Seguridad en Windows

Anuncio
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Eslared 2006
PRACTICA DE LABORATORIO.
Seguridad básica en Ambiente Windows
I. Recomendaciones Generales
1) Utilice siempre el sistema de archivos NTFS y no FAT. Por razones de
seguridad
2) En los servidores es recomendable el uso de múltiples particiones, una de al
menos 4Gb para el sistema operativo y otra (s) para los datos de los usuarios.
Se recomienda no guardar datos de los usuarios en la partición de arranque.
3) Ciertas aplicaciones no deberían ser instaladas, con las opciones por omisión,
por que las misma degradan le nivel de seguridad tales como Servicios Simples
TCP/IP, y protocolo SNMP.
4) En el caso de servidores Windows 2000 se instala por omisión el servicio de
indexado, el Internet Information Service (IIS) y el Script Debugger. Si usted no
los necesita no los instale. Para el caso de servidores que no se usaran como
servidores Web no instale el IIS ni el Script Debugger. El los servidores que no
se necesite indexado, no instale el servicio de indexado.
5) En los servidores de dominio utilice la opción permisos compatibles con
servidores Windows 2000 o Windows 2003 ya que la opción por omisión,
Compatible con servidores pre-Windows 2000, presenta serias fallas de
seguridad La siguiente figura muestra como realizar estos cambios.
1
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
6) Escoja una buena contraseña para administrador. Una buena contraseña debe
tener al menos 7 caracteres conteniendo letras en mayúsculas, minúsculas,
números y caracteres no alfanuméricos. Las contraseñas no deben contener parte
de los nombres de usuario o cualquier otra palabra común. Este tipo de práctica
puede ser colocada en las políticas de grupo (group policy) en los servidores de
forma tal que sea aplicada a todos los usuarios.
7) Antes de instalar actualizaciones tales como los Service Pack y las
actualizaciones críticas (HotFix) cree un punto de restauración del sistema.
8) Para revisar el estado de las actualizaciones de las estaciones de trabajo y de los
servidores puede utilizar el Windows update, tal y como se muestra en la figura
siguiente.
9) Instale software antivirus y software antiespías, en todas las maquinas de su red.
2
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Parte 1. Análisis de las estaciones
Herramientas:
Microsoft Baseline Security Analyzer
Retina Network Security Scanner v.5.0
En esta sección se analizaran brevemente los riesgos de seguridad presentes en
un sistema Windows XP al terminar la instalación con los parámetros por
omisión.
1. Instale Microsoft Baseline Security Analyzer y ejecútelo en todas las
maquinas.
2. Utilice el Retina 5.0 para analizar su red.
3. Compare los resultados. ¿Por que las diferencias (si las hay)?
3
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Parte 2. Revisión de directivas y políticas de seguridad en las
estaciones de trabajo
En esta parte de la práctica se compararan las políticas por omisión del SO con las
mínimas recomendadas en la plantilla securews.inf ( de Microsoft).
1. Abra una MMC (Microsoft Managements Console) en blanco y agregue el
complemento Configuración y análisis de seguridad de la MMC.
4
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
2. En el árbol de consola, haga clic con el botón secundario en Configuración y
análisis de seguridad y haga clic en Abrir base de datos.
5
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
3. En Abrir base de datos, cree una nueva base de datos escribiendo un nombre
para la misma en el campo Nombre y haga clic en Abrir.
4. Luego de crear la base de datos aparecerá la ventana Importar plantilla,
seleccione la plantilla hisecws.inf y haga clic en Abrir.
5. En el panel detalles, haga clic con el botón secundario en Configuración y
análisis de seguridad y, a continuación, haga clic en Analizar el equipo
ahora.
6. En la ruta de archivo Registro de errores, haga clic en Aceptar para crear un
archivo de registro en la ubicación predeterminada.
6
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
7. Explore las directivas de cuentas y las directivas locales para apreciar las
diferencias entre las configuraciones por omisión, y las mínimas
recomendadas.
Aquí hay
una
diferencia
7
Aquí NO
hay una
diferencia
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Parte 3. Aplicación de directivas y políticas de seguridad en
las estaciones de trabajo
Una vez conocidas las diferencias entre la política de seguridad recomendada y la
aplicada en su equipo, veremos como modificar la segunda para que sea compatible con
las recomendaciones.
Las áreas de configuración de seguridad son:
Área
seguridad
Directivas
cuentas
de
Descripción
de Directiva de contraseña, Directiva de bloqueo de cuentas y
Directiva Kerberos
Directiva de auditoría, Asignación de derechos de usuario y
Directivas locales
Opciones de seguridad
Registro
de Configuración del registro de sucesos de aplicación, sistema y
sucesos
seguridad
Grupos
Pertenencia a grupos importantes para la seguridad
restringidos
Servicios
del
Inicio y permisos de los servicios del sistema
sistema
Registro
Permisos para las claves del Registro del sistema
Sistema
de
Permisos de archivos y carpetas
archivos
Para configurar o modificar una nueva plantilla puede seguir los siguientes pasos:
1. Abra una MMC en blanco y agregue el complemento Plantilla de
seguridad de la MMC
8
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
2. Seleccione o importe la plantilla de seguridad que desea modificar, por
omisión el SO trae una serie de plantillas con la configuración básica,
controladores de domino, maquinas “stand alone”, controlador de Domino
de alta seguridad etc.
3. Una vez realizado los cambios adecuados para su organización guarde la
plantilla.
4. Una vez que la plantilla seleccionada cumpla con los requisitos básicos de
seguridad para su organización, se procede a instalarla en los otros equipos que
conforman su red. NOTA: Consulte con el instructor las modificaciones
posibles. Hacer cambios sin el debido conocimiento puede dejar
INOPERATIVA la estación.
5. Para instalar la recién modificada plantilla en las demás estaciones realizamos
el siguiente procedimiento:
5.1 Abra el panel de control, haga doble clic en herramientas administrativas y
seleccione directivas de seguridad local.
9
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
5.2 En la raíz del árbol bajo el titulo configuración de seguridad local presione
el botón derecho y seleccione la opción importar directiva.
5.3 Seleccione la plantilla hisecws.inf para las estaciones de trabajo y oprima
abrir. Note que aquí utilizaremos esta plantilla por seguridad, sin embargo en
un ambiente real ud. utilizaría la plantilla recién configurada.
5.4 Una vez realizados estos pasos las maquinas tendrán un nivel mínimo de
seguridad.
10
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Parte 4. Componentes de seguridad adicional
Configure las actualizaciones automáticas del sistema operativo:
1. En el botón de inicio, Presione en panel de control
2. Seleccione Sistema
3. En el sistema presión la pestaña de actualizaciones automáticas
4. Prima la opción Automático
5. Clic en Aceptar para finalizar la operación.
Active el firewall del sistema operativo:
1. En el botón de inicio, Presione en panel de control
2. Seleccione Firewall de Windows
3. Oprima la opción Activado
4. Clic Aceptar para finalizar la operación.
11
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Desactive la opción de compartir archivos en forma simple (simple file sharing):
1. En el botón de inicio, Presione en Mi PC
2. En la parte superior Seleccione Herramientas, y luego pulse sobre Opciones de
Carpeta
3. En opciones de carpeta, presione la ventana Ver, y luego desmarque la opción
Utilizar uso compartido simple de archivos (recomendado), y presione
aceptar
12
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
Elimine las aplicaciones innecesarias y los servicios de red que no utilice Por ejemplo
Alerter, Messenger; Netmeeting Remote Desktop Sharing; Network Dynamic Data
Exchange; Network DDE DSDM; Remote Registry Service; Routing and Remote
Access; Universal Plug and Play Device Host
Para esto siga los siguientes pasos:
1. En el botón de inicio, Presione en panel de control
2. Seleccione Herramientas Administrativas
3. Doble clic en Servicios
4. Busque el servicio que desea eliminar, Presione Doble clic.
13
Prácticas de Laboratorio
Seguridad básica en Ambiente Windows
5. Presione Detener el servicio, y luego configure el arranque del servicio, las
opciones posibles son: Automático, Manual y Deshabilitado, presione
Deshabilitado
Vuelva a analizar su red con las herramientas Retina y Microsoft Baseline Security
Analyzer. Comente la diferencia en los resultados.
14
Descargar