||||||||||||||||||||

Figura 3-1 BIOS y bloqueo de la unidad Contraseñas

En una nota semi-relacionados, muchos ordenadores portátiles vienen equipados con tecnología de bloqueo de la unidad; esto
simplemente podría ser referido como una contraseña de disco duro u otro nombre similar. Si está habilitado, se le solicita al
usuario que introduzca una contraseña para el disco duro cuando el equipo se inicia por primera vez. Si el usuario de la
computadora no sabe la contraseña para el disco duro, el variador se bloquea y el sistema operativo no arranca. Un niño de
ocho dígitos o ID de disco duro similar se puede asociar el ordenador portátil con el disco duro instalado (consulte Figura 3-1 ).
En la mayoría de los sistemas de esta contraseña es claro por defecto, pero si la contraseña se establece y olvidado, por lo
general se puede restablecer el BIOS. Algunos ordenadores portátiles vienen con la documentación que indica claramente la
BIOS por defecto y la unidad de bloqueo de contraseñas cambian ellos como parte de la configuración inicial del equipo.

Configurar el orden de arranque del BIOS: Configurar el BIOS para reducir el riesgo de infiltración. Por ejemplo, cambiar el
orden de arranque del BIOS (prioridad del dispositivo de arranque) para que se parezca a un disco duro primero y no
cualquier tipo de medios extraíbles.

Desactivar puertos y dispositivos externos: Si una política de la empresa lo requiere, desactivar los medios
extraíbles incluyendo las unidades ópticas, puertos eSATA y puertos USB.

Habilitar la opción de arranque de seguridad: UEFI 2.3.1 y superiores ofrecen una opción llamada arranque seguro. Esto

puede asegurar el proceso de arranque de la computadora mediante la prevención de los conductores del dispositivo firmado y

gestores de arranque sin firmar o incorrectamente. La implementación de este puede o no ser posible, dependiendo del tipo de

hardware que utiliza la organización. Revisar la documentación del hardware y los controladores de dispositivos, y lo más

importante probar la configuración, antes de implementar esta opción. Los sistemas basados ​en UEFI de hoy en día utilizan

una raíz de confianza , que es el código, por lo general integradas en el hardware en forma de un módulo de plataforma segura

(TPM) -que incorpora cifrado en forma de una clave pública. Para un sistema con arranque seguro habilitado para poner en

marcha correctamente,

||||||||||||||||||||
||||||||||||||||||||

los controladores del sistema operativo basado en kernel deben presentar las claves privadas que responden a la raíz de la
clave pública de confianza. Este proceso puede impedir que un sistema sea arrancado por los sistemas operativos indeseables
que pueden residir en unidades flash o en otro lugar, y prevenir los sistemas operativos que han sido manipulados desde el
arranque. Esta manipulación puede ocurrir en la casa, o previamente, mientras que en tránsito a través de la cadena de
suministro de fabricación.

arranque seguro, también conocido como arranque de confianza, es un excelente método para proteger el proceso de
arranque. Sin embargo, si ocurre algo que hace que el proceso de arranque a fallar, no vamos a saber porque los datos se
almacenan en el UEFI del sistema que no inicia. Más importante aún, queremos estar seguros de que arranque seguro está
funcionando correctamente. Introducir el

de arranque medido opción. boot medidos se lleva a mediciones de cada paso del proceso de arranque seguro. Se
les firma, los almacena y envía esas mediciones a una fuente externa, tal como un servicio de certificación remota.
Se requiere un sistema de confianza,, tercero externo para atestación -meaning verificación de la integridad del
equipo en cuestión ha sido corroborada. Básicamente, el servicio de confirmación remota compara las medidas con
valores buenos conocidos. A partir de esta información, el servicio remoto puede atestiguar el hecho de que el
proceso de arranque es de hecho seguro o no ha cumplido con los requisitos.

Dispositivos de almacenamiento de sujeción

El dispositivo de almacenamiento es conocido por ser un punto de fallo común debido a que muchos dispositivos de
almacenamiento tienen partes móviles o utilizan medios extraíbles. Los dispositivos de almacenamiento también pueden presentar
riesgos de seguridad porque por lo general son externos a partir de un sistema informático y posiblemente se encuentran en una
zona insegura. Además, el seguimiento de los medios extraíbles puede ser difícil. Algunas de las soluciones a esto incluyen la
seguridad física, cifrado, y las políticas que rigen el uso y almacenamiento de medios extraíbles. Esta sección analiza los
dispositivos de almacenamiento extraíbles, como discos y discos duros externos USB, almacenamiento en red (NAS), y el cifrado
de disco completo. módulos de seguridad de hardware realizar el cifrado basado en hardware al siguiente nivel, también discutimos
los fundamentos de cómo operan estos sitios y monumentos históricos.

Almacenamiento extraíble

almacenamiento extraíble, o un medio extraíble, incluye discos ópticos, dispositivos USB, dispositivos eSATA, y discos floppy,
incluso en algunos casos. Un administrador de red puede impedir el acceso a los medios extraíbles desde el BIOS y dentro de
las políticas del sistema operativo. En muchas empresas, todos los medios extraíbles está bloqueada excepto para los
dispositivos específicamente necesarias, que son aprobados sobre una base caso por caso. Los usuarios deben ser entrenados
en el uso adecuado de los medios extraíbles y no deben ser autorizados a tomar cualquier hogar de datos con ellos. Los
usuarios que trabajan desde su casa a veces deben hacerlo a través de una conexión de red privada virtual (VPN) para
mantener los datos confidenciales, pero accesible.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Los dispositivos USB deben ser considerados cuidadosamente. Son pequeños, pero pueden transportar una gran cantidad de
datos. Estos dispositivos pueden ser víctima de ataques y pueden actuar como el mecanismo de entrega para los ataques a un
ordenador. Por ejemplo, una unidad flash USB puede tener archivos de datos o sistemas operativos virtuales enteros que pueden
ser explotadas por los virus y gusanos. Además, un atacante puede instalar un tipo especial de virus o un gusano en la unidad
flash que se ejecuta cuando la unidad flash está conectado al ordenador; en este escenario, el equipo es el destino para el
software malicioso. Las organizaciones deben decidir si se debe permitir que los dispositivos USB que se utilizarán. políticas de la
organización debe establecer que las memorias USB no deben llevarse de un departamento a otro sin procedimientos de
seguridad adecuados en su lugar. políticas de grupos de sistema operativo se pueden implementar para hacer cumplir la que los
usuarios se les permite usar dispositivos USB. Como se mencionó anteriormente, el BIOS también puede desactivar el uso de
dispositivos USB en un equipo local. Por último, los datos en un dispositivo USB se pueden cifrar con varios programas, por
ejemplo, Windows BitLocker en el lado del software, o puede que la opción de adquirir una unidad flash USB segura, como uno
por IronKey ( http://www.ironkey.com/en-US/ ).

Las unidades flash USB pueden ser fácilmente considerados dispositivos inherentemente inseguros. Es la naturaleza de la bestia,
por así decirlo. Como tal, un administrador de seguridad tiene que aplicar controles de medios extraíbles que regula el uso de
memorias USB y otros medios extraíbles. Estos deben incluir, pero no están limitados a: bloqueo del USB en el BIOS y sistema
operativo; uso limitado de dispositivos USB; de barrido de dispositivos de medios para malware; el cifrado de los datos;
seguimiento de los sistemas conectados; y auditoría de medios extraíbles. Además, la reutilización y disposición de los medios
extraíbles deben ser manejados con cuidado-destrucción de los medios de comunicación podría ser necesario. Por último, un
administrador de seguridad debe ser un instrumento para las políticas de escritura para la empresa que dictan cómo se
implementan estos controles y educar a los usuarios acerca de estas políticas y mantener su conciencia con el tiempo.

Almacenamiento conectado en red

Almacenamiento conectado en red (NAS) es un dispositivo de almacenamiento que se conecta directamente a la red Ethernet.
dispositivos básicos domésticos y de oficina NAS por lo general contienen dos unidades de disco duro, lo que le permite configurar
RAID 1, que protege sus datos si falla una unidad. Un ejemplo más avanzado de NAS sería un dispositivo que se parece más a un
ordenador y puede albergar hasta 32 unidades y contener terabytes de datos. Posiblemente intercambiables en caliente, estas
unidades pueden ser reemplazados físicamente, y los datos se pueden reconstruir en un corto período de tiempo. Sin embargo,
cuando se trata de matrices RAID, lo que deseamos es alta disponibilidad - lo que significa de forma continua en funcionamiento
durante periodos extendidos de tiempo en la vecindad de

99,9% de disponibilidad media o superior.

Un dispositivo NAS podría ser parte de una red mayor área de almacenamiento (SAN); Por lo tanto, la seguridad de la red
también se debe considerar al implementar cualquier tipo de NAS. Para más

||||||||||||||||||||
||||||||||||||||||||

información sobre seguridad de la red, consulte Los capítulos 6 mediante 9 . Para proteger un único dispositivo NAS,
considere la encriptación de datos, autenticación y registro seguro constante del dispositivo.

Whole Disk Encryption

El cifrado es un gran componente de la seguridad informática de hoy en día. Mediante el cifrado de la información, los datos se
reordena de tal manera que sólo las personas con la debida autenticación puedan leerlo. Para cifrar todo el disco duro, lo que
necesita ya sea una auto-cifrado de accionamiento (SED) o algún tipo de software de cifrado de disco completo (FDE). (
“Disco”, aunque no precisa en algunos casos, es el término comúnmente utilizado aquí.) Varios tipos de software FDE están
disponibles actualmente en el mercado; desarrollado por Microsoft se llama BitLocker disponible en las ediciones de élite de
varias versiones más recientes de Windows. software de cifrado de disco completo puede cifrar todo el disco, el cual, después
de completado, es transparente para el usuario. A continuación se presentan algunos requisitos para cifrar todo el disco:

módulo de chip (TPM) -A plataforma de confianza que reside en la placa base que almacena las claves encriptadas. (Esto es

parte del concepto mencionado anteriormente conocido como la raíz de confianza.) O

Una llave USB externa para almacenar las claves cifradas. y

Un disco duro con dos volúmenes, preferentemente creado durante la instalación de Windows. Un volumen es para
el sistema operativo (lo más probable :) C que serán encriptados; el otro es el volumen activo que permanece sin
cifrar de modo que la computadora pueda arrancar. Si un segundo volumen tiene que ser creado, la herramienta de
preparación de unidad BitLocker puede ser de ayuda y se puede descargar desde el Centro de descarga de
Microsoft.

BitLocker de software se basa en el Advanced Encryption Standard (AES) y se puede utilizar claves de 128 bits y 256 bits.
Tenga en cuenta que una unidad cifrada con BitLocker generalmente sufre en el rendimiento en comparación con una
unidad cifrada y podría tener una vida útil más corta también.

En la versión apropiada / edición de Windows, la configuración de seguridad de BitLocker se puede acceder a través
de los siguientes pasos:

Paso 1. Navegue hasta el cuadro de diálogo Ejecutar.

Paso 2. Tipo gpedit.msc y pulse Enter.

Paso 3. En la ventana Editor de directivas de grupo, vaya a Configuración del equipo>

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Plantillas administrativas> Componentes de Windows> Cifrado de unidad BitLocker.

Figura 3-2 muestra la ventana de configuración de configuración BitLocker.

Figura 3-2 BitLocker ventana Ajustes de configuración

Nota
Para obtener más información acerca de BitLocker y cómo usarlo, consulte el enlace si- guiente:

https://technet.microsoft.com/en-us/library/hh831713(v=ws.11).aspx

Aunque puede ser un montón de trabajo para poner en práctica, de doble cifrado puede ser una técnica muy exitosa cuando se
trata de proteger los archivos. Por ejemplo, un disco duro cifrado con BitLocker también podría utilizar EFS para cifrar archivos
individuales. De esta manera, los archivos que se copian en un medio externo permanecerán cifrados, a pesar de que no residen
en la unidad mediante el cifrado de disco completo.

Módulos de seguridad de hardware

módulos de seguridad de hardware (HSM) son dispositivos físicos que actúan como seguro

||||||||||||||||||||
||||||||||||||||||||

cryptoprocessors. Esto significa que se utilizan para el cifrado durante los procesos de usuario / autenticación segura,
durante fichajes digitales de datos, y para los sistemas de seguridad de pago. La belleza de un dispositivo de encriptación
basada en hardware, como un HSM (o un TPM) es que es más rápido que el cifrado de software.

HSM se pueden encontrar en forma de tarjeta de adaptador, como los dispositivos que se conectan a un ordenador a
través de USB, y como dispositivos conectados a la red. Por lo general son inviolables, dando un alto nivel de
seguridad física. También se pueden utilizar en entornos en clúster de alta disponibilidad, ya que trabajan de forma
independiente de otros sistemas informáticos y se utilizan únicamente para el cálculo de los datos necesarios para las
claves de cifrado. Sin embargo, muchos de estos dispositivos requieren algún tipo de software de gestión para ser
instalado en el ordenador están conectados a. Algunos fabricantes ofrecen este software como parte de la compra,
pero otros no lo hacen, lo que obliga al comprador a construir el software de gestión de sí mismos. Debido a esta falta
de software de gestión, y el costo involucrado en general, los HSM han visto el despliegue más lento con algunas
organizaciones.

A menudo, los HSM están involucrados en la generación, almacenamiento y archivo de los pares de claves cifradas tales
como los utilizados en Secure Sockets Layer (SSL) sesiones en línea, la criptografía de clave pública, y las infraestructuras
de clave pública (PKI), que se discuten más en capítulo 14 , “ Encriptación y hashing Conceptos “, Y capítulo 15 , “ Protocolos
de PKI y encriptación “.

Asegurar periféricos inalámbricos

En el mundo “sin problemas” de hoy de los periféricos, hay un montón de dispositivos inalámbricos en uso. Por desgracia, ya
que las señales inalámbricas son generalmente de espectro difundido, que pueden ser más fácilmente interceptadas que las
señales de cable. Algunos periféricos inalámbricos, tales como teclados y ratones, pueden tener sus pulsaciones de teclas y
clics capturados con el más básico de los ataques. Para protegerse contra esto, algunos fabricantes ofrecen soluciones de
dispositivos inalámbricos cifrados, con AES es uno de los protocolos de cifrado más comunes utilizados. pantallas inalámbricas
utilizan tecnologías tales como Wi-Fi Direct (WiDi) que es compatible con las tecnologías Wi-Fi estándar. Como tal, estas
pantallas deben hacer conexiones utilizando WPA2 y AES. cámaras compatibles con Wi-Fi y las tarjetas SD / microSD se
deben configurar de una manera similar. Lo mismo ocurre con dispositivos de almacenamiento externos, impresoras, y
dispositivos multifunción. El fondo es éste: cualquier periférico que se conecta de manera inalámbrica necesita tener
autenticación apropiada poner en su lugar (tal como WPA2) y el cifrado fuerte (tal como AES-256 o superior). También hay que
tener en cuenta que los nuevos tipos de autenticación y encriptación que se disponga de vez en cuando. Recuerde que debe
comprobar periódicamente si sus sistemas de seguridad inalámbricos están al día.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Seguridad de los dispositivos móviles

Por desgracia, los teléfonos inteligentes y las tabletas (y otros dispositivos móviles) pueden ser las víctimas de ataque también.
Los atacantes podrían optar por abusar de su servicio o utilizar el dispositivo como parte de un ataque a gran escala, y,
posiblemente, para obtener acceso a su información de cuenta. Aunque los dispositivos móviles pueden ser considerados
“ordenadores”, y la mayor parte de la información mencionada en este capítulo y en el capítulo anterior se aplica a ellos también,
hay algunas otras cosas que debemos considerar específicamente para el dispositivo móvil.

Los usuarios de dispositivos móviles deben tener cuidado que dan su número de teléfono para, y deben evitar la enumeración de
su número de teléfono en cualquier sitio web, especialmente en la compra de productos. Capacitar a sus usuarios para que no
siguen ningún enlace enviado por e-mail o por mensajes de texto, si estos son solicitados. (Si hay alguna duda en la mente del
usuario, entonces lo mejor es hacer caso omiso de la comunicación.) Explicar los problemas con la mayor parte del software
descargable, como juegos y tonos de llamada, a los usuarios. Utilizar un código de usuario / contraseña / gesto de bloqueo que
es difícil de adivinar; Esto bloquea el dispositivo móvil después de un período específico de tiempo ha transcurrido. Utilice
contraseñas complejas cuando sea necesario; por ejemplo, si es requerido por política de la empresa. En general, el software del
sistema operativo móvil debe ser actualizado al igual que el software de la computadora de escritorio. Mantenga estos
dispositivos hasta la fecha, y habrá menos posibilidades de que se verán afectados por los virus y otros programas maliciosos.
Puede cifrar los datos de varias maneras, y algunas organizaciones tienen políticas que especifican cómo se cifran los datos. Más
buenos consejos generales están disponibles en la siguiente Sistema Nacional de Concientización Cibernética (ANC) y los
enlaces a sitios web de Estados Unidos Computer Emergency Readiness equipo (US-CERT). Hacer que sus usuarios
conscientes de ellos.

https://www.us-cert.gov/ncas
https://www.us-cert.gov/ncas/tips/ST05-017.html

Cabe señalar que algunas organizaciones utilizan el término “dispositivo electrónico portátil”, que se refiere a cualquier dispositivo

portátil que puede almacenar y registrar datos y transmitir texto, imágenes, vídeo, audio y datos. Los dispositivos en la categoría

de dispositivo electrónico portátil (PED) incluyen ordenadores portátiles, reproductores multimedia, lectores electrónicos,

dispositivos de juegos, teléfonos celulares, localizadores, radios, dispositivos de audio, aparatos de fitness, y así sucesivamente.

Sin embargo, para este libro estamos más preocupados con los teléfonos inteligentes y las tabletas y nos referimos a ellos como

los dispositivos móviles. Vamos a discutir algunos de los ataques y otros problemas para los dispositivos móviles, así como las

formas de prevenir que sucedan estas cosas, y cómo recuperarse de ellos si se producen.

Malware
No se trata sólo de Windows que usted tiene que preocuparse cuando se trata de software malicioso. Cada

||||||||||||||||||||
||||||||||||||||||||

sistema operativo es vulnerable, algunos menos que otros. Históricamente, en el mercado de dispositivos móviles,
Android ha demostrado ser algo así como un asidero para el malware; Por ejemplo, el GinMaster troyano roba
información confidencial del dispositivo Android y lo envía a un sitio web remoto. Los virus, gusanos, rootkits y otros tipos
de malware se encuentran comúnmente en el sistema operativo Android, y algunas veces se encuentran en iOS y otros
sistemas operativos de dispositivos móviles.

Al igual que con los sistemas operativos de escritorio, sistemas operativos móviles deben actualizarse a la versión más reciente
posible (o el punto de desenganche para la versión instalada). AV software también se puede utilizar. Los modelos más nuevos de
los dispositivos móviles vienen con programas de seguridad incorporadas. Estos programas deben actualizarse periódicamente, y
configurados para una seguridad óptima. Se debe tener cuidado al tocar los enlaces dentro de correos electrónicos, textos o las
redes sociales. La información personal u organizacional nunca debe compartirse en las redes sociales, y por lo general no debe
ser almacenado en el dispositivo móvil.

Nota
ataques de ingeniería social también son bastante comunes en los dispositivos móviles. Técnicas tales como
engaños, pretextos, phishing y muchos más son comunes. Vamos a discutir cómo combatir la ingeniería social
en general dentro de capítulo 17 , “ Ingeniería Social, Educación del usuario, e Instalaciones de Seguridad “.

Actividad botnet

Los dispositivos móviles pueden ser parte de las redes de bots, igual que los ordenadores de sobremesa. Debido a que son más
fácilmente accesibles que los ordenadores de sobremesa en este punto, que constituyen una gran parte de algunas de las redes
de bots de hoy en día. Un dispositivo móvil puede participar en el lanzamiento de (DDoS) ataques de denegación de servicio
distribuidos, o inadvertidamente se unen con un traje de fraude de clics, o podría ser parte de una estafa para conseguir que los
usuarios de otros dispositivos móviles para enviar prima global Servicio de mensajes cortos (SMS). Y eso es sólo el principio. Los
métodos para la prevención de un dispositivo móvil de unirse a una red de bots (sin el conocimiento del usuario) son similares a
los mencionados anteriormente en relación con el malware. El gran cuidado debe ser tomado al descargar aplicaciones. El
usuario debe asegurarse de que las aplicaciones son de una fuente legítima. Además, no se recomienda el enraizamiento (o
jailbreak) el dispositivo móvil. Los programas utilizados en conjunción con el enraizamiento del dispositivo son a menudo
malicioso, o están estrechamente alineados con otros programas maliciosos. Además, un dispositivo móvil con el firmware
personalizado, también conocido como ROM personalizada, es más susceptible al acceso a la raíz de los posibles atacantes y
botnets. Por no hablar de que la sobre-el-aire de actualizaciones (OTA) de firmware no pueden trabajar más. Si parece que un
dispositivo se ha convertido en parte de una botnet, ese dispositivo se debe limpiar, ya sea mediante un restablecimiento
completo o por otros medios.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

La clonación de SIM y Carrier desbloqueo

Otro ataque en los teléfonos inteligentes es la clonación de SIM (también conocido como clonación de teléfono), que permite a
dos teléfonos para utilizar el mismo servicio y permite a un atacante obtener acceso a todos los datos del teléfono. V1 tarjetas
SIM tenían un algoritmo débil que hizo posible la clonación de SIM (con un poco de experiencia). Sin embargo, las tarjetas V2 y
superior son mucho más difícil (si no imposible) para clonar debido a un algoritmo más fuerte en el chip. Los usuarios y los
administradores deben ser conscientes de la versión de la tarjeta SIM que se utiliza y actualizarla (o todo el teléfono inteligente)
si es necesario.

Hay técnicas disponibles para desbloquear un teléfono inteligente de su portador. Los usuarios deben ser advertidos en
contra de este, y un administrador de seguridad deben crear y poner en práctica políticas que hacen que el desbloqueo de la
tarjeta SIM difícil, si no imposible. Desbloqueo del teléfono-SIM por lo que es de libre-efectivamente se lo lleva fuera de la red
y hace que sea difícil de rastrear y administrar. Cuando se limpia la tarjeta SIM, la identidad del abonado móvil internacional
(IMSI) se pierde y después el usuario no puede ser reconocida. Sin embargo, el administrador de seguridad puede tratar de
la lista negra del teléfono inteligente a través de su proveedor de usar el International Mobile Equipment Identity (IMEI),
número de serie electrónico (ESN), o identificador de equipo móvil (MEID). El ID utilizado variará en función del tipo y la edad
del teléfono inteligente. En cualquier caso, como un administrador de seguridad, prefiere evitar que la táctica del todo porque
el daño ya está hecho; Por lo tanto, la protección de la tarjeta SIM se convierte en vital.

Los ataques inalámbricos

Cada vez que un teléfono celular o un teléfono inteligente se conecta, se utiliza algún tipo de servicio inalámbrico. Ya se trate de
4G, 3G, GSM, Wi-Fi, infrarrojos, RFID o Bluetooth, existen implicaciones de seguridad. Para minimizar los riesgos, la mejor
solución es desactivar el servicio particular cuando no esté en uso, utilice el modo avión, o simplemente girar el dispositivo móvil
apagado en conjunto si no se está utilizando.

Bluetooth es especialmente vulnerable a los ataques de virus, así como bluejacking y bluesnarfing.

Bluejacking es el envío de mensajes no solicitados a los dispositivos habilitados para Bluetooth tales como teléfonos móviles.
Bluejacking se puede detener mediante el establecimiento del dispositivo Bluetooth afectados a “inencontrable” o desactivando
Bluetooth por completo.

Bluesnarfing es el acceso no autorizado de información desde un dispositivo inalámbrico a través de una conexión Bluetooth.
Generalmente, bluesnarfing es el robo de datos (información de calendario, contactos de la agenda, y así sucesivamente). Formas
de desalentar bluesnarfing incluyen el uso de una clave de emparejamiento que no es fácil de adivinar; por ejemplo, se mantenga
alejado de 0000 o claves de emparejamiento Bluetooth similares por defecto! De lo contrario, los dispositivos Bluetooth se debe
establecer en

||||||||||||||||||||
||||||||||||||||||||

“Inencontrable” (sólo después de dispositivos Bluetooth legítimos se han establecido, por supuesto), o Bluetooth se puede
desactivar por completo.

Para obtener más información acerca de las vulnerabilidades de Bluetooth (y otros ataques inalámbricos en general),
consulte la sección “ Protección de las redes inalámbricas ”en Capítulo 9 , “ Asegurar Red de Medios y Dispositivos “.

Wi-Fi tiene muchas vulnerabilidades también. No sólo deben conectar los dispositivos móviles de una manera
segura y cifrada, sino también el administrador de seguridad tiene que mantener un ojo agudo en los CVEs
actuales, y las actualizaciones y parches disponibles para esas vulnerabilidades. Por ejemplo, hubo una falla en la
programación de un conocido sistema Wi-Fi en un chip (SoC). El firmware tenía una vulnerabilidad que podría dar
lugar a desbordamientos de búfer, que luego podrían ser explotadas por un atacante-conectarse de forma remota a
través de Wi-Fi- en última instancia, lo que permite la ejecución de su propio código. A veces SoC no son
investigados adecuadamente en busca de vulnerabilidades y así los administradores de seguridad debe estar listo
para parchear en un momento previo aviso, y esto se aplica no sólo a los teléfonos inteligentes y otros dispositivos
móviles típicos,

Robo
Más de 100 dispositivos móviles terminan perdiendo (a menudo robados) cada minuto. Permítanme repetir
- ¡cada minuto! Se puede imaginar la variedad de razones por las que es esto. El peor ataque que puede ser perpetuado
en un teléfono inteligente o tableta es un robo. El robo de un dispositivo móvil significa la posible pérdida de datos
importantes e información personal. Hay algunas maneras de protegerse contra la pérdida de datos, y recuperarse de la
sustracción de un dispositivo móvil si sucede.

En primer lugar, los dispositivos móviles en una organización deben utilizar el cifrado de datos. Cuanto más fuerte es el cifrado,
más difícil es para un ladrón para decodificar y utilizar los datos en el dispositivo. Si es posible, utilice el cifrado completo del
dispositivo, similar a Windows BitLocker. Las conversaciones reales en los teléfonos también se pueden cifrar. encriptación de voz
puede proteger la confidencialidad de las conversaciones habladas y puede ser implementado con un chip especial microSD
(preferiblemente) o con el software.

Los dispositivos móviles también deben establecerse para el GPS de seguimiento para que puedan ser rastreados en caso de

pérdida o robo. Cuanto más rápido un dispositivo puede ser localizado, menor será el riesgo de pérdida de datos, sobre todo si

está cifrada. Sin embargo, la localización por GPS también puede ser un problema de seguridad para el dispositivo y,

posiblemente, el usuario si un atacante sabe cómo realizar un seguimiento del teléfono. La belleza de los dispositivos móviles está

en su portabilidad, que inherente y la capacidad de realizar un seguimiento de las tarjetas SIM. Los administradores de

dispositivos móviles deben tener en cuenta los programas de bloqueo remoto. Si un dispositivo se pierde o es robado, el

administrador puede bloquear el dispositivo, que se anule la

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

aspirante a atacante acceso. Además, el dispositivo puede ser configurado para utilizar los “tres strikes y estás fuera” regla, lo que
significa que si un usuario intenta autenticarse en el dispositivo y no tiene éxito después de tres intentos, el usuario quedará
bloqueado. Llevarlo al siguiente nivel, si los datos son extremadamente sensibles, es posible que desee considerar un programa
de borrado remoto. Si se informa de que el dispositivo móvil como perdido o robado, estos programas pueden eliminar todos los
datos del teléfono en un proceso poco a poco, por lo que es difícil (si no imposible) para recuperarse. Esto se conoce como la
desinfección del teléfono de forma remota. Por supuesto, una estrategia de copia de seguridad sólida debe estar en su lugar antes
de que un desinfectante de datos o borrado remoto solución se implementa. pantalla se bloquea, contraseñas complejas, y
cuidando al conectarse a redes inalámbricas también son importantes. A pesar de un bloqueo de pantalla no impedirá el asaltante
instruido, por lo general disuadir a la persona promedio que, por ejemplo, encuentra un teléfono callejero sentado en una cafetería,
centro comercial u otro lugar público. Formación de los usuarios debe implementarse cuando los usuarios reciben su primer
dispositivo. Aunque muchas organizaciones no se toman el tiempo para hacer esto, es una gran manera de mostrar a los usuarios
cómo proteger su dispositivo, mientras se comprueba si su cifrado, localización por GPS, y otras características están funcionando
correctamente. También pueden ser capacitados sobre cómo informar a su organización y la policía local en el caso de que un
dispositivo se pierde o es robado, lo que reduce eficazmente el riesgo de pérdida de datos que le permite encontrar el dispositivo
más rápido o mitigar el problema de otra manera. centro comercial u otro lugar público. Formación de los usuarios debe
implementarse cuando los usuarios reciben su primer dispositivo. Aunque muchas organizaciones no se toman el tiempo para
hacer esto, es una gran manera de mostrar a los usuarios cómo proteger su dispositivo, mientras se comprueba si su cifrado,
localización por GPS, y otras características están funcionando correctamente. También pueden ser capacitados sobre cómo
informar a su organización y la policía local en el caso de que un dispositivo se pierde o es robado, lo que reduce eficazmente el riesgo de pér

Nota
En el caso de robo, los dos mejores maneras de proteger contra la pérdida de información confidencial o sensible
son la encriptación y programa una limpieza remota.

Seguridad de las aplicaciones

Vamos a hablar más sobre la seguridad de las aplicaciones en los dispositivos móviles. Ya hemos mencionado que las
aplicaciones deben (generalmente) se actualizarán a la última versión, y discutimos la importancia de la interacción del usuario
adecuada; pero vamos a profundizar un poco más y hablar de maneras de cifrar los datos que se transfieren a través de
aplicaciones.

El cifrado es una de las mejores maneras de asegurar que los datos está asegurada y que las aplicaciones funcionan
correctamente sin la interferencia de los potenciales atacantes. Sin embargo, un administrador de seguridad debe considerar el
cifrado del dispositivo entero, que cifra la memoria interna y todas las tarjetas (SD) extraíbles. A veces, un administrador podría
olvidarse de uno u otro. Entonces hay datos en tránsito; datos que está en movimiento entre un cliente y un servidor. La mayoría
de las aplicaciones para dispositivos móviles se comunican con un servidor de algún tipo; por ejemplo, cuando una persona
utiliza un navegador web, un cliente de correo electrónico, una base de datos de contactos, o “aplicaciones” reales que trabajan
de forma independiente de un navegador, pero funciona de una manera similar, lo que significa que en última instancia se
conectan a un servidor. Tiempo aplicaciones, juegos, medios de comunicación social

||||||||||||||||||||
||||||||||||||||||||

aplicaciones, y así sucesivamente todos caen en esta categoría.

Vamos a considerar el navegador web, por ejemplo. Un dispositivo móvil se conectará a sitios web de una manera muy similar
a un ordenador de sobremesa. sitios web básicos a utilizar una conexión de protocolo de transferencia de hipertexto (HTTP).
Sin embargo, los sitios web que requieren ningún tipo de información de identificación personal (PII) usarán HTTP seguro
(HTTPS). Esto puede entonces utilizar uno de varios tipos de cifrado, como Transport Layer Security (TLS).

Nota
Discutiremos HTTPS, TLS, y muchos otros protocolos de seguridad en más profundidad dentro de Capítulo
5 y capítulo 15 .

Cualquiera que sea el protocolo de seguridad, el punto importante aquí es que el servidor conectado a hace uso de una base de
datos que almacena las claves de cifrado. La clave (o una parte del mismo) se envía al dispositivo cliente y se acordadas (se
produce handshaking) de modo que la transferencia de datos, especialmente información privada, es encriptada y protegida. A
menudo, las páginas HTTPS se utilizan para ayudar en el proceso de autenticación de la confirmación de la identidad de una
persona (o del ordenador), por lo general con la ayuda de una combinación nombre de usuario / contraseña. Ejemplos de esto
incluyen al iniciar sesión en su cuenta en un banco o con un portal de compras.

Una de las funciones importantes para el servidor de gestión de claves es-la creación, almacenamiento, uso y retirada de las
claves de cifrado. gestión de claves adecuado (y la actualización periódica de claves) es la principal preocupación de un
administrador de seguridad. En general, una organización comprará un algoritmo de clave principal de una compañía de terceros,
tales como VeriSign. Esa empresa informa a la organización si una tecla ha convertido en peligro y necesita ser revocada. Estas
terceras partes también podrían participar en la gestión de credenciales (la gestión de nombres de usuario, contraseñas,
números PIN, contraseñas y otros, normalmente se almacena dentro de una base de datos segura) para hacer las cosas un poco
más fácil para el administrador de seguridad. Depende del tamaño de la organización y su presupuesto. Esto se pone bastante
en profundidad, como se puede imaginar. Por ahora, se dan cuenta de que un dispositivo móvil es un blanco fácil. Por lo tanto,
aplicaciones (especialmente las aplicaciones de terceros) deben ser examinados para asegurarse de que están utilizando un plan
de encriptación sólida cuando la información personal se transfiere hacia atrás y adelante. Por supuesto, vamos a conseguir más
en el cifrado y gestión de claves en capítulos 14 y 15 . Autenticación de servidores y otras redes (y todas sus aplicaciones) puede
ser aún más complicado cuando se implementa el concepto de confianza transitiva. Efectivamente, una confianza transitiva es
cuando dos redes (o más) tienen una relación tal que los usuarios iniciar sesión en una red de acceso get a los datos en el otro.
En días pasados, estos tipos de fideicomisos fueron creadas automáticamente entre las diferentes secciones de redes. Sin
embargo, se dio cuenta rápidamente de que este tipo de transitividad era insegura, permitiendo a los usuarios (y

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

potenciales atacantes) el acceso a otras redes que no deberían haber tenido acceso en el primer lugar. Hay una mayor
amenaza que se cierne aquí también. los confianza transitiva se basa en la propiedad transitiva en matemáticas, que
establece que si A es igual a B, y B es igual a C, entonces A es igual a C. automáticamente Puesto en términos informáticos:
si la red de Nueva York confía en la red de California, y la red de California confía en la red de Hong Kong, entonces la red
de Nueva York confía automáticamente en la red de Hong Kong. Se pueden imaginar los problemas de seguridad aquí, así
como el efecto dominó que podría ocurrir. Por lo tanto, las organizaciones suelen preferir la confianza no transitiva, donde los
usuarios necesitan estar autenticado para cada red por separado, y por lo tanto se limitan a las aplicaciones (y datos) tienen
acceso en función de cada red. Para restringir aún más usuarios y aumentar la seguridad de las aplicaciones, listas blancas
de aplicaciones se utiliza a menudo. Esto significa que una lista de solicitudes aprobadas se crea por el administrador y que
el usuario puede trabajar con sólo las aplicaciones, y no otras. Esto se suele hacer dentro de una directiva de equipo y se
puede hacer más manejable mediante la utilización de un sistema de gestión de dispositivos móviles (que detallaremos un
poco más tarde). Los usuarios a menudo sólo tienen acceso a varias aplicaciones: teléfono, correo electrónico, contactos y
navegador web. Estas aplicaciones podrían compensar la lista blanca, y si un usuario ha intentado utilizar otras aplicaciones,
se les negaría, o por lo menos, se le solicitan credenciales de usuario adicionales. Si un usuario necesita acceder a otra
aplicación, como la cámara, el administrador de seguridad pesaría las preocupaciones de seguridad (GPS, enlaces a las
redes sociales, etc.) y decidir si desea añadir la aplicación a la lista blanca. Listas blancas también puede ser útil cuando se
trata de aplicaciones que utilizan OAuth; un mecanismo común utilizado por las compañías de medios sociales para permitir
a los usuarios compartir información de la cuenta con aplicaciones de terceros y sitios web. Contrastar el concepto de listas
blancas de aplicaciones con una lista negra de aplicaciones -el rechazo de las aplicaciones individuales de un método
común utilizado cuando se trabaja con el correo electrónico, y por los programas antivirus y HIDS.

La aplicación de mensajería es una puerta particularmente tortuoso para los atacantes. SMS y MMS son vulnerables al malware,
y los usuarios incautos de los dispositivos móviles son especialmente susceptibles a los troyanos y phishing mediante mensajes
SMS. Una forma de evitar esto es instalar móvil anti-malware en forma de una suite de seguridad móvil u otro. Esta plataforma
de protección de punto final necesita ser actualizado y se controla mejor a partir de una solución de gestión de dispositivos
móviles (MDM). Otra forma es bloquear aplicaciones de mensajería por completo o utilizar aplicaciones de mensajería
aprobados Company-. Esta opción depende de qué tipo de entorno móvil que está permitiendo. Se trabajará para algunos
entornos móviles, donde el departamento de TI tiene más control sobre los dispositivos, pero probablemente no para BYOD.

Si su organización utiliza un método de pago móvil, es importante entender que las aplicaciones que controlan estos
medios de pago y los dispositivos que se ejecutan pueden tener varias vulnerabilidades. Estos incluyen contraseñas
débiles (para el dispositivo móvil y para

||||||||||||||||||||
||||||||||||||||||||

la aplicación de pago), un error del usuario, y el phishing. No sólo eso, la tecnología en sí misma es un medio seguro dada la
movilidad del dispositivo. Los usuarios deben ser educados acerca de no usar sus dispositivos móviles para el pago al hacer
una conexión Wi-Fi público. También se les debe enseñar cómo utilizar correctamente y discretamente aplicaciones de pago.
Y, por supuesto, deben ser instruidos sobre cómo evitar la pérdida o robo de un dispositivo móvil, y qué hacer si se produce la
pérdida o robo. Como administrador de seguridad, debe considerar el uso de un lector externo para operaciones de pago en
dispositivos móviles y usuarios de enseñanza para mantener al lector independiente del dispositivo móvil cuando no esté en
uso.

Geoetiquetado (también escrito como geo-tagging) es otra de las preocupaciones de la aplicación. Fotos, vídeos, páginas web,
mensajes y mucho más se puede etiqueta geográfica. Geoetiqueta la agregación de datos para el contenido en cuestión,
ayudando a los usuarios a reunir información específica de la ubicación. Por ejemplo, si un usuario quería tomar una foto de su
tienda favorita en el centro comercial y de ayudar a los amigos para encontrarlo, el usuario puede geolocalizar la imagen. Sin
embargo, esto requiere que el teléfono inteligente (o cualquier otro dispositivo móvil) han instalado y en funcionamiento GPS. Esto
significa, entonces, que el teléfono inteligente del usuario puede ser físicamente localizado y rastreado. Dependiendo de las
aplicaciones en ejecución, esto podría representar una amenaza para la seguridad. En un entorno corporativo, el administrador de
seguridad a menudo optar por desactivar funciones de etiquetado geográfico. Hay varias implicaciones de privacidad cuando se
trata de geoetiquetado. Uno de los más peligrosos es el hecho de que muchos usuarios ni siquiera saben que están GeoTagging
sus medios de comunicación, cuando lo hacen, algunas de las aplicaciones que son transparentes. Para las personas en la
empresa, tales como ejecutivos (que podría llevar a una gran cantidad de información confidencial), este es el tipo de característica
que debe ser desactivada. Si un atacante potencial puede realizar un seguimiento de un ejecutivo, entonces el atacante puede
averiguar dónde vive el ejecutivo, determinar cuando el ejecutivo se encuentra en la oficina, y determinar la localización de los
clientes, todo lo cual puede ayudar al atacante para cometer espionaje corporativo. Cuando se llega a esto, el uso de GPS, en
general, se debe examinar cuidadosamente, sopesando los beneficios contra los posibles vulnerabilidades. Este incluye derivados
de GPS como el etiquetado GPS, geofencing, y de geolocalización. (Discutiremos esos términos en mayor profundidad en Capítulo
9 .) Muchos ejecutivos y otros empleados utilizan sus dispositivos móviles en el trabajo, lo que nos lleva a muchos problemas de
seguridad, además de GPS. Colectivamente estos son conocidos como preocupaciones BYOD y se describen en la sección
siguiente.

Las preocupaciones BYOD

Alrededor de 2011, las organizaciones comenzaron a permitir que los empleados lleven sus propios dispositivos móviles en el
trabajo y conectarlos a la red de la organización (por motivos de trabajo solamente, por supuesto). ya que este concepto de
“traer su propio dispositivo” se ha convertido en un método más popular de la informática para muchas organizaciones. Que
es atractiva desde el punto de vista de presupuestos, pero puede ser muy difícil en el administrador de seguridad, y
posiblemente en el usuario también.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Nota
Las empresas pueden implementar estrategias similares, tales como elegir su propio dispositivo (CYOD), donde los
empleados eligen un dispositivo de una lista aprobada por la compañía, o propiedad de la empresa, permitieron
personalmente (COPE), donde los empleados se suministran un teléfono de la empresa que también puede ser
utilizado para actividades personales. Para simplificar, me refiero a estos colectivamente como BYOD menos CYOD o
hacer frente debe ser abordado específicamente.

Con el fin de tener una implementación de BYOD con éxito, la clave es poner en práctica la segmentación de almacenamiento -a
clara separación de información de la organización y personal, aplicaciones y otros contenidos. Debe ser inconfundible, donde se
produce la línea de propiedad de los datos. En las redes con una gran cantidad de usuarios, considere ofertas de terceros de las
empresas que hacen uso de gestión de dispositivos móviles (MDM) plataformas. Estas son soluciones de software centralizadas
que pueden controlar, configurar, actualizar y asegurar los dispositivos móviles a distancia, como Android, iOS, Blackberry, etc.,
todo ello desde una consola administrativa. El software MDM se puede ejecutar desde un servidor dentro de la organización, o se
administra dentro de la nube. Esto hace que el trabajo de un administrador de seguridad de TI móvil al menos manejable. Desde la
ubicación central, el administrador de seguridad puede llevar a cabo las tareas de gestión de aplicaciones, gestión de contenidos y
la gestión de parches. El administrador también puede configurar los niveles más seguros de control de acceso de dispositivos
móviles. El control de acceso es la metodología utilizada para permitir el acceso a los sistemas informáticos. (Más información
sobre el control de acceso en

Capítulo 11 .) Para las grandes organizaciones, el software MDM hace que sea fácil para un administrador para ver el control
de inventario, tales como cuántos dispositivos están activos para cada uno de los sistemas operativos móviles usados.
También hace que sea más fácil de realizar un seguimiento de activos, como los propios dispositivos, y los tipos de datos que
contiene cada uno. Además, el software MDM hace que sea menos complicado para deshabilitar características no utilizados
en múltiples dispositivos a la vez, lo que aumenta la eficiencia de los dispositivos, lo que reduce su huella, y en última
instancia, haciéndolos más seguros. Por ejemplo, un empleado que pasa a tener tanto un smartphone y una tableta capaz de
realizar llamadas celulares no necesita necesariamente esta última. El administrador puede desactivar la capacidad celular de
la tableta, lo que aumentaría la eficiencia de la batería, así como la seguridad de dicho dispositivo. carga lateral -el arte de
cargar aplicaciones de terceros desde un lugar fuera de la tienda oficial de aplicaciones para ese dispositivo. Tenga en cuenta
que carga lateral puede ocurrir de varias maneras: mediante conexión directa a Internet (normalmente desactivado por
defecto); mediante la conexión a un segundo dispositivo móvil a través de OTG USB (USB On-The-Go) o Bluetooth; copiando
aplicaciones directamente desde una tarjeta microSD; oa través de la inmovilización a un PC o Mac. Por último, el control de
la aplicación se hace más fácil también. Las aplicaciones se pueden instalar, desinstalar, actualizar, y se aseguran de que la
ubicación central. dispositivos de almacenamiento extraíble incluso (a menudo basados ​en USB) puede ser manipulado, como

||||||||||||||||||||
||||||||||||||||||||

siempre que el almacenamiento extraíble está conectado actualmente al dispositivo. La aceptación del usuario de BYOD se
mezcla en sus reacciones. Algunos empleados, como la idea de utilizar su propio dispositivo (que puede ser que no han sido
autorizados a utilizar en el trabajo previamente) y no tener que entrenar en un equipo de trabajo independiente. Sin embargo,
algunos empleados creen que BYOD es sólo una manera de mover los costes informáticos de la empresa para el usuario, y el
nivel de confianza es bajo. Alrededor de 2013, los estudios mostraron que la percepción de BYOD (y soluciones MDM) varió.
Aproximadamente el 40 por ciento de los usuarios creen que su empleador puede ver la información personal en sus dispositivos
móviles. Esto nos lleva a una variedad de problemas legales, como el derecho a la privacidad. Las compañías que ofrecen
soluciones BYOD MDM contrarrestar esto dibujando una línea clara en la arena, para definir exactamente lo que los empleadores
pueden ver (por ejemplo, correo electrónico corporativo) y lo que no pueden ver (tales como textos personales). En general, estas
empresas tratan de proteger la privacidad del individuo. Muchas organizaciones escribirán políticas de privacidad claras que
definen, si es necesario, toallitas selectivos de datos corporativas seguras mientras que la protección de datos personales. A partir
de la redacción de este libro, la tecnología no es perfecta, y habrá un debate con el tiempo en cuanto a su viabilidad a largo plazo.

Parte del debate incluye algunas preocupaciones adicionales; por ejemplo, existen problemas legales adicionales acerca de cosas
tales como la mala conducta y el fraude de los empleados. A partir de la redacción de este libro, se están estableciendo
precedentes legales, y el consenso general está gravitando hacia una separación de los datos personales y organizacionales.
Cualquier cosa descubierto que posiblemente podría implicar a un empleado de irregularidades tendría que ser encontrado en la
parte de organización de los datos. Desde un punto de vista forense, sin embargo, y debido a que el dispositivo no se puede
dividir en dos, si se investiga cualquier irregularidad potencial, tendría que ser confiscados para el análisis del dispositivo.

La mayoría de los empleados (de todos los grupos de edad) también se ocupa de la forma puede ser utilizado a bordo de
dispositivos (como la cámara de a bordo) en contra de ellos, con o sin su conocimiento. Las compañías que ofrecen soluciones
BYOD tienden a referirse a la cámara (y fotos / vídeo tomadas) como parte del área de personal del dispositivo. Sin embargo,
esas mismas empresas incluirán ubicación GPS como algo que la compañía puede ver, pero esto puede estar vinculado a un
inicio de sesión corporativa, con el GPS de seguimiento del usuario sólo cuando el usuario está conectado. Onboarding y
offboarding en general son otro motivo de preocupación. Esencialmente, incorporación es cuando el administrador de seguridad
toma el control del dispositivo de forma temporal para configurarlo, actualizarlo, y tal vez el monitor, y offboarding es cuando el
administrador de seguridad cede el control del dispositivo cuando haya terminado con él. Se plantea algunas preguntas para el
empleado: ¿Cuando sucede? ¿Cuánto dura? ¿Cómo se verá afectada mi dispositivo? ¿Hay alguna preocupación arquitectónica /
de infraestructura? Por ejemplo, será la solución BYOD cambiar los archivos principales de mi dispositivo? Será una
actualización realizada por una persona cuando está en casa hacen que el dispositivo inactivo el día siguiente en el trabajo? Eso
es sólo la punta del iceberg cuando se trata de preguntas y preocupaciones sobre BYOD. El mejor curso de

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

la acción es para una organización para establecer políticas firmes acerca de todos estos temas. Las políticas que deben ser

instituido incluyen una política de uso aceptable, una política de propiedad de los datos, y una política de propiedad apoyo. En

esencia, estos definen lo que se le permite hacer con el dispositivo (durante las horas de trabajo), que es dueño de qué datos y

cómo se separa esos datos, y en qué escenarios de la organización se encarga de soporte técnico para el dispositivo en

comparación con el usuario usuario. Hablaremos más acerca de las políticas como estos en

capítulo 18 .

Para ayudar a proteger los dispositivos móviles en un entorno empresarial BYOD, algunos proveedores de terceros ofrecen:
autoridad de certificación integrada para la gestión de dispositivos y usuarios identificar; dispositivos de modo que no cumplen
sofisticada de monitoreo postura y de flujo de trabajo automatizado de políticas no tienen acceso empresa; y basada en el
certificado de seguridad para proteger el correo electrónico y reducir la posibilidad de pérdida de datos.

Tabla 3-1 resume las técnicas de seguridad móvil que se refiere esta sección. Con una mezcla de la adhesión a las políticas
corporativas de usuario, el lugar de trabajo respetando el derecho del usuario a la privacidad, y un plan de seguridad fuerte,
BYOD puede ser un éxito.

Tabla 3-1 Resumen de seguridad de dispositivos móviles

Dispositivo Móvil de
Contramedida
Seguridad Tema

dispositivo de actualización a la versión más reciente (o punto de desenganche de la versión

actual).

Utilizar conjuntos de seguridad y software antivirus. Activarlas si precargado en el dispositivo y

Malware actualizar periódicamente.

Formar a los usuarios a la pantalla con cuidado correo electrónico y sitios web de acceso
de forma selectiva.

Tenga cuidado de las redes sociales y las aplicaciones de terceros.

Descargar aplicaciones de una fuente legítima. Si BYOD está en su lugar, utilizar aplicaciones
aprobados por la empresa.

Las redes de bots y DDoS Abstenerse de “enraizamiento” o “jailbreak” del dispositivo. Han respaldado los datos en caso

de que el dispositivo se convierte en parte de una red de bots y tiene que ser eliminado.

clonación SIM V2 y utilizar las nuevas tarjetas con algoritmos de cifrado fuerte. Utilice una

contraseña segura para la red inalámbrica.

||||||||||||||||||||
||||||||||||||||||||

Desactivar las funciones inalámbricas innecesarios como punto de acceso móvil, la

ataques inalámbricos
inmovilización, y así sucesivamente.

Desactivar el Bluetooth cuando no esté en uso durante largos períodos de tiempo

(también conserva la batería). dispositivo establecido en indescubrible.

Utilizar datos y encriptación de voz (especialmente en implementaciones

BYOD).

Robo Implementar bloqueo, localizador remoto y borrado remoto de los programas. Limitar la cantidad

de información confidencial almacenada en el dispositivo. Utilizar bloqueos de pantalla y

contraseñas complejas.

Utilizar el cifrado de los proveedores de buena reputación. Utilizar plataformas de

protección de punto final anti-malware. Utilizar fideicomisos no transitivos entre

seguridad de las aplicaciones redes y aplicaciones. aplicaciones de la lista blanca. Desactivar el etiquetado

geográfico.

Aplicar la segmentación de almacenamiento.

Utilizar una solución MDM.

Crear e implementar políticas claras de que la organización y el usuario deben cumplir.

preocupaciones BYOD

Considere CYOD o COPE en comparación con el método tradicional de BYOD.

Resumen del capítulo

Un buen administrador de seguridad es proactivo. La prevención de las amenazas discutidas en este capítulo requiere la
actualización de sistemas y aplicaciones, y, posiblemente, el rediseño de las redes y sistemas desde cero. También significa el uso
de cortafuegos, los sistemas basados ​en host de detección de intrusos (HIDSs), y sistemas de prevención de pérdida de datos
(DLP). Se requiere una configuración en profundidad de aplicaciones, filtrado, y las políticas de seguridad. Y, por supuesto, todo
esto significa una necesidad de formación de los usuarios.

El software no es el único lugar para aumentar la seguridad. El hardware puede ser protegido físicamente, y el firmware como el
BIOS debe estar asegurado también. Como se mencionó, la cosa más importante para una empresa (tecnológicamente
hablando) es sus datos. Por lo tanto, la obtención de todo tipo de dispositivos de almacenamiento, en especial de
almacenamiento extraíble, es de suma importancia. Esto se puede hacer de una manera física y de una manera lógica mediante
la utilización de módulos de seguridad de hardware (HSM) y cifrado, respectivamente.

Un equipo es un equipo. No importa si se trata de un PC a partir de 1986 o un dispositivo móvil

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

a partir de este año. Todas las computadoras necesitan ser asegurados utilizando los mismos principios y
políticas. Sin embargo, los dispositivos móviles históricamente han tendido a caer a través de las grietas. Por lo
tanto, las empresas han comenzado realmente preparando la seguridad de estos dispositivos. En la mayoría de
las organizaciones no es factible para detener a una persona de llevar su smartphone en el trabajo. Algunas
organizaciones han decidido abrazar esta práctica y beneficiarse de ella con una política de traer su propio
dispositivo (BYOD) para ser utilizado por motivos de trabajo, además de personal. Si bien esto crea una gran
cantidad de nuevas consideraciones de seguridad, algunas organizaciones están implementando BYOD y
CYOD con éxito mediante la creación de un punto de demarcación bien definida entre los datos del usuario y la
organización de. Mediante el establecimiento de este concepto, junto con una solución de gestión de
dispositivos móviles (MDM) y las políticas fuertes para el robo,

Muchos de los temas que tratamos en este capítulo, como la encriptación y políticas, se tratarán en mayor profundidad a
medida que avanzamos a través del libro. Usted encontrará que los próximos capítulos tienden a construir sobre esto y el
capítulo anterior. Asegúrese de revisar estos capítulos cuidadosamente antes de continuar con el libro.

Capítulo revisar las actividades

Utilizar las características de esta sección para estudiar y revisar los temas de este capítulo.

Revisar los temas clave

Revisar los temas más importantes en el capítulo, señalado con el icono: tema clave en el margen exterior de la página. Tabla
3-2 enumera una referencia de estos temas clave y el número de página en la que se encuentra cada uno.

Tabla 3-2 Los temas clave para el capítulo 3

Tema clave Elemento Descripción Número de página

Figura 3-1 BIOS y contraseñas de bloqueo de unidad 61

Figura 3-2 BitLocker ventana de ajustes de configuración sesenta y cinco

Tabla 3-1 Resumen de seguridad de dispositivos móviles 77

Definir términos clave

||||||||||||||||||||
||||||||||||||||||||

Definir los siguientes términos clave de este capítulo, y compruebe sus respuestas en el glosario:

basada en el host del sistema de detección de intrusos (HIDS), cortafuegos personal, bloqueador de ventanas emergentes,
filtrado de anuncio, los filtros de contenido, raíz de confianza, de arranque medido, certificación, controles de medios
extraíbles, alta disponibilidad, la unidad de cifrado automático (SED), seguridad de hardware módulo (HSM), bluejacking,
bluesnarfing, confianza transitiva, listas blancas de aplicaciones, listas negras aplicación, la segmentación de
almacenamiento, gestión de dispositivos móviles (MDM), sideloading

Completar los escenarios del mundo real

Completar los escenarios del mundo real que se encuentran en el sitio web complementario ( www.pearsonitcertification.com/title/97807
). Va a encontrar un PDF que contiene el escenario y preguntas, así como el apoyo a los vídeos y simulaciones.

Preguntas de revisión

Responder a las siguientes preguntas de repaso. Compruebe sus respuestas con las respuestas correctas que siguen.

1 . ¿Cuáles son algunos de los inconvenientes de utilizar un HIDS en lugar de un NIDS en un servidor? (Seleccione los dos
mejores respuestas.)

A. Un HIDS puede utilizar una gran cantidad de recursos, que pueden ralentizar el rendimiento del servidor.

SI. Un HIDS no puede detectar ataques al sistema operativo.

C. Un HIDS tiene un bajo nivel de detección de ataques al sistema operativo.

RE. Un HIDS no puede detectar ataques a la red.

2 . ¿Cuáles son dos formas de proteger el sistema dentro de la BIOS? (Seleccione los dos mejores respuestas.)

A. Configurar una contraseña de supervisor.

SI. A su vez en el sombreado de BIOS.

C. Actualizar el BIOS.

RE. Ajuste el disco duro por primera vez en el orden de arranque.

3 . ¿Cuáles son las dos formas en que se puede parar empleados el uso de unidades flash USB? (Seleccione los dos
mejores respuestas.)

A. Utilizar RBAC.
SI. Desactivar los dispositivos USB en el BIOS.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

C. Desactivar el concentrador raíz USB.

RE. Habilitar el filtrado de MAC.

4 . ¿Cuál de las siguientes son las amenazas Bluetooth? (Seleccione los dos mejores respuestas.)

A. Bluesnarfing

SI. bearding azul

C. Bluejacking
RE. de denegación de servicio distribuido

5 . Para mitigar los riesgos cuando los usuarios acceden empresa de e-mail con sus teléfonos inteligentes, lo que la política
de seguridad deben implementarse?

A. capacidades de conexión de datos deben ser desactivados.

SI. Una contraseña debe fijarse en el teléfono inteligente.

C. los datos del dispositivo deben ser cifrados.

RE. Los teléfonos inteligentes debe ser sólo para uso de la empresa.

6 . Su gerente quiere que implementa un tipo de sistema de detección de intrusos (IDS), que puede ajustarse a
ciertos tipos de patrones de tráfico. ¿Qué tipo de IDS es esto?

A. IDS basados ​en anomalías

SI. IDS basados ​en firmas

C. IDS basados ​en el comportamiento

RE. IDS basado en heurísticas

7 . Es el administrador de seguridad de la organización. Usted quiere asegurarse de la confidencialidad de los datos

en los dispositivos móviles. ¿Cuál es la mejor solución?

A. el cifrado del dispositivo

SI. Borrado remoto

C. pantalla se bloquea

RE. AV software

8 . Tienen la tarea de implementar una solución que cifra portátil del CEO. Sin embargo, no se le permite
adquirir hardware o software adicional. ¿Cuál de las siguientes soluciones en caso de que poner en
práctica?

A. HSM
SI. TPM

C. HIDS
RE. cifrado USB

||||||||||||||||||||
||||||||||||||||||||

9 . Un teléfono inteligente se ha perdido. Es necesario para garantizar el 100% de que no hay datos pueden ser recuperados de
él. ¿Qué debe hacer?

A. Borrado remoto

SI. localización por GPS

C. implementar el cifrado

RE. A su vez en pantalla se bloquea

10 . ¿Cuál de los siguientes es una preocupación basada en un usuario tomar fotografías con una
smartphone?

A. listas blancas de aplicaciones

SI. geoetiquetado

C. BYOD
RE. MDM

11 . Un smartphone es un blanco fácil para el robo. ¿Cuál de los siguientes son los mejores métodos
para proteger los datos confidenciales en el dispositivo? (Seleccione los dos mejores respuestas.)

A. Borrado remoto

SI. Contraseña de Email

C. GPS

RE. Atando
MI. encriptación

F. Bloqueo de pantalla

12 . Carl es el administrador de seguridad para una empresa de transporte. De los cuales

después de que él debe cifrar para proteger los datos en un teléfono inteligente? (Seleccione los dos mejores respuestas.)

A. Las claves públicas

SI. Memoria interna

C. registro de inicio maestro (MBR)

RE. imágenes esteganográficos

MI. tarjetas de memoria extraíbles

13 . ¿Cuál de las siguientes es una ventaja de la aplicación de cifrado de archivos individuales

en un disco duro que ya utiliza el cifrado de disco completo?

A. Individualmente los archivos cifrados permanecerán cifrados si se copian en las unidades externas.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

SI. Reduce la carga de procesamiento necesaria para acceder a los archivos cifrados.

C. permisos NTFS se mantienen intactos cuando los archivos se copian en una unidad externa.

RE. cifrado de doble duplica la fuerza de bits del archivo encriptado.

14 . A supervisar el cumplimiento de las regulaciones financieras para transacciones con tarjetas de crédito. Tú
necesite parar y ciertos puertos en los ordenadores individuales que hacen estas transacciones.
¿Qué debe poner en práctica para lograr mejor su objetivo?

A. HIPS
SI. actualizaciones de antivirus

C. firewall basado en host

RE. NIDS

15 . Cuál de las siguientes más probable sería considerado para el DLP?

A. Servidor proxy

SI. Servidor de impresión

C. dispositivo de almacenamiento masivo USB

RE. el contenido del servidor de aplicaciones

Respuestas y Explicaciones
1 . A y D. sistemas de detección de intrusiones basado en host (HIDSs) ejecutar dentro del sistema operativo de un ordenador.
Debido a esto, se puede disminuir el rendimiento de un ordenador. La mayoría de los HIDS no detectan los ataques de red
también (en su caso). Sin embargo, un HIDS puede detectar ataques del sistema operativo y por lo general tienen un alto
nivel de detección de esos ataques.

2 . A y D. Configuración de una contraseña de supervisor en el BIOS no permite a cualquier otro usuario a entrar en la BIOS y
hacer cambios. Ajuste de la unidad de disco duro en primer lugar en el orden de arranque del BIOS desactiva cualquier
otro dispositivo de ser arrancado desde, incluyendo las unidades de disquete, unidades ópticas y unidades flash USB.
sombreado de BIOS no tiene nada que ver con la seguridad informática, y aunque el BIOS puede incluir algunas
actualizaciones de seguridad, no es la mejor respuesta.

3 . B y C. Mediante la desactivación de todos los dispositivos USB en el BIOS, un usuario no puede usar su unidad flash.
Además, el usuario no puede utilizar el dispositivo si se deshabilita el concentrador raíz USB en el sistema operativo.
RBAC, acrónimo de control de acceso basado en roles, define el acceso a las redes por el papel de la persona en la
organización (vamos a cubrir esto más adelante en el libro). el filtrado de MAC es un método de filtrado de los
ordenadores cuando intentan acceder a la red (usando las direcciones MAC de los ordenadores).

||||||||||||||||||||
||||||||||||||||||||

4 . A y C. Bluesnarfing y bluejacking son los nombres de un par de amenazas Bluetooth. Otro ataque podría estar
dirigido a modo de detección de un dispositivo Bluetooth. Hasta la fecha no hay tal cosa como bearding azul, y
un ataque distribuido de denegación de servicio utiliza varios equipos para atacar a un host.

5 . SI. Una contraseña debe fijarse en el teléfono, y el teléfono debe bloquear después de un período de tiempo
determinado. Cuando el usuario quiere utilizar el teléfono de nuevo, el usuario debe pedir una contraseña.
Desactivación de la conexión de datos por completo haría que el acceso al correo electrónico en el teléfono inteligente
imposible. cifrado teléfono inteligente de datos es posible, pero podría utilizar una gran cantidad de potencia de
procesamiento que puede hacer inviable. Si el teléfono inteligente se utiliza sólo para uso de la empresa depende de
las políticas de la empresa.

6 . SI. Cuando se utiliza un IDS, determinados tipos de patrones de tráfico se refieren a IDS basados ​en firmas.

7 . A. el cifrado del dispositivo es la mejor solución que aparece para proteger la confidencialidad de los datos. Mediante el
cifrado de los datos, que hace que sea mucho más difícil para una persona con malas intenciones para hacer uso de
los datos. cerraduras de pantalla son una buena idea, pero son mucho más fáciles de conseguir más allá de que el
cifrado. El software antivirus no va a parar a un atacante llegue a los datos una vez que el dispositivo móvil ha sido
robado. sanitización remoto (borrado remoto) no guarda los datos confidenciales; que elimina por completo! Si bien esto
podría ser considerado como un tipo de confidencialidad, sólo sería por lo que si se instituyó un buen plan de copia de
seguridad. En cualquier caso, la mejor respuesta con la confidencialidad en cuenta es el cifrado. Por ejemplo, si el
dispositivo se pierde, simplemente, y más tarde se encontró, que podría ser reutilizado (con tal de que no se ha
alterado). Pero si se desinfectan el dispositivo,

8 . SI. Un TPM, o el módulo de plataforma de confianza, es un chip que reside en la placa base del ordenador portátil.
Genera las claves criptográficas que permiten que el disco entero se va a cifrar, como en el cifrado de disco completo
(FDE). módulos de seguridad de hardware (HSM) y cifrado USB requieren hardware adicional. Un sistema de
detección de intrusiones basado en host requiere software o hardware adicional.

9 . A. Si el dispositivo se ha perdido y tiene que estar 100% seguro de que los datos no se pueden recuperar de él, entonces
usted debe desinfectar de forma remota (o de forma remota “borrar”) del dispositivo. Esto elimina todos los datos en el punto
en que no puede ser reconstruida por medios normales. localización por GPS puede encontrar el dispositivo, pero con el
tiempo se gasta el seguimiento y la adquisición del dispositivo, los datos pueden ser robados. El cifrado es una buena idea,
pero con el tiempo el cifrado puede descifrarse. bloquea la pantalla pueden evitarse fácilmente.

10 . SI. Geoetiquetado es una preocupación sobre la base de un usuario toma las imágenes con un dispositivo móvil
tal como un teléfono inteligente. Esto es debido a que el acto de geoetiquetado utiliza GPS, que puede

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

regalar la ubicación del usuario. listas blancas de aplicaciones es cuando hay una lista aprobada de aplicaciones para uso
de los dispositivos móviles. Por lo general, implementado como una política, si el dispositivo móvil intenta abrir una
aplicación que no está en la lista, el proceso va a fracasar, o el sistema le pedirá una prueba de identidad administrativa.
BYOD significa traer su propio dispositivo, un concepto tecnológico donde las organizaciones permiten a los empleados para
llevar a sus dispositivos móviles personales para trabajar y utilizarlos con fines de trabajo. MDM es sinónimo de gestión de
dispositivos móviles, un sistema que permite a un administrador de seguridad para configurar, actualizar y proteger varios
dispositivos móviles desde una ubicación central.

11 . A y E. Eliminación remota de datos y encriptación son los mejores métodos para proteger un robo
información confidencial o sensible del dispositivo. GPS puede ayudar a localizar un dispositivo, pero también puede ser una
vulnerabilidad de seguridad en general; esto dependerá de la situación en la que se utiliza el dispositivo móvil. Las
contraseñas nunca deben ser enviados por correo electrónico y no deben estar asociados con el correo electrónico. Tethering
es cuando un dispositivo móvil está conectado a otro equipo (por lo general a través de USB) para que el otro equipo puede
compartir el acceso a Internet, u otra funcionalidad de compartir similar en un sentido o en el otro. Esto es muy bueno en
cuanto a funcionalidad va, pero más a menudo que no puede ser una vulnerabilidad de seguridad. cerraduras de pantalla son
un método decente de reducir el riesgo de inicio de sesión por la persona promedio, pero no son mucho de un elemento
disuasorio para el atacante persistente.

12 . B y E. Al cifrar un teléfono inteligente, el administrador de seguridad debe cifrar

memoria interna y cualquier almacenamiento a largo plazo, tales como tarjetas de medios extraíbles. El administrador debe
recordar que los datos se pueden almacenar en ambos. Las claves públicas ya están codificadas; es parte de su naturaleza
inherente. Los teléfonos inteligentes no necesariamente utilizan un MBR la forma en ordenadores Windows hacen, pero sin
tener en cuenta, si la memoria interna se ha cifrado, cualquier sector de arranque deben estar asegurados. Imágenes
basadas en la esteganografía, por su propia naturaleza, se codifican a través de ofuscación. Es diferente a la encriptación
de datos típico, pero es un tipo de criptografía, no obstante.

13 . A. Mediante la implementación de cifrado de archivos individuales (como EFS) de los archivos que se almacenan
en un disco encriptado con el cifrado de disco completo, los archivos permanecerán cifrados (a través de EFS), incluso
si se copian en una unidad independiente que no utiliza el cifrado de disco completo. Sin embargo, la ejecución de dos
tipos de cifrado usualmente aumenta la sobrecarga de procesamiento, no reducirlo. permisos NTFS no son relevantes
aquí; Sin embargo, si los archivos se copian en una unidad externa, esos archivos por defecto pierden sus permisos
NTFS y heredan nuevos permisos de la carpeta principal en la nueva unidad. Discutiremos más permisos NTFS en Capítulo
11 . No debemos llamar a esta doble encriptación más bien, los archivos se cifran en dos ocasiones por separado. La
fuerza de bits no es acumulativo en este ejemplo, pero hay dos capas de cifrado, que es un ejemplo de defensa en
profundidad y capas de seguridad.

||||||||||||||||||||
||||||||||||||||||||

14 . C. Para cumplir con las regulaciones, se requerirá un firewall basado en host configurado correctamente
en los equipos que serán transacciones de negocios con tarjeta de crédito a través de Internet. Todas las otras
actualizaciones respuestas-antivirus, NIDS, y HIPS-son buenas ideas para asegurar el sistema (y / o de la red), pero no
abordan el tema central de los puertos de filtrado, que es el propósito principal del cortafuegos. Además, un servidor de
seguridad basado en red a menudo no ser suficientemente seguro como para cumplir con las regulaciones, por lo tanto la
necesidad de que la capa adicional de protección en los equipos individuales.

15 . C. Las respuestas anteriores, el dispositivo de almacenamiento masivo USB sería el más probable
activo para ser considerado para la prevención de pérdida de datos (DLP). Es el único dispositivo que aparece en las
respuestas que deben tener todos los datos organizacionales reales! Un servidor proxy almacena temporalmente datos
tales como HTTP y FTP. Un servidor de impresión hacia delante los documentos impresos a la impresora correcta (de
nuevo los datos se lleva a cabo generalmente temporal). Un servidor de aplicaciones contiene programas, pero por lo
general no almacena los archivos de datos de la organización. Son los dispositivos y ordenadores que almacenan los
archivos de datos de empresas reales que se ocupan principalmente.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

CAPÍTULO 4

El endurecimiento del sistema operativo y virtualización

Este capítulo cubre los siguientes temas: endurecimiento Sistemas operativos: En esta sección se detalla lo que necesita

saber para hacer que su sistema operativo fuerte como el acero. Parches y revisiones son vitales. La reducción de la

superficie de ataque es tan importante, lo cual puede hacerse mediante la desactivación de los servicios innecesarios y

desinstalar los programas extraños. Las políticas de grupo, las plantillas de seguridad de línea de base, y poner en los toques

finales para lograr que el sistema de “prueba de balas”.

Tecnología de virtualización: En esta sección se profundiza en las máquinas virtuales y otras implementaciones virtuales con

un ojo en la aplicación de escenarios de virtualización del mundo real. Imagine un ordenador con un sistema operativo de servidor

recién instalado (OS) colocado en Internet o en una DMZ que se puso en marcha sin ningún tipo de actualización, paquetes de

servicio, o revisiones. ¿Cuánto tiempo que sería necesario para que este equipo esté comprometida? ¿Una semana? ¿Cuanto

antes? Depende del tamaño y la popularidad de la organización, pero no pasará mucho tiempo para un servidor nonhardened se

vea comprometida. Y no son sólo los servidores! Estaciones de trabajo, routers, switches: Lo que sea; todos ellos necesitan ser

actualizados con regularidad, o van a ser víctima de un ataque. Mediante la actualización de los sistemas de frecuencia y

mediante el empleo de otros métodos, como las políticas de grupo y línea de base, que se están endureciendo el sistema, lo que

es lo suficientemente resistente para soportar los golpes que probablemente se llevará a partir de la tecnología de hoy en día ... y

la sociedad. Otra forma de crear un entorno seguro es ejecutar sistemas operativos de forma virtual. Los sistemas virtuales

permiten un alto grado de seguridad, portabilidad y facilidad de uso. Sin embargo, son de uso intensivo de recursos, por lo que el

equilibrio debe ser encontrado, y la virtualización debe ser utilizado de acuerdo con el nivel de recursos en una organización. Por

supuesto, estos sistemas deben ser mantenidos y actualizados (endurecido) también. y la virtualización debe ser utilizado de

acuerdo con el nivel de recursos en una organización. Por supuesto, estos sistemas deben ser mantenidos y actualizados

(endurecido) también. y la virtualización debe ser utilizado de acuerdo con el nivel de recursos en una organización. Por supuesto,

estos sistemas deben ser mantenidos y actualizados (endurecido) también.

Mediante la utilización de la virtualización de forma adecuada y mediante la implementación de un plan de actualización

inteligente, los sistemas operativos y las relaciones entre los sistemas operativos pueden ser más seguros y duran mucho
tiempo.

Fundación Temas
Sistemas operativos de endurecimiento

Un sistema operativo que se ha instalado fuera de la caja es inherentemente insegura. Esto se puede atribuir a varias
cosas, incluyendo problemas de código inicial y puertas traseras, la edad

||||||||||||||||||||
||||||||||||||||||||

del producto, y el hecho de que la mayoría de los sistemas comienzan con un conjunto básico e inseguro de reglas y políticas.
¿Cuántas veces has oído hablar de una instalación del sistema operativo predeterminado en el que el control de la cuenta de
usuario era fácilmente accesible y tenía una contraseña básica, o ninguna en absoluto contraseña? Aunque este tipo de descuidos
están siendo constantemente mejorados, haciendo una experiencia fuera de la caja más agradable, nuevas aplicaciones y nuevas
tecnologías ofrecen nuevas implicaciones de seguridad también. Así que, independientemente del producto, hay que tratar de
protegerlo después de la instalación se haya completado.

Endurecimiento del sistema operativo es el acto de la configuración de un sistema operativo de forma segura, actualizándola, la
creación de reglas y políticas para ayudar a gobernar el sistema de una manera segura y eliminar aplicaciones y servicios
innecesarios. Esto se hace para minimizar la exposición a las amenazas OS y para mitigar los posibles riesgos.

Consejo rápido: No hay tal cosa como un sistema de “prueba de balas”, como he aludido en el comienzo del capítulo. Por eso
me puse el término entre comillas. Recuerde, ningún sistema puede nunca realmente sea 100% segura. Así, a pesar de que
es imposible reducir el riesgo a cero, voy a mostrar algunos de los métodos que se pueden activar para disminuir el riesgo
actual y futuro a un nivel aceptable.

En esta sección se muestra cómo endurecer el sistema operativo mediante el uso de parches y la gestión de parches, revisiones,
políticas de grupo, plantillas de seguridad, y las líneas de base de configuración. A continuación se discute un poco acerca de
cómo proteger el sistema de archivos y discos duros. Pero primero, vamos a discutir la forma de analizar el sistema y decidir qué
aplicaciones y servicios no son necesarios, y luego eliminarlos.

Eliminación de aplicaciones y servicios innecesarios

aplicaciones y servicios innecesarios uso valioso espacio en disco duro y capacidad de procesamiento. Más importante
aún, pueden ser vulnerables a un sistema operativo. Es por eso que muchas organizaciones implementan el concepto de menos
funcionalidad . Esto es cuando una organización configura equipos y otros sistemas de información para proporcionar
solamente las funciones esenciales. Usando este método, un administrador de seguridad restringirá aplicaciones,
servicios, puertos y protocolos. Este control llamado CM-7-se describe con más detalle por el NIST en el siguiente
enlace:

https://nvd.nist.gov/800-53/Rev4/control/CM-7

El Departamento de Defensa de los Estados Unidos describe este concepto en la instrucción del Departamento de Defensa
8551.01:

http://www.dtic.mil/whs/directives/corres/pdf/855101p.pdf

Es esta forma de pensar que puede ayudar a proteger los sistemas contra las amenazas que están dirigidos a aplicaciones y
servicios inseguros. Por ejemplo, programas de mensajería instantánea pueden ser peligrosos.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Podrían ser divertido para el usuario, pero por lo general no son productivas en el lugar de trabajo (por decirlo con suavidad); y
desde un punto de vista de seguridad, a menudo tienen puertas traseras que son fácilmente accesibles a los atacantes. A menos
que así lo exige la ayuda de tecnología, que debe desalentarse y / o denegado por reglas y políticas. Sea proactivo cuando se trata
de este tipo de programas. Si un usuario no puede instalar un programa de mensajería instantánea a una computadora, entonces
usted nunca tendrá que sacarlo de ese sistema. Sin embargo, si usted tiene que quitar una aplicación como ésta, asegúrese de
eliminar todo rastro de que alguna vez existió. Esto es sólo un ejemplo de muchos, pero se puede aplicar a programas más
superfluos. Otro grupo de programas se debe tener en cuenta son los programas de control remoto. Las aplicaciones que permiten
el control remoto de un equipo deben evitarse si es posible. Por ejemplo, Conexión a Escritorio remoto es un programa de control
remoto basado en Windows de uso común. Por defecto, este programa utiliza el puerto de entrada 3389, que es bien conocido
para los atacantes, una amenaza a la seguridad obvia. Considere el uso de un puerto diferente si el programa es necesario, y si no
es así, asegúrese de que el servicio asociado del programa se apaga y los discapacitados. Comprobar si los servicios relacionados
deben ser desactivado también. A continuación, compruebe que sus puertos de entrada ya no son funcionales, y que están
cerradas y aseguradas. Confirman que las acciones creadas por una aplicación están desactivados también. Básicamente,
eliminar todas las instancias de la solicitud o, es necesario, volver a la imagen de la computadora si! En lo personal, yo uso una
gran cantidad de programas. Pero con el tiempo, algunos de ellos quedan en el camino y se sustituyen por los programas de
mejores o más nuevos. El mejor procedimiento es comprobar un sistema periódicamente para cualquier programa innecesario. Por
ejemplo, en Windows, podemos mirar la lista de programas instalados, vaya al Panel de control> Programas> Programas y
características, como se muestra en Figura 4-1 . Se puede ver la friolera de 83,4 GB de programas instalados, y el sistema de la
figura es sólo un año de edad.

||||||||||||||||||||
||||||||||||||||||||

Figura 4-1 Programas y características de Windows ventana

Observe en la figura que Camtasia Studio 8 y 9 Camtasia se instalan. Debido a que la versión 8 es una versión más antigua, una
persona podría considerar la eliminación de la misma. Esto se puede hacer haciendo clic derecho en la aplicación y luego
Desinstalar. Sin embargo, debe tener en cuenta de manera inteligente. En este caso, se requiere el programa para la
compatibilidad con versiones anteriores debido a que algunos de los proyectos más antiguos no se puede actualizar a una versión
más reciente del programa. Programas como éste pueden utilizar el valioso espacio en disco duro, así que si no son necesarios,
tiene sentido para eliminarlos para ahorrar espacio en el disco duro. Esto se hace más importante cuando se trabaja con los
departamentos de audio / vídeo que utilizan grandes aplicaciones como Camtasia, o Pro Tools, o Premiere Pro. Las aplicaciones
siempre están luchando por espacio en el disco duro, y se puede poner feo! No solo eso, pero muchas aplicaciones colocan un
pedazo de sí mismos en el área de notificación en Windows. Por lo tanto, una parte del programa se ejecuta realmente detrás de
las escenas usando los recursos de procesador / memoria RAM. Si la aplicación es necesario, a menudo hay maneras de eliminar
desde el área de notificación, o bien, haga clic en él y acceder a sus propiedades, o apagándolo con un programa de
configuración, tales como el Administrador de tareas o Msconfig.

Considere también que una aplicación como esta también podría intentar comunicarse con Internet a

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

descargar actualizaciones, o por otras razones. Esto hace que este problema no es sólo un problema de recursos, sino también
un problema de seguridad, por lo que debe ser eliminado si no se utiliza. Solamente el software se considera necesario se debe
instalar en el futuro.

Ahora, la desinstalación de aplicaciones en algunos ordenadores es factible, pero lo que si usted tiene una red más grande?
Decir, uno con 1.000 ordenadores? No se puede esperar a sí mismo oa sus técnicos informáticos para ir a todos y cada equipo de
forma local y eliminar aplicaciones. Fue entonces cuando los sistemas de gestión de administración centralizada entran en juego.
Ejemplos de estos incluyen Centro Gestor de Configuración del sistema de Microsoft (SCCM), y la variedad de suites de gestión
de dispositivos móviles (MDM) disponibles. Estos programas permiten que un administrador de seguridad para gestionar una gran
cantidad de software, configuraciones y políticas de ordenadores, todo desde la estación de trabajo local.

Por supuesto, todavía puede ser difícil de eliminar todas las aplicaciones superfluos desde todos los ordenadores de los
usuarios finales de la red. Lo que es importante tener en cuenta aquí es que las aplicaciones están en su más peligroso cuando
esté siendo utilizada por una persona. Dado este modo de pensar, se debe considerar el concepto de listas blancas de
aplicaciones y listas negras. listas blancas de aplicaciones, como se menciona en Capítulo 3 , “ Informática de Sistemas de
Seguridad de la Parte II ,”Es cuando se establece una política que permite a sólo ciertas aplicaciones se ejecuten en los equipos
cliente (como Microsoft Word y un navegador web seguro). Cualquier otra solicitud será negada al usuario. Esto funciona bien ya
que elimina cualquier posibilidad (con exclusión de la piratería) de otro programa que se está abierto por un usuario final, pero
puede causar problemas de productividad. Cuando un usuario final realmente necesita otra aplicación, una excepción tendría
que ser hecho a la regla para ese usuario, lo cual lleva tiempo, y, posiblemente, el permiso de la administración. una lista negra
de aplicaciones , por el contrario, es cuando se rechazan las solicitudes individuales. Esto puede ser una solución más útil (y
más eficiente) si sus usuarios finales trabajan con, y con frecuencia agregar, una gran cantidad de aplicaciones. En este
escenario, una aplicación individual (por ejemplo un medios de comunicación social o programa de chat) se desactiva toda la
red. Esto y listas blancas se realiza a menudo a partir de sistemas centralizados de gestión mencionadas anteriormente, y
mediante el uso de las políticas, que se discuten más adelante en este capítulo (y más tarde en el libro).

Eliminación de aplicaciones es una gran manera de reducir la superficie de ataque y aumentar el rendimiento de los
ordenadores. Pero los servicios subyacentes son aún más importantes. Servicios son utilizados por las aplicaciones y el
sistema operativo. Ellos también pueden ser una carga para los recursos del sistema y plantean problemas de seguridad.
Examinar Figura 4-2 y tenga en cuenta el servicio resaltado.

||||||||||||||||||||
||||||||||||||||||||

Figura 4-2 Servicios Ventana de una computadora Windows

El servicio es resaltado servicios de escritorio remoto. Se puede ver en la figura que se está ejecutando actualmente. Si no es
necesario, nos queremos detenerlo y desactivarlo. Para ello, sólo haga clic en el servicio, seleccione Propiedades, haga clic en
el botón Detener, haga clic en Aplicar y cambiar el menú desplegable Tipo de inicio a la opción de movilidad reducida, como se
muestra en Figura 4- 3 .

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Figura 4-3 Servicios de escritorio remoto cuadro de diálogo Propiedades

Esto debe hacerse para todos los servicios innecesarios. Mediante la desactivación de servicios como este, podemos reducir
el riesgo de acceso no autorizado al ordenador y que recortar la cantidad de recursos utilizados. Esto es especialmente
importante en los servidores Windows, porque corren mucho más servicios y son un objetivo más común. Al desactivar los
servicios innecesarios, reducimos el tamaño de la superficie de ataque.

Nota
A pesar de que está en desuso, es posible que vea Windows XP que opera aquí y allá. Un sistema como este
podría tener el funcionamiento del servicio Telnet, que es una grave vulnerabilidad. Normalmente, yo no usaría
Windows XP como ejemplo dada su edad (y el hecho de que Microsoft no va a apoyar más), pero en este caso
debo hacerlo debido a la naturaleza insegura de Telnet y los numerosos sistemas que probablemente continuará
ejecutar Windows XP desde hace algún tiempo, independientemente de la multitud de advertencias. Siempre
recuerde parar y desactivar Telnet si lo ves. A continuación, reemplazarlo con un programa / protocolo de seguridad
como Secure Shell (SSH). Por último, considerar la actualización a un sistema operativo más reciente!

Los servicios se pueden iniciar y detener en el símbolo del sistema de Windows con el red

||||||||||||||||||||
||||||||||||||||||||

comienzo y net stop comandos, así como mediante el uso de la Carolina del Sur mando. Ejemplos de esto se muestran en la Figura
4-4 .

Figura 4-4 Detener y deshabilitar un servicio en el símbolo del sistema de Windows

Nota

Tendrá que ejecutar el símbolo del sistema en modo elevado (como administrador) para
ejecutar estos comandos.

En Figura 4-4 hemos detenido e iniciado el servicio Firewall de Windows (que utiliza el nombre del servicio mpssvc) invocando el
net stop y net start comandos. A continuación, se utilizó la Carolina del Sur comando para detener el mismo servicio con el sc parada mpssvc sintaxis.
Esto demuestra que la interrupción del servicio estaba pendiente, pero como se puede ver desde Figura 4-5 , Que de hecho se
detuvo (y de inmediato, debo añadir). Por último, se utilizó un derivado de la Carolina del Sur comando para deshabilitar el servicio,
de modo que no se iniciará de nuevo cuando el sistema se reinicia. Esta es la sintaxis

sc config MpsSvc start = desactivado

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Figura 4-5 Cuadro de diálogo Propiedades de Firewall de Windows

Tenga en cuenta que hay un espacio después del signo igual, que es necesaria para que el comando funciona
correctamente. Figura 4-5 muestra la representación interfaz gráfica de usuario del servicio de Firewall de Windows.

Se puede ver en la figura que el servicio está desactivado y se detuvo. Este es un buen lugar para averiguar el
nombre de un servicio si no está seguro. O bien, puede utilizar la sc query
mando.

En Linux, puede iniciar, detener y reiniciar los servicios en una variedad de maneras. Debido a que hay muchas variantes de
Linux, cómo llevar a cabo estas acciones varía en las diferentes interfaces gráficas de usuario que están disponibles. Por lo tanto,
en este libro normalmente se pegan con la línea de comandos, que generalmente es la misma en todos los ámbitos. Es probable
que desee para mostrar una lista de los servicios (y su estado) en la primera línea de comandos. Por ejemplo, en Ubuntu puede
hacerlo escribiendo lo siguiente:

Servicio --status-todo

Para obtener una lista de puestos de trabajo novedoso que utiliza su estado, utilice la siguiente sintaxis:

lista initctl

||||||||||||||||||||
||||||||||||||||||||

Nota
En Linux, si no está en el sistema como administrador (e incluso a veces, si usted es), tendrá que escribir sudo antes
de un comando, y estar preparado para introducir una contraseña de administrador. Estar listo para usar sudo a
menudo.

Los servicios se pueden detener en la línea de comandos de Linux en varias formas:

Escribiendo la siguiente sintaxis:

/etc/init.d/ <servicio> detener

donde <servicio> es el nombre del servicio. Por ejemplo, si está ejecutando un servidor web Apache,
debería escribir lo siguiente:
parada /etc/init.d/apache2

Los servicios también se pueden iniciar y reinician mediante la sustitución detener con comienzo o reiniciar.

Escribiendo la siguiente sintaxis en determinadas versiones:

Servicio <service> detener

Algunos servicios requieren un conjunto diferente de la sintaxis. Por ejemplo, Telnet puede desactivarse en Red Hat
escribiendo chkconfig telnet fuera. Compruebe las páginas de manual dentro de la línea de comandos o en línea para su particular
versión de Linux para obtener la sintaxis exacta y todos los comandos anteriores que necesitan ser emitida. O utilizar una
página genérica Linux MAN en línea; por ejemplo: http://linux.die.net/man/1/telnet .

En macOS / OS X Server, los servicios se pueden detener en la línea de comandos mediante la siguiente sintaxis:

sudo parada serveradmin <servicio>

Sin embargo, esto puede no funcionar en MacOS o OS X cliente. Por ejemplo, en 10.9 Mavericks sólo tendría que dejar de
procesos, ya sea mediante el Monitor de Actividad o mediante el uso de la
matar comando en el terminal.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Nota
Terminando el proceso subyacente es a veces necesario en un sistema operativo cuando el servicio no se puede
detener. Para finalizar procesos en Windows, utilice el Administrador de tareas o la
taskkill mando. los taskkill comando se puede utilizar en conjunción con el nombre del ejecutable de la tarea o el
número de identificación de proceso (PID). Números asociados con los procesos se pueden encontrar con el lista
de tareas mando. En Linux, utilice el matar
comando para poner fin a un proceso individual. Para descubrir todos los identificadores de proceso actualmente en
ejecución, utilice la sintaxis ps aux | Menos. ( Ctrl + Z se puede salir de comandos como este si es necesario.) En los
dispositivos móviles, el equivalente sería una fuerza de dejar de fumar.

No olvidemos acerca de los dispositivos móviles. Puede que tenga que forzar la detención o desinstalar completamente
aplicaciones desde Android o iOS. Esté preparado para hacerlo y encerrarlos abajo de un MDM centralizada.

Tabla 4-1 resume las diversas formas de detener los servicios en los sistemas operativos.

Tabla 4-1 Resumen de las maneras de parar Servicios

Sistema
Procedimiento para Detener Servicio
operativo

Utilizar
El acceso de windows el netDel
services.msc cuadro
stop comando
de diálogo
<servicename> Ejecutar. en el símbolo del sistema. Utilizar el sc stop
<servicename> comando en el símbolo del sistema.
Utilice la sintaxis / etc / init.d / <servicename> parar.
Linux Utilice la sintaxis servicio <servicename> parada ( en versiones SELECCIONAR). Utilice la sintaxis chkconfig
<servicename> off ( en versiones SELECCIONAR).

macOS / OS X Utilizar el matar comando para procesos finales. También funciona en Linux. En
Windows, este es el taskkill mando.

Windows Update, parches y revisiones

Para ser considerado seguro, sistemas operativos deben tener el apoyo para la seguridad de varios niveles, y ser capaz de
cumplir con los requisitos del gobierno. Un sistema operativo que cumpla con estos criterios se conoce como una De confianza
del Sistema Operativo (TOS) . Ejemplos de certificados Sistemas operativos Trusted incluyen Windows 7, OS X 10.6, FreeBSD
(con la

||||||||||||||||||||
||||||||||||||||||||

TrustedBSD extensiones), y Red Hat Enterprise Server. Para ser considerado un TDS, el fabricante del sistema debe tener

fuertes políticas relativas a actualizaciones y parches. Incluso sin ser un TOS, sistemas operativos deben actualizarse

periódicamente. Por ejemplo, Microsoft reconoce las deficiencias de un sistema operativo, y las posibles vulnerabilidades que

podrían ocurrir, y libera parches para aumentar el rendimiento del sistema operativo y proteger el sistema. Antes de la

actualización, lo primero que debe hacer es averiguar el número de versión, el número de compilación, y el nivel de parche. Por

ejemplo, en Windows se puede encontrar esta información mediante la apertura de la herramienta Información del sistema

(abrir el símbolo Ejecutar y escriba msinfo32.exe). Se aparece directamente en el Resumen del sistema. También es posible usar el winver

mando. Además, se puede utilizar el información del sistema comando en el símbolo del sistema (un gran recolector de información!) o

simplemente el Ver mando.

Entonces, usted debe comprobar las políticas de su organización para ver qué nivel de un sistema debe ser actualizado a.
También debe comprobar las actualizaciones y parches en los sistemas ubicados en una dedicada, red limpia, las pruebas
antes de ir a vivir con una actualización.

Windows utiliza el programa de actualización de Windows para administrar las actualizaciones al sistema. Versiones anteriores a

Windows 10 incluyen esta característica en el Panel de control. También se puede acceder escribiendo wuapp.exe en el cuadro de

diálogo Ejecutar. En Windows 10 que se encuentra en la sección Configuración, o se puede abrir mediante la tipificación ms-settings:

windowsupdate en el cuadro de diálogo Ejecutar. Las actualizaciones se dividen en diferentes categorías:

Actualización de seguridad: Correcciones de amplia distribución para una vulnerabilidad relacionada con la seguridad
específica del producto. Las vulnerabilidades de seguridad se clasifican en función de su gravedad, lo que se indica en el
boletín de seguridad de Microsoft como crítica, importante, moderada o baja.

Actualización crítica: Correcciones de amplia distribución para un problema específico frente a un error crítico, no
relacionada con la seguridad.

Paquete de servicio: A tested, cumulative set of hotfixes, security updates, critical updates, and updates, as
well as additional fixes for problems found internally since the release of the product. Service packs might
also contain a limited number of customer-requested design changes or features. Note that Windows 7 and
Windows Server 2008 R2 are the last of the Microsoft operating systems to use service packs. If possible,
the testing of service packs should be done offline (with physical media). Disconnect the computer from the
network by disabling the network adapter before initiating the SP upgrade.

Windows update: Recommended update to fix a noncritical problem certain users might encounter; also
adds features and updates to features bundled into Windows.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

Driver update: Updated device driver for installed hardware. It’s important to verify that any drivers installed
will be compatible with a system. A security administrator should be aware of the potential to modify drivers
through the use of driver shimming (the adding of a small library that intercepts API calls) and driver
refactoring (the restructuring of driver code). By default, shims are not supposed to be used to resolve
compatibility issues with device drivers, but it’s impossible to foresee the types of malicious code that may
present itself in the future. So, a security administrator should be careful when updating drivers by making
sure that the drivers are signed properly and first testing them on a closed system. There are various options
for the installation of Windows updates, including automatic install, defer updates to a future date, download
with option to install, manual check for updates, and never check for updates. The types available to you will
differ depending on the version of Windows. Automatic install is usually frowned upon by businesses,
especially in the enterprise. Generally, you as the administrator want to specify what is updated, when it is
updated, and to which computers it is updated. This eliminates problems such as patch level mismatch and
network usage issues. In some cases, your organization might opt to turn off Windows Update altogether.
Depending on your version of Windows, this may or may not be possible within the Windows Update
program. However, your organization might go a step further and specify that the Windows Update service be
stopped and disabled, thereby disabling updates. This can be done in the Services console window (Run >
services.msc) or from the Command Prompt with one of the methods discussed earlier in the chapter— the
service name for Windows Update is wuauserv.

Patches and Hotfixes

The best place to obtain patches and hotfixes is from the manufacturer’s website. The terms patches and
hotfixes are often used interchangeably. Windows updates are made up of hotfixes. Originally, a hotfix was
defined as a single problem-fixing patch to an individual OS or application installed live while the system was
up and running and without needing a reboot. However, this term has changed over time and varies from
vendor to vendor. (Vendors may even use both terms to describe the same thing.) For example, if you run the systeminfo
command in the Command Prompt of a Windows computer, you see a list of hotfixes similar to Figure 4-6 .
They can be identified with the letters KB followed by seven numbers. Hotfixes can be single patches to
individual applications, or might affect the entire system.

||||||||||||||||||||
||||||||||||||||||||

Figure 4-6 Running the systeminfo Command in Windows

On the other side of the spectrum, a gaming company might define hotfixes as a “hot” change to the server with no
downtime, and no client download is necessary. The organization releases these if they are critical, instead of waiting for a
full patch version. The gaming world commonly uses the terms patch version, point release, or maintenance release to
describe a group of file updates to a particular gaming version. For example, a game might start at version 1 and later
release an update known as 1.17. The .17 is the point release. (This could be any number, depending on the amount of
code rewrites.) Later, the game might release 1.32, in which .32 is the point release, again otherwise referred to as the
patch version. This is common with other programs as well. For example, the aforementioned Camtasia program that is
running on the computer shown in Figure 4-1 es la versión 9.0.4. El segundo punto (0,4) representa muy pequeños
cambios en el programa, mientras que una versión del parche 9.1 llamada sería un cambio mayor, y 10.0 sería una
versión completamente nueva del software. Este concepto también se aplica a las aplicaciones y los foros de blogs
(también conocidos como los tablones de anuncios). A medida que se descubren nuevas amenazas (y son muy comunes
en el mundo de los blogs), las nuevas versiones de parches son liberados. Ellos deben ser descargados por el
administrador, probados e instalados sin demora. Administradores deben mantenerse en contacto con sus fabricantes de
software, ya sea a través del teléfono o correo electrónico, o por frecuentar sus páginas web. Esto mantiene el admin “en
el saber” cuando se trata de las últimas actualizaciones. Y esto se aplica a los sistemas operativos de servidor y cliente,
servidor complementos tales como Microsoft Exchange o SQL Server, los programas de Office, navegadores web, y la
plétora de programas de terceros que una organización podría utilizar. Su trabajo acaba de recibir un poco más
concurrido!

Por supuesto, somos generalmente no se preocupa con la actualización de juegos en el mundo laboral; ellos

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

debe ser retirado de un ordenador si se encuentran (a menos que tal vez usted trabaja para una compañía de juegos). Pero
el software multimedia, como Camtasia es frecuente en algunas empresas, y el software basado en la web, tales como
sistemas de tablón de anuncios también son comunes y susceptibles al ataque.

parches en general, llevar a la connotación de un pequeño arreglo en la mente del usuario o administrador del sistema, por lo que
los parches más grandes se refieren a menudo como actualizaciones de software, paquetes de servicio o algo similar. Sin
embargo, si se le pidió que arreglar un problema de seguridad en un equipo único, un parche podría ser la solución que usted
quiere. Por ejemplo, hay varios troyanos que atacan a las versiones anteriores de Microsoft Office para Mac. Para contrarrestar
esto, Microsoft lanzó un parche específico para aquellas versiones de Office para Mac que no permite el acceso remoto por los
troyanos.

Before installing an individual patch, you should determine if it perhaps was already installed as part of a group
update. For example, you might read that a particular version of macOS or OS X had a patch released for
iTunes, and being an enthusiastic iTunes user, you might consider installing the patch. But you should first find
out the version of the OS you are running—it might already include the patch. To find this information, simply
click the Apple menu and then click About This Mac.

Remember: All systems need to be patched at some point. It doesn’t matter if they are Windows, Mac,
Linux, Unix, Android, iOS, hardware appliances, kiosks, automotive computers…need I go on?

Desafortunadamente, a veces los parches están diseñados mal, y aunque podrían solucionar un problema, podrían
posiblemente crear otro, que es una forma de regresión de software. Porque nunca se sabe exactamente lo que un
parche a un sistema podría hacer, o cómo debe reaccionar o interactuar con otros sistemas, es conveniente incorporar
la gestión de parches.

Patch Management
No es aconsejable ir corriendo por la red de ordenadores actualizar al azar, no quiere decir que usted hacerlo! Parches,
como cualquier otro proceso, deben ser gestionados adecuadamente.
La gestión de parches es la planificación, prueba, implementación y auditoría de los parches. Ahora, estos cuatro pasos son los
que utilizo; otras empresas podrían tener una estrategia de gestión de parches ligeramente diferente, pero cada uno de los cuatro
conceptos deben ser incluidos:

Planificación: Before actually doing anything, a plan should be set into motion. The first thing that needs to
be decided is whether the patch is necessary and whether it is compatible with other systems. Microsoft
Baseline Security Analyzer (MBSA) is

||||||||||||||||||||
||||||||||||||||||||

one example of a program that can identify security misconfigurations on the computers in your network,
letting you know whether patching is needed. If the patch is deemed necessary, the plan should consist of
a way to test the patch in a “clean” network on clean systems, how and when the patch will be
implemented, and how the patch will be checked after it is installed.

Testing: Antes de automatizar el despliegue de un parche entre un millar de ordenadores, que tiene sentido para
probarlo en un solo sistema o pequeño grupo de sistemas en primer lugar. Estos sistemas deben ser reservados para
probar únicamente fines y no deben ser utilizados por “civiles” o usuarios regulares de la red. Lo sé, esto es pedir
mucho, sobre todo teniendo en cuenta la cantidad de recursos que algunas empresas tienen. Pero cuanto más se puede
empujar por lo menos un sistema de prueba que no es una parte de la red principal, menos será la culpa si se produce
un fallo!

Implementar: Si la prueba es satisfactoria, el parche debe ser desplegado a todos los sistemas necesarios. En muchos casos
esto se hace por la noche o durante el fin de semana para los cambios más grandes. Los parches se pueden implementar de
forma automática utilizando software como SCCM y de gestión de parches de terceros herramientas de Microsoft.

Revisión de cuentas: Cuando la aplicación se ha completado, los sistemas (o al menos una muestra de sistemas) deben ser
auditados; En primer lugar, para asegurarse de que el parche se ha afianzado correctamente, y en segundo lugar, para
comprobar si hay algún cambio o fallos debidos al parche. SCCM y herramientas de terceros pueden ser utilizados en esta
tarea.

Nota
El concepto de administración de parches, en combinación con otras técnicas de endurecimiento aplicación /
OS, se refiere colectivamente como gestión de la configuración.

También existen programas y servicios basados ​en Linux y Mac basados ​desarrollado para ayudar a administrar los parches y la
auditoría de los parches. Red Hat tiene servicios para ayudar a los administradores de sistemas con todos los RPM que necesitan
para descargar e instalar, que pueden convertirse en una montaña de trabajo de forma rápida! Y para aquellas personas que
ejecutan Linux GPL, hay servicios de terceros también. Una red con una gran cantidad de dispositivos móviles se beneficia
enormemente de la utilización de una plataforma MDM. Pero incluso con todas estas herramientas a disposición de una
organización, a veces, la gestión de parches es simplemente demasiado para una sola persona, o para todo un departamento de
TI, y una organización puede optar por contrato que funcionó.

Las directivas de grupo, Plantillas de seguridad, y las líneas de base de configuración

Although they are important tasks, removing applications, disabling services, patching, hotfixing, and
installing service packs are not the only ways to harden an operating system. Administrative privileges
should be used sparingly, and policies should be in

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

place to enforce your organization’s rules. A Group Policy is used in Microsoft and other computing
environments to govern user and computer accounts through a set of rules. Built-in or
administrator-designed security templates can be applied to these to configure many rules at one
time—creating a “secure configuration." Afterward, configuration baselines should be initiated to measure
server and network activity. To access the Group Policy in Windows, go to the Run prompt and type gpedit.msc.

This should display the Local Group Policy Editor console window. Figure 4-7 muestra un ejemplo típico de esto en
un cliente de Windows.

Figura 4-7 Editor de directiva de grupo local en Windows

Aunque hay muchos cambios de configuración que puede hacer, esta cifra se centra en la configuración de seguridad de la
computadora que se puede acceder mediante la navegación a Directiva de equipo local> Configuración> Configuración de
Windows ordenador> Configuración de seguridad. Desde aquí se pueden realizar cambios en las políticas de contraseñas (por
ejemplo, cuánto tiempo dura una contraseña antes de tener que ser cambiado), tener en cuenta las directivas de bloqueo, las
políticas de clave pública, y por lo tanto

||||||||||||||||||||
||||||||||||||||||||

en. Hablamos de estos diferentes tipos de políticas y la mejor manera de aplicarlas en futuros capítulos. El Editor de directivas de

grupo en Figura 4-7 que se conoce como el Editor de directivas de grupo local y sólo gobierna ese particular máquina y los

usuarios locales de esa máquina. Se trata de una versión básica del Editor de directivas de grupo utilizada por los controladores

de dominio de Windows Server que tienen Active Directory cargado. También es de aquí que se puede añadir plantillas de

seguridad también. Las plantillas de seguridad son grupos de políticas que se pueden cargar en un solo procedimiento; que se

utilizan comúnmente en entornos corporativos. plantillas de seguridad diferentes tienen diferentes niveles de seguridad. Estos

pueden ser instaladas por la configuración de seguridad clic derecho y seleccionando Importar directiva. Esto nos lleva a la

política de importación Desde la ventana. Esta técnica de añadir una plantilla de directiva se vuelve mucho más importante en los

ordenadores de Windows Server. Figura 4-8

muestra un ejemplo de la política de importación de la ventana en Windows Server.

Figura 4-8 Ventanas Directiva de importación de servidor desde la ventana

Hay tres principales plantillas de seguridad de Windows Server: defltbase.inf (poco común), defltsv.inf (utilizado en los

servidores regulares), y DefltDC.inf (utilizado en los controladores de dominio). Por defecto, estas plantillas se almacenan

en% SystemRoot% \ inf (entre muchos otros archivos .inf). Seleccione la directiva que desea y haga clic en Abrir. Que

establece la política en el servidor.

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

En realidad muchas de las políticas que se escriben en muchos lugares de toda la ventana Directiva de seguridad local. A
menudo, estas plantillas de políticas se aplican a las unidades organizativas en un controlador de dominio. Sin embargo, pueden
ser utilizados para otros tipos de sistemas y políticas también.

Nota
Policies are imported in the same manner in Server 2003, but the names are different. For example,
the file securedc.inf is an information file filled with policy configurations more secure than the default
you would find in a Windows Server 2003 domain controller that runs Active Directory. And hisecdc.inf
is even more secure, perhaps too secure and limiting for some organizations. Server Templates for
Server 2003 are generally stored in

%systemroot%\Security\templates. I normally don’t cover Server 2003 because it is not supported

by Microsoft any longer, but you just might see it in the field!

In Windows Server you can modify policies, and add templates, directly from Server Manager > Security
Configuration Wizard as well. If you save templates here, they are saved as .xml files instead of .inf files.

Directivas de grupo están cargados de diferentes objetos de directiva de grupo (GPO). Mediante la configuración ya que muchos
de estos GPO como sea posible, implementar Refuerzo del sistema operativo, en última instancia, establecer la seguridad
basado en host para estaciones de trabajo de su organización.

baselining is the process of measuring changes in networking, hardware, software, and so on. Creating a
baseline consists of selecting something to measure and measuring it consistently for a period of time. For
example, I might want to know what the average hourly data transfer is to and from a server. There are many
ways to measure this, but I could possibly use a protocol analyzer to find out how many packets cross through
the server’s network adapter. This could be run for 1 hour (during business hours, of course) every day for 2
weeks. Selecting different hours for each day would add more randomness to the final results. By averaging
the results together, we get a baseline. Then we can compare future measurements of the server to the
baseline. This can help us to define what the standard load of our server is and the requirements our server
needs on a consistent basis. It can also help when installing additional computers on the network. The term
baselining is most often used to refer to monitoring network performance, but it actually can be used to
describe just about any type of performance monitoring. Baselining and benchmarking are extremely important
when testing equipment and when monitoring already installed devices.

Cualquier desviación de la línea de base debe ser investigada de inmediato. En la mayoría de las organizaciones, existen las
líneas de base. El problema es que no son auditados y analizados con suficiente frecuencia por los administradores de seguridad,
provocando desviaciones que pasan desapercibidos hasta que es demasiado tarde. baselining

||||||||||||||||||||
||||||||||||||||||||

se vuelve aún más importante cuando se trata de un sistema operativo en tiempo real (RTOS). Estos sistemas requieren cerca
de 100% el tiempo de actividad y la respuesta de la velocidad del rayo con latencia cero. Asegúrese de controlar estas
cuidadosamente y con frecuencia. Discutimos línea de base más en capítulo 13 , “ Monitoreo y Auditoría ".

El endurecimiento de sistemas de archivos y discos duros

¿Quieres más? Prometo más. El resto del libro se refiere constantemente al más avanzado y en profundidad la manera de
endurecer un sistema informático. Sin embargo, para este capítulo, vamos a concluir esta sección, dando algunos consejos
sobre el endurecimiento un disco duro y el sistema de archivos que contiene.

En primer lugar, el sistema de archivos utilizado dicta un cierto nivel de seguridad. En los equipos de Microsoft, la mejor opción
es utilizar NTFS, que es más seguro, se habilita el registro (oh tan importante), es compatible con el cifrado, y tiene soporte para
un tamaño máximo de la partición mucho más grande y archivos de mayor tamaño. Casi el único lugar donde FAT32 y NTFS
están en igualdad de condiciones es que apoyan la misma cantidad de formatos de archivo. Así, por el momento, NTFS es la
mejor opción. Si utiliza un volumen FAT o FAT32, se puede convertir a NTFS utilizando el siguiente comando:

convertir el volumen / FS: NTFS

Por ejemplo, si quiero convertir una unidad flash USB llamado M: a NTFS, la sintaxis sería

convertir M: / FS: NTFS

Hay opciones adicionales para la convertir mando. Para ver esto, simplemente escriba
convertir /? en el símbolo del sistema. NTFS permite a los permisos de seguridad y realiza un seguimiento a nivel de archivos dentro
de las listas de control de acceso (ACL), que son una necesidad en el entorno actual. La mayoría de los sistemas de hoy en día
ya utilizan NTFS, pero nunca se sabe acerca de los medios extraíbles destello basada y otra. Un rápido chkdsk comando en el
símbolo del sistema o haciendo clic derecho en la unidad en la interfaz gráfica de usuario y seleccionando Propiedades le puede
decir qué tipo de sistema de archivos que se ejecuta.

En general, el mejor sistema de archivos para sistemas Linux es ext4. Permite la mejor y más configurable de seguridad.
Para averiguar el sistema de archivos que utiliza la versión de Linux, utilice el
fdisk -l comando o df -T mando.

archivos y carpetas por defecto del sistema están ocultos a la vista para proteger un sistema Windows, pero nunca se sabe. Para
configurar el sistema de forma permanente para no mostrar archivos y carpetas ocultos, acceder al cuadro de diálogo Explorador
de archivos (o carpetas) Opciones. A continuación, seleccione la pestaña Ver y, en Archivos y carpetas ocultos, seleccione No
mostrar archivos ocultos, carpetas, o el botón de radio unidades. Para configurar el sistema para ocultar archivos protegidos del
sistema,

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

seleccionar la casilla de verificación Ocultar archivos protegidos del sistema operativo, que se encuentra debajo del botón de
radio se ha mencionado anteriormente. Esto desactiva la posibilidad de ver este tipo de archivos y carpetas como Bootmgr y
pagefile.sys. También podría ser necesario para asegurar un sistema apagando el intercambio de archivos, que en la mayoría
de las versiones de Windows que se puede hacer en el Centro de redes y recursos compartidos.

En el pasado, he hecho una declaración contundente: “Los discos duros se producirá un error." Pero es muy cierto No es una
cuestión de si, es una cuestión de cuándo Al mantener y endurecer el disco duro con varias utilidades de disco duro,.. intentamos
evitar aquel oscuro día el mayor tiempo posible puede implementar varias estrategias cuando el mantenimiento y el
endurecimiento de un disco duro.:

Eliminar archivos temporales: Los archivos temporales y archivos más grandes pueden llegar a tapar un disco duro,
provocar una disminución del rendimiento, y representan una amenaza a la seguridad. Se recomienda el uso de la limpieza
del disco o un programa similar. Las políticas pueden ser configurados (o escritas) para ejecutar la limpieza del disco todos
los días o al cerrar la sesión de todos los equipos de la red.

Compruebe periódicamente los archivos del sistema: De vez en cuando, es una buena idea para comprobar la integridad
de los archivos del sistema operativo. Una verificación de la integridad del archivo se puede realizar de las siguientes
maneras:

- Con el chkdsk de comandos de Windows. Este examina el disco y proporciona un informe. También puede
corregir algunos errores con el / F opción.

- Con el SFC ( comando de archivos de sistema se) en Windows. Esta utilidad controles y, en los archivos del sistema, si es
necesario, sustituye protegidas. Se puede utilizar para solucionar problemas en el sistema operativo, y en otras
aplicaciones como Internet Explorer. Un comando típico podría escribir es SFC / scannow. Utilice esta opción si chkdsk No es
éxito en hacer las reparaciones.

- Con el fsck de comandos en Linux. Este comando se utiliza para comprobar y reparar un sistema de
archivos de Linux. El resumen de la sintaxis es fsck [ -sAVRTNP] [ -C [fd]] [ -t FsType] [filesys ...] [-] [ fs-específicas-options].
Más información sobre este comando se puede encontrar en la página correspondiente para MAN

fsck. Un derivado, e2fsck, se utiliza para comprobar un ext2fs Linux (segundo sistema de archivos extendido). Además, las
herramientas de integridad de datos de código abierto se pueden descargar para Linux como Tripwire.

Desfragmentar unidades: Aplicaciones y archivos en los discos duros se fragmentan con el tiempo. Para un servidor, esto
podría ser un desastre, porque el servidor no puede atender las solicitudes de manera oportuna si la unidad se fragmenta
demasiado a fondo. La desfragmentación de la unidad se puede hacer con el Desfragmentador de disco de Microsoft, con la
línea de comandos desfragmentación

||||||||||||||||||||
||||||||||||||||||||

de comandos, o con otros programas de terceros.

Los datos de copia de seguridad: Backing up data is critical for a company. It is not enough to rely on a
fault-tolerant array. Individual files or the entire system can be backed up to another set of hard drives, to
optical discs, to tape, or to the cloud. Microsoft domain controllers’ Active Directory databases are particularly
susceptible to attack; the System State for these operating systems should be backed up, in case that the
server fails and the Active Directory needs to be recovered in the future.

Use restoration techniques: En Windows, los puntos de restauración se deben crear de forma regular para servidores y
estaciones de trabajo. La utilidad Restaurar sistema (rstrui.exe) puede corregir los problemas causados ​por el hardware o
software defectuoso por volver de nuevo a un estado anterior. cambios en el registro realizado por hardware o software se
invierten en un intento de forzar al equipo a trabajar de la manera que lo hizo anteriormente. Los puntos de restauración se
pueden crear de forma manual y también se crean automáticamente por el sistema operativo antes de nuevas aplicaciones,
paquetes de servicio o hardware están instalados. MacOS y OS X utilizan la utilidad máquina del tiempo, que funciona de
una manera similar. Aunque no existe una herramienta similar en Linux, un usuario puede realizar una copia de seguridad
del directorio ~ / home en una partición separada. Cuando estos contenidos se descomprimen a una nueva instalación, la
mayor parte del sistema Linux y la configuración habrá sido restaurada. Otra opción, en general, es el uso de software de
imagen (clonación). Recuerde que estas técnicas no necesariamente una copia de seguridad de datos, y que los datos
deben ser tratados como una entidad separada que debe ser respaldado con regularidad.

Considere el cifrado de disco completo: Por último, el cifrado de disco completo se puede utilizar para asegurar el
contenido de la unidad, haciendo más difícil para los atacantes para obtener e interpretar su contenido.

Una recomendación que doy a todos mis estudiantes y lectores es separar el sistema operativo a partir de los datos físicamente.
Si usted puede tener cada uno en un disco duro independiente, puede hacer las cosas un poco más fáciles si acaso el sistema
operativo está infectado con malware (o no falla). El disco duro que habita OS pueden ser eliminados por completo y volver a
instalar sin preocuparse por la pérdida de datos y aplicaciones siempre se pueden recargar. Por supuesto, los ajustes deben ser
respaldados (o almacenan en la segunda unidad). Si una segunda unidad no está disponible, puede ser conveniente configurar
el disco duro como dos particiones, una para el sistema operativo (o sistema) y otra para los datos. Al hacer esto, y mantener un
equipo en buen estado, que se están endureciendo efectivamente el sistema operativo.

Mantener un equipo bien mantenido

Technet24.ir
||||||||||||||||||||
||||||||||||||||||||

This is an excerpt of an article I wrote that I give to all my customers and students. By maintaining the
workstation or server, you are hardening it as well. I break it down into six steps (and one optional
step):

Step 1. Use a surge protector or UPS: Make sure the computer and other
equipment connect to a surge protector, or better yet a UPS if you are concerned about
power loss.

Step 2. Update the BIOS and/or UEFI: Flashing the BIOS isn’t always
necessary; check the manufacturer’s website for your motherboard to see if an update is
needed.

Step 3. Update the OS: For Windows, this includes any combination hotfixes
(and possibly SPs) and any Windows Updates beyond that, and setting Windows to alert if
there are any new updates. For Linux and macOS/OS
X, it means simply updating the system to the latest version and installing individual patches
as necessary.

Step 4. Update anti-malware: This includes making sure that there is a current
license for the anti-malware (antivirus and anti-spyware) and verifying that updates are turned
on and the software is regularly scanning the system.

Step 5. Update the firewall: Be sure to have some kind of firewall installed and
enabled; then update it. If it is Windows Firewall, updates should happen automatically
through Windows Update. However, if you have a SOHO router with a built-in firewall, or other
firewall device, you need to update the device’s ROM by downloading the latest image from
the manufacturer’s website.

Step 6. Maintain the disks: This means running a disk cleanup program regularly
y la comprobación para ver si el disco duro necesario desfragmentar el disco de una vez por semana a una vez
al mes, dependiendo de la cantidad de uso. También significa crear puntos de restauración, hacer copias de
seguridad de computadoras, o el uso de copia de seguridad de terceros o software de imagen de unidad.

Paso 7. (Opcional) Crear una imagen del sistema: Después de todo su

configurations and hardening of the OS are complete, you might consider creating an image of
the system. Imaging the system is like taking a snapshot of the entire system partition. That
information is saved as one large file, or a set of compressed files that can be saved anywhere.
It’s kind of like system restore but at another level. The beauty of this is that you can reinstall
the entire image if your system fails or is compromised, quickly and efficiently, with very little
configuration necessary—only the latest security and AV updates since the image was created
need be applied. Of course, most imaging software has a price tag involved, but it can be well

||||||||||||||||||||
||||||||||||||||||||

worth it if you are concerned about the time it would take to get your system back up and running
in the event of a failure. This is the basis for standardized images in many organizations. By
applying mandated security configurations, updates, and so on, and then taking an image of the
system, you can create a snapshot in time that you can easily revert to if necessary, while being
confident that a certain level of security is already embedded into the image.

Note
To clean out a system regularly, consider re-imaging it, or if a mobile device, resetting it. This takes
care of any pesky malware by deleting everything and reinstalling to the point in time of the image,
or to factory condition. While you will have to do some reconfigurations, the system will also run
much faster because it has been completely cleaned out.

Virtualization Technology
Vamos a definir la virtualización. virtualización es la creación de una entidad virtual, en oposición a una entidad verdadera o
real. El tipo más común de la entidad creada mediante la virtualización es la máquina virtual de la vivienda por lo general un
sistema operativo. En esta sección se discuten tipos de virtualización, identificamos sus propósitos, y definimos algunas de las
diversas aplicaciones virtuales.

Tipos de virtualización y sus propósitos

Existen muchos tipos de virtualización, desde la red y el almacenamiento de hardware y software. El examen
CompTIA Security + se centra principalmente en software de máquina virtual. los máquinas virtuales (VM) created
by this software run operating systems or individual applications. The virtual operating system—also known as a
guest or a virtual desktop environment (VDE)—is designed to run inside a real OS. So, the beauty behind this is
that you can run multiple various operating systems simultaneously from just one PC. This has great advantages
for programmers, developers, and systems administrators, and can facilitate a great testing environment.
Security researchers in particular utilize virtual machines so they can execute and test malware without risk to an
actual OS and the hardware it resides on. Nowadays, many VMs are also used in live production environments.
Plus, an entire OS can be dropped onto a DVD or even a flash drive and transported where you want to go.

Por supuesto, hay algunas desventajas. Procesador y los recursos de memoria RAM y espacio en disco duro son devorados por
las máquinas virtuales. Y la compatibilidad de hardware puede plantear algunos problemas

Technet24.ir
||||||||||||||||||||