Location via proxy:   [ UP ]  
[Report a bug]   [Manage cookies]                

Manual Instalacion Hardening

Descargar como pdf o txt
Descargar como pdf o txt
Está en la página 1de 46

MANUAL DE

IMPLEMENTACIÓN

Hardening en Servidor
de
ControlGAS® Repsol
(Instalación por USB)

Este documento es propiedad


de ATIO® Group, queda
prohibido su uso fuera de los
designados por la organización
y su distribución a personal no
autorizado ya sea fuera o
dentro de la institución.
1

Contenido
Introducción. ........................................................................................................................................... 3
Objetivo. .................................................................................................................................................. 4
Consideraciones generales. ................................................................................................................. 4
Requisitos. ................................................................................................................................................ 5
Respaldo del servidor............................................................................................................................. 6
1. Respaldo. ...................................................................................................................................... 6
A. Respaldo de base de datos. .............................................................................................. 6
B. Respaldo de archivos y configuraciones de ControlGAS®. ............................................. 6
C. Documentos de facturación de la estación. .................................................................. 6
Proceso de hardening en servidor. ...................................................................................................... 7
Arranque con imagen de USB. ......................................................................................................... 7
Configuración de estación. ................................................................................................................ 17
Funcionalidad de UDB_AdminDB. .................................................................................................. 18
La funcionalidad es la siguiente: .................................................................................................... 19
Ingresar el nombre de la instancia SQL Server. ........................................................................ 19
Autenticarse por medio del aplicativo. ..................................................................................... 19
Una vez autenticado se habilitan las opciones: ...................................................................... 20
a. Usuarios SQL ............................................................................................................................ 20
b. Crear Base de Datos ............................................................................................................. 20
c. Respaldo (BackUp): ............................................................................................................... 20
d. Restaurar ................................................................................................................................. 21
e. Eliminar: ................................................................................................................................... 21
Flujo de operación de UDB_AdminDB. .......................................................................................... 22
1. Crear la base de datos. .................................................................................................................... 22
2. Restaurar la base de datos. .............................................................................................................. 22
Resumen de regla de firewall implementadas. ............................................................................... 23
Configuración de reglas de firewall............................................................................................... 23
Autenticación del asistente. ........................................................................................................... 24
Configuración de IP Local de las reglas........................................................................................ 25
Configuración de IP de Adicionales, Terminales e Impresoras. ................................................. 26
2

Eliminar una dirección...................................................................................................................... 27


Estructura de red............................................................................................................................... 28
Antivirus. ................................................................................................................................................. 29
Contraseña de BIOS. ............................................................................................................................ 30
Encripción de discos. ........................................................................................................................... 33
Arreglo de disco duro. ......................................................................................................................... 38
Reinicio y apagado de servidor. ........................................................................................................ 44
Histórico de cambios ........................................................................................................................... 45
3

Introducción.
Hardening es un proceso cuya finalidad es la reducción de posibles vulnerabilidades en los
sistemas que son previamente configurados por defecto. La cantidad de posibles
vulnerabilidades aumenta dependiendo sus prestaciones y la cantidad de entornos que se
ejecuten en estos sistemas. La implementación se requiere para reducir el nivel de riesgo para
los siguientes factores: software desactualizado, usuarios inactivos, inicios de sesión
innecesarios y la desactivación servicios que no se tengan dentro del inventario y que puedan
facilitar su administración y control por medio de un ataque.
Actualmente las organizaciones son objeto de innumerables intentos de vulneración abusiva
de sus sistemas, para extraer su información por parte de delincuencia informática, muchas
empresas hoy en día son víctimas de estos ataques dirigidos a su infraestructura, ya que para
algunos nunca fue una de sus prioridades capacitar el personal, tomar medidas de seguridad
para prevenir o minimizar los ataques.
El desarrollo de este proyecto está enfocado al aseguramiento de los sistemas operativos para
la plataforma Windows y servidores con ControlGAS®, es una necesidad latente preparar a
las estaciones ante cualquier amenaza que pueda afectar su operación, poniendo en
conocimiento las diferentes herramientas disponibles en pro de elevar su nivel de seguridad
en las plataformas y hacer una detección oportuna de las vulnerabilidades encontradas en
los sistemas de información.
Con el conocimiento de las herramientas utilizadas para hacer Hardening, se puede definir el
diseño de implementación para iniciar con la mitigación de las fallas de seguridad
encontradas dentro de la organización y de esta manera generar unas políticas que permitan
hacer el análisis, detección y tratamiento de vulnerabilidades de seguridad periódicamente
para prevenir ataques e intrusiones en los puntos más débiles de nuestra infraestructura.
4

Objetivo.
Proporcionar una guía, con los requisitos, pasos y procesos necesarios, para llevar a cabo la
actualización de los servidores, donde está instalado ControlGAS®, con las medidas de
seguridad necesarias para Hardening.

Consideraciones generales.
Para llevar a cabo un proceso de Hardening se deben tener en cuenta las siguientes
consideraciones las cuales son:
• Configuraciones seguras: Esta actividad es importante a la hora de implementar
Hardening en un sistema operativo, ya que la mayoría de intrusiones son habilitadas por
no realizar una adecuada gestión técnica o la no existencia de políticas de seguridad
en los sistemas operativos. Los permisos a usuarios y servicios mal configurados
fortalecen el acceso a información que pueda facilitar aún más la intrusión, por lo cual
una configuración de seguridad y un dispositivo perimetral puede evitar que el
atacante tome control total del sistema operativo manipulándolo de forma que se
pueda acceder a otros equipos en red.
• La asignación de contraseñas seguras: Se realizaron configuraciones enfocadas en la
seguridad de las cuentas de usuario ya que es donde se detectaron la mayor cantidad
de oportunidades de mejora, en esta configuración se realizó la configuración de la
política de contraseñas según las normativas de PCI-DSS e ISO 27000 donde se
establece la complejidad de las contraseñas, duración, longitud, tiempo de bloqueo e
intentos fallidos.
• Limitaciones del equipo: Los equipos están configurados desde el usuario Administrador
para restringir el acceso al gestor de base de datos solo al usuario Administrador por
medio del método autenticación de Windows.
• Limitaciones del equipo solicitadas por Repsol: El equipo fue configurado bajo las
especificaciones de Repsol por lo que contiene mas restricciones de acceso, en
especifico el usuario Operador no puede acceder a las siguientes funciones:
o Acceso a cuentas de usuario.
o Herramientas administrativas de Windows (Servicios, administrador de equipos,
administrador de dispositivos, etc.).
o Firewall de Windows Defender con seguridad avanzada.
o Ajuste de hora y fecha.
Antes de realizar el proceso de Hardening del servidor, se requiere contar con lo siguiente:
• Tener la autorización por parte del responsable de la estación.
• Considerar que se detendrá la operación de la estación por el tiempo en que se
restablezca el equipo Servidor y se termine de realizar la reinstalación de ControlGAS®.
5

Requisitos.
Se requiere tener los siguientes dispositivos:
• Un dispositivo de almacenamiento externo para guardar los respaldos de las bases de
datos y la documentación almacenada en el servidor con tamaño a consideración, se
sugiere que sea el mínimo requerido al tamaño de los archivos a respaldar.
• Memoria USB certificada (esta es proporcionada por ATIO® Group).
• Identificar previamente las versiones de ControlGAS® y los aplicativos de la estación,
para que durante la configuración sean instaladas esas mismas versiones.
• Es de vital importancia validar que el arreglo RAID del equipo este configurado y
operando de forma correcta, el parámetro a identificar mas importante es que sea un
arreglo RAID 1 (Protección de datos en tiempo real) ya que en caso de tener algún
percance con el montaje de la imagen se deberá aplicar el proceso de reverso el cual
consiste en montar el disco secundario e iniciar operación con ese disco.
• En caso de que el arreglo no esté configurado de forma correcta deberá comunicar
al responsable o a su jefe directo sobre la anomalía para toma de decisión de las
acciones a tomar en la instalación en proceso.
• Si el arreglo está ejecutándose de forma correcta y es un RAID 1, deberá validar e el
disco secundario opere de forma correcta iniciando el sistema desde ese disco y
posteriormente desconectar el puerto SATA del disco secundario del servidor de la
tarjeta madre para no afectar su funcionamiento con los cambios que se ejecutarán
más tarde.
6

Respaldo del servidor.

1. Respaldo.
Se requiere almacenar los respaldos, en un disco duro externo o dispositivo de
almacenamiento externo que se tenga preparado para tal fin.

A. Respaldo de base de datos.


Para realizar el respaldo de la base de datos del servidor se requiere detener el servicio en
la estación.
Serán requeridos los respaldos de cada una de las bases obtenidas del servidor,
ControlGAS®, FeATIO y aplicaciones que requieren de BD.
Realizar respaldo con las bases de datos. (Para poder utilizarse en caso de ser necesario
hacer roll back).
NOTA: Siempre se deberá tener certeza del respaldo correcto ya sea por archivos (.BAK),
o la Base en archivos .MDF y LDF. Se recomienda la revisión y mantenimiento de la Base en
su archivo .LOG para que el respaldo sea más rápido.

B. Respaldo de archivos y configuraciones de ControlGAS®.


Realizar el respaldo del Registro de Configuraciones de ControlGAS®, guardar todas las
configuraciones de la estación y parámetros de ControlGAS®, de los aplicativos y
dispositivos instalados, así como todo lo necesario para reconfigurar y restablecer la
estación al finalizar el proceso de hardening del servidor.
NOTA: Siempre se deberá tener la certeza de contar con los archivos respaldados y
necesarios de todas las aplicaciones que así lo requieran para su nueva puesta en
producción (Carpeta de ATIO, archivos de Controles Volumétricos, Registros de CG y
aplicaciones, etc.).

C. Documentos de facturación de la estación.


Hacer una copia de respaldo de los documentos de facturación de la estación, que estén
almacenados en el servidor de ControlGAS®.
7

Proceso de hardening en servidor.

Arranque con imagen de USB.


La USB la certifica el área de Seguridad de la información en el equipo Servidor y está
Certificada por ATIO GROUP. El dispositivo USB contiene una imagen con las medidas de
seguridad implementadas en el S.O., SQL Server y las actualizaciones de Windows hasta
noviembre 2019. Este servirá para restablecer el servidor de manera rápida y segura.
Los pasos a realizar son los siguientes:
1. Con el servidor apagado insertar la USB de arranque y encender el servidor manteniendo
presionada la tecla F12, para cambiar las opciones de arranque. Es necesario en el BIOS
habilitar el arranque en MODO UEFI.
2. En el menú de Startup Device, se debe seleccionar la opción de arranque:
UEFI:KingstonDataTraveler 3.0 y enseguida presionar la tecla “Enter”, el servidor emitirá dos
sonidos “beep” y mostrará una pantalla de menú de Clonezilla.

3. En la pantalla de menú de Clonezilla, seleccionar la opción marcada como: “Clonezilla


live (Default settings, VGA 800X600)” y enseguida presionar la tecla “Enter”.
8

4. El menú de arranque de Clonezilla iniciará, a partir de este momento se utilizarán las flechas
de menú de navegación del teclado del servidor.

5. Aparecerá la pantalla de selección de idioma, seleccionar la opción de lenguaje “Spanish


| Español”, para continuar presionar la tecla “Enter”.

6. En Configuración de Teclado, seleccionar la opción “Keep Mantener la distribución de


teclado por defecto – distribución US”, para continuar presionar la tecla “Enter”.
9

7. Se muestra la pantalla: Iniciar Clonezilla, se debe seleccionar la opción “Start_Clonezilla


Iniciar Clonezilla”, para continuar presionar la tecla “Enter”.

8. En Clonezilla – Open Source Clone System (OCS), seleccionar el modo: “Disco/Partición a


desde imagen”, para continuar presionar la tecla “Enter”.

9. Montar directorio de imagen Clonezilla, seleccionar “local_dev Usar Dispositivo local (Ej.:
disco duro, dispositivo USB)”, para continuar presionar la tecla “Enter”.
10

10. Se mostrará la ejecución de algunos comandos y en la parte inferior, la indicación: “Pulse


“Intro” para continuar……”, para proseguir se debe presionar la tecla “Enter”.

11. Después de presionar la tecla “Enter”, se muestra una pantalla negra con varias
particiones, para continuar presionar simultáneamente las teclas “Ctrl” y “C” (Ctrl + C).

12. En la parte inferior izquierda se muestran unos logs, en donde se indica que se están
validando las particiones, esperar a que termine el proceso.
11

13. Se muestra la pantalla de Clonezilla- Opensource Clone Systems, se debe seleccionar la


partición de donde tomará la imagen a montar, el tamaño de la USB y la marca del
dispositivo puede variar, pero se debe seleccionar la opción que diga “ntfs_Imagen”.

14. A continuación, se mostrará el mensaje que para buscar el directorio para el repositorio
de imágenes. Es importante seguir los siguientes pasos:
a. Asegurarse que el directorio seleccionado actual sea la raíz de la partición.
b. Presionar 2 veces la tecla “→ derecha” hasta que la opción “Done” se
seleccione en color rojo y enseguida presionar la tecla “Enter”.
12

15. Aparecerá un mensaje en pantalla, indicando la partición de la USB, y en la parte inferior


izquierda, la indicación de que para continuar se debe presionar la tecla “Enter”.

16. Modo de ejecución, se debe seleccionar “Beginner Modo Principiante: Aceptar opciones
por defecto” y enseguida presionar la tecla “Enter”.

17. En la pantalla Clonezilla-Restoredisk, se debe seleccionar la opción “Restoredisk


Restaurar_imagen_a_disco_local”, aparecerá un breve mensaje en la parte inferior
izquierda y esperar a que pase a la siguiente pantalla.
13

18. El modelo de servidor a instalar, estará implícito dentro de la imagen dentro del USB, por lo
que, en la pantalla de selección de imagen a restaurar, solo se mostrará una imagen a
elegir, que es la que corresponde al modelo de servidor en que se está trabajando, para
continuar presionar la tecla: “Enter”.

19. En la pantalla siguiente hay que seleccionar la partición en donde se montará la imagen,
se debe seleccionar la partición “sda 1000GB” y presionar la tecla “Enter”.

20. En la pantalla de Parámetros Avanzados, seleccionar “Si, comprobar la imagen antes de


restaurar” y enseguida presionar la tecla “Enter”.

21. En la pantalla del Modo Restoredisk, seleccionar “-p poweroff Apagar”, después presione
“Enter”.
14

22. Se mostrará un mensaje en la parte inferior izquierda, indicando que para continuar se
debe presionar la tecla “Enter”.

23. Arranque del proceso, a partir de este momento se aplicará la imagen contenida en el
USB en el disco duro del servidor. El tiempo estimado de este proceso es de 10 minutos.

24. Al finalizar este paso aparecerán algunos logs en la parte inferior de la pantalla. Se indican
las particiones y emite el mensaje de que todos los datos en el disco duro serán sobre
escritos. Para confirmar presionar la tecla “Y” seguida de la tecla “Enter”.
15

25. Se ejecutará un proceso y en ese momento comenzará a copiarse la imagen al disco duro
local. Es necesario esperar a que el proceso termine, el tiempo estimado para finalizar es
de 15 minutos.

26. Una vez finalizado el proceso, se mostrará la pantalla Choose Mode, seleccionar la opción
“poweroff apagar”y enseguida presionar la tecla “Enter”.
16

27. En la parte inferior aparecerá la indicación de reinicio y un contador, solamente basta


esperar a que el equipo se reinicie por sí solo.

28. El servidor quedará restablecido con las configuraciones de Hardening y con todas las
actualizaciones de Windows disponibles, hasta el mes de noviembre de 2019.

29. Para ingresar será necesario utilizar las contraseñas de Hardening para el usuario de
“operador”, la clave al ser segura se proporcionará por escrito a la estación de servicio.
17

Configuración de estación.
Para restablecer el servidor se requiere:
• Configurar el nombre del servidor en base a la nomenclatura establecida.
• Para Ingresar a SQL Server con las credenciales SQL de seguridad, se deberá usar el
aplicativo de UDB_Admin para asignación de seguridad a las BD que se respaldaron
sin las nuevas claves de Hardening.
• Es necesario validar que los usuarios de SQL estén configurados antes de ejecutar
cualquier acción sobre el gestor de base de datos, para esto intente iniciar sesión con
el usuario usrInstalador.
• En caso de no contar con los usuarios de base de datos configurados y no conocer la
contraseña de SA del equipo, debe iniciar sesión por medio de la autenticación de
Windows y asignar una nueva contraseña a el usuario de SA, posteriormente podrá
continuar normalmente con la aplicación UDB_AdminDB.
• A partir del ingreso al equipo en este momento las credenciales de SQL serán de
acuerdo al perfil de seguridad establecido:

Tipo Usuario Descripción


usrInstalador Usuario para realizar Instalaciones
usrBackup Solo puede realizar Respaldos
Instalación usrRestore Realiza restauraciones de Bases de Datos
[NT AUTHORITY\SYSTEM] Respaldos ATIO® Group Cloud
UsrODBC Solo es para crear el ODBC
usrConsulta Solo puede realizar Consultas
usrSoporte Similar al de Consulta
Diagnostico
usrDistribuidor Usuario para Diagnósticos Distribuidores
usrDevDBA Administrador de la Base de Datos
usrOperadorCG Opera ControlGAS®
Operación usrAplicaciones Opera los aplicativos Externos
usrAplicacionesWeb Aplicaciones Web

• Los permisos por perfil serán de la siguiente forma:


18

Funcionalidad de UDB_AdminDB.
La herramienta UDB_AdminDB, sirve para implementar perfiles de usuario en SQL Server
que cumplan con los estándares de seguridad, la siguiente explicación no representa el
flujo necesario para la restauración de las bases de datos en el nuevo servidor, para esto
diríjase al apartado de “Flujo de operación UDB_AdminDB”.

Ejecutar como administrador el programa “UDB_AdminDB.exe”:


19

La funcionalidad es la siguiente:

Ingresar el nombre de la instancia SQL Server.

Autenticarse por medio del aplicativo.


Estación con Hardening: Seleccionar marca de “PCI Ready”, esta se selecciona debido
a que el equipo ya cuenta con la implementación de Hardening.

NOTA: En una Estación sin Hardening: Ingresar contraseña del usuario SA del SQL
sin tener activa la marca de PCI Ready.
20

Una vez autenticado se habilitan las opciones:


a. Usuarios SQL: Actualiza la contraseña del usuario SA y crea o actualiza los usuarios de todas
las bases de datos de la instancia configurada. Los usuarios creados tienen diferentes
privilegios, de manera que se tendrán usuarios para administrar el Servidor, para generar copias
de seguridad y restaurarlas, así como para poder operar los aplicativos de ControlGAS® y dar
el correspondiente soporte.

b. Crear Base de Datos: Crea una Base de Datos y crear los usuarios correspondientes al
Hardening.
1. Especificar el nombre de la Base de Datos a crear, de forma automática obtiene las
carpetas de Data y Log File.
2. Dar clic al botón “Crear”.

c. Respaldo (BackUp): Realiza una copia de seguridad de la Base de Datos.


1. Especificar el nombre de la base de datos a respaldar.
2. Seleccionar la ubicación en donde se dejará el respaldo, de forma automática nombra al
archivo con el formato NombreBaseDeDatos_AAAAMMDD_HHMMSS.bak (el archivo
.bak se debe alojar en una carpeta que cuente con permisos de lectura y escritura para
todos los usuarios).
3. Dar clic al botón “Respaldar”.
21

d. Restaurar: Restaura una copia de seguridad de una Base de Datos y crea los usuarios
correspondientes al Hardening.
1. Seleccionar el archivo de copia de seguridad a restaurar.
2. Al seleccionar el archivo .bak, de forma automática se asigna el nombre de la base de datos
original, este campo es editable.
3. Para poder restaurar la Base de Datos, esta se debe alojar en una carpeta con permisos de
lectura y escritura (puede ocuparse la carpeta Herramientas).
4. Dar clic al botón “Restaurar”.

NOTA: Si la BD de backup no se restauró con el perfil de Hardening será necesario ejecutar


nuevamente el (Paso a.) y crear las bases (Paso b.) después de restaurar la(s) BD para crear los
perfiles de seguridad a todas las Bases de Datos y así tener acceso a las mismas.

e. Eliminar: Elimina una Base de Datos.


1. Especificar el nombre de la base de datos a eliminar.
2. Dar clic al botón “Eliminar”.
22

Flujo de operación de UDB_AdminDB.


Para la correcta restauración del base de datos es necesario que se ejecuten las acciones
de la siguiente forma:

1. Crear la base de datos.


En primera instancia se deben crear las bases de datos de las cuales se ejecutó el respaldo
en los primeros pasos especificados en este manual por medio de la herramienta UDB
General.

2. Restaurar la base de datos.


Una vez creadas las bases de datos necesarias se puede ejecutar la restauración de las
mismas por medio de los archivos .bak.
23

• Realizar la configuración de ControlGAS® y sus respectivos monitores.


• Realizar la configuración de las aplicaciones y servicios adicionales.

Resumen de regla de firewall implementadas.


El equipo hardenizado bajo el modelo estándar cuenta con 34 reglas de entrada y salida
para conexiones los aplicativos y dispositivos externos al servidor, estas reglas se pueden
dividir de la siguiente manera:

• Reglas de aplicativos provistos por ATIO®.


• Conexiones a recursos compartidos.
• Conexiones a impresoras.
• Conexiones remotas a base de datos.
• Conexiones a SMART.

Configuración de reglas de firewall.


Por las limitaciones del equipo, es necesario utilizar el “Asistente de configuración de reglas
de firewall” esta herramienta se encuentra en el sitio de SharePoint destinado a la petrolera
Repsol, en la carpeta de herramientas.
Debe descargar y descomprimir el archivo Zip:

Una vez se realice esto, debe ejecutar el archivo CambiarReglasFirewall.exe:


24

Autenticación del asistente.


Una vez ejecutada la aplicación aparecerá una pantalla donde se solicitará una clave, esta
clave es un archivo .crt el cual tiene duración de un día y deberá ser solicitado por medio de
correo al área de Soporte Hardware para su entrega.
NOTA: Este archivo es valido desde las 00:00 hasta las 23:59 del día en curso, debe tomar
precauciones y especificar el día que hará uso de la herramienta, se puede extender una
clave para el día siguiente en caso se hacer instalaciones en horario nocturno.

Ya que se ha obtenido la clave, es necesario dar clic sobre el botón “Examinar” para
seleccionar el archivo que se ha compartido:

Una vez seleccionado el archivo debe dar clic sobre el botón “Autenticar”, en caso de que
la clave no sea valida se mostrará el siguiente error:
25

Cuando la clave sea correcta se mostrará la interfaz principal para modificar las reglas de
firewall del equipo:

Las reglas de se mostrarán según el contenido de cada una al momento de ejecutar la


herramienta.
Configuración de IP Local de las reglas.
La parte fundamental del buen funcionamiento de las reglas de Firewall cargadas al equipo
es la correcta asignación de la IP Local del servidor, para esto debe dirigirse al apartado “IP
Local”:
26

En este apartado se solicitará la IP Local del equipo la cual puede tomarse la configurada
actualmente seleccionando el check “Usar IP actual” o ingresarla manualmente, después
solamente debe dar clic en el botón “Modificar IP Local en todas las reglas”.
Se mostrará un mensaje de confirmación antes de aplicar la configuración:

Una vez confirmada la operación se mostrarán en el apartado de “Ejecución” el progreso


de la operación de la siguiente manera:

Configuración de IP de Adicionales, Terminales e Impresoras.


En la parte central de la interfaz se muestran 3 apartados: Equipos adicionales y HQ,
Terminales e Impresoras:
27

Para todos los apartados es el mismo proceso de configuración solo debe ingresar las
direcciones IP que sean necesarias para cada uno en alguno de los siguientes formatos:
• 192.168.10.2
• 192.168.10.2-192.168.10.6
• 192.168.10.0/27

Una vez escrita la dirección, solo de clic en “Agregar dirección” y se mostrará un mensaje de
confirmación de la operación:

Una vez confirmada la operación, se mostrará en el apartado de “Ejecución” de la siguiente


manera:

Eliminar una dirección.


Es posible eliminar una dirección asignada en caso de algún error para esto solo debe dar clic
derecho sobre la dirección que desea eliminar, se mostrará la opción “Eliminar”:
28

A continuación, solo de clic en la opción “Eliminar” y se mostrará un mensaje de confirmación:

El progreso se mostrará en el apartado “Ejecución”:

Estructura de red.
Para la normativa de controles Volumétricos se requiere que las redes se encuentren
segmentadas y bajo una estructura estándar para garantizar que solo los equipos
estrictamente necesarios accedan a la información contenida en el servidor principal de
ControlGas®.

A continuación, se muestra el mapa de alto nivel con la estructura que deberá contar la
estación de servicio:

Estructura Hardening:

Red después de implementar la remediación:


29

Antivirus.
Una vez terminada la configuración de todas las aplicaciones y la transferencia de archivos
de backup del servidor anterior, debe notificar al área de Soporte Hardware para la
instalación del antivirus CheckPoint, es necesario aplicar un reinicio al equipo para concluir la
instalación del mismo, este reinicio será utilizado también para configuración de Contraseña
de BIOS.
30

Contraseña de BIOS.
Este paso se puede realizar en cualquier reinicio controlado, para iniciar este proceso durante
el arranque del equipo debe presionar la tecla F12 para ingresar a la pantalla de selección
de dispositivo de arranque, seleccione la opción “Enter Setup” y presione Enter:

Esto abrirá la interfaz de administración del BIOS:


31

En esta interfaz debe dirigirse a la pestaña “Security”:

Posteriormente de Enter sobre la opción “Set Administrator Password”, lo cual abrirá una nueva
interfaz para ingresar y confirmar la contraseña que se asignará al momento de ingresar a
configuración del BIOS:
32

En estos campos debe ingresar la contraseña genérica para configuración de BIOS, la cual se
compartirá de forma oficial por medios externos.

Una vez ingresada y confirmada la contraseña de forma correcta, se mostrará el siguiente


mensaje:

Para finalizar este proceso debe presionar la tecla F10 para “Guardar y salir” de la
administración de BIOS.
33

Encripción de discos.
Este procedimiento es necesario que se ejecute al finalizar toda la configuración de las
aplicaciones y servicios ya que al iniciar la encripción el rendimiento del equipo se ve
afectado por algunos minutos mientras se termina con la encripción.
Para iniciar con la encripción es necesario buscar en el equipo la característica “Administrar
BitLocker”:

Se mostrará la siguiente pantalla donde se puede observar la unidad C y a la parte derecha


se encontrará el mensaje “Activar BitLocker”, debe dar clic sobre esta opción:

Se abría el asistente para ejecutar el proceso de encripción:


34

Como primer paso del asistente es necesario obtener y enviar el documento donde se
muestra la clave de recuperación de los discos duros, este paso es muy importante se ejecute
de forma correcta:

En primera instancia debe seleccionar la opción de “Imprimir clave de recuperación”:


35

Posteriormente se mostrará un dialogo con las opciones de impresión disponibles en el


equipo seleccione la opción “Microsoft Print to PDF” y de clic en Imprimir:

Se abrirá un cuadro de dialogo donde se pedirá ingresar el nombre del documento y la


ubicación donde será almacenado, en este paso debe guardar el documento con el
numero de serie del equipo para su correcta identificación para posteriores cambios:

Con el archivo generado puede dar clic en Siguiente, se mostrará la siguiente imagen, solo
de clic en Siguiente:
36

En la siguiente pantalla de igual forma de clic en Siguiente:

En la siguiente pantalla debe habilitar la opción “Ejecutar la comprobación del sistema


BitLocker” y dar clic en Continuar:
37

Se solicitará reiniciar el equipo para aplicar esta configuración, debe reiniciar el equipo una
vez se haya configurado de forma correcta las aplicaciones y servicios y/o se aproveche el
reinicio solicitado por el antivirus para su instalación:

NOTA: Al reiniciar el equipo se verá afectado el rendimiento y que se estará implementando


el cifrado de la unidad.

Ya reiniciado el equipo puede dar clic sobre la pestaña de “Iconos ocultos” y seleccionar el
icono de BitLocker:

Se mostrará el progreso de cifrado de la unidad:


38

Con esto comprobará que se está ejecutando de forma correcta la encripción del disco duro,
deberá compartir esta evidencia junto con el documento de clave de recuperación al área
de Soporte Hardware para su almacenamiento en sitio seguro mediante correo electrónico.

Arreglo de disco duro.


Una vez efectuado la imagen con el Hardening al equipo servidor, es necesario volver a
establecer el arreglo de discos conectando nuevamente el disco secundario para su
creación como se muestra a continuación:

1. Ingresar al aplicativo de Intel Rapid.

2. Al ingresar se observará uno de los discos duros con “Alerta”, por lo que no está
efectuado la imagen del disco duro principal del sistema.
39

3. Ingresar a la pestaña de “Gestionar” y dar click en “Eliminar Volumen”, esto para


eliminar el registro anterior de arreglo de discos duros.
40

4. Se pedirá confirmación, dar click en SI.

5. Se mostrará los 2 discos duros ya sin la alerta para el segundo disco.


41

6. Ingresar a la pestaña de “Crear” y dar click en botón de “Siguiente”.


42

7. Ingresar manualmente el Nombre de “ATIO”, seleccionar ambos discos duros y dar


click en “Siguiente”.

8. Confirmar la eliminación de datos y dar click en botón de “ Crear Volumen “.


NOTA: Con dicha confirmación todos los datos del disco duro en donde se va a generar el
espejo serán completamente eliminados.
43

9. Se confirmará que el volumen se ha creado correctamente.


44

10. Iniciará el proceso de clonación, el cual se verá indicado por el porcentaje de


avance, hasta que se confirme el 100%.

Reinicio y apagado de servidor.


Las opciones tradicionales de apagado de servidor y/o reinicio bajo la implementación
de Hardening quedan inactivos, por lo que si se requiere el reinicio del servidor se deberá
realizar bajo el siguiente proceso.

• Apagado de Servidor: Iniciar CDM como administrador, ejecutar el siguiente


comando:

• Reinicio de Servidor: Iniciar CDM como administrador, ejecutar el siguiente comando:


45

Histórico de cambios

A continuación, se muestra el histórico de cambios realizados al documento.

Fecha de cambio Cambio Responsable


27/05/2022 Se genera manual de Jose Alejandro Barcenas.
instalación de Hardening en
Roberto Sócrates Olin Noriega.
estaciones con una USB
certificada. Jesus A. Curiel Cabrera.

24/08/2022 Se actualiza formato del Jesus A. Curiel Cabrera.


documento.
Jose Alejandro Barcenas.

También podría gustarte