Download Prácticas Básica de Seguridad para Windows XP

Prácticas Básica de Seguridad para Windows XP
●
Antes de la Instalación
○
Identificar los servicios que se quiere proveer, a quien se les debe proveer, y
de que manera.
○
Escoger las herramientas que servirá de plataforma para ofrecer el servicio,
teniendo en cuenta como parámetro primordiales la estabilidad, mecanismos
de seguridad y eficiencia, por ejemplo se prefiere apache2 sobre apache,
porque tiene resuelto muchos bugs de seguridad que fueron encontrados en
apache, además ofrece incluido un sistema para crear hosts virtuales seguros
(ssl).
○
Identificar las contraseñas que se vallan a usar, clasificarlas por su
importancia y frecuencia de uso, identificar responsables de la misma, para
luego aplicar a cada una de ellas la mayor cantidad de cualidades de
seguridad como las que se muestran:
■
■
■
■
○
Aplicar algunas características de seguridad física sobre servidores, por
ejemplo:
■
■
■
■
●
La longitud de la contraseña debe ser mayor o igual a 8 caracteres.
Contener gran variedad de caracteres alfanuméricos y especiales (A-Z, az, 0-9, “!@#$%&*()_+=-?”).
No contener información relacionada con el trabajo o la vida personal del
administrador.
Cambios periódicos para la contraseña y evitar repetirlas (3 meses en
promedio).
Restringir el acceso a personas que no estén autorizadas para manejar el
servidor.
Deshabilitar el arranque a otros medios que no sea el disco duro del
sistema operativo.
Colocar contraseña para acceder al sistema de Configuración del BIOS.
(Tenga cuidado de no colocarla al sistema de arranque).
Activar el auto-encendido ante problemas de electricidad en la
configuración del BIOS.
Durante la Instalación
○
Verificar que todas las particiones del disco duro están formateadas con
NTFS: el sistema de archivo que manejan los Windows anteriores al XP,
estaban montados sobre las diferentes versiones de Fat (Fat, Fat16 y Fat32),
que tenían la debilidad de permitir el acceso de lectura y escritura sobre las
particiones desde otro sistema de operativo o sistema Live. A partir de la
versión de Windows XP Microsoft provee un nuevo sistema de archivo
(NTFS) que almacena información de una manera en donde no es posible
escribir en la partición con otro sistema operativo que no sea el dueño del
sistema de archivo.
●
Después de la Instalación
○
Deshabilitar o eliminar las cuentas de usuario innecesarias.
○
Asegurarse de que la cuenta Invitado esta desactivada.
○
Deshabilitar los servicios no necesarios: Ir al menú Inicio -> Panel de
control ->Herramientas Administrativas -> Servicios.
○
Proteger adecuadamente las carpetas compartidas: este proceso se
realizar para evitar los usuarios que se encuentren en la red no tengan
permiso para usar los recursos de la máquina. hacemos click a Inicio ->
Panel de Control -> Conexiones de Red e Internet -> Conexiones de Red
-> Propiedades y desactivamos las opciones Cliente para redes Microsoft y
Compartir impresoras y archivos para redes Microsoft.
○
H
a
bi
lit
ar la función de Firewall para la Conexión a Internet: El Firewall de
conexión a Internet esta diseñado para su uso en casa o en pequeñas redes
empresariales y proporciona protección para maquinas Windows XP que se
conectan directamente a Internet o para computadoras y dispositivos
conectados al host ICS que esta ejecutando este Firewall. El Firewall de
Conexión a Internet utiliza un filtrado de paquetes activo, lo que significa
que los puertos del firewall se abren dinámicamente solo por el tiempo
necesario para permitir el acceso a los servicios que se desea. Este se
encuentra en el Panel de Control -> Centro de seguridad -> Firewall de
Windows.
■
Podemos hacer cambios a nuestra preferencia con respecto a los paquetes
que el firewall dejará pasar. Esto lo podemos usar cuando tengamos un
servicio escuchando pero el firewall no se ha enterado que existe tal
servicio o simplemente es un servicio no muy común. Para esto desde la
imagen anterior visualizamos la etiqueta Opciones Avanzadas ->
Configuracion de conexión de red -> Configuración.
○
Utilizar las políticas de restricción de software.
○
Restringir el uso compartido simple de archivos
■
Abrir Panel de Control.
■
En el menú de Herramientas seleccionar Opciones de carpeta.
■
○
Desactivar la opción “Utilizar uso compartido simple de archivos”.
Habilitar la actualizaciones del sistema (ICF)
○
Aplicar directivas locales a todos los usuarios excepto a los
administradores: para implementar directivas locales para todos los
usuarios, excepto los administradores:
■
Inicie sesión en el equipo como administrador.
■
Abra la directiva de seguridad local: Haga clic en Inicio ->Ejecutar y
escriba: "gpedit.msc".
■
Habilite las directivas que desee.
Nota: asegúrese de seleccionar las directivas correctas; de lo contrario, puede
restringir la posibilidad de que el administrador inicie sesión en el equipo (y
realice los pasos necesarios para configurar el equipo). Se recomienda anotar los
cambios realizados.
■
Cierre el complemento de Directiva de grupo Gpedit.msc.
■
Inicie sesión en el equipo como administrador. En este inicio de sesión
puede observar los cambios de directiva realizados anteriormente ya que,
de manera predeterminada, las directivas locales se aplican a todos los
usuarios, lo que incluye a los administradores.
■
Cierre sesión en el equipo y, después, inicie sesión en el equipo como
todos los demás usuarios de este equipo a los que desea que se apliquen
estas directivas. Las directivas se implementan para todos estos usuarios
y para el administrador.
Nota: no se pueden implementar las directivas para la cuentas de usuario que no
hayan iniciado sesión en el equipo en este paso.
■
Inicie sesión en el equipo como administrador.
■
Haga clic en Inicio, Configuración, Panel de control y, a continuación,
haga doble clic en Opciones de carpeta. Haga clic en la ficha Ver, haga
clic en la opción Mostrar todos los archivos y carpetas ocultos y,
después, haga clic en Aceptar de forma que pueda ver la carpeta oculta
de Directiva de grupo.
O bien, puede tener acceso a estos valores si abre el Explorador de
Windows, hace clic en Herramientas y, después, hace clic en Opciones
de carpeta.
○
■
Copie
el
archivo
Registry.pol
de
la
carpeta
C:\WINDOWS\system32\GroupPolicy\User\Registry.pol a una ubicación
de copia de seguridad (por ejemplo, otro disco duro, disquete o carpeta).
■
Abra de nuevo la directiva local mediante el complemento de Directiva
de grupo Gpedit.msc.
■
Cierre el editor de directivas y vuelva a copiar a la carpeta
C:\WINDOWS\system32\GroupPolicy\User\ el archivo de copia de
seguridad Registry.pol que copió en el dispositivo externo. Copie el
archivo Registry.pol de seguridad sobre el nuevo archivo Registry.pol
existente recién creado al deshabilitar las mismas funciones. Cuando el
sistema operativo le pregunte si desea reemplazar el archivo existente,
haga clic en Sí.
■
Cierre sesión en el equipo e inicie sesión en el equipo como
administrador. Observará que los cambios realizados originalmente no se
han implementado para usted, ya que ha iniciado sesión en el equipo
como administrador.
■
Cierre sesión en el equipo e inicie sesión en el equipo como otro usuario
(u otros usuarios). Observará que los cambios realizados originalmente
se han implementado para usted, ya que ha iniciado sesión en el equipo
como un usuario (no como administrador).
■
Inicie sesión en el equipo como administrador para comprobar que la
directiva local no le afecta como administrador local de dicho equipo.
Restaurar las directivas locales originales: para invertir el proceso descrito
anteriormente:
■
Inicie sesión en el equipo como administrador.
■
Haga clic en Inicio, Configuración, Panel de control y, a continuación,
haga doble clic en Opciones de carpeta. Haga clic en la ficha Ver, haga
clic en la opción Mostrar todos los archivos y carpetas ocultos y,
después, haga clic en Aceptar de forma que pueda ver la carpeta oculta
de Directiva de grupo. O bien, puede abrir el Explorador de Windows,
hacer clic en Herramientas y, después, hacer clic en Opciones de carpeta.
■
Mueva, cambia el nombre o elimine el archivo Registry.pol de la carpeta
C:\WINDOWS\system32\GroupPolicy\User\. El sistema Protección de
archivos de Windows creará otro archivo Registry.pol predeterminado
después de cerrar sesión o de reiniciar el equipo.
■
Abra la directiva local: Haga clic en Inicio -> Ejecutar y escriba:
"gpedit.msc" o bien haga clic en Inicio, Ejecutar, escriba: "mmc" y
cargue la directiva de seguridad local.
Después, configure como not configured todos los elementos que sean
disable o enable para invertir todos los cambios de directiva
implementados en el Registro de Windows según lo especificado por el
archivo Registry.pol.
○
■
Cierre sesión en el equipo como administrador e inicie sesión en el
equipo como administrador.
■
Cierre sesión en el equipo e inicie sesión como todos los usuarios del
equipo local, de forma que se puedan invertir también los cambios en sus
cuentas.
Instalar un Firewall o cortafuego: Cuando se tiene una maquina que ofrece
servicio a usuarios de una red, se tiene conocimiento de cuales puertos deben
ser utilizados, pero muchos troyanos, gusanos y spy, abren un puerto
desconocido por el administrador por donde envían o reciben información.
Para evitar este tipo de ataque debemos usar una cortafuego, que permitir el
paso de los paquetes que se dirijan hacia los servicios conocidos y denegar la
transferencia hacia y desde los puertos desconocidos.
Microsoft Windows con la versión XP ofrece un firewall, pero carece de
flexibilidad sobre servicios que no conoce. Existe un firewall muy conocido
y bien referenciado llamado Kerio Personal Firewall, de facil uso, eficiente y
tiene un anti-virus integrado (McCafee). También tiene soporte para
integracion con el anti-virus Avast, y su instalación es sencilla.
○
Instalar software anti-virus y actualizarlo adecuadamente: Existen en la
red muchas compañías que ofrecen software para la detección, bloqueo y
eliminación de virus, muchos son pagos y otros gratis, de código cerrado o
abierto, muchos también incluyen funcionalidades adicionales como
actualizaciones, anti-spy, cortafuego, etc.. La decisión para elegir el antivirus adecuado debe venir por algunos parámetros esenciales de rendimiento
y seguridad, como por ejemplo rapidez para encontrar nuevos virus,
actualizaciones automáticas, rendimiento y eficiencia, estado de la licencia
(pago o gratis), facilidad de uso, prevención ante programas con
comportamientos no deseado, filtrado de paquetes, mecanismos de acceso,
anti-spy, anti-troyanos, etc.
Con todos estos parámetros en mente hemos generado una ranking de antivirus dividido en dos grupos, pagos y no pagos.
■
■
○
Pagos:
✔
Kaspersky: potente anti-virus, con rápidas actualizaciones de virus
nuevos online, eficiente, fácil uso, escaneos profundos, prevención y
alertas ante eventos dudosos, tutoriales y soporte online.
✔
Nod32: eficiente anti-virus, muy liviano, rápido escaneo de virus,
actualizaciones automáticas online.
✔
BitDefender: facil de usar, eficiente, actualizaciones online, tutorial,
soporte de ayuda, componentes.
No Pagos:
✔
Avast: es un anti-virus muy completo que incluye todas las ventajas
de los antivirus comerciales y es totalmente gratuito. El programa
contiene una suite que protege en tiempo real tu PC, realizando
verificaciones en las páginas que visitás, el correo electrónico
entrante y saliente de tu cliente de e-mails y sobre cada uno de los
archivos alojados en los discos del sistema. Además su calidad está
garantizada por el instituto que regula todo este tipo de software.
✔
AVG: Potente anti-virus para estar bien protegido, rápido, capacidad
de actualización, herramientas adicionales, mínimo consumo de
recursos.
✔
PC Cillin: liviano anti-virus, escaneo rápido, tutoriales y soportes
online.
Mantenerse al día con las ultimas actualizaciones de seguridad.