Windows Server 2022: Configuracion Inicial y Fortalecimiento de Seguridad
Desplegar un servidor Windows Server 2022 en produccion sin una configuracion de seguridad adecuada expone la infraestructura a riesgos significativos. Esta guia cubre los pasos esenciales desde la configuracion inicial de red hasta el fortalecimiento de seguridad siguiendo las recomendaciones de CIS Benchmarks y las mejores practicas de Microsoft.
Configuracion Inicial del Servidor
Despues de instalar Windows Server 2022, los primeros pasos incluyen configurar el nombre del servidor, la direccion IP estatica, los servidores DNS y unir el servidor al dominio si aplica.
# Renombrar el servidor
Rename-Computer -NewName "SRV-WEB01" -Restart
# Configurar IP estatica
New-NetIPAddress -InterfaceAlias "Ethernet" -IPAddress 10.0.1.20 -PrefixLength 24 -DefaultGateway 10.0.1.1
Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 10.0.1.10,10.0.1.11
# Unir al dominio
Add-Computer -DomainName "empresa.local" -Credential (Get-Credential) -RestartConfigura la zona horaria correcta y habilita la sincronizacion NTP con un servidor de tiempo confiable. Para servidores que no son controladores de dominio, configura el servidor NTP manualmente:
Set-TimeZone -Id "Central Standard Time"
w32tm /config /manualpeerlist:"time.windows.com" /syncfromflags:manual /reliable:yes /update
Restart-Service w32timeTambien es importante configurar Windows Update para que descargue e instale actualizaciones automaticamente. En entornos empresariales, considera usar WSUS o Windows Update for Business para controlar que actualizaciones se despliegan y cuando.
Configuracion de Windows Defender y Antimalware
Windows Server 2022 incluye Windows Defender Antivirus habilitado por defecto. Para servidores de produccion, necesitas configurar exclusiones apropiadas para evitar impacto en el rendimiento de aplicaciones criticas.
# Verificar estado de Defender
Get-MpComputerStatus | Select-Object AntivirusEnabled, RealTimeProtectionEnabled, AntivirusSignatureLastUpdated
# Configurar exclusiones para SQL Server (ejemplo)
Add-MpPreference -ExclusionPath "D:\SQLData" -ExclusionPath "L:\SQLLogs"
Add-MpPreference -ExclusionProcess "sqlservr.exe"
Add-MpPreference -ExclusionExtension ".mdf" -ExclusionExtension ".ldf" -ExclusionExtension ".ndf"
# Habilitar proteccion en la nube y envio de muestras
Set-MpPreference -MAPSReporting Advanced
Set-MpPreference -SubmitSamplesConsent SendAllSamples
Set-MpPreference -CloudBlockLevel High
# Programar escaneo completo semanal
Set-MpPreference -ScanScheduleQuickScanTime 02:00:00
Set-MpPreference -ScanParameters FullScan
Set-MpPreference -ScanScheduleDay 1Mantener las definiciones de virus actualizadas es critico. Verifica que el servidor puede acceder a los servidores de actualizacion de Microsoft o configura una ruta alternativa para entornos aislados.
Fortalecimiento de Firewall y Protocolos
El Windows Firewall con seguridad avanzada debe estar habilitado en los tres perfiles (Dominio, Privado, Publico). Revisa las reglas existentes y deshabilita las que no sean necesarias para los servicios del servidor.
# Verificar estado del firewall en todos los perfiles
Get-NetFirewallProfile | Select-Object Name, Enabled
# Habilitar logging del firewall
Set-NetFirewallProfile -Profile Domain,Public,Private -LogBlocked True -LogAllowed False -LogFileName "%systemroot%\system32\LogFiles\Firewall\pfirewall.log" -LogMaxSizeKilobytes 16384
# Deshabilitar reglas innecesarias (ejemplo: compartir archivos si no se necesita)
Disable-NetFirewallRule -DisplayGroup "File and Printer Sharing"
# Crear regla para permitir RDP solo desde la red de gestion
New-NetFirewallRule -DisplayName "RDP - Red de Gestion" -Direction Inbound -Protocol TCP -LocalPort 3389 -RemoteAddress 10.0.100.0/24 -Action AllowPara el fortalecimiento de protocolos TLS, deshabilita versiones obsoletas que tienen vulnerabilidades conocidas:
# Deshabilitar TLS 1.0
New-Item "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" -Name "Enabled" -Value 0 -Type DWord
# Deshabilitar TLS 1.1
New-Item "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Force
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" -Name "Enabled" -Value 0 -Type DWordPoliticas de Auditoria y Monitoreo
Configurar la auditoria avanzada es esencial para detectar actividades sospechosas y cumplir con requisitos de cumplimiento normativo. Windows Server 2022 soporta politicas de auditoria granulares que registran eventos especificos.
# Configurar auditoria avanzada
auditpol /set /category:"Logon/Logoff" /success:enable /failure:enable
auditpol /set /category:"Account Management" /success:enable /failure:enable
auditpol /set /category:"Policy Change" /success:enable /failure:enable
auditpol /set /category:"System" /success:enable /failure:enable
auditpol /set /subcategory:"Security Group Management" /success:enable /failure:enable
# Verificar configuracion de auditoria
auditpol /get /category:*Complementa la auditoria local con el reenvio de eventos a un servidor centralizado usando Windows Event Forwarding (WEF) o un SIEM como Elastic Security. Configura alertas para eventos criticos como intentos de inicio de sesion fallidos (Event ID 4625), cambios en grupos de administradores (Event ID 4732) y modificaciones de politicas (Event ID 4719).
Finalmente, implementa una politica de contrasenas robusta a traves de Group Policy: longitud minima de 14 caracteres, complejidad habilitada, historial de al menos 24 contrasenas y bloqueo de cuenta despues de 5 intentos fallidos. Estas configuraciones, combinadas con la auditoria, proporcionan una base solida de seguridad para tu servidor Windows Server 2022.