manual hardening para equipos cÓdigo: y servidores …

MANUAL HARDENING PARA EQUIPOS

Y SERVIDORES WINDOWS

MACROPROCESO TECNOLOGÍA Y SISTEMAS DE INFORMACIÓN

SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN

CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019

ELABORO/MODIFICO REVISÓ APROBÓ

Nombre: Carlos Gonzalez Torres Cargo: Ing. de Seguridad Inf. Fecha: Julio de 2019

Rafael Laverde Angarita / Manuel Ovalle Ariza Dir. Nal. Operaciones y Tecnología / Prof. PyC. Julio de 2019

Rafael Alberto Laverde Angarita Dir. Nal de Operaciones y Tecnología Julio de 2019

Página 1 de 22

OBJETIVO Definir configuraciones y protocolos seguros a aplicar en servidores Windows donde se alojan los sistemas de información de Capital Salud EPS-S.

ALCANCE

El alcance de este instructivo aplica para todos y cada uno de los servidores de

Capital Salud EPS-S desde el momento de su creación y activación hasta su

desactivación y posterior eliminación.

DEFINICIONES

No

.

TÉRMINO DEFINICIÓN

1 Hardening

Hardening o endurecimiento es el proceso de asegurar un sistema

reduciendo sus vulnerabilidades o agujeros de seguridad, para los

que se está más propenso cuantas más funciones desempeña; en

principio un sistema con una única función es más seguro que uno

con muchos propósitos.

CONDICIONES GENERALES

1. Principios genérales

A la hora de instalar, configurar y administrar un servidor, se debe:

• Cifrar todos los datos que se transmiten a través de la red, son particularmente

importante los datos relativos a nombres de usuario y contraseñas.

• Minimizar la cantidad de programas y servicios instalados y en ejecución para minimizar

el riesgo potencial ante vulnerabilidades.

• Utilizar medidas de seguridad adicionales, como: antivirus, cortafuegos a nivel de host o

antimalware.

• Auditar los elementos críticos y/o de mayor riesgo de cada servidor.

• Minimizar la instalación de varios servicios en un mismo servidor, para reducir el riesgo

de que un servicio comprometido afecte a otros servicios.

• Realizar un buen seguimiento de las cuentas de usuario, seguir una política de

contraseñas sólida y forzar su uso, así como eliminar las cuentas de usuarios innecesarias

o que ya no se utilicen.

• Revisar los logs de sistema y de aplicación de manera rutinaria. Enviar los logs a un

servidor de logs.

• Minimizar el uso de usuarios locales.

• Utilizar la metodología del menor privilegio en todos los ámbitos.





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 2 de 22

1. Instalación básica

1.1. Entorno de instalación seguro

Hay que instalar el SO desde DVD sin que esté conectado a la red hasta que se hayan completado los pasos de esta guía, sin embargo, habrá ocasiones en las que esto no sea posible, en esos casos se debe asegurar que:

Se ha protegido el equipo siguiendo los pasos de esta guía

El servidor debe estar protegido por un cortafuegos (Firewall)

No debe ser accesible desde Internet

Debe tener el mínimo acceso necesario a Internet

Si existe algún servidor comprometido en el mismo segmento de red, no se debe realizar la instalación hasta que se haya solucionado la incidencia o se desconecte de la red el servidor comprometido o el servidor a instalar

Debe tener dos tarjetas de red; una para gestión por consola con perfil de administración, y otra para la red.

1.2. Actualizaciones de Sistema Operativo

Las actualizaciones de Windows contienen mejoras y solucionan problemas de productividad, seguridad, fallos de programación, etc. En algunos casos incluyen componentes y características adicionales para el sistema operativo.

1.2.1. Método de instalación de las actualizaciones

Windows Update, herramienta que viene incluida con el propio Windows. Nota: Ninguna actualización ni parche para el sistema operativo deberá ser descargado e instalado si no es a través de esta herramienta, o desde la web oficial de Microsoft. Nunca desde otras páginas web.

Es importante aplicar dichos parches para evitar ser víctima de ataques.

1.2.2. Planificación de las actualizaciones

Dado que la aplicación de las actualizaciones suele exigir alto grado de consumo de CPU, memoria y disco, y un posterior reinicio de la máquina, se recomienda definir un horario semanal de aplicación de las actualizaciones. Esta planificación permitirá:

Llevar a cabo una revisión de las actualizaciones determinando si pueden producir incompatibilidades de algún tipo con el software de terceros que se haya instalado.

Mantener el sistema actualizado, reduciendo las vulnerabilidades de seguridad que el sistema operativo pueda presentar.

Reducir el impacto en el servicio.

Simplificar el despliegue de actualizaciones y parches.





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 3 de 22

1.2.3. Configuración de Windows Update

La configuración por defecto de Windows Update es “Instalar actualizaciones automáticamente (recomendado)”. Para cambiar este comportamiento:

Inicio > Panel de control > Windows Update > Cambiar Configuración:

Seleccionar Buscar actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas.

Activar Ofrecerme actualizaciones recomendadas de la misma forma que recibo las actualizaciones importantes.

Activar Ofrecer actualizaciones para otros productos Mircosoft cuando actualice Windows.

Tal como se ha expuesto anteriormente será necesario planificar una revisión e instalación periódica de actualizaciones de la máquina que deberá ser llevada a cabo por el Administrador de la misma.

1.3. Software y servicios

Un principio básico de la Seguridad es presentar la “superficie de ataque” más pequeña posible. Mientras más paquetes de software instalados en un sistema, mayor es la probabilidad de que aparezcan problemas de seguridad en dichos paquetes. Por tanto, debería eliminarse aquel software que sea innecesario para prestar servicio en nuestro sistema. El mismo principio se aplica también a los servicios de red. Se deberían ejecutar únicamente los servicios estrictamente necesarios para la funcionalidad deseada del sistema. Por ejemplo, un servidor que ejecute cálculos científicos con Matlab o Mathematica no debería ejecutar servicios como apache o mysql.

1.3.1. Instalación de aplicaciones imprescindibles del sistema

Se realizará una instalación del sistema base, sin seleccionar ningún grupo de aplicaciones y funciones durante la instalación, e instalar a posteriori las aplicaciones y funciones requeridas. De esta forma evitamos que se instalen programas, librerías o extensiones que no sean necesarias.

Un ejemplo son las siguientes:

Data Access Components (MDAC)

HTML version of the Services Manager

MS index Server





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 4 de 22

Los siguientes servicios deben sustituirse por sus homólogos más seguros:

FTP, SMTP y NNTP

Telnet

ASP.NET si no lo usa ninguna aplicación

WebDAV

1.4. Configuración de las interfaces de red (NIC)

No hay que utilizar el protocolo DHCP para configurar las interfaces de red, todas deben tener una IP estática. Una vez obtenida la dirección IP hay que configurar la interfaz deseada siguiendo estos pasos

1. Abrir

Windows 2003

Panel de control>Conexiones de red

Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red

1. Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y pulsar doble click sobre

Protocolo de Internet Versión 4 (TCP/IPv4)

O

Protocolo de Internet (TCP/IP)

1. En la pestaña General seleccionar la opción Usar la siguiente dirección IP y rellenar los campos: Dirección IP, Máscara de subred y Puerta de enlace predeterminada

2. Seleccionar la opción Usar las siguientes direcciones de servidor DNS y rellenar los campos: Servidor DNS preferido y Servidor DNS alternativo.





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 5 de 22

2. Configuración Segura de Cuentas

2.1. Petición obligatoria de contraseña

Para que Windows no pida la contraseña, es necesario establecerla en blanco, así que nunca se debe establecer una contraseña en blanco, para evitar su uso hay que establecer una longitud mínima de contraseña.

2.1.1. Establecer una longitud mínima de contraseña

Establecer la longitud mínima de contraseña a 10 caracteres desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directiva de contraseñas>Longitud mínima de contraseñas

Windows 2008: CCE-2240-0, Windows 2003: CCE-3424-9

2.1.2. Impedir el uso de contraseñas en blanco en las conexiones remotas

Hay que habilitar la opción que limita el uso de contraseñas en blanco a usuarios que hayan iniciado sesión por consola impidiendo, de esta manera, el uso de contraseñas en blanco en conexiones remotas. Para habilitar esta opción ir a

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Directivas de seguridad>Cuentas: Limitar el uso de cuentas locales con contraseña en blanco solo para iniciar sesión en la consola


2.2. Control de Usuarios Creados durante la Instalación

2.2.1. Crear una cuenta con privilegios de administración

Antes de renombrar y desactivar la cuenta de Administrador hay que crear una nueva, el usuario corporativo de explotación es soporte así que hay que crearlo siguiendo estos pasos:

Windows server 2003

Pulsar el botón derecho sobre

Panel de control>Herramientas administrativas>Administrador del servidor>Herramientas del sistema>Usuarios y grupos locales>Usuarios

Y seleccionar la opción Usuario nuevo…, introducir soporte como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 6 de 22

sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios y añadir el grupo Administradores

Windows server 2008

Pulsar el botón derecho sobre

Panel de control>Herramientas administrativas>Administrador del servidor>Configuración >Usuarios y grupos locales>Usuarios

Y seleccionar la opción Usuario nuevo…, introducir soporte como nombre de usuario, establecer una contraseña y finalizar. Ahora hay que agregarlo al grupo Administradores, hacer doble click sobre el nuevo usuario y en la pestaña Miembro de quitar el grupo Usuarios y añadir el grupo Administradores.

2.2.2. Deshabilitar la cuenta del usuario Administrador

Hay que deshabilitar el usuario Administrador creado durante la instalación. Para ello establecer a Deshabilitada la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: Estado de la cuenta de administrador


2.2.3. Deshabilitar la cuenta de Invitado

La cuenta de invitado debe estar deshabilitada, en la familia server viene desactivada por defecto, pero hay que asegurarse de que esté deshabilitada la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local >Configuración de seguridad>Directivas locales>Opciones de seguridad>Cuentas: estado de la cuenta de invitado


2.3. Asegurar la Robustez de las Contraseñas

Hay que asegurar que se cumplen los requisitos de la política de contraseñas de la organización a fin de que se asegure la dificultad o imposibilidad de:

Predicción de contraseñas

Ataques de diccionario

Ataques de fuerza bruta





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 7 de 22

Si el servidor no forma parte de un directorio activo, Las opciones de contraseña se establecen en

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas de cuenta>Directivas de contraseña

2.4. Asignación de Derechos de Usuarios

Los privilegios de los que dispone un usuario en el sistema se deben limitar de manera estricta, teniendo en mente la filosofía de otorgar el menor privilegio.

Se debe tener en cuenta, que permisos asignados a grupos, les puede elevar o disminuir el nivel de privilegios.

3. Control de acceso a la red

Como norma general se deberán:

Minimizar los protocolos utilizados

Minimizar las direcciones de red a las que escucha el servidor

Minimizar los puertos en los que escucha el servidor

3.1. Protección de NETBIOS y SMB

En aquellas máquinas en las que por los servicios que ofrecen no sea necesario, o cuando esté bien implantada una infraestructura de DNS o AD, se desactivará NETBIOS. Teóricamente Este paso no debería acarrear problemas, aun así en algunas situaciones puede surgir alguno, así que hay que asegurarse que no afecte a ningún servicio, especialmente en controladores de dominio.

3.1.1. Deshabilitar NETBIOS

Para deshabilitar NETBIOS

1. Abrir

Windows server 2003


Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de red

1. Pulsar el botón derecho sobre la conexión deseada y seleccionar





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 8 de 22

Propiedades>Propiedades de protocolo TCP IPv4 >Opciones avanzadas>WINS

1. Marcar la opción

Deshabilitar NetBios a través de TCP/IP

En el caso de no poder desactivar NETBIOS hay que limitar la respuesta de peticiones NETBIOS a peticiones que provengan del servidor WINS habilitando la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release request except from WINS servers


Si no aparece esta opción hay que instalar el archivo “GPO.MSI”, solicitarlo a seguridad Informatica, una vez instalado hay que pulsar el botón secundario del ratón sobre:

Inicio>Todos los programas>LocalGPO>LocalGPO Command-line

Y seleccionar la opción Ejecutar como administrador, una vez abierta la línea de comandos hay que ejecutar

cscript LocalGPO.wsf /ConfigSCE

Tras realizar estos pasos, vuelve a abrir el editor de políticas y aparecerán las opciones de MSS

3.1.2. Activar la firma de paquetes SMB como cliente

Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Cliente de redes Microsoft: Firmar digitalmente las comunicaciones (si el servidor lo permite)


3.1.3. Activar la firma de paquetes SMB como servidor






CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 9 de 22

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Servidor de red Microsoft: Firmar digitalmente las comunicaciones (si el cliente lo permite)


3.1.4. Impedir la enumeración de recursos compartidos y cuentas SAM por usuarios anónimos


Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de Windows>Directivas locales>Opciones de seguridad>Acceso de red: No permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Windows server 2008: CCE-2340-8, Windows server 2003: CCE-3591-5

Al activar esta opción pueden aparecer algunos de los problemas descritos en: http://support.microsoft.com/kb/823659 y http://support.microsoft.com/kb/318866

3.2. Protección del protocolo ARP

Se debe reducir el tiempo de caducidad por defecto que marca la frecuencia de borrado de las entradas de la tabla ARP. En el caso de Windows Server 2008, realiza por defecto el borrado entre 15 y 45 segundos.

Windows server 2003

Ejecutar

regedit.exe

Y establecer a un valor entre 15 y 45 la clave (ej: 30)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ArpCacheLife

Si no existe la clave hay que crearla de tipo REG_DWORD

3.3. Apagado de la máquina

Se debe deshabilitar la opción que permite apagar el sistema sin iniciar sesión, deshabilitando la opción

http://support.microsoft.com/kb/823659

http://support.microsoft.com/kb/318866





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 10 de 22

Panel de control>Herramientas administrativas>Directiva de seguridad local>Configuración de seguridad>Directivas locales>Opciones de seguridad>Apagado: Permitir apagar el sistema sin tener que iniciar sesión


3.4. Acceso Remoto a través de RDP

Al activar el acceso remoto a través de RDP hay que aplicar las siguientes medidas de seguridad.

3.4.1. Forzar la petición de contraseña durante el inicio de sesión

Mediante esta opción forzamos a que el servidor pida la contraseña, aunque el usuario la tenga memorizada en el cliente, así se impide que alguien pueda acceder al servidor accediendo a un equipo cliente con la contraseña memorizada. Para establecer esta opción ejecutar

gpedit.msc

Y habilitar la opción

Windows server 2003

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad>Solicitar la contraseña siempre al conectar

CCE-3666-5

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Solicitar la contraseña siempre al conectar

CCE-7636-4

3.4.2. Establecer el nivel de cifrado

Se deben cifrar las comunicaciones del protocolo RDP. Ejecutar

gpedit.msc


Windows server 2003





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 11 de 22

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cifrado y Seguridad> Establecer el nivel de cifrado de conexión de cliente

CCE-3812-5

Estableciendo el nivel de cifrado a Nivel alto.

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Terminal Server>Seguridad>Establecer el nivel de cifrado de conexión de cliente

CCE-7667-9

Estableciendo el nivel de cifrado a Nivel alto.

3.4.3. Impedir que se guarden las contraseñas en el cliente

Aunque se establezca en el servidor la opción de que siempre pida la contraseña a los clientes, para evitar que se diseminen credenciales por los equipos de la red hay que indicar al servidor que impida a los clientes guardar las contraseñas. Ejecutar

gpedit.msc


Windows server 2003

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente>No permitir que se guarden las contraseñas

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Terminal services>Cliente de conexión a escritorio remoto>No permitir que se guarden las contraseñas.

3.5. Antivirus

Mantener los archivos del Servidor a salvo de virus usando y manteniendo actualizado el software antivirus.





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 12 de 22

3.6. Desactivar IPv6

El uso de IPv6 todavía no está extendido e introduce vectores de ataque desconocidos así que hay que desactivarlo en todas las interfaces de red del servidor hasta que se requiera su activación.

1. Abrir

Windows 2003


Windows server 2008

Panel de control>Centro de redes y recursos compartidos>Administrar conexiones de Red

1. Pulsar el botón derecho sobre la conexión deseada, seleccionar Propiedades y, si existe, quitar la marca de la opción

Protocolo de Internet Versión 6 (TCP/IPv6)

3.7. Impedir la conversión SID a nombre de usuario y viceversa a usuarios anónimos

Esto impide extraer información sobre las cuentas existentes si se obtiene el SID o el nombre de usuario y dificulta un ataque de fuerza bruta contra las contraseñas. Deshabilitar la opción desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso de red: Permitir traducción SID/nombre anónimo


3.8. Impedir el listado de cuentas SAM por usuarios anónimos

Impide que un usuario anónimo determine fácilmente la lista de usuarios en el sistema. Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Acceso a redes: No permitir enumeraciones anónimas de cuentas SAM


3.9. Establecer el mensaje corporativo de inicio de sesión

Todos los servidores corporativos deberán mostrar el siguiente mensaje cuando un usuario intente iniciar sesión en ellos:





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 13 de 22

"Está intentando acceder a un servidor de información clasificada y restringido únicamente para los administradores de Tecnologia, si requiere acceso debe solicitarlo mediante la herramienta de gestión de casos definida para tal fin".

Para configurarlo copiar el texto en

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Texto del mensaje para los usuarios que intentan iniciar una sesión


También se debe configurar el título del mensaje a Aviso legal mediante la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: Título del mensaje para los usuarios que intentan iniciar una sesión


3.10. Activar el Firewall o cortafuegos

El firewall es una pieza del engranaje de la seguridad que coge cada vez más protagonismo y debe activarse en todos los equipos.

Es necesario activar el cortafuegos desde

Windows server 2003

Panel de control>Firewall de Windows>Excepciones

Y activar la opción Escritorio remoto, para permitir la administración remota del servidor, después ir a la pestaña General y seleccionar la opción Activado

Windows server 2008

Panel de control>Firewall de Windows>Activar o desactivar Firewall de Windows>Activado

3.11. Eliminar el usuario anónimo del FTP

Si existe algún servicio de FTP en el servidor asegúrate de que no se tenga habilitada la cuenta del usuario anónimo. Para comprobarlo sigue estos pasos:

1. Abre una línea de comandos cmd.exe 2. Ejecuta el comando: telnet IP_DEL_SERVIDOR 21





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 14 de 22

3. Introduce el usuario anonymous 4. Introduce cualquier contraseña que contenga una @ en el medio

Si permite iniciar sesión hay que desactivar la cuenta del usuario anónimo

4. Protección de la información

4.1. Eliminar las unidades compartidas con propósitos administrativos

Deshabilitar la funcionalidad de compartir las unidades de disco con propósitos administrativos en aquellas máquinas que se encuentren en entornos críticos o inseguros (como DMZ).

Es necesario editar el registro de Windows para realizar esta tarea, ejecutar

regedit.exe

Y modificar la clave:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer

La clave es de tipo REG_DWORD y hay que establecer su valor a 0. Si la clave no existe hay que crearla.

Windows server 2003

Para finalizar hay que reiniciar el servicio server y sus dependencias ejecutar los comandos

net stop server

net start server

En el caso de existir dependencias también se deberán iniciar

Windows server 2008

Para finalizar hay que reiniciar el servicio srvnet y sus dependencias ejecutar los comandos

net stop srvnet

net start srvnet

En el caso de existir dependencias también se deberán iniciar





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 15 de 22

4.2. Permisos de Carpetas y Ficheros

Seguir la política del mínimo privilegio en los permisos del sistema de archivos. El objetivo es crear un ambiente restrictivo que se pueda ir abriendo selectivamente en función de las necesidades de la máquina.

4.3. Integridad de Archivos y Directorios

Una medida eficaz para detectar cambios es comprobar la integridad de los ficheros de sistema, configuración y Logs.

4.3.1. Comprobar la integridad de archivos y directorios del sistema

Para los archivos del sistema desde la versión de Server 2000, Windows incluye las utilidades SFC (System File Checker) y WFP (Windows File Protection). Mediante SFC se puede comprobar la integridad de archivos que Microsoft considera esenciales y restaurarlos a su versión original, pero este proceso se realiza de forma transparente y en tiempo real mediante la utilidad WFP.

Para desactivar SFC hay que establecer a 2,3 o 4 la clave

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\SFCScan\SFCDisable

Y a 0 para activarlo por lo tanto hay que asegurar que esta clave no exista o esté establecida a 0.

4.3.2. Comprobar la integridad de archivos y directorios que no son del sistema

Para archivos de configuración o que no sean del sistema se puede utilizar la utilidad FCI, que puede descargarse de

http://download.microsoft.com/download/c/f/4/cf454ae0-a4bb-4123-8333-a1b6737712f7/Windows-KB841290-x86-ENU.exe

Una vez instalado hay que abrir una consola, cmd.exe, y ejecutar el comando

fciv -add ruta_del_archivo –sha1 -xml ruta_de_la_bd_en_xml

Donde ruta_del_archivo es la ruta completa de un archivo cuyo checksum queramos agregar a la base de datos en formato XML indicada por el parámetro ruta_de_la_db_en_xml. Se puede agregar un directorio mediante la opción -r, recursivo.

Para comprobar la integridad de los archivos incluidos en la base de datos XML hay que ejecutar el comando:

fciv -v –xml ruta_de_la_bd_en_xml







CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 16 de 22

Una vez definidos sobre qué archivos queremos realizar la base de datos xml y generados los valores de checksum, hay que guardar en un medio de solo lectura o que esté totalmente aislado de la red, el archivo de base de datos xml ruta_de_la_bd_en_xml para evitar que sea modificado por un atacante.

4.4. Activar el Filtro de Ejecución de Aplicaciones Maliciosas

Se debe activar el filtro de ejecución de aplicaciones maliciosas (Data execution Prevention DEP) más las protecciones por hardware para evitar que se ejecuten ficheros dañados por virus y otras amenazas de seguridad.

Windows server 2003

Panel de control>Sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos

Y activar DEP para todos los programas y servicios a excepción de los que seleccione

Windows server 2008

Panel de control>Sistema>Configuración avanzada del sistema>Opciones avanzadas>Rendimiento>Configuración>Prevención de ejecución de datos

Y activar DEP para todos los programas y servicios a excepción de los que seleccione

4.5. Mostrar las Extensiones de los Archivos

Hay que mostrar las extensiones de los archivos, debido a que algunas amenazas como pueden ser los virus y gusanos aprovechan este comportamiento para confundir al usuario. Para mostrar las extensiones para el usuario actual abrir un explorador de archivos y desmarcaremos la opción

Herramientas>Opciones de carpeta>Ver>Configuración Avanzada>Ocultar las extensiones de archivo para los tipos de archivo conocidos.

NOTA: Este paso se deberá repetir para cada usuario.

5. Configuración de Servicios del Sistema

5.1. Deshabilitar los Servicios Innecesarios

Durante la instalación de sistemas operativos muchos servicios se configuran para que se inicien automáticamente durante el inicio del SO. Algunos de estos servicios pueden no ser necesarios. Se debe verificar y habilitar únicamente aquellos que sean necesarios. Para revisar los servicios que existen y cuando se inician abrir





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 17 de 22

Panel de control>Herramientas administrativas>Servicios

Pulsar sobre la columna Tipo de inicio y los servicios que se inician automáticamente aparecerán los primeros, para modificar el tipo de inicio realizar un doble click sobre el servicio y en la ventana emergente establecer el campo Tipo de inicio al valor deseado.

5.2. Deshabilitar la caché de Contraseñas y Usuarios

No se debe mostrar nunca el nombre del último usuario que inició una sesión. Habilitar la opción

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Opciones de seguridad>Inicio de sesión interactivo: no mostrar el último nombre de usuario


5.3. Control de Sesiones

Debe activarse un protector de pantalla que bloquee el terminal con contraseña al cabo de un tiempo. Por defecto Windows lo trae habilitado a 10 minutos. Pulsar el botón derecho sobre el escritorio y seleccionar la opción Personalizar, establecer el tiempo deseado y marcar la opción Enseñar la ventana de inicio al volver. A los usuarios del centro de control no se les debe aplicar.

5.4. Configuración de NTP

Se debe configurar el servicio NTP para que se sincronice con el servidor NTP.

Windows server 2003

Abrir una consola

Inicio>Símbolo del sistema

Una vez abierta aplica los puntos 10.4.1 y 10.4.2

Windows server 2008

Abrir una consola como administrador pulsando la tecla Shift y el botón derecho sobre

Inicio>Símbolo del sistema

Y seleccionando la opción Ejecutar como administrador, una vez abierta aplica los puntos 5.4.1 y 5.4.2





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 18 de 22

5.4.1. Permitir la salida del tráfico NTP en el firewall

Windows server 2003

Ejecutar el comando

netsh firewall add portopening protocol=UDP port=123 name=»NTP» scope=»custom» addresses=»ip-del-servidor-ntp»

Windows server 2008

Ejecuta el comando mediante

netsh advfirewall firewall add rule name=»Sincronizacion de tiempo NTP» action=allow dir=out protocol=udp remoteport=123 remoteip=ip-del-servidor-ntp

5.4.2. Configurar la sincronización de tiempo

Ejecuta los comandos

w32tm /config /manualpeerlist:ip-del-servidor-ntp,0x8 /syncfromflags:MANUAL w32tm /config /update

w32tm /resync

6. Auditabilidad del Sistema

Hay que habilitar los servicios de auditoría del sistema. Debe tenerse en cuenta que la auditoría puede causar un impacto en el rendimiento del sistema y un uso mayor del espacio en disco, así que hay que buscar un equilibrio.

6.1. Habilitar el Registro de Auditoria

Las opciones de auditoría se configuran desde

Panel de control>Herramientas administrativas>Directiva de seguridad local>Directivas locales>Directiva de auditoría

Como mínimo habrá que activar los eventos correctos y fallidos de las opciones:

Auditar eventos de inicio de sesión de cuenta (Windows server 2008: CCE-2251-7,CCE-1779-8, Windows server 2003: CCE-3321-7, CCE-3467-8)





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 19 de 22

Auditar eventos de inicio de sesión (Windows server 2008: CCE-2242-6, CCE-2574-2, Windows server 2003: CCE-3603-8, CCE-3391-0)

Auditar eventos del sistema (Windows server 2008: CCE-1837-4,CCE-1939-8, Windows server 2003: CCE-3594-9, CCE-3611-1)

7. Actualizaciones y Parches

7.1. Instalación de los Parches verificados por la compañía

Es muy importante mantener los sistemas actualizados a las versiones más recientes para proteger los equipos ante errores conocidos y solventados.

7.1.1. Aplicar los últimos parches homologados

(TODO: Describir el proceso de actualizaciones una vez definido)

7.1.2. Configurar las actualizaciones automáticas

Dado que los parches deberán ser verificados y, una vez aprobados, distribuidos por la empresa, hay que configurar las actualizaciones automáticas para que sincronicen con la infraestructura interna en lugar de los servidores oficiales de Microsoft. Hay que ejecutar el comando:

gpedit.msc

1. Habilitar la opción

Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Configurar actualizaciones automáticas

Seleccionando la opción “2-Notificar descarga y notificar instalación” del campo “Configurar actualización automática”

1. Habilitar la opción

Configuración del equipo>plantillas administrativas>Componentes de Windows>Windows update>Especificar la ubicación del servicio Windows Update en la intranet

Y establecer a “http://ip-del-servidor-de-actualizaciones” la opción “Establecer el servicio de actualización de la intranet para detectar actualizaciones:” y la opción “Establecer el servidor de estadísticas de la intranet”





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 20 de 22

8. Otras opciones de seguridad

Esta sección agrupa varias opciones que por su naturaleza no pertenecen a ningún apartado específico.

8.1. Procesamiento de directivas del registro

Al activar esta opción se fuerza a que se actualicen las políticas aunque no se haya modificado ningún objeto de las políticas globales, asegura que se aplican las políticas globales reemplazando cualquier cambio realizado localmente. Para establecer esta opción ejecutar

gpedit.msc


Configuración del equipo>plantillas administrativas>Sistema>Directiva de grupo>Procesamiento de directivas del registro


Marcando además la casilla

Procesar incluso si los objetos de directiva de grupo no han cambiado

8.2. Desactivar la ejecución automática

A lo largo de su historia la reproducción automática ha sido un vector de ataque muy utilizado por virus, troyanos, malware y demás amenazas, por más que ha mejorado su seguridad con el tiempo se encuentran nuevas formas de explotar esta funcionalidad, así que hay que desactivarla. Para establecer esta opción ejecutar

gpedit.msc


Windows server 2003

Requiere la actualización para Windows server 2003 (KB967715)

Configuración del equipo>plantillas administrativas>Sistema>>Desactivar Reproducción Automática

CCE-3597-2





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 21 de 22

Estableciendo a Todas las unidades la opción

Desactivar reproducción automática en:

Windows server 2008

Configuración del equipo>plantillas administrativas>Componentes de Windows>Directivas de reproducción automática>Desactivar Reproducción Automática

CCE-8634-8

9. Control de cuentas de usuario (UAC): a partir de Windows Server 2008

En esta sección se describen pasos para el uso óptimo de las mejoras de seguridad ofrecidas por la tecnología de control de cuentas de usuario.

9.1. Modo de aprobación para la cuenta de Administrador integrada

Al activar esta opción el usuario administrador creado durante la instalación pasa a estar protegido por la tecnología UAC. Para activarlo ejecutar

gpedit.msc


Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Modo de aprobación de Administrador integrado

CCE-2302-8

9.2. Pedir la contraseña cuando se requiera una elevación de privilegios

Mediante esta opción se pide la introducción de la contraseña cada vez que una tarea requiera de la elevación de privilegios, de esta forma si se produce un acceso no autorizado a un servidor con una sesión iniciada, no bastará para poder ejecutar tareas como Administrador ya que será necesario conocer la contraseña. Ejecutar

gpedit.msc

Y establecer a Pedir credenciales el valor de la opción





CÓDIGO:

MT01-TSI

VERSIÓN:

V1.0-2019





Página 22 de 22

Configuración del equipo>Configuración de Windows>Configuración de seguridad>Directivas locales>Opciones de seguridad>Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en Modo de aprobación de administrador

CCE-2474-5

manual hardening para equipos cÓdigo: y servidores …

Documents