Security configuration Wizard. Windows Server 2008
Este asistente de Windows sirve para ajustar la configuración de seguridad de un servidor cerrando puertos o parando por ejemplo servicios que no son usados por una máquina. Instalar roles, características, configurar claves del registro y todo de una sola vez utilizando un archivo .xml. Idoneo para servidores recien instalados que requieren una post-instalación incluso realizando la configuración en remoto.
Este asistente de seguridad es: scwcmd.exe
La configuración de un .xml mediante un asistente permite crear un archivo que cerrará puertos, parará servicios, reglas de firewall, valores del registros, auditoria de politicas … etc.
Para generar un archivo .xml debes hacerlo desde el asistente de seguridad que encontrarás en Herramientas Administraticas, este se llama Security Configuration Wizard.
Para ejecutar el asistente aseguraté que todas las aplicaciones que estás utilizando están ejecutándose y que tú servidor esté dando servicio para todos los clientes, de esta manera el asistente sacará los valores correctos en la plantilla así luego no te faltarán cosas cuando apliques la plantilla en otros servidores que cumplan las mismas funciones.
La base de datos del asistente de seguridad está en :
\\%systeroot%\Security\Msscw\Kbs
Para usar el asistente de seguridad y tirar de una bbdd centralizada puedes ejecutar el asistente, indicando una unidad compartida en un servidor, de esta manera tendrás centralizada la bbdd de seguridad y podrás utilizar tús plantiilas de forma cómoda en toda la red:
Swc.exe /kb \\server\Carpeta_Compartida
El archivo .XML se utiliza para para escanear, identificar y seleccionar lo siguiente:
- Roles que son instalados en el servidor
- Roles que deberían estar instaladoe en el servidor
- Servicios instalados pero no definidos en la plantilla .xml
- Direccionamiento TCP/IP configurado en el servidor.
La configuración optenida del servidor es guarda en un archivo llamado Main.xml, esta será la configuración que tiene tú servidor en el momento de la plantilla.
La base de datos que se monta por defecto para todo esto se llama: Baseline Setting
Una vez se crea con el asistente la bbdd automáticamente es entonces cuando tienes la oportunidad de modificar esta, personalizando todas las opciones como reglas de firewall, registro, políticas …etc.
Vamos a crear una plantilla de seguridad nueva
Ejecuta asistente desde herramientas administrativas, asistente de seguridad y uiliza la acción crear una nueva política de seguridad:
Selecciona la máquina de la que quieras generar la nueva plantilla de seguridad ( Main.xml )
Comprueba como en la ruta \\%systeroot%\Security\Msscw\Kbs se ha creado un archivo de configuración .xml llamado main.xml con la configuración de la máquina:
Ahora puedes ver la configuración de este archivo desde el propio asistente y así ver la configuración de la máquina.
Si continuamos el asistente podemos cambiar los roles instalados en la máquina y muchas cosas en un nuevo archivo .xml al cual pondremos el nombre que queramos.
Aquí podemos seleccionarlos o quitarlos de manera que podemos hacer una política que luego podamos utilizar más tarde quitando o poniendo roles en un servidor cuando importando las plantillas en un servidor nuevo ( Main.xml + Nueva_plantilla.xml ).
Podemos modificar las características:
Sucesivamente podrás configurar, servicios, componentes y muchas más cosas como registro … etc
Una vez hemos creado y tenemos la plantilla nueva, podemos hacer el proceso inverso y aplicarla a un servidor en local o de forma remota.
Todas las opciones configuradas se aplicarán en el servidor donde importemos dicha configuración con la ejecución de nuevo del propio asistente y especificando el servidor donde queremos aplicar la plantilla.
Utiliza la siguiente opción para importar la plantilla ejecutando nuevamente el asistente de configuración:
Es muy util cuando tienes un nuevo servidor recien instalado y quieres aplicar una configuración definida al servidor de forma remota utilizando la plantilla y la base de datos que hemos creado en este caso en el propio servidor si ejecutas el asistente en un servidor nuevo tendrás que utilizar la ruta UNC:\\ en busca de la base de datos que contiene el Main..xml y Nueva_plantilla.xml
Te ahorrará mucha post-configuración en un servidor recien instalado.
Trackbacks /
Pingbacks