Windows 2003 Service Pack 1 tiene algunas diferencias en comparación con los Service Pack que Microsoft libera, regularmente un Service Pack (SP) solo incluía actualizaciones de seguridad y correcciones a fallas en los equipos Windows mejor conocidos como hotfixes, este SP al igual que el SP2 de Windows XP, tiene agregados de funcionalidad con lo cual se pretende aumentar la seguridad y la funcionalidad de los equipos con Windows 2003. El objetivo principal de publicar un Service Pack es reducir los tiempos que los usuarios dedican a la instalación de actualizaciones y correcciones mediante un empaquetado que contenga todas las actualizaciones de seguridad, correcciones a problemas del Sistema operativo, compatibilidad de programas, entre otros.

El SP1 de Windows Server 2003 se caracteriza por tener actualizaciones y nuevas funcionalidades.

Entre las actualizaciones que incluye este SP1 destacan las realizadas a Internet Explorer, y Outlook Express. Las que corrige a IE son problemas de descarga de código malicioso y el redireccionamiento a sitios Web maliciosos. En cuanto a Outlook se refiere, se corrige la visualización de correo en html y se coloca la opción de visualización en formato de texto.

Hay varias mejoras con SP1 entre las que destacan:

• Soporte para hardware de no ejecución de código desde la memoria. El hardware compatible con este tipo de tecnología es soportado por Windows Server 2003. La protección de hardware DEP marca no ejecutable todos los datos de la memoria a menos que cierta posición de memoria contenga explícitamente un código ejecutable. Esta protección evita los ataques que ingresan datos en memoria y los ejecutan desde posiciones no ejecutables.


• Auditoria de la metabase de IIS 6.0. Con esta nueva característica se puede auditar los cambios en caso de que la metabase se vea comprometida. Esta auditoria se activa con Auditar el acceso a objetos en las políticas de seguridad.

También el SP1 de Windows Server 2003 ofrece nuevas funcionalidades con las cuales se puede mejorar la seguridad de los equipos, esta son:

• Firewall de Windows. Es similar al firewall de Windows XP, la diferencia principal del de XP con 2003 es que este último viene desactivado de forma predeterminada, por lo que se debe activar. Este firewall remplaza al Internet Connection Firewall (ICF). Entre las cosas que se pueden hacer con el firewall de Windows se encuentran: las excepciones para puertos y programas, se puede seleccionar el tipo de trafico ICMP.


• Post-Setup Security Updates (PSSU). Los servidores son vulnerables durante el tiempo que transcurre entre el comienzo de la instalación y la aplicación de las últimas actualizaciones de seguridad. Para responder a esto, Microsoft Server 2003 con Service Pack 1 utiliza el Firewall de Windows para bloquear todas las conexiones entrantes al servidor después de la instalación, hasta que Windows Update distribuya las actualizaciones de seguridad más recientes a nuevo equipo. Después de la actualización, el Firewall de Windows se desactiva hasta que se configure para las funciones del servidor. PSSU también guía a los usuarios a través de la configuración inmediata de Actualizaciones Automáticas.


• Security Configuration Wizard (SCW). SCW es un asistente que configura la seguridad del servidor basándose en las funciones actuales de los servidores. SCW formula preguntas acerca de dichos roles, y, a continuación, para todos los servicios que no sean necesarios para ejecutar dichas funciones. SCW no añade funciones pero sí configura el servidor en función de las tareas que realice. Esta nueva funcionalidad, cuya función consiste en cerrar las puertas que no se utilicen, ayuda a reducir la superficie de ataque de Windows Server 2003.

3.1 Tipos de instalación

El SP1 de Windows Server 2003 esta disponible en dos versiones; tanto para 32-bit como para 64-bit (Itanium).

Existen diferentes métodos para realizar la instalación de este SP1 entre las que se encuentran:

• Usando el archivo fuente para realizar una instalación individual. Para esto necesitamos:
• Bajar el archivo ejecutable WindowsServer2003-KB889101-SP1-x86-XXX.exe del sitio de Microsoft, donde XXX es el lenguaje en el que se encuentra el SP1.
• CDROM con el SP1, desde el cual podremos realizar la instalación.
• Los archivos de instalación en un recurso compartido.
• Mediante Systems Management Server (SMS) se puede realizar una instalación del SP1 en todos los servidores ejecutando Windows Server 2003. Para realizar esto necesitas tener SMS 2.0 con SP5, SMS 2003 o SMS 2003 con SP1.
• Usando Windows Installer y Políticas de Grupo. Mediante esta opción necesitamos descomprimir el SP1 para poder instalarlo usando esta técnica.
• Integrando el SP1 de Windows Server 2003. En este método lo que se busca es integrar el SP1 a los archivos de instalación de Windows Server 2003. Para realizar esto se requiere de la opción /integrate del SP1 y la ruta donde se encuentren los archivos de instalación de 2003, lo que ser realiza es una combinación y actualización de los archivos.

3.2 Instalación

A continuación realizaremos una instalación del SP1 con el archivo que se obtuvo de la página de Microsoft.

1. Primero se obtiene el SP1 del Sitio de Microsoft en:

http://www.microsoft.com/windowsserver2003/downloads/servicepacks/sp1/default.mspx

2. Ejecutamos el archivo WindowsServer2003-KB889101-SP1-x86-ENU.exe obtenido desde el menú ejecutar.

 

3. Con lo anterior inicia la extracción de los archivos del SP1.

 

4. A continuación aparecerá la ventana de bienvenida, la cual nos dará algunas recomendaciones, seleccionar next.

5. Aparecerá el contrato de licencia en el cual se deberá de seleccionar "I Agree" en caso de desear continuar la instalación.

6. La instalación crea una copia de seguridad de los archivos del sistema. De esta forma se podrá desinstalar el SP en caso de ser necesario.

7. Con lo anterior iniciará la instalación del SP1 de Windows Server 2003.

8. Al finalizar la instalación el sistema requerirá ser reiniciado para poder aplicar los cambios realizados. Con lo cual se finalizaría el proceso de instalación del SP1. Además tendremos la opción de no reiniciar el sistema en esos momentos.

 

Con la instalación del SP1 se agregan nuevas políticas para realizar un mayor control en Internet Explorer. Además de otras para controlar algunas aplicaciones y servicios.

Este es una de las mejoras de SP1 con este se soporta tanto en software como en hardware la DEP o Prevención de ejecución de datos en memoria, la cual es un conjunto de herramientas de hardware y software destinadas a proteger la ejecución de datos maliciosos en memoria.

La protección de software que incorpora Windows Server 2003 SP1 esta diseñada para dar soporte tanto a la protección de hardware de DEP como a los procesadores que no la poseen. De esta manera se logra una protección por software de las ejecuciones de datos en memoria y la minimización del riesgo.

La ventaja principal de DEP es que ayuda a evitar que se ejecute código desde páginas de datos como la zona de variables dinámicas de forma predeterminada, algunas pilas y pools de memoria. En las operaciones normales del sistema, el código no suele ejecutarse desde la zona de variables dinámicas y la pila por defecto. DEP mediante hardware detecta el código que se ejecuta desde dichas ubicaciones y lanza una excepción cuando se produce dicha ejecución. Si la excepción es no administrada, el proceso se terminará. La ejecución de código desde memoria protegida en modo kernel provocará un error.

DEP puede ayudar a mitigar un tipo de exploits de seguridad. Concretamente, es capaz de evitar que el exploit en el que un virus u otro tipo de ataque haya inyectado un proceso con código adicional logre ejecutar el código inyectado. En un sistema con DEP, la ejecución del código inyectado daría lugar a una excepción. DEP mediante software puede ayudar a mitigar los exploits de mecanismos de gestión de excepciones en Windows.

Otra ventaja de DEP es que permite a los desarrolladores de aplicaciones y de drivers utilizar las mejores prácticas de ingeniería y los métodos óptimos. De hecho, DEP obliga a los desarrolladores a evitar que se ejecute código fuera de las páginas de datos, salvo cuando dichas páginas se marquen explícitamente como ejecutables.

Se puede realizar una configuración de DEP en Propiedades del sistema --> Avanzados --> Prevención de ejecución de datos. En esta pestaña se puede realizar una selección de aplicaciones o servicios a los que se desea que no se les aplique el DEP o aplicar esta solo para programas y servicios esenciales de Windows.

La mayoría de las aplicaciones no presentan un problema en su funcionamiento normal que haga que DEP las cierre, pero si llegara a ocurrir una excepción entonces se presentara un mensaje de prevención al usuario alertándolo del problema.

Al igual que con el SP2 de Windows XP, Windows Server 2003 SP 1 tiene un firewall agregado, el cual es el sucesor del Internet Conection Firewall. Con el Firewall de Windows ahora no solo se pueden seleccionar puertos autorizados para el ingreso de información, también se puede seleccionar aplicaciones, lo cual nos permite tener un mayor control en nuestros servidores.

La gran diferencia entre el firewall de Windows XP y el 2003 radica en que este último viene deshabilitado de forma predeterminada. El servicio se deberá iniciarse manualmente desde la consola de Windows Firewall en el Panel de Control.

Como firewall personal, el Firewall de Windows inspecciona y filtra el tráfico TCP/IP versión 4 (IPv4) y TCP/IP versión 6 (IPv6), además de poder especificar excepciones con las cuales se permite el tráfico a determinadas aplicaciones y puertos.

Otro cambio importante en éste servicio, es que ahora las configuraciones son globales. Esto significa, por ejemplo, que si tenemos un equipo conectado por teléfono y varios ISP; en todos los casos se establece la misma configuración para cualquiera de las conexiones.

También podemos cambiar las configuraciones por cada una de las conexiones o desactivar el firewall para una de ellas. Todo esto en la pestaña de Avanzado de la consola del Windows Firewall.

Otra ventaja es la posibilidad de hacer un log de las conexiones exitosas, como así también de los paquetes rechazados por Windows Firewall. Permitiendo de esta forma analizar la conectividad de servidor. La cual puede observarse o modificarse la configuración en la pestaña de Avanzado de la consola de Windows Firewall.

Windows Firewall nos permite realizar configuraciones específicas para las excepciones y de esta forma establecer el alcance de las mismas.

A través de esta configuración de excepciones podremos, por ejemplo, habilitar una determinada aplicación para que acceda hasta un cierto alcance fuera del equipo. Un ejemplo sería una aplicación de utilización interna de la organización y que no debería comunicarse mediante Internet, provocando que la aplicación funcione, pero no tenga más permiso del necesario.

También ésta configuración de alcance está disponible para los servicios que brinde nuestro servidor. A modo de ejemplo podríamos forzar a que el servicio de compartir archivos e impresora, sea sólo local, restringiendo el acceso desde más allá de la red local.

Las excepciones pueden ser configuradas con varios alcances, tal como:

• Cualquier equipo incluyendo los del Internet.
• Solo los equipos de mi red.
• Lista de direcciones de redes.

De ésta manera podemos permitir que una aplicación, que actúa también como servicio esté habilitada.

Existen 5 formas de establecer excepciones:

1. Programado: Este es el método recomendado para los ISV (Vendedores de Software Independientes) debido a que permite en el momento de la instalación del producto establecer las excepciones de la aplicación que se está instalando.
2. Línea de comando: Este método es el elegido por los Administradores de IT puesto que es posible generar scripts que realicen la configuración del servicio. Este método esta disponible tanto para Windows XP SP2 como para Windows Server 2003 SP1.
3. GPOs: Con la instalación de Windows Server 2003 SP1 se habilitan las políticas para establecer la configuración tanto de los Windows XP SP2 como de Windows Server 2003 SP1.
4. En el mensaje de notificación de Windows Firewall: Si disponemos de permisos de Administrador y una aplicación intenta establecer la escucha en un puerto TCP, se abrirá un mensaje de advertencia en el equipo. Este nos permitirá desbloquear dicha aplicación/puerto, bloquearlo, o no dejar a la aplicación ponerse a la escucha y volver a preguntar si vuelve a ocurrir esto.





 

5. Configuración manual: En la consola de configuración de Windows Firewall seleccionar la aplicación y establecer los permisos.

Finalmente con el SP1 de 2003 se puede configurar el Firewall de Windows a través de GPOs. El control solo se puede realizar en equipos con Windows XP con SP2 y Windows Server 2003 con SP1.

Este asistente pos instalación sólo estará disponible en las instalaciones nuevas del producto Windows Server 2003 con el Service Pack 1 incluido en la fuente de instalación. También estará disponible en las instalaciones de actualización desde Windows NT Server, mas no así en las de Windows 2000/2003.

PSSU no aparecerá cuando el servidor esté siendo actualizado desde los siguientes sistemas operativos:

• De Windows 2000 a Windows Server 2003 con Service Pack 1
• De Windows Server 2003 a Windows Server 2003 con Service Pack 1

El asistente pos instalación limitará el tráfico entrante al servidor desde el inicio de la instalación y hasta la conclusión del asistente, esto será cuando el usuario finalice el asistente. Esto lo realizará con la ayuda del Firewall de Windows el cual se habilitara durante una nueva instalación de Windows Server 2003 que incluya SP1. Con esto se evitará que el equipo se contagie con un gusano que este en el Internet como Blaster.

De forma tal de asegurarnos que en el servidor no podrá haber posibilidad de que un troyano o virus ingrese al mismo, hasta tanto no hayamos bajado desde Windows Update, con lo cuál para realizar este asistente necesitamos conexión a Internet.

Esta ventana de actualización nos permitirá bajar desde la Web las últimas actualizaciones de seguridad. Esta ventana aparecerá al iniciar por primera vez el equipo después de realizar una instalación de Windows 2003 con SP1.

Al seleccionar Actualizar este servidor se nos abrirá la página de Windows Update para realizar la actualización y paso posterior estableceremos las actualizaciones automáticas en el mismo.

Al cerrar el asistente nos mostrará un mensaje el cual nos advertirá que cuando se cierre ese mensaje se permitirán las conexiones entrantes a ese servidor. Por lo que se recomienda verificar si ya se tiene todas las actualizaciones de seguridad.

Finalmente habría que mencionar que se deben de configurar las actualizaciones automáticas, con lo cual se podrá verificar si existe alguna actualización importante al sistema operativo. Esto se puede realizar en Propiedades del Sistema en la pestaña de Actualizaciones Automáticas.

El Asistente de Configuración de Seguridad (SCW) es una herramienta que te permite reducir la superficie de ataque del servidor Windows 2003 con SP1. SCW determina la funcionalidad mínima requerida para una determinada funcionalidad del servidor o deshabilita funcionalidades que no son requeridas para el servidor. Entre las funcionalidades que podemos encontrar esta la de Controlador de Dominio, DHCP, WINS, DNS, Servidor de aplicaciones, servidor de archivos, Microsoft Exchange, Servidor de impresión, entre otros.

Por lo que el asistente de configuración de seguridad realiza:

• Deshabilita servicios no necesarios.
• Deshabilita extensiones Web del Internet Information Services (IIS).
• Bloquea puertas sin usar.
• Soporta escenarios de direcciones múltiples de servidor.
• Abre puertos seguros mediante el uso de Internet Protocol Security (IPSec).
• Reduce la exposición de los protocolos LDAP, NTLM y SMB.
• Importa plantilla de seguridad de Windows para configuraciones de aplicaciones que no son configuradas por el asistente.
• Puede realizar análisis de equipos remotamente.
• No instala componentes o inicia servicios para realizar determinadas funciones.

Este asistente no está instalado en forma predeterminada, sino que hay que incluirlo desde los componentes de Windows en el Panel de control -> Agregar o quitar programas--> Agregar o quitar componentes de Windows. En el asistente de componentes de Windows buscamos Asistente de configuración de seguridad y seleccionamos siguiente. Con lo cual terminaremos la instalación de esta herramienta.

Ya instalada la herramienta esta puede encontrarse en Herramientas administrativas --> Asistente para la configuración de seguridad.

Este asistente en forma muy completa, nos guiará en el proceso de configuración que comienza la ventana de bienvenida.

A continuación nos mostrara la ventana de Acciones de configuración, dicha ventana nos permitirá realizar las siguientes operaciones.

• Crear una nueva política de seguridad: Con la posibilidad luego de guardarla en un archivo "XML" para poder transportarla a otros servidores sin necesidad de completar nuevamente todos los pasos.


• Editar una política de seguridad desde un archivo XML: De esta forma, podemos cambiar una configuración para luego aplicarla en el mismo u otro equipo.


• Aplicar una configuración existente: A través de un archivo XML ya confeccionado establecemos la configuración de seguridad en el equipo en el cuál estamos utilizando el asistente, sin necesidad de especificar paso a paso la configuración.


• Volver al estado anterior de configuración: Muy útil si se ha cometido un error en la aplicación de una política de seguridad. Este paso nos vuelve al último estado antes de la aplicación de la mencionada errónea política de seguridad.

Al elegir crear una nueva política de seguridad veremos la siguiente ventana que nos pedirá el nombre del servidor del cuál queremos establecer la política de seguridad.

Paso siguiente se realizará el análisis de las funciones del servidor basándose en la base de datos que el asistente tiene.

Una vez realizada la verificación de las funciones del servidor se le pedirá al usuario intervención para seleccionar que funciones dejar o cuales quitar del servidor.

Una de las características importantes en esta parte, es la posibilidad de analizar en forma más específica cada uno de los roles y una breve descripción de su funcionalidad y servicios asociados.

Luego de la selección de las funciones que dejaremos y cuales quitaremos del servidor, especificaremos tanto los servicios como los puertos que deseamos dejar abiertos en el servidor.

En estas ventanas estableceremos también en forma avanzada, tanto el alcance de un determinado puerto ó aplicación como también el cifrado u otras opciones de la comunicación.

También mediante este asistente configuraremos las opciones del registro en cuanto a qué sistemas operativos estarán habilitados para conectarse al servidor y los métodos de autentificación que contra él serán aceptados.

Paso siguiente configuraremos las opciones de auditoria del servidor.

Una vez terminada la configuración, guardaremos la misma en un archivo XML si lo deseamos y tendremos también la posibilidad de incluir en él las plantilla de seguridad hasta hoy existentes desde Windows 2000.

Por último elegiremos si deseamos aplicar esta configuración en el momento o luego, a través del archivo guardado XML.

Finalmente el asistente de configuración de seguridad incluye un comando para la línea de comandos el cual es scwcmd.exe, con lo cual se logrará aplicar políticas de seguridad a múltiples máquinas en la organización a través de un script, el cual se puede usar con GPOs.

• Última Actualización y Revisión: 08 de Septiembre de 2005

El Departamento de Seguridad en Computo/UNAM-CERT agradece el apoyo en la elaboración y revisión de este tutorial a:

• Juan López Morales (jlopez@correo.seguridad.unam.mx)

Para mayor información acerca de éste tutorial de seguridad contactar a: