Professional Documents
Culture Documents
Pgina 1
Instalacin del Sistema Operativo 1.- Habilitar controles de Seguridad Fsica del equipo. Debe estar en un Centro de Datos con acceso restringido, preferentemente con llave para la CPU.
3.- Crear tres particiones de disco, todas formateadas con NTFS: Una para el sistema
operativo (C:), otra para las aplicaciones (D:) y otra para los datos (pginas web por ejemplo) (E:). Para equipos Nuevos. Habilitar la password de boot del equipo. Como puerto infrarrojo o puertos seriales adicionales.
4.-
5.- Deshabilitar en CMOS dispositivos innecesarios. 6.Deshabilitar boot desde diskette y CDROM.
7.- Instalar Windows 2003 Server 8.- Aplicar el ltimo Service Pack y HotFixes
http://windowsupdate.microsoft.com
9.- Configurar Fecha, Hora y verificar que Zona horaria est bien configurada.
NOTA: Tener presente, para efectos de anlisis, que los registros de log de IIS usan la hora GMT, y no la hora local del equipo.
10. Generar Emergency Repair Disk, ahora y cada vez que se hace un cambio de la configuracin del sistema y almacenarlo en un lugar protegido. -
CONFIDENCIAL
Pgina 2
Configuracin del Sistema Operativo 11. Renombrar cuenta local Administrador, asignar password robusta, almacenarla en lugar seguro. admin. Ser el nombre de la cuenta de administrador propuesta.
12. Crear una segunda cuenta de administracin con las mismas caractersticas. Utilizar esta cuenta para efectos de administracin. 13. Crear dos cuentas locales que se llamen Administrador y Administrator, definirlas sin ningn tipo de privilegios. Asigne una password robusta a la cuenta Guest. Deshabilitadarla. Revisar y Eliminar cuentas innecesarias. Configurar Protector de Pantalla con password de bloqueo robusta, el tiempo de espera debe ser de no ms de 15 minutos.
17. Cuando Windows 2003 es instalado los servicios por defectos son configurados para que partan automticamente, muchos de estos servicios no son necesarios para que el sistema opere. Recuerde que cualquier servicio aplicacin es un potencial punto de ataque. Los siguientes servicios no son necesarios para que el servidor opere en un Dominio Windows 2003, por lo que la configuracin recomendad es la siguiente.
Servicio Alert Application Layer Gateway Service Application Management ASP .NET State Service Automatic Update Backgroud Intelligent Transfer Service Certificate Services MS Software Shadow Copy Provider Client Service for Netware ClipBook Cluster Service COM+ Event System COM+ System Application Computer Browser Cryptographic Service DHCP Client DHCP Server Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client DNS Server Error Reporting Service Estado Disabled Disabled Disabled Disabled Automatic Manual Disabled Manual Manual Disabled Disabled Manual Disabled Automatic Automatic Automatic Disabled Disabled Disabled Disabled Disabled Automatic Disabled Disabled
CONFIDENCIAL
Pgina 3
CONFIDENCIAL
Pgina 4
NOTA: La deshabilitacin de los servicios indicados anteriormente no contempla las necesidades de otros paquetes de software (como antivirus o control remoto). Se debe verificar con el proveedor del mismo los servicios que son requeridos por ste para no deshabilitarlos.
CONFIDENCIAL
Pgina 5
CONFIDENCIAL
Pgina 6
18. A continuacin ejecute el Local Security Policy e introdusca las siguientes modificaciones: Stara -> Administrative Tools -> Local Security Policy
Kerberos Policy
Enforce user logon restrictions Maximum lifetime for service ticket Maximum lifetime for user ticket Maximum lifetime for user ticket renewal Maximum tolerance for computer clock synchronization
CONFIDENCIAL
Pgina 7
19. Si el servicio SNMP es necesario, configure un nombre de comunidad complejo (estilo password), no usar Public. 20. Configure los siguientes parmetros para el stack TCP/IP -
1. Ejecute la herramienta regedt32.exe 2. Abra la siguiente lleve HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters \ 3. Agregue / Modifique los siguientes parmetros
Format
DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD
Value
0 1 0 0 300000 2 2 3 0 5
21. Revisar, limpiar informacin de tabla de host local. La ruta es: /winnt/system32/drivers/etc/hosts 22. Generar Emergency Repair Disk, ahora y cada vez que se hace un cambio de la configuracin del sistema y almacenarlo en un lugar protegido. -
CONFIDENCIAL