Anexo R

Polticas de seguridad para la imagen de software

El procedimiento para la verificacin de la seguridad Bsica de los equipos con Microsoft Windows
2000, XP y 2003 es el siguiente:
Hive: HKEY_LOCAL_MACHINE \SYSTEM; Key:
SEGURIDAD LGICA DEL SISTEMA
\CurrentControlSet\Control\SecurePipeServers;
Value Name: \winreg;
Sistema
de archivos
Asignar Full
control solo al grupo de Administradores
El
equipo debe contar con por lo menos dos particiones
Servicios
Lasse
particiones
del equipo
deben software
ser NTFSde servicios web, ambientes de
No
deber cargar
inicialmente
Cuenta de servidores
Administrador
desarrollo,
de correo ni ftp salvo para los perfiles de
desarrollador.
El usuario Administrador debe estar renombrado y debe contar con un
password complejo de 12 caracteres
Perfiles de usuario
El usuario Guest (invitado) debe estar desactivado o removido
Las conexiones tipo Anonymous deben estar deshabilitadas para accesos
remotos al registry y al archivo LSA (ver Registry)
Solo el grupo de Administrators debe tener permisos para Administrar la
Auditoria y los logs de seguridad
Solo el grupo de Administrators debe tener permisos para manipular los
archivos u otros objetos del S.O.
El equipo debe contar con perfiles especficos para dar soporte, transmitir
informacin, instalar paquetes, monitorear y auditar el equipo en
produccin
Auditora
La auditoria debe estar habilitada para Logon y Logoff no exitosos
La auditoria debe estar habilitada para cambios en las polticas de
seguridad exitosas y no exitosas
Los archivos "regedt32.exe" y regedit.exe deben ser accesados solo por
el grupo Administrators
Directiva de contraseas
Forzar el historial de contraseas a 4 das
Vigencia mxima de la contrasea es 42 das
Vigencia mnima de la contrasea es 2 das
Longitud mnima de la contrasea es 8 caracteres
Las contraseas deben cumplir los requisitos de complejidad con dgitos
alfanumricos
Bloqueo de cuentas
Duracin del bloqueo de cuenta es 30 min.
Umbral de bloqueo de cuenta es de 3 intentos
Restablecer el bloqueo de cuenta est despus de 30 min.
Antivirus
El equipo debe mantener actualizada la versin de antivirus institucional o
la proporcionada por el proveedor de servicios CAT
Service packs y hotfixes
El equipo debe contar con el service pack mas reciente del sistema
operativo, los parches especficos de sistemas operativos y aplicativos, y
los hot fixes liberados hasta ese momento previa validacin de
fncionalidad en el Centro de Certificacin. Esto es vlido para todo
momento durante la vigencia del contrato de servicios de CAT.
Registry
Hive: HKEY_LOCAL_MACHINE \SYSTEM; Key:
CurrentControlSet\Control\LSA; Value: Name RestrictAnonymous; Type:
REG_DWORD; Value: 2

1 Objetivo
Poner en claro los pasos que se deben seguir para la verificacin de la configuracin de seguridad
en equipos de escritorio.

2 Alcance
Equipos de escritorio del proyecto CAT.

3 Imagen del sistema operativo, aspectos elementales.

a) El Sistema de Archivos deber ser NTFS.
b) SERVICIOS
El siguiente es el cuadro de servicios de sistema operativo y el estatus que debern tener en
la configuracin inicial.

SERVICE

FULL NAME

STATUS

AppMgmt

Application
Management

DISABLED

Cisvc

Indexing Service

DISABLED

ClipSrv

ClipBook

DISABLED

Dmadmin

Logical Disk Manager

Administrative Service

DISABLED

Fax

Fax Service

DISABLED

IsmServ

Intersite Messaging

DISABLED

Kdc

Kerberos Key
Distribution Center

DISABLED

Mnmsrvc

NetMeeting Remote
Desktop Sharing

DISABLED

MSIServer

Windows Installer

DISABLED

NetDDEdsdm

Network DDE DSDM

DISABLED

Netman

Network Connections

DISABLED

NtLmSsp

NTLM Security Support

Provider

DISABLED

SERVICE

FULL NAME

STATUS

RasAuto

Remote Access Auto

Connection Manager

DISABLED

RasMan

Remote Access
Connection Manager

DISABLED

RemoteAcce
ss

Routing and Remote

Access

DISABLED

Rpclocator

Remote Procedure Call

(RPC) Locator

DISABLED

RSVP

QoS Admission Control

(RSVP)

DISABLED

ScardDrv

Smart Card Helper

DISABLED

ScardSvr

Smart Card

DISABLED

SharedAcces
s

Internet Connection
Sharing

DISABLED

SysmonLog

Performance Logs and

Alerts

DISABLED

TapiSrv

Telephony

DISABLED

TermService

Terminal Services

DISABLED

TlntSvr

Telnet

DISABLED

TrkSrv

Distributed Link
Tracking Server

DISABLED

UPS

Uninterruptible Power
Supply

DISABLED

UtilMan

Utility Manager

DISABLED

Print SP

Windows Print Spooler

DISABLED

Todos estos servicios deben tener tipo de inicio Automtico.

c) PUERTOS
La configuracin de los puertos de red deber adecuarse a la siguiente tabla:
PORT

TCP

1025
1032
1033

x
x
x

1065
1066
1067
1433
2835
2836
138
500
1434

x
x
x
x
x
x

UDP

x
x
x

d) DIRECTIVA DE CONTRASEAS
Directiva
Forzar el historial de contraseas
Vigencia mxima de la contrasea
Vigencia mnima de la contrasea
Longitud mnima de la contrasea
Las contraseas deben cumplir los
requisitos de complejidad
Almacenar contrasea usando
cifrado reversible para todos los
usuarios del dominio

Configuracin mnima
recomendada
4 contraseas
recordadas
42 das
2 das
8 caracteres
Habilitado
Deshabilitado

e) BLOQUEO DE CUENTAS
Directiva
Duracin del bloqueo de cuenta
Umbral de bloqueo de cuenta
Restablecer el bloqueo de
cuenta despus de
f)

AUDITORIA
Auditar el seguimiento de procesos
Directiva
Auditar sucesos del sistema
Auditar
sucesos
de inicio
de sesin
Restringir
el acceso
de Invitado
al
de
cuenta
registro de aplicaciones
Auditar
la administracin
de cuentas
Restringir
el acceso de Invitado
al
Auditar
el
acceso
al
servicio
de
registro de seguridad
directorios
Restringir el acceso de Invitado al
Auditar
de inicio de sesin
registro sucesos
del sistema
Auditar
el
acceso
a objetos
Mtodo de retencin
del registro de la
Auditar el cambio de directivas
aplicacin
Auditar el uso de privilegios

Configuracin mnima
recomendada
30 minutos
3 intentos incorrectos de
inicio de sesin
30 minutos

No auditar
Configuracin del equipo
error
error
Habilitado
error
Habilitado
Error
Habilitado
error
error
No sobrescribir sucesos
Acierto, el
error
(limpiar
registro
Error
manualmente)

Mtodo de retencin del registro de

seguridad
Mtodo de retencin del registro del
sistema
Apagar el equipo cuando se llene el
registro de auditorias de seguridad

No sobrescribir sucesos
(limpiar el registro
manualmente)
No sobrescribir sucesos
(limpiar el registro
manualmente)
No definido

Los archivos regedt23.exe (ubicado en c:\winnt\system32) y regedit.exe (ubicado en c:\winnt)

debern tener permiso de acceso exclusivamente para el grupo de Administrators.

g) PERFILES DE USUARIO

Opcin
Tomar control de archivos u otros objetos
Administrar Auditoria y logs de Seguridad

Configuracin vigente
Administradores
Administradores

Opcin
Restricciones adicionales para conexiones
annimas
Permitir a los operadores de servidor programar
tareas (slo controladores de dominio)
Permitir apagar el sistema sin tener que iniciar
sesin
Permitir expulsar medios NTFS extrables
Tiempo de inactividad requerido antes de
desconectar la sesin
Auditar el acceso de objetos globales del sistema
Auditar el uso del privilegio de copia de seguridad
y restauracin

Configuracin
No obtener acceso sin
permisos annimos explcitos
Por definir
Por definir
Administradores
10 minutos
Deshabilitado
Deshabilitado

Opcin
Cerrar automticamente la sesin de los usuarios
cuando termine el tiempo de sesin
Cerrar automticamente la sesin de los usuarios
cuando termine el tiempo de sesin (local)
Borrar el archivo de pginas de la memoria virtual
al apagar el sistema
Firmar digitalmente la comunicacin con el cliente
(siempre)
Firmar digitalmente la comunicacin con el cliente
(cuando sea posible)
Firmar digitalmente la comunicacin con el
servidor (siempre)
Firmar digitalmente la comunicacin con el
servidor (cuando sea posible)
Deshabilitar el requisito de presionar
Ctrl+Alt+Supr para iniciar la sesin
No mostrar el ltimo nombre de usuario en la
pantalla de inicio de sesin
Nivel de autenticacin de LAN Manager

Texto del mensaje para los usuarios que intentan

conectarse
Ttulo del mensaje para los usuarios que intentan
conectarse
Nm. de inicios de sesin previos en la cach (en
caso de que el controlador de dominio no est
disponible)
Impedir el mantenimiento de la contrasea de la
cuenta de equipo
Impedir que los usuarios instalen controladores de
impresora
Pedir al usuario cambiar la contrasea antes de
que caduque
Consola de recuperacin: permitir el inicio de
sesin administrativo automtico
Consola de recuperacin: permitir la copia de
disquetes y el acceso a todas las unidades y
carpetas
Cambiar el nombre de la cuenta de administrador
Cambiar el nombre de la cuenta de invitado
Restringir el acceso a la unidad de CD-ROM slo
al usuario con sesin iniciada localmente
Restringir el acceso a la unidad de disquete slo
al usuario con sesin iniciada localmente
Canal seguro: cifrar o firmar digitalmente datos de
un canal seguro (siempre)
Canal seguro: cifrar digitalmente datos de un
canal seguro (cuando sea posible)
Canal seguro: firmar digitalmente datos de un
canal seguro (cuando sea posible)
Canal seguro: requerir clave de sesin protegida
(Windows 2000 o posterior)
Particin segura del sistema (slo para
plataformas RISC)

Configuracin
De pende de la aplicacin
Habilitado
Habilitado
Habilitado
Habilitado
Habilitado
Habilitado
Deshabilitado
Habilitado
Enviar slo respuestas
NTLMv2, rechazar LM y
NTLM
N/A
N/A
Por definir

Deshabilitado
Habilitado
14 das
Deshabilitado
Deshabilitado

Habilitado
Habilitado
Por definir
Por definir
Habilitado
Habilitado
Habilitado
Habilitado
No definido

Opcin
Enviar contrasea no cifrada para conectar con
servidores SMB de otros fabricantes
Apagar el sistema de inmediato si no puede
registrar auditorias de seguridad
Comportamiento de extraccin de tarjeta
inteligente
Reforzar los permisos predeterminados de los
objetos globales del sistema (p.e. vnculos
simblicos)
Comportamiento de instalacin de controlador no
firmado
Comportamiento de instalacin de no controlador
no firmado

Configuracin
Deshabilitado
Deshabilitado
Bloquear estacin de trabajo
Habilitado

No permitir la instalacin
Avisar pero permitir la
instalacin

Cerrar la ventana de Directiva de Seguridad Local (Alt+F4)

1. No deber existir cuentas denominada Administrador (Administrator) despus de la aplicacin
de la directiva de cambio de nombre de la misma. La cuenta invitado (Guest) deber estar
deshabilitada. Cualquier otro usuario en el sistema deber formar parte de el grupo de
operacin. Estos usuarios no debern formar parte del grupo de Administradores
(Administrators).

2. SERVICE PACKS Y HOTFIXES

Estos debern mantenerse actualizados hasta el ltimo release para sistema operativo y
aplicativos especficos (office, Internet Explorer, etc) durante el perodo de vigencia del
contrato de servicios CAT.
3. REGISTRY
No debern existir accesos annimos al Registry y al archivo de seguridad local del sistema
(LSA) .
Solo el grupo de Administradores deber tener acceso total en HKEY_LOCAL_MACHINE /
SYSTEM / CurrentControlSet / Control / SecurePipeServers / winreg, en el men de la parte
superior de la ventana de regedt32, la opcin de Seguridad y bajo sta permisos.
El valor de REG_DWORD deber ser 2 en HKEY_LOCAL_MACHINE / SYSTEM /
CurrentControlSet / Control / LSA / RestrictAnonymous .