Columnas

Hardening de un sistema MS Windows

agustin_astorga24/11/2006
3 minutos de lectura

Muchos se preguntarán si es posible realizar la tarea de incrementar la seguridad mediante hardening a un equipo basado en la plataforma MS Windows; la respuesta es “sí”. Ya se ha comentado que la seguridad y confiabilidad de un sistema dependen en gran medida de cómo sea administrado.

Tal como se indicó en el artículo anterior, el proceso comienza desde el momento de decidir el uso que tendrá el equipo, ya sea como estación de trabajo, servidor de dominio, servidor de impresión, equipo standalone, etcétera.

 

Los puntos anteriores son de vital importancia para el momento de la instalación, ya que recordemos que es una muy mala práctica realizar instalaciones por default, ya que en ellas va incluida una gran cantidad de programas que no serán de utilidad para los fines del servidor, por ejemplo si no se tendrá una página Web entonces para qué instalar el IIS, los juegos, etcétera?

 

No se profundizará mucho en este punto, ya que lo que deba o no estar instalado dependerá del uso del equipo, mejor el enfoque estará en realizar el endurecimiento en las configuraciones. Ligado a esto estará el realizar las debidas actualizaciones del sistema operativo y sus componentes.

 

No está de más recordar que cuando se habla de servidores en producción no es recomendable aplicar actualizaciones de manera automática, ya que en ocasiones salen parches los cuales contienen bugs con los cuales se estarían generando más problemas de los que se pretende solucionar.

 

Tener un buen antivirus y que el mismo esté actualizado es una buena práctica, al igual que contar con un firewall de host que utilice una política restrictiva en la que uno le indique qué puertos están permitidos.

 

En seguida se plantearán ciertas configuraciones en el equipo con la finalidad de aumentar la seguridad, un punto muy importante es el relacionado con las contraseñas.

 

+Deshabilitar el almacenamiento de Hash Lan Manager: Windows, por compatibilidad con versiones anteriores del sistema operativo, almacena las contraseñas en dos formatos, en LAN Manager y NTLM, el primero es por demás inseguro.

 

+Relacionado con el punto anterior, es recomendable forzar la autenticación a que sólo sea mediante NTLM.

 

+Mantener un historial de contraseñas de por lo menos las seis últimas; así, cuando un usuario sea forzado a cambiar su contraseña, no podrá repetirla.

 

+La edad máxima de las contraseñas dependerá del negocio y del usuario, pero no es recomendable utilizar contraseñas “eternas” por el riesgo que ello implica.

 

+El tamaño de la contraseña y la forma en que la misma deba construirse es muy importante, un número mínimo de ocho caracteres es recomendable, así como utilizar letras mayúsculas, minúsculas, números y signos especiales (en otro artículo se profundizará en este punto).

+Es recomendable bloquear las cuentas tras un cierto número de intentos fallidos, es importante recalcar que en este punto deberemos tener especial cuidado, ya que si bien nos protege contra ataques de diccionario, también nos puede llevar a un ataque de DoS.

 

+Un punto importante es el evitar que sea mostrado el último usuario que se firmó al equipo, de esta forma no le estamos regalando a un posible intruso uno de los datos de entrada al equipo.

 

+Debido al punto anterior es aconsejable renombrar la cuenta de administrador.

+Activar el protector de pantalla protegido por contraseña y con un tiempo corto de activación es útil para evitar que por algún descuido se deje una sesión activa.

 

+Otro punto por demás importante y al que generalmente se le asignan valores por default (situación poco aconsejable) es el de activar las bitácoras de auditoría, como se muestra a continuación (aunque dependerá de las necesidades)

 

Audit account logon events = Failure

Audit account management = Success, Failure

Audit directory service access = No auditing

Audit logon events = Success, Failure

Audit object access = Failure

Audit policy change = Success, Failure

Audit privilege use = Failure

Audit process tracking = No auditing

Audit system events = Success, Failure

 

Como podrán ver uno podrá ir profundizando hasta donde uno quiera en la tarea de reforzar la seguridad del equipo.

 

Para saber más:

+Windows Server 2003 – Account Passwords and Policies

www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/bpactlck.mspx

+Windows Server 2003 Security Guide

go.microsoft.com/fwlink/?LinkId=14845

+Windows XP Security Guide

go.microsoft.com/fwlink/?LinkId=14839

Etiquetas
agustin_astorga24/11/2006
3 minutos de lectura

Publicaciones relacionadas

Cobro por copia privada: Anacronía y obsolescencia

25/04/2024

Cuatro tendencias tecnológicas para el éxito de las empresas mexicanas

25/04/2024

La innovación al servicio de los negocios con tecnología de nube

23/04/2024

UPS: la clave para una infraestructura de TI confiable y resiliente

18/04/2024
Botón volver arriba


Share via
Facebook
X (Twitter)
LinkedIn
Mix
Email
Print
Copy Link
Powered by Social Snap
Copy link
CopyCopied
Powered by Social Snap