Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosBlog
Política de Endurecimiento de Servidores: Ejemplos y Consejos

Política de Endurecimiento de Servidores: Ejemplos y Consejos

Nov 3, 2021

Diversas investigaciones revelan que un asombroso 80% de las brechas reportadas involucran la explotación de vulnerabilidades en las configuraciones de los sistemas de TI. Para bloquear proactivamente los ataques y así prevenir costosos tiempos de inactividad y data breaches, los expertos recomiendan implementar una política de hardening policy, que es un tipo específico de política de system hardening.

Una política de endurecimiento de servidores es un conjunto de directrices, procedimientos y controles diseñados para proteger los sistemas de accesos no autorizados y explotaciones. De hecho, un servidor desplegado en su estado predeterminado está en riesgo de compromiso y ataques de malware. Pero al eliminar software y características innecesarias, configurar adecuadamente los ajustes de seguridad e implementar las mejores prácticas para el control de acceso, auditoría y respuesta ante incidentes, puedes reducir drásticamente tu superficie de ataque.

Los siguientes consejos y ejemplos pueden servir como punto de partida para sus esfuerzos de endurecimiento.

Contenido relacionado seleccionado

Cuentas de usuario y contraseñas

  • ¿Está establecida la duración y el umbral de bloqueo de cuenta?
  • ¿Está activada la encriptación Kerberos y los tipos seleccionados son lo suficientemente fuertes?
  • ¿Están deshabilitadas o renombradas las cuentas locales predeterminadas, como las cuentas integradas de Administrador e Invitado en sistemas Windows?
  • ¿Están los requisitos de contraseña de usuario en línea con las mejores prácticas, como las pautas de NIST?

Ejemplo: Configure una política de contraseña de cuenta con los siguientes parámetros:

  • Edad mínima de la contraseña: 1 día o más
  • Longitud mínima de la contraseña: 14 caracteres o más
  • Umbral de bloqueo de cuenta: 10 intentos o menos (pero no 0)
  • Restablecer el contador de bloqueo de cuenta: 15 minutos o más

Sistemas Operativos

  • ¿Está cada sistema operativo (OS) completamente soportado por el proveedor y actualizado a los últimos niveles? ¿Y se revisa esto al menos una vez al mes?
  • ¿Se han eliminado o desactivado todos los servicios y demonios innecesarios? ¿Se ha eliminado el acceso a web, FTP, telnet y escritorio remoto? El mejor consejo es desactivar todo lo que sepas que no es necesario (como el servicio de Temas) y luego experimentar cuidadosamente uno por uno con otros servicios que consideres innecesarios. Si desactivar un servicio compromete las operaciones comerciales, manténgalo habilitado.
  • ¿Sabes qué puertos están abiertos? ¿Hay una buena razón para que permanezcan abiertos o pueden eliminarse? ¿Puedes detectar nuevos puertos abiertos cuando aparecen?
  • ¿Se ha aprovechado completamente la Security Policy local? Las vulnerabilidades explotables pueden mitigarse utilizando esta política, que ofrece cientos de controles de configuración de seguridad detallados para fortalecer la seguridad.

Ejemplo: Defina los siguientes ajustes para sistemas operativos Windows:

  • Permitir que las aplicaciones UIAccess soliciten elevación sin usar el escritorio seguro: Deshabilitado
  • Solicitud de elevación para administradores en Modo de Aprobación de Admin: Solicitar consentimiento en el escritorio seguro
  • Solicitud de elevación para usuarios estándar: Denegar automáticamente las solicitudes de elevación
  • Detectar instalaciones de aplicaciones y solicitar elevación: Habilitado
  • Solo eleve las aplicaciones UIAccess que estén instaladas en ubicaciones seguras: Habilitado
  • Ejecutar todos los administradores en Modo de Aprobación de Admin: Habilitado
  • Virtualizar fallos de escritura de archivos y registros en ubicaciones por usuario: Habilitado

Sistemas de archivos

  • ¿Para servidores Unix y Linux, están los permisos en archivos clave de seguridad (como /etc/password y /etc/shadow) establecidos de acuerdo con las recomendaciones de mejores prácticas? ¿Se está utilizando sudo? Si es así, ¿solo los miembros del root wheel tienen permitido usarlo?
  • ¿Para los servidores Windows, están protegidos los ejecutables clave, DLLs y controladores en la carpeta System32 y SysWOW64, junto con los Program Files/(x86)?

Ejemplo: Aplique file integrity monitoring a los siguientes archivos y carpetas:

  • %PROGRAMFILES%: Utilice hash SHA1, cambios en archivos del sistema, excluir archivos de registro, recursivo
  • %PROGRAMFILES(x86)%: Utilice el hash SHA256, cambios en archivos del sistema, excluya archivos de registro, recursivo
  • %SYSDIR%: Utilice hash SHA256, cambios en archivos del sistema, excluir archivos de registro, recursivo
  • %WINDIR%SysWOW64: Utilice hash SHA256, cambios en archivos del sistema, excluir archivos de registro, recursivo

Red Cliente/Servidor

  • ¿Está habilitado y configurado el firewall de software integrado como “Deny All”?
  • ¿En Linux, se han configurado los TCP Wrappers para “Deny All”?
  • ¿Se han restringido adecuadamente las rutas de registro y las comparticiones accesibles de forma remota para su entorno? Esto será diferente para un servidor miembro en comparación con un controlador de dominio.

Ejemplo: En su política de seguridad, especifique las siguientes configuraciones de cliente de red y servidor de red:

  • Firmar digitalmente las comunicaciones (si el servidor está de acuerdo): Habilitado
  • Enviar contraseña sin cifrar a servidores SMB de terceros: Deshabilitado
  • Firmar digitalmente las comunicaciones (siempre): Habilitado
  • Firme digitalmente las comunicaciones (si el cliente está de acuerdo): Habilitado
  • Desconectar a los clientes cuando las horas de inicio de sesión expiren: Habilitado

Auditoría y Control de Cambios

  • ¿Están habilitados los registros de auditoría para todo acceso, uso de privilegios, cambios de configuración y acceso, creación y eliminación de objetos?
  • ¿Se respaldan y conservan de forma segura los registros de auditoría durante al menos 12 meses?
  • ¿Está configurada y en uso una fuente NTP central y protegida?
  • ¿Se utiliza la file integrity monitoring (FIM) para mantener sus estándares de construcción segura?
  • ¿Existe un proceso de change management definido que incluye la propuesta de cambio (cubriendo el análisis de impacto y las disposiciones de reversión), la aprobación del cambio, las pruebas de aseguramiento de calidad y la revisión posterior a la implementación?
  • ¿Están los eventos registrados respaldados de manera segura en un servidor central? Esto requiere un método para reenviar eventos desde los servidores monitoreados al servidor de registros (generalmente un agente de reenvío Syslog o una solución más completa como Netwrix Change Tracker) así como una política de audit policy estructurada.

Ejemplo: Defina los siguientes ajustes en su Política de Auditoría Avanzada:

  • Auditoría de Cierre de Sesión: Éxito
  • Auditoría de inicio de sesión: Éxito y Fallo
  • Auditar otros eventos de inicio/cierre de sesión: Éxito y Fallo
  • Auditoría de inicio de sesión especial: Éxito

Software y Aplicaciones

  • ¿Qué paquetes y aplicaciones están definidos por su estándar de construcción segura? Por ejemplo, ¿tienen estándares para su antivirus, data leakage prevención, firewall y herramientas FIM? ¿Cuál es el proceso para actualizar periódicamente las líneas base con los cambios aprobados?
  • ¿Existe un proceso para asegurarse de tener las últimas versiones y que los parches han sido probados y aplicados?
  • ¿Están desactivadas las actualizaciones automáticas de paquetes a favor de la implementación programada de actualizaciones?

Elegir una política de endurecimiento de servidores y adaptarla a su organización

Obtener una lista de verificación de endurecimiento o una política de endurecimiento de servidores es bastante fácil. Por ejemplo, el Center for Internet Security (CIS) proporciona hardening checklists; Microsoft ofrece listas de verificación para dispositivos Windows; Cisco proporciona listas de verificación para sus enrutadores; y la National Vulnerability Database alojada por NIST proporciona listas de verificación para una amplia gama de dispositivos Linux, Unix, Windows y firewalls. NIST también proporciona el National Checklist Program Repository, que se basa en los estándares SCAP y OVAL.

Contenido relacionado seleccionado:

Estos son buenos puntos de partida, pero necesitas personalizar cualquier lista de verificación basada en la operación y el rol del servidor. Por ejemplo, un servidor que enfrenta a internet necesita un control de acceso más fuerte que un servidor de base de datos que está detrás de tu cortafuegos.

Una vez que hayas establecido tu política de endurecimiento de servidores y aplicado las listas de verificación de mejores prácticas a tu configuración estándar, necesitas auditar continuamente todos los dispositivos para detectar cualquier desviación de configuración. Tu proceso de gestión de cambios debe definir cómo se evalúan los cambios y luego se remedian o se promueven a la línea base de configuración. Netwrix Change Tracker proporciona un control de cambios inteligente, por lo que los cambios solo necesitan ser aprobados una vez para un servidor, y luego cualquier otra ocurrencia del mismo cambio será automáticamente aprobada. Esto elimina el mayor problema con la mayoría de los sistemas FIM y SIEM , que es que el ruido de los cambios puede volverse abrumador fácilmente.

Resumen

El primer paso más efectivo en cualquier estrategia de data security es prevenir las violaciones de seguridad. Al abordar proactivamente las vulnerabilidades de configuración mediante el endurecimiento, los servidores pueden volverse más seguros y resistentes a los ataques. Las soluciones de gestión de cambios y file integrity monitoring luego vigilan cualquier desviación de su línea base para asegurarse de que todos los servidores permanezcan configurados de manera segura.

FAQ

¿Qué es el endurecimiento de servidores?

El endurecimiento de servidores es el proceso proactivo de deshabilitar programas y funcionalidades no utilizadas, reforzar las configuraciones de seguridad del servidor y aplicar las mejores prácticas de auditoría y respuesta ante incidentes para hacer los servidores menos vulnerables a ataques.

¿Qué es una política de endurecimiento?

Una política de endurecimiento es un conjunto de directrices y procedimientos implementados para reducir el área de superficie de ataque de un sistema. La política debe basarse en control de acceso, registro y respuesta a incidentes. Una política puede ser específica para un sistema en particular, como Linux o Windows Server, o generalizada como una política de endurecimiento de base de datos.

¿Qué es una plantilla de política de endurecimiento de sistemas?

Una plantilla de política de hardening de sistemas es un documento que describe las pautas y procedimientos a seguir para asegurar y proteger los sistemas. Generalmente incluye una lista de las mejores prácticas y controles de seguridad a implementar para activos específicos. La plantilla puede utilizarse como punto de partida para crear una política de hardening personalizada para diversos sistemas.

¿Cómo puedo reforzar la seguridad de mi servidor?

Los pasos clave suelen incluir:

  • Eliminando software y servicios innecesarios para reducir la superficie de ataque
  • Configuración de cortafuegos y sistemas de detección/prevención de intrusiones para bloquear el acceso no autorizado
  • Habilitando características de seguridad como el cifrado y el arranque seguro
  • Implementando las mejores prácticas para el control de acceso, como la autenticación multifactor y el principio de mínimo privilegio
  • Actualizar regularmente el software y aplicar parches de seguridad
  • Implementar un registro de eventos robusto y monitoreo del tráfico para detectar y responder a posibles incidentes de seguridad
  • Realizar pruebas y revisiones periódicas de la política de endurecimiento de servidores para identificar y solucionar cualquier vulnerabilidad.

Compartir en

Aprende más

Acerca del autor

Asset Not Found

Dirk Schrader

Vicepresidente de Investigación de Seguridad

Dirk Schrader es un Resident CISO (EMEA) y VP de Security Research en Netwrix. Con 25 años de experiencia en seguridad informática y certificaciones como CISSP (ISC²) y CISM (ISACA), trabaja para promover la ciberresiliencia como un enfoque moderno para enfrentar las amenazas cibernéticas. Dirk ha trabajado en proyectos de ciberseguridad en todo el mundo, comenzando en roles técnicos y de soporte al inicio de su carrera y luego pasando a posiciones de ventas, marketing y gestión de productos tanto en grandes corporaciones multinacionales como en pequeñas startups. Ha publicado numerosos artículos sobre la necesidad de abordar la gestión de cambios y vulnerabilidades para lograr la ciberresiliencia.

Aprende más sobre este tema

Gestión de configuración para el control seguro de Endpoint

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

¿Qué es la gestión de registros electrónicos?

Últimos blogs

Los próximos cinco minutos de cumplimiento: construyendo seguridad de datos basada en la identidad a través de APAC

Gestión de configuración para el control seguro de Endpoint

Clasificación de datos y DLP: Prevenga la pérdida de datos, demuestre el cumplimiento

Cumplimiento de CMMC y el papel crítico del control de USB estilo MDM en la protección de CUI

DSPM, ASM y ITDR: Construyendo una estrategia de seguridad consciente de la exposición y basada en datos

De ruido a acción: convirtiendo el riesgo de datos en resultados medibles

IA en el trabajo: Velocidad, riesgo y por qué la simplicidad triunfa

Leyes de Privacidad de Datos por Estado: Diferentes Enfoques para la Protección de la Privacidad

Ejemplo de Análisis de Riesgos: Cómo Evaluar los Riesgos

El Triángulo de la CIA y su Aplicación en el Mundo Real

Nuestros artículos más destacados

Tipos comunes de dispositivos de red y sus funciones

Cómo ejecutar un script de PowerShell desde el Programador de tareas

Cómo instalar y usar Active Directory Users and Computers (ADUC)?

Descargue e instale PowerShell 7

Los ataques cibernéticos más grandes y notorios de la historia

Comandos esenciales de PowerShell: Una guía rápida para principiantes

Una visión general del ciberataque MGM

Extracción de hashes de contraseñas del archivo Ntds.dit

Guía para montar comparticiones Unix con un cliente NFS de Windows

Cómo los puertos abiertos inseguros y vulnerables representan serios riesgos de seguridad