10 mejores prácticas para usar servidores Windows


Siga estos consejos para mantener sus servidores basados ​​en Windows funcionando sin problemas, de forma segura y eficiente.

Diversos colegas de TI que configuran el hardware del servidor

Imagen: EvgeniyShkolenko, Getty Images / iStockphoto

Internet puede ser un lugar hostil. Pregúntele a cualquier profesional de TI que valga la pena, y darán fe de la importancia de aprovisionar los sistemas de una manera segura y concisa para garantizar que los nuevos sistemas puedan proporcionar los servicios que se les requieren de manera protegida. Y si bien la automatización de este proceso contribuye en gran medida a reducir el tiempo de incorporación, la prueba real de un sistema radica en su capacidad continua de continuar brindando servicios de manera estable y sin interrupciones.

VER: Gestión del control de cambios: 10 pasos críticos (PDF gratuito) (TechRepublic)

Existen herramientas automatizadas para garantizar que sus servidores Windows permanezcan tan seguros y sin problemas como el día en que se configuraron. Sin embargo, dado que todas las organizaciones son diferentes y tienen diferentes necesidades y presupuestos, es posible que herramientas como Microsoft System Center Configuration Manager, por ejemplo, no estén disponibles. Esto no debería impedir que TI haga todo lo que esté en su poder para aprovechar su infraestructura para mantener los sistemas funcionando correctamente.

Aquí hay un conjunto simple de principios de administración que son fáciles de implementar en cualquier presupuesto y nivel de habilidad para ayudar a su departamento de TI a apoderarse de sus servidores de Windows y asegurarse de que se administren de manera eficiente y segura, mientras se optimizan para ofrecer el mejor rendimiento posible.

VER: Windows 10: los contenedores son el futuro, y esto es lo que necesita saber (TechRepublic)

1. Política de inicio de sesión de auditoría

Todos los servidores deben estar efectivamente fuera de los límites de todos los inicios de sesión locales o interactivos. Esto significa que nadie debe iniciar sesión físicamente en un servidor y usarlo como si fuera un escritorio, sin importar cuál sea su nivel de acceso. Este comportamiento solo conduce al desastre en algún momento. Más allá de monitorear inicios de sesión interactivos, TI debe tener una política para auditar otros tipos de acceso a sus servidores, que incluyen, entre otros, acceso a objetos, permisos de seguridad y otros cambios que se pueden realizar en el servidor con o sin autorización.

2. Centralizar registros de eventos

Los servidores de Windows tienen una gran capacidad de registro disponible de forma predeterminada. A través de la configuración, la capacidad de registro puede hacerse mayor o limitada, incluido el aumento del tamaño de los archivos de registro, ya sea que se sobrescriban o no, e incluso dónde residen. La centralización de todos estos registros en un solo lugar hace que sea más fácil para el personal de TI acceder y peinar. Al usar algún tipo de servidor syslog, estos registros se pueden hacer más fáciles de examinar mediante la asignación de categorías a entradas específicas, como etiquetar todos los intentos fallidos de inicio de sesión, por ejemplo. También ayuda si los registros también se pueden buscar y, si el servidor syslog tiene la capacidad, tener integración con herramientas de corrección para corregir cualquier problema reportado.

VER: Cómo convertirse en administrador de red: una hoja de trucos (TechRepublic)

3. Puntos de referencia de rendimiento y líneas de base

Todos sabemos cómo saber cuándo un servidor o servicio no está funcionando en absoluto. Pero, ¿cómo cuantifica su departamento de TI si un servidor o servicio funciona tan bien como debería? Esta es la razón por la cual tomar lecturas de referencia de sus servidores y desarrollar líneas de base para su operación a diferentes intervalos (pico, fuera de pico, etc.) durante un período finito de tiempo paga dividendos. Con esta información, puede determinar cómo proceder al optimizar la configuración de software y hardware, cómo se ven afectados los servicios durante todo el día y qué recursos se pueden agregar, eliminar o simplemente mover para garantizar que siempre se mantenga un nivel mínimo de servicio continuo. seguro. Esto también ayuda a identificar posibles vectores de ataque o indicadores de compromiso cuando se encuentran anomalías que podrían afectar negativamente el rendimiento.

4. Restrinja el acceso remoto

Como administradores, todos amamos nuestro acceso remoto, ¿no? Sé que he usado el protocolo de escritorio remoto (RDP) casi a diario para solucionar problemas en sistemas remotos durante décadas de mi carrera. Y si bien ha recorrido un largo camino para reforzar la seguridad a través del cifrado mejorado, el hecho es que RDP (como todas las aplicaciones de acceso remoto), si no se controla, proporciona un camino hacia sus servidores y, lo que es más importante, la red de la compañía. Afortunadamente para nosotros, el acceso a los servidores y sus servicios se puede restringir de varias maneras, como configurar las reglas del firewall para limitar el acceso a los servidores desde conexiones remotas, requerir que se use el túnel VPN para proteger las comunicaciones hacia y desde los recursos de la red, y configurar el uso de autenticación basada en certificados para verificar que el sistema que se está conectando, tanto hacia como desde, sea repudiado y confiable.

VER: WI-FI 6 (802.11AX): una hoja de trucos (PDF gratuito) (TechRepublic)

5. Configuración de servicios

Windows Server ha recorrido un largo camino desde los primeros días, cuando la mayoría de los roles y servicios estaban habilitados de manera predeterminada, a pesar de que la organización los utilizara o no. Obviamente, esto presenta un problema de seguridad evidente y sigue siendo un problema hoy en día, aunque está más controlado en las versiones modernas del servidor. Sin embargo, limitar la superficie de ataque de sus servidores solo sirve para eliminar posibles vectores de compromiso del bucle, y eso siempre es algo bueno. Evaluar las necesidades de su entorno y las dependencias del software y los servicios que se ejecutan en su red puede ayudar a desarrollar un plan para deshabilitar o eliminar la ejecución de servicios innecesarios.

6. Monitoreo continuo

Esto va de la mano con su red y las amenazas de seguridad. Debe monitorear el estado de su servidor para identificar cualquier problema potencial antes de que se convierta en una amenaza grave para el rendimiento de los dispositivos o servicios que proporcionan. Esto ayuda a TI al permitirles también determinar de manera proactiva si algún servidor necesita actualizaciones o recursos, o si el departamento compra más servidores para agregar al clúster, nuevamente, en un esfuerzo por mantener los servicios en línea.

VER: Virtualización del servidor: mejores (y peores) prácticas (PDF gratuito) (TechRepublic)

7. Gestión de parches

Esta recomendación debe ser obvia para cualquier persona en TI, independientemente de su experiencia o conjunto de habilidades. Si hay una cosa en esta lista que todos los servidores necesitan, es la administración de parches. Desde actualizaciones simples que eliminan errores hasta soluciones correctivas que cierran agujeros en la seguridad, es de suma importancia configurar un proceso para actualizar el sistema operativo y el software. De hecho, es tan importante que en entornos integrados donde se utilizan múltiples productos de Microsoft, algunas versiones de software y servicios simplemente no funcionarán hasta que el sistema operativo Windows Server subyacente se actualice a un nivel mínimo, así que tenga esto en cuenta cuando planear sus ciclos de prueba y actualización.

8. Controles técnicos

Ya sea que esté implementando dispositivos de seguridad como un sistema de prevención de intrusiones en la red o sus servidores en clúster necesiten equilibradores de carga, use los datos que ha obtenido de su monitoreo y líneas de base para realizar una evaluación de necesidades para sus diversos servidores y los servicios que brindan. Hacerlo ayudará a identificar qué sistemas requieren controles adicionales, como un servidor web que ejecuta la aplicación web de la empresa para registros de recursos humanos. Instalar un firewall de acceso web (WAF) para identificar ataques conocidos basados ​​en la web, como scripting entre sitios (XSS) o ataques de inyección de lenguaje de consulta de estructura (SQL) contra el back-end de la base de datos SQL, que lo potencia.

VER: Cómo ejecutar comandos paralelos en servidores remotos con PSSH (TechRepublic)

9. Bloquee el acceso físico

Por experiencia personal, la mayoría de las organizaciones de medianas a grandes reconocen la necesidad de aislar sus servidores por razones de seguridad y HVAC. ¡Esto es genial! Pero no es bueno cuando las pequeñas empresas simplemente eligen dejar sus servidores a la intemperie junto con otros escritorios. Es francamente horrible, en realidad, ya que su servidor y las comunicaciones hacia y desde dichos dispositivos ahora están expuestos a innumerables amenazas y ataques potenciales. Coloque los servidores en habitaciones seguras con ventilación adecuada y limite el acceso a esta habitación solo a quienes lo necesiten.

10. Protección de recuperación ante desastres

¡Copias de seguridad, copias de seguridad, copias de seguridad! Este tema ha sido golpeado hasta la muerte y, sin embargo, aquí estamos. Todavía estamos viendo que algunas organizaciones no toman las medidas adecuadas para hacer una copia de seguridad adecuada y segura de sus valiosos datos. Entonces sucede lo inevitable, y el servidor se cae, se pierden datos y no hay recurso. Pero habría habido, si hubiera habido un plan activo de recuperación de desastres para identificar qué datos necesitaban protección, dictar cómo se iban a hacer copias de seguridad, cuándo y dónde, junto con los pasos documentados para restaurarlos. En esencia, es un proceso muy fácil de recordar: 3-2-1, lo que significa tres copias de seguridad, dos tipos de medios separados, al menos uno fuera del sitio.

VER: 10 consejos para planificar una actualización de hardware del centro de datos (TechRepublic)

Esta lista no es exhaustiva de ninguna manera, y los profesionales de TI deben explorar cada punto a fondo para identificar qué soluciones funcionarán mejor para sus necesidades específicas. Además, es altamente deseable que TI se reúna con la alta gerencia para establecer políticas para realizar evaluaciones de riesgos regulares, ya que esto ayudará a TI a determinar dónde ubicar mejor los recursos (financieros, técnicos y de hardware / software) para que se utilicen al máximo potencial.

Ver también



Enlace a la noticia original