Cómo proteger los servidores locales de Microsoft
Muchas organizaciones siguen teniendo servidores locales de Microsoft Exchange, SharePoint u Office con protecciones inadecuadas.
Todavía estamos en un mundo local, como ha reconocido recientemente Microsoft. La empresa ha anunciado un aumento en su recompensa por errores de seguridad para Exchange, SharePoint y otros servidores de Office en las instalaciones. Algunos de los ataques recientes más preocupantes a servidores locales no han sido contra Windows o servidores web, sino contra SharePoint y especialmente contra servidores Exchange.
Los investigadores de seguridad se han quejado durante mucho tiempo de que los servidores locales Exchange recibieron muy poca compensación económica para encontrar problemas de seguridad. Esto llegó a su punto álgido en marzo de 2021, cuando el ataque Hafnium tuvo como objetivo los servidores locales Exchange. El ataque fue tan impactante que incluso el gobierno federal de los Estados Unidos se puso en contacto y "parcheó" los servidores Exchange afectados.
ProxyLogon y ProxyShell fueron descubiertos por Orange Tsai, que presentó los fallos de Exchange en BlackHat. Dijo que Microsoft no estaba incentivando a los investigadores a escudriñar estos importantes productos heredados. Está claro que Microsoft ha captado el mensaje, ya que ahora incluye estos productos en su programa de recompensas por fallos.
Muchos servidores heredados todavía están mezclados, incluyendo Windows Server 2012 R2 y Windows Server 2016. Puede que no todos sean máquinas físicas. Si eres como yo, la mayoría de tus máquinas son servidores HyperV de varios roles y edades. En el caso de Server 2012 R2, debe planificar ahora su desaparición definitiva el 10 de octubre de 2023. Planifica ahora la actualización a un sistema operativo más reciente o la conversión de los servicios y roles de ese servidor a algo en una plataforma en la nube. Ten siempre en cuenta que los servicios y roles de una plataforma pueden tener sentido en una ubicación distinta a la actual.
Características locales de Microsoft Defender para servidores
Microsoft también sabe que todavía tenemos bastantes recursos que siguen en servidores tradicionales y no en Azure u otros servicios en la nube. Un ejemplo es Microsoft Defender for Servers, que acaba de pasar a disponibilidad general a partir del 11 de abril de 2022. Lleva el Microsoft Defender for Endpoint en Windows Server 2019 a estas plataformas más antiguas de Server 2012 R2 y Server 2016. El despliegue permite utilizar la directiva de grupo y los comandos de PowerShell y Microsoft Endpoint Configuration Manager para gestionar el despliegue.
Si utilizas Microsoft Defender for Endpoint, es posible que ya hayas visto alertas en su consola de que aquellas máquinas que no están protegidas.
Defender for Servers identifica aquellas áreas que pueden estar en riesgo de ataque. Está diseñado para identificar los siguientes riesgos y mejorar las recomendaciones:
- Acceso inicial: los servidores suelen ser el primer punto de entrada para los atacantes motivados. La capacidad de controlar los signos de entrada a través de servicios vulnerables de cara al público es fundamental.
- Acceso a credenciales: los servidores suelen contener credenciales sensibles en la memoria, procedentes del mantenimiento del administrador o de otras actividades. Las protecciones de memoria mejoradas ayudan a identificar posibles actividades de robo de credenciales.
- Movimiento lateral: la mejora de la actividad de inicio de sesión de los usuarios permite un mejor mapeo de los intentos de movimiento a través de la red hacia o desde los servidores.
- Evasión de la defensa: el endurecimiento mejorado a través de la protección contra la manipulación proporciona a los controles de seguridad la mejor oportunidad de prevenir los efectos más dañinos del ransomware en los activos de alto valor, como los servidores.
Si actualmente utilizas una solución antivirus de terceros, es posible que tengas que tomar medidas adicionales para integrar Defender for Servers. Normalmente, Defender se desactiva cuando se instala un antivirus de terceros.
Se ofrecen dos nuevas licencias para Defender for Servers. Microsoft Defender for Servers Plan 2, anteriormente Defender for Servers, y Microsoft Defender for Servers Plan 1, que sólo incluye soporte para Defender for Endpoint. Como señala Microsoft, "Microsoft Defender for Servers Plan 2 continúa proporcionando, protecciones completas contra amenazas y vulnerabilidades a sus cargas de trabajo en la nube y en las instalaciones, Microsoft Defender for Servers Plan 1 proporciona protección de punto final solamente, impulsado por Microsoft Defender for Endpoint y nativamente integrado con Defender for Cloud."
Una cosa que notarás cuando incorporea los servidores al servicio es que los servidores suelen ser tan "habladores" como las estaciones de trabajo. Una de las características de Defender es una "línea de tiempo" que muestra lo que está sucediendo con el sistema. A menudo puede mostrar acciones inusuales antes de que se inicien.
Microsoft Defender, para servidores en AWS y GCP
Si implementa servidores en Amazon Web Services (AWS) o Google Cloud Platform (GCP), y puede utilizar Defender for Servers para proteger y analizar los servidores en cualquier lugar y supervisar los servidores desde la misma consola. También ofrece recomendaciones para reforzar y defender mejor los servidores. Por ejemplo, en la sección de recomendaciones identifica las recomendaciones que cada plataforma puede soportar.
Las recomendaciones son a menudo las que pasamos por alto en los dispositivos más antiguos; por ejemplo, establecer el nivel de seguridad del Escritorio Remoto en TLS. Esto proporciona más protección a la conexión remota. Para seguir los cambios recomendados, establezca los siguientes ajustes en el registro:
Opción 1
Establece el valor de la siguiente directiva de grupo, SSL (TLS 1.0):
Configuración del equipo Plantillas administrativas/Componentes de Windows/Servicios de escritorio remoto/Host de sesión de escritorio remoto/Seguridad/Requerir el uso de una capa de seguridad específica para conexiones remotas (RDP)
Opción 2
Establece el siguiente valor del registro con el valor REG_DWORD de "2":
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\SecurityLayer
Otra recomendación de Defender es una configuración para habilitar la protección de la autoridad de seguridad local. Establece el siguiente valor del registro en "1":
HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL
El intercambio de archivos en bloque de mensajes de servidor (SMB) es una plataforma antigua que expone la red a los atacantes que utilizan ataques de colisión conocidos para obtener acceso. Defender for Servers marca aquellos servidores que todavía utilizan perfiles de comunicación inseguros y heredados.
La recomendación es desactivar la compatibilidad con SMBv1, lo que puede impedir el acceso a los recursos de intercambio de archivos o de impresión con sistemas o dispositivos que sólo admiten SMBv1. SMBv1 es un protocolo heredado que utiliza el algoritmo MD5 como parte de SMB. Se sabe que MD5 es vulnerable a ataques como el de colisión y el de preimagen, además de no ser compatible con FIPS.
Tendremos en las instalaciones durante bastantes años en el futuro. Utilice estos recursos para protegerse mejor a sí mismo y a su red para asegurarse de que está protegido de los atacantes que saben que tenemos estos servidores también.
