¿Cómo mejorar la seguridad de Windows Server 2022 para administradores?

Windows Server 2022
Windows Server 2022

Las amenazas emergentes siguen apuntando al ecosistema de Windows, pero existen múltiples métodos para hacer más difícil ser víctima de un intento de hackeo malicioso, por ello, Microsoft ha aumentado las capacidades de seguridad de Windows Server 2022 para mantener protegido este importante componente de la infraestructura.

El lanzamiento de Windows Server 2022 introdujo varias mejoras de seguridad importantes. Si bien no hay ningún dictamen que establezca que las organizaciones deben actualizarlo antes de que finalice el soporte para las versiones anteriores de Windows Server, es una buena idea considerar una migración a Windows Server 2022, en particular para la infraestructura crítica, como los controladores de dominio.

Una actualización de Windows Server 2022 aporta la ventaja de las características de seguridad que no existen en las versiones anteriores de Windows Server. Dada la naturaleza sensible de los controladores de dominio y otros componentes de la infraestructura en el centro de datos, tiene sentido endurecer esos servidores en la mayor medida posible utilizando el sistema operativo de servidor más reciente de Microsoft.

Mejoras en la seguridad básica de Windows Server

Una de las herramientas que se ofrece a los administradores para reforzar el entorno Windows es el kit de herramientas de cumplimiento de seguridad de Microsoft, que contiene la línea de base de seguridad de Windows Server 2022, que consiste en objetos de directiva de grupo (GPO) configurados de acuerdo con las mejores prácticas recomendadas por Microsoft. El kit de herramientas incluye una utilidad de visualización de políticas para comparar la configuración de un sistema con la configuración de seguridad de referencia.

El kit de herramientas de cumplimiento de seguridad de Microsoft no es una herramienta nueva, pero Microsoft ha realizado algunos cambios en las líneas de base para Windows Server 2022. Por ejemplo, la lista de restricciones del navegador del controlador de dominio muestra Internet Explorer porque Edge es el navegador recomendado por Microsoft.

Del mismo modo, la línea de base de seguridad de Windows Server 2022 ahora trata el escaneo de scripts como una mejor práctica de seguridad. Microsoft también ha convertido en una práctica recomendada que sólo los administradores puedan instalar controladores de impresión.

Introducción a las líneas básicas de seguridad de Windows Server 2022

Para empezar, tendrá que visitar la página de Microsoft Security Compliance Toolkit y descargar el Analizador de políticas y la línea de base de seguridad de Windows Server 2022 como archivos .zip que tendrá que extraer.

Para comparar un sistema Windows Server 2022 con la línea de base de seguridad, ejecute el archivo PolicyAnalyzer.exe. Una vez que se abra la interfaz, haga clic en el botón Añadir y siga las indicaciones para abrir el Importador de archivos de políticas. Ahora, seleccione la opción Add Files From GPOs del menú File, como se muestra en la Figura 1.

Mejorar la Seguridad de Windows Server 2022
Figura 1.

El Importador de Archivos de Políticas mostrará ahora los GPOs disponibles, como se muestra en la Figura 2. Los GPOs son específicos para cada función. Por ejemplo, hay GPOs para un propósito general, pero hay diferentes GPOs para los controladores de dominio, que necesitan ser reforzados en mayor grado que los servidores básicos.

Aumentar la seguridad de Windows Server 2022
Figura 2.

Elija el archivo de política que desee utilizar y, a continuación, haga clic en el botón Importar. Cuando se le solicite, guarde el GPO importado como un archivo de reglas de política. Si desea comparar la línea de base con el estado actual de un servidor, haga clic en el botón Ver/Comparar. Esto abre el Visor de Políticas para comparar la línea de base con el estado efectivo del sistema, como se muestra en la Figura 3.

Visor de Politicas
Figura 3.

Comparación

Durante su prueba de comparación, el Analizador de Políticas resaltará las diferencias entre la línea base de seguridad y los GPOs del sistema actual. La herramienta también comprobará si hay configuraciones innecesarias o conflictivas. Los administradores pueden exportar sus resultados en formato Excel y hacer una instantánea para comprobar las modificaciones en otro momento.

¿Qué herramientas pueden ayudar a reforzar la seguridad de Windows Server 2022?

Microsoft introdujo varias características de seguridad en Windows Server 2022, entre ellas las siguientes:

  • Servidor de núcleo seguro. Windows Server 2022 admite el uso de hardware de núcleo seguro, que almacena las claves criptográficas dentro de la CPU en lugar de en un chip de módulo de plataforma de confianza (TPM) independiente. Esto mejora en gran medida la seguridad de las claves al hacer mucho más difícil el acceso a ellas, incluso si un atacante tiene la posesión física de la máquina.
  • Raíz de confianza de hardware. Windows Server 2022 utiliza TPM 2.0 en la placa base o en los procesadores más nuevos para implementar su función de arranque seguro para comprobar si hay código no autorizado antes de cargar el sistema operativo.
  • Protección del firmware. Tradicionalmente, el software antimalware no puede analizar el firmware del sistema. Si un servidor está equipado con un procesador de núcleo seguro, puede verificar el proceso de arranque a través de la raíz de confianza dinámica para la tecnología de medición. También es posible aislar los controladores mediante la protección de acceso directo a la memoria.
  • Arranque seguro UEFI. Con esta función, el sistema sólo arrancará los archivos del firmware y del sistema operativo que sean de confianza del fabricante del servidor para protegerse de los ataques de rootkit.

Otras características

  • Seguridad basada en la virtualización. Esta función de seguridad almacena las credenciales y las claves en un contenedor seguro al que el sistema operativo no puede acceder directamente para evitar una brecha en caso de ataque de malware.
  • HTTPS y Transport Layer Security (TLS) 1.3 habilitados por defecto. Microsoft habilitó HTTPS y TLS 1.3 por defecto en Windows Server 2022 para reemplazar protocolos más antiguos y menos seguros. Es posible que los administradores tengan que configurar las aplicaciones o los servicios para utilizarlo.
  • DNS seguro. Esta característica, también conocida como DNS-sobre-HTTPS, cifra las consultas DNS para mejorar la privacidad asegurando el tráfico para evitar las escuchas en la red.
  • Cifrado SMB Este-Oeste. Esta función codifica las comunicaciones dentro de los clusters de Storage Spaces Direct para proteger la transferencia de datos entre servidores.
  • Cifrado SMB Direct y RDMA. La función SMB Direct para transferencias de alta velocidad en servidores de archivos ahora admite el cifrado. Esta realiza el cifrado antes de la colocación de los datos para obtener un rendimiento mucho mayor en comparación con las manifestaciones anteriores de esta tecnología.
  • SMB sobre QUIC. Esta característica, combinada con TLS 1.3, utiliza un protocolo de transporte relativamente nuevo para que se pueda acceder a los datos de forma segura sin necesidad de una VPN. Esta característica sólo está disponible en Windows Server 2022 Datacenter Azure Edition.

Mejores prácticas de endurecimiento de la seguridad de Windows Server 2022

Cuando se asegura un Windows Server, es importante recordar que hay que practicar la defensa en profundidad. La idea detrás de este concepto es que ningún mecanismo de seguridad está exento de debilidades, por lo que es mejor crear un enfoque en capas que utilice una variedad de características de seguridad.

El kit de herramientas de cumplimiento de la seguridad ayuda a comprobar la configuración del sistema, pero hay algunas acciones adicionales que los administradores deberían investigar para lograr una mayor seguridad del servidor.

Por ejemplo, se puede considerar el uso de la administración justa y las políticas de aislamiento de dominio. Siempre que sea posible, también es una buena idea configurar los servidores Windows para que se ejecuten en modo de núcleo de servidor.

Por último, cada Servidor Windows debería estar dedicado a un propósito específico. Ejecutar múltiples roles o aplicaciones en un solo servidor puede causar elevaciones de permisos no intencionadas que pueden comprometer su seguridad.

¿Tienes alguna consulta?

Si estás interesado en el programa de MS Office, en nuestra tienda virtual podrás encontrar todas las versiones que tenemos disponible. Ofrecemos las mejores licencias de productos de cualquier tipo de sistema operativo. Si es Windows/Office o Antivirus, lo tenemos todo al MEJOR precio garantizado del mercado.

Si necesitas más ayuda, no dudes en comunicarte con nuestro equipo de atención al cliente. 

Escríbenos un comentario o llámanos.

Un Saludo,

Tu equipo de Licendi