Richard Hicks, premiado con el título de Most Valuable Professional por Microsoft, ha publicado una pequeña solución para un problema de fortificación utilizando Security Configuration Wizzard en un entorno con Forefront TMG 2010 y Windows Server 2008 R2 Service Pack 1. Si se intentan registrar las plantillas para Security Configuration Wizzard que vienen con TMGRolesforSCW.exe que viene en Forefront TMG 2010 Tools & SDK se obtiene el siguiente mensajes de error:


Figura 1: Error obtenido al registrar la plantilla de Service Pack 0

Es por ello necesario adaptar la plantilla de WindowsServer2008R2SP0 para que funcione para el Service Pack 1. Como la plantilla del Service Pack 0 es totalmente funcional para el Service Pack 1, basta con crear una copia del fichero de plantilla, llamado SCW_TMG_W2K8R2_SP0.xml y renombrarlo a SCW_TMG_W2K8R2_SP1.xml.

Una vez hecho esto, hay que abir el fichero con un editor de texto y buscar el nodo SCWKBRegistrationInfo, que está en la líena 2. Allí hay que cambiar el valor de la clave ServicePackMajorVersion que está puesto a “0” y ponerlo a “1”. Una vez guardado el fichero se puede registrar la plantilla para Security Configuration Wizzard haciendo uso del comando:

scwcmd register /kbname:TMG /kbfile:scw_tmg_w2k8r2_sp1.xml
 

Los próximos días 7 y 8 de Junio, Rubén Alonso, premiado como Microsoft Most Valuable Professional en tecnologías SharePoint, impartirá un seminario de Fortificación de SharePoint en las oficinas de Microsoft Ibérica en Madrid. El Hands On Lab se realizará en horario de 16:00 a 18:30 y todos los asistenes obtendrán como material del curso una copia del libro escrito por Rubén titulado: SharePoint 2010: Seguridad en el que se abarcan conceptos de fortificación y auditoría de seguridad. La agenda completa del seminario es la siguiente:


VHOL-SEG45 Fortificación de Ms SharePoint Server 2010
6 y 7 de Junio en horario 16:00 a 18:30
Al finalizar este Hands On Lab, el asistente conocerá los procedimientos para el endurecimiento y protección de un sistema de Microsoft SharePoint Server 2010. Conocerá cómo trabaja el modelo de funcionalidad y seguridad del servicio. Dentro de los procedimientos a llevar a cabo para la protección del sistema se realizarán mecanismos de copia de seguridad y la gestión de los mecanismos de auditoría. En última instancia se habrá abordado los mecanismos de protección de los documentos, tales como la protección de metadatos en documentos o las soluciones antimalware con tecnolgoías Forefront Protection 2010 for SharePoint y Metashield Protector que pueden implementarse sobre el servidor.
Agenda y Registro
 

Los procesos de fortificación, constituyen un mecanismo esencial para garantizar la seguridad de un servicio. En ocasiones anteriores se planteaba en este mismo blog la fortificación a través de plantillas para Forefront TMG 2010. Un procedimiento similar puede realizarse con otro de los productos de la familia: MS Forefront Unified Access Gateway 2010.



El proceso de fortificación, consiste en la modificación de determinadas variables que se recogen a nivel de registro. Hay que tener en cuenta que la aplicación de una plantillas, pudiera tener consecuencias diferentes a las deseadas bajo determinadas condiciones, puesto que cuando se diseñan no se pueden evaluar todas las circunstancias. Por ejemplo determinadas aplicaciones ajenas a Microsoft instaladas en el servidor o bien configuraciones de escenarios de uso para MS Forefront UAG 2010 que pudieran ser muy particularidades.

Copia de Seguridad previa

Ante de realizar la aplicación de las plantillas sería recomendable realizar una copia de seguridad del registro. Habrá que asegurarse que en el servicio de MS Forefront UAG 2010, no quedan cambios pendientes y que la configuración se encuentra activada. Hay que tener presente que no todo el registro se verá afectado, sino solamente determinadas claves. Si se desea ser más específico en la copia de seguridad de la información a continuación se detallan las claves que se verán afectadas por la política.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\EnterpriseCertificates
• HKEY_LOCAL_MACHINE\Software\Microsoft\Speech
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\EFS
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\PerHwIdStorage
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Ports
• KEY_LOCAL_MACHINE\System
• HKEY_LOCAL_MACHINE\SYSTEM\Clone
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet010
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AppMgmt\Security
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SCardSvr\Security
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Hardware Profiles
• HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\SystemCertificates\Root\ProtectedRoots

Debería realizarse también una copia de seguridad de los ficheros existentes en las siguientes rutas:

• %ProgramFiles%\Common Files\SpeechEngines\Microsoft\TTS20
• %ProgramFiles(x86)%\Common Files\SpeechEngines\Microsoft\TTS20
• %SystemRoot%\ServiceProfiles\LocalService
• %SystemRoot%\ServiceProfiles\NetworkService
• %SystemDirectory%\wbem\mof
• %SystemDrive%\inetpub\logs\wmsvc
• %SystemRoot%\SysWOW64\inetsrv\Config\Export
• %SystemDirectory%\config\RegBack\default
• %SystemDirectory%\config\systemprofile\ntuser.dat
• %SystemDirectory%\config\RegBack\sam
• %SystemDirectory%\config\RegBack\security
• %SystemDirectory%\config\RegBack\software
• %SystemDirectory%\config\RegBack\system

Forefront UAG 2010: Security Policy Template

La descarga de la plantilla puede realizarse desde el centro de descargas de Microsoft: Platilla fortificación Forefront UAG 2010. El fichero zip descargado contiene la plantilla en formato XML que será utilizado para su aplicación a través del asistente de configuración de seguridad. El proceso a emplear será igual al indicado en el artículo sobre fortificación a través de plantillas en Forefront TMG 2010.
 

Recientemente, Rubén Alonso, consultor de Sistemas en Informática 64, premiado como Most Valuable Professional por Microsoft en SharePoint Tecnologíes, escritor del blog Punto Compartido, y autor del Libro de SharePoint 2010: Seguridad, grabó dos webcast dedicados a proteger los entornos SharePoint que ya están disponibles online para que asistas a ellos cuando quieras.

Webcast de Fortificación de SharePoint 2010
En este webcast podrás aprender los conceptos clave en el proceso de fortificar una arquitectura SharePoint 2010. Rubén Alonso cubrirá los siguientes puntos:

- Fortificación de la arquitectura
- Modelo de Seguridad en SharePoint
- Planes de respaldo
- Gestión de la auditoría
- Protección contra fugas de datos
- Publicación segura

Puedes obtener las diapositivas en la siguiente URL: Fortificación de SharePoint

Publicación Segura con Forefront Protection 2010 para SharePoint

En este WebCast Rubén Alonso enseña cómo realizar una publicación segura de la gestión de contenido empresarial que ofrecen las tecnologías SharePoint, mediante la configuración de Microsoft Forefront Protection 2010 para SharePoint como solución antimalware y filtrado de documentos para una correcta securización del entorno. Los puntos a tratar serán:

- Línea de productos de seguridad Microsoft Forefront
- Antimalware con Microsoft Forefront Protection 2010 para SharePoint
- Prevención mediante filtrado de documentos
- Configuración de opciones
- Supervisión y monitorización de incidencias

============================================================================
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (1 de 3)
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (2 de 3)
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (3 de 3)
============================================================================

Ejecución de Security Configuration Wizard con los roles Forefront TMG registrados

Si el proceso de mover el fichero de localización a la carpeta de Español, tal y como se explicó en la parte anterior de este artículo, no se hace previamente, cuando se arranque la herramienta de fortificación Security Configuration Wizard se obtendrá un error de configuración. Ese se produce debio a que no se puede procesar correctamente la base de datos de configuración de seguridad.


Figura 5: Error del asistente

Si el fichero se encuentra correctamente ubicado, la base de datos será procesada sin ningún incidente y se podrá utilizar el rol de MS Forefront Threat Management Gateway TMG 2010, para que sea tenido en cuenta a la hora de fortificar el servidor.


Figura 6: Selección del rol MS Forefront TMG 2010 en el SCW

El reconocimiento del rol de MS Forefront Threat Management Gateway TMG 2010 por parte de Security Configuration Wizard hace que, si está marcado el rol de TMG, no se deshabilite ningún servicio o componente que pueda impedir la correcta ejecución de este servicio. De esta manera se evitarán incomodas situaciones como la que se pudo comprobar en el ejemplo en el que Forefront TMG 2010 no es capaz de reconocer las tarjetas de red cuando se ejecuta el asistente de configuración inicial Getting Started.

============================================================================
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (1 de 3)
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (2 de 3)
- Forefront TMG 2010: Añadir plantillas de fortificación para roles TMG 2010 a Security Configuration Wizard (3 de 3)
============================================================================