95383198-windows-server-2008
TRANSCRIPT
![Page 1: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/1.jpg)
HARDENING Windows Server En un entorno de granja de servidores, los servidores individuales desempeñan
funciones específicas. Las recomendaciones para el endurecimiento de la seguridad
de estos servidores dependen de la función que desempeña cada uno.
2012
ÁLVAREZ ZAVALA JOSE LUIS; PARRA MARTINEZ JUAN MANUEL Universidad Politécnica de San Luis Potosí
19/05/2012
![Page 2: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/2.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
2
WINDOWS SERVER 2008
HARDENING
En un entorno de granja de servidores, los servidores individuales desempeñan funciones específicas. Las
recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la función que desempeña
cada uno.
Las recomendaciones sobre el endurecimiento de la seguridad del servidor se basan en las recomendaciones
proporcionadas en la siguiente orientación de seguridad enModelos y prácticas de Microsoft :
Protección del servidor web
Protección del servidor de bases de datos
Protección de la red
Estas guías siguen un enfoque metódico para asegurar los servidores para funciones específicas y para asegurar la red de
soporte. También se prescribe el orden en el que se aplican las configuraciones y se instalan las aplicaciones y se endurece
su seguridad, empezando con la aplicación de revisiones y actualizaciones, a continuación endureciendo la seguridad de
la configuración de red y del sistema operativo y, por último, endureciendo la seguridad de aplicaciones específicas. Por
ejemplo, en Protección del servidor web recomienda instalar y endurecer la seguridad de Internet Information Services
(IIS) sólo después de aplicar la revisión y endurecer la seguridad del sistema operativo. Además, esta guía prescribe
instalar Microsoft .NET Framework una vez que IIS esté completamente revisado y su seguridad endurecida.
Comunicación segura con la base de datos de Microsoft SQL Server
Protección del servidor de bases de datos recomienda restringir el acceso a dos puertos de comunicaciones de Microsoft
SQL Server predeterminados: el puerto TCP 1433 y el puerto UDP 1434. Para obtener más información sobre entornos de
granja de servidores seguros, se recomienda realizar lo siguiente:
Bloquear por completo el puerto UDP 1434.
Configurar instancias con nombre de SQL Server para escuchar en un puerto no estándar (distintos de puerto TCP
1433 o el puerto UDP 1434).
Para obtener seguridad adicional, bloquee el puerto TCP 1433 y reasigne el puerto que usa la instancia
predeterminada a un puerto no estándar.
Configure los alias de cliente SQL en todos los servidores cliente web y servidores de aplicaciones en la granja de
servidores. Una vez bloqueados los puertos TCP 1433 o UDP 1434, los alias de cliente SQL son necesarios en todos
los equipos que se comunican con el equipo que ejecuta SQL Server.
Este método proporciona un grado de control mucho mayor sobre la manera en que se implementa y ejecuta SQL Server,
incluida la capacidad de asegurar que sólo los equipos autorizados puedan comunicarse con el equipo que ejecuta SQL
Server.
![Page 3: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/3.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
3
Los pasos para el endurecimiento de la seguridad para la creación de un alias de
cliente SQL deben realizarse antes de instalar Search Server 2008. Cuando ejecute el programa de instalación para Search
Server 2008 y se le pide que escriba el nombre del equipo SQL Server al que va a conectarse, debe escribir el nombre del
alias de cliente SQL.
Bloquear los puertos estándares de SQL Server
Los puertos específicos que se usan para conectarse a SQL Server se ven afectados por el hecho de si las bases de datos
se instalan en una instancia predeterminada de SQL Server o una instancia con nombre de SQL Server. La instancia
predeterminada de SQL Server escucha las solicitudes de clientes en el puerto TCP 1433. Una instancia con nombre de
SQL Server escucha en un número de puerto asignado aleatoriamente. Además, se puede volver a asignar el número de
puerto para una instancia con nombre si reinicia la instancia (según si el número de puerto asignado anteriormente está
disponible).
De forma predeterminada, los equipos cliente que se conectan a SQL Server se conectan primero usando el puerto TCP
1433. Si esta comunicación no tiene éxito, los equipos cliente consultan el servicio de resolución de SQL Server a la
escucha en el puerto UDP 1434 para determinar en qué puertos está escuchando la instancia de base de datos.
El comportamiento predeterminado de comunicación con puertos de SQL Server presenta varios problemas que afectan al
endurecimiento de la seguridad del servidor. En primer lugar, los puertos usados por SQL Server son puertos bien
publicitados y el servicio de resolución de SQL Server ha sido objeto de ataques de desbordamiento del búfer y por
denegación de servicio, incluido el virus de gusano "Slammer". Incluso a pesar de que SQL Server está revisado para
reducir los problemas de seguridad en el servicio de resolución de SQL Server, los puertos bien conocidos siguen siendo
un objetivo. En segundo lugar, si las bases de datos están instaladas en una instancia con nombre de SQL Server, el puerto
de comunicaciones correspondiente se asigna de forma aleatoria y puede cambiar. Este comportamiento puede prevenir
potencialmente la comunicación servidor a servidor en un entorno con seguridad endurecida. La capacidad de controlar
qué puertos TCP están abiertos o bloqueados es necesaria para ayudar a proteger el entorno.
Por lo tanto, la recomendación para una granja de servidores es asignar números de puerto estáticos a instancias con
nombre de SQL Server y bloquear el puerto UDP 1434 para evitar que los atacantes potenciales tengan acceso al servicio
de resolución de SQL Server. Además, considere reasignar el puerto usado por la instancia predeterminada, así como
bloquear el puerto TCP 1433.
Existen varios métodos que se pueden usar para bloquear puertos. Puede bloquear estos puertos mediante un servidor de
seguridad. Sin embargo, a menos que esté seguro de que no hay otras rutas al segmento de red y de que no hay usuarios
malintencionados con acceso al segmento de red, se recomienda bloquear estos puertos directamente en el servidor que
hospeda SQL Server. Esto se puede conseguir usando el Firewall de Windows en el Panel de control.
Configurar instancias de la base de datos de SQL Server para escuchar en un puerto no estándar
SQL Server proporciona la capacidad para reasignar los puertos usados por la instancia predeterminada y cualquier
instancia con nombre. En SQL Server 2000, se reasignan puertos mediante la Herramienta de red de servidor. En
SQL Server 2005, los puertos se reasignan mediante el Administrador de configuración de SQL Server.
![Page 4: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/4.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
4
Configurar alias de cliente SQL
En una granja de servidores, todos los servidores cliente web y los servidores de aplicación son equipos cliente de SQL
Server. Si bloquea el puerto UDP 1434 en el equipo con SQL Server o cambia el puerto predeterminado para la instancia
predeterminada, debe configurar un alias de cliente SQL en todos los servidores que se conectan al equipo con SQL
Server.
Para conectar con una instancia de SQL Server 2000, debe instalar las herramientas del cliente de SQL Server en el equipo
de destino y, a continuación, configurar los alias de cliente SQL, que se instalan mediante la ejecución de Configuración de
SQL Server y la selección de Herramientas de cliente de SQL Server.
Para conectar con una instancia de SQL Server 2005, debe instalar los componentes del cliente de SQL Server en el equipo
de destino y, a continuación, configurar el alias del cliente SQL mediante el Administrador de configuración de SQL Server.
Para instalar los componentes del cliente de SQL Server, ejecute Configuración y seleccione sólo los siguientes elementos
para su instalación:
Componentes de conectividad
Herramientas de administración (incluye el Administrador de configuración de SQL Server)
Componentes cliente de SQL Server que funcionen con SQL Server 2000 y puedan usarse en lugar de las herramientas
cliente de SQL Server.
Pasos para el endurecimiento de la seguridad
Configurar SQL Server
Configurar una instancia de SQL Server 2000 para que escuche en un puerto no predeterminado
Use Herramienta de red de servidor para cambiar el puerto TCP que usa una instancia de SQL Server 2000.
1. En el equipo con SQL Server, ejecute Herramienta de red de servidor.
2. En el menú Instancias en este servidor, seleccione la instancia. Asegúrese de que ha seleccionado la instancia
deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. A las instancias con
nombre de SQL Server 2000 se les asigna a un número de puerto aleatorio. Por lo tanto, es posible que no sepa el
número de puerto actual asignado a una instancia con nombre cuando se ejecuta Herramienta de red de servidor.
3. En el panel Protocolos habilitados en el lado derecho de la interfaz de Herramienta de red de servidor, haga clic
en TCP/IP y, a continuación, en Propiedades.
4. En el cuadro de diálogo Configurar el valor predeterminado del protocolo de red, cambie el número de puerto
TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un número de puerto de un
rango más alto, como 40000. No active la casilla Ocultar servidor.
5. Haga clic en Aceptar.
6. En el cuadro de diálogo Herramienta de red de servidor, haga clic en Aceptar. Recibirá un mensaje que indica
que el cambio no tendrá efecto hasta que se reinicie el servicio SQL Server. Haga clic en Aceptar.
7. Reinicie el servicio SQL Server y confirme que si equipo con SQL Server está escuchando en el puerto que se
seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio SQL
Server. Busque un evento de información similar al siguiente evento:
Tipo del evento:Información
![Page 5: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/5.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
5
Origen del evento:MSSQLSERVER
Categoría del evento:(2)
Id. del evento:17055
Fecha: 6/3/2008
Hora:11:20:28 a.m.
Usuario:N/D
Equipo:nombre_de_equipo
Descripción:
19013:
SQL Server escuchando en 10.1.2.3: 40000
Configuración de una instancia de SQL Server 2005 para que escuche en un puerto no predeterminado
Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una sesión de
SQL Server 2005.
1. Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una sesión de
SQL Server 2005.
2. En el equipo con SQL Server, abra el Administrador de configuración de SQL Server.
3. En el panel izquierdo, expanda Configuración de red de SQL Server 2005.
4. En Configuración de red de SQL Server 2005, haga clic en la entrada correspondiente para la instancia que se va
a configurar. La instancia predeterminada aparece comoProtocolos para MSSQLSERVER. Las instancias con
nombre aparecerán como Protocolos para instancia_con_nombre.
5. En el panel derecho, haga clic con el botón secundario en TCP/IP y, a continuación, haga clic en Propiedades.
6. Haga clic en la ficha Direcciones IP. Para cada dirección IP asignada al equipo con SQL Server, hay una entrada
correspondiente en esta ficha. De forma predeterminada, SQL Server está escuchando en todas las direcciones IP
asignadas al equipo.
7. Para cambiar globalmente el puerto que está escuchando la instancia predeterminada, realice lo siguiente:
a. Para cada IP, excepto IPAll, borre todos los valores para los Puertos TCP dinámicos y el Puerto TCP.
b. Para IPAll, borre el valor de Puertos TCP dinámicos. En el campo Puerto TCP, escriba el puerto que
desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
8. Para cambiar globalmente el puerto que está escuchando una instancia con nombre, realice lo siguiente:
a. Para cada IP, incluida IPAll, borre todos los valores para Puertos TCP dinámicos. Un valor de 0 para este
campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco
para este valor significa que SQL Server 2005 no usará un puerto TCP dinámico para la dirección IP.
b. Para cada IP, excepto IPAll, borre todos los valores para Puerto TCP.
c. Para IPAll, borre el valor de Puertos TCP dinámicos. En el campo Puerto TCP, escriba el puerto que
desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.
9. Haga clic en Aceptar. Recibirá un mensaje que indica que el cambio no tendrá efecto hasta que se reinicie el
servicio SQL Server. Haga clic en Aceptar.
10. Cierre el Administrador de configuración de SQL Server.
![Page 6: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/6.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
6
11. Reinicie el servicio SQL Server y confirme que el equipo con SQL Server
está escuchando en el puerto seleccionado. Puede confirmarlo mirando en el registro del visor de eventos
después de reiniciar el servicio SQL Server. Busque un evento de información similar al siguiente evento:
Tipo del evento:Información
Origen del evento:MSSQL$MSSQLSERVER
Categoría del evento:(2)
Id. del evento:26022
Fecha: 6/3/2008
Hora:13:46:11 a.m.
Usuario:N/D
Equipo:nombre_de_equipo
Descripción:
El servidor está escuchando en [ 'any' <ipv4>50000]
Configuración del Firewall de Windows
Configure el Firewall de Windows para bloquear puertos de escucha predeterminados de SQL
Server
1. En el Panel de control, abra Firewall de Windows.
2. En la ficha General, haga clic en Activado. Asegúrese de que no esté activa la casilla de verificación No permitir
excepciones.
3. En la ficha Excepciones, haga clic en Agregar puerto.
4. En el cuadro de diálogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A
continuación, escriba el número de puerto. Por ejemplo, 1434.
5. Seleccione el botón de opción adecuado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic
en UDP. Para bloquear el puerto 1433, haga clic en TCP.
6. Haga clic en Cambiar ámbito y asegúrese de que el ámbito para esta excepción está configurado en Cualquier
equipo (incluyendo los de Internet).
7. Haga clic en Aceptar.
8. En la ficha Excepciones, localice la excepción que ha creado. Para bloquear el puerto, desactive la casilla para
dicha excepción. De forma predeterminada, esta casilla está activada, lo que significa que el puerto está abierto.
Configuración del Firewall de Windows para abrir manualmente puertos asignados
1. Siga los pasos 1 a 7 en el procedimiento anterior para crear una excepción para el puerto al que asignó
manualmente a una instancia de SQL. Por ejemplo cree una excepción para el puerto TCP 40000.
![Page 7: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/7.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
7
2. En la ficha Excepciones, localice la excepción que ha creado. Asegúrese
de que la casilla de la excepción esté marcada. De forma predeterminada, la casilla está activada, lo que significa
que el puerto está abierto.
Configuración de un alias de cliente SQL
Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo con SQL Server, debe crear un alias de cliente SQL en
los demás equipos de la granja de servidores. Puede usar componentes de clientes de SQL Server para crear alias de
cliente SQL para los equipos que se conectan a SQL Server 2000 SQL Server 2005.
1. Ejecute el programa de instalación para SQL Server 2005 en el equipo de destino y seleccione los siguientes
componentes cliente para instalar:
a. Componentes de conectividad
b. Herramientas de administración
2. Abra el Administrador de configuración de SQL Server.
3. En el panel izquierdo, haga clic en Configuración de SQL Native Client.
4. En el panel de la derecha, haga clic con el botón secundario del mouse (ratón) en Alias y seleccione Nuevo alias.
5. En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para
la instancia de la base de datos. Por ejemplo, escriba SharePoint_alias.
6. En el campo N° de puerto, escriba el número de puerto para la instancia de la base de datos. Por ejemplo, escriba
40000. Asegúrese de que el protocolo está establecido a TCP/IP.
7. En el campo Servidor, escriba el nombre del equipo con SQL Server.
8. Haga clic en Aplicar y, a continuación, en Aceptar.
Pruebe el alias de cliente SQL
Pruebe la conectividad hacia el equipo con SQL Server mediante Microsoft SQL Server Management Studio, que está
disponible mediante la instalación de componentes cliente de SQL Server.
1. Abra SQL Server Management Studio.
2. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que creó y, a continuación, haga
clic en Conectar. Si la conexión es correcta, SQL Server Management Studio se rellena con objetos que
corresponden a la base de datos remota.
3. El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Estas canalizaciones
pueden comunicarse usando protocolos SMB hospedado directamente o NetBIOS sobre TCP/IP (NetBT). Para un
entorno seguro, se recomienda SMB hospedado directamente en lugar de NetBT. Las recomendaciones para el
endurecimiento de la seguridad proporcionadas en este artículo asumen que se usará SMB.
4. En la tabla siguiente se describen los requisitos para el endurecimiento de la seguridad introducidos por la
dependencia en el servicio Compartir archivos e impresoras.
Categoría Requisito Notas
Servicios Compartir
archivos e
impresoras
Requiere el uso de canalizaciones con nombre.
Protocolos Canalizaciones
con nombre
que usan SMB
Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado
directamente. Sin embargo, NBT no se considera tan seguro como SMB
hospedado directamente.
![Page 8: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/8.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
8
hospedado
directamente
Desactivar
NBT
Puertos Puerto
TCP/UDP 445
Usado por SMB hospedado directamente.
Servicios web de Office Server
El servicio web de Office Services lo usa Search Server 2008 como canal de comunicación entre servidores web y
servidores de aplicación. Este servicio usa los siguientes puertos:
TCP 56737
TCP/SSL 56738
Conexiones con servidores externos
Search Server 2008 puede configurarse para tener acceso al contenido que se encuentra en los equipos de los servidores
situados fuera de la granja de servidores. Si configura el acceso a contenido en los servidores externos, asegúrese de
habilitar la comunicación entre los equipos apropiados. En la mayoría de los casos, los puertos, protocolos y servicios que
se usan dependen del recurso externo. Por ejemplo:
Las conexiones a los recursos compartidos de archivos usan el servicio Compartir archivos e impresoras.
Las conexiones a las bases de datos externas de SQL Server usan los puertos predeterminados o personalizados
para la comunicación con SQL Server.
Las conexiones a Oracle usan normalmente OLE DB.
Las conexiones a servicios web usan HTTP y HTTPS.
En la siguiente tabla se incluyen las características que se pueden configurar para tener acceso al contenido que reside en
los equipos de servidores situados fuera de la granja de servidores.
Característica Descripción
Rastreo de
contenido
Puede configurar reglas de rastreo para rastrear contenido que se encuentra en recursos
externos, incluyendo sitios web, recursos compartidos de archivos y carpetas públicas de
Exchange. Al rastrear orígenes de contenido externo, la función índice se comunica
directamente con estos recursos externos.
Servicios de Search Server 2008
No deshabilite servicios instalados por Search Server 2008.
![Page 9: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/9.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
9
Los siguientes servicios están instalados en todos los servidores cliente web y de
aplicaciones y aparecen en el complemento de servicios de Microsoft Management Console (MMC) (orden alfabético):
Office SharePoint Server Search
Administración de Windows SharePoint Services
Windows SharePoint Services Search
Temporizador de Windows SharePoint Services
Seguimiento de Windows SharePoint Services
Escritor de VSS de Windows SharePoint Services
Si el entorno no permite servicios que se ejecutan como un sistema local, puede considerar deshabilitar el servicio de
administración de Windows SharePoint Services sólo si es consciente de las consecuencias y puede resolverlas. Este
servicio es un servicio Win32 que se ejecuta como un servicio local.
El servicio de temporizador de Windows SharePoint Services usa este servicio para realizar acciones que requieren
credenciales de administrador en el servidor, como crear sitios web IIS, implementar código y detener o iniciar servicios. Si
deshabilita este servicio, no podrá ejecutar tareas relacionadas con la implementación desde el sitio de Administración
central. Deberá usar la herramienta de línea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para
completar implementaciones multiservidor para Search Server 2008 y para ejecutar otras tareas relacionadas con la
implementación.
Archivo Web.config
.NET Framework, y ASP.NET en particular, usa archivos de configuración con formato XML para configurar las aplicaciones.
Para definir las opciones de configuración, .NET Framework emplea archivos de configuración, que son archivos XML
basados en texto. En un mismo sistema, es habitual que existan varios archivos de configuración.
En .NET Framework, los parámetros de configuración de todo el sistema están definidos en el archivo Machine.config. Este
archivo se encuentra en la carpeta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. La
configuración predeterminada que se encuentra en el archivo Machine.config se puede modificar para que afecte al
comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones sobre
cómo configurar archivos Machine.config.
Puede cambiar la configuración de ASP.NET para una sola aplicación si crea un archivo Web.config en la carpeta raíz de la
aplicación. Al hacerlo, la configuración en el archivo Web.config reemplaza la configuración en el archivo Machine.config.
Al ampliar una aplicación web mediante Administración central, Search Server 2008 crea automáticamente un archivo
Web.config para la aplicación web.
Protección de las adiciones de instantáneas
Esta sección muestra las adiciones a instantáneas en la orientación de seguridad de modelos y prácticas de Microsoft que
se recomienda para entornos de Search Server 2008. Éstas se detallan en formato de tabla mediante las mismas categorías
y el mismo orden que en las guías de seguridad de modelos y prácticas.
Este formato está destinado a facilitar la determinación y la aplicación de recomendaciones específicas cuando se usan las
guías de seguridad de modelos y prácticas de Microsoft. Salvo algunas excepciones mencionadas, estas recomendaciones
de endurecimiento de la seguridad se deben aplicar antes de ejecutar el programa de instalación para Search Server 2008.
![Page 10: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/10.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
10
Proteger las adiciones de instantáneas de red
En la tabla siguiente se describen las recomendaciones para proteger las adiciones de red.
Componente Excepción de característica
Todo No hay recomendaciones adicionales
Proteger las adiciones de instantánea del servidor web
En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor web.
Componente Característica
Servicios Habilitar:
Compartir archivos e impresoras
Office SharePoint Server Search
Servicio de publicación World Wide Web
Asegúrese de que estos servicios permanecen habilitados tras ejecutar el programa de
instalación:
Office SharePoint Server Search
Administración de Windows SharePoint Services
Búsqueda de Windows SharePoint Services
Temporizador de Windows SharePoint Services
Seguimiento de Windows SharePoint Services
Escritor de VSS de Windows SharePoint Services
Protocolos Habilitar:
SMB
Deshabilitar:
NetBT
Cuentas Si el servicio de administración de directorios de Microsoft está habilitado como parte
de la integración de correo electrónico, configure el entorno de Active Directory para
permitir el acceso de escritura a la cuenta usada por el servicio de administración de
directorios de Microsoft (la cuenta de la granja de servidores).
Uso compartido No hay recomendaciones adicionales
Puertos Abra el puerto TCP/UDP 445.
Abra los puertos TCP 56737 y 56738 para los servicios web de Office Server.
Si el puerto UDP 1434 está bloqueado en el equipo con SQL Server y hay bases
de datos instaladas en una instancia con nombre, configure un alias de cliente
SQL para conectar a la instancia con nombre.
Si el puerto TCP 1433 está bloqueado en el equipo con SQL Server y hay bases
![Page 11: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/11.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
11
de datos instaladas en la instancia predeterminada, configure un alias de cliente
SQL para conectar a la instancia con nombre.
Asegúrese de que los puertos permanecen abiertos para aplicaciones web a las
que pueden tener acceso los usuarios.
Bloquee el acceso externo al puerto que se usa para el sitio de Administración
central.
Auditoría y registro Si los archivos de registro se reubican, asegúrese de que las ubicaciones de archivo se
actualicen para que coincidan.
IIS Vea la orientación para IIS más adelante en este tópico.
Sitios y directorios
virtuales
No hay recomendaciones adicionales
Asignaciones de
scripts
No hay recomendaciones adicionales
Filtros ISAPI No hay recomendaciones adicionales
Metabase de IIS No hay recomendaciones adicionales
.NET Framework Vea la orientación para .NET Framework más adelante en este tema.
Machine.config:
HttpForbiddenHandler
No hay recomendaciones adicionales
Machine.config:
Remoting
No hay recomendaciones adicionales
Machine.config: Trace No hay recomendaciones adicionales
Machine.config:
compilation
No hay recomendaciones adicionales
Machine.config:
customErrors
No hay recomendaciones adicionales
Machine.config:
sessionState
No hay recomendaciones adicionales
Seguridad de acceso a
código
Asegúrese de que tiene un conjunto mínimo de permisos de seguridad de acceso a
código habilitado para su aplicación web. (El elemento <trust> en el archivo
Web.config de cada aplicación web debe establecerse en WSS_Minimal [donde
WSS_Minimal tiene sus valores mínimos predeterminados como se definen en
12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que
está establecido en el mínimo).
![Page 12: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/12.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
12
LocalIntranet_Zone No hay recomendaciones adicionales
Internet_Zone No hay recomendaciones adicionales
Web.config Aplique las siguientes recomendaciones a cada archivo Web.config que se cree después
de ejecutar el programa de instalación:
No permita la compilación o scripts de páginas de bases de datos mediante los
elementos de PageParserPaths.
Asegúrese de que <SafeMode> CallStack=""false"" y
AllowPageLevelTrace=""false"".
Asegúrese de establecer como bajos los límites de elementos web próximos a los
controles máximos por zona.
Asegúrese de que la lista SafeControls está establecida en el conjunto de
controles mínimo que debe tener para los sitios.
Asegúrese de que la lista SafeTypes del flujo de trabajo está establecida en el
nivel mínimo de SafeTypes necesario.
Asegúrese de que customErrors está activado (<customErrors mode=""On""/>).
Considere la configuración de su proxy web según sea necesario
(<system.net>/<defaultProxy>).
Establezca el límite de upload.aspx en el tamaño más grande que espera que
carguen los usuarios (lo predeterminado son 2 GB). El rendimiento puede verse
afectado por cargas mayores a 100 MB.
Protección de adiciones de instantáneas de servidores de base de datos
En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor de base de datos.
Componente Excepción de característica
Servicios No hay recomendaciones adicionales
Protocolos No hay recomendaciones adicionales
Cuentas Eliminación manual y regular de cuentas no usadas.
Archivos y directorios No hay recomendaciones adicionales
Configuración de SQL Server Consulte la orientación para la configuración de SQL Server más
adelante en este tópico.
Uso compartido No hay recomendaciones adicionales
Puertos Bloquee el puerto UDP 1434.
Considere el bloqueo del puerto TCP 1433.
![Page 13: 95383198-Windows-Server-2008](https://reader034.vdocuments.mx/reader034/viewer/2022042614/557212c6497959fc0b90e770/html5/thumbnails/13.jpg)
”Ciencia Tegnología y Cultura al Servicio del Ser Humano”
13
Registro No hay recomendaciones adicionales
Auditoría y registro No hay recomendaciones adicionales
Seguridad de SQL Server No hay recomendaciones adicionales
Inicios de sesión, usuarios y funciones de
SQL Server
No hay recomendaciones adicionales
Objetos de base de datos de SQL Server No hay recomendaciones adicionales
BIBLIOGRAFIA
http://msdn.microsoft.com/es-es/library/aa302434.aspx
http://msdn.microsoft.com/es-es/library/aa302431.aspx
http://msdn.microsoft.com/es-es/library/aa302432.aspx