Nivell de seguretat del servidor -1

Des de Windows Server 2003 Microsoft sempre ha dit que la seva primera prioritat era la seguretat. Com a resultat d’això, cada versió des d’alhora, s’han anat afegint canvis dissenyats per millorar la seguretat de Windows. Característiques com l’edició CORE, instal·lació basada en funcionalitats (ROLES), WSUS, Applocker, i altres han contribuït a assegurar més i més el sistema. Windows Server 2012, com no, continua aquesta dinàmica amb millores en funcionalitats com el Control d’Accés Dinàmic i l’arquitectura d’arrencada de confiança.

Anem a veure els mecanismes de seguretat de la part del servidor en Windows Server 2012. Característiques avançades com el Tallafocs integrat intel·ligent, el control d’accés dinàmic o Bitlocker. Com una nota a recordar sempre és la importància de tenir els servidors sempre al dia amb els pedaços de seguretat i les actualitzacions corresponents.

El nivell de seguretat del servidor és una de les consideracions més importants en un entorn de xarxa. Els servidors d’una infraestructura no només manegen serveis de xarxa crítics, com DNS, DHCP, cerques de directori i autenticació, sinó què a més son una ubicació centralitzada per la majoria, sinó tots, dels fitxers crítics en la xarxa de l’organització. Per tant això, és molt important establir un pla de seguretat i aprendre completament les capacitats de seguretat de Windows Server 2012.

Implementant seguretat física

Un dels components més oblidats, però potser més crític de la seguretat del servidor és la seguretat física del propi servidor. El més segur, i infranquejable servidor web, és impotent davant d’un usuari maliciós que puga simplement desconnectar-lo de la corrent. Pitjor encara, algú que inicie sessió interactiva en un servidor de fitxers crític podria copiar dades, eliminar-les, o inclús sabotejar la màquina directament.

La seguretat física és un deure per qualsevol organització perquè és la causa més comuna de bretxes de seguretat. Malgrat i això, moltes organitzacions tenen molt poca seguretat física implantada als seus servidors de fitxers crítics. Entendre què cal per assegurar físicament i l’accés a un servidor, és per tant un deure.

Els servidors han d’anar a un lloc tancat, amb un control d’accés. Un lloc dedicat, tancat a tothora és l’ideal.

Els servidors han d’estar configurats per a permetre només als usuaris autoritzats iniciar sessió físicament a la consola. (L’opció de la directiva Local de seguretat, Configuració de seguretat, directives locals, assignació de drets d’usuari, Permetre iniciar sessió localment, cal remoure usuaris i grups que no els cal l’accés físic al servidor)

* Permetre iniciar sessió localment pot també configurar-se per un domini sencer, o una OU, emprant directives de grup basades en domini, però aquest mecanisme només permet donar el dret a usuaris i grups més que llevar-lo. Per impedir a usuaris i grups l'inici de sessió local amb una directiva de grup, empreu Negar el dret d’inici de sessió localment.

Múltiples directives de contrasenya per Domini

Un altre dels afegits a AD DS fet a Windows Server 2008 és la capacitat d’implementació granular de directives a través d’un sol domini. Abans això només era una opció d’utilitats de tercers instal·lades als DC’s del bosc. Des de Windows Server 2008, R2 i ara 2012, els administradors poden definir quins usuaris tenen directives de contrasenya més complexes i quins seran capaços d’emprar directives mes indulgents.

Cal que entenem alguns punts clau quant aquesta tecnologia abans d’implementar-la, com poden ser:

• Nivell de domini deu ser 2008, 2008 R2 o 2012.
• Les directives de contrasenyes precises guanyen davant la directiva de contrasenyes del domini.
• Les directives de contrasenya poden aplicar-se a grups, però han d’esser grups globals de seguretat.
• Les directives granulars de contrasenya aplicades a un usuari sempre guanya a la configuració aplicada a un grup.
• Els objectes de configuració de contrasenya (PSOs) són emmagatzemats al contenidor de Configuració de contrasenyes d’AD (el qual és: CN=Password Settings Container,CN=System,DC=NOMDOMINI,DC=ELQUESIGA).
• Només un joc de directives de contrasenya pot aplicar-se-li a un usuari. Si hi ha múltiples directives a aplicar, la de precedència més baixa s’aplica.

Si volem crear una directiva de contrasenya personalitzada per un usuari específic, hem de crear un PSO emprant ADAC (Abans calia ADSIEdit).

1. Obrim ADAC
2. Anem a l’arrel –> Sistema –> Contenidor de Configuracions de contrasenya.
3. Sota Tasques, Seleccionem Nova –> Configuració Contrasenya.
4. Introduïm la informació al quadre de diàleg. (Veure Taula)
5. Clic D’acord i es crearà el PSO.

Atribut	Descripció	Exemple
Nom	Nom únic de la directiva	Directivapersonal
Precedència	Prioritat de la directiva. Quan més baix el nombre més precedència.	20
Exigir llargària mínima contrasenya	Obliga a una llargària mínima de caràcters a la contrasenya.	8
Exigir Historial de contrasenyes: Nombre de contrasenyes recordades	Nombre de contrasenyes que recorda el sistema.	30
Les contrasenyes deuen acomplir els requeriments de complexitat	La directiva que estableix la complexitat de contrasenya està habilitada. (Obliga als usuaris a introduir una combinació de nombres, minúscules, majúscules i caràcters especials)	Casella d’opció marcada.
Exigir vigència mínima de contrasenya: L’usuari no pot canviar-la abans de (dies)	Dies mínims que hi ha que esperar per poder canviar la contrasenya.	1
Exigir vigència màxima de contrasenya: L’usuari deu canviar-la dins de (dies)	Dies màxims en què una contrasenya és vàlida.	60
Exigir directiva de bloqueig de compte: nombre d’intents erronis d’inici de sessió permesos	Nombre d’intents de contrasenya invàlida abans de bloquejar-se el compte.	5
Exigir directiva de bloqueig de compte: Reinicia el compte d’intents erronis d’inici de sessió després de (minuts)	Temps (minuts) que passarà per a reiniciar el compte d’intents invàlids de contrasenya.	60
El compte es bloquejarà	Temps (minuts) durant el qual el compte romandrà bloquejat.	30
Directament s’aplica	Usuari o grup d’usuaris als quals s’aplica el PSO.	Seleccionat des de l’AD.

Restaurar objectes eliminats a l’AD DS: habilitar la paperera d’Active Directory

La paperera d’AD ja era suportada a Windows Server 2008 R2, però potser més complicada d’implementar, i les eines d’administració no és què foren massa bones d’emprar. Ara, a Windows Server 2012, s’ha millorat aquesta funcionalitat, integrada amb l’ADAC (Centre d’Administració d’Active Directory) tan sols requereix habilitar-la iniciant la funcionalitat. Encara que hi ha algunes coses a acomplir abans de poder habilitar-la.

- El nivell de funcionalitat del domini i el bosc deu ser almenys 2008 R2.

- La pertinença al grup d’Administradors d’empreses és obligatòria per habilitar-la.

- El procés d’habilitació de la paperera és irreversible.

Habilitar la paperera de l’AD

1. Clic dret a Windows PowerShell, triar Executar com a administrador.
2. Des del prompt de PowerShell, escrivim dsac.exe per a iniciar l’ADAC.
3. Clic Administració – Afegir nodes de navegació, seleccionem el domini destino i acceptem.
4. Ara seleccionem el domini a l’esquerre i sota Tasques (a la dreta) tenim Habilitar paperera de reciclatge…
5. Acceptem, ens advertirà què no pot tornar-se enrere,  acceptar i avant.

 

També pot fer-se des del propi PowerShell.

Enable-ADOptionalFeature -Identity 'CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=WindowsNT,CN=Services,CN=Configuration,DC=*******,DC=com' -Scope ForestOrConfiguration 
Set -Target '******.com'

On *****.com, és el nostre domini, i que hem de reemplaçar al script. Al meu cas, per exemple, juansa enlloc de **** i local enlloc de com.

Windows Server 2012: Serveis de Directori

 

Els serveis de Directori han existit d’una o altra forma des dels primers dies de la informàtica per proporcionar cerca bàsica i funcionalitat d’autenticació per a les implementacions de xarxes empresarials. Un servei de Directori proporciona informació detallada sobre un usuari u objecte en la xarxa, molt semblant a la manera en què una Agenda telefònica s’empra per cercar un nombre de telèfon mitjançant un nom.

Els serveis de Directori s’anomenen comunament les pàgines blanques d’una xarxa. Proporcionen l’administració i definició d’usuari o d’objecte.

Introduït amb Windows 2000 Server com un reemplaçament del dominis Windows NT 4.0, AD DS (conegut alhora com AD) va ser millorat àmpliament en Windows Server 2003, 2003 R2, 2008, 2008 R2 i ara en 2012.

Repassem les característiques clau de AD DS:

• Compatibilitat amb TCP/IP –A diferència d’alguns del protocols propietaris com IPX/SPX i NetBEUI, TCP/IP es va dissenyar per a ser una multi-plataforma. Amb la subseqüent adopció de TCP/IP com un estàndard d’Internet per a la comunicació d’equips el va impulsar al capdavant del protocol mundial i què el va fer com un requisit pels sistemes operatius empresarials. AD DS i Windows Server 2012 empren la pila del protocol TCP/IP com el seu primer mètode de comunicacions.
• Compatibilitat amb LDAP –LDAP ha emergit com el protocol de directori estàndard d’internet i s’empra per actualitzar i consultar dades dins del directori. AD DS suporta directament LDAP.
• Compatibilitat amb Domain name system (DNS) –DNS es va crear per una necessitat de traduir noms simplificats que poden entendre’s pels humans (www.elcorteingles.es) en adreces que entenen els equips (2.16.38.183). L’estructura de AD DS és compatible i li cal efectivament que la funció de DNS treballe correctament.
• Compatibilitat de seguretat –La compatibilitat basada amb estàndards de seguretat d’Internet és vital per al bon funcionament de un entorn que està essencialment connectat amb milions d’equips arreu del món. La manca d’una forta seguretat és una invitació a ser haquejat, i Windows Server 2012 i AD DS tenen nivels alts de seguretat. IPsec, Kerberos, autoritats de certificació i xifrat SSL integrat amb Windows Server 2012 i AD DS.
• Fàcil administració –Encara que sovint és passat per alt en implementacions potents de serveis de directoris, la facilitat en què l’entorn s’administra i configura afecta directament als costos globals associats amb el seu ús. AD DS i Windows Server 2012 estan específicament dissenyats amb facilitat d'ús per disminuir la corba d'aprenentatge associada amb la utilització d'un nou entorn. En Windows Server 2012 també s’ha millorat l’administració d’AD DS amb la introducció del centre d’administració d’Active Directory, Serveis web d’Active Directory i un mòdul de Windows Powershell d’Active Directory per administració des de la línia d’ordres que ha estat millorat molt des de l’original inclòs amb Windows Server 2008 i 2008 R2. Powershell del 2012 ara permet una millor resolució de problemes i aprovisionament totalment automatitzat  de controladors de domini i boscos sencers des de la línia d’ordres. A més, també permet una virtualització millorada de controlador de domini.

Canvis d’AD DS amb Windows Server 2012

La millora en la funcionalitat i confiabilitat de AD DS són de importància clau per a l’equip de desenvolupament a Microsoft. Per això Windows Server 2012 introdueix diverses millores a AD DS. Des de la capacitat de la creació de DC’s virtuals, a la de tenir múltiples directives de contrasenyes en un domini pel millorament del desplegament de DC amb la funcionalitat RODC, els canvis fets a l’estructura d’AD DS justifiquen una mirada més a prop.

En Windows Server 2008 ja es van introduir múltiples canvis a la funcionalitat d’AD DS molt més enllà de les versions d’AD de Windows Server 2003 i 2003 R2. Ara s’introdueixen característiques i funcionalitats superiors d’aquelles de 2008 i 2008R2.

Tals com:

• Millor suport de virtualització –La capacitat de creació de DC’s basats en plantilles de màquines virtuals és un gran canvi en 2012. Alhora, també s’han afegit salvaguardes dins d’AD DS que protegeixen els DC d’errors fets amb les instantànies de màquina virtual que causaven majors problemes abans.
• Control d’accés dinàmic –El control d’accés dinàmic crea un nou model de directiva central d’accés (CAP) que permet una informació de classificació de fitxers i ser emprat en decisions d’autorització. Això permet a les metes empresarials ser més fàcilment evidents quan s’examina la seguretat que està establerta als Servidors de Fitxers. Aquest model està suportat als DCs 2012, assumint que els servidors de fitxers també l'executen.
• Millores seguretat Kerberos –Microsoft ha afegit la característica FAST (Flexible Authentication Secure Tunneling) a Kerberos per tal de reduir que els errors kerberos siguen suplantats per atacs de hackers. Anomenat amb freqüència Kerberos armoring.
• Un afinament més detallat de la Directiva de control de contrasenyes i interfícies de Paperera d’AD –Microsoft ha fet ara molt més fàcil la implantació d’una directiva de control de contrasenyes més meticulosa i desgranada i també una paperera per l’AD, ambdós característiques eren difícils d’implementar abans.
• Millores del desplegament d’AD –Característiques com AD BA (Active Directory Based Activation) permet als servidors de llicències activar-se més fàcilment, mentre que que s’han afegit millores a la funcionalitat d’unió de dominis fora de les instal·lacions. S’ha afegit la funcionalitat ADPrep a les eines de desplegament, i el procés sencer d’unió d’un DC a un domini, o la creació d’un nou domini pot fer-se ara des de Poweshell.
• Millores en AD FS (Active Directory Federation Services) –Ara s’ha inclòs de forma nativa AD FS 2.1 a Windows Server, i suporta crides AD DS directament, el què permet el lliurament de tokens SAML als reclams d’usuari i dispositius què els prenen directament des del tiquet kerberos.
• Comptes de servei administrats de grup –Açò permet als comptes de servei administrats emprar-se pels serveis que els cal compartir un únic principal de seguretat, com els Clusters.
• Major suport Powershell –Una gran quantitat d’ordres de PowerShell noves per Windows Server 2012 AD DS han estat dissenyades, permetent gairebé a totes les operacions ser automatitzades des de la línia d’ordres.

 

Pensant en instal·lar Windows Server 2012

Abans de començar amb la instal·lació de Windows Server 2012, hi ha que prendre algunes decisions sobre les tasques prèvies. De com les portem a terme dependrà l’èxit de la instal·lació, perquè moltes de les decisions que prendrem no poden canviar-se després d’acabar la instal·lació.

Tant com sí l’instal·lem en un entorn de laboratori com si és de producció, hem d’assegurar-nos d’acomplir amb els requisits mínims de hardware, i així i tot hi hauran situacions en les quals no seran suficients, depenent de l'escenari a desplegar. Microsoft publica en una de les seves taules: 

Component	Mínim	Recomanat	Màxim
Processador	1.4GHZ 64 bits	2GHZ o superior	-
Memòria	512 MB	2 GB o méss	32 GB standard / 4TB Datacenter
Espai en disc	32 GB	40 GB instal·lació completa	-

De tota manera, no hi faig molt de cas a les taules, perquè sí després he d’instal·lar un Exchange… doncs ja em direu…???

Recordem, això sí, que només processadors de 64 bits, s’han acabat el 32 bits per al 2012.

Després decidirem la versió que ens interessa, de les dues que trobem: Standard i Datacenter. Les diferències venen donades per la compatibilitat de hardware i les VMs (màquines virtuals), cada edició suporta una versió de Server Core.

Triar instal·lació nova o actualització.

Si tenim un entorn Windows, potser volem instal·lar un nou servidor o actualitzar-ne un d’existent. Hi han avantatges per a cadascuna opció.

¿Nova?

No patirem els problemetes de la migració, software corrupte, configuracions incorrectes o aplicacions mal instal·lades. Però, això i tot, perdem tota la configuració d'aquella instal·lació anterior. Les aplicacions deuen reinstal·lar-se només acabem amb el sistema.

¿Actualització?

Per contra, una actualització substitueix els fitxers actuals però manté els usuaris, drets, permisos y configuracions intactes. Aquí no cal reinstal·lar aplicacions o restaurar dades. Abans comproveu la compatibilitat de les aplicaciones, potser que no funcionen amb 2012.

Encara i tot, abans d’actualitzar cal fer una còpia de seguretat completa: dades, aplicacions i estat del sistema.

Si hem decidit actualitzar: el servidor cal que execute Windows Server 2008 R2, no se suporten actualitzacions amb versions anteriors(Un truc és primer actualitzar a 2008 R2, i després a 2012, però el risc per a cadascú que de vegades… crash!).

Versió anterior	Actualització a 2012:
Windows Server 2008 R2 standard	Standard o Datacenter
Windows Server 2008 R2 Enterprise	Datacenter
Windows Server 2008 R2 Datacenter	Datacenter

Comença el camí:

- Server Core o amb GUI?

Windows Server 2012 suporta més funcionalitats/Roles al mode Core què el seu predecessor Windows Server 2008 R2.

Una cosa important és que des de Server Core podem passar a la versió amb GUI amb només una ordre i reiniciar. També hi ha el que se denomina Interfície de servidor mínima (sense escriptori, IE,  ni windows explorer), i des del què també podem podem passar a la completa GUI instal·lant la característica Server grafical shell.

 

- Informació per a quan instal·lem:

• Nom de la màquina: únic a la xarxa, millor si tenim una convenció de noms, màxim de 63 caràcters (lletres majús-minús, nombres i el guionet (-)).
• Nom del grup de treball o domini.
• Adreça IP

Des d’ací ja podem començar amb la instal·lació.

Windows Server 2012 està ací!

Amb la publicació de la nova versió de Windows Server, la 2012, sempre li acompanyen les qüestions: I què du de nou? Com puc aprofitar aquesta nova versió en el meu entorn? Com fem per a què funcione?

La part difícil pels professionals no és només què Microsoft allibera una nova versió de sistema operatiu cada pocs anys, sinó què les aplicacions han d’actualitzar-se de manera regular, i l’arribada de les tecnologies basades en el ‘núvol’ ofereixen alternatives a les organitzacions per triar la seva plataforma tecnològica.

Doncs, de d’on mou un?

Be, Windows 2012 s’ha fet sobre la mateixa tecnologia en la què Windows ha estat executant-se durant anys. Garantit, només hi ha versió de 64 bits, el que suposa, proporcionar alta disponibilitat, redundància, alt rendiment i una escalabilitat per l’empresa.

Amb Windows 2012, Microsoft empaqueta una plataforma sencera basada en un codi base comú que inclou, Windows 8 per tablets i sistemes client mitjançant Windows 2012 per a Centres de dades i empreses. Les similituds amb una interfície comuna amb el nou estil Metro, i on també acaben.

Windows Server 2012 és la següent generació del sistema operatiu Windows Server. Des de l’arrencada inicial, sembla qualsevol altra versió de Windows, té una barra de tasques a sota i una consola en pantalla. De fet, més que arrencar en una pantalla negra arrenca amb la consola d’administració del servidor.

Des d’aquesta consola, el professionals d’IT podem afegir funcions del servidor (Roles), configurar el servidor i llançar les eines d’administració, que són totes les coses que fa un administrador.

De tota manera, com sembla que he comentat, comparteix la interfície Metro, en la qual no tenim botó Inicia. Enlloc, un encant, sota la dreta de la pantalla, surt amb una sèrie de botons d’execució ràpida (incloent aquells de cerca i configuració del sistema)

Però sota aquesta superfície, poc a poc, veurem el nou servidor, les noves tecnologies i les capacitats d’aquest nou Windows Server 2012.