95383198-Windows-Server-2008

HARDENING Windows Server En un entorno de granja de servidores, los servidores individuales desempeñan

funciones específicas. Las recomendaciones para el endurecimiento de la seguridad

de estos servidores dependen de la función que desempeña cada uno.

2012

ÁLVAREZ ZAVALA JOSE LUIS; PARRA MARTINEZ JUAN MANUEL Universidad Politécnica de San Luis Potosí

19/05/2012

”Ciencia Tegnología y Cultura al Servicio del Ser Humano”

2

WINDOWS SERVER 2008

HARDENING

En un entorno de granja de servidores, los servidores individuales desempeñan funciones específicas. Las

recomendaciones para el endurecimiento de la seguridad de estos servidores dependen de la función que desempeña

cada uno.

Las recomendaciones sobre el endurecimiento de la seguridad del servidor se basan en las recomendaciones

proporcionadas en la siguiente orientación de seguridad enModelos y prácticas de Microsoft :

Protección del servidor web

Protección del servidor de bases de datos

Protección de la red

Estas guías siguen un enfoque metódico para asegurar los servidores para funciones específicas y para asegurar la red de

soporte. También se prescribe el orden en el que se aplican las configuraciones y se instalan las aplicaciones y se endurece

su seguridad, empezando con la aplicación de revisiones y actualizaciones, a continuación endureciendo la seguridad de

la configuración de red y del sistema operativo y, por último, endureciendo la seguridad de aplicaciones específicas. Por

ejemplo, en Protección del servidor web recomienda instalar y endurecer la seguridad de Internet Information Services

(IIS) sólo después de aplicar la revisión y endurecer la seguridad del sistema operativo. Además, esta guía prescribe

instalar Microsoft .NET Framework una vez que IIS esté completamente revisado y su seguridad endurecida.

Comunicación segura con la base de datos de Microsoft SQL Server

Protección del servidor de bases de datos recomienda restringir el acceso a dos puertos de comunicaciones de Microsoft

SQL Server predeterminados: el puerto TCP 1433 y el puerto UDP 1434. Para obtener más información sobre entornos de

granja de servidores seguros, se recomienda realizar lo siguiente:

Bloquear por completo el puerto UDP 1434.

Configurar instancias con nombre de SQL Server para escuchar en un puerto no estándar (distintos de puerto TCP

1433 o el puerto UDP 1434).

Para obtener seguridad adicional, bloquee el puerto TCP 1433 y reasigne el puerto que usa la instancia

predeterminada a un puerto no estándar.

Configure los alias de cliente SQL en todos los servidores cliente web y servidores de aplicaciones en la granja de

servidores. Una vez bloqueados los puertos TCP 1433 o UDP 1434, los alias de cliente SQL son necesarios en todos

los equipos que se comunican con el equipo que ejecuta SQL Server.

Este método proporciona un grado de control mucho mayor sobre la manera en que se implementa y ejecuta SQL Server,

incluida la capacidad de asegurar que sólo los equipos autorizados puedan comunicarse con el equipo que ejecuta SQL

Server.


3

Los pasos para el endurecimiento de la seguridad para la creación de un alias de

cliente SQL deben realizarse antes de instalar Search Server 2008. Cuando ejecute el programa de instalación para Search

Server 2008 y se le pide que escriba el nombre del equipo SQL Server al que va a conectarse, debe escribir el nombre del

alias de cliente SQL.

Bloquear los puertos estándares de SQL Server

Los puertos específicos que se usan para conectarse a SQL Server se ven afectados por el hecho de si las bases de datos

se instalan en una instancia predeterminada de SQL Server o una instancia con nombre de SQL Server. La instancia

predeterminada de SQL Server escucha las solicitudes de clientes en el puerto TCP 1433. Una instancia con nombre de

SQL Server escucha en un número de puerto asignado aleatoriamente. Además, se puede volver a asignar el número de

puerto para una instancia con nombre si reinicia la instancia (según si el número de puerto asignado anteriormente está

disponible).

De forma predeterminada, los equipos cliente que se conectan a SQL Server se conectan primero usando el puerto TCP

1433. Si esta comunicación no tiene éxito, los equipos cliente consultan el servicio de resolución de SQL Server a la

escucha en el puerto UDP 1434 para determinar en qué puertos está escuchando la instancia de base de datos.

El comportamiento predeterminado de comunicación con puertos de SQL Server presenta varios problemas que afectan al

endurecimiento de la seguridad del servidor. En primer lugar, los puertos usados por SQL Server son puertos bien

publicitados y el servicio de resolución de SQL Server ha sido objeto de ataques de desbordamiento del búfer y por

denegación de servicio, incluido el virus de gusano "Slammer". Incluso a pesar de que SQL Server está revisado para

reducir los problemas de seguridad en el servicio de resolución de SQL Server, los puertos bien conocidos siguen siendo

un objetivo. En segundo lugar, si las bases de datos están instaladas en una instancia con nombre de SQL Server, el puerto

de comunicaciones correspondiente se asigna de forma aleatoria y puede cambiar. Este comportamiento puede prevenir

potencialmente la comunicación servidor a servidor en un entorno con seguridad endurecida. La capacidad de controlar

qué puertos TCP están abiertos o bloqueados es necesaria para ayudar a proteger el entorno.

Por lo tanto, la recomendación para una granja de servidores es asignar números de puerto estáticos a instancias con

nombre de SQL Server y bloquear el puerto UDP 1434 para evitar que los atacantes potenciales tengan acceso al servicio

de resolución de SQL Server. Además, considere reasignar el puerto usado por la instancia predeterminada, así como

bloquear el puerto TCP 1433.

Existen varios métodos que se pueden usar para bloquear puertos. Puede bloquear estos puertos mediante un servidor de

seguridad. Sin embargo, a menos que esté seguro de que no hay otras rutas al segmento de red y de que no hay usuarios

malintencionados con acceso al segmento de red, se recomienda bloquear estos puertos directamente en el servidor que

hospeda SQL Server. Esto se puede conseguir usando el Firewall de Windows en el Panel de control.

Configurar instancias de la base de datos de SQL Server para escuchar en un puerto no estándar

SQL Server proporciona la capacidad para reasignar los puertos usados por la instancia predeterminada y cualquier

instancia con nombre. En SQL Server 2000, se reasignan puertos mediante la Herramienta de red de servidor. En

SQL Server 2005, los puertos se reasignan mediante el Administrador de configuración de SQL Server.


4

Configurar alias de cliente SQL

En una granja de servidores, todos los servidores cliente web y los servidores de aplicación son equipos cliente de SQL

Server. Si bloquea el puerto UDP 1434 en el equipo con SQL Server o cambia el puerto predeterminado para la instancia

predeterminada, debe configurar un alias de cliente SQL en todos los servidores que se conectan al equipo con SQL

Server.

Para conectar con una instancia de SQL Server 2000, debe instalar las herramientas del cliente de SQL Server en el equipo

de destino y, a continuación, configurar los alias de cliente SQL, que se instalan mediante la ejecución de Configuración de

SQL Server y la selección de Herramientas de cliente de SQL Server.

Para conectar con una instancia de SQL Server 2005, debe instalar los componentes del cliente de SQL Server en el equipo

de destino y, a continuación, configurar el alias del cliente SQL mediante el Administrador de configuración de SQL Server.

Para instalar los componentes del cliente de SQL Server, ejecute Configuración y seleccione sólo los siguientes elementos

para su instalación:

Componentes de conectividad

Herramientas de administración (incluye el Administrador de configuración de SQL Server)

Componentes cliente de SQL Server que funcionen con SQL Server 2000 y puedan usarse en lugar de las herramientas

cliente de SQL Server.

Pasos para el endurecimiento de la seguridad

Configurar SQL Server

Configurar una instancia de SQL Server 2000 para que escuche en un puerto no predeterminado

Use Herramienta de red de servidor para cambiar el puerto TCP que usa una instancia de SQL Server 2000.

1. En el equipo con SQL Server, ejecute Herramienta de red de servidor.

2. En el menú Instancias en este servidor, seleccione la instancia. Asegúrese de que ha seleccionado la instancia

deseada. De forma predeterminada, la instancia predeterminada escucha en el puerto 1433. A las instancias con

nombre de SQL Server 2000 se les asigna a un número de puerto aleatorio. Por lo tanto, es posible que no sepa el

número de puerto actual asignado a una instancia con nombre cuando se ejecuta Herramienta de red de servidor.

3. En el panel Protocolos habilitados en el lado derecho de la interfaz de Herramienta de red de servidor, haga clic

en TCP/IP y, a continuación, en Propiedades.

4. En el cuadro de diálogo Configurar el valor predeterminado del protocolo de red, cambie el número de puerto

TCP. Evite usar cualquiera de los puertos TCP conocidos. Por ejemplo, seleccione un número de puerto de un

rango más alto, como 40000. No active la casilla Ocultar servidor.

5. Haga clic en Aceptar.

6. En el cuadro de diálogo Herramienta de red de servidor, haga clic en Aceptar. Recibirá un mensaje que indica

que el cambio no tendrá efecto hasta que se reinicie el servicio SQL Server. Haga clic en Aceptar.

7. Reinicie el servicio SQL Server y confirme que si equipo con SQL Server está escuchando en el puerto que se

seleccionó. Puede confirmarlo mirando en el registro del visor de eventos después de reiniciar el servicio SQL

Server. Busque un evento de información similar al siguiente evento:

Tipo del evento:Información


5

Origen del evento:MSSQLSERVER

Categoría del evento:(2)

Id. del evento:17055

Fecha: 6/3/2008

Hora:11:20:28 a.m.

Usuario:N/D

Equipo:nombre_de_equipo

Descripción:

19013:

SQL Server escuchando en 10.1.2.3: 40000

Configuración de una instancia de SQL Server 2005 para que escuche en un puerto no predeterminado

Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una sesión de

SQL Server 2005.

1. Use el Administrador de configuración de SQL Server para cambiar el puerto TCP usado por una sesión de

SQL Server 2005.

2. En el equipo con SQL Server, abra el Administrador de configuración de SQL Server.

3. En el panel izquierdo, expanda Configuración de red de SQL Server 2005.

4. En Configuración de red de SQL Server 2005, haga clic en la entrada correspondiente para la instancia que se va

a configurar. La instancia predeterminada aparece comoProtocolos para MSSQLSERVER. Las instancias con

nombre aparecerán como Protocolos para instancia_con_nombre.

5. En el panel derecho, haga clic con el botón secundario en TCP/IP y, a continuación, haga clic en Propiedades.

6. Haga clic en la ficha Direcciones IP. Para cada dirección IP asignada al equipo con SQL Server, hay una entrada

correspondiente en esta ficha. De forma predeterminada, SQL Server está escuchando en todas las direcciones IP

asignadas al equipo.

7. Para cambiar globalmente el puerto que está escuchando la instancia predeterminada, realice lo siguiente:

a. Para cada IP, excepto IPAll, borre todos los valores para los Puertos TCP dinámicos y el Puerto TCP.

b. Para IPAll, borre el valor de Puertos TCP dinámicos. En el campo Puerto TCP, escriba el puerto que

desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

8. Para cambiar globalmente el puerto que está escuchando una instancia con nombre, realice lo siguiente:

a. Para cada IP, incluida IPAll, borre todos los valores para Puertos TCP dinámicos. Un valor de 0 para este

campo indica que SQL Server usa un puerto TCP dinámico para la dirección IP. Una entrada en blanco

para este valor significa que SQL Server 2005 no usará un puerto TCP dinámico para la dirección IP.

b. Para cada IP, excepto IPAll, borre todos los valores para Puerto TCP.

c. Para IPAll, borre el valor de Puertos TCP dinámicos. En el campo Puerto TCP, escriba el puerto que

desea que escuche la instancia de SQL Server. Por ejemplo, escriba 40000.

9. Haga clic en Aceptar. Recibirá un mensaje que indica que el cambio no tendrá efecto hasta que se reinicie el

servicio SQL Server. Haga clic en Aceptar.

10. Cierre el Administrador de configuración de SQL Server.


6

11. Reinicie el servicio SQL Server y confirme que el equipo con SQL Server

está escuchando en el puerto seleccionado. Puede confirmarlo mirando en el registro del visor de eventos

después de reiniciar el servicio SQL Server. Busque un evento de información similar al siguiente evento:

Tipo del evento:Información

Origen del evento:MSSQL$MSSQLSERVER

Categoría del evento:(2)

Id. del evento:26022

Fecha: 6/3/2008

Hora:13:46:11 a.m.

Usuario:N/D

Equipo:nombre_de_equipo

Descripción:

El servidor está escuchando en [ 'any' <ipv4>50000]

Configuración del Firewall de Windows

Configure el Firewall de Windows para bloquear puertos de escucha predeterminados de SQL

Server

1. En el Panel de control, abra Firewall de Windows.

2. En la ficha General, haga clic en Activado. Asegúrese de que no esté activa la casilla de verificación No permitir

excepciones.

3. En la ficha Excepciones, haga clic en Agregar puerto.

4. En el cuadro de diálogo Agregar un puerto, escriba un nombre para el puerto. Por ejemplo, escriba UDP-1434. A

continuación, escriba el número de puerto. Por ejemplo, 1434.

5. Seleccione el botón de opción adecuado: UDP o TCP. Por ejemplo, para bloquear el puerto 1434, haga clic

en UDP. Para bloquear el puerto 1433, haga clic en TCP.

6. Haga clic en Cambiar ámbito y asegúrese de que el ámbito para esta excepción está configurado en Cualquier

equipo (incluyendo los de Internet).

7. Haga clic en Aceptar.

8. En la ficha Excepciones, localice la excepción que ha creado. Para bloquear el puerto, desactive la casilla para

dicha excepción. De forma predeterminada, esta casilla está activada, lo que significa que el puerto está abierto.

Configuración del Firewall de Windows para abrir manualmente puertos asignados

1. Siga los pasos 1 a 7 en el procedimiento anterior para crear una excepción para el puerto al que asignó

manualmente a una instancia de SQL. Por ejemplo cree una excepción para el puerto TCP 40000.


7

2. En la ficha Excepciones, localice la excepción que ha creado. Asegúrese

de que la casilla de la excepción esté marcada. De forma predeterminada, la casilla está activada, lo que significa

que el puerto está abierto.

Configuración de un alias de cliente SQL

Si bloquea el puerto UDP 1434 o el puerto TCP 1433 en el equipo con SQL Server, debe crear un alias de cliente SQL en

los demás equipos de la granja de servidores. Puede usar componentes de clientes de SQL Server para crear alias de

cliente SQL para los equipos que se conectan a SQL Server 2000 SQL Server 2005.

1. Ejecute el programa de instalación para SQL Server 2005 en el equipo de destino y seleccione los siguientes

componentes cliente para instalar:

a. Componentes de conectividad

b. Herramientas de administración

2. Abra el Administrador de configuración de SQL Server.

3. En el panel izquierdo, haga clic en Configuración de SQL Native Client.

4. En el panel de la derecha, haga clic con el botón secundario del mouse (ratón) en Alias y seleccione Nuevo alias.

5. En el cuadro de diálogo Alias, escriba un nombre para el alias y, a continuación, escriba el número de puerto para

la instancia de la base de datos. Por ejemplo, escriba SharePoint_alias.

6. En el campo N° de puerto, escriba el número de puerto para la instancia de la base de datos. Por ejemplo, escriba

40000. Asegúrese de que el protocolo está establecido a TCP/IP.

7. En el campo Servidor, escriba el nombre del equipo con SQL Server.

8. Haga clic en Aplicar y, a continuación, en Aceptar.

Pruebe el alias de cliente SQL

Pruebe la conectividad hacia el equipo con SQL Server mediante Microsoft SQL Server Management Studio, que está

disponible mediante la instalación de componentes cliente de SQL Server.

1. Abra SQL Server Management Studio.

2. Cuando se le pida que escriba un nombre de servidor, escriba el nombre del alias que creó y, a continuación, haga

clic en Conectar. Si la conexión es correcta, SQL Server Management Studio se rellena con objetos que

corresponden a la base de datos remota.

3. El servicio Compartir archivos e impresoras requiere el uso de canalizaciones con nombre. Estas canalizaciones

pueden comunicarse usando protocolos SMB hospedado directamente o NetBIOS sobre TCP/IP (NetBT). Para un

entorno seguro, se recomienda SMB hospedado directamente en lugar de NetBT. Las recomendaciones para el

endurecimiento de la seguridad proporcionadas en este artículo asumen que se usará SMB.

4. En la tabla siguiente se describen los requisitos para el endurecimiento de la seguridad introducidos por la

dependencia en el servicio Compartir archivos e impresoras.

Categoría Requisito Notas

Servicios Compartir

archivos e

impresoras

Requiere el uso de canalizaciones con nombre.

Protocolos Canalizaciones

con nombre

que usan SMB

Las canalizaciones con nombre pueden usar NBT en lugar de SMB hospedado

directamente. Sin embargo, NBT no se considera tan seguro como SMB

hospedado directamente.


8

hospedado

directamente

Desactivar

NBT

Puertos Puerto

TCP/UDP 445

Usado por SMB hospedado directamente.

Servicios web de Office Server

El servicio web de Office Services lo usa Search Server 2008 como canal de comunicación entre servidores web y

servidores de aplicación. Este servicio usa los siguientes puertos:

TCP 56737

TCP/SSL 56738

Conexiones con servidores externos

Search Server 2008 puede configurarse para tener acceso al contenido que se encuentra en los equipos de los servidores

situados fuera de la granja de servidores. Si configura el acceso a contenido en los servidores externos, asegúrese de

habilitar la comunicación entre los equipos apropiados. En la mayoría de los casos, los puertos, protocolos y servicios que

se usan dependen del recurso externo. Por ejemplo:

Las conexiones a los recursos compartidos de archivos usan el servicio Compartir archivos e impresoras.

Las conexiones a las bases de datos externas de SQL Server usan los puertos predeterminados o personalizados

para la comunicación con SQL Server.

Las conexiones a Oracle usan normalmente OLE DB.

Las conexiones a servicios web usan HTTP y HTTPS.

En la siguiente tabla se incluyen las características que se pueden configurar para tener acceso al contenido que reside en

los equipos de servidores situados fuera de la granja de servidores.

Característica Descripción

Rastreo de

contenido

Puede configurar reglas de rastreo para rastrear contenido que se encuentra en recursos

externos, incluyendo sitios web, recursos compartidos de archivos y carpetas públicas de

Exchange. Al rastrear orígenes de contenido externo, la función índice se comunica

directamente con estos recursos externos.

Servicios de Search Server 2008

No deshabilite servicios instalados por Search Server 2008.


9

Los siguientes servicios están instalados en todos los servidores cliente web y de

aplicaciones y aparecen en el complemento de servicios de Microsoft Management Console (MMC) (orden alfabético):

Office SharePoint Server Search

Administración de Windows SharePoint Services

Windows SharePoint Services Search

Temporizador de Windows SharePoint Services

Seguimiento de Windows SharePoint Services

Escritor de VSS de Windows SharePoint Services

Si el entorno no permite servicios que se ejecutan como un sistema local, puede considerar deshabilitar el servicio de

administración de Windows SharePoint Services sólo si es consciente de las consecuencias y puede resolverlas. Este

servicio es un servicio Win32 que se ejecuta como un servicio local.

El servicio de temporizador de Windows SharePoint Services usa este servicio para realizar acciones que requieren

credenciales de administrador en el servidor, como crear sitios web IIS, implementar código y detener o iniciar servicios. Si

deshabilita este servicio, no podrá ejecutar tareas relacionadas con la implementación desde el sitio de Administración

central. Deberá usar la herramienta de línea de comandos Stsadm.exe y ejecutar el comando execadminsvcjobs para

completar implementaciones multiservidor para Search Server 2008 y para ejecutar otras tareas relacionadas con la

implementación.

Archivo Web.config

.NET Framework, y ASP.NET en particular, usa archivos de configuración con formato XML para configurar las aplicaciones.

Para definir las opciones de configuración, .NET Framework emplea archivos de configuración, que son archivos XML

basados en texto. En un mismo sistema, es habitual que existan varios archivos de configuración.

En .NET Framework, los parámetros de configuración de todo el sistema están definidos en el archivo Machine.config. Este

archivo se encuentra en la carpeta %SystemRoot%\Microsoft.NET\Framework\%VersionNumber%\CONFIG\. La

configuración predeterminada que se encuentra en el archivo Machine.config se puede modificar para que afecte al

comportamiento de las aplicaciones que usan .NET Framework en todo el sistema. Para obtener recomendaciones sobre

cómo configurar archivos Machine.config.

Puede cambiar la configuración de ASP.NET para una sola aplicación si crea un archivo Web.config en la carpeta raíz de la

aplicación. Al hacerlo, la configuración en el archivo Web.config reemplaza la configuración en el archivo Machine.config.

Al ampliar una aplicación web mediante Administración central, Search Server 2008 crea automáticamente un archivo

Web.config para la aplicación web.

Protección de las adiciones de instantáneas

Esta sección muestra las adiciones a instantáneas en la orientación de seguridad de modelos y prácticas de Microsoft que

se recomienda para entornos de Search Server 2008. Éstas se detallan en formato de tabla mediante las mismas categorías

y el mismo orden que en las guías de seguridad de modelos y prácticas.

Este formato está destinado a facilitar la determinación y la aplicación de recomendaciones específicas cuando se usan las

guías de seguridad de modelos y prácticas de Microsoft. Salvo algunas excepciones mencionadas, estas recomendaciones

de endurecimiento de la seguridad se deben aplicar antes de ejecutar el programa de instalación para Search Server 2008.


10

Proteger las adiciones de instantáneas de red

En la tabla siguiente se describen las recomendaciones para proteger las adiciones de red.

Componente Excepción de característica

Todo No hay recomendaciones adicionales

Proteger las adiciones de instantánea del servidor web

En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor web.

Componente Característica

Servicios Habilitar:

Compartir archivos e impresoras


Servicio de publicación World Wide Web

Asegúrese de que estos servicios permanecen habilitados tras ejecutar el programa de

instalación:


Administración de Windows SharePoint Services

Búsqueda de Windows SharePoint Services

Temporizador de Windows SharePoint Services

Seguimiento de Windows SharePoint Services

Escritor de VSS de Windows SharePoint Services

Protocolos Habilitar:

SMB

Deshabilitar:

NetBT

Cuentas Si el servicio de administración de directorios de Microsoft está habilitado como parte

de la integración de correo electrónico, configure el entorno de Active Directory para

permitir el acceso de escritura a la cuenta usada por el servicio de administración de

directorios de Microsoft (la cuenta de la granja de servidores).

Uso compartido No hay recomendaciones adicionales

Puertos Abra el puerto TCP/UDP 445.

Abra los puertos TCP 56737 y 56738 para los servicios web de Office Server.

Si el puerto UDP 1434 está bloqueado en el equipo con SQL Server y hay bases

de datos instaladas en una instancia con nombre, configure un alias de cliente

SQL para conectar a la instancia con nombre.

Si el puerto TCP 1433 está bloqueado en el equipo con SQL Server y hay bases


11

de datos instaladas en la instancia predeterminada, configure un alias de cliente

SQL para conectar a la instancia con nombre.

Asegúrese de que los puertos permanecen abiertos para aplicaciones web a las

que pueden tener acceso los usuarios.

Bloquee el acceso externo al puerto que se usa para el sitio de Administración

central.

Auditoría y registro Si los archivos de registro se reubican, asegúrese de que las ubicaciones de archivo se

actualicen para que coincidan.

IIS Vea la orientación para IIS más adelante en este tópico.

Sitios y directorios

virtuales

No hay recomendaciones adicionales

Asignaciones de

scripts


Filtros ISAPI No hay recomendaciones adicionales

Metabase de IIS No hay recomendaciones adicionales

.NET Framework Vea la orientación para .NET Framework más adelante en este tema.

Machine.config:

HttpForbiddenHandler


Machine.config:

Remoting


Machine.config: Trace No hay recomendaciones adicionales

Machine.config:

compilation


Machine.config:

customErrors


Machine.config:

sessionState


Seguridad de acceso a

código

Asegúrese de que tiene un conjunto mínimo de permisos de seguridad de acceso a

código habilitado para su aplicación web. (El elemento <trust> en el archivo

Web.config de cada aplicación web debe establecerse en WSS_Minimal [donde

WSS_Minimal tiene sus valores mínimos predeterminados como se definen en

12\config\wss_minimaltrust.config) o su propio archivo de directiva personalizado, que

está establecido en el mínimo).


12

LocalIntranet_Zone No hay recomendaciones adicionales

Internet_Zone No hay recomendaciones adicionales

Web.config Aplique las siguientes recomendaciones a cada archivo Web.config que se cree después

de ejecutar el programa de instalación:

No permita la compilación o scripts de páginas de bases de datos mediante los

elementos de PageParserPaths.

Asegúrese de que <SafeMode> CallStack=""false"" y

AllowPageLevelTrace=""false"".

Asegúrese de establecer como bajos los límites de elementos web próximos a los

controles máximos por zona.

Asegúrese de que la lista SafeControls está establecida en el conjunto de

controles mínimo que debe tener para los sitios.

Asegúrese de que la lista SafeTypes del flujo de trabajo está establecida en el

nivel mínimo de SafeTypes necesario.

Asegúrese de que customErrors está activado (<customErrors mode=""On""/>).

Considere la configuración de su proxy web según sea necesario

(<system.net>/<defaultProxy>).

Establezca el límite de upload.aspx en el tamaño más grande que espera que

carguen los usuarios (lo predeterminado son 2 GB). El rendimiento puede verse

afectado por cargas mayores a 100 MB.

Protección de adiciones de instantáneas de servidores de base de datos

En la tabla siguiente se describen las recomendaciones para proteger las adiciones de servidor de base de datos.

Componente Excepción de característica

Servicios No hay recomendaciones adicionales

Protocolos No hay recomendaciones adicionales

Cuentas Eliminación manual y regular de cuentas no usadas.

Archivos y directorios No hay recomendaciones adicionales

Configuración de SQL Server Consulte la orientación para la configuración de SQL Server más

adelante en este tópico.

Uso compartido No hay recomendaciones adicionales

Puertos Bloquee el puerto UDP 1434.

Considere el bloqueo del puerto TCP 1433.


13

Registro No hay recomendaciones adicionales

Auditoría y registro No hay recomendaciones adicionales

Seguridad de SQL Server No hay recomendaciones adicionales

Inicios de sesión, usuarios y funciones de

SQL Server


Objetos de base de datos de SQL Server No hay recomendaciones adicionales

BIBLIOGRAFIA

http://msdn.microsoft.com/es-es/library/aa302434.aspx






Documents

95383198-Windows-Server-2008