Protección de un nuevo servidor de Windows
Cuando trabaje con un nuevo Windows Server, protegerlo contra atacantes es una de las primeras cosas que querrá hacer. Una configuración predeterminada de Windows Server no está inherentemente bloqueada y deja una protección importante abierta y accesible para los piratas informáticos. ¡Echemos un vistazo a cómo podemos proteger nuestro servidor web!
Cambiar el puerto RDP del valor predeterminado
De manera predeterminada, el acceso RDP a su servidor está abierto en el puerto 3389. Este es un puerto ampliamente utilizado para RDP y es la configuración predeterminada en la mayoría de los servidores y computadoras de Windows por igual. Debido a que este puerto es una configuración predeterminada en muchos sistemas, los piratas informáticos intentarán atacar RDP en este puerto para cualquier computadora conectada a Internet utilizando programas automatizados, para probar miles de combinaciones de contraseñas contra su servidor.
Una de las cosas más fáciles que podemos hacer para proteger nuestro servidor es cambiar este puerto predeterminado de 3389 a otro puerto no utilizado que sea menos probable que sea atacado aleatoriamente por atacantes. Podemos usar este registro para hacer este cambio necesario.
Para comenzar, abra su menú Inicio e ingrese regedit para abrir el Editor del Registro.
Navegue a la siguiente subclave, ubicada en HKEY_LOCAL_MACHINESystemCurrentControlSetControlTerminal ServerWinStationsRDP-TcpPortNumber.
Abra la subclave haciendo doble clic y cambie el Tipo base de Hexadecimal a Decimal.
Simplemente cambie este valor del puerto predeterminado de 3389 a su puerto deseado, no utilizado. Por ejemplo, 3301. Una vez guardado, debe reiniciar su servidor para que se realicen los cambios.
Este simple cambio puede ralentizar y evitar cientos o miles de posibles ataques a su servidor. Si el atacante no conoce su puerto RDP, o si es un puerto inusual que normalmente no probaría, no puede intentar iniciar sesión en su servidor y puede salvar sus sistemas de ataques exitosos de fuerza bruta.
Esto nos lleva al siguiente punto, actualizar el sistema y las contraseñas de los usuarios.
Actualización de contraseñas, creación de usuarios y desactivación de cuentas predeterminadas
Otra forma sencilla de proteger su servidor contra los atacantes es asegurarse de haber actualizado todas las contraseñas del sistema a credenciales sólidas que no sean las predeterminadas y deshabilitar o cambiar los nombres de usuario predeterminados.
Ahora, con Windows Server, no hay contraseñas de usuario predeterminadas, ya que las establece al configurar su sistema operativo. Pero si su servidor o el administrador del servidor aún utiliza el usuario Administrador predeterminado, lo mejor para usted es crear una contraseña segura o, mejor aún, crear un nuevo usuario y deshabilitar el usuario Administrador predeterminado.
Al igual que los ataques automatizados contra RDP, los atacantes utilizarán software mediante programación para adivinar las contraseñas de los usuarios predeterminados. Uno de los usuarios predeterminados para Windows Server es el usuario Administrador.
Veamos cómo podemos crear un nuevo usuario administrativo, actualizar esta contraseña a algo realmente fuerte y deshabilitar la cuenta de administrador predeterminada.
Para comenzar, navegue hasta el menú de administración de cuentas y usuarios locales buscando en su computadora lusrmgr.msc.
Seleccione el grupo Usuarios en el panel de acciones de la izquierda y haga clic con el botón derecho en nuestro panel de acciones principal para crear un Nuevo usuario.
Su nuevo nombre de usuario debe ser algo único e inesperado para un usuario administrativo. Los piratas informáticos adivinarán fácilmente los nombres de usuario típicos, como itadmin, support o simplemente admin, y los atacarán mediante programación por ser nombres de usuario administrativos comunes. Sugiero mezclar el nombre de su empresa con el nombre de usuario, o proporcionar cuentas administrativas a usuarios específicos que las necesiten, para proporcionar un nombre único que sea difícil de adivinar para un atacante. Además, su contraseña debe tener más de 12 caracteres, incluida una combinación de letras, números, símbolos y mayúsculas y minúsculas.
Una vez que haya ingresado la información deseada, seleccione Crear para crear el nuevo usuario. Ahora, busque su nuevo usuario en el grupo Usuario, haga clic derecho y vaya a Propiedades.
Vaya a la pestaña Miembro de para que podamos agregar nuestro nuevo usuario al grupo Administradores.
Haz clic en Añadir en la parte inferior del menú. Ingrese Administradores en Ingrese los nombres de objeto para seleccionar y haga clic en Verificar nombres.
Se identificará y mostrará el grupo de administradores completo. Si está utilizando Active Directory, puede ingresar su dominio y nombre de usuario para el grupo de administradores.
Seleccione Aceptar y podemos ver que nuestro usuario se agrega al grupo de usuarios administradores. Haga clic en Aceptar para volver al administrador de Usuarios y grupos locales.
Ahora que hemos creado nuestro nuevo usuario administrador, con una contraseña segura y un nombre de usuario difícil de adivinar, podemos deshabilitar completamente nuestro usuario administrador original.
Para hacer esto, haga clic con el botón derecho en Administrador, vaya a Propiedades y marque La cuenta está deshabilitada. ¡Haz clic en aplicar!
¡Felicidades! Ahora ha creado un nuevo usuario administrador y ha deshabilitado la cuenta de administrador predeterminada. Entre el usuario predeterminado deshabilitado y nuestro puerto RDP predeterminado modificado, nuestro servidor ya es más seguro que nunca contra ataques automáticos.
¡Pero esto todavía es solo el comienzo! Siga un proceso similar en cualquier software o servicio de terceros que utilice su servidor. Puede actualizar los nombres de usuario y contraseñas predeterminados para servidores SQL, paneles de control y cualquier otro servicio accesible por Internet para garantizar la seguridad de su servidor Windows.
Creación de reglas de firewall seguras y bloqueo de conexiones entrantes
Una parte importante de la seguridad del servidor es crear reglas sólidas de firewall para evitar que ocurran malas conexiones en primer lugar.
En la mayoría de las circunstancias, los cortafuegos deben configurarse para bloquear todas las conexiones entrantes a menos que se especifique lo contrario. Esto le brinda la mayor seguridad posible, ya que está bloqueando todo, excepto ciertos puertos y servicios que ha configurado manualmente para permitir.
Si bien no podemos determinar exactamente qué puertos y servicios se están utilizando en su servidor, puede usar este artículo proporcionado para ayudar a configurar la configuración avanzada de su firewall.
Lo más importante es asegurarse de que todas las conexiones entrantes estén bloqueadas a menos que se haga una excepción con una nueva regla de firewall. Esta es una configuración predeterminada para Windows Server, ¡pero vale la pena verificarla en su servidor!
Los puertos comunes que pueden ser necesarios para su servidor web incluyen el puerto TCP 80 (https), 443 (ssl), 1433 (MSSQL), 3306 (MySQL) y 3389 (RDP).
Todas las reglas creadas en el firewall deben ser para direcciones IP remotas específicas cuando corresponda, en lugar de estar abiertas a Internet en su totalidad. Es posible que no sea necesario acceder a servicios como SQL a través de Internet en general y es posible que solo sea necesario acceder a ellos mediante un único servidor o dirección IP. Vale la pena tomarse un tiempo adicional para asegurarse de que el acceso remoto a cualquier puerto o servicio esté limitado a las direcciones que absolutamente necesitan acceso, de lo contrario, estamos abriendo nuestro servidor a posibles ataques, exploits e intentos de fuerza bruta.
Recuerde, siempre puede bloquear un puerto y volver a abrirlo si causa problemas o necesita acceso remoto adicional. Asegurar nuestro servidor de esta manera, al abrir solo los servicios necesarios, contribuirá en gran medida a proteger nuestros datos y credenciales importantes.
Instalación de una protección antivirus sólida y actualizada
Otra excelente manera de proteger nuestros servidores de los atacantes es implementar una protección antivirus y antispam sólida y segura.
El software antivirus adecuado evitará que se ejecuten ejecutables maliciosos en su servidor, en caso de que se descarguen o logren llegar a sus sistemas. El antivirus, o software AV, debe ser una prioridad y vale la pena gastar el dinero extra para obtener un buen servicio que lo proteja de las amenazas más recientes.
El software AV debe actualizarse y parchearse con frecuencia, ya que diariamente surgen nuevas amenazas. Además, la incorporación de la protección contra correo no deseado puede ayudar a evitar que un usuario de su organización reciba archivos maliciosos. Esto ayuda a bloquear mensajes potencialmente dañinos para que no lleguen a las bandejas de entrada, lo que reduce la posibilidad de que un usuario desprevenido abra o ejecute dicho archivo.
La incorporación de software de detección y bloqueo de fuerza bruta también puede detener a los piratas informáticos. El software de detección de fuerza bruta puede detectar intentos de inicio de sesión fallidos contra RDP, SQL y otros servicios y bloquear direcciones remotas después de varios intentos fallidos. A menudo, estas aplicaciones bloquearán una dirección IP durante un período de tiempo determinado después de, por ejemplo, 5 intentos de inicio de sesión incorrectos. De esa manera, si un usuario malintencionado intenta atacar su servidor, será identificado y bloqueado rápida y automáticamente.
Si un usuario legítimo de su organización es bloqueado, siempre podrá incluir en la lista blanca las direcciones IP o los usuarios seleccionados para permitirles el acceso.
Proteger su servidor: cubriendo los conceptos básicos
Si bien estas son solo algunas de las formas en que podemos y necesitamos proteger nuestros servidores, estos son, con mucho, los elementos más importantes que debemos implementar primero. Estas sencillas pautas seguramente protegerán su servidor de una manera que no sería posible si no estuvieran incorporadas.
La seguridad es un trabajo 24/7 365 y los piratas informáticos siempre están listos y ejecutando ataques. Podemos usar software automatizado y reglas de entrada sólidas para reducir la cantidad de ataques que ingresan al servidor y disminuir la posibilidad de que un compromiso tenga éxito.
Entre sólidas credenciales RDP, nombres de usuario y contraseñas no predeterminados, sólidas reglas de firewall y software antivirus actualizado, está bien encaminado para proteger los datos y servicios confidenciales de los atacantes de todo el mundo.