Security Configuration Wizard (SCW y SCWCMD)
|
|
Este Artículo presenta la herramienta Security Configuration Wizard (SCW), disponible desde Windows Server 2003 Service Pack 1. Esta herramienta nos facilita la tarea de securizar nuestros servidores, incluso podremos generar Políticas de Directorio Activo (GPO) con dichas configuraciones. De forma adicional, Security Configuration Wizard (SCW) está preparada para considerar configuraciones particulares de productos como Microsoft Exchange Server 2003, Microsoft Biztalk 2004, Microsoft Operation Manager 2005, Microsoft Host Integration Server 2004 (HIS), Microsoft SQL Server 2000, Microsoft Sharepoint Portal Server, etc., gracias a su base de datos de configuraciones (Security Configuration Database). |
Introducción a SCW
Una herramienta que puede resultar útil ejecutar después de instalar nuestras máquinas (tanto Sistema Operativo como Productos), es Security Configuration Wizard (SCW). La utilidad SCW se instala desde Agregar o Quitar Programas (Add or Remove Programs) en Windows Server 2003 SP1 o superior. Se trata de un asistente que permite construir políticas de seguridad (ficheros XML) en función de los roles que desempeña el servidor, y del mismo modo, también permite aplicar y editar dichas políticas (ficheros XML), además de deshacer la última política aplicada (Rollback). No se trata de una herramienta específica para ningún producto (ofrece soporte para muchos: Microsoft Exchange Server 2003, Microsoft Biztalk 2004, Microsoft Operation Manager 2005, Microsoft Host Integration Server 2004 (HIS), Microsoft SQL Server 2000, Microsoft Sharepoint Portal Server, etc.), si está preparada para analizar éste tipo de servidores, siendo capaz de diferenciar configuraciones particulares de cada producto (ej: diferenciar entre servidores de Backend y de Frontend de Microsoft Exchange Server 2003).
Security Configuration Wizard (SCW), una vez instalado, está disponible desde el menú de Herramientas Administrativas (Administrative Tools). Al abrir SCW, podremos elegir entre:
- Create a new security policy. Permite crear una nueva política (fichero XML).
- Edit an existing security policy. Permite editar una política (fichero XML) existente.
- Apply an existing security policy. Permite aplicar una política (fichero XML) existente.
- Rollback the last applied security policy. Permite deshacer los cambios aplicados por la última política aplicada.
Con la instalación de SCW, también es importante tener en cuenta que se instala los ficheros de ayuda, así como la utilidad de línea de comandos SCWCMD.
Crear una Política (fichero XML) con SCW
Al crear una nueva política de seguridad de SCW, el asistente nos solicitará la siguiente información:
- Roles que desempeña el servidor. Los roles que indiquemos, los utilizará SCW para identificar qué servicios y puertos son necesarios y cuáles no. Existen multitud de roles, como Application Server, Cluster Server, File Server, Exchange 2003 back-end server, etc. Para no marearnos con tantos roles, es posible filtrar por los Roles instalados.
- Características de cliente utilizadas por el servidor. Del mismo modo, los utilizará SCW para identificar qué servicios y puertos son necesarios y cuáles no. Existen multitud de características de cliente, como DNS Client, Domain Member, SQL Client, etc. Para no marearnos con tantas características de cliente, es posible filtrar por las instaladas.
- Opciones de administración. En función de los Roles de servidor y de las Características de cliente seleccionadas anteriormente, se puede establecer algunas opciones para ajustar más la configuración. Por ejemplo, si se eligió el rol de Exchange 2003 back-end server, es posible en este paso, especificar si nuestro servidor de Back-end utilizará POP3 ó IMAP4, para poder identificar con mayor detalle los servicios y puertos necesarios.
- Servicios adicionales. Aquí se puede especificar alguna opción más, como por ejemplo, Microsoft iSCSI Initiator.
- Especificar el modo de inicio de los servicios desconocidos. Es posible indicar si los servicios desconocidos se desean deshabilitar o mantener su estado de inicio actual.
- Confirmar los cambios en los servicios. Si alguno de los cambios que se muestran no es deseado, es posible volver atrás en el asistente, para indicar la configuración deseada.
- Configurar Puertos y Aplicaciones de Windows Firewall (opcional). Esta sección es opcional (se puede omitir). En caso contrario, se habilitará Windows Firewall conforme a la configuración que se indique. Para cambiar dicha configuración, es posible volver atrá en el asistente para indicar la configuración deseada, o bien modificar manualmente desde aquí la configuración de puertos y aplicaciones.
- Configuración de Registro (opcional). Permite requerir la firma digital del tráfico SMB y el nivel de autenticación de LAN Manager (NTLM).
- Configurar Políticas de Auditoría (opcional). Permite especificar qué se desea auditar (Account Logon Events, Account Management, Directory Service Access, Logon Events, Object Access, Policy Change, Privilege Use, Process Tracking, System Events) y con qué nivel (éxito y/o fracaso). Adicionalmente, se permite especificar si se desea aplicar también la plantilla de seguridad ASCAudit.inf (esta acción no se puede deshacer posteriormente con un Rollback de SCW), con el fin de auditar las modificaciones realizadas a la estructura de directorio WINDOWS y los cambios en los servicios.
- Configurar IIS (opcional). Permite especificar qué extensiones del servicio Web se desean habilitar (sin ninguna extensión, sólo se podrían servir contenidos estáticos), como por ejemplo Active Server Pages, ASP.NET v1.1.4322, ASP.NET v2.0.50727, Microsoft Exchange Server, WebDAV, etc. También es posible eliminar algunos directorios virtuales por defecto (ej: IISAdmin, IISHelp, IISSamples, MSADC, Scripts), deshabilitar el acceso anónimo y denegar la escritura a usuarios anónimos.
- Importar Plantillas de Seguridad (opcional). De forma adicional, es posible aplicar Plantillas de Seguridad (ficheros inf) con configuraciones extras.
- Aplicar la nueva Política de Seguridad. Finalizado el asistente, podemos aplicar la nueva política que hemos creado (requiere reiniciar la máquina), o bien, guardarla y aplicarla posteriormente con SCW (opción recomendada).
Cómo crear una Política de Directorio Activo (GPO) desde una Política de SCW (fichero XML)
Resulta de gran utilidad crear una Política de Directorio Activo (GPO) desde una Política de SCW (fichero XML). Para poder realizar ésto, deberemos tener en cuenta que:
- Esta tarea no se puede hacer desde la herramienta gráfica de SCW. Debe realizarse utilizando la utilidad de línea de comandos SCWCMD con la opción TRANSFORM (SCWCMD TRANSFORM). Se especificará por parámetros el nombre del fichero XML de la política SCW, así como el nombre de la GPO deseado. Al ejecutar SCWCMD TRANSFORM se creará dicha Política de Directorio Activo (GPO), por lo que será necesario conectarse a Directorio Activo para enlazar (link) dicha GPO con la o las Unidades Organizativas (OUs) de Directorio Activo en que se desee aplicar dichas configuraciones. La ejecución de SCWCMD TRANSFORM debe realizarse con un usuario Administrador del Dominio.
- Las configuraciones de IIS no se puede aplicar a través de GPO, y las configuraciones de Windows Firewall deben transformarse desde un equipo con Windows Firewall activado. En caso contrario, el intento de ejecución de SCWCMD, implicará que su ejecución no finalice con éxito y no se cree la GPO.
A modo de ejemplo, si deseamos crear una nueva GPO denominada prueba, desde un fichero XML de SCW denominado prueba.xml, deberíamos ejecutar:
scwcmd transform /p:prueba.xml /g:prueba |
|
|
|
