Scribd Logo
Carica

Benvenuto in Scribd!

  • Metodologías de Riesgos TI

    Caricato da

    euryjose
    9 visualizzazioni9 pagine
    Riesgos de TI

    Titolo originale

    20100302 Metodologías de Riesgos TI

    Copyright

    © © All Rights Reserved

    Formati disponibili

    DOCX, PDF, TXT o leggi online da Scribd

    Hai trovato utile questo documento?

    Questo contenuto è inappropriato?

    Segnala questo documento
    Riesgos de TI

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    9 visualizzazioni9 pagine

    Metodologías de Riesgos TI

    Caricato da

    euryjose
    Riesgos de TI

    Copyright:

    © All Rights Reserved
    Scarica in formato DOCX, PDF, TXT o leggi online su Scribd
    Segnala contenuti inappropriati
    di 9

    10 Políticas de Grupo para mejorar la

    seguridad en Windows
    Uno de los métodos más comunes y cómodos para configurar los
    diferentes equipos de una red de oficinas es sin duda mediante
    Políticas de Grupo. ¿Cuáles son esas 10 Políticas de Grupo que te
    ayudarán a mejorar la seguridad en Windows? Veámoslo.

    Se trata llanamente de “ajustes” preconfigurados y lanzados al


    registro de Windows en cada PC, para así configurar parámetros
    clave. Las Políticas de Grupo pueden ser desplegadas
    desde Active Directory o configuradas de manera manual,
    localmente.

    ¿Por qué 10 Políticas de Grupo?

    No cabe duda de que los administradores deben conocer muchos


    otros objetos y ajustes que no aparecen aquí, pero destaco estos
    10 por algo: la mayoría de los riesgos de los clientes situados en
    vuestra infraestructura TI quedarán cubiertos por las políticas aquí
    mencionadas.

    Si tienes que auditar la seguridad de una red basada en clientes


    y Windows Server, ver que las siguientes 10 políticas de grupo
    están correctamente configuradas te dará tranquilidad y hará tu
    trabajo más sencillo.
    10 Políticas de Grupo a respetar
    en Windows
    Estos ajustes de políticas de grupo para Windows 10 quedan
    dentro de la rama Configuración del Equipo\Configuración de
    Windows\Configuración de Seguridad.

    Renombrar la Cuenta de Administrador local

    Si los atacantes no conocen el nombre de tu cuenta de


    administrador, tendrán muchas más dificultades para hacerse con
    ella. Renombrar la cuenta del administrador local no es un
    proceso automático, debes hacerlo tú.
    La cuenta de Invitado siempre deshabilitada

    Una de las peores cosas que podrías hacer es habilitarla, ya que


    concede una gran cantidad de acceso a equipos Windows y no
    cuenta con contraseña. Afortunadamente, está deshabilitada por
    defecto.

    Desactiva LM y NTLM versión 1

    El LM (Lan Manager) y el NTLMv1 son protocolos de red


    autenticación antiguos y muy vulnerables para entornos Windows.
    Se debe forzar el uso de NTLMv2 siempre, junto con Kerberos.
    Por defecto, la mayoría de sistemas Windows aceptarán los 4
    protocolos. Sin embargo, salvo que tengas un sistema con más de
    10 años, es muy muy improbable que vayas a necesitar este tipo
    de protocolos. Están desactivados por defecto.

    Deshabilita el almacenamiento de hash para Lan Manager

    Los hashes de LM son fácilmente convertibles a texto plano para


    sacar la contraseña equivalente. No se debe permitir a Windows
    que se almacenen dentro del disco, donde un atacante con una
    herramienta de volcado de hashes los podría encontrar.
    Longitud mínima de las contraseñas

    La longitud mínima de las contraseñas para usuarios corrientes


    debería ser de al menos 12 caracteres, siendo de 15 caracteres
    para usuarios con privilegios elevados. Las contraseñas de
    Windows no son muy seguras hasta que no cuentan con 12
    caracteres de longitud.

    De hecho, si lo queréis bordar desde el punto de vista de la


    seguridad, 15 sería la cifra mágica. Así podremos evitar las puertas
    traseras y estar realmente seguros de la fiabilidad del sistema.
    Sin embargo, los ajustes tradicionales de las Políticas de Grupo
    solo aceptan un máximo de 14 caracteres en el campo “mínimo” (al
    menos hasta Windows Server 2012). Mediante el uso de los
    nuevos PSOs(Passwords Settings Objects) aunque no son tan
    sencillos de configurar en versiones anteriores a 2012, podremos
    controlar mejor las políticas de contraseñas.

    Por su parte, en Windows Server 2012 y posteriores contamos con


    una GUI (interfaz gráfica) que nos permite hacerlo en seguida.

    Vigencia máxima de la contraseña


    Las contraseñas de 14 o menos caracteres de longitud no
    deberían utilizarse por más de 90 días. El período definido por
    defecto en Windows es de 42 días, así que podéis aceptarlo sin
    más o cambiarlo a 90.

    Algunos expertos dicen que no ven problema en utilizar las


    mismas credenciales por 1 año si se trata de credenciales con 15
    o más caracteres. Sin embargo, tened en cuenta que un período
    de tiempo más prolongado le daría más tiempo a alguien que se
    haga con la contraseña, para utilizarla en otras cuentas
    asociadas, por lo que lo mejor es no pasarse.

    Registro de Eventos de Windows

    La gran mayoría de víctimas de ciberataques habrían detectado la


    intrusión antes si hubieran tenido los LOGs o Registros de Eventos
    encendidos, revisándolos periódicamente. Mediante el uso
    del Security Compliance Manager de Microsoft podéis ver cuáles
    son las mejores prácticas y auditar estos ajustes de una forma
    intuitiva.

    Desactivar la enumeración de SID anónimos

    Los Identificadores de Seguridad de Windows (SID) son números


    asignados a cada usuario, grupo u otro sujeto relacionado con la
    seguridad en sistemas Windows o Active Directory.

    En las versiones más antiguas de Windows, los usuarios sin


    autenticar podían solicitar estos números para identificar usuarios
    importantes (como Administradores) y grupos, algo que los malos
    explotaban con gusto. Es otro de esos ajustes que vienen
    últimamente inhabilitados, pero conviene cerciorarse.

    No permitir que la cuenta Anónimo resida en el grupo Todos


    Este ajuste y el anterior, cuando son incorrectamente configurados,
    podrían permitir a un atacante anónimo (o vacío) mucho más
    acceso al sistema del deseable. Este ajuste también viene activo
    por defecto (el acceso anónimo está deshabilitado, se entiende)
    pero conviene asegurarse.

    Habilitar el Control de Cuentas de Usuario

    Desde Windows Vista, el UAC de Windows ha sido la herramienta


    de protección que más ha ayudado a los usuarios en su navegación
    web.

    Algunos clientes y y personas llevan años inhabilitando esta


    característica por los problemas de compatibilidad que hubo en
    alguna ocasión, aunque mucho ha cambiado desde entonces. Esta
    característica debería estar habilitada SIEMPRE que sea posible.

    Si desactivamos el UAC, en términos de seguridad estaremos


    volviendo al modelo Windows NT, en lugar de mantener la
    seguridad que se espera de un sistema moderno. El UAC viene
    activado por defecto.
    Conclusiones

    Hemos llegado al final y seguro os habéis dado cuenta de una


    cosa: un 70% (7) de estos ajustes no hay ni que tocarlos
    desde Windows Vista / Windows Server 2008 en adelante. Mi
    opinión es que debemos quedarnos con la muchos de ajustes por
    defecto, sin tocar por tocar. La mayor parte de veces que veo
    problemas es porque la gente ha tocado para empeorar la
    seguridad.

    Evidentemente hay más cosas que uno debe hacer, como planificar
    un sistema de copias de seguridad o prevenir que nuestros
    usuarios llenen su equipo con backdoors o troyanos, pero este es
    un buen punto de partida, para después sólo tener que configurar
    vuestras políticas de grupo a conveniencia.

    Potrebbero piacerti anche