Beruflich Dokumente
Kultur Dokumente
http://abdulet.net/?p=607
El conocimiento compartido
es conocimiento en crecimiento
Principios genricos
2.
Instalacin bsica
3.
2.1.
2.2.
2.3.
3.2.
4.
3.1.2.
3.2.2.
3.2.3.
3.3.
3.4.
Deshabilitar NETBIOS
4.1.2.
4.1.3.
4.1.4.
mos
1 de 22
4.2.
4.3.
Apagado de la mquina
4.4.
4.4.2.
4.4.3.
4.5.
Antivirus
4.6.
Desactivar IPv6
13/05/2013 17:06
4.7.
4.8.
4.9.
http://abdulet.net/?p=607
6.
7.
Proteccin de la informacin
5.1.
5.2.
5.3.
5.3.2.
5.5.
6.2.
6.3.
Control de Sesiones
6.4.
Configuracin de NTP
6.4.1.
6.4.2.
Actualizaciones y Parches
8.1.
9.
5.4.
7.1.
8.
5.3.1.
8.1.2.
9.2.
1.
Principios genricos
Cifrar todos los datos que se transmiten a travs de la red, son particularmente importante los datos relativos a nombres de usuario y contraseas
Minimizar la cantidad de programas y servicios instalados y en ejecucin para minimizar el riesgo potencial ante vulnerabilidades
Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o antimalware
Auditar los elementos crticos y/o de mayor riesgo de cada servidor
Minimizar la instalacin de varios servicios en un mismo servidor, para reducir el riesgo de que un servicio comprometido afecte a otros servicios
2 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Realizar un buen seguimiento de las cuentas de usuario, seguir una poltica de contraseas slida y
forzar su uso as como eliminar las cuentas de usuarios innecesarias o que ya no se utilicen
Revisar los logs de sistema y de aplicacin de manera rutinaria. Enviar los logs a un servidor de logs
Minimizar el uso de usuarios locales
Utilizar la metodologa del menor privilegio en todos los mbitos
2.
Instalacin bsica
2.1.
Hay que instalar el SO desde DVD sin que est conectado a la red hasta que se hayan completado los pasos
de esta gua, sin embargo habrn ocasiones en las que esto no sea posible, en esos casos se debe asegurar
que:
2.2.
Se realizar una instalacin del sistema base, sin seleccionar ningn grupo de aplicaciones y funciones durante la instalacin, e instalar a posteriori las aplicaciones y funciones requeridas. De esta forma evitamos
que se instalen programas, libreras o extensiones que no sean necesarias.
3 de 22
13/05/2013 17:06
4 de 22
http://abdulet.net/?p=607
webDAV
2.3.
No hay que utilizar el protocolo DHCP para configurar las interfaces de red, todas deben tener una IP esttica. Una vez obtenida la direccin IP hay que configurar la interfaz deseada siguiendo estos pasos
1. Abrir
Windows 2003
1. Pulsar el botn derecho sobre la conexin deseada, seleccionar Propiedades y pulsar doble click sobre
1. En la pestaa General seleccionar la opcin Usar la siguiente direccin IP y rellenar los campos: Direccin IP, Mscara de subred y Puerta de enlace predeterminada
2. Seleccionar la opcin Usar las siguientes direcciones de servidor DNS y rellenar los campos: Servidor
DNS preferido y Servidor DNS alternativo
3.
3.1.
Para que Windows no pida la contrasea, es necesario establecerla en blanco, as que nunca se debe establecer una contrasea en blanco, para evitar su uso hay que establecer una longitud mnima de contrasea.
3.1.1.
13/05/2013 17:06
5 de 22
http://abdulet.net/?p=607
3.1.2.
Hay que habilitar la opcin que limita el uso de contraseas en blanco a usuarios que hayan iniciado sesin
por consola impidiendo, de esta manera, el uso de contraseas en blanco en conexiones remotas. Para habilitar esta opcin ir a
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Directivas de seguridad>Cuentas: Limitar el uso de cuentas locales con contrasea en blanco solo para iniciar sesin en la consola
3.2.
3.2.1.
Antes de desactivar la cuenta de Administrador hay que crear una nueva, el usuario corporativo de explotacin es ExpSG as que hay que crearlo siguiendo estos pasos:
Y seleccionar la opcin Usuario nuevo=, introducir ExpSG como nombre de usuario, establecer una contrasea y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario
y en la pestaa Miembro de quitar el grupo Usuarios y aadir el grupo Administradores
Y seleccionar la opcin Usuario nuevo=, introducir ExpSG como nombre de usuario, establecer una contrasea y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario
13/05/2013 17:06
http://abdulet.net/?p=607
3.2.2.
Hay que deshabilitar el usuario Administrador creado durante la instalacin. Para ello establecer a Deshabilitada la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cuentas: Estado de la cuenta de administrador
3.2.3.
La cuenta de invitado debe estar deshabilitada, en la familia server viene desactivada por defecto, pero hay
que asegurarse de que est deshabilitada la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local >Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cuentas: estado de la cuenta de invitado
3.3.
Hay que asegurar que se cumplen los requisitos de la poltica de contraseas de la organizacin a fin de que
se asegure la dificultad o imposibilidad de:
Prediccin de contraseas
Ataques de diccionario
Ataques de fuerza bruta
3.4.
Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en
mente la filosofa de otorgar el menor privilegio.
Se debe tener en cuenta, que permisos asignados a grupos, les puede elevar o disminuir el nivel de privilegios.
6 de 22
13/05/2013 17:06
4.
http://abdulet.net/?p=607
4.1.
En aquellas mquinas en las que por los servicios que ofrecen no sea necesario, o cuando est bien implantada una infraestructura de DNS o AD, se desactivar NETBIOS. Tericamente Este paso no debera acarrear problemas, an as en algunas situaciones puede surgir alguno, as que hay que asegurarse que no
afecte a ningn servicio, especialmente en controladores de dominio.
4.1.1.
Deshabilitar NETBIOS
1. Abrir
1. Marcar la opcin
En el caso de no poder desactivar NETBIOS hay que limitar la respuesta de peticiones NETBIOS a peticiones que provengan del servidor WINS habilitando la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>MSS: (NoNameReleaseOnDemand) Allow the computer to ignore
NetBIOS name release request except from WINS servers
7 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Si no aparece esta opcin hay que instalar el archivo GPO.MSI, adjunto en el anexo, una vez instalado hay
que pulsar el botn secundario del ratn sobre
Y seleccionar la opcin Ejecutar como administrador, una vez abierta la lnea de comandos hay que ejecutar
Tras realizar estos pasos, vuelve a abrir el editor de polticas y aparecern las opciones de MSS
4.1.2.
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Cliente de redes Microsoft: Firmar digitalmente las comunicaciones
(si el servidor lo permite)
4.1.3.
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de Windows>Directivas locales>Opciones de seguridad>Servidor de red Microsoft: Firmar digitalmente las comunicaciones
(si el cliente lo permite)
4.1.4.
rios annimos
Habilitar la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de Windows>Directivas locales>Opciones de seguridad>Acceso de red: No permitir enumeraciones annimas de cuentas y
recursos compartidos SAM
8 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Al activar esta opcin pueden aparecer algunos de los problemas descritos en: http://support.microsoft.com
/kb/823659 y http://support.microsoft.com/kb/318866
4.2.
Se debe reducir el tiempo de caducidad por defecto que marca la frecuencia de borrado de las entradas de la
tabla ARP. En el caso de Windows Server 2008, realiza por defecto el borrado entre 15 y 45 segundos.
Ejecutar
regedit.exe
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ArpCacheLife
4.3.
Apagado de la mquina
Se debe deshabilitar la opcin que permite apagar el sistema sin iniciar sesin, deshabilitando la opcin
Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Apagado: Permitir apagar el sistema sin tener que iniciar sesin
4.4.
Al activar el acceso remoto a travs de RDP hay que aplicar las siguientes medidas de seguridad.
4.4.1.
Mediante esta opcin forzamos a que el servidor pida la contrasea aunque el usuario la tenga memorizada
en el cliente, as se impide que alguien pueda acceder al servidor accediendo a un equipo cliente con la contrasea memorizada. Para establecer esta opcin ejecutar
gpedit.msc
9 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Y habilitar la opcin
CCE-3666-5
CCE-7636-4
4.4.2.
gpedit.msc
Y habilitar la opcin
CCE-3812-5
CCE-7667-9
4.4.3.
10 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Aunque se establezca en el servidor la opcin de que siempre pida la contrasea a los clientes, para evitar
que se diseminen credenciales por los equipos de la red hay que indicar al servidor que impida a los clientes
guardar las contraseas. Ejecutar
gpedit.msc
Y habilitar la opcin
Configuracin del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente>No permitir que se guarden las contraseas
4.5.
Antivirus
Mantener los archivos del Servidor a salvo de virus usando y manteniendo actualizado un software antivirus.
4.6.
Desactivar IPv6
El uso de IPv6 todava no est extendido e introduce vectores de ataque desconocidos as que hay que desactivarlo en todas las interfaces de red del servidor.
1. Abrir
Windows 2003
1. Pulsar el botn derecho sobre la conexin deseada, seleccionar Propiedades y, si existe, quitar la marca de la opcin
4.7.
11 de 22
13/05/2013 17:06
12 de 22
http://abdulet.net/?p=607
rios annimos
Esto impide extraer informacin sobre las cuentas existentes si se obtiene el SID o el nombre de usuario y dificulta un ataque de fuerza bruta contra las contraseas. Deshabilitar la opcin desde
4.8.
Impide que un usuario annimo determine fcilmente la lista de usuarios en el sistema. Habilitar la opcin
4.9.
Todos los servidores corporativos debern mostrar el siguiente mensaje cuando un usuario intente iniciar sesin en ellos:
Tambin se debe configurar el ttulo del mensaje a Aviso legal mediante la opcin
13/05/2013 17:06
http://abdulet.net/?p=607
Y activar la opcin Escritorio remoto, para permitir la administracin remota del servidor, despus ir a la pestaa General y seleccionar la opcin Activado
Si permite iniciar sesin hay que desactivar la cuenta del usuario annimo
5.
Proteccin de la informacin
5.1.
Deshabilitar la funcionalidad de compartir las unidades de disco con propsitos administrativos en aquellas
mquinas que se encuentren en entornos crticos o inseguros (como DMZ).
regedit.exe
13 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Y modificar la clave:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer
La clave es de tipo REG_DWORD y hay que establecer su valor a 0. Si la clave no existe hay que crearla.
Para finalizar hay que reiniciar el servicio server y sus dependencias ejecutar los comandos
Para finalizar hay que reiniciar el servicio srvnet y sus dependencias ejecutar los comandos
5.2.
Seguir la poltica del mnimo privilegio en los permisos del sistema de archivos. El objetivo es crear un ambiente restrictivo que se pueda ir abriendo selectivamente en funcin de las necesidades de la mquina.
5.3.
Una medida eficaz para detectar cambios es comprobar la integridad de los ficheros de sistema, configuracin y Logs.
5.3.1.
Para los archivos del sistema desde la versin de Server 2000, Windows incluye las utilidades SFC (System
File Checker) y WFP (Windows File Protection). Mediante SFC se puede comprobar la integridad de archivos
que Microsoft considera esenciales y restaurarlos a su versin original, pero este proceso se realiza de forma
transparente y en tiempo real mediante la utilidad WFP.
14 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCScan\SFCDisable
Y a 0 para activarlo por lo tanto hay que asegurar que esta clave no exista o est establecida a 0.
5.3.2.
Para archivos de configuracin o que no sean del sistema se puede utilizar la utilidad FCI, que puede descargarse de
http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/Windows-KB841290x86-ENU.exe
Una vez instalado hay que abrir una consola, cmd.exe, y ejecutar el comando
Donde ruta_del_archivo es la ruta completa de un archivo cuyo checksum queramos agregar a la base de datos en formato XML indicada por el parmetro ruta_de_la_db_en_xml. Se puede agregar un directorio mediante la opcin -r, recursivo.
Para comprobar la integridad de los archivos incluidos en la base de datos XML hay que ejecutar el comando:
Una vez definidos sobre qu archivos queremos realizar la base de datos xml y generados los valores de
checksum, hay que guardar en un medio de solo lectura o que est totalmente aislado de la red, el archivo de
base de datos xml ruta_de_la_bd_en_xml para evitar que sea modificado por un atacante.
5.4.
Se debe activar el filtro de ejecucin de aplicaciones maliciosas (Data execution Prevention DEP) ms las
protecciones por hardware para evitar que se ejecuten ficheros daados por virus y otras amenazas de seguridad.
15 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
Y activar DEP para todos los programas y servicios a excepcin de los que seleccione
Y activar DEP para todos los programas y servicios a excepcin de los que seleccione
5.5.
Hay que mostrar las extensiones de los archivos, debido a que algunas amenazas como pueden ser los virus
y gusanos, aprovechan este comportamiento para confundir al usuario. Para mostrar las extensiones para el
usuario actual abrir un explorador de archivos y desmarcaremos la opcin
6.
6.1.
Durante la instalacin de sistemas operativos muchos servicios se configuran para que se inicien automticamente durante el inicio del SO. Algunos de estos servicios pueden no ser necesarios. Se debe verificar y habilitar nicamente aquellos que sean necesarios. Para revisar los servicios que existen y cuando se inician
abrir
Pulsar sobre la columna Tipo de inicio y los servicios que se inician automticamente aparecern los primeros, para modificar el tipo de inicio realizar un doble click sobre el servicio y en la ventana emergente establecer el campo Tipo de inicio al valor deseado.
6.2.
No se debe mostrar nunca el nombre del ltimo usuario que inici una sesin. Habilitar la opcin
16 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
6.3.
Control de Sesiones
Debe activarse un protector de pantalla que bloquee el terminal con contrasea al cabo de un tiempo. Por defecto Windows lo trae habilitado a 10 minutos. Pulsar el botn derecho sobre el escritorio y seleccionar la opcin Personalizar, establecer el tiempo deseado y marcar la opcin Ensear la ventana de inicio al volver. A
los usuarios de los centros de control no se les debe aplicar
6.4.
Configuracin de NTP
Se debe configurar el servicio NTP para que se sincronice con el servidor NTP.
Abrir una consola como administrador pulsando la tecla Shift y el botn derecho sobre
Y seleccionando la opcin Ejecutar como administrador, una vez abierta aplica los puntos 10.4.1 y 10.4.2
6.4.1.
Ejecutar el comando
netsh advfirewall firewall add rule name=Sincronizacion de tiempo NTP action=allow dir=out protocol=udp
17 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
remoteport=123 remoteip=ip-del-servidor-ntp
6.4.2.
w32tm /resync
7.
Hay que habilitar los servicios de auditora del sistema. Debe tenerse en cuenta que la auditora puede causar un impacto en el rendimiento del sistema y un uso mayor del espacio en disco, as que hay que buscar un
equilibrio.
7.1.
Como mnimo habr que activar los eventos correctos y fallidos de las opciones:
Auditar eventos de inicio de sesin de cuenta (Windows server 2008: CCE-2251-7,CCE-1779-8, Windows server 2003: CCE-3321-7, CCE-3467-8)
Auditar eventos de inicio de sesin (Windows server 2008: CCE-2242-6, CCE-2574-2, Windows server
2003: CCE-3603-8, CCE-3391-0)
Auditar eventos del sistema (Windows server 2008: CCE-1837-4,CCE-1939-8, Windows server 2003:
CCE-3594-9, CCE-3611-1)
8.
18 de 22
Actualizaciones y Parches
13/05/2013 17:06
8.1.
http://abdulet.net/?p=607
Es muy importante mantener los sistemas actualizados a las versiones ms recientes para proteger los equipos ante errores conocidos y solventados.
8.1.1.
8.1.2.
Dado que los parches debern ser verificados y, una vez aprobados, distribuidos por la empresa, hay que
configurar las actualizaciones automticas para que sincronicen con la infraestructura interna en lugar de los
servidores oficiales de Microsoft. Hay que ejecutar el comando:
gpedit.msc
1. Habilitar la opcin
Seleccionando la opcin 2-Notificar descarga y notificar instalacin del campo Configurar actualizacin automtica
1. Habilitar la opcin
9.
Esta seccin agrupa varias opciones que por su naturaleza no pertenecen a ningn apartado especfico.
9.1.
Al activar esta opcin se fuerza a que se actualicen las polticas aunque no se haya modificado ningn objeto de las polticas globales, asegura que se aplican las polticas globales reemplazando cualquier cambio realizado localmente. Para establecer esta opcin ejecutar
19 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
gpedit.msc
Y habilitar la opcin
9.2.
A lo largo de su historia la reproduccin automtica ha sido un vector de ataque muy utilizado por virus, troyanos, malware y dems amenazas, por ms que ha mejorado su seguridad con el tiempo se encuentran nuevas formas de explotar esta funcionalidad, as que hay que desactivarla. Para establecer esta opcin ejecutar
gpedit.msc
Y habilitar la opcin
CCE-3597-2
CCE-8634-8
20 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
gpedit.msc
Y habilitar la opcin
Configuracin del equipo>Configuracin de Windows>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Modo de aprobacin de Administrador integrado
CCE-2302-8
gpedit.msc
Configuracin del equipo>Configuracin de Windows>Configuracin de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Comportamiento del indicador de elevacin para los administradores en Modo de aprobacin de administrador
CCE-2474-5
Esta entrada se public en Seguridad, Sistemas y est etiquetada con Microsoft, Seguridad, Sysadmin en
18/febrero/2013 [http://abdulet.net/?p=607] .
21 de 22
13/05/2013 17:06
http://abdulet.net/?p=607
charlie
4/mayo/2013 en 3:09:08:000000
muy bueno
22 de 22
13/05/2013 17:06