Lo que hoy te cuesta
En una operación que levanta entre 8 y 25 servidores al mes, entre 60% y 80% se provisionan con la configuración default de Windows Server: SMBv1 habilitado, NTLM sin restricción, RDP sin NLA, firewall con perfil de Domain con reglas permisivas, audit policy mínima, servicios innecesarios activos. La ventana de exposición entre el momento del provisionamiento y la primera configuración segura típica es 4 a 9 días, durante los cuales un escaneo externo encuentra el servidor con 12 a 18 puertos innecesarios expuestos. El pentest externo automatizado detecta el patrón y documenta "baseline inconsistente entre servidores" como hallazgo mayor. En caso de incidente, la audit policy insuficiente impide reconstruir qué pasó; el IR team termina deduciendo en lugar de leyendo logs. "El último servidor que provisioné tiene SMBv1 abierto y no lo sabía hasta que el auditor me preguntó" es el despertar típico del ingeniero. ¿Cuántos servidores tenemos hoy fuera del baseline y no lo sabemos?
Lo que cambia cuando lo tenés
El primer día el nuevo servidor arranca, ejecuta la Scheduled Task "Once" como SYSTEM, aplica el baseline: SMBv1 off, NTLM mínimo 537395200, RDP con NLA, firewall en todos los perfiles, audit policy detallada, servicios innecesarios deshabilitados, log firmado en C:ProgramDataharden.log. El dueño del cumplimiento es el equipo de seguridad, que ahora cuenta con evidencia binaria por servidor; el dueño del provisionamiento es el de infraestructura, que reduce el time-to-secure a minutos. El output visible es el log auditable, el reporte consolidado del último boot por host y el panel de cumplimiento en Power BI. Una firma financiera con 320 servidores pasó de 47% fuera de baseline a 3% en un trimestre de provisionamiento continuo. La inversión se amortiza en el primer ciclo de pentest externo sin hallazgos, típicamente 4 a 6 meses.
Baseline aplicado en el primer boot, log auditable
Quiero implementar esto
Conversamos 20 minutos sobre tu entorno y vemos juntos el alcance, la arquitectura y el plan de trabajo. Sin compromiso.
Proyectos relacionados
Inventario de software instalado + cruce con licencias
CSV semanal con todo el software instalado en la flota, comparado contra la lista de software autorizado.
Orquestador de tareas pull-based
Cada equipo corre un agente que consulta "trabajos" desde un endpoint y reporta resultado. Base de cualquier flota sin SCCM.
Health check matutino de Active Directory
Un solo correo al día con el estado real del AD: replicación, lockouts, contraseñas expiradas, GPOs nuevas.