Beruflich Dokumente
Kultur Dokumente
El procedimiento para la verificacin de la seguridad Bsica de los equipos con Microsoft Windows
2000, XP y 2003 es el siguiente:
Hive: HKEY_LOCAL_MACHINE \SYSTEM; Key:
SEGURIDAD LGICA DEL SISTEMA
\CurrentControlSet\Control\SecurePipeServers;
Value Name: \winreg;
Sistema
de archivos
Asignar Full
control solo al grupo de Administradores
El
equipo debe contar con por lo menos dos particiones
Servicios
Lasse
particiones
del equipo
deben software
ser NTFSde servicios web, ambientes de
No
deber cargar
inicialmente
Cuenta de servidores
Administrador
desarrollo,
de correo ni ftp salvo para los perfiles de
desarrollador.
El usuario Administrador debe estar renombrado y debe contar con un
password complejo de 12 caracteres
Perfiles de usuario
El usuario Guest (invitado) debe estar desactivado o removido
Las conexiones tipo Anonymous deben estar deshabilitadas para accesos
remotos al registry y al archivo LSA (ver Registry)
Solo el grupo de Administrators debe tener permisos para Administrar la
Auditoria y los logs de seguridad
Solo el grupo de Administrators debe tener permisos para manipular los
archivos u otros objetos del S.O.
El equipo debe contar con perfiles especficos para dar soporte, transmitir
informacin, instalar paquetes, monitorear y auditar el equipo en
produccin
Auditora
La auditoria debe estar habilitada para Logon y Logoff no exitosos
La auditoria debe estar habilitada para cambios en las polticas de
seguridad exitosas y no exitosas
Los archivos "regedt32.exe" y regedit.exe deben ser accesados solo por
el grupo Administrators
Directiva de contraseas
Forzar el historial de contraseas a 4 das
Vigencia mxima de la contrasea es 42 das
Vigencia mnima de la contrasea es 2 das
Longitud mnima de la contrasea es 8 caracteres
Las contraseas deben cumplir los requisitos de complejidad con dgitos
alfanumricos
Bloqueo de cuentas
Duracin del bloqueo de cuenta es 30 min.
Umbral de bloqueo de cuenta es de 3 intentos
Restablecer el bloqueo de cuenta est despus de 30 min.
Antivirus
El equipo debe mantener actualizada la versin de antivirus institucional o
la proporcionada por el proveedor de servicios CAT
Service packs y hotfixes
El equipo debe contar con el service pack mas reciente del sistema
operativo, los parches especficos de sistemas operativos y aplicativos, y
los hot fixes liberados hasta ese momento previa validacin de
fncionalidad en el Centro de Certificacin. Esto es vlido para todo
momento durante la vigencia del contrato de servicios de CAT.
Registry
Hive: HKEY_LOCAL_MACHINE \SYSTEM; Key:
CurrentControlSet\Control\LSA; Value: Name RestrictAnonymous; Type:
REG_DWORD; Value: 2
1 Objetivo
Poner en claro los pasos que se deben seguir para la verificacin de la configuracin de seguridad
en equipos de escritorio.
2 Alcance
Equipos de escritorio del proyecto CAT.
SERVICE
FULL NAME
STATUS
AppMgmt
Application
Management
DISABLED
Cisvc
Indexing Service
DISABLED
ClipSrv
ClipBook
DISABLED
Dmadmin
DISABLED
Fax
Fax Service
DISABLED
IsmServ
Intersite Messaging
DISABLED
Kdc
Kerberos Key
Distribution Center
DISABLED
Mnmsrvc
NetMeeting Remote
Desktop Sharing
DISABLED
MSIServer
Windows Installer
DISABLED
NetDDEdsdm
DISABLED
Netman
Network Connections
DISABLED
NtLmSsp
DISABLED
SERVICE
FULL NAME
STATUS
RasAuto
DISABLED
RasMan
Remote Access
Connection Manager
DISABLED
RemoteAcce
ss
DISABLED
Rpclocator
DISABLED
RSVP
DISABLED
ScardDrv
DISABLED
ScardSvr
Smart Card
DISABLED
SharedAcces
s
Internet Connection
Sharing
DISABLED
SysmonLog
DISABLED
TapiSrv
Telephony
DISABLED
TermService
Terminal Services
DISABLED
TlntSvr
Telnet
DISABLED
TrkSrv
Distributed Link
Tracking Server
DISABLED
UPS
Uninterruptible Power
Supply
DISABLED
UtilMan
Utility Manager
DISABLED
Print SP
DISABLED
c) PUERTOS
La configuracin de los puertos de red deber adecuarse a la siguiente tabla:
PORT
TCP
1025
1032
1033
x
x
x
1065
1066
1067
1433
2835
2836
138
500
1434
x
x
x
x
x
x
UDP
x
x
x
d) DIRECTIVA DE CONTRASEAS
Directiva
Forzar el historial de contraseas
Vigencia mxima de la contrasea
Vigencia mnima de la contrasea
Longitud mnima de la contrasea
Las contraseas deben cumplir los
requisitos de complejidad
Almacenar contrasea usando
cifrado reversible para todos los
usuarios del dominio
Configuracin mnima
recomendada
4 contraseas
recordadas
42 das
2 das
8 caracteres
Habilitado
Deshabilitado
e) BLOQUEO DE CUENTAS
Directiva
Duracin del bloqueo de cuenta
Umbral de bloqueo de cuenta
Restablecer el bloqueo de
cuenta despus de
f)
AUDITORIA
Auditar el seguimiento de procesos
Directiva
Auditar sucesos del sistema
Auditar
sucesos
de inicio
de sesin
Restringir
el acceso
de Invitado
al
de
cuenta
registro de aplicaciones
Auditar
la administracin
de cuentas
Restringir
el acceso de Invitado
al
Auditar
el
acceso
al
servicio
de
registro de seguridad
directorios
Restringir el acceso de Invitado al
Auditar
de inicio de sesin
registro sucesos
del sistema
Auditar
el
acceso
a objetos
Mtodo de retencin
del registro de la
Auditar el cambio de directivas
aplicacin
Auditar el uso de privilegios
Configuracin mnima
recomendada
30 minutos
3 intentos incorrectos de
inicio de sesin
30 minutos
No auditar
Configuracin del equipo
error
error
Habilitado
error
Habilitado
Error
Habilitado
error
error
No sobrescribir sucesos
Acierto, el
error
(limpiar
registro
Error
manualmente)
No sobrescribir sucesos
(limpiar el registro
manualmente)
No sobrescribir sucesos
(limpiar el registro
manualmente)
No definido
g) PERFILES DE USUARIO
Opcin
Tomar control de archivos u otros objetos
Administrar Auditoria y logs de Seguridad
Configuracin vigente
Administradores
Administradores
Opcin
Restricciones adicionales para conexiones
annimas
Permitir a los operadores de servidor programar
tareas (slo controladores de dominio)
Permitir apagar el sistema sin tener que iniciar
sesin
Permitir expulsar medios NTFS extrables
Tiempo de inactividad requerido antes de
desconectar la sesin
Auditar el acceso de objetos globales del sistema
Auditar el uso del privilegio de copia de seguridad
y restauracin
Configuracin
No obtener acceso sin
permisos annimos explcitos
Por definir
Por definir
Administradores
10 minutos
Deshabilitado
Deshabilitado
Opcin
Cerrar automticamente la sesin de los usuarios
cuando termine el tiempo de sesin
Cerrar automticamente la sesin de los usuarios
cuando termine el tiempo de sesin (local)
Borrar el archivo de pginas de la memoria virtual
al apagar el sistema
Firmar digitalmente la comunicacin con el cliente
(siempre)
Firmar digitalmente la comunicacin con el cliente
(cuando sea posible)
Firmar digitalmente la comunicacin con el
servidor (siempre)
Firmar digitalmente la comunicacin con el
servidor (cuando sea posible)
Deshabilitar el requisito de presionar
Ctrl+Alt+Supr para iniciar la sesin
No mostrar el ltimo nombre de usuario en la
pantalla de inicio de sesin
Nivel de autenticacin de LAN Manager
Configuracin
De pende de la aplicacin
Habilitado
Habilitado
Habilitado
Habilitado
Habilitado
Habilitado
Deshabilitado
Habilitado
Enviar slo respuestas
NTLMv2, rechazar LM y
NTLM
N/A
N/A
Por definir
Deshabilitado
Habilitado
14 das
Deshabilitado
Deshabilitado
Habilitado
Habilitado
Por definir
Por definir
Habilitado
Habilitado
Habilitado
Habilitado
No definido
Opcin
Enviar contrasea no cifrada para conectar con
servidores SMB de otros fabricantes
Apagar el sistema de inmediato si no puede
registrar auditorias de seguridad
Comportamiento de extraccin de tarjeta
inteligente
Reforzar los permisos predeterminados de los
objetos globales del sistema (p.e. vnculos
simblicos)
Comportamiento de instalacin de controlador no
firmado
Comportamiento de instalacin de no controlador
no firmado
Configuracin
Deshabilitado
Deshabilitado
Bloquear estacin de trabajo
Habilitado
No permitir la instalacin
Avisar pero permitir la
instalacin