GuilleSQL :: Microsoft SQL Server, SSIS, y más !!

Security Configuration Wizard (SCW y SCWCMD)


Este Artículo presenta la herramienta Security Configuration Wizard (SCW), disponible desde Windows Server 2003 Service Pack 1. Esta herramienta nos facilita la tarea de securizar nuestros servidores, incluso podremos generar Políticas de Directorio Activo (GPO) con dichas configuraciones. De forma adicional, Security Configuration Wizard (SCW) está preparada para considerar configuraciones particulares de productos como Microsoft Exchange Server 2003, Microsoft Biztalk 2004, Microsoft Operation Manager 2005, Microsoft Host Integration Server 2004 (HIS), Microsoft SQL Server 2000, Microsoft Sharepoint Portal Server, etc., gracias a su base de datos de configuraciones (Security Configuration Database).

Introducción a SCW

Una herramienta que puede resultar útil ejecutar después de instalar nuestras máquinas (tanto Sistema Operativo como Productos), es Security Configuration Wizard (SCW). La utilidad SCW se instala desde Agregar o Quitar Programas (Add or Remove Programs) en Windows Server 2003 SP1 o superior. Se trata de un asistente que permite construir políticas de seguridad (ficheros XML) en función de los roles que desempeña el servidor, y del mismo modo, también permite aplicar y editar dichas políticas (ficheros XML), además de deshacer la última política aplicada (Rollback). No se trata de una herramienta específica para ningún producto (ofrece soporte para muchos: Microsoft Exchange Server 2003, Microsoft Biztalk 2004, Microsoft Operation Manager 2005, Microsoft Host Integration Server 2004 (HIS), Microsoft SQL Server 2000, Microsoft Sharepoint Portal Server, etc.), si está preparada para analizar éste tipo de servidores, siendo capaz de diferenciar configuraciones particulares de cada producto (ej: diferenciar entre servidores de Backend y de Frontend de Microsoft Exchange Server 2003).

Security Configuration Wizard (SCW), una vez instalado, está disponible desde el menú de Herramientas Administrativas (Administrative Tools). Al abrir SCW, podremos elegir entre:

  • Create a new security policy. Permite crear una nueva política (fichero XML).
  • Edit an existing security policy. Permite editar una política (fichero XML) existente.
  • Apply an existing security policy. Permite aplicar una política (fichero XML) existente.
  • Rollback the last applied security policy. Permite deshacer los cambios aplicados por la última política aplicada.

Con la instalación de SCW, también es importante tener en cuenta que se instala los ficheros de ayuda, así como la utilidad de línea de comandos SCWCMD.

Crear una Política (fichero XML) con SCW

Al crear una nueva política de seguridad de SCW, el asistente nos solicitará la siguiente información:

  • Roles que desempeña el servidor. Los roles que indiquemos, los utilizará SCW para identificar qué servicios y puertos son necesarios y cuáles no. Existen multitud de roles, como Application Server, Cluster Server, File Server, Exchange 2003 back-end server, etc. Para no marearnos con tantos roles, es posible filtrar por los Roles instalados.
  • Características de cliente utilizadas por el servidor. Del mismo modo, los utilizará SCW para identificar qué servicios y puertos son necesarios y cuáles no. Existen multitud de características de cliente, como DNS Client, Domain Member, SQL Client, etc. Para no marearnos con tantas características de cliente, es posible filtrar por las instaladas.
  • Opciones de administración. En función de los Roles de servidor y de las Características de cliente seleccionadas anteriormente, se puede establecer algunas opciones para ajustar más la configuración. Por ejemplo, si se eligió el rol de Exchange 2003 back-end server, es posible en este paso, especificar si nuestro servidor de Back-end utilizará POP3 ó IMAP4, para poder identificar con mayor detalle los servicios y puertos necesarios.
  • Servicios adicionales. Aquí se puede especificar alguna opción más, como por ejemplo, Microsoft iSCSI Initiator.
  • Especificar el modo de inicio de los servicios desconocidos. Es posible indicar si los servicios desconocidos se desean deshabilitar o mantener su estado de inicio actual.
  • Confirmar los cambios en los servicios. Si alguno de los cambios que se muestran no es deseado, es posible volver atrás en el asistente, para indicar la configuración deseada.
  • Configurar Puertos y Aplicaciones de Windows Firewall (opcional). Esta sección es opcional (se puede omitir). En caso contrario, se habilitará Windows Firewall conforme a la configuración que se indique. Para cambiar dicha configuración, es posible volver atrá en el asistente para indicar la configuración deseada, o bien modificar manualmente desde aquí la configuración de puertos y aplicaciones.
  • Configuración de Registro (opcional). Permite requerir la firma digital del tráfico SMB y el nivel de autenticación de LAN Manager (NTLM).
  • Configurar Políticas de Auditoría (opcional). Permite especificar qué se desea auditar (Account Logon Events, Account Management, Directory Service Access, Logon Events, Object Access, Policy Change, Privilege Use, Process Tracking, System Events) y con qué nivel (éxito y/o fracaso). Adicionalmente, se permite especificar si se desea aplicar también la plantilla de seguridad ASCAudit.inf (esta acción no se puede deshacer posteriormente con un Rollback de SCW), con el fin de auditar las modificaciones realizadas a la estructura de directorio WINDOWS y los cambios en los servicios.
  • Configurar IIS (opcional). Permite especificar qué extensiones del servicio Web se desean habilitar (sin ninguna extensión, sólo se podrían servir contenidos estáticos), como por ejemplo Active Server Pages, ASP.NET v1.1.4322, ASP.NET v2.0.50727, Microsoft Exchange Server, WebDAV, etc. También es posible eliminar algunos directorios virtuales por defecto (ej: IISAdmin, IISHelp, IISSamples, MSADC, Scripts), deshabilitar el acceso anónimo y denegar la escritura a usuarios anónimos.
  • Importar Plantillas de Seguridad (opcional). De forma adicional, es posible aplicar Plantillas de Seguridad (ficheros inf) con configuraciones extras.
  • Aplicar la nueva Política de Seguridad. Finalizado el asistente, podemos aplicar la nueva política que hemos creado (requiere reiniciar la máquina), o bien, guardarla y aplicarla posteriormente con SCW (opción recomendada).

Cómo crear una Política de Directorio Activo (GPO) desde una Política de SCW (fichero XML)

Resulta de gran utilidad crear una Política de Directorio Activo (GPO) desde una Política de SCW (fichero XML). Para poder realizar ésto, deberemos tener en cuenta que:

  • Esta tarea no se puede hacer desde la herramienta gráfica de SCW. Debe realizarse utilizando la utilidad de línea de comandos SCWCMD con la opción TRANSFORM (SCWCMD TRANSFORM). Se especificará por parámetros el nombre del fichero XML de la política SCW, así como el nombre de la GPO deseado. Al ejecutar SCWCMD TRANSFORM se creará dicha Política de Directorio Activo (GPO), por lo que será necesario conectarse a Directorio Activo para enlazar (link) dicha GPO con la o las Unidades Organizativas (OUs) de Directorio Activo en que se desee aplicar dichas configuraciones. La ejecución de SCWCMD TRANSFORM debe realizarse con un usuario Administrador del Dominio.
  • Las configuraciones de IIS no se puede aplicar a través de GPO, y las configuraciones de Windows Firewall deben transformarse desde un equipo con Windows Firewall activado. En caso contrario, el intento de ejecución de SCWCMD, implicará que su ejecución no finalice con éxito y no se cree la GPO.

A modo de ejemplo, si deseamos crear una nueva GPO denominada prueba, desde un fichero XML de SCW denominado prueba.xml, deberíamos ejecutar:

scwcmd transform /p:prueba.xml /g:prueba


[Fecha del Artículo (UTC): 20/04/2008]
[Autor: GuilleSQL]



Escribir un Comentario

Para poder escribir un comentario, debe Iniciar Sesión con un usuario.

Si no dispone de un usuario, puede Registrarse y hacerse miembro.

Si dispone de un usuario, pero no recuerda sus credenciales de acceso, puede Restablecer su Contraseña.

Miembros de
Miembros de GITCA (Global IT Community Association)

Menu de Usuario
  Iniciar Sesión
  Registrarse
  Restablecer Contraseña
  Ventajas de Registrarse

Acerca de
  Contigo desde Oct 2007
  771 usuarios registrados
  86146 pageloads/mes
  Ranking Alexa 498160

Social Networks
Sigue a Portal GuilleSQL en Linkedin !!
Sigue a Portal GuilleSQL en Twitter !!



Archivo

Mayo de 2018 (4)
Abril de 2018 (3)
Marzo de 2018 (2)
Febrero de 2018 (7)
Enero de 2018 (1)
Diciembre de 2017 (15)
Noviembre de 2017 (7)
Junio de 2017 (3)
Mayo de 2017 (1)
Marzo de 2017 (3)
Enero de 2017 (4)
Junio de 2016 (1)
Mayo de 2016 (2)
Abril de 2016 (2)
Septiembre de 2015 (2)
Agosto de 2015 (2)
Junio de 2015 (10)
Mayo de 2015 (4)
Abril de 2015 (8)
Marzo de 2015 (11)
Octubre de 2014 (3)
Septiembre de 2014 (7)
Agosto de 2014 (5)
Julio de 2014 (2)
Mayo de 2014 (4)
Abril de 2014 (4)
Marzo de 2014 (4)
Febrero de 2014 (1)
Enero de 2014 (5)
Diciembre de 2013 (8)
Noviembre de 2013 (2)
Octubre de 2013 (7)
Septiembre de 2013 (6)
Agosto de 2013 (1)
Julio de 2013 (6)
Junio de 2013 (11)
Mayo de 2013 (7)
Abril de 2013 (6)
Febrero de 2013 (5)
Enero de 2013 (7)
Diciembre de 2012 (12)
Noviembre de 2012 (13)
Octubre de 2012 (5)
Septiembre de 2012 (3)
Agosto de 2012 (6)
Julio de 2012 (4)
Junio de 2012 (1)
Mayo de 2012 (2)
Abril de 2012 (7)
Marzo de 2012 (16)
Febrero de 2012 (9)
Enero de 2012 (5)
Diciembre de 2011 (10)
Noviembre de 2011 (10)
Octubre de 2011 (4)
Septiembre de 2011 (5)
Agosto de 2011 (2)
Julio de 2011 (2)
Junio de 2011 (4)
Mayo de 2011 (2)
Abril de 2011 (6)
Marzo de 2011 (4)
Febrero de 2011 (10)
Enero de 2011 (5)
Diciembre de 2010 (6)
Noviembre de 2010 (4)
Octubre de 2010 (8)
Septiembre de 2010 (4)
Agosto de 2010 (1)
Julio de 2010 (3)
Mayo de 2010 (5)
Abril de 2010 (6)
Marzo de 2010 (8)
Febrero de 2010 (3)
Enero de 2010 (1)
Diciembre de 2009 (9)
Noviembre de 2009 (14)
Octubre de 2009 (2)
Septiembre de 2009 (8)
Agosto de 2009 (2)
Julio de 2009 (10)
Junio de 2009 (9)
Mayo de 2009 (10)
Abril de 2009 (9)
Marzo de 2009 (3)
Febrero de 2009 (2)
Enero de 2009 (3)
Noviembre de 2008 (2)
Octubre de 2008 (2)
Septiembre de 2008 (2)
Agosto de 2008 (5)
Julio de 2008 (5)
Junio de 2008 (1)
Mayo de 2008 (3)
Abril de 2008 (2)
Marzo de 2008 (2)
Febrero de 2008 (2)
Enero de 2008 (5)
Noviembre de 2007 (2)
Octubre de 2007 (2)






Esta información se proporciona "como está" sin garantías de ninguna clase, y no otorga ningún derecho.
This information is provided "AS IS" with no warranties, and confers no rights.

Copyright © 2007 GuilleSQL, todos los derechos reservados.
GuilleSQL.com y GuilleSQL.net son también parte de Portal GuilleSQL.

Visitas recibidas (Page Loads) en GuilleSQL (fuente: StatCounter):

screen resolution stats
Visitas