Una de las mejoras que trae el nuevo servidor de los gigantes de Redmon es la posibilidad de prescindir de la herramienta gráfica del servidor, del escritorio, de las ventanas !!!
Que tiene que ver esto con la seguridad?. Sencillo.
Un motivo puede ser el poner más difícil a un atacante el acceso a roles o funciones de un servidor, ya que en ausencia de entorno gráfico, se hace necesario el uso de powershell, tarea algo más complicada que el manejo de ventanas xD.
Imaginaros un escenario en el que varios controladores de dominio o servidores miembro ejecutan varios roles, distribuidos. Imaginaros el caso de un servidor comprometido, en el que nos instalan el role de DHCP, o peor aún, de DNS, y nos inundan la red de información errónea.
Una solución es eliminar el entorno gráfico, y por supuesto, eliminar los paquetes de instalación del mismo, ya que es un proceso que se puede revertir. Al contrario que en la versión pasada de Windows server 2008 r2 en el que se podía realizar una instalación CORE del sistema, sin entorno gráfico, pero sin la posibilidad de instalarlo a posteriori.
Entonces, distinguimos 3 tipos de instalación del servidor 2012:
Core.- sin ventanas, sin acceso gráfico.
Minimal.- sería una instalación gráfica, para poder usar por ejemplo nuestras MMC( Consolas de administración gráficas) pero sin Internet Explorer, Explorador de archivos y ciertas configuración del panel de control relativas a los gráficos.
Gui.- acceso gráfico completo.
Respecto a los paquetes de instalación, podemos distinguir entre tres estados:
Installed.- paquete instalado y disponible para reinstalación.
Staged.- paquete no instalado pero disponible para instalación.
Absent.- paquete no instalado y no disponible para instalación.
En el caso de eliminar un paquete que no usamos, y queramos después instalarlo, podemos usar un fichero de imagen WIM o usar el cómodo servicio Windows Update. Si señores, estamos hablando de instalar componentes de Windows 2012 mediante una actualización...
Vamos a realizar un paso sencillo, después de instalar cómodamente nuestro servidor, probarlo y poner en producción nuestros servicios, pasamos de GUI a Minimal.
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra -Restart
Remove-WindowsFeature Server-Gui-Shell,Server-Gui-Mgmt-Infra -Remove -Restart
Con la opción -Remove borramos los paquetes, es decir, los dejamos en estado Absent. Sin -Remove se quedarían en estado Staged.
Ahora tenemos un servidor Windows Server 2012 completamente operativo y administrable sin entorno gráfico, con mucho menos consumo de recursos.
Comprobamos que no tenemos ninguna función denominada GUI con Get-WindowsFeature (hasta aquí listaría todos los roles instalados)*GUI* | select *
Pero que pasa, si no consigues administrar el servidor con Powershell, y te arrepientes de usar la versión Core? no pasa nada, o pagas, o reinstalas el entorno gráfico xD.
Install-WindowsFeature Server-Gui-Mgmt-Infra,Server-Gui-Shell -Restart
Volvemos a comprobar los roles instalados, aunque las ventanas del fondo cantan un poco xD.