Está en la página 1de 28

Harden de Windows 7 SP1 de 64 bits

Nuestro objetivo es evitar que nuestros de Windows 7 mquinas se vean


comprometidas por los hackers. Vamos a endurecer el sistema para eliminar una
gran cantidad de superficie de ataque e impedir a los piratas informticos. Se
aadirn capas de seguridad para proteger nuestro sistema, documentos
privados, navegadores y otras aplicaciones. Luego, continuando el proceso de
seguridad, vamos a establecer un seguimiento de parches para notificarnos de
aplicaciones inseguras que requieren parches. A continuacin vamos a
configurar la monitorizacin de eventos para controlar los usos de la cuenta de
administrador y todos los acontecimientos inusuales. Y vamos a las lneas de
base de configuracin para que podamos comparar regularmente contra el
sistema actual en ejecucin para asegurarse de que no ha sido modificado. Y
finalmente queremos monitorizar el panorama de amenazas actual y ser capaz
de reaccionar a las amenazas de seguridad emergentes en el tiempo. La
seguridad es de todos estos pasos que comienza con, pero no termina en,
endurecimiento de la mquina.
Windows es un sistema operativo de propsito general, y como tal, se ha
construido en muchas caractersticas diseadas para adaptarse a muchos
usos. A medida que ms y ms lneas de cdigo se acumulan, no estn
obligados a ser los bichos. Y los programadores hablan de errores por cada 1000
lneas de cdigo como una simple medicin comn. Es inevitable tener errores
en el cdigo, y Windows 7 no es diferente. De hecho, en grandes proyectos como
el de Windows, es comn para enviar hacia fuera cdigo mientras todava hay
errores de baja prioridad que son sin fijar. Y stos podran contarse por miles
bajas. Luego, estn los errores que an no descubiertos que slo salen a la
superficie cuando se utilizan determinadas caractersticas en combinacin.
Un PC correctamente endurecido negar y disuadir a los piratas con capas de
proteccin. A veces, dependiendo de la vulnerabilidad, que ser completamente
mitigado porque esa funcin est desactivada. Otras veces, una vulnerabilidad
de da cero pueden permitir a un hacker para entrar, pero una vez dentro,
encontrarn un sistema de bloqueo, tratar de destruir algo y salir.Su ltimo
premio es ganar derechos admin / sistema para su PC y controlar totalmente el
sistema. Con un sistema endurecido, no van a llegar a su meta. Y con la
supervisin de seguridad, incluso si se obtienen derechos de administrador, su
victoria ser de corta duracin.
Puede que no tenga ninguna razn para un hacker para atacar sus sistemas
aparte de ser fruta madura. (Sistema est expuesto y vulnerable) Por otra parte,
sus datos personales (robo de identidad), los datos de trabajo (para vender a los
competidores), y el uso de tarjetas de crdito (para venderlos en el mercado
negro) es tentador suficiente para hackers. Y la piratera no es una cosa
complicada, los atacantes slo entrar, instalan sus herramientas y se van, y esas
herramientas informan automticamente a sus servidores.

Importancia de la Prueba

Es importante sealar, que tras el endurecimiento de un sistema, uno tiene que


probar para ver si las aplicaciones que se ejecutan todava funciona como se
esperaba. El pblico objetivo de este proyecto es un usuario domstico, sin
necesidad de comunicacin entre la PC y las organizaciones pequeas y
medianas empresas con un servidor de dominio.
La prueba se realiza en mquinas de 64 bits Home Premium, Professional,
Ultimate y Enterprise y un R2 de Windows Server 2008 Windows 7. Existen
diferencias entre los sistemas operativos, Ultimate cuenta con 146 servicios,
mientras que la empresa cuenta con 150, Profesional tiene 148 y Home Premium
tiene 144.
Son pocos los hecho despus de realizar los procedimientos de proteccin a
continuacin. Para Windows orgnico y categoras superiores, pruebo el
siguiente
la computadora puede unirse a un dominio
un usuario de dominio puede iniciar sesin en el equipo.
Redireccin de carpetas funciona.
Despus del endurecimiento, todos los elementos del panel de control funcionan,
con las siguientes excepciones:
"la aplicacin y Escritorio remoto" porque no tiene una configuracin
de servidor para probar esta caracterstica.
Herramientas administrativas> iniciador iSCSI, porque yo no tengo
ese tipo de hardware.
"Ubicacin y otros sensores", porque no tienen ese tipo de hardware

"Reconocimiento de voz", porque no tengo un micrfono para


probar con.

"Centro de sincronizacin", porque no tengo los dispositivos de


prueba que requieren sincronizacin.
"Solucin de problemas" porque hay demasiados escenarios para
ejecutar cada solucionador de problemas

Herramientas administrativas> Servicios de componentes no se


prueba, ya que requiere un profundo conocimiento acerca de
DCOM.
Herramientas administrativas> Monitor de rendimiento, porque no
estoy familiarizado con l, as que no s lo que es normal, es decir,
lo que se debe mostrar y lo que no debe ser.
Si crea una nueva cuenta de usuario estndar despus del temple,
el valor predeterminado es el tema de Windows Classic, es
necesario establecer el tema de nuevo a Windows 7 Aero tema
manualmente.
.

Acerca de esta Gua para reforzar la

Que no haya error, si el sistema ya ha sido comprometida, siguiendo los consejos


dados aqu no te ayude, porque no se sabe lo que backdoors y botnets clientes
se han instalado en su sistema. No se puede luchar contra alguien que ya tiene
el control del administrador de su sistema. Puede implementar algo y que slo
se desactivarlo. Usted mejor oportunidad de supervivencia es volver a instalar
su copia legtima de Windows y luego endurecerlo para prevenir nuevos ataques
suceda.
Esta gua est hecha para los sistemas de Windows Home Premium
independientes. Hay otra versin de Windows Professional, Windows Ultimate,
Windows Enterprise y Dominio unieron sistemas.
Hay 2 archivos de configuracin automatizadas y un archivo de restauracin. Los
productos cubiertos son:
endurecimiento de servicios de Windows
la aplicacin de control de acceso Listas de herramientas de lnea
de comandos de Windows.
Qu eventos a registrar
Tamao de registro de eventos.
configuracin de UAC para admin y usuarios estndar.

Las cuentas que se permite el acceso de red remoto (que


configuramos a ninguno)
requisitos de complejidad de contraseas y bloqueos de cuenta.
La configuracin automatizada incluye listas de control de acceso (ACL) para las
herramientas de lnea de comandos. Est hecho para 64 bits slo en
Windows . 32 mquinas bits no estn cubiertos. Hay muchos ms ejecutables
en una mquina de 32 bits.
Tambin hay una serie de Custom Ver archivos xml para el Visor de sucesos.
Tambin hay un archivo de poltica de firewall que puede ser importado para
establecer los ajustes y las reglas del cortafuegos.

Comencemos

Lo que se necesita pre-descargado

Service Pack 1 para Windows 7 64 (si el DVD de instalacin de Windows


no
viene
con
l)
http://www.microsoft.com/enus/download/details.aspx?id=5842
Usted quiere que el "windows6.1KB976932-X64.exe "(este documento slo se ocupa de la edicin de 64
bits)
WSUS Offline Update desde aqu: http://www.wsusoffline.net/

Antivirus
EMET.4.1
Desde
aqu:
http://www.microsoft.com/enca/download/details.aspx?id=41138
NET Framework 4 A partir de aqu: http://www.microsoft.com/enca/download/details.aspx?id=17718
Simple
Software
Restriction
Policy
1.2.
Surf
a
http://sourceforge.net/projects/softwarepolicy/files/
y
descarga
"SoftwarePolicy120Setup.exe".
Sandboxie, desde aqu: http://www.sandboxie.com/
Secunia PSI, desde aqu: http://secunia.com/vulnerability_scanning/personal/
Apague
AutoRun
FixIt,
desde
aqu: http://support.microsoft.com/kb/967715
Apague
Gadgets
plataforma
FixIt,
desde
aqu: http://support.microsoft.com/kb/2719662
MS SysInternals AutoRuns, desde aqu: http://technet.microsoft.com/en-

us/sysinternals/bb963902

MS
SysInternals
Proceso
Explorer,
desde
aqu: http://technet.microsoft.com/en-us/sysinternals/bb896653
CHML, desde aqu: http://www.minasi.com/apps/
Desactivar IPv6, desde aqu: http://support.microsoft.com/kb/929852
Hay varios mdulos Fixit. utilizar "Desactivar IPv6" (por completo) o
"Desactivar IPv6 interfaces de tnel" (desactivacin slo los tneles si
usted tiene un router IPv6) La razn est dada en la gua.
CompuSec libre por CE-Infosys. desde aqu: http://www.ceinfosys.com/default.aspx
Macrium Reflect, desde aqu: http://www.macrium.com/reflectfree.aspx
Sus aplicaciones descargables, y la ltima versin de Adobe Flash y
Adobe Reader

Actualizaciones crticas de Windows


Desde el lanzamiento de Windows 7 SP1, ha habido cambios importantes que
podran parar de realizar las actualizaciones de Windows. Si usted tiene
atacantes en su cola, puede muy bien ser impedido la obtencin de
actualizaciones crticas. O que puede verse comprometida cuando usted va en
lnea a buscar actualizaciones.
Hay una herramienta gratuita llamada WSUS Offline Update, que puede
descargar actualizaciones para todas las plataformas de Windows y crear un
archivo de imagen ISO. Simplemente grabar este archivo de imagen en un DVD
y meterlo en su PC y se iniciar la instalacin de las actualizaciones. Tenga en
cuenta que slo descargar KB de los que estn en MS boletines de seguridad,
que son todas las descargas importantes y fundamentales; por lo que todava
tendr que hacer una actualizacin de Windows despus para recoger las
actualizaciones no crticas ordinarios. Esta herramienta elimina un vaco crtico
en la instalacin de Windows. Eso es cuando usted tiene solamente service
packs instalados, pero se echa en falta todas las actualizaciones de Service Pack

posterior. Un atacante puede atacar a usted mientras usted est actualizando en


lnea
y
vulnerable.
La
herramienta
est
disponible
desde
aqu:http://www.wsusoffline.net/ . El sitio est en alemn e Ingls.
As que el plan es ejecutar esta herramienta en otro PC a buscar a los cambios,
y tomar el disco de cambios a la mquina que est instalando.
Una vez que haya descargado y extrado el archivo zip. Haga clic derecho sobre
'UpdateGenerator.exe' y seleccione Propiedades y luego la pestaa
Compatibilidad. Checkmark 'Ejecutar este programa es el modo de
compatibilidad "y seleccionar Windows XP. A continuacin, ejecute el
programa. En la pantalla principal, seleccione las plataformas que desea obtener
actualizaciones para, y activarlo Crear imgenes ISO "por producto y idioma
seleccionado ', a continuacin, haga clic en el botn Inicio. Despus de que
finalice, compruebe la carpeta sub iso para localizar el archivo de imagen
ISO. Tenga en cuenta que se trata de un archivo de imagen de DVD. Es
necesario hacer clic derecho sobre l y seleccione "Grabar imagen de disco". O
bien, puede utilizar la utilidad ImgBurn gratis si usted no est en Windows 7 o
Windows
8.

Instalar Service Packs offline


Usted debe descargar el Service Pack 1 en un equipo diferente y copiarlo en el
equipo que est instalando y ejecutarlo. No queremos para conectar el ordenador
a la red sin el conjunto mnimo de parches. Ms abajo en este documento,
cuando la configuracin de red est completa, vamos a conectar en lnea a
buscar parches de seguridad lo antes posible .. No navegar por la red mientras
se realiza cualquier paso previo a Windows Update, debido a que su navegador
no se encuentra una gran cantidad de parches de seguridad.

Instale las actualizaciones crticas y de importantes


Utilice el disco de actualizaciones crea por WSUS Offline Update e instalar los
parches.

Least Privilege
Uno de los principales conceptos subyacentes endurecimiento es privilegio
mnimo. Significa para configurar el sistema de modo que slo es capaz de hacer
cosas que normalmente hace, y nada ms. Por lo tanto, eso significa que si no
se utiliza una caracterstica de Windows, es que ser apagado, o discapacitados.
La razn detrs de esto, es que las ms caractersticas de habilitar, cuanto mayor
sea la superficie de ataque es. Significa que usted tiene ms de defender. Y un
punto vulnerable es todo lo que se necesita para ser hackeado. Las ms
caractersticas que tiene, los errores ms posibles (algunos relacionados con la

seguridad) que tiene. Ahora los hackers saben mucho acerca de los errores de
seguridad en el sistema - que es la forma en que atacan. Si usted va en vivo en
el Internet con todas las funciones activadas, el hacker tendra un montn de
opciones. Si desactiva las funciones no utilizadas, a continuacin, tendra menos
para jugar.
Una de las primeras cosas que debe hacer de acuerdo con los privilegios
mnimos es crear una cuenta de usuario estndar, y el uso que dan cuenta de
su trabajo diario. Slo acceder a la cuenta administrativa para instalar
programas, configurar la red, o realizar tareas de mantenimiento del
sistema. Porque cuando usted est trabajando en una cuenta estndar, cualquier
malware o un hacker que lo hace en su sistema heredarn su privilegio y no tener
privilegios de administrador para realizar amplias modificaciones del sistema. Y
eso es un triunfo para usted.
Recuerde que un atacante tendr todo el acceso que usted tiene en el momento
de que ataque. As que si usted tiene documentos importantes almacenados en
la carpeta de documentos de esa cuenta, tendrn el mismo acceso. (Ms sobre
esto ms adelante). As que, si tiene datos de nivel secretas, lo mejor es
guardarlos en una cuenta que no navega con. Y tambin puede que desee ver
en el uso de un programa de cifrado como CompuSec que puede crear carpetas
cifrados.
Desde una perspectiva diferente, una cuenta estndar es una barrera a otras
cuentas, y es tambin un contenedor para los ataques. Si usted tiene sus
servicios configurados correctamente y no permiten que el comando runas, (es
el servicio Inicio de sesin Seondary), entonces automatizado ataques y los
hackers no pueden acceder a sus otras cuentas. Si usted nota diferente
comportamiento de su navegador, o algo que se parece a la actividad del virus,
puede reconstruir su cuenta y borrar el viejo como parte de un procedimiento de
recuperacin.
Mostrar todos los ajustes del panel de control
Panel de control, seleccione " Ver por: Iconos pequeos . Esto muestra todas
las opciones de configuraciones disponibles.

Gire UAC al mximo


Cuando MS lanz Vista, hubo algunas quejas sobre UAC pidiendo confirmacin
para hacer esto, aquello y lo otro. As MS hizo un compromiso en Windows 7 y
permite a los clientes elegir qu nivel de incitar a que quieren. Sepan que apagar
UAC tambin significa apagar el modo protegido en Internet Explorer, y no
mucha gente se da cuenta de que una pieza importante de la proteccin est
desactivada. UAC aparece sobre todo durante la fase de configuracin, una vez
que haya terminado de configurar el equipo, que rara vez se encuentran.

Elementos del Panel de Control Panel \ All Control \ Usuario Ajustes de control \
Cambio de cuentas de usuario Cuentas
Mover cursor al principio

Especificacin de la puerta de entrada


Vamos a realizar el endurecimiento de los componentes de red en primer lugar,
sin necesidad de conectarse a Internet. Esto requiere que el equipo se conecta
a la puerta de enlace / router, con el fin de cambiar el perfil / firewall de red entre
privado y pblico. Temporalmente especificando cualquier PC en vivo como la
puerta de entrada va a funcionar. Despus del endurecimiento de red, puede
configurar la puerta de enlace correcta, y que se conectar a Internet para
obtener las actualizaciones de Windows.
Panel de control, Red y Centro de Compartir, enlace de conexin de rea local,
Propiedades, seleccione Protocolo de Internet versin 4 (TCP / IPv4), botn
Propiedades, Puerta de enlace predeterminada. Introduzca la direccin IP de
cualquier PC en vivo en la red.

Configurar perfiles del cortafuegos


Red de Windows cuenta con 4 tipos de red, de dominio, de trabajo, el hogar y
pblicas. El trabajo y el hogar son similares y estn etiquetados como "privado"
en que es herramienta de firewall. Los entornos de trabajo y de residencia se
establecen para permitir 'descubrimiento de la red', por lo que Windows se le
permite hablar con otras PC. El escenario pblico es el ms seguro y est
destinado a ser utilizado en los hotspots cafe, aeropuertos, etc Si su red contiene
ordenadores inseguros, entonces usted debe configurar el perfil de red para el
pblico. El ajuste de dominio no puede ser elegido por el usuario, y se utiliza
despus de que el PC se ha unido a un dominio. Ya que estamos endureciendo
el PC, queremos que el valor ms seguro, y slo permitir que Windows para
hablar cuando se le llama para. As que para aquellos que tiene la intencin de
unirse a un dominio, elegir el perfil de trabajo; y si no, elegir el perfil pblico.
Panel de Control \ Network and Sharing Center
Cambie la ubicacin de red a Pblico .

Utilice protocolos de red Esenciales slo Bare


Para que un hacker para hackear forma remota, tiene que interactuar con una
red orientada programa en ejecucin en su PC. Algunos componentes de red
implementan protocolos.Protocolos de red son reglas gramaticales para los bits
y bytes para comunicarse con otros ordenadores. Y cada uno tiene puntos
dbiles. As que a menos que su entorno requiere que el protocolo debe ser

utilizado, vamos a querer desactivar todos excepto lo esencial. Ms protocolos


significan una superficie de ataque ms grande.
El nico protocolo que realmente necesita es IPv4. Y la mayora de equipos de
redes IPv4 requiere para poder funcionar. IPv6 ser cada vez ms necesario
como hemos quedado sin direcciones IPv4, pero a partir de este escrito, IPv6
todava no es muy popular.
Si usted tiene un router IPv6, entonces usted puede pasar por alto todas
las configuraciones en esta gua que mencionan v6 . ya que est activada de
forma predeterminada por Microsoft. Algunos routers no entienden IPv6, y
algunos proveedores de Internet no son compatibles con l tampoco. As MS
hizo varios componentes del tnel que los tneles IPv6 dentro de IPv4 al
exterior. Esto, en efecto, no pasa por la seguridad que ofrece su NAT-router y
firewall de hardware. El trfico de tnel no puede ser visto por los cortafuegos de
hardware IPv4 y todo tipo de trfico se le permitir pasar sin obstculos.
NetBIOS sobre TCP / IP no es necesaria porque NetBIOS ya est activo y sin
esta opcin. Deshabilitar NetBIOS sobre TCP / IP debe limitar el trfico NetBIOS
a la subred local.
Los protocolos de deteccin se utilizan para proporcionar un mapa grfico
agradable de su red. Para los usuarios domsticos, esto no es necesario, ya que
slo hay un enrutador. Usted conseguira solamente para ver una imagen que
representa a sus equipos conectados a su router. Para los usuarios de dominio,
esta funcin se desactiva automticamente una vez que se inscriba en el
dominio.
Compartir impresoras y archivos slo deben estar habilitadas si va a compartir
algunas de sus carpetas en la red o si quiere compartir la impresora conectada
localmente en la red. Si se desea compartir la impresora, es mejor conseguir una
impresora que se ha construido en la creacin de redes, de manera que cuando
son atacados, ellos slo tienen acceso a una impresora en lugar de su
PC. Desactivar esta opcin a menos que sea absolutamente necesario.
Panel de Control \ Network and Sharing Center
Conexin de rea local botn Propiedades \
desactivarlo lo siguiente:

Cliente para redes Microsoft


Compartir impresoras y archivos para redes Microsoft
QoS
Capa de enlace de deteccin de topologas Mapper IO Controlador
Capa de enlace de deteccin de topologas de respuesta
Protocolo de Internet versin 6

Seleccione "Protocolo de Internet versin 4 (IPv4 TCP), haga clic en


Propiedades, haga clic en Avanzadas,

haga clic en la pestaa 'DNS', desmarque 'registrar esta direccin de


conexiones en DNS "
haga clic en la pestaa 'WINS', seleccione 'Deshabilitar NetBIOS sobre
TCP / IP'

Deshabilitar IPV6 Totalmente


Como se mencion anteriormente, tneles IPv6 no pasa por la seguridad de su
router y firewall hardware IPv4. Si usted tiene un router IPv6, omita esta seccin.
Vea esta pgina: http://support.microsoft.com/kb/929852
Hay varios mdulos Fixit. Yo elija "Desactivar IPv6" (totalmente) o "Desactivar
IPv6 interfaces de tnel" (desactivacin slo los tneles si usted tiene un router
IPv6).

Desactivar los dispositivos TCPIP6 no utilizados y NETBT


Controlador NetBT es NetBIOS. El servicio TCP / IP NetBIOS depende de
ello. Cuando deshabilita el controlador NetBT, no habr ninguna funcionalidad
NetBIOS que sea. Si se trata de una mquina autnoma, esto es lo que quieres.
Al desactivar caractersticas, me gusta desactivar sus componentes tambin. As
que a pesar de que IPv6 est deshabilitado anteriormente, todava deshabilitar
el controlador de minipuerto WAN IPv6, controlador Teredo, ISATAP conductor
y conductor IPv6 ARP.
Panel de control / Administrador de dispositivos, men Ver / Mostrar dispositivos
ocultos

/ Red, desactive minipuerto WAN IPv6


/ Red, adaptador ISATAP Microsoft desactivar (tnel IPv6)
/ Red, deshabilite Teredo Tunneling Pseudo Interface (IPv6 tnel)
/ Que no son Plug and Play / Remote Access IPv6 ARP Conductor>
Propiedades> pestaa Controlador>: Cambiar el tipo de inicio del sistema
para desactivar
/ Que no son Plug and Play / NETBT> Propiedades> pestaa
Controlador> Stop it y el cambio Tipo de 'Sistema' en
'Desactivado'. (Desactiva NETBIOS totalmente. Cierra parcialmente el
puerto 445)

Reboot.

(Para cerrar el puerto 445, hay que desactivar, adems, el servicio de servidor,
consulte la seccin Servicios de abajo)

IGMP Desactivar
Nunca he visto este protocolo utilizado. Cuando algo no se utiliza, menos
privilegio dice que debe ser desactivada.
Botn Inicio \ Todos smbolo del sistema Programas \ Accesorios \, haga clic
derecho, seleccione "Ejecutar como administrador"
pegar este comando:
Netsh interface ipv4 set mldlevel mundial = ninguno

Desactivar el puerto 1900 UPnP


La intencin de UPnP es la facilidad de configuracin, as que las cosas tales
como juegos puede auto-configurar el servidor de seguridad para permitir que
otros jugadores de internet se unen. Sin embargo, con los usuarios de cada uno
hacer agujeros en el cortafuegos con UPnP, muy pronto ser el queso suizo y
dejar de funcionar como un servidor de seguridad. Es mejor configurar reglas de
firewall manualmente para que cada regla de firewall es conocida y
represent. Si el servidor de seguridad de hardware o router tiene una opcin
para desactivar UPnP, hgalo.
Regedit
HKLM \ Software \ Microsoft \ DirectPlayNATHelp \ DPNHUPnP
haga clic derecho en el panel de la derecha, nuevo dword: 32 bits, el nombre
UPnPMode
Haga doble clic en eso y establezca el valor en 2.

Desactivacin de puertos de escucha


Al ejecutar el comando 'netstat -abn', que le mostrar qu puertos estn abiertos
y escuchando a la red. Normalmente, usted quiere cerrar esos puertos a menos
que realmente los necesita.Procesos de escucha de Windows 7 y sus nmeros
de puerto son RpcSs (135), Wininit.exe (49152), servicio de registro de eventos
(49153), servicio de programacin (49154), services.exe (49155), lsass.exe
(49156). (Los nmeros de puerto por encima de 49152 se cambian entre
reinicios), Sin embargo, la poltica de firewall por defecto para el trfico entrante
es "bloque" para todos los perfiles de red (dominio, privado, pblico). Eso
significa que nadie puede tocar los puertos de escucha a menos que el firewall
est desactivado, o que han hecho entrantes "Permitir" reglas para pasar el
trfico en esos procesos. Esto ha sido comprobado mediante la conexin a ellos

navegadores como Firefox y el programa de chat) Esto incluye programas que


tengan el aporte de material descargado. (Por ejemplo, Adobe Reader,
reproductor multimedia, MS Word, Excel y PowerPoint)

Parches
Una de las cosas ms importantes que hacer es actualizar todo en su
computadora, constantemente, eso significa que Windows Update y la
actualizacin de todos los programas y plug-ins.Es muy importante saber que los
parches de seguridad cierra los agujeros que el malware / hackers necesidad de
introducirse en su ordenador. Aplicacin de parches los agujeros de seguridad
es la medida preventiva definitiva de que trata el origen del problema.
Se sabe que los piratas informticos ingeniera inversa parches MS para explotar
las vulnerabilidades. Slo se tarda un par de das para que lo hagan, as que
asegrese de arreglar a tiempo.Horario parche de MS se encuentra en
el segundo martes de cada mes .
De Windows Update proporciona soluciones de seguridad para Windows y sus
programas como Internet Explorer. Si utiliza un carrito de IE, entonces hackeado
sitios web pueden instalar virus / software malicioso sin el conocimiento de usted.
Si utiliza otros productos de MS como MS Office, Windows Update tiene una
opcin para suministrar parches para los que son demasiado, tienes que hacer
clic en "Get actualizacin para otros productos de Microsoft" en la aplicacin de
Windows Update.
Adobe Flash es otro componente que mucha gente se olvida de. Ir a Adobe.com
y descarga la ms reciente. Y si utiliza otros navegadores, los utilizan para visitar
Adobe para instalar la ltima versin de Flash para ellos tambin, porque hay
exe flash / plug-ins separados para cada navegador. Adobe Flash implement
recientemente una funcin de actualizacin automtica de Flash, si instala Flash,
es necesario hacer un saliente permite regla de firewall para el servicio.
Secunia
ofrece
un
programa
gratuito
llamado PSI ( http://secunia.com/vulnerability_scanning/personal/ ) que detecta cul
de sus programas instalados faltan parches de seguridad. Este es un
salvavidas . Despus de la instalacin, se explorar su PC en un horario. Se le
informar sobre programas inseguros, y conectarlo a parchear descargas. Si un
parche para un agujero de seguridad an no existe, se le indicar, de manera
que al menos se puede dejar de usar ese programa por un tiempo. Esta es una
parte muy importante de mantener la seguridad de su mquina .

Ejecute Windows Media Center , vaya a travs de los pasos y dejar que se
inicializa todo, entonces la salida

Apague AutoRun
Ir a http://support.microsoft.com/kb/967715
Descargue e instale la FIXIT dado en el foro. AutoRun es un problema cuando
se trata de dispositivos extrables, como memorias USB y CD. Porque va a
ejecutar cualquier programa que se establece para cada vez que se inserta. Los
hackers se saben para salir casualmente CDs alrededor en baos pblicos y
etiquetar algo como "posiciones de despido para el prximo trimestre", Una vez
insertados, sus herramientas de hacking se ejecuten en segundo plano y llamar
de nuevo a su servidor maestro.

Apague plataforma Gadgets


Microsoft ha publicado un aviso que indica que la plataforma de la barra lateral /
gadgets es muy inseguro. Ellos han tomado la tienda de aparatos fuera de lnea
y emiti un FixIt desactivar Gadgets. El FixIt se encuentra aqu:
http://support.microsoft.com/kb/2719662

Activar DEP
Prevencin de ejecucin de datos es una tecnologa que frustra algunos tipos de
ataques cuando se codifican de una manera determinada. De forma
predeterminada, esta funcin est activada, pero protege slo los ejecutables de
Windows. Quiere que le permita proteger todos los programas, como Firefox,
Opera, Acrobat Reader y otros.
Si ya ha instalado EMET a lo anterior, a continuacin, esta funcin se desactivar
porque EMET se ha hecho cargo el manejo de DEP.
Haga clic derecho Configuracin del equipo / Properties / Advanced System
/ Botn Configuracin de rendimiento / Data Execution Prevention Tab
Seleccione "Activar DEP para todos los programas ..."

La creacin de archivos de volcado Desactivar


Archivos de descarga son volcados de memoria, y todo en la memoria se
guardan en un archivo. Esto se utiliza para depurar problemas con el sistema. Sin
embargo, las contraseas y todas las cosas confidenciales que se estn
ejecutando en la actualidad tambin se guardan en este archivo. Debe activar
esta funcin slo cuando usted est experimentando problemas y necesita
depurar.

Botn de configuracin - PC> Propiedades> Configuracin avanzada del


sistema> inicio y la configuracin de recuperacin
Escribir informacin de depuracin: Ninguno.
.
No permitir Asistencia remota
La asistencia remota permite que un ayudante para controlar su PC con escritorio
completo, el teclado y el acceso ratn. Esto no es un favorito de hackers, ya que
est construido en la proteccin que slo permite la invit a tomar el control. Sin
embargo, hay falsas estafas de Microsoft, que atraen a los usuarios para que les
diera acceso remoto, y usted va a querer proteger a sus usuarios.
Equipo / Configuracin de Propiedades / Sistema Avanzado / pestaa Remoto
Un-marca de verificacin permite la asistencia remota

Deje que Windows haga ms puntos de restauracin disponibles


Restaurar sistema puede ser un protector de la vida cuando se encuentra con
los errores del sistema. Si lo establece a utilizar ms espacio en disco y hacer
ms puntos de restauracin es una buena poltica
Haga clic derecho en la pestaa Computer / Properties / Advanced Systems
Settings / System Protection
Botn Configure / crear sistema ms grande restaurar cach
.
Activar Visibilidad en los archivos ocultos de Windows
Quieres ser capaz de ver todos los archivos y carpetas en Windows. Si no
realiza este paso, los hackers pueden ocultar sus herramientas instaladas de
usted. Aunque el atacante tambin puede instalar un rootkit que tambin
esconde sus archivos, puede que no sean capaces de llegar tan lejos en su
sistema para hacerlo.
Explorador de Windows / Organizar / Opciones de carpeta y bsqueda / Ver ficha
Artculos Checkmark siguientes
Mostrar siempre los mens
Mostrar la ruta completa en la barra de ttulo
Mostrar archivos ocultos, carpetas y unidades
Desactive los elementos siguientes
Ocultar unidades vacas en la carpeta del ordenador
Ocultar las extensiones para tipos de archivo conocidos
Ocultar archivos protegidos del sistema operativo

Configurar el protector de pantalla


PCs desatendidas son los riesgos de seguridad evidentes. Pero mucha gente no
puede hacerse cargo de esto a travs de este ajuste simple. La mayora de las
grandes empresas que son conscientes de la seguridad tienen reglas estrictas
para permitir esto y no para salir de PCs e ingresados y desatendida.
Haga clic derecho en el escritorio y seleccione Personalizar /
Screensaver. Configurarlo para esperar 10 minutos, y marca de verificacin "al
reanudar, mostrar la pantalla de inicio de sesin"

Apague un-necesario Caractersticas de Windows


Panel de control / Programa y Caractersticas
Activar las caractersticas de Windows o desactivar
desactivar los siguientes:
- Componentes de Tablet PC
- Plataforma Windows Gadget

Desactivar reproduccin automtica


Usted no quiere que los programas se ejecuten de forma automtica, ya que los
medios insertados (como lpices de memoria USB de su amigo) puede contener
virus. Es mejor abrir el programa usted mismo y vaya a los medios de
comunicacin.
Panel de control> Reproduccin automtica. Elija "No realizar ninguna accin"
para todo
Desmarque "Usar la reproduccin automtica para todos los medios y
dispositivos"
Haga esto para todas las cuentas de usuario.

Windows Defender
Panel de control / Windows Defender
Men Herramientas, Microsoft SpyNet, seleccionar "Unirse con Membresa
Avanzada '. (O de lo contrario no se le pida con notificaciones spyware)
Si utiliza MS Security Essentials como el antivirus, desactivar Windows
Defender, y se puede saltar este paso.

Los navegadores y Seguridad


Internet Explorer sigue siendo el navegador ms popular, ya que se instala por
defecto. Dado que los navegadores son la interfaz principal a la web, y utilizado
por todo el mundo, son un vector principal de ataque. Los hackers atacan a un
sitio web y modificarla para entregar malware, utilizando los agujeros de
seguridad en el navegador. O pueden enviar ataques forja la direccin de una
pgina web que se encuentra. (Si tiene una pestaa de su sitio web favorito
siempre abierta, pueden falsificar la direccin de ese sitio web y enviar ataques).
Internet Explorer tiene un importante mecanismo de defensa, llamado Modo
Protegido. Es otro nombre para los niveles de integridad. Bsicamente, todo el
sistema est marcado como integridad media. Si bien los programas atacados
con frecuencia como Internet Explorer se marca como baja integridad. Bajo la
integridad no puede modificar Medium. As que incluso si alguien compromete la
IE y obtiene acceso a su PC, no puede modificar su sistema. Puede establecer
el nivel de integridad de un programa por usted mismo, as que usted puede
hacer que Firefox u otros navegadores utilizar el modo protegido tambin.
Alternativas populares a IE son Firefox, Opera y Chrome. Ha habido agujeros de
seguridad descubiertos en ellos al igual que IE, pero tienen fama de ser ms
seguro, sobre todo porque no utilizan ActiveX. Hay bibliotecas de cdigo ActiveX
desparramados en Windows, y muchos no son seguros para el uso de
Internet. Los atacantes a menudo hacen IE llamada a estos mdulos de cdigo
ActiveX como medio de ataque.
Configure IE para utilizar el modo protegido siempre
Panel de control / Opciones de Internet Pestaa / Seguridad
Checkmark modo protegido para todas las zonas
Ingresa para cada cuenta de usuario y repita.
Configure IE para utilizar el filtrado ActiveX
Abra Internet Explorer, el icono del engranaje / Seguridad / marca de verificacin
Filtrado de ActiveX
Ingresa para cada cuenta de usuario y repita.
IE tiene esta estpida distincin acerca de la fuente de una pgina web. Por
defecto, si un servidor web se encuentra dentro de su red (como un servidor web
de la empresa), a continuacin, el modo protegido est desactivado. Bueno, si
un hacker quiere atacar la red, ellos simplemente atacar a su servidor web en
primer lugar, y dejar que sus herramientas se propagan cuando los visitantes
internos utilizan el servidor de la empresa web infectada.

---------- Mozilla Firefox es un software de cdigo abierto. Los defensores del cdigo
abierto dicen que debido a que el cdigo es abierto para todos para inspeccionar,
lo convierte en un producto ms seguro. (A diferencia de IE, que slo un nmero

limitado de los programadores de Microsoft funciona en) . Mozilla ha tambin una


vez pidi a los hackers de sombrero blanco para ayudar ataque de prueba de
Firefox. Pero si este es un compromiso continuo es poco clara.
Firefox puede ser ms seguro si instala ciertos plug-ins. El ms popular es el
NoScript, que bloquea JavaScript se ejecute hasta que usted marque un sitio
como de confianza, o la opcin de permitir temporalmente scripting. IE puede
bloquear JavaScript tambin, pero los controles para hacerlo est enterrado en
el men Opciones de Internet y no tan rpidamente accesible como NoScript, y
no puede ser activado automticamente por sitio. As que la seguridad de que
es triunfos utilizables. Bloqueo JavaScript es una caracterstica, ya los agujeros
de seguridad del navegador que muchos se activan mediante secuencias de
comandos, as que de nuevo, cuando no es necesaria, debe ser
desactivada. Desafortunadamente algunos sitios requieren JavaScript para
funcionar correctamente. Sin embargo, hay un defecto en la forma de pensar que
un sitio puede marcarse como de confianza para siempre. Debido a que 1) los
sitios, incluso populares y de confianza pueden ser atacados y modificados. 2)
Algunos sitios suscribirse a los banners de anuncios que no tienen ningn control
sobre, y en ocasiones las banderas estn hechas maliciosamente.
Para cubrir el ngulo de anuncios maliciosos, hay plug-in llamado AdBlock
Plus. Este plug-in elimina todos los anuncios de sitios. Su beneficio adicional es
que los sitios se cargan ms rpido y sin los anuncios.
Hay otra Firefox plug-in llamado WOT (Web of Trust). Este plug-in marcas
bsqueda de resultados del motor con puntuaciones. Si un sitio es conocido por
ofrecer malware, aparecer un icono de peligro roja junto a l. Y usted puede
hacer clic en el icono para ver las calificaciones detalladas por categora de
amenaza. Las calificaciones son impulsados por la comunidad ayuda. WOT es
ahora tambin disponible para Internet Explorer.
Hay otro plug-in gratuito por McAfee SiteAdvisor llamada. Tambin marca los
resultados del motor de bsqueda con un icono de calificacin de seguridad, y
este producto funciona con IE y Firefox ..

Firefox bajo Integridad


Como se mencion anteriormente, se puede mejorar la seguridad de Firefox
establecindola en baja integridad. Abra un smbolo del sistema elevado y copiar
y pegar en siguientes comandos, una lnea a la vez, sustituyendo
<yourAccName> con su nombre de cuenta:
icacls "C: \ Archivos de programa (x86) \ Mozilla Firefox \ Firefox.exe "/
setintegritylevel baja
icacls "C: \ Users \ <yourAccName> \ AppData \ Local \ Temp" / setintegritylevel
(oi) (ci) bajo / t
icacls "C: \ Users \ <yourAccName> \ AppData \ Local \ Mozilla" / setintegritylevel
(oi) (ci) bajo / t

icacls "C: \ Users \ <yourAccName> \ AppData \ Roaming \ Mozilla" /


setintegritylevel (oi) (ci) bajo / t
icacls "C: \ Users \ <yourAccName> \ Downloads" / setintegritylevel (oi) (ci) bajo
/t
icacls "C: \ Users \ <nextAccName> \ AppData \ Local \ Temp" / setintegritylevel
(oi) (ci) bajo / t
icacls "C: \ Users \ <nextAccName> \ AppData \ Local \ Mozilla" / setintegritylevel
(oi) (ci) bajo / t
icacls "C: \ Users \ <nextAccName> \ AppData \ Roaming \ Mozilla" /
setintegritylevel (oi) (ci) bajo / t
icacls "C: \ Users \ <nextAccName> \ Downloads" / setintegritylevel (oi) (ci) bajo
/t
Tenga en cuenta que para que Firefox se ejecute tan bajo integridad, se requiere
la configuracin de la carpeta \ AppData \ Local \ Temp tambin a bajo integridad,
lo que antes era medio.Esta carpeta puede contener datos sensibles temporales
de otras aplicaciones. Un intruso acceder a travs de Firefox puede ser
bloqueado en modo de integridad de baja y no se puede cambiar la configuracin
del sistema, pero se puede recoger datos de esta carpeta, que puede ser
indeseable.
---------------Opera es otro navegador alternativo. Lo que es bueno acerca de ellos es que
remiendan vulnerabilidades divulgadas pblicamente con bastante
rapidez. Tambin hay un plugin WOT para este navegador.
Baja Opera integridad
Ejecute los siguientes comandos en un smbolo del sistema con privilegios
elevados:
icacls "C: \ Archivos de programa \ opera x64 \ opera.exe" / baja setintegritylevel
icacls "C: \ Users \ <yourAccName> \ AppData \ Local \ Opera" / setintegritylevel
(oi) (ci) bajo / t
icacls "C: \ Users \ <yourAccName> \ AppData \ Roaming \ Opera" /
setintegritylevel (oi) (ci) bajo / t
Nota : cada vez que actualice Opera o Firefox, tienes que volver a ejecutar el
comando que hace que el exe de un programa de baja integridad. (...
Setintegritylevel bajo)

---------------Cromo es el navegador de Google, que tambin es de cdigo abierto, en su


mayora. Su arquitectura asigna componentes de alto riesgo, como el analizador
de HTML, la mquina virtual de JavaScript y el Document Object Model (DOM),
con su motor de renderizado de espacio aislado. Evita que las modificaciones a
su sistema de Windows. Este recinto de seguridad est diseado para proteger

a uno de los agujeros de seguridad sin parchear. Tambin utiliza el modo


protegido de IE en Vista y Windows 7 Recientemente, Chrome tambin ha
aadido una caja de arena en torno a Adobe Flash, para evitar errores de
seguridad en Flash de comprometer un sistema. Google tambin paga los
hackers de sombrero blanco para probar atacar su producto, y ha habido
numerosos fallos de seguridad descubiertos de esta manera. Google est
haciendo este derecho. Chrome tambin es capaz de actualizarse a s mismo de
forma automtica. Y tambin, Google tiene un acuerdo especial con Adobe y
obtiene Flash actualiza automticamente. Estas dos cosas a ahorrar mucho
tiempo .
Chrome tiene 2 versiones, una es para los usuarios normales y uno es para los
negocios. La ordinaria se instala en \ users \ ... \ appdata, permitiendo as a los
usuarios a instalar el producto sin la bendicin de TI dept. Es decir, si la directiva
de restriccin de software no se ha encendido. La edicin empresarial se instala
en Archivos de programa \ (x86), al igual que lo que los programas normales de
bits 32 suelen hacer. Se debe utilizar la edicin empresarial.
----------------

Sandboxing su navegador
Hay un programa llamado Sandboxie ( http://www.sandboxie.com/ ) que se aplica
el
concepto
de
seguridad
sandbox
para
proteger
cualquier
navegador. Bsicamente, se hace el navegador protegido a mirar dentro de un
directorio pequeo, pero se cree que ese directorio es la unidad C. Sandboxie, y
cualquier entorno limitado, en general, no tiene por objeto impedir un ataque,
sino que contiene el ataque, dentro de ese directorio. Si el ataque crea carpetas
y archivos, que se crear en ese directorio. Si instala las herramientas de hacking
y malware, todos ellos se limitarn a ese directorio. Todas las descargas tambin
llegarn a ese directorio primero y Sandboxie le ayudar a mover de nuevo al
mundo exterior. Y todo en ese directorio se pueden eliminar con un solo clic. En
el mundo Unix, el concepto se llama chroot, y se utiliza tradicionalmente para
impedir que los servicios servidor comprometido afecte al resto del sistema. Este
programa es vital para la seguridad de su navegador.
Crear una caja de arena para cada usuario. esto es suponiendo que usted tiene
cuentas
de
usuario
diferentes
para diferentes usos. Al igual que una para la banca en lnea, y uno para su
escritura
/
publicar
su
blog.
Esto es para que cualquier cosa que se mete en una caja de arena no puede
levantar los datos pertenecientes a otra caja de arena.
Haga clic derecho en la caja de arena y seleccione Configuracin Sandbox.

delete-> eliminar invocacin> marca elimina automticamente contenido


del
entorno
limitado
de modo que todo lo que entra en caja de arena no persiste en su sistema

programa STOP-> programas Leader> cromo <o su navegador


preferido>
de modo que cualquier cosa que se mete en este entorno limitado quedar
terminada cuando cromo salidas
restricciones-> Acceso a Internet> slo cromo <o tu navegador preferido>
de modo que cualquier cosa que se mete en este entorno limitado no
puede acccess la web
restricciones-> inicio / acceso ejecutar> slo cromo <o tu navegador
preferido>
restricciones-> drop derechos> 'derechos de abandono ... "marca de
verificacin

Un consejo, si usted tiene un sitio favorito que requiere inicio de sesin, y se


permite que el sitio recuerde su nombre de usuario, puede iniciar el navegador
fuera de Sandboxie para iniciar sesin y dejar que el sitio guardar una cookie
rpidamente.
A
continuacin,
reinicie
el
navegador
usando
Sandboxie. Sandboxie copiar las galletas desde el exterior a la caja de arena
cuando se inicia.

Bloque Programas Bajo Integridad de Acceso a sus documentos


Tambin hay una opcin donde se pueden hacer programas de baja integridad
de modo que ni siquiera pueden leer ubicaciones de integridad medio. Eso es lo
que los comandos a continuacin s. Al ejecutar los comandos, tu escritorio,
documentos, fotos, videos y carpetas de msica ser ilegible para todos los
programas marcados como de baja integridad. El ltimo comando anterior hace
que las Descargas carpeta una carpeta bajo integridad. Esto es necesario porque
se necesita un lugar para guardar sus descargas. (Low no puede escribir en
Medium) Tambin se quiere crear un directorio de carga, y copiar el archivo que
desea cargar all. Debido a esta carpeta Subir no ha sido procesado por chml, el
navegador de integridad baja puede leer esta carpeta.
Puesto que usted tambin tiene una cuenta de usuario estndar, ejecute los
siguientes comandos indicando su cuenta de usuario estndar tambin. Nota:
esta medida slo te protege contra los ataques a sus programas de baja
integridad como Internet Explorer. (Y Firefox u Opera, si has seguido las
instrucciones anteriores) Pero ya que los navegadores son vectores primarios de
ataque, esta medida de seguridad es importante. Tambin se puede
experimentar y establecer otros programas orientado a Internet a bajo integridad,
como su programa de chat.
Visita http://www.minasi.com/apps/ descargar chml.exe
Luego haga clic derecho en el smbolo del sistema y seleccione "Ejecutar como
administrador".
A continuacin, ejecute los siguientes comandos para cada usuario.
cd "\ user \ <yourAccName> \ Descargas \ chml" (o donde lo haya guardado chml)

contraseas por minuto. Una contrasea corta es manipulable en ningn


momento. Un sitio seguro tendra caractersticas de seguridad como el bloqueo
de su cuenta despus de varios intentos fallidos o decisiones a responder las
preguntas de seguridad. Pero no todos los sitios es seguro as. Y esos sitios
dbiles son el objetivo principal de los programas de ataque de contrasea.

--------- Tambin es prudente proteger con contrasea del BIOS , para que la gente no
puede arrancar su PC. Adems, debe cambiar el orden de arranque en la BIOS
para que arranque el disco duro en primer lugar, en lugar de la unidad de CD /
DVD. Si un atacante puede insertar un Live CD de Linux y arrancar el PC,
entonces ser capaz de montar el disco duro y leer todos los datos de l, y toda
la seguridad de Windows sern anuladas.

Seguridad Fsica
La seguridad fsica es muy importante y no debe pasarse por alto. Si alguien
tiene acceso fsico a su PC, entonces podran pasar por alto un montn de
endurecimiento que se hizo.
Por ejemplo, si un hacker puede tener acceso a su PC y arrancar un Live CD de
Linux, que podra entonces leer y copiar todos los archivos fuera de la particin
de disco de Windows. O podra quitar el disco duro y ponerlo en otro PC como
una unidad secundaria y obtener datos de esa manera. De cualquier manera, la
seguridad de contrasea de la ventana ser de ninguna utilidad, ya que Windows
no se inici.

BitLocker Drive encyption


BitLocker es una caracterstica de cifrado de disco completo de Windows 7
Ultimate y Enterprise. Cuando es activa, toda la unidad est cifrado y no se podr
leer con otras copias de Windows o Linux. Esto elimina los ataques sin conexin
como se mencion anteriormente.
Caracterstica no disponible en Window Home Premium. Detalles omitidos.

Syskey
Para aquellos que no tienen Windows Ultimate, puede utilizar una forma diferente
de autenticacin semi factor 2, pero no lo protege de los ataques sin
conexin. Windows tiene una caracterstica llamada syskey, que puede
almacenar la clave de descifrado de las contraseas de inicio de sesin en una

llave USB. Las contraseas de inicio de sesin no se almacenan como texto sin
formato en Windows, que se cifran. La clave para descifrar las contraseas se
pueden almacenar en la unidad A.
Una gran cantidad de computadoras ahora no vienen con una unidad de disco y
la unidad de la etiqueta A no se utiliza. Primero insertar la llave de memoria USB,
a continuacin, clic derecho en Mi PC y seleccione Administrar. A continuacin,
vaya a Administracin de discos, haga clic derecho en el dispositivo de memoria
USB, (que es, probablemente, etiquetar como unidad F), seleccione Cambiar la
letra y ruta de acceso. Luego haga clic en el botn Cambiar y hacer que la unidad
A.
Ahora ejecuta syskey. Haga clic en el botn Actualizar; seleccione Store clave
de inicio en los disquetes. A continuacin, inserte la llave de memoria USB, y la
clave de descifrado se almacenar en la tarjeta de memoria.
Una vez hecho esto, cuando arranque de Windows, se le pedir que introduzca
el "disquete" para continuar el arranque.
El mtodo de autenticacin syskey factor 2 es bueno, ahora cualquier persona
iniciar el equipo tendr el dispositivo de memoria USB; as como conocer su
contrasea de inicio de sesin.

CompuSec
CompuSec puede hacer cifrado de disco completo. Funciona en sistemas hasta
Windows 7. Si no tiene Windows Ultimate o Windows Enterprise, puede utilizar
este programa para crear una particin cifrada. Como se mencion
anteriormente, una particin cifrada le protege de los ataques sin conexin. As
que si su ordenador porttil es robado, el cifrado puede evitar que el ladrn de
acceder a su contenido.
Cuando se ejecuta el archivo setup.exe, un-marca de verificacin Single Sign
On. Esta caracterstica le da la opcin de conexin automtica a Windows sin
necesidad de que introduzca su contrasea (se recuerda que para usted). Haga
clic en 'continuar'. A continuacin, proporcione un nombre de usuario para su uso
en el inicio de sesin de prearranque. Haga clic en 'continuar'. Luego muestra
las claves de cifrado que ha generado aleatoriamente. Haga clic en
'continuar'. Luego haga clic en el men desplegable de 'disco duro primero' y
seleccione 'Encryption trabajando ". Esto le permite continuar utilizando el disco
duro mientras se est cifrando; el manual dice que esto es tambin ms rpido. A
continuacin, introduzca un cdigo de restablecimiento de contrasea de copia
de seguridad. Haga clic en 'continuar'. Recuerdas la primera contrasea de
inicio de inicio de sesin es 'start123'. Haga clic en 'continuar'. Haga clic en
"iniciar la instalacin '. Se le pedir que seleccione una carpeta para guardar las
claves de cifrado Entonces va a instalar, y despus de eso, se instalar Java.
A continuacin, reinicie, iniciar sesin con ID de usuario que le dio anteriormente
utilizando la contrasea 'start123', crear una nueva contrasea, y optar por iniciar
el proceso de cifrado.CompuSec le permite reiniciar la PC y continuar encrpyion
sin contratiempos. La versin de Java instalada es una actualizacin v6 viejo 16.

Suites de seguridad son muy populares. Por ejemplo, Norton 360 incluye
antivirus, anti-spyware, anti-rootkit, firewall inteligente, monitoreo de red, control
parental, anti-spam y ms.Ciertamente parece ser el valor por su dinero. Pero la
hora de sopesar la eficacia, muchos optan por un mejor de raza, mezclar y
combinar, solucin. Por ejemplo: se puede utilizar ESET antivirus y anti-spyware,
anti-spyware Webroot, Windows 7 firewall, control parental NetNanny, anti-spam
de Gmail y Gmer anti-rootkit.
Por su rutina de mantenimiento. Usted debe hacer 2 cosas.
1. Compruebe que su antivirus est todava vivo y activo . Ir al -use.html
http://www.eicar.org/86-0 previsto- . Y copiar esa lnea virus de prueba de
texto, pegarlo en el bloc de notas y tratar de salvarlo, sus antivirus debe
detectarlo.
2. Realice un anlisis antivirus .

Keyloggers y Grabbers pantalla


Esta clase de spyware merezca la pena mencionar por su cuenta. A diferencia
de otros ataques de hackers, stos no tienen por objeto penetrar y obtener
derechos de administrador, pero se despliegan por los hackers
criminales. Funcionan de una cuenta estndar. Su objetivo es capturar las
credenciales de sus cuentas web como los nmeros de cuenta y contraseas
bancarias, cuentas de correo electrnico y otros. Los programas antivirus no los
detectan. Para contrarrestar esto, s de 2 programas, Zemana
AntiLogger. ( http://www.zemana.com ), que tiene propiedades anti-keylogger, as
como las funciones de anti-capturador de pantalla. El otro es KeyScrambler
( http://www.qfxsoftware.com ), que es slo un anti-keylogger. ZoneAlarm Extreme
Security tambin incorpora un AntiKeylogger y antiscreengrabber tambin.

La seguridad como un proceso


La seguridad es un proceso, que est en curso despus de que realizamos el
endurecimiento. Su endurecido Windows Windows 7 es bueno y ahora cuenta
con varios niveles de seguridad, pero las nuevas vulnerabilidades se descubri
en distintos programas informticos que utiliza y debilitar su posicin. Tomemos
el caso del navegador; hackers apuntan navegadores todo el tiempo, y los
nuevos agujeros de seguridad sern revelados. Uno tiene que saber cuando se
descubren estos agujeros, y tomar medidas para mitigar.
El primer paso es saber sobre las nuevas vulnerabilidades . Los siguientes
sitios web informan sobre cuestiones de seguridad:
http://threatpost.com
http://www.theregister.co.uk/security/

http://www.sans.org/newsletters/risk/
http://www.microsoft.com/technet/security/advisory/default.mspx
Usted debe visitar una vez a la semana para aprender de nuevas
vulnerabilidades de seguridad. Los artculos le dirn sobre los nuevos agujeros
de seguridad en las aplicaciones o el sistema operativo, la versin que se aplica,
y dar una breve descripcin de la debilidad. A veces, el proveedor de software
nos informar de algn cambio en la configuracin para que usted pueda aplicar
por el momento, hasta que hagan un parche listo. Adems, los artculos pueden
decirnos si los ataques que utilizan la vulnerabilidad ha sido descubierta en uso.
Esta informacin es de gran ayuda para usted para mantener la seguridad. Para
continuar con nuestro ejemplo del navegador, digamos que la nueva
vulnerabilidad implica un componente ActiveX que se llama a travs de Internet
Explorer. Entonces usted puede ser que mitigar utilizando otro navegador, por el
momento, y monitorear el sitio del fabricante para un nuevo lanzamiento de la
versin. O Microsoft podr emitir un aviso informndonos de cmo deshabilitar
un ActiveX a travs de ajustes en el registro. O usted puede decidir que el uso
de ese navegador junto con Sandboxie contendra la amenaza. O usted puede
decidir desactivar caractersticas de secuencias de comandos del
navegador. (Programa de Secunia PSI tambin le dir cuando se han hecho
nuevos parches de seguridad o versiones de los programas, como se mencion
anteriormente). Lo principal es que se llega a saber acerca de los posibles
problemas de estos sitios web y toma medidas para mitigar.
*******
A continuacin, como parte del proceso de seguridad, usted tiene
que supervisar el sistema y detectar ataques . Usted tiene que realizar dichos
controles de registro, comparaciones de referencia, y anlisis de virus (como se
mencion anteriormente) de manera regular, como cada 1 o 2
semanas. Estamos siendo laxa aqu ya, en un entorno seguro, utilizan
herramientas para supervisar los registros en una base de tiempo real. El
monitoreo es fundamental, ya que incluso los sistemas ms empedernidos
tendrn agujeros en sus defensas. No podemos pensar que nuestro sistema
endurecido es impermeable.
*******
Despus de unos meses de uso, la configuracin del equipo cambiar
invariablemente: nuevo software instalado, los nuevos dispositivos aadidos, etc
Ahora tenemos que comprobar que todos los parmetros de seguridad son
todava en su lugar. Por ejemplo, son las cuentas de usuario todava cuentas
estndar o uno ha sido cambiado al administrador para la solucin de problemas
problema temporal? Se ha ajustado el firewall para OutBound Permitir durante
la instalacin de un programa y dej olvidado? As que, despus de poner los
candados en las puertas, estn todava bloqueados? O es que no hayan
manipulado? Tenemos que revisar el proceso de endurecimiento y comprobar

ltimos cosas que hacer


Ejecute Secunia PSI, si usted todava no lo ha hecho.
Desactivar el flash en su cuenta de administrador. Internet Explorer> Equipo>
Administrar Complementos> Barras de herramientas y extensiones> Mostrar
todos los Complementos> Shockwave Flash Object> botn Deshabilitar.
Desactivar reproduccin automtica para todas las cuentas de usuario: Panel de
Control> Reproduccin automtica. Elija "No realizar ninguna accin" para todo
Desmarque "Usar la reproduccin automtica para todos los medios y
dispositivos"
Establecer IE9 para activar el filtrado ActiveX para todas las cuentas. Icono de
equipo> Seguridad> Filtrado de ActiveX.
Establecer IE9 utilizar el modo protegido para todas las zonas. Icono de
Procesos> Opciones de Internet> pestaa Seguridad> haga clic en cada icono
(Internet, Intranet local, Sitios de confianza, Sitios restringidos), marca de
verificacin Habilitar modo protegido para cada uno. Haga esto para todas las
cuentas de usuario.
Ejecute Acrobat Reader para configurar la seguridad.
Edicin> Preferencias
> Javascript, Desmarque esta opcin "Enable Acrobat Javascript".
> Seguridad mejorada. Vista protegida: Todos los archivos
> Seguridad mejorada: Cree Protegida archivo Modo de registro.
> Seguridad mejorada: desactivarlo automticamente los sitios fiduciarios de mis
zonas Win OS Seguridad.
> Administrador de confianza: Desmarque permitir la apertura de los archivos
adjuntos no PDF
> Administrador de confianza: Acceso a Internet de PDF fuera del navegador
web - botn Cambiar, seleccione Bloquear el acceso a archivos PDF a todos los
sitios web.

cd "\ user \ <yourStandardAccName> \ Descargas \ chml" (o donde lo haya


guardado chml)
chml "c: \ users \ <yourStandardAccName> \ desktop" -ws: s: (ml; Cioi; nwnrnx
me ;;;)
chml "c: \ users \ <yourStandardAccName> \ documentos" -ws: s: (ml; Cioi;
nwnrnx ;;; m)
CHML "c: \ users \ <yourStandardAccName> \ fotos" -ws: s: (ml; Cioi; nwnrnx ;;;
m)
CHML "c: \ users \ <yourStandardAccName> \ vdeos" -ws: s: (ml; Cioi; nwnrnx
;;; m)
chml "c: \ users \ <yourStandardAccName> \ msica" -ws: s: (ml; Cioi; nwnrnx
me ;;;)
CHML "c: \ users \ <yourStandardAccName> \ Descargas"-i: l

CHML "C: \ Users \ <yourStandardAccName> \ AppData \ Local \ Opera"-i: l


CHML "C: \ Users \ <yourStandardAccName> \ AppData \ Roaming \ Opera"-i: l
Crear un sistema de punto de restauracin

Realice una copia de seguridad de imagen de la unidad de disco duro


Esto es importante , su ltima opcin de la recuperacin de un ataque es la
restauracin de la copia de seguridad. Esta copia de seguridad guarda todos los
ajustes que ha hecho hasta ahora para que no tenga que repetirlas cuando se
necesita volver a instalar Windows. No es una herramienta de copia de seguridad
de imagen de manera gratuita llam Macrium Reflect, disponible
aqu: http://www.macrium.com/reflectfree.aspx . Utilice la herramienta para crear
una imagen de unidad y gurdelo en un disco duro USB externo. No se olvide de
crear el CD de rescate.

Instalacin de nuevo software


Al instalar nuevo software, a veces el programa de instalacin necesita
conectarse a Internet para descargar componentes. Y tambin, puede crear un
exe dentro de una carpeta temporal para hacer la descarga, y el exe se elimina
automticamente cuando instale acabados. En tales ocasiones, puede que no
sea posible crear un saliente regla de permiso para que exe. As que la nica
solucin sera ir a Firewall de Windows con seguridad avanzada y establecer
temporalmente de salida para permitir el perfil pblico. Slo recuerde para
configurar salida de nuevo a bloque cuando se ha terminado de configurar ese
nuevo programa.
Recuerde que debe aadir la aplicacin a EMET si se trata de una aplicacin de
Internet o que se necesita el aporte de los archivos descargados de Internet

INSTALACIN Y HARDENING DE SISTEMAS OPERATIVOS


Prueba No. 1
OBJETIVO
Evaluar las habilidades tcnicas de los participantes en la instalacin y configuracin
de Sistemas Operativos Cliente, bajo plataformas Windows, de manera segura y
acorde con los requerimientos establecidos en las pruebas. En esta categora se
evaluarn conocimientos, destrezas y habilidades en el uso de los Sistemas
Operativos Windows 7 Ultimate y Windows 8.1, como tambin en programas,
aplicaciones y utilitarios de terceros, para realizar soporte tcnico a nivel de
software.
DURACIN DE LA PRUEBA: 5 HORAS
EVALUACIN: 30%

1. Instalar el Sistema Operativo Windows 7 Ultimate a 64 bits con las siguientes


recomendaciones:

a.
b.
c.
d.
e.

Crear una particin primaria HDD 25%.


Crear una particin lgica de datos HDD 50%.
Crear un usuario Administrador Prueba1x password (Admin7Sena*9softx)
Crear un usuario Networkingx password (PruebaSenasoft2014*x)
Crear cuatro usuarios de cuentas para nios de 7, 8, 9 y 10 aos (Camila,
Laura, Marcela, Samuel).
f. Configurar las siguientes caractersticas de las cuentas de los nios:
Podrn utilizar el computador: mircoles (de las 16:00 a las 20:00
horas), jueves (16:00 a las 19:00 horas), viernes (15:00 a las 20:00
horas), sbado (14:00 a las 19:00 horas), domingo (14:00 a las
19:00 horas).
Camila y Laura hora y diaria.
Marcela y Samuel 2 horas diarias.
Todos podrn utilizar el navegador y el Office.
Deben tener filtrado de pginas no deseadas
El inicio de sesin debe tener contrasea: Camila y Laura
(imagen), Marcela y Samuel un PIN.
El uso lmite de espacio en disco para Camila, Laura, Marcela y
Samuel debe ser de 500 Mb con advertencia en 450 Mb.

INSTALACIN Y HARDENING DE SISTEMAS OPERATIVOS


Prueba No. 1
g.
h.
i.
j.
k.
l.
m.
n.
o.

p.
q.
r.
s.
t.
u.
v.
w.
x.

Activar la cuenta de invitado.


Instalar un antivirus.
Instalar compresor de archivos *.rar.
Instalar compresor de archivos *.zip.
Instalar plugins.
Instalar 3 navegadores.
Instalar Office 2010.
Instalar visor de PDF.
En caso de que el sistema operativo Windows 7 se cuelgue por un error
en el sistema y nos aparezca una pantalla azul, desactivar el reinicio
automtico del mismo.
Desactivar IPv6.
Configurar Internet Explorer para el filtrado de ActiveX
Activar hibernacin y crear un punto de restauracin llamado Prueba1.
Deshabilitar todas las reglas Core Networking que menciona IPv6,
ICMPv6.
Deshabilitar todas las reglas para la asistencia remota.
Deshabilitar el uso compartido de proximidad a travs de TCP
No permitir asistencia remota
Activar visibilidad de los archivos ocultos de Windows.
Activar screensaver con 1 minuto pidiendo contrasea para reanudar.

NOTA: La x corresponde al nmero del grupo.


2. Instalar el Sistema Operativo Windows 8.1 a 64 bits con las siguientes
recomendaciones:
a.
b.
c.
d.
e.

Crear una particin primaria HDD 25%.


Crear una particin lgica de datos HDD 50%.
Crear un usuario Administrador Prueba1x password (Admin7Sena*9softx)
Crear un usuario Networkingx password (PruebaSenasoft2014*x)
Crear cuatro usuarios de cuentas para nios de 7, 8, 9 y 10 aos (Camila,
Laura, Marcela, Samuel).
f. Configurar las siguientes caractersticas de las cuentas de los nios:
Podrn utilizar el computador: mircoles (de las 16:00 a las 20:00
horas), jueves (16:00 a las 19:00 horas), viernes (15:00 a las 20:00
horas), sbado (14:00 a las 19:00 horas), domingo (14:00 a las
19:00 horas).

INSTALACIN Y HARDENING DE SISTEMAS OPERATIVOS


Prueba No. 1

g.
h.
i.
j.
k.
l.
m.
n.
o.

p.
q.
r.
s.
t.
u.
v.
w.
x.

Camila y Laura hora y diaria.


Marcela y Samuel 2 horas diarias.
Todos podrn utilizar el navegador y el Office.
Deben tener filtrado de pginas no deseadas
El inicio de sesin debe tener contrasea: Camila y Laura
(imagen), Marcela y Samuel un PIN.
El uso lmite de espacio en disco para Camila, Laura, Marcela y
Samuel debe ser de 500 Mb con advertencia en 450 Mb.
Activar la cuenta de invitado.
Instalar un antivirus.
Instalar compresor de archivos *.rar.
Instalar compresor de archivos *.zip.
Instalar plugins.
Instalar 3 navegadores.
Instalar Office 2013.
Instalar visor de PDF.
En caso de que el sistema operativo Windows 7 se cuelgue por un error
en el sistema y nos aparezca una pantalla azul, desactivar el reinicio
automtico del mismo.
Desactivar IPv6.
Configurar Internet Explorer para el filtrado de ActiveX
Activar hibernacin y crear un punto de restauracin llamado Prueba1.
Deshabilitar todas las reglas Core Networking que menciona IPv6,
ICMPv6.
Deshabilitar todas las reglas para la asistencia remota.
Deshabilitar el uso compartido de proximidad a travs de TCP
No permitir asistencia remota
Activar visibilidad de los archivos ocultos de Windows.
Activar screensaver con 1 minuto pidiendo contrasea para reanudar.

NOTA: La x corresponde al nmero del grupo.

xitos