Prcticas Bsica de Seguridad para Windows XP

Antes de la Instalacin

Identificar los servicios que se quiere proveer, a quien se les debe proveer, y de que manera. Escoger las herramientas que servir de plataforma para ofrecer el servicio, teniendo en cuenta como parmetro primordiales la estabilidad, mecanismos de seguridad y eficiencia, por ejemplo se prefiere apache2 sobre apache, porque tiene resuelto muchos bugs de seguridad que fueron encontrados en apache, adems ofrece incluido un sistema para crear hosts virtuales seguros (ssl). Identificar las contrase as que se vallan a usar, clasificarlas por su importancia y frecuencia de uso, identificar responsables de la misma, para luego aplicar a cada una de ellas la mayor cantidad de cualidades de seguridad como las que se muestran!

"a longitud de la contrase a debe ser mayor o igual a # caracteres. $ontener gran variedad de caracteres alfanum%ricos y especiales (&'(, a' ), *'+, ,-./0123()456'78). 9o contener informaci:n relacionada con el trabajo o la vida personal del administrador. $ambios peri:dicos para la contrase a y evitar repetirlas (; meses en promedio).

&plicar algunas caracter<sticas de seguridad f<sica sobre servidores, por ejemplo!

=estringir el acceso a personas que no est%n autori)adas para manejar el servidor. >eshabilitar el arranque a otros medios que no sea el disco duro del sistema operativo. $olocar contrase a para acceder al sistema de $onfiguraci:n del ?I@A. (Benga cuidado de no colocarla al sistema de arranque). &ctivar el auto'encendido ante problemas de electricidad en la configuraci:n del ?I@A.

Durante la Instalacin

Verificar que todas las particiones del disco duro estn formateadas con NTFS! el sistema de archivo que manejan los CindoDs anteriores al EF, estaban montados sobre las diferentes versiones de Gat (Gat, GatHI y Gat;2), que ten<an la debilidad de permitir el acceso de lectura y escritura sobre las particiones desde otro sistema de operativo o sistema "ive. & partir de la

versi:n de CindoDs EF Jicrosoft provee un nuevo sistema de archivo (9BGA) que almacena informaci:n de una manera en donde no es posible escribir en la partici:n con otro sistema operativo que no sea el due o del sistema de archivo.

Despus de la Instalacin

Desha ilitar o eliminar las cuentas de usuario innecesarias! "segurarse de que la cuenta #n$itado esta desacti$ada!

Desha ilitar los ser$icios no necesarios% Ir al menK #nicio 'L Panel de control 'L&erramientas "dministrati$as 'L Ser$icios.

Proteger adecuadamente las carpetas compartidas% este proceso se reali)ar para evitar los usuarios que se encuentren en la red no tengan permiso para usar los recursos de la mquina. hacemos clicM a #nicio '( Panel de )ontrol '( )one*iones de +ed e #nternet '( )one*iones de +ed '( Propiedades y desactivamos las opciones Cliente para redes Microsoft y Compartir impresoras y archivos para redes Microsoft.

& a i lit

ar la funci,n de Firewall para la )one*i,n a #nternet% El GireDall de coneNi:n a Internet esta dise ado para su uso en casa o en peque as redes empresariales y proporciona protecci:n para maquinas CindoDs EF que se conectan directamente a Internet o para computadoras y dispositivos conectados al host I$A que esta ejecutando este GireDall. El GireDall de $oneNi:n a Internet utili)a un filtrado de paquetes activo, lo que significa que los puertos del fireDall se abren dinmicamente solo por el tiempo necesario para permitir el acceso a los servicios que se desea. Este se encuentra en el Fanel de $ontrol 'L $entro de seguridad 'L GireDall de CindoDs.

Fodemos hacer cambios a nuestra preferencia con respecto a los paquetes que el fireDall dejar pasar. Esto lo podemos usar cuando tengamos un servicio escuchando pero el fireDall no se ha enterado que eNiste tal

servicio o simplemente es un servicio no muy comKn. Fara esto desde la imagen anterior visuali)amos la etiqueta -pciones "$an.adas '( )onfiguracion de cone*i,n de red '( )onfiguraci,n!

/tili.ar las pol0ticas de restricci,n de software!

+estringir el uso compartido simple de archi$os

&brir Panel de )ontrol. En el menK de Oerramientas seleccionar -pciones de carpeta.

>esactivar la opci:n ,Ptili)ar uso compartido simple de archivos8.

&a ilitar la actuali.aciones del sistema 1#)F2

"plicar directi$as locales a todos los usuarios e*cepto a los administradores% para implementar directivas locales para todos los usuarios, eNcepto los administradores!

Inicie sesi:n en el equipo como administrador. &bra la directiva de seguridad local! Oaga clic en #nicio 'L34ecutar y escriba! Qgpedit.mscQ.

Oabilite las directivas que desee.

Nota! asegKrese de seleccionar las directivas correctasR de lo contrario, puede

restringir la posibilidad de que el administrador inicie sesi:n en el equipo (y realice los pasos necesarios para configurar el equipo). Ae recomienda anotar los cambios reali)ados.

$ierre el complemento de >irectiva de grupo Spedit.msc. Inicie sesi:n en el equipo como administrador. En este inicio de sesi:n puede observar los cambios de directiva reali)ados anteriormente ya que, de manera predeterminada, las directivas locales se aplican a todos los usuarios, lo que incluye a los administradores. $ierre sesi:n en el equipo y, despu%s, inicie sesi:n en el equipo como todos los dems usuarios de este equipo a los que desea que se apliquen estas directivas. "as directivas se implementan para todos estos usuarios y para el administrador.

Nota! no se pueden implementar las directivas para la cuentas de usuario que no hayan iniciado sesi:n en el equipo en este paso.

Inicie sesi:n en el equipo como administrador. Oaga clic en #nicio, )onfiguraci,n, Panel de control y, a continuaci:n, haga doble clic en -pciones de carpeta. Oaga clic en la ficha Ver, haga

clic en la opci:n 5ostrar todos los archi$os 6 carpetas ocultos y, despu%s, haga clic en "ceptar de forma que pueda ver la carpeta oculta de >irectiva de grupo. @ bien, puede tener acceso a estos valores si abre el ENplorador de CindoDs, hace clic en &erramientas y, despu%s, hace clic en -pciones de carpeta.

$opie el archivo =egistry.pol de la carpeta C:\WINDOWS\system32\ ro!p"olicy\#ser\$e%istry.pol a una ubicaci:n de copia de seguridad (por ejemplo, otro disco duro, disquete o carpeta). &bra de nuevo la directiva local mediante el complemento de >irectiva de grupo Spedit.msc. $ierre el editor de directivas y vuelva a copiar a la carpeta C:\WINDOWS\system32\ ro!p"olicy\#ser\ el archivo de copia de seguridad =egistry.pol que copi: en el dispositivo eNterno. $opie el archivo =egistry.pol de seguridad sobre el nuevo archivo =egistry.pol eNistente reci%n creado al deshabilitar las mismas funciones. $uando el sistema operativo le pregunte si desea reempla)ar el archivo eNistente, haga clic en A<. $ierre sesi:n en el equipo e inicie sesi:n en el equipo como administrador. @bservar que los cambios reali)ados originalmente no se han implementado para usted, ya que ha iniciado sesi:n en el equipo como administrador. $ierre sesi:n en el equipo e inicie sesi:n en el equipo como otro usuario (u otros usuarios). @bservar que los cambios reali)ados originalmente se han implementado para usted, ya que ha iniciado sesi:n en el equipo como un usuario (no como administrador). Inicie sesi:n en el equipo como administrador para comprobar que la directiva local no le afecta como administrador local de dicho equipo.

+estaurar las directi$as locales originales% para invertir el proceso descrito anteriormente!

Inicie sesi:n en el equipo como administrador. Oaga clic en #nicio, )onfiguraci,n, Panel de control y, a continuaci:n, haga doble clic en -pciones de carpeta. Oaga clic en la ficha Ter, haga clic en la opci:n Jostrar todos los archivos y carpetas ocultos y, despu%s, haga clic en &ceptar de forma que pueda ver la carpeta oculta de >irectiva de grupo. @ bien, puede abrir el ENplorador de CindoDs, hacer clic en Oerramientas y, despu%s, hacer clic en @pciones de carpeta. Jueva, cambia el nombre o elimine el archivo =egistry.pol de la carpeta C:\WINDOWS\system32\ ro!p"olicy\#ser\. El sistema Frotecci:n de

archivos de CindoDs crear otro archivo =egistry.pol predeterminado despu%s de cerrar sesi:n o de reiniciar el equipo.

&bra la directiva local! Oaga clic en #nicio 'L 34ecutar y escriba! Qgpedit.mscQ o bien haga clic en #nicio, 34ecutar, escriba! QmmcQ y cargue la directiva de seguridad local. >espu%s, configure como not confi%!red todos los elementos que sean disa&le o ena&le para invertir todos los cambios de directiva implementados en el =egistro de CindoDs segKn lo especificado por el archivo =egistry.pol.

$ierre sesi:n en el equipo como administrador e inicie sesi:n en el equipo como administrador. $ierre sesi:n en el equipo e inicie sesi:n como todos los usuarios del equipo local, de forma que se puedan invertir tambi%n los cambios en sus cuentas.

#nstalar un Firewall o cortafuego% $uando se tiene una maquina que ofrece servicio a usuarios de una red, se tiene conocimiento de cuales puertos deben ser utili)ados, pero muchos troyanos, gusanos y spy, abren un puerto desconocido por el administrador por donde env<an o reciben informaci:n. Fara evitar este tipo de ataque debemos usar una cortafuego, que permitir el paso de los paquetes que se dirijan hacia los servicios conocidos y denegar la transferencia hacia y desde los puertos desconocidos.

Jicrosoft CindoDs con la versi:n EF ofrece un fireDall, pero carece de fleNibilidad sobre servicios que no conoce. ENiste un fireDall muy conocido y bien referenciado llamado Uerio Fersonal GireDall, de facil uso, eficiente y tiene un anti'virus integrado (Jc$afee). Bambi%n tiene soporte para integracion con el anti'virus &vast, y su instalaci:n es sencilla.

#nstalar software anti'$irus 6 actuali.arlo adecuadamente% ENisten en la red muchas compa <as que ofrecen softDare para la detecci:n, bloqueo y eliminaci:n de virus, muchos son pagos y otros gratis, de c:digo cerrado o abierto, muchos tambi%n incluyen funcionalidades adicionales como actuali)aciones, anti'spy, cortafuego, etc.. "a decisi:n para elegir el anti' virus adecuado debe venir por algunos parmetros esenciales de rendimiento y seguridad, como por ejemplo rapide) para encontrar nuevos virus, actuali)aciones automticas, rendimiento y eficiencia, estado de la licencia (pago o gratis), facilidad de uso, prevenci:n ante programas con comportamientos no deseado, filtrado de paquetes, mecanismos de acceso, anti'spy, anti'troyanos, etc. $on todos estos parmetros en mente hemos generado una ranMing de anti' virus dividido en dos grupos, pagos y no pagos.

Pagos%

7aspers86% potente anti'virus, con rpidas actuali)aciones de virus nuevos online, eficiente, fcil uso, escaneos profundos, prevenci:n y alertas ante eventos dudosos, tutoriales y soporte online. Nod9:% eficiente anti'virus, muy liviano, rpido escaneo de virus, actuali)aciones automticas online. BitDefender% facil de usar, eficiente, actuali)aciones online, tutorial, soporte de ayuda, componentes.

No Pagos%

"$ast% es un anti'virus muy completo que incluye todas las ventajas de los antivirus comerciales y es totalmente gratuito. El programa contiene una suite que protege en tiempo real tu F$, reali)ando verificaciones en las pginas que visits, el correo electr:nico entrante y saliente de tu cliente de e'mails y sobre cada uno de los archivos alojados en los discos del sistema. &dems su calidad est garanti)ada por el instituto que regula todo este tipo de softDare. "V;% Fotente anti'virus para estar bien protegido, rpido, capacidad de actuali)aci:n, herramientas adicionales, m<nimo consumo de recursos! P) )illin% liviano anti'virus, escaneo rpido, tutoriales y soportes online.

5antenerse al d0a con las ultimas actuali.aciones de seguridad!