Standard Build Servidor Windows 2003 Server

Pgina 1

Definicin de Configuracin Inicial Segura Servidor Windows 2003 Server

El presente documento pretende definir un Windows 2003 Base Line, esta configuracin debe ser aplicada a todos los servidores participantes de un Dominio o Stand Alone. Adems este documento sirve como base para cualquier procedimiento de hardening que se aplique dependiendo del rol del servidor.
Versin 1.0 (Junio del 2004)

Instalacin del Sistema Operativo 1.- Habilitar controles de Seguridad Fsica del equipo. Debe estar en un Centro de Datos con acceso restringido, preferentemente con llave para la CPU.

2.- Actualizar firmware a su ms reciente versin. Para obtener la ltima versin

visite web del sito del fabricante. Para equipos nuevos.

3.- Crear tres particiones de disco, todas formateadas con NTFS: Una para el sistema

operativo (C:), otra para las aplicaciones (D:) y otra para los datos (pginas web por ejemplo) (E:). Para equipos Nuevos. Habilitar la password de boot del equipo. Como puerto infrarrojo o puertos seriales adicionales.

4.-

5.- Deshabilitar en CMOS dispositivos innecesarios. 6.Deshabilitar boot desde diskette y CDROM.

7.- Instalar Windows 2003 Server 8.- Aplicar el ltimo Service Pack y HotFixes
http://windowsupdate.microsoft.com

9.- Configurar Fecha, Hora y verificar que Zona horaria est bien configurada.
NOTA: Tener presente, para efectos de anlisis, que los registros de log de IIS usan la hora GMT, y no la hora local del equipo.

10. Generar Emergency Repair Disk, ahora y cada vez que se hace un cambio de la configuracin del sistema y almacenarlo en un lugar protegido. -

CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Pgina 2

Configuracin del Sistema Operativo 11. Renombrar cuenta local Administrador, asignar password robusta, almacenarla en lugar seguro. admin. Ser el nombre de la cuenta de administrador propuesta.

12. Crear una segunda cuenta de administracin con las mismas caractersticas. Utilizar esta cuenta para efectos de administracin. 13. Crear dos cuentas locales que se llamen Administrador y Administrator, definirlas sin ningn tipo de privilegios. Asigne una password robusta a la cuenta Guest. Deshabilitadarla. Revisar y Eliminar cuentas innecesarias. Configurar Protector de Pantalla con password de bloqueo robusta, el tiempo de espera debe ser de no ms de 15 minutos.

14. 15. 16.

17. Cuando Windows 2003 es instalado los servicios por defectos son configurados para que partan automticamente, muchos de estos servicios no son necesarios para que el sistema opere. Recuerde que cualquier servicio aplicacin es un potencial punto de ataque. Los siguientes servicios no son necesarios para que el servidor opere en un Dominio Windows 2003, por lo que la configuracin recomendad es la siguiente.
Servicio Alert Application Layer Gateway Service Application Management ASP .NET State Service Automatic Update Backgroud Intelligent Transfer Service Certificate Services MS Software Shadow Copy Provider Client Service for Netware ClipBook Cluster Service COM+ Event System COM+ System Application Computer Browser Cryptographic Service DHCP Client DHCP Server Distributed File System Distributed Link Tracking Client Distributed Link Tracking Server Distributed Transaction Coordinator DNS Client DNS Server Error Reporting Service Estado Disabled Disabled Disabled Disabled Automatic Manual Disabled Manual Manual Disabled Disabled Manual Disabled Automatic Automatic Automatic Disabled Disabled Disabled Disabled Disabled Automatic Disabled Disabled

CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Servicio Event Log Fax Service File Replication File Server for Macintosh FTP Publishing Service Help and Support Http SSL Human Interface Device Access IAS Jet Database Access IIS Admin Service IMAPI CD-Burning COM Service Indexing Service Infrared Monitor Internet Authentication Service Internet Connetion Firewall (ICF) /Internet Connection Sharing (ICS) Intersite Messaging IP Version 6 Helper Service IPSEC Policy Agent (IPSec Service) Kerberos Key Distribution Center License Logging Service Logical Disk Manager Logical Disk Manager Administrative Service Message Queuing Message QueuingDown level Clients Message Queuing Triggers Messenger Microsoft POP3 Service MSSQL$UDDI MSSQLServerADHelper .NET Framework Support Service Netlogon NetMeeting Remote Desktop Sharing Network Connections Network DDE Network DDE DSDM Network Location Awareness (NLA) Network News Transfer Protocol (NNTP) NTLM Security Support Providera Performance Logs and Alerts Plug and Play Portable Media Serial Number Print Server for Macintosh Print Spooler a menos que sea print server Protected Storage Remote Access Auto Connection Manager Remote Access Connection Manager Remote Administrator Service Remote Desktop Help Session Manager Remote Installation Remote Procedure Call (RPC) Remote Procedure Call (RPC) Locator Remote Registry Service Remote Server Manager Remote Server Monitor Estado Automatic Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Automatic Disabled Disabled Manual Manual Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Automatic Disabled Manual Disabled Disabled Manual Disabled Automatic Manual Autmatic Disabled Disabled Disabled Automatic Disabled Disabled Manual Disabled Disabled Automatic Disbled Automatic Disabled Disabled

Pgina 3

CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Servicio Remote Storage Notification Remote Storage Server Removable Storage Resultant Set of Policy Provider Routing and Remote Access SAP Agent Secondary Logon Security Accounts Manager Server Shell Hardware Detection Simple Mail Transport Protocol (SMTP) Simple TCP/IP Services Single Instance Storage Groveler Smart Card SNMP Service SNMP Trap Service Special Administrator Console Helper SQLAgent$ (*UDDI or WEBDB) System Event Notification Task Scheduler TCP/IP NetBIOS Helper Service TCP/IP Print Server Telephony Telnet Terminal Services Terminal Services Licensing Terminal Services Session Directory Themes Trivial FTP Daemon Uninterruptible Power Supply Upload Manager Virtual Disk Service Volume Shadow Copy WebClient Web Element manager Windows Audio Windows image Acquisition (WIA) Windows Installer Windows Internet Name Service (WINS) Windows Management Instrumentation Windows Management Instrumentation Driver Extensions Windows Media Services Windows System Resource Manager Windows Time WinHTTP Web Proxy Auto Discovery Service Wireless Configuration WMI Performance Adapter Workstation Worl Wide Web Publishing Service Estado Disabled Disabled Manual Disabled Disabled Disabled Disabled Automatic Automatic Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Disabled Automatic Disabled Automatic Disabled Disabled Disabled Automatic Disabled Disabled Disabled Disabled Disabled Disabled Disabled Manual Disabled Disabled Disabled Disabled Automatic Disabled Automatic Manual Disabled Disabled Automatic Disabled Disabled Manual Automatic Disabled

Pgina 4

NOTA: La deshabilitacin de los servicios indicados anteriormente no contempla las necesidades de otros paquetes de software (como antivirus o control remoto). Se debe verificar con el proveedor del mismo los servicios que son requeridos por ste para no deshabilitarlos.
CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Pgina 5

CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Pgina 6

18. A continuacin ejecute el Local Security Policy e introdusca las siguientes modificaciones: Stara -> Administrative Tools -> Local Security Policy

Account Policies Password Policy

Enforce password history Maximum password age Minimum password age Minimum password length Passwords must meet complexity requirements Store password using reversible encyrption for all users in the domain 24 password remembered 42 days 2 days 8 characters Enabled Disabled

Account Lockout Policy

Account lockout duration Account lockout threshold Reset account lockout counter after 30 minutes 5 invalid logon attempts 30 minutes Not Not Not Not Not Defined Defined Defined Defined Defined

Kerberos Policy
Enforce user logon restrictions Maximum lifetime for service ticket Maximum lifetime for user ticket Maximum lifetime for user ticket renewal Maximum tolerance for computer clock synchronization

Local Policies Audit Policy

Audit Audit Audit Audit Audit Audit Audit Audit Audit account logon events account management directory service access logon events object access policy change privilege use process tracking system events Success, Failure Success, Failure Success, Failure Success, Failure Success, Failure Success Failure No auditing Success Power Users, Backup Operators, Administrators Administrators, Remote Desktop Users ANONOYMOUS LOGON; Built-in Administrator, Guests; Support_388945a0; Guest; all NON-Operating

User Rights Assignment

Allow logon locally (SeInteractiveLogonRight) Allow logon Through Terminal Services (SeRemoteInteractiveLogonRight) Deny access to this computer from the network (SeDenyNetworkLogonRight)

CONFIDENCIAL

Standard Build Servidor Windows 2003 Server

Pgina 7

19. Si el servicio SNMP es necesario, configure un nombre de comunidad complejo (estilo password), no usar Public. 20. Configure los siguientes parmetros para el stack TCP/IP -

1. Ejecute la herramienta regedt32.exe 2. Abra la siguiente lleve HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Services \ Tcpip \ Parameters \ 3. Agregue / Modifique los siguientes parmetros
Format
DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD DWORD

SubKey Registry Value Entry

EnableICMPRedirect SynAttackProtect EnableDeadGWDetect EnablePMTUDiscovery KeepAliveTime DisableIPSourceRouting TcpMaxConnectResponseRetransmissions TcpMaxDataRetransmissions PerfmRouterDiscovery TCPMaxPortsExhausted

Value
0 1 0 0 300000 2 2 3 0 5

21. Revisar, limpiar informacin de tabla de host local. La ruta es: /winnt/system32/drivers/etc/hosts 22. Generar Emergency Repair Disk, ahora y cada vez que se hace un cambio de la configuracin del sistema y almacenarlo en un lugar protegido. -

CONFIDENCIAL