Magic Quadrant™ para la gestión de acceso privilegiado 2025: Netwrix reconocida por cuarto año consecutivo. Descarga el informe.

ContáctenosSoporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluciones

Data Security Posture Management

Descubra y clasifique datos en entornos híbridos. Evalúe, priorice y mitigue los riesgos para los datos sensibles.

Directory Management

Simplifique y asegure la administración del directorio reduciendo la complejidad, el riesgo y el esfuerzo manual.

Endpoint Management

Asegure los endpoints y prevenga la pérdida de datos mientras mantiene a los equipos productivos, sin importar dónde trabajen.

Identity Management

Asegure cada identidad, agilice cada proceso y manténgase a la vanguardia del cumplimiento, sin añadir complejidad.

Identity Threat Detection & Response

Manténgase a la vanguardia de las amenazas basadas en identidades: remedie proactivamente los riesgos, bloquee ataques y asegure una recuperación rápida.

Privileged Access Management

Reduzca su superficie de ataque eliminando privilegios permanentes, asegurando credenciales y monitoreando sesiones privilegiadas.
Productos destacados Ver todos los productos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

La plataforma Netwrix 1Secure™

Explorar
Netwrix AI Entornos que protegemos Integraciones MSPs Riesgos de seguridad de Active Directory Cumplimiento Precios
Centro de Recursos Ver todo
BlogAttack CatalogCumplimientoHistorias de clientesMarcos de CiberseguridadGlosario de CiberseguridadEventosFreewareGuíasIdeas PortalNoticiasPodcastsPublicacionesAnuncios de ProductosInvestigaciónWebinars
Asset not found

Historia Destacada de un Cliente

DXC Technology permite a los clientes lograr el cumplimiento de PCI DSS y centrarse en iniciativas estratégicas
Socios
Programa de SociosConviértete en un SocioMSPsBuscador de sociosWebinars
Asset not found

Historia Destacada de Cliente

AppRiver mejora el control sobre Active Directory al tiempo que reduce significativamente el tiempo de auditoría
Asset not found

Historia Destacada de un Cliente

MSP ayuda a cliente a recuperarse de un ransomware en 6 horas
¿Por qué Netwrix?
Acerca de nosotrosLiderazgoNetwrix AIHistorias de clientesReconocimientoNoticiasCarreras
Asset not found

Historia Destacada de un Cliente

Horizon Leisure Centres acelera la clasificación de datos para cumplir con el RGPD y ahorra £80,000 al año
Asset not found

Historia Destacada de un Cliente

Samsung R&D Institute protege los datos con uso multiplataforma y despliegue rápido en macOS utilizando Netwrix Endpoint Protector
Centro de recursosLista de verificación
Lista de verificación para el endurecimiento de Windows Server

Lista de verificación para el endurecimiento de Windows Server

Aunque desplegar servidores en su estado predeterminado puede ser la forma más rápida de ponerlos en funcionamiento, queda considerablemente corto en términos de seguridad. De fábrica, los servidores están optimizados para la facilidad de uso, lo que a menudo se hace a expensas de la seguridad.

Esta advertencia es particularmente importante para los sistemas Windows Server debido al papel vital que desempeñan en el ecosistema de Microsoft, incluyendo tanto la autenticación como la autorización. Al invertir un poco más de tiempo configurando sus sistemas Windows Server de manera segura, puede reducir drásticamente su superficie de ataque.

Para ayudar, esta guía ofrece una lista de verificación extensa de las mejores prácticas de endurecimiento de Windows Server. Primero, cubriremos el propio Windows Server: usuarios, características, roles, servicios y demás. Pero luego proporcionaremos una guía de endurecimiento de Windows para una variedad de otros aspectos del entorno de TI que también impactan en la seguridad y disponibilidad de Windows Server, como la configuración de red y firewall, configuración de aplicaciones y servicios, gestión de accesos y políticas de auditoría. Finalmente, ofreceremos una solución que simplifica drásticamente el proceso de endurecimiento de servidores.

Preparación del servidor

El endurecimiento del servidor comienza incluso antes de instalar el sistema operativo. Para proporcionar una base sólida para la seguridad del servidor, siga los siguientes pasos:

  • Establezca y mantenga un inventario detallado de todos sus servidores.
  • Aísle los nuevos servidores del tráfico de red e internet hasta que estén completamente reforzados.
  • Asegure el BIOS/firmware con una contraseña robusta.
  • Deshabilite el inicio de sesión administrativo automático en la consola de recuperación.
  • Configure el orden de arranque del dispositivo para evitar el arranque desde medios alternativos.

Actualice la instalación de Windows Server y manténgala actualizada

Después de instalar el sistema operativo Windows Server, actualícelo inmediatamente con los últimos parches para mitigar las vulnerabilidades conocidas. Las actualizaciones se pueden descargar directamente de Microsoft o a través de Window Server Update Services (WSUS) o System Center Configuration Manager (SCCM).

Para ayudar a mantener sus servidores seguros, active la notificación automática de disponibilidad de parches e instale las actualizaciones con prontitud. Sin embargo, antes de implementar cualquier parche, hotfix o service pack, asegúrese de probarlo a fondo para garantizar que funcione correctamente en su entorno específico.

Fortalecimiento de la seguridad de cuentas de usuario

Tan pronto como un servidor esté desplegado y actualizado con los parches de seguridad, proceda a la configuración de seguridad de usuario para mitigar el riesgo de acceso no autorizado. Las mejores prácticas de configuración de usuario clave incluyen lo siguiente:

  • Deshabilite la cuenta de invitado en cada servidor.
  • Cambie el nombre de la cuenta de Administrador local o desactívela y cree una nueva cuenta con un nombre único.
  • Minimice tanto la membresía como los permisos de grupos integrados como Local System (NT AUTHORITY\System), Network Service (NT AUTHORITY\NetworkService), Administradores, Operadores de Copia de Seguridad, Usuarios y Todos. Por ejemplo, para evitar el acceso remoto ilimitado a sus servidores, asegúrese de cambiar la configuración predeterminada que otorga el derecho 'Acceder a este equipo desde la red' al grupo Todos.
  • Asegúrese de que las contraseñas de las cuentas de sistema y administrador se adhieran a las mejores prácticas de contraseñas. En particular, exija que estas contraseñas tengan al menos 15 caracteres de longitud y usen una combinación de letras, números y caracteres especiales, y que se cambien cada 90–180 días.
  • Configure una política de bloqueo de cuenta de acuerdo con las mejores prácticas de bloqueo de cuenta.
  • Deshabilite la traducción anónima de SID/Nombre.
  • Desactive o elimine rápidamente las cuentas de usuario que no se utilicen.
  • Exija que los administradores de servidores inicien sesión utilizando una cuenta de administrador local en lugar de una cuenta de dominio privilegiada para limitar el riesgo de problemas o compromisos en todo el dominio.

Configuración de características y roles

Otra mejor práctica importante para reforzar la seguridad de los servidores Windows es eliminar cualquier característica y rol que no sea necesario para el propósito previsto del servidor. Esta estrategia reduce la superficie de ataque y también hace que el servidor sea más fácil de gestionar.

Configuración de aplicaciones y servicios

Del mismo modo, minimice la cantidad de aplicaciones, servicios y protocolos que están instalados en cada servidor. En particular, no instale ningún navegador web adicional en el servidor y restrinja el acceso a la web para todos los usuarios.

Limitar las aplicaciones y servicios que se ejecutan en un servidor reduce su superficie de ataque y también simplifica la gestión de actualizaciones y parches.

Configuración de red

La configuración de su red impacta drásticamente en la seguridad de sus servidores Windows. Aquí hay algunas prácticas clave de configuración de red que debe seguir.

  • Aísle el servidor de redes o segmentos no confiables utilizando VLANs, subnetting u otras técnicas de segregación de red. Esta estrategia limita la exposición del servidor a posibles amenazas.
  • Asegúrese de que las configuraciones de DNS y nombre de host sean precisas para prevenir manipulaciones relacionadas con DNS.
  • Implemente restricciones de IP y reglas de filtrado para controlar qué direcciones IP o rangos pueden comunicarse con el servidor. Esto ayuda a limitar el acceso no autorizado y la exposición a ataques.
  • Si se requiere administración remota, limite el acceso RDP a direcciones IP específicas o redes para ayudar a prevenir el acceso no autorizado.
  • Deshabilite tanto NetBIOS sobre TCP/IP como la búsqueda de LMHosts a menos que sean necesarios para software o hardware heredado.

Configuración de Firewall

Para ayudar a proteger sus servidores Windows de accesos no autorizados y tráfico malicioso, siga estas mejores prácticas de configuración de firewall:

  • Active el firewall de Windows.
  • Configure cada perfil de firewall de Windows (Dominio, Privado y Público) para bloquear el tráfico entrante por defecto. Cuando el acceso entrante sea necesario para un servidor, limítelo a los protocolos esenciales, puertos y direcciones IP específicas.
  • Abra solo los puertos de red necesarios; restrinja o deniegue el acceso para todos los demás puertos.

Configuración de la hora de red (NTP)

NTP es vital para garantizar marcas de tiempo precisas en los eventos, lo que ayuda a las organizaciones a protegerse contra ataques de suplantación de tiempo y de reproducción.

Designe un servidor específico como el principal cronometrador y configúrelo para sincronizarse con una fuente de reloj atómico de confianza. Luego, establezca una política que exija que todos los servidores y estaciones de trabajo sincronicen su tiempo exclusivamente con ese servidor.

Configuración del Registro

Configurar adecuadamente los ajustes del registro y controlar los cambios en ellos también es vital para la seguridad del servidor. Las mejores prácticas incluyen lo siguiente:

  • Si el servicio de Registro Remoto no es necesario, deshabilítelo. Si se necesita, controle estrictamente el acceso a él.
  • Deshabilite los ajustes "NullSessionPipes" y "NullSessionShares" para limitar el acceso anónimo a los recursos de la red.
  • Permita solo a usuarios autorizados y administradores modificar claves y subclaves del registro críticas.

Cifrado

Para mejorar la seguridad del servidor, es recomendable habilitar y configurar el cifrado de unidad BitLocker para todo el sistema, así como cualquier unidad adicional que contenga datos. Para una protección de datos más detallada, considere utilizar el Sistema de Cifrado de Archivos (EFS) para cifrar archivos individuales.

Para garantizar la confidencialidad y la integridad de los datos en toda la red, puede implementar IPsec para cifrar el tráfico de red entre servidores.

Access Management

La gestión de acceso es un componente crítico de la lista de verificación de endurecimiento de Windows porque controla quién puede acceder a qué recursos de TI y qué nivel de acceso tienen. Las mejores prácticas de gestión de acceso incluyen lo siguiente:

  • Aplique el principio de mínimo privilegio otorgando a los usuarios y procesos los derechos mínimos necesarios para realizar sus tareas. En particular, sea muy cuidadoso al otorgar permisos al grupo Todos.
  • Permitir solo a usuarios autenticados acceder a cualquier computadora desde la red.
  • Configure los tipos de cifrado permitidos para la autenticación Kerberos.
  • No almacene valores de hash de LAN Manager.
  • Deshabilite el uso compartido de archivos e impresoras si no es necesario.
  • Deshabilite el protocolo NTLMv1 a menos que sea necesario para dar soporte a tecnología más antigua.

Configuración de Acceso Remoto

El Protocolo de Escritorio Remoto (RDP) es un objetivo común para los hackers, por lo que solo se debe habilitar si es necesario. Si el RDP está habilitado, configure el nivel de cifrado de la conexión RDP en alto.

Además, otorgue derechos de acceso remoto solo a los usuarios específicos que los necesiten y, si es posible, utilice la autenticación multifactor (MFA) para agregar una capa adicional de protección.

Prácticas generales de endurecimiento de seguridad

Considere implementar estas mejores prácticas generales de seguridad:

  • Deshabilite el uso de medios extraíbles, como memorias USB, para mitigar el riesgo de exfiltración de datos e inyección de malware.
  • Muestre un aviso legal como el siguiente antes de que el usuario inicie sesión: “Está prohibido el uso no autorizado de este ordenador y de los recursos de red.”
  • Requiera Ctrl+Alt+Del para inicios de sesión interactivos y configure un límite de tiempo para terminar automáticamente las sesiones interactivas inactivas.
  • Si el servidor tiene suficiente RAM, considere deshabilitar el archivo de intercambio de Windows para mejorar el rendimiento y reforzar la seguridad al evitar que los datos sensibles se escriban en el disco duro.

Guía de fortalecimiento de Windows Server: Recomendaciones adicionales

Otras recomendaciones de endurecimiento incluyen lo siguiente:

  • Realice evaluaciones de riesgos regulares y utilícelas para actualizar su plan de gestión de riesgos.
  • Utilice una solución de seguridad de Endpoint para proteger sus servidores y otras máquinas. Windows Defender está incluido por defecto, pero también hay soluciones de terceros disponibles. Considere también la protección contra programas espía.
  • Instale una solución de prevención de pérdida de datos (DLP) para ayudar a proteger la información sensible contra el acceso indebido y las fugas.
  • Monitoree la actividad que podría comprometer la seguridad del servidor. Los registros nativos proporcionan cierta información; estos registros se pueden revisar usando Windows Event Viewer. Pero para capacidades de registro y monitoreo más completas, implemente una solución de auditoría empresarial que ofrezca no solo monitoreo sino también características avanzadas como análisis de comportamiento de usuarios (UBA), alertas en tiempo real y respuesta automática a incidentes.

Cómo Netwrix puede ayudar

Netwrix Change Tracker simplifica drásticamente el endurecimiento y la gestión de configuración de Windows Server. En particular, lo hace:

  • Facilita el establecimiento de configuraciones de línea base seguras que se ajustan a estándares como los de Center for Internet Security (CIS) y la US Department of Defense Security Technical Implementation Guide (STIG)
  • Detecta automáticamente desviaciones o cambios respecto a tus configuraciones de referencia utilizando tecnología de monitoreo de integridad de sistema y archivos (FIM)
  • Se coordina con su solución de gestión de servicios de TI (ITSM) para identificar cambios de configuración inesperados y alertar a los administradores
  • Acelera la respuesta a incidentes proporcionando información detallada sobre los cambios
  • Simplifica las auditorías de cumplimiento con informes predefinidos que cubren NIST, PCI DSS, CMMC, STIG y NERC CIP.

Compartir en

Recursos Relacionados

Profundiza con nuestros recursos relacionados

Centro de Recursos
eBook

Facilitando la prevención de pérdida de datos con Netwrix Solutions

Prevención de Pérdida de Datos
eBook

Desplegando software en Windows: Doloroso pero no tiene que serlo

Endpoint Management