Hardening I
Hardening I
Hardening I
RESUMEN
Hardening es una acción compuesta por un conjunto de actividades que son llevadas a
cabo por el administrador del sistema operativo o la red para reforzar al máximo posible la
seguridad de los equipos del Ministerio de Trasporte y Obras Públicas del Ecuador. Ante la
problemática de no tener conocimiento sobre este proceso, el presente artículo propone
la implementación de una herramienta informática que permita su uso apropiado para el
Ministerio de Trasporte y Obras Públicas, la seguridad de cada uno de los sistemas
operativos ha sido delimitada por la que viene por defecto, programada por Microsoft y
no más allá de sus necesidades reales; para ello se determinan las áreas de vulnerabilidad
de los sistemas con sus respectivas acciones y afectaciones a través de herramientas de
testeo, para mediante un manual de configuración de seguridad Hardening se pueden
crear sistemas operativos más efectivos a la hora de contraatacar invasores y con mayor
necesidad e importancia de cuando se trata de información por parte de un Ministerio de
Gobierno. Su propósito es entorpecer la labor del atacante y ganar tiempo para poder
minimizar las consecuencias de un inminente incidente de seguridad e incluso, en algunos
casos, evitar que éste se concrete en su totalidad mediante la configuración de todas las
áreas de seguridad. Una de las primeras cosas que hay que dejar en claro del Hardening
de sistemas operativos Microsoft es que no necesariamente logrará forjar equipos
invulnerables sino equipos más seguros.
CAPÍTULO I
PLAN DE TESIS
TEMA:
Introducción
Justificación e Importancia
Por ello es importante, no sólo tener las herramientas de control sino saber para qué? y
por qué? Utilizarlas. Mediante un manual de configuración de seguridad Hardening se
pueden crear sistemas operativos más efectivos a la hora de contraatacar invasores y con
mayor necesidad e importancia cuando se trata de información por parte de un Ministerio
de Gobierno.
Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las
consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar
que éste se concrete en su totalidad.
¿Hasta qué punto el Hardening es una ayuda y no una molestia? En este punto, es
importante considerar un paradigma muy interesante que tiene la seguridad.
Al parecer, la seguridad por un lado, y la versatilidad y facilidad de uso de los sistemas por
otro, son como dos grupos de personas tirando de ambos extremos de una cuerda. En
pocas palabras, a medida que se busca una seguridad mayor en los sistemas, la
versatilidad y facilidad de uso del mismo se ven limitados, puesto que la cantidad de
decisiones que puede tomar el usuario se reduce y la cantidad de posibilidades ajenas al
propósito inicial del sistema en sí disminuye drásticamente. Por otro lado, el aumentar la
versatilidad y la facilidad de uso de los sistemas pareciera estar muy relacionado con el
aumento en las decisiones y posibilidades del usuario, lo que por consiguiente aumenta la
probabilidad del mismo de equivocarse y poner en peligro la seguridad de todo el sistema.
Y el debate sobre el punto exacto de equilibrio en cuanto a la cantidad de decisiones que
deben pasar por manos del usuario final es bastante extenso y no está del todo resuelto.
Objetivos
Objetivo General
Objetivos Específicos
Situación Actual
En los últimos años, la seguridad ha pasado de ser una ocurrencia tardía en los
departamentos de TI a ser la principal prioridad. En este movimiento, no sólo ha calificado
la necesidad de que el aumento de profesionales de la seguridad, pero la seguridad ha
convertido en un requisito básico de trabajo para casi todos los administradores de TI.
Lamentablemente, para El MTOP, no hay suficientes horas en el día para realizar sus
tareas, y mucho menos cavar a través de pilas de libros blancos, sitios web tratando de
encontrar información sobre el endurecimiento de Windows, especialmente si la red de su
organización tiene usos múltiples versiones de Windows.
La mayoría de los libros sólo se refieren a una o dos versiones de Windows, pero muy
pocos de ellos cubren todos. Esto, combinado con su relajado, divertido estilo de
escritura, lo convierte en un verdaderamente único y especial de recursos de seguridad.
Esto NO significa que el proceso de Hardening contemple tan solo estos puntos, pero SI
significa que tan solo con este MINIMO esfuerzo de 5 pasos, el sistema podrá ser
considerado más confiable.
Dicho de otro modo... debería ser considerado como un REQUERIMIENTO MINIMO, que
muy pocos o casi nadie lo aplica dentro de las medidas que se deben tomar a la hora de
decidirse por el uso de un Sistema operativo Microsoft.
Aunque el Gobierno haya determinado como medida el uso de Sistemas de tipo Software
Libre, estos sistemas usados en El MTOP cuentan con licencias propias, razón por la cual
son usados, y no ven la posibilidad de migrar a otros.
Tomando en cuenta esto, lo que queda por hacer es fortalecer los Sistemas que se tienen
tanto por economía como por seguridad.
Alcance
Una de las primeras cosas que hay que dejar en claro del Hardening de sistemas
operativos Microsoft es que no necesariamente logrará forjar equipos invulnerables. Es
importante recordar que, según el modelo de defensa en profundidad, el host es sólo una
capa de éste. En otras palabras, un factor más a considerar dentro del gran número de
puntos a ser tomados en cuenta para defender globalmente un sistema.
Se tendrá que trabajar juntos y por sí solo para generar una cultura de la seguridad,
endurecer todos los componentes de nuestras redes, la construcción de sistemas de
seguros, capacitar a nuestra gente.
Para el manual de seguridad se determinarán los siguientes puntos:
Uso de herramientas de identificación de vulnerabilidades
Determinación de Niveles de seguridad
Determinación de requisitos indispensables de cada uno de los sistemas
operativos.
Controles de seguridad y activaciones
Protecciones de seguridad
Seguridades adicionales
Generación de archivos de configuración para sistemas operativos Microsoft con
similares características.
Limitaciones
Metodología de aplicación
La investigación
Existen muy diversos tratados sobre las tipologías de la investigación. Las controversias
para aceptar las diferentes tipologías sugieren situaciones confusas en estilos, formas,
enfoques y modalidades. En rigor, y desde un punto de vista semántico, los tipos son
sistemas definidos para obtener el conocimiento.
Se pretende presentar una síntesis de los tipos de investigación que van a ser usados, con
la intención de sistematizar lo que se va a usar para poder desarrollar la misma.
Según la fuente de información se aplicará:
Investigación documental.
Investigación de campo.
Experimental.
Experimento.
Explicación.
Mecanicismo.
Funcionalismo.
Sistemas.
Herramientas de Desarrollo
Que ofrecerán una mejor proyección de los problemas que se sucinta en los sistemas operativos.
La existencia de libros sobre Hardening es casi nula, debido a que se han desarrollado
temas de seguridades informáticas en general, pero que aplican operaciones de
seguridad que deben ser de tratados como Hardening por su contenido.
Esto hace que se pueda utilizar material ya escrito como una opción de recopilación de
información para ponerlo como actividades que se realiza dentro de lo que es Hardening.
Manejo de herramientas
II. Vulnerabilidad
Sistema
Red
Componentes de Windows
IV. Resultados
Manejo de servicios
Manejo se software
Manejo de sistema
Tiempos
Mejoras
Factibilidad
Factibilidad técnica
Factibilidad económica
• Protector de pantalla
• Limitar uso de dispositivos USB
• Limitar acceso remoto a cdrom/floppy
• Deshabilitar dispositivos de Hardware
o Pantalla
o Teclado
• Ejecución automática.
o autorun
• Instalación de drivers no firmados
Factibilidad operativa
PRESUPUESTO
Presupuesto Software
Existe diversidad de programas que sirven como Testers de sistemas operativos, claro que
muchos de ellos no analizan algunas vulnerabilidades, pero se las pueden determinar con
inspección directa en el sistema.
Las pruebas en los diversos sistemas operativos Microsoft, por ser de carácter
investigativo y no lucrativo, no será necesario adquirir las licencias., ya que las pruebas
serán realizadas en una sola máquina de propiedad del estudiante, luego se procederá la
aplicación de los archivos de configuración de tipo registro en cada una de las máquinas
del MTOP; las cuales poseen sus propias licencias.
Presupuesto Hardware
Las licencias para uso del software van a ser gratuitas por lo que se puede encontrar en el
internet sin costo alguno.
Presupuesto de Aplicación
TOTAL………………………………………………… $ 151,00
[5] [ONLINE]
http://tipsdeseguridad.spaces.live.com/blog/cns!779AF69CE6408BD1!2273.trak
[8] [ONLINE]
http://www.fistconference.org/data/presentaciones/hardeningaltaseguridadbajow32.
pdf
[9] [ONLINE]
http://www.aibarra.org/investig/tema0.htm#INVESTIGACI%D3Nhttp://tipsdeseguridad.s
paces.live.com/blog/cns!779AF69CE6408BD1!2273.trak
CAPÍTULO II
MARCO TEÓRICO
Introducción
Los capítulos se enfocan en los diferentes asuntos que afectan la seguridad e integridad de
los sistemas y redes. Al final, se encontrará una lista de los puntos de control y de las
configuraciones que se pueden hacer de forma directa a través del editor de registros.
La seguridad de la computadora parece ser parte principal de las noticias, hoy en día en el
mundo de la informática por la invasión de especialmente zonas web. Las compañías
pierden millones de dólares y sufren daños a los sistemas de computadora, como un
ejemplo de esta consecuencia New York gasta miles de dólares en los sistemas y
productos de seguridad para proteger las puertas de ingreso a sus redes corporativas
anualmente.
Por otro lado Microsoft estanca al usuario con una simple configuración de seguridad la
cual se refiere a corregir las propiedades de red del computador. El resultado de esta
configuración es horas de tiempo muerto y la confianza del cliente disminuida. Muchas
veces por no decirlo siempre es duro saber cuál es el número de intrusos que son
amenazantes para el reino de la computadora, algunos de ellos hasta son indetectables, y
no es suficiente controlarlos mediante una simple configuración.
Para mantener su presencia con las ventas, los vendedores y fabricantes de hardware de
seguridad luchan por simplemente distraer al atacante con sus productos, mientras que el
atacante después de muchos intentos por ingresar termina por colapsar al sistema y
finalmente consigue su objetivo, ya sea por sus métodos o las herramientas usadas.
Un ataque de intruso, es sólo una faceta de la seguridad que se debe proteger. Los virus
son otra amenaza a la seguridad; el hecho de que se esparcen fácilmente hace que se
generen las infestaciones rápidamente, por ello no es sólo un área la que hay que
proteger sino todas.
Por ejemplo, los virus de gusano esparcen cuando los usuarios abren correo electrónico
con enlaces de cadenas, que causa que el virus pueda enviarse por correo electrónico a la
lista de contactos entera del usuario, Otros virus de tipo caballo de Troya puede entrar a
su sistema y dar permisos de puertos para intrusos que usarán su computadora para hacer
innumerables ataques en las máquinas de otros usuarios.
Hardening
¿Qué es la seguridad?
El dilema de la seguridad
La seguridad depende de dos cosas: En primer lugar, una persona debe definir lo que la
seguridad significa para él, y secundar en que necesariamente se debe comunicar para
poder trabajar, que la idea clara y competente de su trabajo se desarrolla o está reflejada
en la comunidad alrededor de él. La seguridad padece de tal problema en estos días
debido a asuntos relacionados directamente con estas dos necesidades.
La Seguridad para cada persona; es totalmente diferente, sin embargo una persona puede
ser satisfecha con una contraseña de BIOS y un disco flexible, mientras que otro individuo
puede tener el doble de problemas por esta medida y otro el triple si codifican estos
se instala una cerradura en la puerta de entrada de su casa la cual sin duda protegerá su
ingreso y determina que no confía en el público general, pero si se confía en la cerradura
para hacer su trabajo, el de mantener en el exterior a las personas intrusas.
Cada día, que procede sobre su negocio, poniendo su confianza semiconsciente en los
bancos, cajeros automáticos, los sitios de tienda en línea, la policía, siempre está
pendiente que puede que esta seguridad también se rompa y también sabe que esto no
significará ser el fin de todo. Pero entonces porque no tomar una medida de seguridad
antes que aguardar a ver qué sucede.
Por ejemplo, cuando un joven aprende a manejar un automóvil, pone vidas en riesgo.
Debido a este riesgo, la mayor parte de los municipios y gobiernos requieren que el joven
tenga que pasar un examen para demostrar su maestría al manejo. Los sistemas de
computadora son igualmente capaces de causar daño, aunque ellos no son conscientes.
Su vida normal es interrumpida cuando los sistemas de computadora funcionan mal, y
esto indica una confianza decreciente en ellos. Su confianza en computadoras y sus
usuarios son a menudo bastante desatendidos. Ahí es donde los problemas
verdaderamente vienen.
Enemigos de la seguridad
Para lograr la seguridad más verdadera y eficiente, los administradores del sistema
necesitan examinar un método para analizar sistemas, para
sondear sus debilidades y detallar sus propias suposiciones
sobre esas protecciones del sistema, antes de poner
ciegamente la confianza en ellos. Si la seguridad va a ser
discutida en una vía más seria, lo que se necesita es:
Se puede definir un sistema seguro, como uno en que todas las amenazas han sido
analizadas y uno en que la medida preventiva está en su lugar apropiado para todas las
amenazas.
El problema, sin embargo, es cómo saber cuáles son todas las amenazas posibles contra
un sistema, y ahí es donde Hardening entra es acción. No se puede siempre saber todas
sus amenazas; es imposible en cierta medida tener todo el conocimiento. Pero si se puede
asegurar las estradas y pre cautelar para impedir todas las infiltraciones futuras.
¿Qué puede hacer para mitigar este riesgo? unas cuantas cosas se aclaran para tener
cuidado: Por supuesto, se pueda fomentar el uso de Windows XP. (Recuerde al comprar
nuevos sistemas con un acuerdo de licencia de volumen de Microsoft, puede especificar
una licencia de XP, pero con ello usted consigue bajar el nivel de derechos para correr
Windows 2000 mientras lo necesita. Así el gasto de las licencias ascendentes es alto).
También, investigar otros tipos de navegadores bajo Windows como Mozilla y firefox ya
que ambos son los visores más seguros.
El protocolo de llamada de procedimiento remoto (RPC) es una reliquia hoy en día ido por
un método de comunicaciones depreciado que tiene intenciones para ser usado en una
red en que todo lo que están compartiendo los anfitriones es de confianza.
¿Cuántas décadas han sido desde que era el caso? RPC esencialmente no tiene ningunos
medios para ser protegido de los ataques con base en protocolos más simples de
transmisión, y los anfitriones en uno u otro fin de una transacción de RPC no son a
menudo bastante endurecidos para resistirse a la penetración. Por supuesto, los esfuerzos
han sido hechos en las últimas liberaciones del cambio y seguridad de Internet y servidor
de aceleración (ISA) para proporcionar unos medios más seguros para "incluir" RPC dentro
de otros protocolos. Aunque desplegando el cambio 2003 y servidor de ISA 2004 son las
vías buenas para disminuir el riesgo de RPC en la Internet, tales sistemas están tratando
simplemente los síntomas y no el problema. Nosotros necesitamos lanzar RPC al exterior -
como una cinta de beta en un mundo de Dvd, es simplemente no adecuado - y encontrar
otra vía para transmitir un paquete pequeño de máquina a máquina.
ha muchos benefició.
Los sistemas principales deben todavía funcionar, pero probar otra forma de
configuración en un entorno controlado es esencial para lograr un cambio efectivo.
Generalmente, se conoce como “Hardening” al proceso por medio del cual, es posible
realizar una serie de ajustes sobre un dispositivo, sistema o aplicación, con el fin de elevar
su nivel de seguridad.
Una de las primeras cosas que hay que dejar en claro del Hardening de sistemas
operativos es que no necesariamente logrará forjar equipos invulnerables, sino sistemas
operativos más seguros, que simplemente ayudaran a prevenir el 95% de las amenazas a
las que el equipo se encuentra sujeto.
Y aquí es donde nace una pregunta que debería ser más o menos obvia. ¿Hasta qué punto
el Hardening es una ayuda y no una molestia? En este punto, es importante considerar un
paradigma muy interesante que tiene la seguridad.
Al parecer, la seguridad por un lado, y la versatilidad de uso de los sistemas por otro, son
como dos grupos de personas tirando de ambos extremos de una cuerda. En pocas
palabras, a medida que se busca una seguridad mayor en los sistemas, la versatilidad y
facilidad de uso del mismo se ven limitados, puesto que la cantidad de decisiones que
puede tomar el usuario se reduce y la cantidad de posibilidades ajenas al propósito inicial
del sistema en sí disminuye drásticamente.
Por otro lado, el aumentar la versatilidad y la facilidad de uso de los sistemas pareciera
estar muy relacionado con el aumento en las decisiones y posibilidades del usuario, lo que
por consiguiente aumenta la probabilidad del mismo de equivocarse y poner en peligro la
seguridad de todo el sistema. Y el debate sobre el punto exacto de equilibrio en cuanto a
la cantidad de decisiones que deben pasar por manos del usuario final es bastante
extenso y no está del todo resuelto.
El Hardening es una ayuda hasta el momento exacto en que entorpece el objetivo inicial
que tiene el sistema. Por citar un ejemplo, si un sistema trabaja con impresoras, redes
inalámbricas y además con correo electrónico, no es recomendable deshabilitar la cola de
impresión, el servicio de redes inalámbricas ni bloquear los puertos de SMTP y POP. En
otras palabras, en cada acción de Hardening que se vaya a ejecutar en el sistema
operativo, hay que tener especial cuidado en que dichas acciones no afecten el propósito
del sistema en sí.
Es debido a este tipo de situaciones que existen los niveles de seguridad, que son
aplicados dependiendo no sólo del tipo de información que maneje ya sea importante o
no, sino que también depende del área de acción o desarrollo en la que se encuentre
ubicado el equipo.
Una de las primeras cosas que hay que dejar en claro del Hardening de sistemas
operativos es que no necesariamente logrará forjar equipos invulnerables. Es importante
recordar que, según el modelo de defensa en profundidad, el host es sólo una capa de
éste. En otras palabras, un factor más a considerar dentro del gran número de puntos a
ser tomados en cuenta para defender globalmente un sistema.
Los procesos de Hardening, a menudo se componen de una serie de pasos a seguir, los
cuales involucran diferentes niveles de personalización acorde a la tarea del sistema
operativo.
Entre las actividades de Hardening se pueden contar las siguientes, las mismas que
pretenden mitigar los ataques a áreas de mayor vulnerabilidad.
Esto NO significa que el proceso de Hardening contemple tan solo estos puntos, pero SI
que tan sólo con este MINIMO detalle de configuración, el sistema podrá ser considerado
más confiable.
Razón por la cual Microsoft no las muestra como opciones de configuración para el
usuario, y simplemente están ahí, algunos casos configurados por defecto y en otros
simplemente inhabilitados (vulnerables).
“Firewall Activado por defecto en XP SP2”, “IIS Desactivado por defecto en Windows
2003”.
En lugar de aumentar la seguridad es mejor hacerse preguntas de " cómo puedo reducir el
riesgo". Recordar que "perfeccionar " es el enemigo de " bastante" no hay que
preocuparse sobre presentar la solución más perfecta, más bien concentrarse en la
solución más práctica.
Las herramientas para la protección del sistema operativo Windows están ahí, solo es
necesario saberlas manejar, y lo más importante saber cuándo aplicar.}
Hardening para Windows no es simplemente una herramienta que hay que aplicar, es un
proceso por el cual se realiza un afinamiento de las opciones de configuración que
Microsoft Windows ya definió previamente en cada uno de sus sistemas operativos.
Consideraciones de software
Los paquetes de servicio son las aplicaciones que son puestas en circulación después de la
liberación pública de un paquete de software o parches a defectos que son encontrados
después de la disponibilidad de corriente principal de una aplicación. La mayor parte de
estos paquetes de servicio incluyen seguridad para corregir las áreas del código de
programa que eran no aseguradas por los desarrolladores y por lo tanto eran
vulnerabilidades.
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 36
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
Después en la lista son los virus, una irritación rápidamente en crecimiento. Como usted
puede ser consciente, muchos nuevos virus son puestos en circulación semanalmente.
Debe mantener al día en una base regular para con su antivirus. Para protegerse, de una
mirada a esta guía:
Para obtener el mejor resultado, se debe configurar el software de virus con el más
restrictivo nivel, con eso se está asegurando que cada virus y su contenido en una
computadora pierda su capacidad de infectar la red.
Restrinja los archivos con extensiones, tales como VBS, EXE, JPG, PCX, COM, y SCR,
de su servidor de correo. Estos tipos de archivo son raramente usados para el
negocio legítimo pueden ejecutarse accidentalmente por los usuarios confiados.
Esta puede comprometer la red entera. ¿Recuerda el virus de melisa?
Windows depende tanto de los dispositivos de hardware externos para la seguridad como
de sus propios mecanismos internos.
La pieza más obvia del rompecabezas de dispositivos físicos es el cortafuego, una parte
integral de cada red que es unida a la Internet. Sin un cortafuego, cualquier máquina de
Internet puede estar unida o negada del servicio (DoS) ataques, los ataques de servicio, con
esfuerzos de penetración de red son fichados junto con otros acontecimientos malos.
Todos estos ataques son muy difíciles de encontrar su origen para lo cual es importante
considerar las siguientes sugerencias de cortafuego:
Bloquee los puertos de TCP 135,139 y 445, y puertos de UDP 135,137 y 445. Estos
puertos de red de Microsoft Windows han sido tradicionalmente susceptibles a gran
número de ataques de Servicios, y allí está el uso pequeño para ellos sobre la Internet.
Bloquee todos los puertos no usados. Cada vez que usted abre un puerto crea un hueco
pequeño alrededor de su red y lo reemplaza con una ventana. Los puertos abiertos
invitan a ataques.
Un IDS difiere de un cortafuego en que una pared de fuego mira a las intrusiones a fin de
detenerlas en su accionar. El cortafuego limita el acceso entre redes a fin de prevenir
entremetimiento y no comunicar un ataque del interior la red. Un IDS, por otra parte,
evalúa un entremetimiento sospechoso una vez que ha tomado lugar, y comunica una
alarma. Un IDS también vela para ataques que se originan de adentro de un sistema. Es una
adición beneficiosa para la red. El acceso remoto queda como uno de los enlaces más
débiles en la seguridad de red si se pone en práctica incorrectamente.
Si se permite el acceso remoto a la red o por las conexiones en línea o por una conexión de
red (VPN) privada virtual, debe restringir el acceso en línea a los usuarios confiados en y
limitar la funcionalidad de esos usuarios de las localizaciones remotas. Las políticas pueden
ser diseñadas en tal vía que la actividad del usuario se trace, se recomienda una conexión
de VPN: Los datos que viajan sobre un VPN son mucho menos susceptibles a la
interceptación qué punto a punto normalmente protocoliza (PPP) conexiones sobre las
redes de teléfono viejas sencillas.
Si sus datos son particularmente críticos, podría considerar poner sistemas en su lugar
apropiado que requieren la validación credencial para cualquier recurso que se accede
remotamente, como certificados de cliente lateral y los métodos de autenticación de
contraseña fuertes.
Sólo hace siete años los ataques eran producidos por virus o los llamados gusanos, que
ocasionaban perdida de información, y por ende retraso en el desarrollo de la empresa.
Hoy en día los ataques han dejado de ser sólo una molestia en retraso del tiempo de
trabajo, ahora se han vuelto ataques de tipo infiltración y robo de información, ya sea
externa o internamente.
Es decir, que los sistemas operativos ya no son forzados a romper sus seguridad con el uso
de virus, sino que ahora los atacantes buscan sectores de libre circulación para ingresar sin
sospecha ni forzamiento, esto es debido a algún as causas tales como:
La falta de conocimiento hace que no se defina correctamente la labor que debe asumir el
sistema operativo para servir como tal.
La herramienta TESTER es diseñada para medir el estatus de su sistema contra una norma.
La herramienta no hará cambios a la seguridad, debe ser instalado como una aplicación y
manejada como tal.
Existe más de una vía para poner en práctica las colocaciones y sugerencias descritas.
La meta de cada prueba de características y las herramientas asociadas son dar a los
usuarios una vista en tiempo real de donde los sistemas están siendo situados en relación
con la norma corrientemente aceptada. Esta "cuenta" producida por la herramienta es un
número entre el cero y diez, y es derivado de las siguientes áreas.
Las aplicaciones o servicios adicionales pueden disminuir la cuenta completa, justo cuando
los servicios adicionales disminuyan la seguridad de estos sistemas en el entorno de
producción. Algunos tipos de pruebas de características de nivel II son desarrolladas para
cubrir tales aplicaciones.
Cada una de las primeras tres categorías tienen un limitado el número de las necesidades
principales y muchas necesidades menores. Por ejemplo, en el área de los paquetes de
servicio y Hotfixes, la corriente Service Pack es un requerimiento principal, mientras que el
otro Hotfixes puede ser considerado menores.
Entonces lo importante es saber analizar esas áreas generalizadas para poderlas expandir
y escarbar en su totalidad cuando una de las áreas es de suma importancia. Dependiendo
claro del nivel de seguridad que portará ese equipo.
Pruebas de diccionario
Fuerza Bruta
PathTraversal
Recordatorio de contraseña débil
Análisis de gestión de la caché y salida de sesión
La gestión de sesiones comprende todos los controles que se realizan sobre el usuario,
desde la autenticación hasta la finalización de la aplicación.
Las herramientas para pruebas dan soporte al usuario para determinar falencias en el
sistema que no siempre son detectadas a simple vista, cada una de las herramientas esta
creada para determinar sectores de afectación y se basan en la fase de la seguridad
(EVALUACIÓN) y es de esta forma como se realizan los análisis en base a lo siguiente:
Evaluación (Assess):
RESULTADOS
El Análisis de Riesgos a través de estos testers nos permitirá:
Realizar acciones:
Proactivas
Reactivas
Administrar el Riesgo:
Identificar
Analizar
Evaluar
Determinar el tratamiento a seguir.
Existen tester en el mercado tales como MBCA, Benchmarking CIS, que se pueden
conseguir fácilmente y que suelen ser de gran ayuda a la hora de buscar vulnerabilidades;
el único inconveniente es saber interpretar los resultados de los mismo.
Manejo de herramientas
Es una herramienta gratis que incluye interface tanto grafica como de línea de comandos
(poco a poco Microsoft entiende de esta necesidad). MBSA no está en nuestro idioma,
pero realmente no es un inconveniente.
Tiene cosas malas como que necesita conectarse a internet para descargar las
“recomendaciones” de Microsoft, solo funciona obviamente para “escanear” maquinas
que ejecuten sistemas operativos de Microsoft.
Microsoft Baseline Security Analyzer (MBSA) es una herramienta fácil de usar diseñada
para los profesionales de TI que ayuda a las pequeñas y medianas empresas a determinar
su estado de seguridad según las recomendaciones de seguridad de Microsoft y ofrece
orientación de soluciones específicas. Mejore el proceso de administración de seguridad
utilizando MBSA para detectar los errores más comunes de configuración de seguridad y
actualizaciones de seguridad que falten en sus sistemas informáticos.
MBSA 2.1
MBSA 2.1 ofrece compatibilidad con Windows Vista y Windows Server 2008, una interfaz
de usuario revisada, compatibilidad de 64 bits, compatibilidad mejorada con Windows
Embedded y compatibilidad con las últimas versiones del Agente de Windows Update
(WUA) basadas en Microsoft Update.
MBSA 2.1 también es compatible con Microsoft Update, Windows Server UpdateServices
2.0 y 3.0, la herramienta SMS InventoryToolfor Microsoft Update (ITMU) y SCCM 2007.
Para obtener una lista completa de los productos que admite MBSA 2.1 basado en las
tecnologías de Microsoft Update (MU) y Windows Server UpdateServices (WSUS).
Compatibilidad con productos anteriores:
Los usuarios que tengan los siguientes productos en su entorno pueden usar
ShavlikNetChkLimited para aumentar los resultados de MBSA 2.0.1 con el fin de obtener
una detección exhaustiva de las actualizaciones de seguridad.
Office 2000
ISA Server 2000
Extensiones de servidor de FrontPage 2000/2002
Visual Studio .Net 2002/2003
SQL Server 7.0/2000
NG ScoringTool
La herramienta de CIS Scoring habilitan usuarios finales para verificar que la configuración
de seguridad de sistemas antes de despliegue de red, sistemas de monitor y dispositivos
de red para la conformidad progresiva con las pruebas de características, y demuestre a
oyentes y socios de negocio su sumisión con las normas internacionalmente aceptadas
para la configuración de seguridad.
CIS produce los informes que guían a los usuarios y administradores de sistema para
asegurar ambas nuevas instalaciones y sistemas de producción.
La meta de cada prueba de características y el uso de las herramientas asociadas son dar
a usuarios una vista del punto en el tiempo de donde los sistemas están situados en
relación con la norma con la que fue evaluado.
Los criterios usados para determinar estos sectores están divididos en cuatro categorías:
Cada una de las primeras tres categorías tienen un limitado el número de las necesidades
principales y muchas necesidades menores. Por ejemplo, en el área de los ServicePacksy
Hotfixes, el último Service Pack es un requerimiento principal, mientras que Hotfixes
puede ser considerado menor.
1
2
3
4
5
6
7
8
9
10
Una base de datos jerárquica central utilizada en Microsoft Windows 98, Windows CE,
Windows NT y Windows 2000 con el fin de almacenar información necesaria para
configurar el sistema para uno o varios usuarios, aplicaciones y dispositivos de hardware.
El Registro reemplaza la mayoría de los archivos .ini basados en texto que se utilizan en los
archivos de configuración de Windows 3.x y MS-DOS, como Autoexec.bat y Config.sys.
Aunque el Registro es común a varios sistemas operativos Windows, existen algunas
diferencias entre ellos.
Una sección del Registro es un grupo de claves, subclaves y valores del Registro que
cuentan con un conjunto de archivos auxiliares que contienen copias de seguridad de sus
datos. Los archivos auxiliares de todas las secciones excepto HKEY_CURRENT_USER están
en la carpeta %SystemRoot%\System32\Config en Windows NT 4.0, Windows 2000,
Windows XP, Windows Server 2003 y Windows Vista. Los archivos auxiliares para
HKEY_CURRENT_USER están en la carpeta %SystemRoot%\Profiles\nombreDeUsuario. Las
extensiones de los archivos de estas carpetas indican el tipo de datos que contienen. A
veces, la falta de extensión también puede indicar el tipo de datos que contienen Vease
Figura 4.
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 52
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
Nota: las características de seguridad de Windows NT, Windows 2000, Windows XP,
Windows Server 2003 y Windows Vista permiten que un administrador controle el acceso
a las claves del Registro.
La siguiente tabla (Figura 5) enumera las claves predefinidas que utiliza el sistema. El
tamaño máximo del nombre de una clave es de 255 caracteres.
Nota: el Registro en las versiones de 64 bits de Windows XP, Windows Server 2003 y
Windows Vista se divide en claves de 32 y de 64 bits. Muchas de las claves de 32 bits
tienen los mismos nombres que sus homólogas de 64 bits y viceversa. La versión de 64
bits predeterminada del Editor del Registro que se incluye con las versiones de 64 bits de
Windows XP, Windows Server 2003 y Windows Vista muestra las claves de 32 bits bajo el
nodo siguiente:
HKEY_LOCAL_MACHINE\Software\WOW6432Node
Básicamente sirve para dar soporte a los sistemas operativos y programas de Microsoft y
muchos de los contenidos tratan sobre modificaciones en el registro.
¿Qué es el registro?
Es la base de datos de todas las versiones de Windows donde se guarda la información
sobre la configuración y el comportamiento del sistema operativo, hardware instalado y
las aplicaciones.
En el panel izquierdo veremos el árbol del registro con Mi PC a la cabeza y debajo los seis
subárboles. Los subárboles se componen de claves y las claves a su vez se componen de
subclaves. Esto puede parecer un poco complicado, por eso, normalmente se utiliza la
palabra "rama" para referirse a cualquier nivel del registro. Podemos expandir y contraer
cada rama pulsando "+" que está junto a su nombre. En el panel derecho veremos dos o
tres columnas, a la izquierda están los nombres de los datos y a la derecha sus valores.
Buscar en el Registro
Para agregar:
1. Seleccionamos la rama donde queremos agregar la subclave.
2. Vamos a Edición/Nuevo/Clave o pulsamos con el botón secundario la clave y
seleccionamos "Nuevo/Clave" del menú contextual. Se creará una clave con el nombre de
"Nueva clave".
3. Cambiamos el nombre por el deseado.
Para eliminar:
1. Seleccionamos la subclave que queremos eliminar.
2. Pulsamos "Eliminar" desde el menú "Edición" o desde le menú contextual.
Modificar los valores de una clave (figura 7.)
Tenemos tres tipos principales de valores: Cadena, Binario, DWord. Windows NT tiene
además Cadena Expandible y Cadena Múltiple. Para agregar el valor a una clave primero la
seleccionamos y después pulsamos "Nuevo" en el menú "Edición" o en el menú contextual
y seleccionamos el tipo del valor que queremos agregar.
1. Hacer respaldos de una clave antes de modificarla y así nos aseguramos que el registro
estará a salvo si las cosas no funcionan después de modificarlo.
2. Hacer respaldos de nuestra configuración para reproducirla en otra máquina o
después de formatear el disco y reinstalar Windows. Debemos tener en cuenta que
puede haber diferencias entre los registros de diferentes versiones de Windows o
Para exportar una clave, primero la seleccionamos y después pulsamos "Exportar archivo
del registro" en el menú "Registro". El archivo exportado se guardará con la extensión
*.reg, nosotros le ponemos un nombre. Debemos tener en cuenta que si queremos
exportar una clave de Windows 2000 o Windows XP a Windows 9.x, la debemos guardar
en formato de Regedit 4 que seleccionamos de la lista desplegable "Tipo" del cuadro de
diálogo "Guardar".
Y para introducir la clave guardada es suficiente con hacer un doble click sobre el archivo
guardado o seleccionar "Combinar" en el menú contextual".
Como se puede identificar, cada clave principal comienza con un "HKEY_" que iene de
"Key Handle".
HKEY_CLASSES_ROOT
Esta rama se guarda en el archivo System.dat y contiene los nombres de todos los tipos de
archivo registrados y también los manejadores de las hojas de las propiedades y otros
componentes ActiveX. Esta rama es un puntero hacia la subclave
HKEY_LOCAL_MACHINE\SOFTWARE\Classes y contiene a su vez dos tipos de claves:
Las claves de las extensiones de los tipos de archivo que contiene definiciones de los
conocidos tipos de archivo (por ejemplo, .txt, .doc, etc) y las claves de definición de clase
que especifican las propiedades de shelly OLE de una clase o tipo de documento. Entre
estas claves se encuentran los CLSID (ClassIdentifier) de los controles ActiveX.
HKEY_CURRENT_USER
Contiene la información de perfil del usuario que está usando la máquina en este
momento. Esta clave es muy útil para nosotros ya que ahí están todas nuestras
configuraciones personales y nuestras preferencias.
HKEY_LOCAL_MACHINE
Contiene los datos de configuración del equipo local. Esta información está utilizada por
las aplicaciones, controladores de dispositivos y su configuración es la misma para todos
los usuarios.
HKEY_USERS
HKEY_CURRENT_CONFIG
HKEY_DIN_DATA
Contiene la información de configuraciones que se almacenan en la RAM para optimizar el
desempeño del sistema. La información contenida en esta subclave se crea cada vez que
Windows arranca.
El registro de Windows posee una estructura inmensa y muy compleja y no existe ningún
"Catálogo general" de todas sus claves, subclaves y datos. Aquí solo se ha descrito las
partes claves del editor.
Antes de modificar el Registro, exporte las claves del Registro que desee modificar o haga
una copia de seguridad de todo el Registro. Si se produce algún problema, puede seguir
los pasos descritos en la sección "Restaurar el Registro" para restaurar el Registro a su
estado anterior. Para realizar una copia de seguridad de todo el Registro, emplee la
utilidad Copia de seguridad para hacer una copia de seguridad del estado del sistema. El
estado del sistema incluye el Registro, la Base de datos de registro de clases COM+ y sus
archivos de inicio.
Modificar el Registro
Para modificar datos del Registro, un programa debe utilizar las funciones del Registro
definidas en el siguiente sitio web de MSDN:
http://msdn2.microsoft.com/es-es/library/ms724875.aspx
Los administradores pueden modificar el Registro con el Editor del Registro (Regedit.exe o
Regedt32.exe), Directiva de grupo, Directiva del sistema o archivos del Registro (.reg), o
bien ejecutando scripts como los archivos de scripts de Visual Basic.
MMC, Gpedit.msc (Figura 8). Puede implementar la directiva de grupo en Active Directory
utilizando el complemento Usuarios y equipos de Active Directory de MMC.
Cree un archivo de entradas del Registro (.reg) que contenga los cambios del Registro y
ejecute el archivo .reg en el equipo en el que desee realizar los cambios. Puede ejecutar el
archivo .reg manualmente o mediante un script de inicio de sesión.
Aquí se describe cómo agregar, modificar o eliminar subclaves y valores del Registro
mediante un archivo de entradas de Registro (.reg). Regedit.exe utiliza archivos .reg para
importar y exportar las subclaves y valores del Registro. Puede utilizar estos archivos .reg
para distribuir de forma remota los cambios del Registro en varios equipos basados en
Windows. Cuando ejecuta un archivo .reg, su contenido se combina en el Registro local.
Por consiguiente, debe distribuir los archivos .reg con precaución.
versiónEditorRegistro
línea en blanco
[rutaRegistro1]
"nombreDato1"="tipoDatos1:valorDatos1"
nombreDato2"="tipoDatos2:valorDatos2"
línea en blanco
[rutaRegistro2]
"nombreDato3"="tipoDatos3:valorDatos3"
donde:
línea en blanco es una línea en blanco. Esto identifica el inicio de una nueva ruta del
Registro. Cada clave o subclave es una nueva ruta del Registro. Si tiene varias claves en el
archivo .reg, las líneas en blanco pueden ayudarle a examinar y solucionar problemas del
contenido.
Un archivo .reg puede contener varias rutas de Registro. Si la parte inferior de la jerarquía
en la instrucción de ruta no existe en el Registro, se crea una nueva subclave. El contenido
de los archivos de Registro se envía al Registro en el orden en que se especifica. Por
consiguiente, si desea crear una nueva subclave con otra por debajo de ella, debe escribir
las líneas en el orden correcto.
nombreDatox es el nombre del dato que desea importar. Si un dato del archivo no existe
en el Registro, el archivo .reg lo agrega (con el valor del dato). Si un dato existe, el valor
del archivo .reg sobrescribe el existente. Las comillas contienen el nombre del dato. Un
signo igual (=) sigue inmediatamente al nombre del dato.
tipoDeDatosx es el tipo de datos del valor del Registro y sigue inmediatamente al signo
igual. Para todos los tipos de datos distintos de REG_SZ (un valor de cadena), un signo de
dos puntos sigue inmediatamente al tipo de datos. Si el tipo de datos es REG_SZ, no
incluya el valor de tipo de datos ni los dos puntos. En este caso, Regedit.exe supone
REG_SZ para el tipo de datos. En la tabla (figura 9.) siguiente se muestran los tipos de
datos del Registro típicos:
valorDatosx sigue inmediatamente al signo de dos puntos (o al signo igual con REG_SZ) y
debe estar en el formato adecuado (por ejemplo, cadena o hexadecimal). Utilice el
formato hexadecimal para los datos binarios.
Nota: puede escribir varias líneas de datos para la misma ruta del Registro.
Para agregar una subclave o agregar o cambiar un valor del Registro, realice los cambios
adecuados en el Registro y, a continuación, exporte la subclave o subclaves adecuadas. Las
subclaves del Registro exportadas se guardan automáticamente como archivos .reg. Para
realizar cambios en el Registro y exportarlos a un archivo .reg, siga estos pasos:
1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en
Aceptar.
2. Busque la subclave que contenga el elemento o elementos del Registro que desee
cambiar y haga clic en ella.
3. Haga clic en Archivo y, después, en Exportar.
De este modo se hace una copia de seguridad de la subclave antes de realizar
cualquier cambio. Puede importar de nuevo este archivo en el Registro después si
sus cambios provocan algún problema.
4. En el cuadro Nombre de archivo, escriba un nombre de archivo para guardar el
archivo .reg con los elementos del Registro originales y, a continuación, haga clic
en Guardar.
Nota: use un nombre de archivo que le recuerde al contenido, por ejemplo, una
referencia al nombre de la subclave.
5. En el panel derecho, agregue o modifique los elementos del Registro que desee.
6. Repita los pasos 3 y 4 para exportar de nuevo la subclave, pero use un nombre de
archivo diferente para el archivo .reg. Puede utilizar este archivo .reg para realizar
cambios en el Registro de otro equipo.
7. Pruebe sus cambios en el equipo local. Si ocasionan algún problema, haga doble
clic en el archivo que contenga la copia de seguridad de los datos originales del
Registro para devolverlo a su estado original. Si los cambios funcionan como se
esperaba, puede distribuir el archivo .reg que creó en el paso 6 en otros equipos
utilizando los métodos de la sección "Distribuir los cambios del Registro" que se
explica más adelante.
Para cambiar el nombre de una clave o valor, elimine la clave o valor, y, a continuación,
cree una nueva clave o valor con el nuevo nombre.
Puede enviar un archivo .reg a los usuarios en un mensaje de correo electrónico, poner un
archivo .reg en un recurso compartido de red y dirigir a él a los usuarios para que lo
ejecuten, o agregar un comando a las secuencias de comandos de inicio de sesión de los
usuarios para importar automáticamente el archivo .reg cuando inicien sesión. Cuando los
usuarios ejecuten el archivo .reg, reciben los mensajes siguientes:
Editor del Registro
¿Está seguro de que desea agregar la información en ruta de archivo .reg al Registro?
Si el usuario hace clic en Sí, recibe un mensaje similar al siguiente:
Editor del Registro
Nota: si los cambios funcionan, puede enviar el archivo de registro a los usuarios
adecuados de la red.
(como la modificación del Registro) en un entorno empresarial (figura 10.). Puede utilizar
WMI en lenguajes de scripts que tienen un motor en Windows y tratan objetos de
Microsoft ActiveX. También puede emplear la utilidad de línea de comandos WMI
(Wmic.exe) para modificar el Registro de Windows.
Puede utilizar la herramienta de registro de consola para Windows (Reg.exe) con el fin de
modificar el Registro. Para obtener ayuda sobre la herramienta Reg.exe, escriba reg /? en
el símbolo del sistema y haga clic en Aceptar.
Restaurar el Registro
Para restaurar el Registro, utilice el método apropiado.
Nota: al hacer una copia de seguridad del estado del sistema también se crean copias
actualizadas de los archivos del Registro en la carpeta %SystemRoot%\Repair. Si no puede
iniciar Windows XP después de modificar el Registro.
CAPÍTULO III
VULNERABILIDAD
El asegurar la computadora puede ser más importante y de mayor utilidad que defender
la vulnerabilidad existente.
En respuesta a esto, se han determinado tres niveles diferentes para la seguridad ya sea
por la versión del sistema operativo o de acuerdo al lugar donde se encuentra operando la
máquina; de esta manera tenemos:
Home
En tales entornos, estas colocaciones de nivel de empresa no son probables para afectar la
función o ejecución del SO, sin embargo, uno debe considerar cuidadosamente el impacto
posible a las aplicaciones de software al aplicar éstos se recomiendan los controles
técnicos que XP profesional proporciona.
Una vez determinado los niveles de seguridad que se debe dar una máquina dependiendo
de su área, se llega a la conclusión rápida que todo depende del uso que se le dé a la
misma, de tal forma, que si el usuario mantiene costumbres de seguridad para con su
equipo, las medidas de seguridad prácticamente serían innecesarias, pero no siempre
ocurre esto, no solo por manejo del usuario sino por el obligado uso de dispositivos ajenos
a nuestro equipo.
Así se determinan configuraciones que son aplicables las veces que sean necesarias o
simplemente que se ejecuten como una configuración por defecto en el equipo, las
mismas que serán pre-establecidas de acuerdo con la decisión de aplicación del usuario.
Evaluación
Administración de Riesgos:
Método lógico y sistemático de establecer el contexto, identificar, analizar, evaluar, tratar,
monitorear y comunicar los riesgos asociados con una actividad, función o procesos para
minimizar pérdidas.
Diseño
Actividades a desarrollar para evitar que sucedan acciones indeseables.
Configuraciones de Seguridad efectivas basadas en estándares de la industria y
organizacionales.
Necesidad de políticas
Empleados accesando a Internet
Problemas con el uso de la red o el email
Empleados utilizando información confidencial o privada
Acceso remoto a la organización
Dependencia de los recursos informáticos
Políticas define que prácticas son o no son aceptadas.
Como concientizar
o En persona, por escrito o través de la Intranet.
o Reuniones por departamento.
o Publicar artículos, boletines, noticias.
o Crear un espacio virtual para sugerencias y comentarios.
o Enviar emails con mensajes de concientización.
o Pegar letreros en lugares estratégicos.
o Dar premios a empleados.
o Exámenes On-line.
o Crear eventos de Seguridad Informática.
Firma digital para envío de documentos
Logs en Firewalls.
Es importante tener conciencia del Service Pack y Hotfixes, estos no son pertinentes a los
sistemas operativos. Las aplicaciones individuales tienen su propio Service Pack y
necesidades de Hotfixes.
Entre las actividades propias de un proceso de Hardening se pueden contar las siguientes:
dispositivos ópticos, USB o similares, para evitar cualquier entrada de malware desde
un medio de almacenamiento externo.
Instalación segura del sistema operativo. Esto implica, entre otras cosas, el considerar
al menos dos particiones primarias (una para el sistema operativo en sí y otra para
carpetas y archivos de importancia), el uso de un sistema de archivos que tenga
prestaciones de seguridad, y el concepto de instalación mínima, es decir, evitando la
instalación de cualquier componente de sistema que no sea necesario para el
funcionamiento del sistema.
Windows introdujo varios realces de seguridad significativos. La mayor parte de los realces
significativos de seguridad se detallan en estas diez categorías generales, las cuales
permiten identificar los sectores por donde pueden ocurrir infiltraciones, Mediante la
alerta del usuario o el bloqueo de las mismas.
Bluetooth
Windows ahora proporciona desde el exterior el apoyo para las conexiones de Bluetooth.
Bluetooth se usa más comúnmente para abreviar las comunicaciones de distancia, y sirve
como un reemplazo para las conexiones infrarrojas.
Permisos de DCOM
Las máquinas Windows generalmente alojan a varios DCOM Services. Estos servicios se
pueden acceder localmente por el propio puesto de trabajo, o remotamente de otra
máquina. Aunque las llamadas locales y remotas son manipuladas de forma diferente,
pero ambos terminan pasando por el mismo motor de COM.
Service Pack 2 añade configuraciones de políticas de grupo que controlan permisos para
manejar componentes de DCOM. Los permisos son separados en dos categorías distintas:
los usuarios que pueden acceder a servicios de DCOM existentes, y usuarios que pueden
lanzar o activar servicios. Los derechos son típicamente asignados en dependencia de, sí la
solicitud de DCOM vino de la misma máquina (local), o de otra máquina (remoto).
Permisos de RPC
Los servicios de RPC se comportan similares a DCOM Services. Permiten una computadora
remota para acceder a un servicio en el puesto de trabajo. Cada servicio por separado
requiere un puerto de TCP para ser abierto en el puesto de trabajo. Antes que asignar los
puertos específicos a cada servicio, el sistema operativo proporciona un genérico
"|portmapper|"el |portmapper| sirve de un libro de dirección, les permite a clientes
determinar que el puerto es asignado a un servicio de DCOM específico.
Con Service Pack 2, Microsoft por defecto requiere de todos los clientes para autenticar
antes de ser permitido conectar un servicio en el puesto de trabajo. Además, los clientes
deben autentificarse antes de ser permitidos para inquirir el |portmapper| para localizar
un servicio de DCOM específico.
Permisos de WebDAV
Web (HTTP) basado en gestión de ficheros está llegando a ser cada vez más popular.
Usando los estándares protocoliza HTTP, los clientes pueden acceder, modificar y borrar
archivos en un servidor remoto. A medida que el protocolo se desarrolló, Microsoft ha
empotrado la tecnología más profundamente en el sistema operativo. Dentro de
Windows, es capaz de acceder archivos usando WebDAV por el mismo enlace que se
acostumbra a acceder a la red se comparte con NetBIOS o SMB.
El protocolo de HTTP usa los métodos de autenticación diferentes de los protocolos de red
de Windows tradicionales. Muchos sistemas soportan ciertos modelos de autenticación
robustos por HTTP, tales como Kerberos o NTLM. Sin embargo, los clientes y servidores
pueden negociar también la autenticación de HTTP "básica", que pasa esencialmente
Windows Firewall
cliente puede conectar sin peligro un proveedor de servicios en un canal codificado sin
tener que cambiar las contraseñas pesadas.
En este punto, ninguna de las opciones de configuración nativas existe para controlar
estas nuevas configuraciones inalámbricas. Por lo tanto, es cuestión del usuario hacer uso
de este medio y controlar su seguridad.
Windows proporciona la protección adicional contra los excesos de OverFlows en dos vías.
En primer lugar, el sistema operativo puede trabajar con el hardware para identificar las
partes específicas de la memoria como "no ejecutable" - regiones de NX. Sin embargo,
esto requiere que el hardware que soporta tal protección. Alternativa, el sistema
operativo puede ejecutar un cifrado similar de protección. No es necesario para mejorar al
nuevo hardware beneficiarse de la protección de ejecución de datos de Windows.
El centro de seguridad
DTC Control
Las transacciones se pueden coordinarse a través de los procesos múltiples que usa el
coordinador (DTC) distribuido de transacción. Todo el proceso es local a una máquina
sencilla, o se pudieron extenderse a través de varios dispositivos -- sistemas de archivos,
colas y bases de datos de mensaje, por ejemplo.
En un esfuerzo para revelar las fuentes probables de problemas, aquí se listan algunas de
las configuraciones que son conocidas por causar los problemas, y que tipos de problemas
pueden levantarse. Esto es para ayudar a diagnosticar problemas al asegurar sistemas. Ello
está sujeto a cambiar como la información se vuelve disponible.
"Ningún acceso sin los permisos anónimos explícitos". Muchas aplicaciones más viejas (y
ciertas nuevas) usan en realidad las sesiones nulas para comunicarse entre computadoras,
o entre procesos en la misma computadora. Si una aplicación no logra trabajar una vez en
una computadora la solución es "cerrarla" esto debe ser la primera configuración para
"escapar" en vez de tratar de localizar
.
Nivel de LAN Manager Autenticación
“Envié respuesta sólo de NTLMv2".
Esta configuración hará una computadora de Windows XP incapaz para compartir recursos
con otras computadoras que son no puestas para usar NTLMv2. Hará la computadora
incapaz para compartir recursos con las computadoras de Windows 95/98/Me a menos
que instalan la aplicación DSCLIENT.EXE del CD de instalación de Windows 2000.
CAPÍTULO IV
APLICACIÓN HARDENING
Periódicamente, Microsoft soltará un "roll up" de Hotfix que es a ras de tierra entre un
Hotfix y un Service Pack. El cuál es o será el más indicado y único a ser instalado hasta que
se lance uno nuevo.
Una política de contraseña fuerte puede significar una excelente solución al ataque.
Insista sobre el cambio frecuente de la contraseña.
Requiera que las contraseñas sean largas compuestas de las combinaciones casuales
de superior valor, letras, números, y caracteres especiales en minúsculas.
No permita las contraseñas en blanco.
Verificaciones de que las contraseñas aseguradas no sean repetidas.
Impida el uso de parte del nombre del usuario o ID de usuario para login o Password.
No permita el uso de las palabras de diccionario comunes.
Puede proporcionar los controles técnicos que requiere la mayor parte de esta
funcionalidad por configurar la política de contraseña del grupo de campo implícito
figura 11.
Otras opciones son los controles temporales que pueden hacer mucho para impedir el uso
de cuenta desautorizado. Estas opciones incluyen
El usuario debe cambiar la contraseña en la próxima entrada en el sistema.
La cuenta es inhabilitada
La cuenta es sensitiva y no se puede delegar
Longitud de contraseña
Por lo general, las necesidades de longitud de contraseña y de complejidad de contraseña
están acostumbradas a proteger contra los ataques de adivinanza de contraseña. Estos
ataques son relativamente no sofisticados: la ruptura es simplemente para hacer las
suposiciones repetidas, para ver si la contraseña correcta ha sido escogida. El ataque es
normalmente ejecutado en cierto sentido, para circunvenir las políticas de cierre forzoso
de cuenta. Los intentos son típicamente sistemáticos y pueden ser divididos en dos
categorías:
Los ataques de diccionario empiezan con una lista de las palabras comunes que
pueden estar acostumbrados a formar contraseñas. Las palabras pueden ser
combinadas, por una variedad de los algoritmos de "|morphing|" para mejorar
eficacia.
Los ataques de fuerza bruta repasan a la ligera todas las combinaciones posibles de
carácter. El primero " AAAA1 " es probado, entonces " AAAA2 ", entonces " AAAA3
“, y así en una vez todas las cinco contraseñas de caracteres que han sido
probadas, la búsqueda empieza de nuevo con seis contraseñas de carácter.
Protección contra la vulnerabilidad segunda, sin embargo, sólo puede ser suministrada
por el uso de los protocolos de autenticación más fuertes.
Todas las contraseñas se deben cambiar regularmente para asegurar el conocerse sólo por
los individuos autorizados para usar la cuenta.
Además de limitar las cuentas de usuario a un usuario sencillo, esto controla también el
uso de las cuentas de "papel". Las cuentas de papel típicamente pueden ser divididos
entre usuarios para mantenimiento y localizador de problemas, o ellos pueden requerirlo
por varios servicios y aplicaciones de sistema, y los privilegios asignados basados en su
propósito específico. Con el transcurso del tiempo, las contraseñas de cuenta de papel se
vuelven muy conocidas y una buena ruta para acceder recursos.
Las políticas de auditoría definen los eventos significativos que una computadora debería
tener. Las entradas o eventos principales ejecutan dos papeles importantes: proporcionan
unos medios para la supervisión casi de tiempo real del sistema, y permiten la
investigación de acciones que ocurrieron en el pasado.
Revise los eventos de entrada en el sistema, siguen la pista de todos los intentos para
acceder al puesto de trabajo. Éstos pueden venir de una entrada en el sistema interactiva
local, una entrada en el sistema de red, un proceso por partida, o aún un servicio. La
entrada en el sistema de cuenta suspendida puede mostrar una tendencia para los
ataques de contraseña; los eventos de entrada en el sistema exitosos son importantes
para identificar que el usuario quiera entrar al puesto de trabajo a un tiempo dado, los
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 97
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
eventos de "entrada en el sistema de cuenta" son generados del uso de las cuentas de
campo; esto difiere de los "eventos de entrada en el sistema".
A fin de seguir la pista de los intentos suspendidos y exitosos para crear nuevos usuarios o
grupos, nombran de nuevo usuarios o grupos, habilitan o inhabilitan usuarios, o el cambio
las contraseñas de las cuenta, habilite auditoría para los eventos de manejo de cuenta. Los
eventos de manejo de cuenta exitosos se generan también cuando una cuenta es cerrar la
puerta a, así estos eventos se vuelven importantes al determinar la causa de un cierre
forzoso de cuenta.
Similar a eventos de entrada en el sistema identifique que las cuentas están accediendo
los recursos en el puesto de trabajo. Estos eventos son generados sólo cuando las
credenciales de máquina locales son usadas. Aún si un puesto de trabajo es el miembro de
campo, es todavía posible entrar al puesto de trabajo usando una cuenta local.
Es posible seguir la pista de cuando los usuarios específicos acceden a los archivos
específicos. Esta opción sólo produce eventos cuando unos o más objetos están siendo
activamente controlados.
Cuando el " revise el cambio político " opción está establecido, cambia a derechos de
usuario, revise políticas, o políticas de confianza producirán eventos en el registro de
evento de seguridad.
El uso de privilegio es usado por todas las cuentas de usuario en una base regular. Si los
eventos de éxito y faltas son revisados, habrá gran número eventos en la reflexión del
tronco de eventos de tal uso.
Cuando se habilita esta opción, un evento es generado cada vez que una aplicación o unos
principios de usuario, hacen alto, o de otra manera cambie un proceso. Esto crea un
registro de evento muy grande muy rápidamente, y la información no es normal ni
excepcionalmente útil, a menos que está siguiendo la pista de un comportamiento muy
Los eventos de sistema de auditoría son muy importantes. Los eventos de sistema
incluyen empezar o cerrar la computadora, el evento completo se dedica a la explotación
que tiene impacto a través del sistema entero. Auditoría del éxito y eventos de faltas que
se deben habilitar.
Políticas de cuenta
Al aplicar estos valores, es importante considerar exactamente donde estos valores deben
ser aplicados para afectar los diferentes tipos de cuenta:
· Si el puesto de trabajo no es un miembro de un campo, estas políticas pueden ser
aplicadas localmente y serán firmemente aplicadas a todas las cuentas locales.
· Si el puesto de trabajo pertenece a un campo, cualquier forma que se aplique aquí no
impactará las cuentas de campo. En realidad, la política de cuenta para las cuentas de
campo puede sólo ir especificado en la política implícita de campo. La cuenta usada por
el puesto de trabajo para entrar al campo es una cuenta de campo.
· Si el puesto de trabajo pertenece a un campo, y está situado en una unidad de
organización (UO) específica, elabore la política de cuenta que pueda ser situado en esa
UO. La política de UO se aplica a todas las cuentas locales en el puesto de trabajo, y haga
caso de la norma de actuación sobre seguridad local.
usuario puede cambiar las contraseñas repetidamente. Entonces con referencia al uso de
la contraseña vieja, editar la nueva, esta actividad es impedida por limitar los cambios de
contraseña para una vez por día.
Complejidades de contraseña
Letras en mayúsculas
Letras en minúsculas
Números
Los caracteres especiales (símbolos no alfanuméricos)
Historial de contraseña
Las contraseñas se deben cambiar en una base regular. Por esa misma regla, los usuarios
no deben ser permitidos para usar pocas contraseñas una y otra vez. La colocación de
historial de contraseña de Enforce determina cuántas contraseñas previas son guardadas
para asegurar que los usuarios no pasan por un ciclo por las contraseñas regulares.
Al determinar su configuración de cuenta completa, considere el efecto combinado de la
historia de contraseña y los colocaciones de edad de contraseña máximos, e impiden que
los modelos repetitivos. Por ejemplo, si su edad de contraseña es 30 días e historia de
contraseña tiene 12 al menos, muchos usuarios pueden adivinar probabilidades de
contraseñas establecidas a una variación del mes actual ( Enero1, Febrero1 , etc.).
aplicación que requiere la codificación reversible para contraseñas está poniendo adrede
sistemas al riesgo.
Una vez que los criterios para un cierre forzoso son acercados, la cuenta llega a ser
cerrada. Sin embargo, la cuenta con referencia a-habilitado de forma automática una vez
después de la duración especificada en el " duración de cierre forzoso de cuenta."
especifique 0 minutos para tener el cierre forzoso de cuenta hasta que un administrador
manualmente restablezca la cuenta.
El usuario tiene varios intentos para entrar en su cuenta, antes del cierre forzoso, este
número de intentos es determinado por el Umbral de cierre.
Siguiendo una mala entrada en el sistema, el sistema incrementa la cuenta de los intentos
inválidos para esta cuenta. Este contador continúa para incrementar hasta el umbral de
cierre forzoso, o el contador es restablecido. El " restablezca el cierre forzoso de cuenta
después de " define con qué frecuencia el contador es restablecido.
Todos los eventos de sistema son reunidos en los diarios de evento. Todos los sistemas
Windows XP contienen tres conjuntos de diarios: Aplicación, sistema y seguridad. La
aplicación registra entradas típicamente que venga del software instalado; por ejemplo, el
software contra virus cortará un evento cuando el virus examina completo, o cuando ello
detecta un virus. El registro de sistema reúne los eventos generados por el sistema
operativo, tales como reboots de sistema. El registro de seguridad se reúne la seguridad,
revisa información como se define por la política de grupo. Todos los tres diarios pueden
contener la información útil sobre un incidente de seguridad.
El tamaño implícito de cada registro de evento es 512k. Esto ha sido estándar desde los
días de Windows NT 3.5 , cuando los discos duros estaban debajo 2 Gigabytes (GB) en
tamaño. Sin embargo, los mejoramientos de capacidad de hardware recientes deberían
dejar el espacio de almacenamiento amplio para un registro de evento de 80Mb.
Dos valores adicionales del sistema de control cuando el registro de evento es completo.
Esencialmente allí están dos posibilidades:
Continúe los eventos de entrada como ellos vienen pero arriesgan sobre grabar los
eventos importantes.
Pare los eventos de entrada
Sobregrabe eventos como necesite continúe la entrada de todo evento,
sobregrabando el evento más viejo siempre con el requisito.
Sobregrabe por el día permite sobregrabar ciertos eventos, pero no todo. Los eventos
más antiguos que un número específico de días puede ser limpiar. Una vez que todos
los eventos más viejos son sobre grabados, ningún nuevo evento es ingresado.
No Sobregrabe (aclárese los diarios manualmente) impida sobregrabar los eventos, y
nuevos eventos son perdidos cuando los rellenos de tronco de evento. El registro de
evento se debe aclarar manualmente por el administrador de sistema o una aplicación
de manejo de tronco automatizada.
Configuración de seguridad
Las colocaciones de seguridad esbozan muchas opciones muy específicas que pueda
mejorar una protección del sistema protegiendo contra una amenaza específica.
Para editar los valores de seguridad, figura 10. Escoja INICIO | Panel de Control. Clic dos
veces sobre "las herramientas administrativas, " y escoja "Políticas seguridad local". En la
ventana que aparezca, expanda las políticas locales, y clic sobre opciones de seguridad. A
los cambios hechos, clic dos veces sobre una de las colocaciones en el panel derecho, haga
los cambios apropiados, y haga clic sobre OK para salvar las colocaciones.
Aunque el sistema operativo pone muchas restricciones en una sesión nula, y ello nunca
puede ser usado para una entrada en el sistema interactiva, ello todavía puede ser posible
recoger la información significativa por esta cuenta especial anónima.
Las sesiones nulas normalmente pueden estar sin peligro incapacitando desde una
característica de herencia. Sin embargo, ciertas aplicaciones de herencia pueden cesar de
funcionar correctamente después de inhabilitar las sesiones nulas, así la comprobación es
una necesidad. Las colocaciones debajo del contorno disponible controlan dentro de
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 106
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
Windows XP para limitar exactamente lo que la información puede existir por la sesión
nula. Note que estas colocaciones afectan las cuentas de puesto de trabajo locales y sólo
recursos, pero no cuentas y porciones de campo.
Note que Windows 2000 maneja esta colocación diferentemente, aunque la red efectúa lo
mismo. En Windows 2000, estas opciones corresponden a " las restricciones adicionales
para las conexiones anónimas. "Además de otras diferencias menores en Windows 2000 y
políticas de Windows XP, y herramientas de Windows 2000 no deben ser usadas al poner
la política para Windows XP.
Cada objeto dentro del directorio activo obtiene un identificador (SID) de seguridad
binario único. Los controles de sistema operativo acceden a los recursos por su formato
de SID. SID es bien conocido, y cierto SID (administrador local y el huésped local) tienen
propiedades que divulgan el propósito real de la cuenta.
Inhabilite esta opción para impedir el usuario nulo de traduciendo los binarios SID en el
nombre real de cuenta.
Por defecto, la entrada en el sistema de sesión nula puede listar todas las cuentas dentro
de su campo. Esto presenta un riesgo de seguridad significativo, particularmente si las
contraseñas fuertes no son requeridas. Un ataque es capaz de recoger anónimamente
todas las cuentas disponibles, ellos pueden probar entonces la adivinanza básica para
localizar rápidamente cuentas con las contraseñas en blanco o muy débiles.
SAM representa el gerente de cuenta de seguridad. La base de datos de SAM tiene toda la
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 107
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
La protección de la sintaxis para esta opción: Los medios habilitados sólo verdaderamente
autenticados de entradas en el sistema pueden enumerar otras cuentas; Incapacitado
significa que todas las cuentas se pueden reunirse por la sesión nula.
Además de proteger la lista de las cuentas de usuario, ello controla también la lista del
archivo de network, establecida en el puesto de trabajo.
DEP se puede inhabilitar a todo lo ancho del sistema, o para las aplicaciones específicas.
En realidad, Microsoft también ofrece recomendaciones en cómo desplegar DEP. Sin
embargo, la más común vía para acceder a las colocaciones de DEP se ha determinado en
el panel de control. Escoja el icono de "sistema", y en la pestaña Configuración Avanzada -
>. En la ventana que abre, haga clic sobre prevención de ejecución de datos. En esta
ventana, usted puede inhabilitar DEP completamente, o sólo volver en las aplicaciones
específicas. Las diferentes opciones son disponibles si su sistema soporta DEP con base en
el hardware.
DEP puede ayudar a proteger el equipo mediante la supervisión de los programas para
garantizar que utilizan la memoria del sistema de forma segura. Si DEP advierte que un
programa del equipo usa la memoria de forma incorrecta, lo cierra y envía una
notificación al usuario.
Cada instalación de Windows XP crea una cuenta de "administrador" que da el más alto
acceso al sistema. La cuenta da el acceso posible más alto y puede desviar la mayor parte
de la seguridad, controla a la máquina local; es comparable a la cuenta "radical" en UNIX.
Muchas características de mantenimiento de sistema requieren el uso de la cuenta de
administrador. Sin embargo, en algunos los entornos, la existencia de esta cuenta puede
presentar un riesgo de seguridad. Por poner el "estatus de cuenta de administrador" para
inhabilitar, la cuenta se vuelve indisponible.
Cuando habilite, esta colocación generará una entrada de log para cada archivo que es
subida, restaure usando el " soporte o restaure " privilegio. Durante operaciones
normales, esto generará una cantidad grande de las entradas de evento, y no se exige.
Varios ataques son de soporte de usar posible o restauran privilegios. Por ejemplo, un
ataque puede sostener información sensitiva a una ubicación desautorizada. O, el ataque
puede restaurar un archivo inválido - posiblemente un |hacktool| - de un soporte
alterado.
Con Service Pack 2 para Windows XP, Microsoft introdujo los cambios significativos en el
componente distribuido en el modelo (DCOM), el modelo de medidas de seguridad DCOM
proporciona los servicios de informática en los puertos de TCP no estándar que puede ser
accedido local o remotamente.
Estas nuevas restricciones son importantes al proteger contra DCOM. Desde muchos
servicios se pueda publicar completamente el enlace de DCOM, el administrador de
máquina retiene un pequeño o ningún control sobre la autenticación. Las nuevas opciones
permiten al administrador para poner las restricciones a todo lo ancho del sistema en
todo DCOM: Todas las solicitudes de DCOM el primero debe ser autenticado, y entonces
las credenciales suministradas son igualadas contra este ACL para determinar si se otorga
el acceso. Note que muchas aplicaciones DCOM proporcionarán los controles de
seguridad más granulares para un servicio publicado específico.
Las restricciones adicionales pueden ser situadas en que las cuentas son permitidas para
activar o lanzar DCOM. Los permisos de lanzamiento son requeridos para que empiece un
servidor de COM cuando se activa. La activación es el proceso de conseguir un poder de
enlace de COM, y a veces requiera el servidor de COM para lanzarse.
Por defecto, los administradores sólo pueden activar remotamente o lanzan servicio de
DCOM. El " todos " grupo es permitido para lanzar o activar sólo de la máquina local.
Esta colocación gobierna el tipo de usuarios que tiene autoridad para quitar NTFS que
formatee los medios de la computadora. Las elecciones disponibles (liste de la mayoría
para restrictivo menor) son administradores, administradores y usuarios, o
administradores de poder y usuarios interactivos.
Usuarios que típicamente necesitan la habilidad para instalar y configurar sus propios
impresores. El usuario malicioso pudo optar por instalar un inválido o troyano que
imprima como conductor para ganar el control en el sistema.
Los usuarios impedidos de instalar los conductores de impresor pueden llevar a las
llamadas de apoyo indeseadas.
Con privilegios suficientes, los usuarios pueden crear las porciones de red de cualquier
carpeta en un puesto de trabajo de Windows. Esto se extiende para dividir una unidad de
disco compacto externamente. Esta colocación restringiría el uso de la unidad de disco
compacto definida a la entrada en el sistema interactivo local.
Cuando los usuarios instalan software de una unidad de disco compacto, y el paquete de
instalación use el instalador de Microsoft (.el |msi| empaca ), el servicio de instalador de
Windows en realidad ejecuta la instalación, el install fracasará.
De nuevo, el usuario no puede recordar que la información en todos los floppy insertados
llegue a ser expuesto.
Si una computadora es un miembro de un DOMINIO, hay una cuenta dentro del dominio.
Aunque la cuenta no puede ser usada para entradas en el sistema interactivas, puede
estar acostumbrado a autenticar a los recursos de campo. Esta colocación sólo impacta
puestos de trabajo que han unido un dominio.
En una computadora puede ver el nombre del último usuario válido que entró al sistema.
Esta información puede parecer trivial, pero ello ayuda un ataque a un puesto de trabajo a
un individuo particular, o pueda ayudar en un ataque ganar acceso a un dispositivo móvil
robado.
Los usuarios deben acceder a las políticas de uso aceptables, y ser notificado que el
sistema se puede controlar. El mensaje es comúnmente mencionado como una "bandera
de entrada en el sistema".
Este sistema es sólo para el uso de usuarios autorizados, los no identificados serán
controlados.
La sucesión típica para dejar de abrir unos flujos de puesto de trabajo es usar algo como
esto:
4. El usuario continúa intentar a la entrada en el sistema. Cada vez que una contraseña
mala es ingresada, el puesto de trabajo todavía lo compara al archivo oculto local; cuando
la comparación fracasa, hace contacto con el controlador de campo, que niegue también
que el entrada en el sistema.
5. Finalmente, el usuario entra la contraseña correcta. La comparación de puesto de
trabajo al archivo oculto local tiene éxito.
Si esta colocación es incapacitada, el usuario entonces con buen resultado abre el puesto
de trabajo. Aún con una cuenta cerrado, el usuario puede continuar entonces accediendo
recursos de red para conexiones que estaba establecido y autentique antes de la máquina
sea sido cerrado - envié por correo servidores y servidores de archivos en particular.
Habilitar esta colocación, sin embargo, añade un adicional retire se cada comparación de
puesto de trabajo exitosa con el archivo oculto local
Para mayor información, vea artículos 188700 de base de conocimiento de Microsoft, " el
contraseña de Screensaver trabaja aún si la cuenta es cerrar la puerta a " y 281250, "
información sobre abriendo un puesto de trabajo "
Cuando los usuarios autentican con tarjetas con memoria, el sistema puede estar puesto
en cerradura o salida del sistema el usuario cuando usa la tarjeta de memoria es quitada.
Esta colocación controla el comportamiento del " almacenaron nombres del usuario y las
contraseñas " característica de Windows XP. esta característica almacenan NTLM,
Kerberos, pasaporte y autenticación de SSL; no debe ser confundido con el archivo oculto
de autenticación de Internet Explorer, desde entonces es manejado separadamente.
Ciertos documentos se refieren a esta colocación como " acceso de red: No permita
nombres del usuario guardados y contraseñas a las contraseñas o credenciales seguras
para autenticación de campo”.
Esté en guardia de la sintaxis para esta opción: Habilitado guardan credenciales fuera del
archivo oculto; Incapacitado permite almacenando nombres del usuario y contraseñas.
Fuerce salida del sistema cuando las horas de entrada en el sistema expiran
Esta colocación sólo se aplica a puestos de trabajo una a un campo, como horas de
entrada en el sistema no pueden determinado para las cuentas locales. La colocación
negocia exclusivamente con conexiones usando el protocolo de SMB, y no con la sesión
interactiva de entrada en el sistema.
Ciertos sistemas corren los procesos críticos y sólo debe estar cerrar por los usuarios
autorizados. Ocasionalmente, los procesos especiales se pudieron evocar durante
arranque de sistema, a veces aún procesan. En entornos donde los reboots de sistema
anormales pudieron causar problemas, requiera una entrada en el sistema antes de los
reboots.
Los párrafos siguientes describen las colocaciones de seguridad individuales que pueden
ser aplicadas en una variedad de vías usando REGEDIT.EXE, REGEDT32.EXE, el grupo de
Policy, o Domain de grupo local Policy. Se puede consultar el sitio en Internet de Microsoft
TechNet a http://www.microsoft.com/technet. Alguna otra información de registro útil
está disponible en http://support.microsoft.com/default.aspx?scid=kb;elene-
nos;Q256986yhttp://www.microsoft.com/technet/prodtechnol/winntas/tips/winntmag/i
nreg.asp.
Dr. Watson es las utilidades de uno de Microsoft que manejan errores en las aplicaciones.
Si una aplicación produce un error que Dr. Watson puede manejar, vaciará los contenidos
de la memoria para esa aplicación a un archivo para el análisis futuro.
Similar al |autoplay| tome forma sobre, esto impone la política para cualesquiera nuevos
perfiles cree en el puesto de trabajo.
Windows también tiene la habilidad para registrar de forma automática un usuario cada
vez que la máquina se levanta precipitadamente. Ciertos usuarios pueden preferir que
este como una característica. Cierto servidor puede requerir un registro de usuario antes
de que pueda ejecutarse, así que requieren chequear esta actividad también.
Inhabilite los reboots automáticos después de ver una pantalla azul de la muerte
Si alguien ingenie para consiga el control bastante de su computadora que pueden plantar
una aplicación allí, el próximo paso es forzar su computadora para comenzar de nuevo
para registrar ese |app|. Una fácilmente vía para realizar esta tarea es forzar
programática un error que causa la computadora a choque, o "pantalla azul" que reboot la
máquina en defecto. Ponga este valor al cero para impedir este comportamiento de
sucediendo, y al menos alerta el usuario que algo no tiene razón.
Cuando los datos son transbordados a través de una red, los datos están roto abajo en el
paquete pequeño. Estos paquetes pequeños no son siempre un tamaño uniforme. Cuando
estos paquetes pequeños están rotos abajo en los tamaños más pequeños, tienen por
deber para volverse a reunir al otro fin de una ruta de red en la misma orden. Esto
siempre no va como planee, y puede usado en ciertos ataques de red.
Ponga este valor a 0 para forzar Windows para usar un 576 paquete pequeño de byte
consistente. Más los detalles están disponible en
http://support.microsoft.com/?kbid=315669.
El KeepAliveTime determina con qué frecuencia los intentos de |subsystem| de red para
verificar que una sesión de TCP es todavía activa. La colocación de 300,000 sale bien a una
solicitud cada cinco minutos.
Por defecto, una computadora corriendo NetBIOS soltará su nombre a petición. A fin de
proteger contra ataques maliciosos de liberación de nombre, ponga este valor a 1.
Microsoft también referencias en al menos un ponga que esto es para Windows 2000
Service Pack 2 o mayor.
NOTA: En el momento de esta escritura, esta funcionalidad era muy limitada, y aplíquese
sólo a dispositivos usando el conductor de Microsoft USB estandar. Costumbre
conductores de USB no son afectados por esta política.
La mejor política es prohibir las redes inalámbricas a menos que ellos encuentran el radio
acceda la política de su organización. Imponga esta prohibición incluyendo en la política la
declaración que el incumplimiento es causa de terminación de empleo.
Cada pieza del código que ejecuta en una computadora exista en un proceso. Muchos de
estos procesos empiezan como "servicios". Puede mirar una lista de procesos dando un
golpe a la tecla secundaria del ratón sobre " mi computadora " , y haga clic sobre
"conducción". Expanda "servicios y aplicaciones" y "servicios" de clic. Estos servicios son
programados para empezar o a tiempo de bota, como arranque automático o manual
normal, o inhabilite para no empezar en modo alguno.
Los servicios listaron debajo de deber ser incapacitado para proteger su computadora
contra ciertas vulnerabilidades. Estos servicios pueden restringir también cierta
funcionalidad que usted está acostumbrado a, pero nosotros hemos probado para
mantener un nivel razonable de la funcionalidad donde posible.
Más alerta
Actualizaciones automáticas
Los servicios de actualizaciones automáticos son sido publicados primero con Windows
XP. ello regularmente verifica el microsoft web site en la base, e inicie la descarga de
cualesquiera nuevas actualizaciones críticas como se vuelven disponibles. Es diseñado
para no usar el ancho de banda de red excesivo. Este servicio no instala algo se, ello haga
actualizan listo para instalar.
Clipbook
Visor de computadora
El visor de computadora ( no para ser confundido con Internet browser, tales como
Internet Explorer o Netscape ) subsistencias están en alineación de las computadoras en
una red dentro de un campo. Ello permite usuarios para "examinar" por la vecindad de
red para encontrar los recursos divididos necesitan sin conocer el nombre exacto de ese
recurso.
Desafortunadamente, ello permite todo el mundo para examinar a esos recursos antes de
verificar cualquier en cierta medida autenticación o autorización.
Inhabilitando este servicio requerirá usuarios para saber los recursos que ellos están
buscando, de nombre, y pueda resultar en un número aumentado del escritorio de ayuda
llama.
Servicio de fax
Hablando en términos generales, con el bajo costo de las máquinas de fax dedicadas, la
respuesta a segura la mayor parte del enviando por FAX a las necesidades son tener una
máquina de fax dedicada para recibir los fax.
Hablando en términos generales, los puestos de trabajo no comparten archivos con otras
computadoras. Este servicio debe ser incapacitado, o apartado. Si ello está instalado, se
debe correctamente mantenido, que es un asunto más allá del alcance de esta prueba de
características.
También parte del departamento de IIS de servicios, el servicio de IIS Admin maneja los
otros servicios de IIS. Si este servicio no está corriendo, otros servicios que son parte del
departamento de IIS no funcionará tampoco. Inhabilite este servicio. Si posible, esto debe
ser apartado de los puestos de trabajo.
Mensajero
El servicio de mensajero trabaja en tándem con el servicio más alerta. Permite los
servicios más alertas de las computadoras múltiples para enviar alarmas para
mutuamente sobre una red. La mayor parte de los usuarios pueden vivir sin el mensajero
y los servicios más alertas y todavía realizan las tareas que necesitan hacer en el
transcurso de un día normal.
Entrada en el sistema
Microsoft ha hecho las herramientas de colaboración una de las mejores que son
disponibles en el mercado hoy, pero al mismo tiempo tomaron esa herramienta
NetMeeting y probado para hacer ello en una utilidad de control remoto para el personal
de escritorio de ayuda para tomar el control de su computadora a tiempo de la necesidad.
En un mundo de los ataques de intruso y excesos de parachoques, ello parece quiera sólo
una materia del tiempo antes de una proeza es hallada, o se abusa de sólo. Si no tenga un
Tan aterrador como eses sonidos, este servicio es habilitado en defecto en cada
computadora de Windows desplegado desde el advenimiento de Windows 95. una
mayoría de las herramientas de administración remotas ha sido escrito para aprovecharse
del servicio remoto de registro para ejecutar funciones que pueden normalmente requerir
una porción de su aplicación para ser instalado localmente.
ADVERTENCIA: Por inhabilitar este servicio, usted está cortando cada habilidad para los
administradores de personal de apoyo o de campo para manejar remotamente su
computadora a menos que existe otra aplicación ya instalada en su computadora para
permitir esas funciones. Sea cauteloso que esto puede romper un gran número de
aplicaciones a todo lo ancho de la empresa.
Los puestos de trabajo no suelen usarse como SMTP envió por correo servidores. Este
servicio es instalado como parte del departamento de IIS de aplicaciones. Debe ser
incapacitado o apartado totalmente.
El protocolo simple de manejo de red (SNMP) ha sido mucho tiempo la norma aceptada
para el manejo remoto por todos los dispositivos de red guimbardas, ejes, UNIX, y
Windows igualmente. Es sido hallado recientemente que SNMP ha sido proliferar un
defecto peligrosamente explotable durante los últimos diez años más o menos. Si no
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 133
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
tenga un sistema activamente usando SNMP para manejo remoto, lo inhabilite o lo quite
del sistema.
Otra parte del protocolo de SNMP es el servicio de trampa de SNMP. Tal como su
contraparte, ello debe ser incapacitado y/o apartado.
Programador de tarea
El programador de tarea atiende los apoyos trenzando los programas de lote para la
ejecución futura. Esto pudo incluir el virus examina, los soportes, u otras funciones de
mantenimiento de sistema. Con Windows XP, la tarea puede correr bajo las credenciales
alternas, y necesariamente no tiene que correr bajo la cuenta local de sistema.
Telnet
Servicios terminales
Los servicios terminales permiten un enlace gráfico remoto al puesto de trabajo. Similar a
PcAnywhere o paquetes de software de cliente (VNC) de red virtuales, los servicios
terminales comparten usando el protocolo para buró remoto (RDP). El uso normal del
servicio terminal en un puesto de trabajo termina la sesión de entrada en el sistema
interactiva existente; sin embargo, si se habilita la asistencia remota, cualquiera sesión
existente puede ser dividida entre dos computadoras.
La proposición universal se atora y juega (UPnP) dispositivos puede ser añadido a la red, y
emisión su disponibilidad para el manejo. UPnP no debe ser confundido con el enchufe
más común y juego (PnP) caracteriza útil para el manejo de hardware. UPnP encuentra
dispositivos en la red; PnP encuentra dispositivos físicamente instalados en la
computadora. Pocos dispositivos en el mercado corrientemente requieren UPnP, y este
servicio deba ser incapacitado a menos que exija explícitamente.
Los de papaíto grande de todo explotable servicios son el servicio de World Wide Web de
Microsoft. Es la mayoría a menudo ataque la plataforma de servidor de red en la Internet
hoy. Como consecuencia, ello ha tenido la mayoría insectos encuentre, y la mayoría
defectos explotados. Este servidor no es instalado en defecto, pero no deba existir en su
puesto de trabajo medio. Si no está yendo para correctamente mantenido por el personal
con una educación en la seguridad de IIS, debe ser incapacitado o apartado.
Derechos de usuario
En conjunción con muchos de los grupos privilegiados en Windows XP, existe varios
derechos individuales que pueden ser asignados a usuarios o grupos para otorgarles
habilidades que puede ser más allá la extensión de los usuarios normales. No todos estos
derechos se aplican a Windows XP Professional.
La habilidad para acceder una computadora de la red es un derecho de usuario que puede
otorgarse o revocar en cada máquina como apropie de. Si esta lista se queda vacía,
ningunas cuentas de usuario pueden estar acostumbrados a ganar acceso a los recursos
de esta computadora de la red.
Este usuario se endereza aplique se sólo a los controladores de campo, y no tenga ningún
efecto en profesional de Windows XP.
Esta colocación política define las cuentas que puede ajustar la cantidad máxima de la
memoria asignó a un proceso.
Si los servicios terminales se habilitan, use esta colocación para explícitamente controlar
que los usuarios son permitidos para acceder remotamente el puesto de trabajo.
seguridad de archivo Windows normal para los propósitos de la ayuda levante se archivos
y carpetas. Debe ser limitado cuando sea posible.
Cree un |pagefile|
Permita la creación de un símbolo de acceso de seguridad. Este derecho nunca debe ser
dado a cada usuario.
El derecho para crear los objetos divididos permanentes debe usarse sólo por aplicaciones
en el núcleo de Windows. El núcleo ya tiene el derecho para creado tal se opone, así
ningunos usuarios alguna vez deben ser otorgado este derecho.
Depure programas
Cada usuario puede depurar sus programas, pero este derecho permite un usuario para
depurar otros procesos en una máquina. Los usuarios no deben ser otorgado este derecho
exceptúe en un entorno de desarrollo aislado donde posible.
Microsoft es pronto para soltar nueva tecnología de aplicación de remendar caliente que
requerirá este derecho para aplicar parches. Promete los reboots menos para parches que
necesitan ser aplicados. En esto luz, administradores todavía necesitan este derecho para
hacer sus trabajos. Esperanzadamente, esto no será un requerimiento permanente, y se
puede eliminar en lo sucesivo.
El " niegue que acceso " usuario se endereza siempre |supercede| el " permita el acceso "
usuario se endereza, de modo que si un usuario es listado bajo ambos derechos de
usuario, ese usuario será negar que acceso. Si no existe ningunos usuarios que se deben
permitir el acceso una computadora de la red, los todos el grupo debe listado en el "
niegue que acceso a esta computadora de la red " usuario se endereza.
Tal como el otro " niegue..." derechos de usuario, un usuario listado aquí será negar que
acceso a la entrada en el sistema como un trabajo de lote, aún si él haya sido
explícitamente otorgue ese derecho.
Tal como el otro " niegue..." derechos de usuario, un usuario listado aquí será negar que
acceso a la entrada en el sistema como un servicio, aún si él haya sido explícitamente
otorgue ese derecho.
Tal como el otro " niegue..." derechos de usuario, un usuario listado aquí será negar
acceso a la entrada en el sistema a la consola, aún si él haya sido explícitamente otorgó
ese derecho.
Similar al otro " niegue..." los derechos, grupos y cuentas en esta lista no serán capaz de
conectar el puesto de trabajo usando los servicios terminales.
Este usuario se endereza sólo aplique se a los controladores de campo. No tiene ningún
efecto en profesional de Windows XP.
Esto otorga un usuario el derecho para cerrar una computadora de la red. Debe otorgarse
sólo a administradores, y pueda ser limitado a ningunos usuarios o grupos en modo
alguno.
Este derecho de usuario permite un usuario o proceso para generar eventos para ser
añadido al registro de evento de seguridad de Windows.
La prioridad de programación es una de las colocaciones que pueden ser alteradas como
se necesita para la afinación de ejecución, pero los usuarios normales no deben tener la
habilidad para cambiar la prioridad de otros procesos.
El derecho para cerrar páginas en memoria es la habilidad para forzar datos en la memoria
física para permanecer en la memoria física, y no folie se para grabar en disco, que pueda
degradar seriamente ejecución de sistema. Este derecho de usuario es obsoleto, y debe
permanecer vacío.
defecto, los administradores tienen este derecho, pero muy raramente usa lo. Quite todos
los usuarios y grupos de este derecho.
Todo el mundo que diarios en localmente a una computadora deben ser listados aquí, o
por nombres del usuario individuales, o por los "usuarios" agrupe se.
Los usuarios individuales han la habilidad para cambiar sus propias variables de entorno,
pero los administradores y cuentas sólo que tienen este derecho puede cambiar las
variables de entorno de otros usuarios en un sistema.
Las más común tarea de mantenimiento de volumen son "|defrag|" y "|chkdsk|". Además
del impacto de ejecución potencial, este derecho pudo permitir también el acceso de bajo
nivel a archivos desviando las limitaciones de permiso estandares.
Este derecho de usuario otorga la habilidad para un usuario para controlar la ejecución de
otro usuario o proceso de no-sistema.
Cierre el sistema
Usuarios otorgaron este derecho tenga la habilidad para cerrar la computadora. Esto surte
efecto sólo si usuarios son requeridos para entrar a cierre un sistema.
Un usuario que " posee " un archivo tiene mayor autoridad sobre ese archivo que aún los
permisos sugerirían. El derecho para tomar la propiedad de un archivo es equivalente a la
habilidad para comprometer un sistema de archivos entero.
Asegure grabe en disco todo volúmenes están usando el sistema de archivos de NTFS
Desde los primeros días de dos, archivos han sido almacenados en los discos flexibles.
Estos discos dividen datos en bloques, y esos bloques son escritos a los bloques similares
en un disco físico. El "mapa" describiendo que los bloques están teniendo que los archivos
son guardados en la parte del disco llame el " archive la distribución tabula " o FAT.
Cuando DOS mover a hard disk, el mismo estilo de FAT de distribución de disco es sido
usado. los |filesystems| de FAT han cierto los puntos buenos sobre todo, es bastante
simple. Cada sistema pudo leer los discos, y si existía un problema, los datos pudieron
haber sido restaurado. Cuando los discos empezaron para criar más allá del tamaño de las
capacidades de FAT, era expandido a FAT32 , tener en cuenta los discos más grandes. Sin
embargo, FAT y FAT32 no ofrecen cada seguridad.
Para determinar si un volumen de disco es NTFS, haga clic dos veces sobre " mi
computadora " en el buró. Dé un golpe a la tecla secundaria del ratón sobre la unidad C (
la c:) y haga clic sobre propiedades. Las hoja de vidrio de propiedades para ese disco
describirán el "sistema de archivos" como FAT o NTFS.
A fin de hacer un disco de FAT en un disco de NTFS, abra un aviso de comandos ( haga clic
sobre principio-> programan-> los accesorios->aviso de comandos) y teclee " convierta c:
/fs:ntfs ". El sistema probablemente sea requerido para comenzar de nuevo para ejecutar
esta tarea. Tome la misma acción con la d: maneje y cualquier otros que sacan a luz como
discos de FAT.
Una vez que los discos han sido convertidos a la seguridad implícita de sistema de archivos
de NTFS deba ser aplicado a la guía de bota ( la c:). Abra un aviso de comandos ( haga clic
sobre principio, los programas, accesorios, y el aviso de comandos ) y represente la orden
siguiente para los puestos de trabajo:
recurso de SMB que divide las aplicaciones usará puerto de TCP y UDP 445 , y puertos
137,138 y 139 se pueda cortafuego.
Para más información sobre el cortafuego de Windows en Windows XP, vea artículo
320855 de base de conocimiento de Microsoft.
Grupos limitados
Con los grupos limitados habilite, el sistema operativo evaluará la calidad de miembro de
grupo local en la bota y cuando agrupe la política se refresca. Miembros en la política de
"grupos limitados" son comparados contra la corriente real agrupe calidad de miembro. Si
las cuentas listadas en la política no están en el grupo, se suman. Viceversa, si una cuenta
está en el grupo pero no en la política, se quita.
Use esta política para explícitamente controlar que los usuarios son permitidos para usar
el servicio para buró remoto (servicios terminales).
Plantillas administrativas
Sistema
En defecto en Service Pack 2 , todos los servicios de RPC requieren autenticación a fin de
unir, y todo anónimo llamadas se rechazan. La autenticación puede ser incapacitada por
político.
Ciertas aplicaciones pudieron ser escritas para invocar explícitamente los |callbacks| de
RPC sin autenticación, y desvían estas nuevas restricciones (el
RPC_SI_PERMITA_CALLBACKS_CON_NINGÚN_AUTH ).
Red
Windows Firewall
El cortafuego de Windows bloquea el tráfico por llegar sólo. Si no fuera por ICMP trafique,
ninguna configuración u opciones de filtro es suministrado para los paquete pequeño en
viaje de ida predominantes.
Perfil de Dominio
En defecto, todos los enlaces de red son protegidos por el servicio de cortafuego de
Windows. Si esta colocación está incapacitada, la colocación especificó en la plantilla
administrativa Network\Network uso Connections\Prohibit de cortafuego de conexión en
Internet " surta efecto.
Cuando un programa es definido como una excepción, puede recibir el tráfico de red no
solicitado en cualquier puerto pide el cortafuego para abrir. Windows soporta dos
programe las listas de excepción: un defina en política de grupo, y otro defina localmente
por el tablero de control de la máquina.
Esta colocación puede ser abierta a todos los anfitriones, al subred de comunicación local,
o a un IP específico dirija rango.
Para un puesto de trabajo para compartir archivos o localmente unir impresores, esta
colocación se debe habilitar. Esto no necesita habilitarse para el cliente para conectar
archivos en otra máquina, o para acceder un impresor remoto.
Cuando habilite, esta colocación permite el tráfico por llegar en puertos de UDP 137 y 138
, y puertos de TCP 139 y 445.
Los cortafuego de ventanas proporcionan el control granular sobre exactamente que los
mensajes ICMP se aceptan y envian. Para más información en mensajes ICMP específicos,
refiera a RFC 792, " protocolo de mensaje de control de Internet."
Prohibe notificaciones
Típicamente, cuando unos intentos de aplicación para hacer accesible un puerto de red
para estar atento a tráfico no solicitado, el usuario se notifica, y da la opción de sea
permitir este comportamiento o no. Si esta opción es incapacitada por política, la
exhibición es prohibida y la conexión es bloqueada.
A menudo el tráfico se puede enviar a una dirección difundida. Los anfitriones pueden
optar por responder a tráfico difundido; si es así, una emisión entrante sencilla paquete
pequeño puede generar un gran número de paquete pequeño de réplica de |unicast| al
remitente. Esto puede resultar en un ataque de negación de servicio.
Configure esta colocación para inhabilitar respuestas a |multicast| o los paquete pequeño
difundidos.
Puede optar por abrir los puertos específicos para su entorno de campo entero. Por
ejemplo, su contra virus o remiende los agentes de manejo pueden estar atento a las
conexiones entrantes en un puerto específico. Si es así, puede configurar todos los
clientes para dejar este puerto abra por la política de grupo definiendo lo como una
excepción portuaria.
Las excepciones portuarias pueden hacerse también en una base por máquina. Si esta
colocación se habilita, un administrador puede abrir los puertos específicos ( e.g., HTTP en
portuario 80 ) para las máquinas específicas individuales por el cortafuego de Windows
tome forma en el tablero de control.
Perfil estándar
Advertencia: El cortafuego de "perfil estandar" toma forma defina en esta guía asuma que
la computadora pertenece a un campo. Estas colocaciones son probablemente no
aproprie de para una oficina pequeña, las casa matriz o máquina de trabajo en grupo.
También no pueden ser apropiados para las corporaciones grandes con máquinas que se
mueven regularmente entre los campos. Más bien, son diseñados para proteger un
dispositivo tal como un ordenador portátil pequeño móvil que se va la red corporativa
fiable y en una red pública untrusted. El perfil estandar esbozado en esta política
protegerá la computadora cuando está en la red untrusted.
Componentes de Windows
Centro de seguridad
Encienda la seguridad central (Sólo PC de dominio )(Sólo SP2)
El centro de seguridad es útil para mostrar el alarmas significativas al usuario. En defecto,
el centro de seguridad es habilitado, y altere el usuario cuando la computadora tiene un
degradado la seguridad pose. La seguridad centra los monitores tres artículos críticos:
El software contra virus está corriendo, y firmas son al día. Esta característica se
puede inhabilitar por poner el registro teclee
HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify a 1.
Los cortafuego de ventanas están corriendo. Esta característica se puede
inhabilitar por poner el registro teclee HKLM\SOFTWARE\Microsoft\Security
Center\FirewallDisableNotify a 1.
El servicio de actualización de Windows está corriendo, y todo las actualizaciones
han sido aplicadas.
Esta característica se puede inhabilitar por poner el registro teclee
HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify a 1.
CAPÍTULO V
RESULTADOS
Los resultados que se esperan con la implementación de este proyecto de investigación son
las siguientes:
Resolver los problemas de seguridad en los sistemas operativos Microsoft, mediante la utilización
de Hardening en el Ministerio de Trasporte y Obras Públicas del Ecuador o en otra entidad. Los
usuarios tenían intrusiones en sus maquinas de hasta un 70% al año de tipo interna Figura 6. Ahora
se considera una intrusión sólo cuando es de tipo virus Figura 7.
70
60
50
40
30
20
10
0
% de trabajo % de trabajo con
seguro intruisiones
100
80
60
40
20
0
% de intruisiones % de trabjao con
por virus seguridad
Realizar pruebas sobre sistemas operativos Microsoft para determinar sus vulnerabilidades, a
través del uso de herramientas (software) de testeo. Los administradores de los sistemas y redes
hacían un escaneo de los mismos sólo en un 10% Figura 8. Las áreas de vulnerabilidad de los
sistemas con sus respectivas acciones y afectaciones los mismos que los administradores
del sistema no protegían sus sistemas en el área de software.
100
80
60
40
20
0
% De equipos % De equipos sin
con escaneo escaneo
100
80
60
40
20
0
% De ahorro % de tiempo
de tiempo nulo
100
80
60
40
20
0
% De equipos con % De equipos sin
hardening Hardening
Tareas a realizar:
NG SCORRING
TOOL
La selección debe ser necesariamente aplicada a una de las que ofrece la herramienta
ya que sin esto no se puede continuar con el análisis y podría mostrarle errores que
impiden la continuación del escaneo (fig. b).
Seleccionamos:
→ INICIO
→ DXDIAG(fig c. )
→ ENTER.
Tabla 5.1: Selección del Sistema según su trabajo y ubicación. De acuerdo a los Niveles
de Seguridad de Hardening Capitulo II Vulnerabilidad.
Después esto y haber seleccionado todo lo solicitado nos presentara una tabla en la cual
se deberá necesariamente llenar la información (fig. f). Para lo cual nos da tres tipos de
opciones Si – No – Desconoce.
La repuestas afirmativas deben ser 100% positivas, es decir que, si algún detalle de la
pregunta no cumple con su sistema y sus características simplemente es NO.
PREGUNTAS
Las siguientes preguntas representan un punto de referencia, estos ítems no pueden ser
calificados por el software automáticamente ya que algunas de estas respuestas no se
encuentran con el software y no pueden ser calificadas correctamente, Para lo cual se
pide de favor revisar las respuestas para las preguntas de abajo y verificar que su
respuesta sea precisa para el sistema en uso. No deje sin responder las preguntas con
texto en rojo.
Pregunta #1.2.1: Tiene todos los Hotfixes Críticos e Importantes disponibles e instalados a
la fecha en su Computador.
→ INICIO
→ PANEL DE CONTROL
→ PANEL DE CONTROL
→ HERRAMIENTAS ADMINISTRATIVAS
→ POLITICAS DE CUENTA
→ PANEL DE CONTROL
→ HERRAMIENTAS ADMINISTRATIVAS
→ POLITICAS DE CUENTA
→ PANEL DE CONTROL
→ HERRAMIENTAS ADMINISTRATIVAS
→ DIRECTIVAS LOCALES
Los resultados obtenidos serán analizados a través de una tabla (fig. n) donde se muestran
las deficiencias sobre seguridad determinando así las áreas de vulnerabilidad.
Dicho reporte se presenta en un formato que puede ser visualizado mediante el browser.
Resultados
Una vez realizados los cambios se notará claramente en la realización de las tareas
como el ingreso con contraseñas (fig. p), la mismas que ofrecerán correcciones para la
seguridad el momento de manipularlas. Todo dependerá del sistema que se use y el
tipo de seguridad que se le haya dado.
Manejo se software
Aplicación Syspred
Microsoft dispone de herramientas propias que pueden facilitarnos la vida para conseguir
tener múltiples equipos en nuestra red con el sistema operativo Windows XP, configurado
de la misma manera. Así, podemos realizar la instalación de un solo equipo y después
usando la herramienta sysprep.exe, clonar todos los equipos ahorrando así mucho tiempo
y dinero.
Sin embargo antes de proceder a realizar todo el proceso, necesitamos tener claras
algunas características de hardware del sistema. Entre ellas debemos tener en cuenta las
siguientes:
• Los equipos de referencia y de destino deben tener HAL compatibles. Por ejemplo, los
MPS (sistemas multiprocesador) basados en Controladora programable avanzada de
interrupciones (APIC) deben utilizar la misma HAL APIC. Un sistema basado en una HAL
estándar Controladora programable de interrupciones (PIC) no es compatible con la HAL
APIC ni con la HAL MPS.
• Los equipos de destino y de referencia deben tener la misma compatibilidad con
Interfaz avanzada de configuración y energía (ACPI).
• Los dispositivos Plug and Play de los equipos de referencia y de destino (como
módems, tarjetas de sonido, adaptadores de red y tarjetas de vídeo) no tienen por qué ser
del mismo fabricante. Sin embargo, los controladores para estos dispositivos deben estar
disponibles.
• Se requiere software de creación de imágenes de disco o dispositivos de hardware de
duplicación de discos de terceros. Estos productos crean imágenes binarias del disco duro
de un equipo y duplican la imagen en otro disco duro o almacenan la imagen en un
archivo en un disco independiente.
• El tamaño del disco duro del equipo de destino debe ser al menos igual que el del
equipo de referencia. Si el equipo de destino tiene un disco duro mayor, la diferencia no
se incluirá en la partición primaria. Sin embargo, puede utilizar la clave
ExtendOemPartition del archivo Sysprep.inf para extender la partición primaria si se
formateó utilizando el sistema de archivos NTFS.
Existen unos pasos muy concretos para realizar con éxito el duplicado del sistema en los
equipos que necesitemos. Se detallan a continuación:
1. En un equipo de referencia, instale el sistema operativo y todos los programas que
desee instalar en los equipos de destino.
2. Haga clic en Inicio y en Ejecutar, escriba cmd y haga clic en Aceptar.
3. En el símbolo del sistema, cambie a la carpeta raíz de la unidad C y escriba md
Sysprep.
Nota: para asegurarse de que está utilizando la versión correcta del archivo Deploy.cab
para su Service Pack, utilice el archivo Deploy.cab que se distribuye con ese Service Pack.
Visite el siguiente sitio web de Microsoft para descargar la versión correcta para su Service
Pack:
http://www.microsoft.com/spain/windowsxp/downloads/default.mspx
(http://www.microsoft.com/spain/windowsxp/downloads/default.mspx)
Nota: para obtener una lista de parámetros, consulte la sección “Parámetros de Sysprep”.
Si ejecuta el archivo Sysprep.exe desde la carpeta %systemdrive%\Sysprep, el archivo
Sysprep.exe quitará toda la carpeta y su contenido después de finalizar su ejecución.
CONCLUCIONES
El Hardening es una ayuda indispensable para ahorrarse bastantes dolores de cabeza por
parte de los administradores de sistemas. Entre sus ventajas, se puede contar con la
disminución de efectividad de los sistemas por incidentes de seguridad, mejoras en el
rendimiento al disminuir niveles de carga inútil en el sistema, una administración más
simple y mayor rapidez en la identificación de problemas, ya que muchas de las posibles
causas de ellos quedarán descartadas en virtud de las medidas tomadas, y finalmente la
posibilidad de poder hacer un seguimiento de los incidentes y en algunos casos identificar
el origen de los mismos. Es un trabajo que no es trivial, y que bien vale la pena hacerlo.
RECOMENDACIONES
BIBLIOGRAFÍA
[5] [ONLINE]
http://tipsdeseguridad.spaces.live.com/blog/cns!779AF69CE6408BD1!2273.trak
[8] [ONLINE]
http://www.fistconference.org/data/presentaciones/hardeningaltaseguridadbajow32.
pdf
ANEXOS
NG SCORING TOOL
Introducción a la herramienta de marcado de NG
Las herramientas de CIS Scoring habilitan a usuarios finales para verificar que la
configuración de seguridad de sistemas antes del despliegue de red, sistemas de monitor
y dispositivos de red para la conformidad progresiva con las pruebas de características, y
demostrar a auditores y socios de negocio su misión con las normas internacionalmente
aceptadas para la configuración de seguridad. Las herramientas de marcado de CIS son
basados en el anfitrión (HOST) y producen los informes qu radores de sistema para
asegurar ambas nuevas instalaciones y sistemas de producción.
Habilitan a los usuarios para comparar la configuración de sus sistemas con las
recomendaciones de prueba. Para las configuraciones de sistema que es de acuerdo con
las recomendaciones de prueba de características, la herramienta de NG relata esos
artículos de prueba de características como PASS "pase". Para las configuraciones de
sistema, NO de acuerdo con las recomendaciones de prueba de características, la
herramienta de NG relata esos artículos de prueba de características como FAILED
"fracaso" Los informes también guían a los usuarios en cómo poner los controles
recomendados en "suspender", con eso mejorando la configuración de seguridad del
sistema examinado.
Además, existen unas cuantas pruebas de características específicas donde toma forma
en algunas de las pruebas de características que la herramienta de NG no puede acceder
de forma automática. Como consecuencia, información sobre el estatus de estas
colocaciones es pedida al usuario de la herramienta de NG en la forma de respuestas a las
preguntas preguntado por la herramienta de NG cuando es corrido.
configuración en las definiciones. Define lo que los datos de sistema para reunirse y cómo
reunirlo.
Las características de sistema OVAL, el esquema define un formato de XML estándar para
almacenar información de configuración de sistema. Esta información de configuración
incluye los parámetros de sistema operativo, y otros valores de configuración pertinentes
de la seguridad. El propósito de este esquema es proporcionar una "base de datos" de las
características de sistema contra que las definiciones de OVAL pueden ser comparadas
con evaluar una configuración de sistema.
El OVAL resulta el esquema definido en un formato de XML estándar para almacenar los
resultados de una evaluación de configuración de sistema. Los datos de resultados
contienen el estado actual de la configuración de un sistema como comparado con un
conjunto de las definiciones de OVAL. Los esquemas de resultados permiten la
herramienta de NG para consumir estos datos, lo interpreta, y presenta el informe de
ello.
No Los miembro tienen acceso gratuito a la herramienta de NG del sitio Web público a
http://www.cisecurity.org. Simplemente escoja la plataforma que desea probar (
Windows, Solaris, etc...) y clic en el apropiado vincula la página principal.
Esto le tomará para una página de la plataforma específica que contenga información
sobre la herramienta de NG y la prueba de características asociada o pruebas de
características. Por favor, tome tiempo para repasar esta página como ello contiene la
información importante que puede impactar el NG la funcionalidad de herramienta en su
sistema.
Una vez que la herramienta de NG ha sido descargada a su sistema, clic dos veces la tecla
del Ratón sobre simplemente el icono de instalador para comenzar al proceso de
instalación. Este icono se puede encontrar dondequiera que le escoger para descargar el
paquete para. Tipicamente esto es el buró, pero pueda en otra parte basado en sus
preferencias de sistema. La primera pantalla que usted ve debe parecerse a este:
Usted debe acceder a los términos de CIS del uso escogiendo " acepto che los términos
del acuerdo de licencia " y escogiendo " después >".
El instalador escoge una ubicación implícita para instalar la herramienta de NG, pero
puede hacer caso de este para instalarlo dondequiera que prefiere. El instalador creará
todos los directorios ése no existe ya.
Después, escoja la instalación "típica" o "a la medida". CIS recomienda que todos los
usuarios escogen "típicos" para asegurar que todos los componentes necesitados se
instalen.
Si desee instalar otros archivos, escoja " costumbre instala " y escogen los archivos que
desea. Por favor, esté seguro de escoger los archivos para el sistema que está corriendo la
herramienta de NG en, o no trabajará.
Clic en "instalar" para terminar el proceso, una barra de estatus progresará para mostrar
el progreso de la instalación. Por lo general, la instalación debe tomar sólo 1-2 minutos.
Para empezar la herramienta de NG, haga clic en Start- > todo Programs- >el centro para
Internet Security-> marcado de CIS NG Tool- > GUI de herramienta de marcado de NG.
También, note que los "resultados" el directorio serán vacíos hasta que ha corrido la
herramienta de NG a terminación exitosa al menos un tiempo.
Note que tiene que hacer elecciones en la caja de abajo de modo que la herramienta de
NG sabe cómo quiere que su sistema se pruebe. En la caja primera, escoja el documento
de prueba de características. En este ejemplo, nosotros escogeremos prueba de
características de Windows XP profesional.
Después, escoja que perfile que usted quiere usar en la mano derecha caiga boxee abajo.
Los perfiles diferentes representan los niveles diferentes de la seguridad en la prueba de
características. Para la prueba de características de profesional de Windows XP estos
niveles son:
Herencia - colocaciones en este nivel son diseñadas para los sistemas XP profesional que
necesitan operar con los sistemas más viejos tal como Windows NT, o en entornos donde
aplicaciones de terceros más viejas exija se. Las colocaciones no son probables para
afectar la función o ejecución del sistema operativo o de aplicaciones que son corriendo
en el sistema.
La empresa móvil - estas colocaciones son casi idénticas a las colocaciones autónomas
de empresa, pero con transformaciones apropiadas para los usuarios móviles cuyos
sistemas deben hacer funcionar ambos en y lejos de la red corporativa. En los entornos
donde todos los sistemas es Windows 2000 o posterior, estas colocaciones de nivel de
empresa no son probables para afectar la función o ejecución del OS.
Sin embargo, uno debe considerar cuidadosamente el impacto posible en las aplicaciones
de software al aplicar éstos recomiendan los controles técnicos que XP profesional.
seguridad alta, " tome forma en este nivel está diseñado para los sistemas XP profesional
en que seguridad e integridad son las prioridades más altas, aún a expensas de
funcionalidad, ejecución, e interoperabilidad. Por lo tanto, cada colocación debe ser
considerado cuidadosamente y sólo aplicado por un administrador experimentado que
tiene A
Es importante escoger el nivel correcto para su sistema. Por regla general, escoger el nivel
de empresa es un compromiso bueno entre seguridad sólida y funcionalidad. Aquí
nosotros usaremos " empresa de SP2 autónomo para buró ".
Una vez que ambas selecciones han sido hechas, haga clic en la "cuenta". Para ejecución
óptima, usted debe correr sólo la herramienta de NG mientras que ningún otras
aplicaciones están corriendo.
ngtool-feedback@lists.cisecurity.org.
Para mayor información, por favor vea el archivo README. Es importante que el usuario
correctamente responde estas preguntas de modo que la herramienta de NG pueda
retornar una cuenta exacta. Por favor, tome el tiempo en verificar su sistema y escoger la
respuesta correcta.
La herramienta de NG no procederá hasta una respuesta haya sido provea para cada
pregunta.
Después que ha respondido todas las preguntas, haga clic "continúe" y la herramienta de
NG comenzará a su proceso de comprobación automatizado. Durante este tiempo, varias
cajas de estatus parecerán mantenerle informe en lo que la herramienta de NG está
haciendo.
Cuando está terminado, el " procesando complete " caja aparezca y usted puede el
anuncio que el color del tres informe vincula el lado izquierdo de la ventana de
herramienta de NG es ahora azul.
Esto indica que la herramienta de NG ha creado con buen resultado estos tres informes
./ng.sh opciones
Para mirar el HTML anuncie una vez la herramienta ha completado su operaciones, usa su
visor de Web para abrir los archivos localizados en
Hacer clic en uno de los enlaces de informe lanzará su visor de Web y exhibición el
informe escogido. Lo siguiente los visores son conocidos para de trabajo con los informes
de herramienta de NG: Internet Explorer, Mozilla/Firefox, ópera, y safari.
Esta vista sumaria del informe de prueba de características ha tres columnas. La columna
de descripción contiene el número y nombre de cada sección de prueba de
características, ítem y sub el artículo.
Las columna de artículos son abiertas en dos sub columnas que indique el paso/suspenda
el estatus de cada prueba de características ítem y sub el artículo. La herramienta relata
un artículo o sub el artículo como pase si la configuración real del sistema examinado es
el mismo o más seguro que la recomendación correspondiente de prueba de
características. Relata un artículo o sub el artículo como suspenda si la configuración real
del sistema examinado es diferente o menos segura de la recomendación de prueba de
características correspondiente.
La columna de cuenta identifica la cuenta real y posible máxima del sistema para cada
sección de prueba de características y sus artículos descendientes y sub artículos con
respecto a las recomendaciones de configuración de la prueba de características.
Para ilustrar este punto, las pruebas de características son organizadas en secciones y los
artículos descendientes y sub los artículos. Las secciones de prueba de características
contienen los niveles variantes de los artículos descendientes y sub los artículos. Cada
artículo es o una recomendación de configuración específica o una compilación de las
recomendaciones, que se identifica en el plan de numeración como sub los artículos.
Además, prueba de características ítem 2.2 comprenda se de cuatro sub los artículos:
Y sub artículo 2.2.4 comprenda se de otra capa de tres adicional sub los artículos:
La cuenta posible máxima para la prueba de características es 100 puntos. Para calcular la
cuenta posible máxima para cada nivel de la prueba de características, el NG el algoritmo
de marcado de herramienta para la prueba de características de Windows XP divide la
cuenta posible máxima total de cada nivele por el número de los descendiente
inmediatos de ese nivel. Lo siguiente los ejemplos ilustran cómo el los trabajos de
algoritmo de marcado de la herramienta NG relativos al cálculo de granes números
posibles máximos:
(2) para calcular la cuenta posible máxima para artículo 2.2, divida la cuenta posible
máxima para la sección 2 (20 puntos) por el número de sub artículos dentro de la sección
2 ( 2). Por lo tanto, la cuenta posible máxima para sección 2.2 es 10 puntos.
(3) para calcular la cuenta posible máxima para sub artículo 2.2.4, divida la cuenta posible
máxima para ítem 2.2 (10 puntos) por el número del descendiente de 2.2's de artículo sub
artículos ( 4). Por lo tanto, la cuenta posible máxima para sub artículo 2.2.4 es 2.5 puntos.
(4) para calcular la cuenta posible máxima para sub artículo 2.2.4.1, divida la cuenta
posible máxima para sub ítem 2.2.4 (2.5 puntos) por el número de sub 2.2.4's de artículo
sub artículos ( 3). Por lo tanto, la cuenta posible máxima para sub artículo 2.2.4.1 es 0.833
puntos.
Los granes números disponibles para los niveles profundos siguen el mismo modelo de
lógica como se esboza arriba.
Para calcular la cuenta real de un sistema como comparado con cada nivel de una prueba
de características, el NG el algoritmo de marcado de herramienta toma la suma de todos
los granes números reales de cada uno de un particular los niveles descendientes
inmediatos de nivel. Lo siguiente ejemplos del informe sumario anterior ilustran cómo el
NG el algoritmo de marcado de herramienta calcula la cuenta real de un nivel.
(1) para calcular la cuenta completa real de la prueba de características, sume la cuenta
real de cada sección del informe: La sección 1 la cuenta real ( 20 puntos) + La sección 2 la
cuenta real ( 7.917 puntos) + La sección 3 la cuenta real ( 7.381 puntos) + La sección 4 la
cuenta real ( 10.426 puntos) + La sección 5 la cuenta real (12.667 puntos) = 58.392 puntos
para la cuenta completa real de la prueba sistema sumisión con todas las
recomendaciones de configuración encontradas dentro de la prueba de características.
(2) para calcular la cuenta real de la sección 2, sume la cuenta real de cada uno de la
sección 2 artículos: Ítem la cuenta de 2.1's real ( 5 puntos) + Ítem la cuenta de 2.2's real
(2.917 puntos) = 7.917 puntos para la cuenta real de la sumisión del sistema de prueba
con todas las recomendaciones de configuración encuentre dentro de la sección 2 de la
prueba de características.
Los granes números reales de la sumisión del sistema de prueba con todas las
recomendaciones de configuración encontradas dentro de los niveles profundos de la
prueba de características se calculan esté usando el mismo modelo de lógica como se
esboza arriba.
La cuenta a nivel más alto relatada por la herramienta de NG es la cuenta completa (en el
color rojo en la vista sumaria del informe de prueba de características). En el informe de
muestra sobre la cuenta completa son 58.392 fuera de un posible máximo de 100 puntos.
Cómo usar el informe de prueba de características para identificar los pasos de acción
posibles
Escoger este enlace le toma adelantar abajo la página a un mayor estado detallado del "
la seguridad menor tome forma " resultados. Usted puede ver ahora específicamente que
los artículos y sub los artículos pasado y que fracase. Usted puede el anuncio que existe
tres valores posibles aquí:
En espera de una vacante para ascender: Esto significa que la herramienta de NG verificó
el artículo y encuentre que es consistente con la recomendación de prueba de
características. La herramienta de NG comprende los conceptos de " igual a ", " mayor
que " , y " menos de" esto significa que un artículo, sub el artículo pase si ello sirve para o
más seguro que la recomendación.
Escoger un artículo individual tomará le a otra sección del informe que proporciona el
detalle sobre ese específico ítem, incluyendo texto del documento real de prueba de
Para cada artículo o sub artículo, usted verá un nombre, descripción, y pase/suspenda
estatus. Verá también un campo de "tipo de verificación". Allí están tres valores posibles
para esto: OVAL, cuestionario, y ninguno.
Esté repasando esta información, usted puede aprender sobre los aspectos importantes
de su configuración de protección del sistema y cómo mejorarlo.
Permítanos volver y echar una mirada a los otros dos informes. Vuelva a las ventana de
herramienta de NG y clic principales en "informe de usuario", localizado sólo debajo del
"informe de prueba de características" en la esquina izquierda inferior de la ventana.
Una parte importante de tener un sistema seguro está haciendo seguro eses usuarios sólo
autorizados tienen acceso al sistema, así como hacer ciertos eses esos usuarios sigue el
bien se adiestra al poner y renovar sus contraseñas.
Este informe mostrará usted cada cuenta de usuario en su sistema así como cuánto
tiempo ha sido después que cambiaron su contraseña.
Usted notará en el ejemplo anterior que existe dos cuentas en este sistema.
Muchas vulnerabilidades de seguridad se pueden atribuir a servicios que corren sobre los
sistemas de computadora. Estos servicios pudieron ser de alguna importancia como un
servidor Web, participación de archivo, o aún un servicio que hacen un índice de sus
archivos para rápidamente penetrante. La práctica de seguridad buena requiere que
usted inhabilita todos los servicios que no es absolutamente necesario para esa la
operación diaria de sistema.
Este informe es diseñado para la exhibición lo que atienden está instalado en su sistema,
y si o no se habilitan o inhabilitan. La prueba de características proporciona guía en lo que
los servicios deben ser incapacitados a fin de mejorar seguridad. Esta guía se puede
proporcionar en la sección 4.1 de la prueba de características.
Los informe de servicios muestran que usted el estado de todos los servicios instalado en
su sistema. Esto es útil al determinar si no-necesidad fundamental o los servicios
inesperados son instaladas y/o corredoras en su sistema.
Cada vez corre la herramienta de NG, un nuevo directorio de tiempo sellado es creado en
los "resultados" el directorio. Esto le permite para seguir la pista de manualmente el
estatus de su sistema con el transcurso del tiempo. Los beneficios de la calidad de
miembro de CIS incluyen el derecho para recibir un tablero de instrumentos añadido eses
agregados tantean de anfitriones múltiples, relatan tendencias con el transcurso del
tiempo, y crean los informes comprensivos para la organización entera del miembro.
Para quitar la herramienta de NG, use simplemente la omisión Windows añadir / quitar
programe funcionalidad.
Clic en Start- > Panel de Control y entonces golpee dos veces la tecla del Ratón sobre en el
" añadir / quitar los programas " icono. Esta lanzará una ventana similar a éste:
Por favor, note que la lista de le programan ver en esta ventana diferencie de un sistema
al próximo. En cada caso, localice la línea de "herramienta de marcado de CIS NG", realce
Verifique que cada componente es verificado y haga clic sobre "próximo". Por favor, note
que puede uncheck ciertos componentes, con eso dejando detrás de ciertas partes de la
herramienta de NG. Sin embargo, no existe ninguna razón hacer así en este momento y
nosotros recomendamos quitar la herramienta de NG entera.
La pantalla próxima simplemente resume lo que quite se. Clic en "desinstalar" para quitar
la herramienta de NG.
Está a salvo para dejar este directorio en su sistema y requiere che muy poco espacio en
disco.
La versión de 64 bits predeterminada del Editor del Registro (Regedit.exe) que se incluye
con las versiones de 64 bits de Windows muestra las claves de 64 bits y de 32 bits. El
redirector del Registro de WOW64 presenta a los programas de 32 bits claves diferentes
para las entradas del Registro correspondientes a programas de 32 bits. En la versión de
64 bits del Editor del Registro, las claves de 32 bits se muestran bajo la clave del Registro
siguiente:
HKEY_LOCAL_MACHINE\Software\WOW6432Node
Puede ver o editar las claves y valores del Registro de 64 y de 32 bits utilizando la versión
de 64 bits predeterminada del Editor del Registro. Para ver o editar las claves de 64 bits,
debe utilizar la versión de 64 bits del Editor del Registro (Regedit.exe). También puede ver
o editar las claves y valores de 32 bits utilizando la versión de 32 bits del Editor del
Registro en la carpeta %systemroot%\Syswow64. No hay ninguna diferencia en la manera
en que se realizan las tareas en las versiones de 32 y de 64 bits del Editor del Registro.
Para abrir la versión de 32 bits de Editor del Registro, siga estos pasos:
Nota:
Debe cerrar la versión de 64 bits del Editor del Registro para poder abrir la de 32
bits (y viceversa) a menos que inicie la segunda sesión del Editor del Registro con el
modificador -m. Por ejemplo, si la versión de 64 bits del Editor del Registro ya se
está ejecutando, escriba %systemroot%\syswow64\regedit -m en el paso 2 para
iniciar la versión de 32 bits del Editor del Registro.
Para permitir la coexistencia del registro COM de 32 y de 64 bits, y los estados de los
programas, WOW64 presenta a los programas de 32 bits una vista alternativa del Registro.
Los programas de 32 bits ven un árbol HKEY_LOCAL_MACHINE\Software de 32 bits
(HKEY_LOCAL_MACHINE\Software\WOW6432Node) que es completamente diferente
del verdadero árbol HKEY_LOCAL_MACHINE\Software de 64 bits. De esta forma se aísla a
HKEY_CLASSES_ROOT, porque la parte correspondiente a cada equipo de este árbol
reside dentro de la clave del Registro siguiente:
HKEY_LOCAL_MACHINE\Software
Claves reflejadas
El reflector del Registro de WOW64 puede modificar el contenido de las claves y valores
durante el proceso de reflexión para ajustar los nombres de rutas de acceso, etcétera.
HARDENING PARA PLATAFORMA MICROSOFT WINDOWS Página 209
ESCUELA POLITÉCNICA DEL EJÉRCITO 2010
Debido a esto, el contenido de 32 bits y de 64 bits puede diferir. Se reflejan las claves
siguientes:
HKEY_LOCAL_MACHINE\Software\Classes
HKEY_LOCAL_MACHINE\Software\COM3
HKEY_LOCAL_MACHINE\Software\Ole
HKEY_LOCAL_MACHINE\Software\EventSystem
HKEY_LOCAL_MACHINE\Software\RPC
COMPUTADOR TIPO
Home
[Profile Description]
Description=NIST Windows XP Professional Legacy Security Settings
[Version]
signature="$CHICAGO$"
Revision=1
[Unicode]
Unicode=yes
[System Access]
; 1.1 - Enforce password history (Apply at the domain level)
PasswordHistorySize = 24
; 1.2 - Maximum password age (Apply at the domain level)
MaximumPasswordAge = 90
; 1.3 - Minimum password age (Apply at the domain level)
MinimumPasswordAge = 1
; 1.4 - Minimum password length (Apply at the domain level)
MinimumPasswordLength = 8
; 1.5 - Passwords must meet complexity requirements (Apply at the domain level)
PasswordComplexity = 1
; 1.6 - Store password using reversible encryption for all users in the domain (Apply at the domain level)
ClearTextPassword = 0
; 2.1 - Account lockout duration (Apply at the domain level)
LockoutDuration = 15
; 2.2 - Account lockout threshold (Apply at the domain level)
LockoutBadCount = 50
; 2.3 - Reset account lockout counter after (Apply at the domain level)
ResetLockoutCount = 15
; 5.1 - Accounts: Administrator account status
EnableAdminAccount = 1
; 5.2 - Accounts: Guest account status (Security Options)
EnableGuestAccount = 0
; 5.43 - Network access: Allow anonymous SID/Name translation (Apply at the domain level)
LSAAnonymousNameLookup = 0
; 5.54 - Network security: Force logoff when logon hours expire (Apply at the domain level)
ForceLogoffWhenHourExpire = 1
[System Log]
; 6.3 - Maximum system log size
MaximumLogSize = 16384
; 6.6 - Prevent local guests group from accessing system log
RestrictGuestAccess = 1
; 6.12 - Retention method for system log
AuditLogRetentionPeriod = 0
[Security Log]
; 6.2 - Maximum security log size
MaximumLogSize = 81920
; 6.5 - Prevent local guests group from accessing security log
RestrictGuestAccess = 1
; 6.11 - Retention method for security log
AuditLogRetentionPeriod = 0
[Application Log]
; 6.1 - Maximum application log size
MaximumLogSize = 16384
; 6.4 - Prevent local guests group from accessing application log
RestrictGuestAccess = 1
; 6.10 - Retention method for application log
AuditLogRetentionPeriod = 0
[Event Audit]
; 3.1 - Audit account logon events
AuditLogonEvents = 1
; 3.2 - Audit account management
AuditAccountManage = 1
; 3.4 - Audit logon events
AuditAccountLogon = 1
; 3.5 - Audit object access
AuditObjectAccess = 0
; 3.6 - Audit policy change
AuditPolicyChange = 1
; 3.7 - Audit privilege use
AuditPrivilegeUse = 0
; 3.8 - Audit process tracking
AuditProcessTracking = 0
; 3.9 - Audit system events
AuditSystemEvents = 1
;----------------------------------------------------------------
;Valores de Registro
;----------------------------------------------------------------
; Registry value name in full path = Type, Value
; REG_SZ (1)
; REG_EXPAND_SZ ( 2 ) // with environment variables to expand
; REG_BINARY (3)
; REG_DWORD (4)
; REG_MULTI_SZ (7)
[Registry Values]
; 5.3 - Accounts: Limit local account use of blank passwords to console logon only
MACHINE\System\Currentcontrolset\Control\Lsa\Limitblankpassworduse=4,1
; 5.12 - Devices: Allowed to format and eject removable media
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,"2"
; 5.13 - Devices: Prevent users from installing printer drivers
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1
; 5.16 - Devices: Unsigned driver installation behavior
MACHINE\Software\Microsoft\Driver Signing\Policy=3,1
; 5.20 - Domain Member: Digitally encrypt or sign secure channel data (always)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
; 5.21 - Domain Member: Digitally encrypt secure channel data (when possible)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
; 5.22 - Domain Member: Digitally sign secure channel data (when possible)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
; 5.23 - Domain Member: Disable machine account password changes
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
; 5.24 - Domain Member: Maximum machine account password age
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30
; 5.25 - Domain Member: Require Strong (Windows 2000 or later) Session Key
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,0
; 5.27 - Interactive logon: Do not display last user name
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
; 5.28 - Interactive logon: Do not require CTRL+ALT+DEL
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
; 5.29 - Interactive logon: Message text for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,This system is for the use of
authorized users only. Individuals using this computer system without authority"," or in excess of their authority"," are subject to
having all their activities on this system monitored and recorded by system personnel. Anyone using this system expressly
consents to such monitoring and is advised that if such monitoring reveals possible evidence of criminal activity"," system
personal may provide the evidence of such monitoring to law enforcement officials.
; 5.30 - Interactive logon: Message title for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"-- WARNING --"
; 5.31 - Interactive logon: Number of previous logons to cache (in case domain controller is not available)
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"2"
; 5.32 - Interactive logon: Prompt user to change password before expiration
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14
; 5.33 - Interactive logon: Require Domain Controller authentication to unlock workstation
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,1
; 5.35 - Interactive logon: Smart card removal behavior
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"1"
; 5.36 - Microsoft network client: Digitally sign communications (always)
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,0
; 5.37 - Microsoft network client: Digitally sign communications (if server agrees)
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
; 5.38 - Microsoft network client: Send unencrypted password to third-party SMB servers
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
; 5.39 - Microsoft network server: Amount of idle time required before suspending session
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15
SeRemoteShutdownPrivilege = Administrators
; 4.22 - Generate security audits
SeAuditPrivilege = *S-1-5-19,*S-1-5-20
; 4.24 - Increase scheduling priority
SeIncreaseBasePriorityPrivilege = Administrators
; 4.25 - Load and unload device drivers
SeLoadDriverPrivilege = Administrators
; 4.26 - Lock pages in memory
SeLockMemoryPrivilege =
; 4.29 - Manage auditing and security log
SeSecurityPrivilege = Administrators
; 4.30 - Modify firmware environment values
SeSystemEnvironmentPrivilege = Administrators
; 4.31 - Perform Volume Maintenance Task
SeManageVolumePrivilege = Administrators
; 4.33 - Profile system performance
SeSystemProfilePrivilege = Administrators
; 4.34 - Remove computer from docking station
SeUndockPrivilege = Administrators,Users
; 4.35 - Replace a process level token
SeAssignPrimaryTokenPrivilege = *S-1-5-20,*S-1-5-19
; 4.37 - Shut down the system
SeShutdownPrivilege = Administrators,Users
; 4.39 - Take ownership of files or other objects
SeTakeOwnershipPrivilege = Administrators
[Group Membership]
; 7.1 - Backup Operators
Backup Operators__Memberof =
Backup Operators__Members =
; 7.2 - Power Users
Power Users__Memberof =
Power Users__Members =
[File Security]
; 9.1 - arp.exe
"%SystemRoot%\System32\arp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.2 - at.exe
"%SystemRoot%\System32\at.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.3 - attrib.exe
"%SystemRoot%\System32\attrib.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.4 - cacls.exe
"%SystemRoot%\System32\cacls.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.5 - debug.exe
"%SystemRoot%\System32\debug.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.6 - edlin.exe
"%SystemRoot%\System32\edlin.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.7 - eventcreate.exe
"%SystemRoot%\System32\eventcreate.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.8 - eventtriggers.exe
"%SystemRoot%\System32\eventtriggers.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.9 - ftp.exe
"%SystemRoot%\system32\ftp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.10 - nbtstat.exe
"%SystemRoot%\System32\nbtstat.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.11 - net.exe
"%SystemRoot%\system32\net.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.12 - net1.exe
"%SystemRoot%\system32\net1.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.13 - netsh.exe
"%SystemRoot%\system32\netsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.14 - netstat.exe
"%systemRoot%\System32\netstat.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.15 - nslookup.exe
"%SystemRoot%\System32\nslookup.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.16 - ntbackup.exe
"%SystemRoot%\System32\ntbackup.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.17 - rcp.exe
"%SystemRoot%\system32\rcp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.18 - reg.exe
"%SystemRoot%\system32\reg.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.19 - regedit.exe
"%SystemRoot%\system32\regedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.20 - regedt32.exe
"%SystemRoot%\system32\regedt32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.21 - regini.exe
"%SystemRoot%\System32\regini.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.22 - regsvr32.exe
"%SystemRoot%\system32\regsvr32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.23 - rexec.exe
"%SystemRoot%\system32\rexec.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.24 - route.exe
"%SystemRoot%\system32\route.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.25 - rsh.exe
"%SystemRoot%\system32\rsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.26 - sc.exe
"%SystemRoot%\system32\sc.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.27 - secedit.exe
"%SystemRoot%\System32\secedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.28 - subst.exe
"%SystemRoot%\system32\subst.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.29 - systeminfo.exe
"%SystemRoot%\System32\systeminfo.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.30 - telnet.exe
"%SystemRoot%\system32\telnet.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.31 - tftp.exe
"%SystemRoot%\system32\tftp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.32 - tlntsvr.exe
"%SystemRoot%\system32\tlntsvr.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
[Service General Setting]
; 8.1 - Alerter
Alerter,4,""
; 8.6 - ClipBook
ClipSrv,4,""
; 8.19 - FTP Publishing Service
MSFtpsvc,4,""
; 8.22 - IIS Admin Service
IISADMIN,4,""
; 8.30 - Messenger
Messenger,4,""
; 8.33 - NetMeeting Remote Desktop Sharing
mnmsrvc,4,""
; 8.52 - Routing and Remote Access
RemoteAccess,4,""
; 8.59 - SMTPSVC (Simple Mail Transfer Protocol)
SMTPSVC,4,""
; 8.60 - SNMP
SNMP,4,""
; 8.61 - SNMPTRAP
SNMPTRAP,4,""
; 8.62 - SSDP Discovery Service
SSDPSRV,4,""
; 8.68 - Telnet
TlntSvr,4,""
; 8.85 - World Wide Web Publising Services
W3SVC,4,""
Computadora de escritorio
en la empresa
[Profile Description]
Description=NIST Windows XP Professional Enterprise Security Settings
[Version]
signature="$CHICAGO$"
Revision=1
[Unicode]
Unicode=yes
[System Access]
; 1.1 - Enforce password history (Apply at the domain level)
PasswordHistorySize = 24
; 1.2 - Maximum password age (Apply at the domain level)
MaximumPasswordAge = 90
; 1.3 - Minimum password age (Apply at the domain level)
MinimumPasswordAge = 1
; 1.4 - Minimum password length (Apply at the domain level)
MinimumPasswordLength = 8
; 1.5 - Passwords must meet complexity requirements (Apply at the domain level)
PasswordComplexity = 1
; 1.6 - Store password using reversible encryption for all users in the domain (Apply at the domain level)
ClearTextPassword = 0
; 2.1 - Account lockout duration (Apply at the domain level)
LockoutDuration = 15
; 2.2 - Account lockout threshold (Apply at the domain level)
LockoutBadCount = 50
; 2.3 - Reset account lockout counter after (Apply at the domain level)
ResetLockoutCount = 15
; 5.2 - Accounts: Guest account status (Security Options)
EnableGuestAccount = 0
; 5.43 - Network access: Allow anonymous SID/Name translation (Apply at the domain level)
LSAAnonymousNameLookup = 0
; 5.54 - Network security: Force logoff when logon hours expire (Apply at the domain level)
ForceLogoffWhenHourExpire = 1
[System Log]
; 6.3 - Maximum system log size
MaximumLogSize = 16384
; 6.6 - Prevent local guests group from accessing system log
RestrictGuestAccess = 1
; 6.12 - Retention method for system log
AuditLogRetentionPeriod = 0
[Security Log]
; 6.2 - Maximum security log size
MaximumLogSize = 81920
; 6.5 - Prevent local guests group from accessing security log
RestrictGuestAccess = 1
; 6.11 - Retention method for security log
AuditLogRetentionPeriod = 0
[Application Log]
; 6.1 - Maximum application log size
MaximumLogSize = 16384
; 6.4 - Prevent local guests group from accessing application log
RestrictGuestAccess = 1
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
; 5.29 - Interactive logon: Message text for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,This system is for the use of authorized
users only. Individuals using this computer system without authority"," or in excess of their authority"," are subject to having all their
activities on this system monitored and recorded by system personnel. Anyone using this system expressly consents to such monitoring
and is advised that if such monitoring reveals possible evidence of criminal activity"," system personal may provide the evidence of such
monitoring to law enforcement officials.
; 5.30 - Interactive logon: Message title for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"-- WARNING --"
; 5.31 - Interactive logon: Number of previous logons to cache (in case domain controller is not available)
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"2"
; 5.32 - Interactive logon: Prompt user to change password before expiration
machine\software\microsoft\windows nt\currentversion\winlogon\passwordexpirywarning=4,14
; 5.33 - Interactive logon: Require Domain Controller authentication to unlock workstation
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,1
; 5.35 - Interactive logon: Smart card removal behavior
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"1"
; 5.36 - Microsoft network client: Digitally sign communications (always)
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature=4,1
; 5.37 - Microsoft network client: Digitally sign communications (if server agrees)
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature=4,1
; 5.38 - Microsoft network client: Send unencrypted password to third-party SMB servers
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword=4,0
; 5.39 - Microsoft network server: Amount of idle time required before suspending session
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15
; 5.40 - Microsoft network server: Digitally sign communications (always)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
; 5.41 - Microsoft network server: Digitally sign communication (if client agrees)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
; 5.42 - Microsoft network server: Disconnect clients when logon hours expire (Apply at the domain level)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
; 5.44 - Network access: Do not allow anonymous enumeration of SAM accounts
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1
; 5.45 - Network access: Do not allow anonymous enumeration of SAM accounts and shares
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1
; 5.46 - Network access: Do not allow storage of credentials or .NET Passports for network authentication
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1
; 5.47 Network access: Let Everyone permissions apply to anonymous users
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
; 5.52 - Network access: Sharing and security model for local accounts
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
; 5.53 - Network security: Do not store LAN Manager hash value on next password change
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
; 5.55 - Network security: LAN Manager Authentication Level
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4
; 5.56 - Network security: LDAP client signing requirements
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1
; 5.57 - Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,537395248
; 5.58 - Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,537395248
"%SystemRoot%\system32\reg.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.19 - regedit.exe
"%SystemRoot%\system32\regedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.20 - regedt32.exe
"%SystemRoot%\system32\regedt32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.21 - regini.exe
"%SystemRoot%\System32\regini.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.22 - regsvr32.exe
"%SystemRoot%\system32\regsvr32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.23 - rexec.exe
"%SystemRoot%\system32\rexec.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.24 - route.exe
"%SystemRoot%\system32\route.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.25 - rsh.exe
"%SystemRoot%\system32\rsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.26 - sc.exe
"%SystemRoot%\system32\sc.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\secedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\subst.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\systeminfo.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\telnet.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\tftp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.32 - tlntsvr.exe
"%SystemRoot%\system32\tlntsvr.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
[Service General Setting]
; 8.1 - Alerter
Alerter,4,""
; 8.6 - ClipBook
ClipSrv,4,""
; 8.19 - FTP Publishing Service
MSFtpsvc,4,""
; 8.22 - IIS Admin Service
IISADMIN,4,""
; 8.30 - Messenger
Messenger,4,""
; 8.33 - NetMeeting Remote Desktop Sharing
mnmsrvc,4,""
; 8.52 - Routing and Remote Access
RemoteAccess,4,""
; 8.59 - SMTPSVC (Simple Mail Transfer Protocol)
SMTPSVC,4,""
; 8.60 - SNMP
SNMP,4,""
; 8.61 - SNMPTRAP
SNMPTRAP,4,""
; 8.62 - SSDP Discovery Service
SSDPSRV,4,""
; 8.68 - Telnet
TlntSvr,4,""
; 8.85 - World Wide Web Publising Services
W3SVC,4,""
Computador portátil en la
empresa
[Profile Description]
Description=NIST Windows XP Professional SOHO Security Settings
[Version]
signature="$CHICAGO$"
Revision=1
[Unicode]
Unicode=yes
[System Access]
; 1.1 - Enforce password history (Apply at the domain level)
PasswordHistorySize = 24
; 1.2 - Maximum password age (Apply at the domain level)
MaximumPasswordAge = 90
; 1.3 - Minimum password age (Apply at the domain level)
MinimumPasswordAge = 1
; 1.4 - Minimum password length (Apply at the domain level)
MinimumPasswordLength = 8
; 1.5 - Passwords must meet complexity requirements (Apply at the domain level)
PasswordComplexity = 1
; 1.6 - Store password using reversible encryption for all users in the domain (Apply at the domain level)
ClearTextPassword = 0
; 2.1 - Account lockout duration (Apply at the domain level)
LockoutDuration = 15
; 2.2 - Account lockout threshold (Apply at the domain level)
LockoutBadCount = 50
; 2.3 - Reset account lockout counter after (Apply at the domain level)
ResetLockoutCount = 15
; 5.2 - Accounts: Guest account status (Security Options)
EnableGuestAccount = 0
; 5.43 - Network access: Allow anonymous SID/Name translation (Apply at the domain level)
LSAAnonymousNameLookup = 0
; 5.54 - Network security: Force logoff when logon hours expire (Apply at the domain level)
ForceLogoffWhenHourExpire = 1
[System Log]
; 6.3 - Maximum system log size
MaximumLogSize = 16384
; 6.6 - Prevent local guests group from accessing system log
RestrictGuestAccess = 1
; 6.12 - Retention method for system log
AuditLogRetentionPeriod = 0
[Security Log]
; 6.2 - Maximum security log size
MaximumLogSize = 81920
; 6.5 - Prevent local guests group from accessing security log
RestrictGuestAccess = 1
; 6.11 - Retention method for security log
AuditLogRetentionPeriod = 0
[Application Log]
; 6.1 - Maximum application log size
MaximumLogSize = 16384
; 6.4 - Prevent local guests group from accessing application log
RestrictGuestAccess = 1
; 6.10 - Retention method for application log
AuditLogRetentionPeriod = 0
[Event Audit]
; 3.1 - Audit account logon events
AuditLogonEvents = 1
; 3.2 - Audit account management
AuditAccountManage = 1
; 3.4 - Audit logon events
AuditAccountLogon = 1
; 3.5 - Audit object access
AuditObjectAccess = 0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect=4,15
; 5.40 - Microsoft network server: Digitally sign communications (always)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature=4,1
; 5.41 - Microsoft network server: Digitally sign communication (if client agrees)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature=4,1
; 5.42 - Microsoft network server: Disconnect clients when logon hours expire (Apply at the domain level)
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff=4,1
; 5.44 - Network access: Do not allow anonymous enumeration of SAM accounts
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM=4,1
; 5.45 - Network access: Do not allow anonymous enumeration of SAM accounts and shares
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous=4,1
; 5.46 - Network access: Do not allow storage of credentials or .NET Passports for network authentication
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds=4,1
; 5.47 Network access: Let Everyone permissions apply to anonymous users
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous=4,0
; 5.52 - Network access: Sharing and security model for local accounts
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest=4,0
; 5.53 - Network security: Do not store LAN Manager hash value on next password change
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash=4,1
; 5.55 - Network security: LAN Manager Authentication Level
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel=4,4
; 5.56 - Network security: LDAP client signing requirements
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity=4,1
; 5.57 - Network security: Minimum session security for NTLM SSP based (including secure RPC) clients
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec=4,537395248
; 5.58 - Network security: Minimum session security for NTLM SSP based (including secure RPC) servers
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec=4,537395248
; 5.59 - Recovery Console: Allow automatic administrative logon
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel=4,0
; 5.62 - Shutdown: Clear virtual memory pagefile
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management\ClearPageFileAtShutdown=4,1
; 5.64 - System cryptography: Use FIPS compliant algorithms for encryption, hashing, and signing
MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy=4,1
; 5.65 - System objects: Default owner for objects created by members of the Administrators group
MACHINE\System\CurrentControlSet\Control\Lsa\NoDefaultAdminOwner=4,1
; 5.67 - System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)
MACHINE\System\CurrentControlSet\Control\Session Manager\ProtectionMode=4,1
; 5.79 - MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)
MACHINE\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt=4,1
; 5.80 - MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun=4,255
; 5.84 - MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)
MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode=4,1
; 5.85 - MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0 recommended)
MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScreenSaverGracePeriod=4,0
[Privilege Rights]
; 4.2 - Act as part of the operating system
SeTcbPrivilege =
; 4.3 - Add workstations to domain (Apply at the domain level)
SeMachineAccountPrivilege = Administrators
; 4.5 - Allow log on locally
SeInteractiveLogonRight = Users,Administrators
; 4.9 - Change the system time
SeSystemtimePrivilege = Administrators
; 4.10 - Create a pagefile
SeCreatePagefilePrivilege = Administrators
; 4.14 - Debug programs
SeDebugPrivilege = Administrators
; 4.15 - Deny access to this computer from the network
SeDenyNetworkLogonRight = Guests,Support_388945a0
; 4.21 - Force shutdown from a remote system
SeRemoteShutdownPrivilege = Administrators
; 9.16 - ntbackup.exe
"%SystemRoot%\System32\ntbackup.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.17 - rcp.exe
"%SystemRoot%\system32\rcp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.18 - reg.exe
"%SystemRoot%\system32\reg.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.19 - regedit.exe
"%SystemRoot%\system32\regedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.20 - regedt32.exe
"%SystemRoot%\system32\regedt32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.21 - regini.exe
"%SystemRoot%\System32\regini.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.22 - regsvr32.exe
"%SystemRoot%\system32\regsvr32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.23 - rexec.exe
"%SystemRoot%\system32\rexec.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.24 - route.exe
"%SystemRoot%\system32\route.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.25 - rsh.exe
"%SystemRoot%\system32\rsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
; 9.26 - sc.exe
"%SystemRoot%\system32\sc.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\secedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\subst.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\systeminfo.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\telnet.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\tftp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\tlntsvr.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
[Service General Setting]
; 8.1 - Alerter
Alerter,4,""
; 8.6 - ClipBook
ClipSrv,4,""
; 8.19 - FTP Publishing Service
MSFtpsvc,4,""
; 8.22 - IIS Admin Service
IISADMIN,4,""
; 8.30 - Messenger
Messenger,4,""
; 8.33 - NetMeeting Remote Desktop Sharing
mnmsrvc,4,""
; 8.52 - Routing and Remote Access
RemoteAccess,4,""
; 8.59 - SMTPSVC (Simple Mail Transfer Protocol)
SMTPSVC,4,""
; 8.60 - SNMP
SNMP,4,""
; 8.61 - SNMPTRAP
SNMPTRAP,4,""
; 8.62 - SSDP Discovery Service
SSDPSRV,4,""
; 8.68 - Telnet
TlntSvr,4,""
; 8.85 - World Wide Web Publising Services
W3SVC,4,""
Seguridad especializada -
La funcionalidad limitada
[Profile Description]
Description=NIST Windows XP Professional Specialized Security Limited Functionality Security Settings
[Version]
signature="$CHICAGO$"
Revision=1
[Unicode]
Unicode=yes
[System Access]
; 1.1 - Enforce password history (Apply at the domain level)
PasswordHistorySize = 24
; 1.2 - Maximum password age (Apply at the domain level)
MaximumPasswordAge = 90
; 1.3 - Minimum password age (Apply at the domain level)
MinimumPasswordAge = 1
; 1.4 - Minimum password length (Apply at the domain level)
MinimumPasswordLength = 12
; 1.5 - Passwords must meet complexity requirements (Apply at the domain level)
PasswordComplexity = 1
; 1.6 - Store password using reversible encryption for all users in the domain (Apply at the domain level)
ClearTextPassword = 0
; 2.1 - Account lockout duration (Apply at the domain level)
LockoutDuration = 15
; 2.2 - Account lockout threshold (Apply at the domain level)
LockoutBadCount = 10
; 2.3 - Reset account lockout counter after (Apply at the domain level)
ResetLockoutCount = 15
; 5.1 - Accounts: Administrator account status
EnableAdminAccount = 1
; 5.2 - Accounts: Guest account status (Security Options)
EnableGuestAccount = 0
; 5.43 - Network access: Allow anonymous SID/Name translation (Apply at the domain level)
LSAAnonymousNameLookup = 0
; 5.54 - Network security: Force logoff when logon hours expire (Apply at the domain level)
ForceLogoffWhenHourExpire = 1
[System Log]
; 6.3 - Maximum system log size
MaximumLogSize = 16384
; 6.6 - Prevent local guests group from accessing system log
RestrictGuestAccess = 1
; 6.12 - Retention method for system log
AuditLogRetentionPeriod = 0
[Security Log]
; 6.2 - Maximum security log size
MaximumLogSize = 81920
; 6.5 - Prevent local guests group from accessing security log
RestrictGuestAccess = 1
; 6.11 - Retention method for security log
AuditLogRetentionPeriod = 0
[Application Log]
; 6.1 - Maximum application log size
MaximumLogSize = 16384
; 6.4 - Prevent local guests group from accessing application log
RestrictGuestAccess = 1
; 6.10 - Retention method for application log
AuditLogRetentionPeriod = 0
[Event Audit]
; 3.1 - Audit account logon events
AuditLogonEvents = 3
; 3.2 - Audit account management
AuditAccountManage = 3
; 3.4 - Audit logon events
AuditAccountLogon = 3
; 3.5 - Audit object access
AuditObjectAccess = 2
; 3.6 - Audit policy change
AuditPolicyChange = 1
; 3.7 - Audit privilege use
AuditPrivilegeUse = 2
; 3.8 - Audit process tracking
AuditProcessTracking = 0
; 3.9 - Audit system events
AuditSystemEvents = 1
;-Valores de Registro--------------------------------------------------------------
; Registry value name in full path = Type, Value
; REG_SZ (1)
; REG_EXPAND_SZ ( 2 ) // with environment variables to expand
; REG_BINARY (3)
; REG_DWORD (4)
; REG_MULTI_SZ (7)
[Registry Values]
; 5.3 - Accounts: Limit local account use of blank passwords to console logon only
MACHINE\System\Currentcontrolset\Control\Lsa\Limitblankpassworduse=4,1
; 5.6 - Audit: Audit the access of global system objects
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects=4,0
; 5.7 - Audit: Audit the use of Backup and Restore privilege
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing=3,0
; 5.11 - Devices: Allow undock without having to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon=4,0
; 5.12 - Devices: Allowed to format and eject removable media
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateDASD=1,"0"
; 5.13 - Devices: Prevent users from installing printer drivers
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers=4,1
; 5.14 - Devices: Restrict CD-ROM access to locally logged-on user only
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms=1,"0"
; 5.15 - Devices: Restrict floppy access to locally logged-on user only
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies=1,"0"
; 5.16 - Devices: Unsigned driver installation behavior
MACHINE\Software\Microsoft\Driver Signing\Policy=3,1
; 5.20 - Domain Member: Digitally encrypt or sign secure channel data (always)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal=4,1
; 5.21 - Domain Member: Digitally encrypt secure channel data (when possible)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel=4,1
; 5.22 - Domain Member: Digitally sign secure channel data (when possible)
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel=4,1
; 5.23 - Domain Member: Disable machine account password changes
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange=4,0
; 5.24 - Domain Member: Maximum machine account password age
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge=4,30
; 5.25 - Domain Member: Require Strong (Windows 2000 or later) Session Key
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey=4,1
; 5.27 - Interactive logon: Do not display last user name
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName=4,1
; 5.28 - Interactive logon: Do not require CTRL+ALT+DEL
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD=4,0
; 5.29 - Interactive logon: Message text for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText=7,This system is for the use
of authorized users only. Individuals using this computer system without authority"," or in excess of their authority","
are subject to having all their activities on this system monitored and recorded by system personnel. Anyone using this
system expressly consents to such monitoring and is advised that if such monitoring reveals possible evidence of
criminal activity"," system personal may provide the evidence of such monitoring to law enforcement officials.
; 5.30 - Interactive logon: Message title for users attempting to log on
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption=1,"-- WARNING --"
; 5.31 - Interactive logon: Number of previous logons to cache (in case domain controller is not available)
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount=1,"0"
; 5.32 - Interactive logon: Prompt user to change password before expiration
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning=4,14
; 5.33 - Interactive logon: Require Domain Controller authentication to unlock workstation
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon=4,1
; 5.35 - Interactive logon: Smart card removal behavior
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScRemoveOption=1,"1"
; 5.73 - MSS: (DisableIPSourceRouting) IP source routing protection level (protects against packet spoofing)
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting=4,2
; 5.75 - MSS: (EnableDeadGWDetect) Allow automatic detection of dead network gateways (could lead to DoS)
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect=4,0
; 5.76 - MSS: (EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect=4,0
; 5.77 - MSS: (Hidden) Hide Computer From the Browse List (not recommended except for highly secure environments)
MACHINE\System\CurrentControlSet\Services\Lanmanserver\Parameters\Hidden=4,1
; 5.78 - MSS: (KeepAliveTime)How often keep-alive packets are sent in milliseconds
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime=4,300000
; 5.79 - MSS: (NoDefaultExempt) Enable NoDefaultExempt for IPSec Filtering (recommended)
MACHINE\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt=4,1
; 5.80 - MSS: (NoDriveTypeAutoRun) Disable Autorun for all drives (recommended)
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun=4,255
; 5.81 - MSS: (NoNameReleaseOnDemand) Allow the computer to ignore NetBIOS name release requests except from
WINS servers
MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand=4,1
; 5.82 - MSS: (NtfsDisable8dot3NameCreation) Enable the computer to stop generating 8.3 style filenames
(recommended)
MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation=4,1
; 5.83 - MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure DefaultGateway addresses (could lead to
DoS)
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery=4,0
; 5.84 - MSS: (SafeDllSearchMode) Enable Safe DLL search mode (recommended)
MACHINE\System\CurrentControlSet\Control\Session Manager\SafeDllSearchMode=4,1
; 5.85 - MSS: (ScreenSaverGracePeriod) The time in seconds before the screen saver grace period expires (0
recommended)
MACHINE\SYSTEM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ScreenSaverGracePeriod=4,0
; 5.86 - MSS: (SynAttackProtect) Syn attack protection level (protects against DoS)
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=4,1
; 5.87 - MSS: (TCPMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not
acknowledged
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions=4,2
; 5.88 - MSS: (TCPMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3 recommended, 5
is default)
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions=4,3
; 5.89 - MSS: (WarningLevel) Percentage threshold for the security event log at which the system will generate a warning
MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel=4,90
[Privilege Rights]
; 4.1 - Access this computer from the network
SeNetworkLogonRight = Administrators
; 4.2 - Act as part of the operating system
SeTcbPrivilege =
; 4.3 - Add workstations to domain (Apply at the domain level)
SeMachineAccountPrivilege = Administrators
; 4.4 - Adjust memory quotas for a process
SeIncreaseQuotaPrivilege = Administrators,*S-1-5-19,*S-1-5-20
; 4.5 - Allow log on locally
SeInteractiveLogonRight = Users,Administrators
; 4.6 - Allow logon through Terminal Service
SeRemoteInteractiveLogonRight =
; 4.7 - Back up files and directories
SeBackupPrivilege = Administrators
; 4.8 - Bypass traverse checking
SeChangeNotifyPrivilege = Administrators,Users
; 4.9 - Change the system time
SeSystemtimePrivilege = Administrators
; 4.10 - Create a pagefile
SeCreatePagefilePrivilege = Administrators
; 4.11 - Create a token object
SeCreateTokenPrivilege =
; 4.13 - Create permanent shared objects
SeCreatePermanentPrivilege =
; 4.14 - Debug programs (require by some MS installer programs use to install MS hotfixes)
SeDebugPrivilege =
"%SystemRoot%\system32\net.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\net1.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\netsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%systemRoot%\System32\netstat.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\nslookup.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\ntbackup.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\rcp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\reg.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\regedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\regedt32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\regini.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\regsvr32.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\rexec.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\route.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\rsh.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\sc.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\secedit.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\subst.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\System32\systeminfo.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\telnet.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\tftp.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
"%SystemRoot%\system32\tlntsvr.exe",2,"D:PAR(A;OICI;FA;;;BA)(A;OICI;FA;;;SY)"
[Service General Setting]
; 8.1 - Alerter
Alerter,4,""
; 8.6 - ClipBook
ClipSrv,4,""
; 8.9 - Computer Browser
Browser,4,""
; 8.18 - Fax
Fax,4,""
; 8.19 - FTP Publishing Service
MSFtpsvc,4,""
; 8.22 - IIS Admin Service
IISADMIN,4,""
; 8.24 - Indexing Service
CiSvc,4,""
; 8.30 - Messenger
Messenger,4,""
; 8.33 - NetMeeting Remote Desktop Sharing
mnmsrvc,4,""
; 8.47 - Remote Desktop Help Session Manage
RDSessMgr,4,""
; 8.52 - Routing and Remote Access
RemoteAccess,4,""
; 8.59 - SMTPSVC (Simple Mail Transfer Protocol)
SMTPSVC,4,""
; 8.60 - SNMP
SNMP,4,""
; 8.61 - SNMPTRAP
SNMPTRAP,4,""
; 8.62 - SSDP Discovery Service
SSDPSRV,4,""
; 8.65 - Task Scheduler
Schedule,4,""
; 8.68 - Telnet
TlntSvr,4,""
; 8.69 - Terminal Services
TermService,4,""
; 8.73 - Universal Plug and Play Device Host
upnphost,4,""
; 8.85 - World Wide Web Publising Services
W3SVC,4,""
WINDOWS SERVER
CONTROLADORES DE
DOMINIO
[version]
signature="$CHICAGO$"
DriverVer=10/01/2002,5.2.3790.0
[Register Registry Values] ; ; Syntax: RegPath,RegType,DisplayName,DisplayType,Options ; where ; RegPath: Includes the registry
keypath and value ; RegType: 1 - REG_SZ, 2 - REG_EXPAND_SZ, 3 - REG_BINARY, 4 - REG_DWORD, 7 - REG_MULTI_SZ ; Display Name: Is
a localizable string defined in the [strings] section ; Display type: 0 - boolean, 1 - Number, 2 - String, 3 - Choices, 4 - Multivalued, 5 -
Bitmask ; Options: If Displaytype is 3 (Choices) or 5 (Bitmask), then specify the range of values and corresponding display strings ; in
value|displaystring format separated by a comma.
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects,4,%AuditBaseObjects%,0
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail,4,%CrashOnAuditFail%,0
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds,4,%DisableDomainCreds%,0
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous,4,%EveryoneIncludesAnonymous%,0
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest,4,%ForceGuest%,3,0|%Classic%,1|%GuestBased%
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing,3,%FullPrivilegeAuditing%,0
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse,4,%LimitBlankPasswordUse%,0
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel,4,%LmCompatibilityLevel%,3,0|%LMCLevel0%,1|%LMCLevel1
%,2|%LMCLevel2%,3|%LMCLevel3%,4|%LMCLevel4%,5|%LMCLevel5%
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec,4,%NTLMMinClientSec%,5,16|%NTLMIntegrity%,32|%N
TLMConfidentiality%,524288|%NTLMv2Session%,536870912|%NTLM128%
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec,4,%NTLMMinServerSec%,5,16|%NTLMIntegrity%,32|%
NTLMConfidentiality%,524288|%NTLMv2Session%,536870912|%NTLM128%
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash,4,%NoLMHash%,0
MACHINE\System\CurrentControlSet\Control\Lsa\NoDefaultAdminOwner,4,%NoDefaultAdminOwner%,3,0|%DefaultOwner0%,1|%Def
aultOwner1% MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous,4,%RestrictAnonymous%,0
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM,4,%RestrictAnonymousSAM%,0
MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl,4,%SubmitControl%,0
MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy,4,%FIPS%,0
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers,4,%AddPrintDrivers%,0
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine,7,%AllowedPaths%,4
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine,7,%AllowedExactPaths%,4
MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive,4,%ObCaseInsensitive%,0
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown,4,%ClearPageFileAtShutdown%,0 MACHINE\System\CurrentControlSet\Control\Session
Manager\ProtectionMode,4,%ProtectionMode%,0 MACHINE\System\CurrentControlSet\Control\Session
Manager\SubSystems\optional,7,%OptionalSubSystems%,4
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature,4,%EnableSMBSignServer%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature,4,%RequireSMBSignServer%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff,4,%EnableForcedLogoff%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect,4,%AutoDisconnect%,1,%Unit-Minutes%
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess,4,%RestrictNullSessAccess%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes,7,%NullPipes%,4
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares,7,%NullShares%,4
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature,4,%EnableSMBSignRDR%,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature,4,%RequireSMBSignRDR%,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword,4,%EnablePlainTextPasswor
d%,0
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity,4,%LDAPClientIntegrity%,3,0|%LDAPClient0%,1|%LDAPClient
1%,2|%LDAPClient2%
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange,4,%DisablePWChange%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge,4,%MaximumPWAge%,1,%Unit-Days%
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RefusePasswordChange,4,%RefusePWChange%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel,4,%SignSecureChannel%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel,4,%SealSecureChannel%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal,4,%SignOrSeal%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey,4,%StrongKey%,0
MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity,4,%LDAPServerIntegrity%,3,1|%LDAPServer1%,2
|%LDAPServer2% MACHINE\Software\Microsoft\Driver
Signing\Policy,3,%DriverSigning%,3,0|%DriverSigning0%,1|%DriverSigning1%,2|%DriverSigning2%
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD,4,%DisableCAD%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName,4,%DontDisplayLastUserName%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption,1,%LegalNoticeCaption%,2
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText,7,%LegalNoticeText%,4
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption,4,%ScForceOption%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon,4,%ShutdownWithoutLogon%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon,4,%UndockWithoutLogon%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel,4,%RCAdmin%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand,4,%RCSet%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms,1,%AllocateCDRoms%,0
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\AllocateDASD,1,%AllocateDASD%,3,0|%AllocateDASD0%,1|%AllocateDASD1%,2|%AllocateDASD2%
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies,1,%AllocateFloppies%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount,1,%CachedLogonsCount%,1,%Unit-
Logons% MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon,4,%ForceUnlockLogon%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning,4,%PasswordExpiryWarning%,1,%Unit-
Days% MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ScRemoveOption,1,%ScRemove%,3,0|%ScRemove0%,1|%ScRemove1%,2|%ScRemove2%
MACHINE\Software\Policies\Microsoft\Cryptography\ForceKeyProtection,4,%ForceHighProtection%,3,0|%CryptAllowNoUI%,1|%Crypt
AllowNoPass%,2|%CryptUsePass%
MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled,4,%AuthenticodeEnabled%,0 ; delete
these values from the UI - Rdr in case NT4 w SCE MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DisableCAD
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ShutdownWithoutLogon MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CmdConsSecurityLevel MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print
Services\AddPrintDrivers MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\EnableSecuritySignature
MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\RequireSecuritySignature
MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\EnablePlainTextPassword
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnablePlainTextPassword
MACHINE\Software\Microsoft\Windows\CurrentVersion\NetCache\EncryptEntireCache MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\EFS\AlgorithmID MACHINE\Software\Microsoft\Non-Driver Signing\Policy
MACHINE\Software\Policies\Microsoft\Cryptography\ForceHighProtection ;================================ MSS Values
================================
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect,4,%EnableICMPRedirect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect,4,%SynAttackProtect%,3,0|%SynAttackProtect0%,1
|%SynAttackProtect1%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect,4,%EnableDeadGWDetect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery,4,%EnablePMTUDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime,4,%KeepAliveTime%,3,150000|%KeepAliveTime0%,30
0000|%KeepAliveTime1%,600000|%KeepAliveTime2%,1200000|%KeepAliveTime3%,2400000|%KeepAliveTime4%,3600000|%KeepAliv
eTime5%,7200000|%KeepAliveTime6%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting,4,%DisableIPSourceRouting%,3,0|%DisableIP
SourceRouting0%,1|%DisableIPSourceRouting1%,2|%DisableIPSourceRouting2%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions,4,%TcpMaxConnectRespon
seRetransmissions%,3,0|%TcpMaxConnectResponseRetransmissions0%,1|%TcpMaxConnectResponseRetransmissions1%,2|%TcpMaxC
onnectResponseRetransmissions2%,3|%TcpMaxConnectResponseRetransmissions3%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions,4,%TcpMaxDataRetransmissions%,1
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery,4,%PerformRouterDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TCPMaxPortsExhausted,4,%TCPMaxPortsExhausted%,1
MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand%,0
MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation,4,%NtfsDisable8dot3NameCreation%,0
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun,4,%NoDriveTypeAutoRun%,3,0|%N
oDriveTypeAutoRun0%,255|%NoDriveTypeAutoRun1%
MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel,4,%WarningLevel%,3,50|%WarningLevel0%,60|%War
ningLevel1%,70|%WarningLevel2%,80|%WarningLevel3%,90|%WarningLevel4% MACHINE\SYSTEM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ScreenSaverGracePeriod,4,%ScreenSaverGracePeriod%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\DynamicBacklogGrowthDelta,4,%DynamicBacklogGrowthDelta%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\EnableDynamicBacklog,4,%EnableDynamicBacklog%,0
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\MinimumDynamicBacklog,4,%MinimumDynamicBacklog%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\MaximumDynamicBacklog,4,%MaximumDynamicBacklog%,3,10000|%
MaximumDynamicBacklog0%,15000|%MaximumDynamicBacklog1%,20000|%MaximumDynamicBacklog2%,40000|%MaximumDynami
cBacklog3%,80000|%MaximumDynamicBacklog4%,160000|%MaximumDynamicBacklog5%
Allow automatic administrative logon" RCSet="Recovery console: Allow floppy copy and access to all drives and all folders"
;================================ Shutdown
============================================================================ ShutdownWithoutLogon="Shutdown:
Allow system to be shut down without having to log on" ClearPageFileAtShutdown="Shutdown: Clear virtual memory pagefile"
ProtectionMode = "System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)"
NoDefaultAdminOwner = "System objects: Default owner for objects created by members of the Administrators group" DefaultOwner0
= "Administrators group" DefaultOwner1 = "Object creator" ObCaseInsensitive = "System objects: Require case insensitivity for non-
Windows subsystems" ;================================ System cryptography
================================================================= FIPS="System cryptography: Use FIPS compliant
algorithms for encryption, hashing, and signing"ForceHighProtection="System cryptography: Force strong key protection for user keys
stored on the computer" CryptAllowNoUI="User input is not required when new keys are stored and used" CryptAllowNoPass="User is
prompted when the key is first used" CryptUsePass="User must enter a password each time they use a key"
;================================ System Settings
===================================================================== AuthenticodeEnabled = "System settings: Use
Certificate Rules on Windows Executables for Software Restriction Policies" OptionalSubSystems = "System settings: Optional
subsystems" Unit-Logons="logons" Unit-Days="days" Unit-Minutes="minutes" Unit-Seconds="seconds"
;================================ MSS Settings ================================ EnableICMPRedirect = "MSS:
(EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes" SynAttackProtect = "MSS: (SynAttackProtect) Syn attack
protection level (protects against DoS)" SynAttackProtect0 = "No additional protection, use default settings" SynAttackProtect1 =
"Connections time out sooner if a SYN attack is detected" EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic
detection of dead network gateways (could lead to DoS)" EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic
detection of MTU size (possible DoS by an attacker using a small MTU)" KeepAliveTime = "MSS: How often keep-alive packets are sent
in milliseconds" KeepAliveTime0 ="150000 or 2.5 minutes" KeepAliveTime1 ="300000 or 5 minutes (recommended)" KeepAliveTime2
="600000 or 10 minutes" KeepAliveTime3 ="1200000 or 20 minutes" KeepAliveTime4 ="2400000 or 40 minutes" KeepAliveTime5
="3600000 or 1 hour" KeepAliveTime6 ="7200000 or 2 hours (default value)" DisableIPSourceRouting = "MSS: (DisableIPSourceRouting)
IP source routing protection level (protects against packet spoofing)" DisableIPSourceRouting0 = "No additional protection, source
routed packets are allowed" DisableIPSourceRouting1 = "Medium, source routed packets ignored when IP forwarding is enabled"
DisableIPSourceRouting2 = "Highest protection, source routing is completely disabled" TcpMaxConnectResponseRetransmissions =
"MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged"
TcpMaxConnectResponseRetransmissions0 = "No retransmission, half-open connections dropped after 3
seconds"TcpMaxConnectResponseRetransmissions1 = "3 seconds, half-open connections dropped after 9 seconds"
TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, half-open connections dropped after 21 seconds"
TcpMaxConnectResponseRetransmissions3 = "3, 6, & 9 seconds, half-open connections dropped after 45 seconds"
TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3
recommended, 5 is default)" PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default
Gateway addresses (could lead to DoS)" TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted) How many dropped connect
requests to initiate SYN attack protection (5 is recommended)" NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) Allow
the computer to ignore NetBIOS name release requests except from WINS servers" NtfsDisable8dot3NameCreation = "MSS: Enable the
computer to stop generating 8.3 style filenames" NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives" NoDriveTypeAutoRun0 =
"Null, allow Autorun" NoDriveTypeAutoRun1 = "255, disable Autorun for all drives" WarningLevel = "MSS: Percentage threshold for the
security event log at which the system will generate a warning" WarningLevel0 = "50%" WarningLevel1 = "60%" WarningLevel2 = "70%"
WarningLevel3 = "80%" WarningLevel4 = "90%" ScreenSaverGracePeriod = "MSS: The time in seconds before the screen saver grace
period expires (0 recommended)" DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to
create when additional connections are necessary for Winsock applications (10 recommended)" EnableDynamicBacklog = "MSS: (AFD
EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)" MinimumDynamicBacklog = "MSS: (AFD
MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack,
10 otherwise)" MaximumDynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for
Winsock applications" MaximumDynamicBacklog0 = "10000" MaximumDynamicBacklog1 = "15000" MaximumDynamicBacklog2 =
"20000 (recommended)" MaximumDynamicBacklog3 = "40000" MaximumDynamicBacklog4 = "80000" MaximumDynamicBacklog5 =
"160000" SafeDllSearchMode = "MSS: Enable Safe DLL search mode (recommended)"
WINDOWS SERVER
SERVIDORES MIEMBROS
DE DOMINIO
[version]
signature="$CHICAGO$"
DriverVer=10/01/2002,5.2.3790.0
[Register Registry Values] ; ; Syntax: RegPath,RegType,DisplayName,DisplayType,Options ; where ; RegPath: Includes the registry
keypath and value ; RegType: 1 - REG_SZ, 2 - REG_EXPAND_SZ, 3 - REG_BINARY, 4 - REG_DWORD, 7 - REG_MULTI_SZ ; Display Name: Is
a localizable string defined in the [strings] section ; Display type: 0 - boolean, 1 - Number, 2 - String, 3 - Choices, 4 - Multivalued, 5 -
Bitmask ; Options: If Displaytype is 3 (Choices) or 5 (Bitmask), then specify the range of values and corresponding display strings ; in
value|displaystring format separated by a comma.
MACHINE\System\CurrentControlSet\Control\Lsa\AuditBaseObjects,4,%AuditBaseObjects%,0
MACHINE\System\CurrentControlSet\Control\Lsa\CrashOnAuditFail,4,%CrashOnAuditFail%,0
MACHINE\System\CurrentControlSet\Control\Lsa\DisableDomainCreds,4,%DisableDomainCreds%,0
MACHINE\System\CurrentControlSet\Control\Lsa\EveryoneIncludesAnonymous,4,%EveryoneIncludesAnonymous%,0
MACHINE\System\CurrentControlSet\Control\Lsa\ForceGuest,4,%ForceGuest%,3,0|%Classic%,1|%GuestBased%
MACHINE\System\CurrentControlSet\Control\Lsa\FullPrivilegeAuditing,3,%FullPrivilegeAuditing%,0
MACHINE\System\CurrentControlSet\Control\Lsa\LimitBlankPasswordUse,4,%LimitBlankPasswordUse%,0
MACHINE\System\CurrentControlSet\Control\Lsa\LmCompatibilityLevel,4,%LmCompatibilityLevel%,3,0|%LMCLevel0%,1|%LMCLevel1
%,2|%LMCLevel2%,3|%LMCLevel3%,4|%LMCLevel4%,5|%LMCLevel5%
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinClientSec,4,%NTLMMinClientSec%,5,16|%NTLMIntegrity%,32|%N
TLMConfidentiality%,524288|%NTLMv2Session%,536870912|%NTLM128%
MACHINE\System\CurrentControlSet\Control\Lsa\MSV1_0\NTLMMinServerSec,4,%NTLMMinServerSec%,5,16|%NTLMIntegrity%,32|%
NTLMConfidentiality%,524288|%NTLMv2Session%,536870912|%NTLM128%
MACHINE\System\CurrentControlSet\Control\Lsa\NoLMHash,4,%NoLMHash%,0
MACHINE\System\CurrentControlSet\Control\Lsa\NoDefaultAdminOwner,4,%NoDefaultAdminOwner%,3,0|%DefaultOwner0%,1|%Def
aultOwner1% MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymous,4,%RestrictAnonymous%,0
MACHINE\System\CurrentControlSet\Control\Lsa\RestrictAnonymousSAM,4,%RestrictAnonymousSAM%,0
MACHINE\System\CurrentControlSet\Control\Lsa\SubmitControl,4,%SubmitControl%,0
MACHINE\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy,4,%FIPS%,0
MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers\AddPrinterDrivers,4,%AddPrintDrivers%,0
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedPaths\Machine,7,%AllowedPaths%,4
MACHINE\System\CurrentControlSet\Control\SecurePipeServers\Winreg\AllowedExactPaths\Machine,7,%AllowedExactPaths%,4
MACHINE\System\CurrentControlSet\Control\Session Manager\Kernel\ObCaseInsensitive,4,%ObCaseInsensitive%,0
MACHINE\System\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown,4,%ClearPageFileAtShutdown%,0 MACHINE\System\CurrentControlSet\Control\Session
Manager\ProtectionMode,4,%ProtectionMode%,0 MACHINE\System\CurrentControlSet\Control\Session
Manager\SubSystems\optional,7,%OptionalSubSystems%,4
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableSecuritySignature,4,%EnableSMBSignServer%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RequireSecuritySignature,4,%RequireSMBSignServer%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\EnableForcedLogOff,4,%EnableForcedLogoff%,
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\AutoDisconnect,4,%AutoDisconnect%,1,%Unit-Minutes%
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\RestrictNullSessAccess,4,%RestrictNullSessAccess%,0
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionPipes,7,%NullPipes%,4
MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters\NullSessionShares,7,%NullShares%,4
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnableSecuritySignature,4,%EnableSMBSignRDR%,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\RequireSecuritySignature,4,%RequireSMBSignRDR%,0
MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters\EnablePlainTextPassword,4,%EnablePlainTextPasswor
d%,0
MACHINE\System\CurrentControlSet\Services\LDAP\LDAPClientIntegrity,4,%LDAPClientIntegrity%,3,0|%LDAPClient0%,1|%LDAPClient
1%,2|%LDAPClient2%
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\DisablePasswordChange,4,%DisablePWChange%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\MaximumPasswordAge,4,%MaximumPWAge%,1,%Unit-Days%
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RefusePasswordChange,4,%RefusePWChange%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SignSecureChannel,4,%SignSecureChannel%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\SealSecureChannel,4,%SealSecureChannel%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireSignOrSeal,4,%SignOrSeal%,0
MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters\RequireStrongKey,4,%StrongKey%,0
MACHINE\System\CurrentControlSet\Services\NTDS\Parameters\LDAPServerIntegrity,4,%LDAPServerIntegrity%,3,1|%LDAPServer1%,2
|%LDAPServer2% MACHINE\Software\Microsoft\Driver
Signing\Policy,3,%DriverSigning%,3,0|%DriverSigning0%,1|%DriverSigning1%,2|%DriverSigning2%
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCAD,4,%DisableCAD%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DontDisplayLastUserName,4,%DontDisplayLastUserName%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption,1,%LegalNoticeCaption%,2
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText,7,%LegalNoticeText%,4
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ScForceOption,4,%ScForceOption%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\ShutdownWithoutLogon,4,%ShutdownWithoutLogon%,0
MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\UndockWithoutLogon,4,%UndockWithoutLogon%,MACHINE\
Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SecurityLevel,4,%RCAdmin%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\SetCommand,4,%RCSet%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateCDRoms,1,%AllocateCDRoms%,0
MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\AllocateDASD,1,%AllocateDASD%,3,0|%AllocateDASD0%,1|%AllocateDASD1%,2|%AllocateDASD2%
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\AllocateFloppies,1,%AllocateFloppies%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\CachedLogonsCount,1,%CachedLogonsCount%,1,%Unit-
Logons% MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ForceUnlockLogon,4,%ForceUnlockLogon%,0
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\PasswordExpiryWarning,4,%PasswordExpiryWarning%,1,%Unit-
Days% MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ScRemoveOption,1,%ScRemove%,3,0|%ScRemove0%,1|%ScRemove1%,2|%ScRemove2%
MACHINE\Software\Policies\Microsoft\Cryptography\ForceKeyProtection,4,%ForceHighProtection%,3,0|%CryptAllowNoUI%,1|%Crypt
AllowNoPass%,2|%CryptUsePass%
MACHINE\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers\AuthenticodeEnabled,4,%AuthenticodeEnabled%,0 ; delete
these values from the UI - Rdr in case NT4 w SCE MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DisableCAD
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\DontDisplayLastUserName
MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\LegalNoticeText MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ShutdownWithoutLogon MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\CmdConsSecurityLevel MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print
Services\AddPrintDrivers MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\EnableSecuritySignature
MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\RequireSecuritySignature
MACHINE\System\CurrentControlSet\Services\MRxSMB\Parameters\EnablePlainTextPassword
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnableSecuritySignature
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\RequireSecuritySignature
MACHINE\System\CurrentControlSet\Services\Rdr\Parameters\EnablePlainTextPassword
MACHINE\Software\Microsoft\Windows\CurrentVersion\NetCache\EncryptEntireCache MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\EFS\AlgorithmID MACHINE\Software\Microsoft\Non-Driver Signing\Policy
MACHINE\Software\Policies\Microsoft\Cryptography\ForceHighProtection ;================================ MSS Values
================================
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect,4,%EnableICMPRedirect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect,4,%SynAttackProtect%,3,0|%SynAttackProtect0%,1
|%SynAttackProtect1%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect,4,%EnableDeadGWDetect%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery,4,%EnablePMTUDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime,4,%KeepAliveTime%,3,150000|%KeepAliveTime0%,30
0000|%KeepAliveTime1%,600000|%KeepAliveTime2%,1200000|%KeepAliveTime3%,2400000|%KeepAliveTime4%,3600000|%KeepAliv
eTime5%,7200000|%KeepAliveTime6%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting,4,%DisableIPSourceRouting%,3,0|%DisableIP
SourceRouting0%,1|%DisableIPSourceRouting1%,2|%DisableIPSourceRouting2%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxConnectResponseRetransmissions,4,%TcpMaxConnectRespon
seRetransmissions%,3,0|%TcpMaxConnectResponseRetransmissions0%,1|%TcpMaxConnectResponseRetransmissions1%,2|%TcpMaxC
onnectResponseRetransmissions2%,3|%TcpMaxConnectResponseRetransmissions3%
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxDataRetransmissions,4,%TcpMaxDataRetransmissions%,1
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery,4,%PerformRouterDiscovery%,0
MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\TCPMaxPortsExhausted,4,%TCPMaxPortsExhausted%,1
MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand,4,%NoNameReleaseOnDemand%,0
MACHINE\System\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation,4,%NtfsDisable8dot3NameCreation%,0
MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun,4,%NoDriveTypeAutoRun%,3,0|%N
oDriveTypeAutoRun0%,255|%NoDriveTypeAutoRun1%
MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\Security\WarningLevel,4,%WarningLevel%,3,50|%WarningLevel0%,60|%War
ningLevel1%,70|%WarningLevel2%,80|%WarningLevel3%,90|%WarningLevel4% MACHINE\SYSTEM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\ScreenSaverGracePeriod,4,%ScreenSaverGracePeriod%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\DynamicBacklogGrowthDelta,4,%DynamicBacklogGrowthDelta%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\EnableDynamicBacklog,4,%EnableDynamicBacklog%,0
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\MinimumDynamicBacklog,4,%MinimumDynamicBacklog%,1
MACHINE\System\CurrentControlSet\Services\AFD\Parameters\MaximumDynamicBacklog,4,%MaximumDynamicBacklog%,3,10000|%
MaximumDynamicBacklog0%,15000|%MaximumDynamicBacklog1%,20000|%MaximumDynamicBacklog2%,40000|%MaximumDynami
cBacklog3%,80000|%MaximumDynamicBacklog4%,160000|%MaximumDynamicBacklog5%
Allow automatic administrative logon" RCSet="Recovery console: Allow floppy copy and access to all drives and all folders"
;================================ Shutdown
============================================================================ ShutdownWithoutLogon="Shutdown:
Allow system to be shut down without having to log on" ClearPageFileAtShutdown="Shutdown: Clear virtual memory pagefile"
ProtectionMode = "System objects: Strengthen default permissions of internal system objects (e.g. Symbolic Links)"
NoDefaultAdminOwner = "System objects: Default owner for objects created by members of the Administrators group" DefaultOwner0
= "Administrators group" DefaultOwner1 = "Object creator" ObCaseInsensitive = "System objects: Require case insensitivity for non-
Windows subsystems" ;================================ System cryptography
================================================================= FIPS="System cryptography: Use FIPS compliant
algorithms for encryption, hashing, and signing"ForceHighProtection="System cryptography: Force strong key protection for user keys
stored on the computer" CryptAllowNoUI="User input is not required when new keys are stored and used" CryptAllowNoPass="User is
prompted when the key is first used" CryptUsePass="User must enter a password each time they use a key"
;================================ System Settings
===================================================================== AuthenticodeEnabled = "System settings: Use
Certificate Rules on Windows Executables for Software Restriction Policies" OptionalSubSystems = "System settings: Optional
subsystems" Unit-Logons="logons" Unit-Days="days" Unit-Minutes="minutes" Unit-Seconds="seconds"
;================================ MSS Settings ================================ EnableICMPRedirect = "MSS:
(EnableICMPRedirect) Allow ICMP redirects to override OSPF generated routes" SynAttackProtect = "MSS: (SynAttackProtect) Syn attack
protection level (protects against DoS)" SynAttackProtect0 = "No additional protection, use default settings" SynAttackProtect1 =
"Connections time out sooner if a SYN attack is detected" EnableDeadGWDetect = "MSS: (EnableDeadGWDetect) Allow automatic
detection of dead network gateways (could lead to DoS)" EnablePMTUDiscovery = "MSS: (EnablePMTUDiscovery ) Allow automatic
detection of MTU size (possible DoS by an attacker using a small MTU)" KeepAliveTime = "MSS: How often keep-alive packets are sent
in milliseconds" KeepAliveTime0 ="150000 or 2.5 minutes" KeepAliveTime1 ="300000 or 5 minutes (recommended)" KeepAliveTime2
="600000 or 10 minutes" KeepAliveTime3 ="1200000 or 20 minutes" KeepAliveTime4 ="2400000 or 40 minutes" KeepAliveTime5
="3600000 or 1 hour" KeepAliveTime6 ="7200000 or 2 hours (default value)" DisableIPSourceRouting = "MSS: (DisableIPSourceRouting)
IP source routing protection level (protects against packet spoofing)" DisableIPSourceRouting0 = "No additional protection, source
routed packets are allowed" DisableIPSourceRouting1 = "Medium, source routed packets ignored when IP forwarding is enabled"
DisableIPSourceRouting2 = "Highest protection, source routing is completely disabled" TcpMaxConnectResponseRetransmissions =
"MSS: (TcpMaxConnectResponseRetransmissions) SYN-ACK retransmissions when a connection request is not acknowledged"
TcpMaxConnectResponseRetransmissions0 = "No retransmission, half-open connections dropped after 3 seconds"
TcpMaxConnectResponseRetransmissions1 = "3 seconds, half-open connections dropped after 9 seconds"
TcpMaxConnectResponseRetransmissions2 = "3 & 6 seconds, half-open connections dropped after 21 seconds"
TcpMaxConnectResponseRetransmissions3 = "3, 6, & 9 seconds, half-open connections dropped after 45 seconds"
TcpMaxDataRetransmissions = "MSS: (TcpMaxDataRetransmissions) How many times unacknowledged data is retransmitted (3
recommended, 5 is default)" PerformRouterDiscovery = "MSS: (PerformRouterDiscovery) Allow IRDP to detect and configure Default
Gateway addresses (could lead to DoS)" TCPMaxPortsExhausted = "MSS: (TCPMaxPortsExhausted) How many dropped connect
requests to initiate SYN attack protection (5 is recommended)" NoNameReleaseOnDemand = "MSS: (NoNameReleaseOnDemand) Allow
the computer to ignore NetBIOS name release requests except from WINS servers" NtfsDisable8dot3NameCreation = "MSS: Enable the
computer to stop generating 8.3 style filenames" NoDriveTypeAutoRun = "MSS: Disable Autorun for all drives" NoDriveTypeAutoRun0 =
"Null, allow Autorun" NoDriveTypeAutoRun1 = "255, disable Autorun for all drives" WarningLevel = "MSS: Percentage threshold for the
security event log at which the system will generate a warning" WarningLevel0 = "50%" WarningLevel1 = "60%" WarningLevel2 = "70%"
WarningLevel3 = "80%" WarningLevel4 = "90%" ScreenSaverGracePeriod = "MSS: The time in seconds before the screen saver grace
period expires (0 recommended)" DynamicBacklogGrowthDelta = "MSS: (AFD DynamicBacklogGrowthDelta) Number of connections to
create when additional connections are necessary for Winsock applications (10 recommended)" EnableDynamicBacklog = "MSS: (AFD
EnableDynamicBacklog) Enable dynamic backlog for Winsock applications (recommended)" MinimumDynamicBacklog = "MSS: (AFD
MinimumDynamicBacklog) Minimum number of free connections for Winsock applications (20 recommended for systems under attack,
10 otherwise)" MaximumDynamicBacklog = "MSS: (AFD MaximumDynamicBacklog) Maximum number of 'quasi-free' connections for
Winsock applications" MaximumDynamicBacklog0 = "10000" MaximumDynamicBacklog1 = "15000" MaximumDynamicBacklog2 =
"20000 (recommended)" MaximumDynamicBacklog3 = "40000" MaximumDynamicBacklog4 = "80000" MaximumDynamicBacklog5 =
"160000" SafeDllSearchMode = "MSS: Enable Safe DLL search mode (recommended)"
ANEXO C.
CHECKLISTS
COMPUTADOR EN LA
CONFIGURACIÓN HOME EMPRESA SEGURIDAD ESPECIALIZADA
ITEM ESCRITORIO PORTATIL FUNCIONALIDAD LIMITADA
1 SERVICE PACK Y ACTUALIZACIONES DE SEGURIDAD
1,1 Mayores requerimientos de ServicePack y actualizaciones
1,1,1 Valoración de ServicePack instalado Service Pack 3 a partir de la última actualización
1,2 Menores requerimientos de ServicePack y actualizaciones
Las actualizaciones de seguridad son referidas por Microsoft
1,2,1 Security Bulletins Todas las actualizaciones críticas e importantes de seguridad
2 AUDITORIA Y POLITICAS DE CUENTA
2,1 Mayores requerimientos de auditoría y políticas de cuenta
2,1,1 Longitud mínima de contraseña 8 caracteres 12 caracteres
2,1,2 Edad máxima de contraseña 90 días
2,2 Menores requerimientos de auditoría y políticas de cuentas
2,2,1 Políticas de cuenta (mínimos)
2,2,1,1 Auditoria en eventos de entrada en las cuentas Éxito y Fallo
2,2,1,2 Auditoria de Administrador de cuentas Éxito y Fallo
2,2,1,3 Control de acceso al directorio de servicios (No definido)
2,2,1,4 Eventos de entrada en el sistema de cuentas Éxito y Falla
2,2,1,5 Control de acceso de objetos Fallo (mínima) Éxito y Falla
2,2,1,6 Control de políticas de cambio Éxito (mínimo)
2,2,1,7 Control de uso de privilegios Fallo (mínima)
2,2,1,8 Control de rastreo de proceso (No definido)
2,2,1,9 Control de eventos del sistema Éxito (mínimo)
2,2,2 Póliticas de Cuenta
2,2,2,1 Edad mínima de contraseña 1 día
2,2,2,2 Edad máxima de contraseña 90 días
5.1.1.
2 Restricciones para los clientes de RPC no legalizado (sólo SP2)
5.2 Red
5.2.1 Conexiones de Red
5.2.1.
1 Firewall de Windows
5.2.1.
1.1 Perfil de Dominio
5.2.1.
1.1.1 Protege todas las conexiones de red (sólo SP2) Habilitado Habilitado
5.2.1.
1.1.2 No permite excepciones (sólo SP2) Inhabilitado Habilitado
5.2.1.
1.1.3 Permite las excepciones de programa locales Habilitado Inhabilitado
5.2.1. Habilitado; defina subred(s) usadas
1.1.4 Permite la excepción de administración remota sólo para soporte interno Inhabilitado
5.2.1.
1.1.5 Permite archivo y el impresor que divide la excepción (sólo SP2) Habilitado Inhabilitado
5.2.1.
1.1.6 Permita excepciones ICMP (sólo SP2) (No definido) Inhabilitado
5.2.1. Habilitado; defina subred(s) usadas
1.1.7 Permita excepciones de escritorio remoto (sólo SP2) sólo para soporte interno Inhabilitado
5.2.1. Habilitado; defina subred(s) usadas
1.1.8 Permita excepciones UPnP framework (sólo SP2) sólo para soporte interno Inhabilitado
5.2.1.
1.1.9 Prohíba notificaciones Inhabilitado Habilitado
5.2.1. Registre paquetes
1.1.10 Registrar paquetes caídos (sólo SP2) Registre paquetes pequeños caídos pequeños caídos, perdidos.
5.2.1. Registre la ruta del archivo y el Registre la ruta del archivo
1.1.11 Registre ruta de archivo y nombre (sólo SP2) nombre: y el nombre:
%SystemRoot%\firewall_domain.log %SystemRoot%\firewall_do
main.log
5.2.1.
1.1.12 Registre el límite de tamaño del archivo (sólo SP2) Tamaño limite (KB): 4096 Tamaño limite (KB): 4096
5.2.1.
1.1.13 Registre éxito de conexión (sólo SP2) (No definido) Registro conexión exitosa
5.2.1.
1.1.14 Prohíba respuesta de unicast a multicast o broadcast (sólo SP2) Habilitado Habilitado
5.2.1.
1.1.15 Defina excepciones de puertos (sólo SP2) (No configurado) (No configurado)
5.2.1.
1.1.16 Permita excepciones de puertos locales (sólo SP2) Habilitado Inhabilitado
5.2.1.
1.2 Perfil Estándar
5.2.1.
1.2.1 Proteja todas las conexiones de red (Sólo SP2) Habilitado Habilitado
5.2.1.
1.2.2 No permita excepciones (Sólo SP2) Habilitado Habilitado
5.2.1.
1.2.3 Permita excepciones de programas locales (Sólo SP2) Inhabilitado Inhabilitado
5.2.1.
1.2.4 Permita excepciones de administración remota (Sólo SP2) Inhabilitado Inhabilitado
5.2.1. Permita excepciones de archivos e impresoras compartidas (Sólo
1.2.5 SP2) Inhabilitado Inhabilitado
Habilitado; Permita apagar la salida de
ruta del recurso, Permita la solicitud
5.2.1. repetida de entrada en ruta, Permita
1.2.6 Permita excepciones ICMP (sólo SP2) paquetes muy grandres en salida de ruta. Inhabilitado
5.2.1. Permita excepciones de escritorio remoto (sólo SP2) Inhabilitado Inhabilitado
1.2.7
5.2.1.
1.2.8 Permita excepciones UPnP framework (sólo SP2) Inhabilitado Inhabilitado
5.2.1.
1.2.9 Prohíba notificaciones (sólo SP2) Inhabilitado Habilitado
5.2.1. Registre paquetes pequeños
1.2.10 Registre paquetes pequeños caídos o perdidos (Sólo SP2) Registre paquetes pequeños caídos caídos, perdidos.
Registre archivo y nombre:
5.2.1. Registre archivo y nombre: %SystemRoot%\firewall_sta
1.2.11 Registre ruta de archivo y nombre (sólo SP2) %SystemRoot%\firewall_standard.log ndard.log
5.2.1.
1.2.12 Registre limite de tamaño del archivo (sólo SP2) Tamaño limite (KB): 4096 Tamaño limite (KB): 4096
5.2.1.
1.2.13 Registre Conexión exitosa (Sólo SP2) (No definido) Registro conexión exitosa
5.2.1.
1.2.14 Prohíbe respuesta de unicast a multicast o Broadcast (Sólo SP2) Habilitado Habilitado
5.2.1.
1.2.15 Defina excepciones de puertos (sólo SP2) (No configurado) (No configurado)
5.2.1.
1.2.16 Permita excepciones de puertos locales (sólo SP2) Inhabilitado Inhabilitado
5.3 Componentes de Windows
5.3.1 Centro de Seguridad
5.3.1.
1 Vaya al Centro de seguridad (Sólo PCs de Dominio) (Sólo SP2) Habilitado Habilitado
BIOGRAFÍA
José Luis Cruz, nacido el 1 de febrero de 1983 en la ciudad de Puyo provincia de Pastaza,
hijo de Gonzalo Cruz y Fanny Montero, vivió su niñez en diferentes ciudades debido al
trabajo de su padre de profesión Militar; su educación primaria la realizo en la escuela
COMIL No.10, su bachillerato lo consiguió en el Colegio Particular “Jesús de Nazareth” de
la ciudad de Quito, egresado como Bachiller en Ciencias de la Computación, siguiendo con
sus estudios ingresa a la universidad Escuela Politécnica del Ejército, ahí dedica 5 años de
su vida a la formación de su profesión en la carrera de Ingeniería en Sistemas e
Informática.
ELABORADO POR
___________________________________
COORDINADOR DE CARRERA
___________________________________
Contenido
RESUMEN ................................................................................................................................ 1
CAPÍTULO I .............................................................................................................................. 2
Introducción ....................................................................................................................... 3
Objetivos ............................................................................................................................. 5
Objetivo General............................................................................................................. 5
Alcance................................................................................................................................ 7
Limitaciones ........................................................................................................................ 9
La investigación .............................................................................................................. 9
Factibilidad ....................................................................................................................... 14
PRESUPUESTO............................................................................................................... 16
CRONOGRAMA ............................................................................................................. 17
CAPÍTULO II ........................................................................................................................... 19
Marco Teórico....................................................................................................................... 19
Introducción ..................................................................................................................... 20
Hardening ......................................................................................................................... 22
¿Qué es la seguridad?................................................................................................... 23
NG ScoringTool ............................................................................................................. 47
HKEY_CLASSES_ROOT ................................................................................................... 59
HKEY_CURRENT_USER .................................................................................................. 60
HKEY_LOCAL_MACHINE ............................................................................................... 60
HKEY_USERS ................................................................................................................. 60
HKEY_CURRENT_CONFIG ............................................................................................. 60
HKEY_DIN_DATA........................................................................................................... 60
VULNERABILIDAD.................................................................................................................. 72
Evaluación ..................................................................................................................... 76
Diseño ........................................................................................................................... 77
Implementar ................................................................................................................. 78
Bluetooth ...................................................................................................................... 83
DTC Control................................................................................................................... 88
CAPÍTULO IV.......................................................................................................................... 91
Modificar el archivo sceregvl.inf para cambio de código y aumento de seguridad. ... 174
Cómo ver el Registro del sistema en las versiones de 64 bits de Windows ............... 208
ii. ARCHIVO PARA CORRECCIÓN POR CÓDIGO WINDOWS SERVER ............................ 239