Diseño Fortalecimiento

CENTAURI
TECHNOLOGIES En esta etapa se buscan definir las políticas, controles,  Inhabilitación de servicios innecesarios.
a. Ejecutar Process Explorer v11.02
CORPORATION usuarios, roles y permisos. Puede buscar más
i. https://technet.microsoft.com/es
información sobre como planificar la línea base en las
siguientes direcciones: -es/sysinternals/bb896653.asp
Hoja de Recursos Rápidos x
 Controles de Seguridad b. Ejecutar Sigcheck v1.3
o Detección de vulnerabilidades. i. https://technet.microsoft.com/es
Win-Hard-01: Estrategia de defensa y o Parches de seguridad. -es/sysinternals/bb897441.asp
o Inhabilitación de servicios innecesarios. x
fortalecimiento en Windows. ii. Sigcheck -u -e ruta (Ej.
o Contraseñas y permisos de archivos.
o Control de cuentas de usuarios (UAC). c:\windows\system32).
Este documento presenta una guía o Prevención de ejecución de datos. (DEP). c. Nota: Debe investigar el propósito de
o Objetos de políticas de grupos (GPO). cualquier archivo que no esté firmado.
rápida de la estrategia de defensa para o Muralla de red a nivel de host.
fortalecer ambientes Windows. o Directiva de restricción de aplicaciones.  Verificar contraseñas y permisos de
o Monitoreo de eventos (Visor de Eventos). archivos.
 Políticas de Seguridad a. Ejecutar AccessEnum v1.32.
¿Cómo defender? o https://www.sans.org/security-resources/poli i. https://technet.microsoft.com/es
La estrategia de defensa consiste en el cies/ -es/sysinternals/bb897332.asp
siguiente ciclo:  Roles y Permisos x
o http://nvlpubs.nist.gov/nistpubs/specialpubli ii. Permite verificar los permisos
cations/NIST.sp.800-162.pdf del sistema de archivo,
 Diseño. permitiendo bloqueo de
o Definir línea base. permisos donde sea
necesario.
 Fortalecimiento.
o Implementar controles. Fortalecimiento  Control de cuentas de usuarios (UAC).
 Vigilancia. a. Habilitar UAC como Administrador.
o Monitorear eventos. En esta etapa se busca implementar los controles de
i. reg add
 Auditoria. seguridad definidos en la etapa de diseño.
"HKLM\Software\Microsoft\Wi
ndows\CurrentVersion\Policies
o Revisar periódicamente. \System" /f /v EnableLUA /t
 Detectar vulnerabilidades. Para detectar
"REG_DWORD" /d 1
posibles vulnerabilidades en el sistema puede
¿Qué defender? realizar un escaneo los siguientes programas:
b. Reiniciar Windows
c. Deshabilitar UAC.
 La defensa debe realizar se por capas, a. Microsoft Baseline Security Analyzer.
i. reg add
protegiendo diferentes objetos y i. http://www.microsoft.com/en-us/d
"HKLM\Software\Microsoft\Wi
atributos, las capas a defender son las ownload/details.aspx?id=7558
ndows\CurrentVersion\Policies
b. Secunia PSI.
siguientes: i. http://secunia.com/vulnerability_s
\System" /f /v EnableLUA /t
o Aplicaciones. "REG_DWORD" /d 0
canning/personal/
d. Referencias
o Conexione de Red. i. http://windows.microsoft.com/en
o Servicios.  Parche de Seguridad. -us/windows/turn-user-accoun
o Sistema Operativo. a. Ejecutar Windows Update. t-control-on-off.
i. %windir%\system32\wuapp.exe
b. Nota: Las actualizaciones de terceros
deben descargase desde el sitio web del
fabricante.
 Fortalecimiento Fortalecimiento Fortalecimiento

 Prevención de ejecución de datos.  Sistema Anti-malware. Es importante contar  Muralla de red a nivel de host (Windows).
a. Habilitar DEP como Administrador. con un sistema anti-malware instalado. a. Borrar Regla (Puerto)
i. bcdedit.exe /set {current} nx a. La siguiente lista es una lista de los i. netsh advfirewall firewall delete
AlwaysOn mejores proveedores del mercado rule name="@Name@"
b. Reiniciar Windows. según Gartner. protocol=tcp localport=@Port
c. Deshabilitar DEP i. Symantec. b. Agregar Regla (Programa)
i. bcdedit.exe /set {current} nx ii. Mc Afee. i. netsh advfirewall firewall add
AlwaysOff iii. Trend Micro. rule name="Allow Messenger"
d. Referencias iv. Sophos. dir=in action=allow
i. http://windows.microsoft.com/en v. Kapersky Lab. program="@Ruta\@File.exe"
-us/windows-vista/what-is-dat b. Open Source / Freeware c. Agregar Escritorio Remoto
a-execution-prevention i. Comodo Internet Security. i. netsh advfirewall firewall set
ii. Microsoft Security Essentials. rule group="remote desktop"
 Objetos de políticas de grupos GPO. iii. MalwareBytes. new enable=Yes
Implementar políticas de grupos permite iv. HijackThis. d. Exportar configuración
restringir y/o bloquear acciones a los distintos v. ClamWin (ClamAV). i. netsh advfirewall export
grupos. Las políticas de grupos puede "@Ruta\conf.wfw”
aplicarse desde el Active Directory o  Muralla de red a nivel de host (Windows). e. Importar configuración
Localmente. Permite controlar las comunicaciones que entran i. netsh advfirewall import
a. Security Compliance Manager v3.0 y salen del sistema. "@Ruta\conf.wfw”
(SCM).Herramienta que contiene líneas a. Consultar las reglas del firewall.
base de políticas disponible para i. netsh advfirewall firewall show  Directiva de restricción de aplicaciones.
descarga. También permite crear rule name=all a. Valor de la restricción de software
políticas de grupos. b. Habilitar Muralla de Fuego i. Inventario de Aplicaciones.
i. https://technet.microsoft.com/en i. netsh advfirewall set allprofiles ii. Protección frente a software no
-us/solutionaccelerators/cc835 state on deseado.
245.aspx c. Deshabilitar Muralla de Fuego. iii. Cumplimiento de licencias.
b. Security Configuration Wizard (SCW). i. netsh advfirewall set allprofiles iv. Estandarización de software.
Herramienta utilizar para crear las state on v. Mejora de la capacidad de
políticas de grupo paso por paso a d. Reiniciar Muralla de Fuego administración.
mediante un asistente. i. netsh advfirewall reset b. Habilitar directiva de restricción de
i. https://technet.microsoft.com/es e. Bloquear Ping aplicaciones.
-es/magazine/2007.04.securit i. netsh advfirewall firewall add i. Ejecutar gpedit.msc
ywatch.aspx rule name="All ICMP V4" ii. Navegar en User Configuration
c. Local GPO.Herramienta que permite dir=in action=block -> Administrative Template ->
aplicar y retirar las políticas del sistema. protocol=icmpv4 System
i. Importar: cscript LocalGPO.wsf f. Permitir Ping iii. Habilitar la opción: Solo
/path:”c:\\”. i. netsh advfirewall firewall add Ejecutar aplicaciones de
ii. Exportar: cscript LocalGPO.wsf rule name="All ICMP V4" Windows específicas.
/path:”c:\\” /export. dir=in action=allow iv. Dar clic en el botón Mostrar
iii. https://gallery.technet.microsoft. protocol=icmpv4 aplicaciones permitidas.
com/LocalGPOmsi-Excellent- g. Agregar Regla (Puerto) v. Agregar las aplicaciones
MS-2593b2eb i. netsh advfirewall firewall add (.exe, .bat, etc.) que se
rule name="@Name@" dir=in pueden ejecutar.
action=allow protocol=TCP
 Fortalecimiento Vigilancia Quiero saber más…

 Confianza en Internet (Sandbox).  Information Assurance Support Environment

a. Kit de Experiencia de Mitigación
Mejorada (EMET).
i. Descargar EMET.
ii. Instalar EMET con
configuración recomendada.
iii. Abrir EMET para verificar que
está funcionando.
iv. Abrir Internet Explorar y luego
regresar a EMET.
v. Añadir otras aplicaciones como
Chrome, Firefox y/o Safari u
otros haciendo clic en “Apps”.
b. Referencia
i. https://www.trustedsec.com/july-2
013/emet-4-0-security-strategy-
and-installation-step-by-step/
Vigilancia
a. Cuenta bloqueada por múltiples intentos (IASE).
fallidos.
a. http://iase.disa.mil/stigs/os/windows/
i. 4740
b. Falla de inicio de sesión por escritorio
Pages/index.aspx
la
remoto.  National Institute of Standards and
i. 20158 Technology (NIST)
c. Nueva aplicación instalada a. http://csrc.nist.gov/
i. 11707 b. http://csrc.nist.gov/publications/Pubs
d. Otros eventos SPs.html
i. Conexiones rechazadas por la  SCORE: Checklists & Step-by-Step Guides
muralla de fuego. a. https://www.sans.org/score/checklist
ii. Fallas en la auditoria de
s
Windows.
iii. Cambios en las directivas de
 CVE Details (Vulnerability Database)
seguridad. a. http://www.cvedetails.com/
iv. Aplicaciones bloqueadas por la
directiva de restricción de
software.
e. Referencias
i. Ver ficha Cod. “CTC3” de
correlación de eventos. ¿Quién es Centauri?

 Monitoreo de eventos. ¿Qué buscar en el visor

de eventos? Auditoria Es su brazo de innovación en Tecnología de
a. Abrir el Visor de eventos Información, convertimos sus planes de
i. eventvwr negocio en estrategias tecnológicas eficaces
b. Buscar los eventos por el Event ID.  Revisiones periódicas. Las revisiones periódicas
(Windows 2008). de cumplimiento de políticas y controles de
c. Falla de inicio de sesión. seguridad ayudan a aumentar la confianza que
La Seguridad Informática es una de las
i. 4625 estas se están cumpliendo. fortalezas de Centauri.
d. Inicio de sesión exitoso
i. 4624, 4769 a. El Valor de Auditar Combinamos larga experiencia, formación
e. Falla para realizar una acción i. Detectar vulnerabilidades. académica, certificaciones de la industria y
privilegiada ii. Verificar el cumplimiento de las
i. 577 políticas. capacidad de innovación para relacionar sus
f. Cuenta de usuario creada o habilitada iii. Promover la certeza del castigo. aspiraciones de negocios con objetivos
i. 4720, 4722, 4741 iv. Identificar oportunidades de concretos de seguridad.
g. Cuenta de usuario cambiadas mejoras.
i. 4738, 4781 b. Herramientas
h. Cuenta de usuario deshabilitada o i. http://www.open-audit.org/index.p
eliminada hp
i. 4725, 4726 ii. http://www.secpod.com/saner-per
i. Cuenta de usuario desbloqueada sonal.html
i. 4767 c. Listas de Verificación
j. Políticas de auditoria de Windows cambiada i. https://web.nvd.nist.gov/view/ncp/
i. 4719, 4907, 4912 repository