y uso de software.
- Habilitacion de auditorias de seguridad: acceso a objetos, inicios de sesion, uso de privilegios..
- Configuracion de cortafuegos. Los sistemas windows incluyen un cortafuegos de host local a cada maquina.
- Para implementar un cortafuegos de red tenemos que ir a una solucion como Forefront TMG (Threat Management
Gateway).
Defense-in-depth:
Defense-in-depth consiste en implementar multiples “capas” de seguridad para que entre todas nos den el nivel de seguridad
requerido.
Metodologias de analisis y gestion de riesgos: MAGERIT
Estandares internacionales de seguridad TI: ISO 27000
- ISO 27001: Estandar internacional certificable
- ISO 27002: Buenas practicas para implementar ISO 27001
Page 2
Seguridad Perimetral:
- Forefront TMG
- Fortinet
- Nortel
- Juniper
- Cisco ASA (mas caro y mejor)
- IPCop (Opensource)
- Shorewall (Opensource)
Reverse Proxy: Nos permite ofrecer en el exterior un servicio que tenemos en la intranet (web, mail, …) sin necesidad de contar
con el servidor fuera de la intranet.
- Squid (opensource)
Sistemas de deteccion y prevencion de intrusos (IDS, IPS).
- IDS: Cuando detecta trafico anomalo simplemente avisa al administrador, pero no hace nada por evitarlo.
- IPS: Es activo y toma acciones para evitar el trafico sospechoso detectado.
Pueden detectar virus a traves de la red o trafico como un escaneo con nmap, ataque smurf, land, …
Una posible solucion IDS/IPS es Snort (opensource).
Gestion de Actualizaciones: WSUS (Windows Server Update Services).
EFS: Encryption File System . Sistema de cifrado de archivos y carpetas integrado con NTFS.
Bitlocker: Permite cifrar volumenes completos (incluyendo el del sistema operativo) y dispositivos como pendrives o discos
externos (Bitlocker to go).
Para iniciar sesion en un servidor, un administrador solo deberia hacerlo de forma remota, nunca de forma local.
Hay malware que solo tiene efecto cuando iniciamos sesion de forma local y no de forma remota.
Consola de gestion de politicas (Group policy management)
Gpmc.msc
Las plantillas de seguridad las usamos para definir una configuracion comun (Linea de Base). Definimos plantillas de seguridad
para: Controladores de dominio, Servidores, Portatiles, Clientes, Grupos de Usuarios, …
Esa plantilla nos sirve para comparar la configuracion actual de un equipo con la definida en la plantilla y encontrar “faltas de
cumplimiento” (non-compliant).
Una vez detectadas las faltas de complimiento, nos permite resolverlas.
Page 3
Desde mmc si podemos crear plantillas
Page 4
Siempre guardar.
Y ahora el snapin para analizar
Si no existe la creara
Page 5
Nos pide la plantilla se seguridad para importar
Ahora nos muestra esta informacion
Page 6
Y nos da mas opciones
Secedit nos permite analizar el cumplimiento de las plantillas de seguridad. Compara la configuracion actual de una maquina
con la establecidad en la plantilla.
Security Configuration and analysis: equivalente a secedit pero con entorno grafico
Security templates: permite crear plantillas, pero no aplicarlas o analizar
Entas 3 herramientas solo trabajan a nivel local en la maquina en la que se esta ejecutando.
Para distribuir la configuracion de seguridad en toda la red tenemos:
- GPOs: modificamos las GPOs de forma manual para aplicar lo especificado en la plantilla de seguridad.
- Security compliance manager: permite analizar comparar y configurar maquinas dentro de la red. Incluso si las
maquinas no estan en dominio.
User Rights:
Si un usuario cuenta con un privilegio, tiene la posibilidad de ejecutar una tarea sobre el sistema:
- Cambiar la fecha del sistema
Page 7
- Apagar una maquina
- Iniciar sesion de forma local o remota
Crear GPO para auditoria de accesos a objetos
Primero se activa la opcion y despues se elige el directorio o archivo a auditar
Para aplicar la auditoria
Page 8
Y asi como se veria en el visor de eventos
Grupos restringidos
Solo se puede entrar a ese grupo por politicas
Las Account Lockout Policies estan diseñadas para evitar o mitigar ataques de fuerzabruta.
Los atacantes pueden usar herramientas como Hydra, Brutus,… estas herramientas permiten lanzar continuos inicios de sesion
contra un servicio probando usuarios y contraseñas.
Page 9
Requisitos para instalar SCM Security compliant manager
- .NET framework 3.5
- Word o excel para abrir las guias de seguridad.
- Microsoft visual C++ 2010 (incluidod en el paquete de instalacion de SCM)
Ejercicio:
Las politicas de seguridad en la mepresa dictan los sigueintes prerequisitos:
- Para la gestion de servidores debe crearse un grupo que se denomine server administrators.
- El grupo server administrator debe ser miembro del grupo de administradores locales de cada maquina dominio.
- Debe habilitarse la auditoria de inicios de sesion para todos los miembreos del grupo server administrator.
- La configuracion de las politicas debe llevarse acabao mediante GPOs
Añadir por políticas al grupo domain admins el grupo server administrators ya que los domain admins tienen menos privilegios
que los administrators y son administradores locales de los equipos.
Politicas de restriccion de software:
Queremos controlar la instalacion y ejecucion de aplicaciones por parte de los usuarios.
Para esto tenemos 2 opciones:
- SRP (Software restriction policies). Disponibles desde windows server 2003
- AppLocker: Disponible desde windows server 2008 R2
SRP – para anteriores a windows 7 o 2008 r2
Page 11
SRPs
Las SRPs nos permiten controlar la ejecucion de software en base a:
- Hash: Al archivo ejeculable de la aplicación le aplicamos un algoritmo de Hashing (MD5, SHA-1, …). El Hash es una
Page 12
huella unica del archivo binario que lo identifica de forma univoca.
- Certificados: Los fabricantes de aplicaciones pueden firmar sus apliaciones con un certificado.
- Path: Podemos controlar la ejecucion de una aplicación por la ruta en la que se encuentra (UNC universal name
convention).
- Zone: Podemos filtrar la ejecucion de aplicaciones según la zona desde donde la hemos descargado. Por ejemplo,
impedir la ejecucion de aplicaciones descargadas de internet.
Una aplicación puede configurarse con 3 niveles de seguridad:
- Disallowed: impedimos la ejecucion de la aplicación
- Basic User: Permitimos la ejecucion,pero solo si se ejecuta como usuario no administrativo
- Unrestricted: Permitimos la ejecucion sin restricciones
AppLocker:
Disponible desde windows 7 y windows server 2008 R2. Es la opcion preferida para controlar la instalacion y ejecucion de
aplicaciones.
Ademas de controlar la instalacion y la ejecucion, podemos monitorizar y auditar la ejecucion de aplicaciones.
Cuando definimos politicas de AppLocker, tenemos 2 modos de usarlas:
- Audit: Solo monitoriza y genera eventos en el log.
- Enforce: Obliga al cumplimiento de la politica
AppLocker se basa en el servicio “Applicacion identity” para identificar las aplicaciones que va a permitir o bloquear. Este
servicio debe estar activado en todas las maquina en la que queremos que se aplique AppLocker.
Podemos controlar:
Page 13
Crear reglas en base:
Cuando creamos reglas en AppLocker es imprescindible crear reglas por defecto para permitir la ejecucion de las aplicaciones
propias del sistema operativo.
Ejecrcicio:
Impedir que los usuarios ejecuten wordpad mediante Applocker
Creamos una regla en executable Rules por que la app es wordpad.exe
Page 14
Ahora nos pedi un archivo del fabricante para indentificar el fabricante por metadatos y podamos elegir que nivel de bloqueo
subiendo o bajando la barrita
Page 16
Aquí nos avisa que si queremos crear las reglas default para no bloquear el sistema operativo
Ahora tenemos que activar por politicas que el servicio para AppLocker este iniciado
Page 17
Ahora configuramos en applocker si queremos auditar o forzar
Ya solo quedaria linkar la GPO a donde necesitemos
Firewall with advanced Security:
El cortafuegos de Microsoft es un Host-based Firewall, no un Network-based Firewall.
Protege la maquina local frente a conexiones entrantes y salientes.
No esta diseñado para situarlo en el prerimetro y proteger la red interna.
Este cortafuegos trabaja con 3 tipos de reglas:
- Inbound (entrantes): Se aplican al trafico que va a entrar en la maquina local.
Page 18
- Outbound (Salientes): Se aplican al trafico que va a salir de la maquina local.
- Connection Security: Permite proteger las conexones mediente autentificacion y cifrado.
Si queremos proteger la conexión entre dos maquinas, tendremos que crear reglas Inbound, Outbound y connection security, no
habra comunicación por que no se crean las reglas Inbound y Outbound de forma automatica.
Page 19
Connection Security Rules:
Las reglas Inbound y Outbound se usan para permitir o bloquear trafico que entra o sale de la maquina local.
La Connection Security Rules sirven para proteger el trafico entre 2 equipos mediante:
- Autentificacion
- Cifrado
- Integridad: Los datos no se han modificado en transito
El metodo preferido para conseguir Autentificacion, cifrado e integridad es IPSec (Podria requerir certificados)
Firewall rules: Inbound y Outbound
Para aplicar una Connection Security Rule, debe ser a traves de una Firewall Rule.
Una Connection Security Rule debe crearse en los 2 extremos
Page 20
Hay 5 tipos de reglas de seguridad en la conexión:
- Isolation (aislamiento): Permite restringir el acceso de un equipo a la red basandose en criterios como
Page 21
autentificacion o salud (NAP Network Access Protection).
- Authentication Exemption: Permite definir conexiones que no requiren autentificacion.
- Server-to-server: Definimos conexiones entre 2 servidores concretos que deben estar protegidas.
- Tunnel: Usamos Windows Server 2012 R2 como gateway para interconectar 2 redes de forma segura.
- Custom: Personalizada. Seleccionamos los tipos de autentificacion, integridad, cifrado, …
Request: pedir , no obligatorio
Require: requiere obligatorio
Vamos a crear una regla para que las maquinas de lon-dc1 y lon-srv2 se pueden hacer ping con autentificacion
LON-DC1
tipo
Requeriments
Metodo de autentificacion
Page 23
Ahora se configuraria lo mismo en el LON-SRV2
Y ya estaria terminado
Administrar firewall por GPO
Ahora desde GPO
Page 24
El resto es todo igual que desde el cliente
Firewall network-based mas usados
ASA Cisco caro
Fortinet barato
