Dimarts, desembre 9, 2025

El dia a dia d'un administrador de sistemes

SEGURETAT

Llistat de tasques després d’instal·lar un nou servidor Windows

Adrià Quintero

Instal·lar un nou servidor Windows no és la fi d’una tasca, sinó el començament. Els instal·ladors moderns fan que el sistema arrenqui, els rols bàsics es despleguin i la xarxa es configuri amb aparença funcional. Però en entorns reals, sobretot quan parlem de producció o preproducció seriosa, hi ha una sèrie de passes que convé fer sempre.

1. Revisió manual del nom del servidor i la seva resolució DNS

Sembla trivial, però no ho és. Un nom de host mal escrit, duplicat o mal resolt per DNS sempre arrossega problemes.

  1. Mai confiïs només que el nom que s’escriu durant la instal·lació està bé. Fes hostname, revisa el panell de sistema, i després fes ping des d’un altre equip del domini, sense fer servir FQDN, i assegura’t que respon com esperes.
  2. Comprova també que el nom curt i el FQDN coincideixen amb el previst. Moltes eines (sobretot backups, programari de monitoratge i scripts antics) continuen tirant del nom curt.
  3. Valida la resolució inversa (nslookup <IP>) i assegura’t que retorna el nom correcte. L’absència de resolució inversa no sempre espatlla coses, però pot alentir connexions RDP, SMB i esdeveniments d’autenticació Kerberos.

Si cal canviar el nom del host després d’unir-lo al domini, assegura’t que tots els registres DNS es netegen. El canvi funciona, però deixa escombraries si no es revisa.

2. Configuració de NICs: ordre, binding, DNS, mètriques

Windows segueix fent coses poc predicibles amb múltiples NICs. Si en tens més d’una, defineix clarament quin rol té cadascuna.

  1. Desactiva l’opció de “Registrar aquesta connexió en DNS” en totes les interfícies que no hagin de registrar la seva IP (per exemple, en xarxes de backup, iDRAC compartits o xarxes d’emmagatzematge).
  2. Revisa l’ordre de les interfícies des del registre (HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Linkage\Bind) o amb Get-NetIPInterface i ajusta les mètriques manualment si és necessari.
  3. No deixis interfícies amb autoconfiguració 169.254.x.x sense revisar. Si existeixen, alguna cosa està malament, i aquesta adreça pot acabar registrada al DNS si no desmarques l’opció anterior.

En servidors amb múltiples targetes actives, evita deixar totes amb gateway definit. Només una ha de tenir gateway per defecte, tret que tinguis una taula de rutes personalitzada i sàpigues el que estàs fent.

3. Configuració de rols: el mínim necessari i res més

En instal·lar rols des de Server Manager o PowerShell, la tendència és marcar “el que podria fer falta”. Això acaba omplint el servidor de serveis innecessaris i obrint superfície d’atac.

  1. Si instal·les el rol de File Server, no instal·lis DFS si no has de fer-lo servir en aquest servidor.
  2. No marquis “Servidor web” només perquè fas servir una app que fa ús d’HTTP local. Avalua si n’hi ha prou amb HTTP.sys sense IIS.
  3. En controladors de domini, desactiva el rol de “Servidor d’Arxius” si no el necessites. Molts el deixen actiu per inèrcia, i acaba exposant shares innecessaris.

Si instal·les des d’una imatge automatitzada (WDS, MDT, etc.), revisa què ve activat per defecte. Moltes vegades un servidor “base” inclou coses que després ningú fa servir.

4. Pegats: ordre, supervisió i control

No tot pegat aplica bé en calent. Tampoc tots són necessaris des del minut u. Però sí que cal tenir un pla clar.

  1. Després de la instal·lació, aplica primer l’últim servicing stack update (SSU) si no ve ja a la imatge.
  2. Després el cumulative update més recent. Si tens diversos acumulatius pendents, evita instal·lar-los en cadena sense reiniciar. Hi ha combinacions que fallen en silenci i deixen el sistema en un estat incoherent.
  3. No deixis el servidor en producció sense almenys un reinici post-pegats. Alguns rols (especialment RDS, ADFS, Hyper-V) presenten errors subtils si no es reinicien després de la seva primera actualització.
  4. Verifica en el visor d’esdeveniments (sistema i aplicació) si  el reinici ha deixat errors relacionats amb controladors, serveis no iniciats o temps d’espera.

Evita habilitar Windows Update automàtic en servidors nous sense configurar abans polítiques de reinici diferit o gestió centralitzada. És fàcil que el sistema es reiniciï sense previ avís si no es fa això.

5. Temps, NTP i sincronització de rellotge

Aquí no n’hi ha prou que l’hora sigui “més o menys correcta”. Ha de ser precisa i mantenir-se sincronitzada. Els errors de rellotge provoquen des de fallades a Kerberos fins a penjades en clusters o backups mal datats.

  1. En controladors de domini: assegura’t que el PDC Emulator sincronitza amb una font externa de confiança (w32tm /query /status, w32tm /query /configuration).
  2. En servidors membre: no forcis NTP extern si estan en domini. Haurien d’heretar del domini automàticament. Si no ho fan, probablement s’ha trencat la configuració del servei de temps.
  3. No deixis configurat el servei d’hora en mode “Local CMOS Clock” (ho he vist en clons de màquines físiques mal tractades).

Fes servir sempre w32tm /resync /force i revisa el visor d’esdeveniments després de fer canvis. Hi ha errors que no es veuen si no es revisa allà.

6. Remote Desktop, accés i protecció

Remote Desktop (RDP) és la forma més habitual de treballar amb servidors Windows, però també un dels vectors més atacats.

  1. Activa RDP només si cal, i si ho fas, canvia la configuració de xifrat de connexions a “Nivell de seguretat de xarxa: requerit”.
  2. Si el servidor s’exposa fora de la xarxa interna (encara que sigui via VPN), configura també restriccions per firewall o NLA.
  3. Crea una GPO que limiti els usuaris permesos a iniciar sessió per RDP. No confiïs que el grup “Administradors” és suficient.
  4. Si fas servir servidors administrats per tercers o MSPs, configura connexions amb Jump Boxes, o fes servir bastion hosts. No entreguis l’accés RDP obert.

Revisa el visor d’esdeveniments -> Seguretat -> 4625 (intents fallits) i configura alertes si hi ha més de X intents per minut.

7. Desactivar serveis i tasques programades innecessàries

Cada servei actiu és una font potencial de càrrega o problemes futurs. Alguns serveis s’activen després d’instal·lar rols i es queden aquí encara que no s’utilitzin.

  1. Desactiva serveis com Fax, Xbox Live Auth Manager (sí, en algunes imatges apareix), MapsBroker, etc., si no tenen propòsit.
  2. Revisa el programador de tasques (taskschd.msc) i desactiva totes les tasques relacionades amb OneDrive, manteniment automàtic innecessari, recopilació de dades, etc. En especial les que activen processos en horaris de manteniment predeterminats.
  3. Configura les tasques de manteniment (com les de Windows Defender, si no fas servir un altre antivirus) perquè s’executin en horaris coherents amb l’operació del servidor.

Evita desactivar serveis “per costum”. Confirma primer la seva funció i dependències. Però tampoc assumeixes que tots són necessaris.

8. Antivirus i exclusions específiques

L’antivirus ha d’estar configurat des del primer dia, no afegit “quan tinguem temps”. En molts entorns he vist servidors amb Defender activat sense política clara, o amb antivirus de tercers mal configurat que genera més problemes dels que evita.

  1. Si fas servir Microsoft Defender, aplica exclusions específiques per a rols com Hyper-V, SQL Server, controladors de domini, etc. Microsoft té documentació molt clara per a això, i saltar-se-la té conseqüències: lentitud de discos, errors de replicació o fins i tot bloquejos.
  2. Si instal·les antivirus de tercers, revisa que no desactivin funcions crítiques com VSS, i que no reemplacin serveis de xarxa com filtres SMB, que de vegades trenquen coses sense deixar traces clares.
  3. Desactiva les anàlisis completes programades en horaris d’ ús. Això sembla bàsic, però moltes instal·lacions hereten polítiques estàndard d’estacions de treball i executen anàlisis al migdia.

Revisa també que l’ AV respecti l’ ús de recursos. He vist servidors de base de dades en producció amb CPU al 90% per l’antivirus fent inspecció de trànsit en connexions internes.

9. Logging, retenció i visibilitat

Tenir logs no és suficient. Cal tenir els que calen, configurar-los bé i conservar-los el temps necessari.

  1. Augmenta la mida dels logs del Visor d’esdeveniments. La mida per defecte és ridículament baixa per a entorns de producció (per exemple, només 20 MB a “Seguretat”). Per a servidors crítics, puja mínim a 256 MB.
  2. Activa el logging detallat per als serveis que el suportin (per exemple, DNS Server, si està instal·lat). No cal deixar-ho sempre actiu, però sí tenir-lo disponible quan alguna cosa no funciona i no tens visibilitat.
  3. Configura les polítiques d’ auditoria d’ accés i privilegis. Molts servidors tenen logs buits en els esdeveniments clau (tipus 4662 o 4670) perquè ningú va revisar les GPO que hereten.
  4. Si tens SIEM, valida que el servidor estigui enviant correctament els logs. No ho donis per fet només perquè l’agent estigui instal·lat.

En entorns sensibles, configura un job que faci backup dels esdeveniments setmanalment. És fàcil d’automatitzar i més fiable que confiar en la rotació de logs en calent.

10. Configuració de firewall: regles explícites i no confiar en el perfil per defecte

Molts administradors assumeixen que amb desactivar el firewall, s’acaba el problema. Però això obre massa portes, i en entorns amb segmentació real o connexions intersite, sovint porta més problemes que benefici.

  1. Mantingues el firewall actiu i crea regles explícites per port i adreça si és possible. Sí, porta més temps, però evita que s’obrin coses innecessàries per error.
  2. Revisa quin perfil de xarxa està actiu (pública, privada o domini). Hi ha entorns on una mala configuració del switch o un error al DHCP fa que Windows assumeixi que està en una xarxa pública, cosa que bloqueja serveis essencials sense avisar.
  3. Evita regles “permetre tot a tots”. Fins i tot en entorns interns, crea grups per subxarxes o VLAN. He vist infeccions propagar-se lateralment només perquè els firewalls estaven oberts “perquè eren del mateix domini”.

El Firewall de Windows és prou granular com per fer-ho bé. El que falla és el temps que se li dedica.

11. Còpies de seguretat: comprovar abans de necessitar-la

Configurar el backup no és una tasca per “després del primer mes”. El que no té còpia, no està en producció.

  1. Assegura’t que el programari de backup reconeix el servidor i els seus volums. Molts productes requereixen que s’instal·li un agent, que es reiniciï el sistema o que s’activi VSS correctament. No ho donis per fet.
  2. Si fas servir Windows Server Backup, revisa que el disc de destí estigui dedicat i que no generi conflicte amb altres tasques. WS Backup falla silenciosament si el destí es desconnecta un moment.
  3. Valida el backup: restaura alguna cosa, encara que sigui un arxiu petit. El backup que mai s’ha provat no compta.
  4. Inclou el System State si el servidor té rols com AD, DNS, DHCP o qualsevol servei d’ infraestructura.

Documenta les rutes i els horaris del backup. I deixa un fitxer de text simple en l’escriptori del servidor (o en C:\AdminTools) amb la configuració resumida. El dia que calgui restaurar alguna cosa i estiguis tu de vacances, algú t’ ho agrairà.

12. Usuaris locals i credencials de servei

Els usuaris locals i comptes de servei són una font constant de configuracions inadequades si no es gestionen bé des del principi.

  1. Elimina usuaris locals que no tinguin justificació. Molts servidors clonats porten comptes heretats que ningú recorda.
  2. Canvia la contrasenya de l’ administrador local. I si es gestiona per LAPS, assegura’t que estigui funcionant i que la GPO estigui aplicada.
  3. Revisa tots els comptes de servei configurats en serveis (services.msc). Evita fer servir comptes amb permisos d’ administrador. Fes servir comptes amb els privilegis mínims necessaris.
  4. Documenta quins serveis estan fent servir quin compte, i si algun depèn d’ emmagatzematge extern, xarxa o accés a base de dades.

He vist serveis crítics que fallaven en arrencar perquè s’havia caducat la contrasenya del compte i ningú sabia quina era ni qui la va crear.

13. Scripts de manteniment i tasques programades recurrents

Cada entorn necessita les seves pròpies tasques periòdiques. Però n’hi ha algunes que convé tenir en tots els servidors, fins i tot si la seva funció és modesta.

  1. Neteja de logs antics, temporals, bolcats de memòria, carpetes d’instal·lació de pegats obsolets (%windir%\SoftwareDistribution\Download).
  2. Revisió periòdica de l’estat de discos (Get-PhysicalDisk, smartctl, etc.), ús d’espai, creixement anòmal de carpetes com WinSxS o perfils d’usuari.
  3. Exportar configuracions de rols (com DHCP o DNS) a arxius programats, llestos per importar en cas de desastre.

Tot això es pot fer amb PowerShell. No cal muntar un sistema de monitoratge complet si no està en el teu pressupost o abast. Però sí tenir tasques automàtiques que almenys t’enviïn un mail si alguna cosa se surt de l’esperat.

14. Documentació immediata

No esperis a acabar el projecte. Documenta ara. En text pla, a Markdown, al teu wiki intern, tant se val. Però fes-ho abans d’oblidar-ho.

  1. IPs, nom del host, data d’instal·lació, rols actius, versió exacta del sistema (winver), data de l’últim pegat aplicat.
  2. Quins canvis no estàndard es van aplicar (scripts, tasques programades, claus de registre modificades).
  3. Usuari local d’ emergència i forma d’ accés fora de domini.

Fes-ho mentre estàs connectat, just després d’aplicar els canvis. Després passes a un altre tema, i aquest coneixement es va perdent en memòria difusa.

Tancament

No hi ha dos servidors iguals, però hi ha patrons que es repeteixen. Molts problemes es resolen amb temps, però més val no haver d’invertir-lo en errors previsibles. Aquesta llista no cobreix tot el que es pot fer, però sí el que gairebé sempre convé fer. No està basada en teoria ni en “bones pràctiques” genèriques, sinó en coses que he vist fallar més vegades de les que voldria admetre.

Cada servidor nou és una oportunitat perquè alguna cosa funcioni millor que abans. També per heretar errors per mandra o presses. La diferència està en el que es fa just després d’acabar la instal·lació.

You May Also Like

Instal·lació de Kali Linux 2021.4

Rafael Quintero

Configurar auditd per a monitoritzar accés a arxius crítics

Rafael Quintero

Instal·lació de Nessus a Kali Linux

Rafael Quintero

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *