Línea Base de Seguridad

Línea Base de Seguridad
Apple MAC
(Enero 2021)
Línea Base de Seguridad| v.2021.01| Enero 2021
Copyright © 2021 Banco de Crédito del Perú - Gerencia de Seguridad Informática

Datos elaborados por BCP únicamente para fines del negocio
Página|1
Apple MAC
Contenido
1. Configuraciones en la cuenta tipo Estándar ...............................................................................................6

1.1. Habilitar cuenta tipo Estándar ............................................................................................................6
1.2. Escritorio y Protector de Pantalla .......................................................................................................6
1.3. Esquinas Seguras con Bloqueo de Pantalla ........................................................................................7
1.4. Configurar iCloud para Usuario BCP ...................................................................................................8
2. Configuraciones en la cuenta tipo Administrador ......................................................................................8
2.1. Habilitar la actualización Automática.................................................................................................8
2.2. Verificar que todo software provisto por Apple esté actualizado ....................................................9
2.3. Habilitar las actualizaciones de apps ............................................................................................... 10
2.4. Habilitar instalaciones de actualización del sistema operativo macOS ......................................... 11
2.5. Bluetooth .......................................................................................................................................... 12
2.6. Establecer Fecha y Hora automáticamente ..................................................................................... 13
2.7. Compartir .......................................................................................................................................... 14
2.8. Seguridad y Privacidad ..................................................................................................................... 17
2.9. Configurar iCloud para Usuario Administrador ............................................................................... 20
2.10. Time Machine ................................................................................................................................... 21
2.11. Habilitar auditoría de seguridad ...................................................................................................... 21
2.12. Configurar indicadores de auditoría de seguridad .......................................................................... 21
2.13. Garantizar la retención de auditoría de seguridad ......................................................................... 22
2.14. Asegurar que el Firewall está configurado para enviar log ............................................................ 22
2.15. Deshabilitar la activación para acceso a la red ............................................................................... 23
2.16. Habilitar “Mostrar el estatus del Wi-Fi en la barra del menu” ....................................................... 23
2.17. Asegurar que HTTP server no está ejecutándose............................................................................ 24
2.18. Asegurar que NFS server no está ejecutándose .............................................................................. 24
2.19. Deshabilitar la cuenta “Root” .......................................................................................................... 25
2.20. Deshabilitar el login automático...................................................................................................... 26
2.21. Requerir una contraseña para despertar la computadora del modo suspensión o Protector de
Pantalla.......................................................................................................................................................... 27
2.22. Requerir una contraseña de administrador para acceder a las preferencias de todo el sistema . 27
2.23. Deshabilitar la habilidad de loguear a otra sesión activa y bloqueada .......................................... 28
2.24. Estado de Protección de Integridad del Sistema (SIP) .................................................................... 28
2.25. Deshabilitar “Mostrar Pistas de Contraseña” ................................................................................. 29

Página|2
Apple MAC
2.26. Deshabilitar el Login de Usuarios Invitados y su conexión a carpetas compartidas ..................... 29

2.27. Habilitar la visualización de extensiones de nombres de Archivo ................................................. 30
3. Consideraciones Adicionales .................................................................................................................... 31
3.1. AntiMalware ..................................................................................................................................... 31
3.2. Software para Inventario ................................................................................................................. 31
3.3. Software para Backup de Información en la nube de BCP ............................................................. 31
3.4. Software para conexión remota a través de una VPN .................................................................... 31
3.5. Software para validación de Controles de seguridad ..................................................................... 32
3.6. Enrolamiento en el EMM ................................................................................................................. 32
3.7. Registro en OU MAC ......................................................................................................................... 32
3.8. Registro en Active Directory ............................................................................................................ 32
3.9. Software de Análisis de Vulnerabilidades ....................................................................................... 33

Página|3
Apple MAC
HISTORIAL DE REVISIÓN
Fecha Versión Descripción Autor

Creación del documento – Línea Base
01.04.20 1.0 de Seguridad Roberto Hernández
Definición de políticas iniciales
27.10.20 1.1 Actualización del documento Roberto Hernández
07.12.21 Se agregó la sección de instalación del

1.4 Luis Cifuentes
agente Qualys.

Página|4
Apple MAC
Consideraciones Previas
1. Toda estación de trabajo (Laptop mac de BCP) que va a ser enrolado y si tiene información en uso,
previamente deberá realizar un respaldo de la información en los repositorios oficiales del banco.
2. Toda estación de trabajo (Laptop mac de BCP) requiere el uso de conexión a internet libre, o datos, para
la instalación de la Línea Base de Seguridad y la ejecución del enrolamiento en el EMM. Adicionalmente
durante el proceso se requerirá la configuración para unir al dominio de Windows.
3. Toda estación de trabajo (Laptop mac de BCP) debe estar enrolado utilizando la herramienta Enterprise
Mobile Management (EMM).
4. Toda estación de trabajo (Laptop mac de BCP) requiere la creación y uso de credenciales (Apple ID) con
cuenta de correo BCP. No se debe utilizar una cuenta personal para el manejo de información de BCP.
5. Realizar la configuración de esta línea base de seguridad creando una cuenta de tipo Administrador
(gestionado por el proveedor de soporte de servicios) y otra cuenta tipo Estándar (usuario BCP).
6. Realizar la creación y configuración de la cuenta con perfil Administrador siguiendo el Lineamiento de
Seguridad de Gestión de Credenciales.
7. Realizar el resguardo de la credencial con perfil Administrador en un repositorio seguro o bóveda
encriptada, asegurando la confidencialidad, integridad y disponibilidad de la información.
8. Para la construcción del nombre completo de la cuenta con perfil Administrador deberá considerar lo
siguiente: Ejemplo macadmin01
a. Uso : mac (laptop mac)
b. Perfil : admin(administrador de la mac)
c. Número : 01 (identificador)
9. Para la construcción de la contraseña de la credencial con perfil Administrador deberá considerar lo
siguiente:
a. Longitud: tener 10 caracteres como longitud mínima
b. Restringir el uso de palabras incluidas en un diccionario o lista de contraseñas no seguras
((ejemplo: 1234567, qwerty, qazwsx, welcome, dragon, Password, etc).
c. Debe contener al menos los 4 tipos de caracteres siguientes:
i. Numérico
ii. Letras en mayúsculas
iii. Letras en minúsculas
iv. Símbolos (caracteres especiales)
10. Realizar la rotación de la contraseña con perfil Administrador en caso de ocurrir un incidente de
seguridad o por lo menos una vez al año o lo que ocurra primero.
11. La conexión a la red S4M4YC0RP0R4T1V0 en laptops Apple mac se realizará únicamente a través de la
red wi-fi y no a través del cable ethernet.

Página|5
Apple MAC
Línea Base de Seguridad Apple MAC

El presente documento tiene por objetivo proveer una guía con las configuraciones de seguridad requeridas
para el uso adecuado y correcto de las laptops Apple MAC las cuales serán utilizados en BCP por diferentes
tipos de mesas, tribus y usuarios.
1. Configuraciones en la cuenta tipo Estándar
1.1. Habilitar cuenta tipo Estándar

Equipo encargado: Proveedor de soporte de servicios
Loguear en la cuenta Administrador y realizar lo siguiente:
1. Ir a Preferencias del Sistema

2. Clic en Usuarios y Grupos (quitar candado, requiere poner contraseña de administrador)
3. Clic en el signo ( + ) y completar los datos:
• Nueva cuenta (Estándar)
• Nombre completo (matrícula del usuario BCP)
• Nombre de la cuenta (en automático se repetirá la matrícula)
• Contraseña (solicitar al usuario que ponga la contraseña)
• Verificar contraseña
• Pista de la contraseña (No escribir pista).
4. Clic en Crear Usuario
5. Clic en la nueva cuenta creada y verificar que no esté el check habilitado en Permitir al usuario
administrar esta computadora.
1.2. Escritorio y Protector de Pantalla


Página|6
Apple MAC
Loguear en la cuenta tipo Estándar y realizar lo siguiente:
1. Abrir Preferencias del Sistema

2. Clic en Escritorio y protector de pantalla
3. Seleccionar la opción Protector de pantalla
4. En Iniciar después de: Seleccionar 5 minutos
1.3. Esquinas Seguras con Bloqueo de Pantalla


2. Clic en Mission Control
3. Clic Esquinas activas
4. Remover cualquier esquina que este configurado como “Desactivar protector de pantalla”.
5. Seleccionar en la esquina superior derecha “Iniciar protector de pantalla”.
Alternativamente, ejecute el siguiente comando para cada usuario:
defaults read ~/Library/Preferences/com.apple.dock | grep -i corner
Para cada usuario, verificar que al menos una de las esquinas tiene un valor de “5”. El resultado
debe ser: “wvous-tr-corner” = 5;

Página|7
Apple MAC
1.4. Configurar iCloud para Usuario BCP


2. Seleccionar Iniciar Sesión (Apple ID) Usuario BCP
3. Hacer clic en iCloud
4. Ingresar credenciales del Usuario BCP.
5. En el mensaje ¿Quieres asociar Calendarios y Safari con iCloud? Clic en No asociar
6. En el mensaje ¿Permitir que Buscar mi Mac use la ubicación de esta Mac? Clic en Ahora no
7. Selecciona o anula la selección de cada función
8. En la ventana que aparece Si desactivas iCloud drive…. Clic en Eliminar de la Mac
9. Nota: La gestión del Apple ID del Usuario BCP (local) será custodiada por el Usuario BCP.
2. Configuraciones en la cuenta tipo Administrador
2.1. Habilitar la actualización Automática

Realizar los siguientes pasos:
1. Abra una sesión en el terminal y entre el siguiente comando:
defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled
2. Verifique que el resultado mostrado es: 1
Si se seleccionaron actualizaciones automáticas durante la configuración del sistema, es posible que

esta configuración no haya dejado un artefacto auditable. Desactive la comprobación y vuelva a
habilitarla cuando la GUI no refleje los resultados auditados.

Página|8
Apple MAC
Remediación:
1. Abrir una sesión en el terminal y poner el siguiente comando para habilitar la funcionalidad de Auto
Actualización.
sudo defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -int 1
2. A continuación, ingresar la contraseña de tipo administrador
2.2. Verificar que todo software provisto por Apple esté actualizado
1. Elegir el menú de Apple

2. Seleccionar App Store
3. Seleccionar Actualizaciones
4. Verificar que todas las actualizaciones disponibles y parches de software estén instaladas
Alternativamente:
1. En un terminal, ejecute lo siguiente:
softwareupdate -l
2. En caso de encontrar una versión de software disponible te aparecerá un mensaje de la etiqueta

(Ejemplo: Label: macOS 10.15.3) y una notificación en la parte superior derecha para instalar el
software.
Nota: Para abrir el terminal debes ir al “Finder” ubicado en el dock, luego “selecciona Aplicaciones >
Utilidades”
Página|9
Apple MAC
3. Si el resultado es: “No hay nuevo software disponible”

4. En la configuración Preferencias del Sistema del App Store, la computadora puede que esté
configurada para no recibir pre-releases de softwares. Ejecutar desde el terminal lo siguiente:
defaults read /Library/Preferences/com.apple.SoftwareUpdate | egrep LastFullSuccessfulDate
Ejemplo: El resultado será: LastFullSuccessfulDate = “2020-03-03 16:42:08 +0000”;
Remediación:
1. Elegir el menú de Apple > App Store, si aparece una ventana, poner el nombre del administrador y
contraseña.
2. Seleccionar actualizaciones disponibles y parches de software de ser aplicable.
Alternativamente:
softwareupdate -l
2. En el terminal, ejecutar lo siguiente para cualquier paquete que aparecen el paso 1.
sudo softwareupdate -i packagename
3. A continuación, ingresar la contraseña del administrador y te mencionará si hay alguna actualización

disponible
2.3. Habilitar las actualizaciones de apps

1. Elegir el menú de Apple > App Store

2. Seleccionar Instalar Actualizaciones de Apps
3. Verificar que todas las actualizaciones disponibles y parches de software estén instaladas.

Página|10
Apple MAC
Nota: Si no hay actualizaciones aparecerá el siguiente mensaje “Sin Actualizaciones, Todas tus apps
están actualizadas”.
Alternativamente:
defaults read /Library/Preferences/com.apple.commerce AutoUpdate
2. Verificar que el resultado mostrado es: 1
Remediación:
1. Abrir una sesión en el terminal y poner el siguiente comando para habilitar la funcionalidad de Auto
Actualización.
sudo defaults write /Library/Preferences/com.apple.commerce AutoUpdate -bool TRUE
La remediación requiere un log out y un log in para mostrar la GUI.
2.4. Habilitar instalaciones de actualización del sistema operativo macOS

1. Elegir el menú de Apple > Preferencias del Sistema

2. Seleccionar Actualización de Software
3. Seleccionar Actualizar ahora
a. Se mostrará la versión del sistema operativo a instalar (Ejemplo: macOS 10.15.3)
b. Si abrimos el detalle “Mas Información” nos brindará el peso de la actualización.
c. Seleccionar la opción “Mantener mi Mac actualizada”.
Nota: Actualmente el EMM permite el despliegue de actualizaciones de forma grupal, pero estas se
realizan descargando las actualizaciones desde internet, y no desde un servidor centralizado, por lo que
al ejecutar esta tarea masiva ralentizaría la red interna, y no es el método adecuado.

Página|11
Apple MAC
2.5. Bluetooth
1. En el terminal, ejecutar el siguiente comando:
defaults read /Library/Preferences/com.apple.Bluetooth ControllerPowerState
2. Si el valor retornado es “0“, la computadora está en cumplimiento.

3. Si el valor retornado es “1“, indica que Bluetooth está habilitado. Use el siguiente paso:
4. Si el valor retornado en el paso 1 es 1, en el terminal ejecute este comando:
system_profiler SPBluetoothDataType | grep "Bluetooth:" -A 20 | grep Connectable
1. La salida debe ser: Connectable: Yes
Remediación:
1. En el terminal, ejecutar el siguiente comando:
sudo defaults write /Library/Preferences/com.apple.Bluetooth ControllerPowerState -int 0
sudo killall -HUP blued

Página|12
Apple MAC
2.6. Establecer Fecha y Hora automáticamente


2. Seleccionar Fecha y Hora
3. Seleccionar “Establecer fecha y hora automáticamente”
Nota: Este control aplica en caso no se gestione una conexión con el AD. Un desfase de más de 5 minutos
puede afectar funcionalidades en los logons del Directorio Activo.
Alternativamente:
sudo systemsetup -getusingnetworktime
2. A continuación, ingresar la contraseña del administrador.

3. Verificar que el resultado es: Network Time: On

Página|13
Apple MAC
2.7. Compartir
2.7.1. Deshabilitar Eventos Remotos de Apple

1. Ejecutar el siguiente comando en el terminal
sudo systemsetup -getremoteappleevents
2. Verificar que el resultado es Remote Apple Events: Off
Remediación:
1. Ejecutar el siguiente comando en el terminal:
sudo systemsetup -setremoteappleevents off
Nota: Si se desea volver a habilitar los Eventos Remotos de Apple, requerirá accesos con privilegios:
Al ejecutar el comando estando AppleEvent en estado off aparecerá el siguiente mensaje:

Setremoteappleevents: Turning Remote AppleEvents on or off requires Full Disk Access
privileges.
2.7.2. Deshabilitar Compartir Internet


2. Seleccionar Compartir
3. Quitar el check en el servicio Compartir Internet
2.7.3. Deshabilitar Compartir Pantalla


Página|14
Apple MAC
sudo launchctl load /System/Library/LaunchDaemons/com.apple.screensharing.plist
2. Verificar que el valor retonado sea: “Service is disabled”
Remediación:

3. Quitar el check en el servicio Compartir Pantalla
2.7.4. Deshabilitar Compartir Impresora


3. Quitar el check en el servicio Compartir Impresora
2.7.5. Deshabilitar Sesión Remota

sudo systemsetup -getremotelogin
2. Verificar que el valor retornado es: Remote Login: Off

Página|15
Apple MAC
Remediación:
sudo systemsetup -setremotelogin off
Alternativamente:

3. Quitar el check en el servicio Administración Remota.
2.7.6. Deshabilitar Compartir Bluetooth


2. Compartir Bluetooth debe estar sin check.
Alternativamente:
system_profiler SPBluetoothDataType | grep State
2. Verificar que todos los valores sean: “Disabled”
Remediación:

3. Quitar el Check de Bluetooth
2.7.7. Deshabilitar administración Remota


3. Quitar el check en el servicio Administración Remota
Página|16
Apple MAC
Nota: En caso se desee acceder de forma remota para realizar alguna configuración adicional, se
requerirá el usuario y clave de administrador local, custodiada por el proveedor de servicios y
del uso de un software estandarizado e instalado para la gestión de dispositivos macs.
2.7.8. Deshabilitar Compartir archivos


3. Quitar el check a compartir archivos
2.8. Seguridad y Privacidad
2.8.1. Habilitar Gatekeeper

sudo spctl --status
2. Verificar que el resultado de la línea de comando sea: “assessments enabled”.
Remediación:

2. Seleccionar Seguridad y Privacidad
3. Seleccionar General
4. Seleccionar Permitir apps descargadas de: App Store y desarrolladores identificados.
Alternativamente, realizar lo siguiente:

Página|17
Apple MAC
sudo spctl --master-enable
2. Después de ejecutar el comando te pedirá la clave de administrador, como no mostrará

resultado se debe volver a ejecutar el comando sudo spctl –status y verificar que el resultado
sea “assessments enabled”.
2.8.2. Habilitar Firewall

defaults read /Library/Preferences/com.apple.alf globalstate
2. Verificar que el valor retornado es 1 o 2 (1: Servicios específicos, 2: Servicios especiales)
Remediación:

3. Seleccionar Firewall
4. Activar Firewall
2.8.3. Habilitar Firewall Modo Encubierto

/usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode

Página|18
Apple MAC
2. Verificar que el valor retornado es: Stealth mode enabled
Remediación:

3. Seleccionar Opciones de Firewall
4. Seleccionar Activar modo encubierto
Alternativamente, realizar lo siguiente:
sudo /usr/libexec/ApplicationFirewall/socketfilterfw --setstealthmode on
2.8.4. Habilitar la ubicación de servicios

Realizar los siguientes pasos
sudo launchctl load /System/Library/LaunchDaemons/com.apple.locationd.plist
2. Verificar que los resultados incluyen lo siguiente: “Operation already in progress” o “service
already loaded”

Página|19
Apple MAC
2.8.5. Deshabilitar el envío del diagnóstico y uso de datos a Apple


3. Seleccionar Privacidad
4. Selecciona Análisis y mejoras
5. Seleccionar Acerca del análisis y la privacidad…
6. Asegúrate que “Compartir análisis de la Mac” no esté seleccionado
2.9. Configurar iCloud para Usuario Administrador

Realizar lo siguiente en el perfil administrador:

2. Seleccionar Iniciar Sesión (Apple ID) Usuario BCP
3. Hacer clic en iCloud
4. Ingresar credenciales de administrador.
5. En el mensaje ¿Quieres asociar Calendarios y Safari con iCloud? Clic en No asociar
6. En el mensaje ¿Permitir que Buscar mi Mac use la ubicación de esta Mac? Clic en Ahora no
7. Selecciona o anula la selección de cada función
8. En la ventana que aparece Si desactivas iCloud drive…. Clic en Eliminar de la Mac
Nota: La cuenta de correo del Apple ID será la misma del usuario BCP a quién se le va a asignar la Mac.
Las credenciales del administrador local deben ser distintas a la cuenta estándar y deben ser custodiadas
por el proveedor de soporte de servicios.

Página|20
Apple MAC
2.10. Time Machine


2. Seleccionar Time Machine
3. Deseleccionar el Check “Respaldar automáticamente”
4. Clic en Opciones en la parte inferior derecha
5. Quitar el check a “Realizar respaldo con alimentación de batería”
6. Quitar el check a “Excluir archivos de sistema y apps” y guardar”
Nota: La preparación de la imagen para la restauración del Sistema Operativo, es parte de las funciones
a realizar por el proveedor del servicio, de requerirse acceso a Internet ellos deberán contemplar con
los recursos necesarios para gestionar el servicio, así como el uso de un micro sd o pendrive con
capacidad de 100Gb o más para crear la imagen.
2.11. Habilitar auditoría de seguridad

sudo launchctl list | grep -i auditd
2. Verificar que el resultado obtenido es “com.apple.auditd”.
Remediación:
Ejecute el siguiente comando en el Terminal:
sudo launchctl load -w /System/Library/LaunchDaemons/com.apple.auditd.plist
2.12. Configurar indicadores de auditoría de seguridad

1. Ejecute el siguiente comando en el Terminal:

Página|21
Apple MAC
sudo egrep "^flags:" /etc/security/audit_control
2. Asegurar que uno de siguientes flags (indicadores) estén presentes:
• Lo: audita eventos de cierre de sesión exitosos/fallidos

• Ad: audita eventos administrativos exitosos/fallidos
• Fd: audita eventos de eliminación exitosos/fallidos
• Fm: audita eventos de modificación de atributos exitosos/fallidos
• -all: audita todos los eventos fallidos en todas las clases de auditoría
2.13. Garantizar la retención de auditoría de seguridad

sudo cat /etc/security/audit_control | egrep expire-after
2. El resultado debe ser lo siguiente:
expire-after:10M
2.14. Asegurar que el Firewall está configurado para enviar log

Para solucionar los éxitos y fallas de un firewall, se debe habilitar el registro.
/usr/libexec/ApplicationFirewall/socketfilterfw --getloggingmode
2. La respuesta debe ser: Log mode is on

Página|22
Apple MAC
Remediación:
1. Ejecute:
/usr/libexec/ApplicationFirewall/socketfilterfw --setloggingmode on
2.15. Deshabilitar la activación para acceso a la red

Realizar lo siguiente:
pmset -g | egrep womp
2. Verificar que el valor retornado es “womp 0”. En caso de no retornar ningún mensaje, ejecutar el
comando de remediación.
Remediación:
sudo pmset -a womp 0
Nota: Se requerirá el usuario y clave de administrador local, custodiada por el proveedor de soporte de
servicios, para proceder a ejecutar el comando.
2.16. Habilitar “Mostrar el estatus del Wi-Fi en la barra del menu”

Realizar lo siguiente:
defaults read com.apple.systemuiserver menuExtras | grep AirPort.menu

Página|23
Apple MAC
2. Verifique que el resultado obtenido sea:
/System/Library/CoreServices/Menu/Extras/AirPort.menu
Remediación:

2. Seleccionar Red
3. Poner el check en Mostrar estatus de Wi-Fi en la barra de menú
2.17. Asegurar que HTTP server no está ejecutándose

1. Ejecutar lo siguiente en el terminal
ps -ef | grep -i httpd
2. No debería haber resultados para /usr/sbin/httpd.
Remediación:
1. Ejecutar lo siguiente en el terminal para parar el servidor web
sudo apachectl stop
2. Ejecute lo siguiente en el terminal para evitar que el servidor web se auto ejecute
sudo defaults write /System/Library/LaunchDaemons/org.apache.httpd Disabled -bool true
2.18. Asegurar que NFS server no está ejecutándose


Página|24
Apple MAC
ps -ef | grep -i nfsd
2. No debería haber resultados para /sbin/nfsd
cat /etc/exports
4. El resultado debería ser: “No such file or directory”
Remediación:
1. Asegurar que el servidor NFS no está ejecutándose y no está configurado para iniciar en el arranque
sudo nfsd disable
2. La respuesta que debe mostrar es: The nfsd service is already disabled
2.19. Deshabilitar la cuenta “Root”

dscl . -read /Users/root AuthenticationAuthority
2. Verificar que el valor retornado es:
No such key: AuthenticationAuthority

Página|25
Apple MAC
Remediación:
1. Abrir Preferencias del Sistema, en el menú de Apple

2. Seleccionar Usuarios y Grupos
3. Clic en el candado, introduce el nombre y contraseña de administrador y desbloquear
4. Clic en Opciones de inicio
5. Seleccionar Acceder en el Servidor de cuentas de red
6. Abrir Utilidad de Directorios…
7. Clic en el candado en la ventana de Utilidad de Directorios y clic en modificar configuración,
introduce el nombre y contraseña de administrador
8. En la barra de menús de Apple seleccionar Edición. Clic en Desactivar Usuario Root y bloquear el
candado en la ventana Utilidad de Directorio.
Nota: El usuario y clave de administrador local, es custodiado por el proveedor de soporte de servicios.
2.20. Deshabilitar el login automático

defaults read /Library/Preferences/com.apple.loginwindow | grep autoLoginUser
2. La respuesta al comando ejecutado no debe mostrar valor
Remediación:

3. Clic en el candado, introduce el nombre y contraseña de administrador y desbloquear
4. Clic en Opciones de inicio
5. Haz clic en el icono desplegable de “Inicio de sesión automático” y a continuación selecciona
Desactivado.
Nota: Solo es posible desactivar el inicio de Sesión automático si tu MacOS dispone de un único usuario
Administrador del equipo. Si tienes varios usuarios está funcionalidad estará siempre Desactivada.

Página|26
Apple MAC
2.21. Requerir una contraseña para despertar la computadora del modo suspensión o Protector
de Pantalla

3. Seleccionar la pestaña General
4. Seleccionar el check “Solicitar contraseña inmediatamente después de iniciarse el reposo o el
protector de pantalla”.
2.22. Requerir una contraseña de administrador para acceder a las preferencias de todo el
sistema

3. Seleccionar la pestaña General
4. Clic en Avanzado
5. Seleccionar el check “Solicitar una contraseña de administrador para acceder a las preferencias de
todo el sistema”.
6. Clic en OK.

Página|27
Apple MAC
2.23. Deshabilitar la habilidad de loguear a otra sesión activa y bloqueada

1. Ejecutar el siguiente comando en el Terminal
/usr/bin/security authorizationdb read system.login.screensaver 2>/dev/null | /usr/bin/grep -

A 1 "<array>" | /usr/bin/awk -F "<|>" 'END{ print $3 }'
2. La respuesta debe ser “use-login-windows-ui”.
2.24. Estado de Protección de Integridad del Sistema (SIP)

/usr/bin/csrutil status
2. La respuesta debe ser “System Integrity Protection status: Enabled”.
Remediación:
Realice lo siguiente mientras se inicia en MacOS Recovery Partition
1. Seleccionar el Terminal desde el menú de Utilidades.

2. Ejecutar el siguiente comando desde el Terminal:
/usr/bin/csrutil enable

Página|28
Apple MAC
3. La salida debe ser “Successfully enabled System Integrity Protection. Please restart the machine
for the changes to take effect”.
4. Reiniciar. Si se intenta un cambio en el estado desde el Arranque del Sistema Operativo en lugar de
la partición de recuperación, se generará un error.
5. El resultado del error será “csrutil: failed to modify system integrity configuration. This tool needs
to be executed from the Recovery OS”.
2.25. Deshabilitar “Mostrar Pistas de Contraseña”

defaults read /Library/Preferences/com.apple.loginwindow RetriesUntilHint
2. Verificar que el resultado sea 0

3. Si la respuesta es “The domain/default pair… does not exist” la computadora está en
cumplimiento.
Remediación:

3. Abrir el candado, y poner el usuario y contraseña del administrador
4. Seleccionar Opciones de Inicio
5. Quitar el check en “Mostrar pistas de contraseña”
2.26. Deshabilitar el Login de Usuarios Invitados y su conexión a carpetas compartidas

sudo defaults read /Library/Preferences/com.apple.loginwindow.plist GuestEnabled
2. Asegurarse que el valor retornado es 0.

3. Si la respuesta es “The domain/default pair… does not exist” la computadora está en cumplimiento.

Página|29
Apple MAC
Remediación:

3. Seleccionar Usuario Invitado
4. Abrir el candado, poner usuario y contraseña de administrador
5. Quitar el check “Permitir a los invitados conectarse a esta computadora”
6. Quitar el check “Permitir a los invitados conectarse a las carpetas compartidas”
2.27. Habilitar la visualización de extensiones de nombres de Archivo

1. Seleccionar Finder
2. Seleccionar Preferencias
3. Seleccionar en Avanzado
4. Check en “Mostrar extensiones de los nombres de archivo”

Página|30
Apple MAC
3. Consideraciones Adicionales
3.1. AntiMalware
Se debe hacer uso del manual de Antivirus y Antimalware
Instalar los siguientes productos:
1. Antivirus de nueva generación (AEP): CylancePROTECT + CylanceOPTICS
• Enlace: Cylance
3.2. Software para Inventario

Instalar los siguientes productos:
1. Ivanti
• Enlace: Ivanti
2. Agente Snow
• Enlace: Agente SNOW
3.3. Software para Backup de Información en la nube de BCP

Se debe descargar e instalar One Drive desde el App Store con el perfil administrador.
3.4. Software para conexión remota a través de una VPN

Se debe instalar el software Cisco AnyConnect provisto por el Banco y hacer uso del manual de
instalación.
1. Software Cisco AnyConnect
• Enlace: Cisco AnyConnect
2. Manual de Instalación
Página|31
Apple MAC
• Enlace: Instalación de Cisco AnyConnect para macOS
3.5. Software para validación de Controles de seguridad

Se debe instalar el software SecureConnector y hacer uso del manual de instalación.
1. Software SecureConnector
• Enlace: ForeScout SecureConnector
2. Manual de Instalación
• Enlace: Instalación de ForeScout SecureConnector para macOS
3.6. Enrolamiento en el EMM

Se debe hacer uso del manual de Enrolamiento EMM ubicado en el sharepoint.
• Enlace: EMM Apple MAC
3.7. Registro en OU MAC

Gestionar las mac a través de un Organizational Group (OU) usando la siguiente ruta:
1. credito.bcp.com.pe/BCP PCs MacOS
3.8. Registro en Active Directory

El ingreso al dominio (Active Directory) debe realizar bajo la Nomenclatura Estándar P09XX11111MAC01
donde:
• Perfil: P09 Es el perfil de la línea base de seguridad

• Usuario: XX Iniciales del Usuario (Ej. CD para el usuario Carlos Diaz)
• Matrícula: YYYYY Número de la matrícula del usuario (Ej. 17272)
• Uso: MAC Laptop MAC
• Número: 01 Correlativo de Laptops asignadas
Con fines de trazabilidad, el Proveedor de soporte de servicios deberá solicitar de manera interna el
registro del equipo en el AD con la nomenclatura P09XX11111MAC01.

Página|32
Apple MAC
3.9. Software de Análisis de Vulnerabilidades

Se debe hacer uso del manual de Qualys e instalar el siguiente producto:
1. Software Qualys Cloud Agent
• Enlace: Qualys

Página|33

Línea Base de Seguridad - Apple MAC v1.4

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Línea Base de Seguridad - Apple MAC v1.4

Cargado por

Copyright:

Formatos disponibles

Línea Base de Seguridad| v.2021.01| Enero 2021

Copyright © 2021 Banco de Crédito del Perú - Gerencia de Seguridad Informática

1. Configuraciones en la cuenta tipo Estándar ...............................................................................................6

Línea Base de Seguridad| v.2021.01| Enero 2021

2.26. Deshabilitar el Login de Usuarios Invitados y su conexión a carpetas compartidas ..................... 29

Línea Base de Seguridad| v.2021.01| Enero 2021

Fecha Versión Descripción Autor

07.12.21 Se agregó la sección de instalación del

Línea Base de Seguridad| v.2021.01| Enero 2021

Línea Base de Seguridad| v.2021.01| Enero 2021

Línea Base de Seguridad Apple MAC

1. Configuraciones en la cuenta tipo Estándar

1.1. Habilitar cuenta tipo Estándar

Loguear en la cuenta Administrador y realizar lo siguiente:

1. Ir a Preferencias del Sistema

1.2. Escritorio y Protector de Pantalla

Línea Base de Seguridad| v.2021.01| Enero 2021

Loguear en la cuenta tipo Estándar y realizar lo siguiente:

1. Abrir Preferencias del Sistema

1.3. Esquinas Seguras con Bloqueo de Pantalla

Loguear en la cuenta tipo Estándar y realizar lo siguiente:

1. Abrir Preferencias del Sistema

Alternativamente, ejecute el siguiente comando para cada usuario:

defaults read ~/Library/Preferences/com.apple.dock | grep -i corner

Línea Base de Seguridad| v.2021.01| Enero 2021

1.4. Configurar iCloud para Usuario BCP

Loguear en la cuenta tipo Estándar y realizar lo siguiente:

1. Abrir Preferencias del Sistema

2. Configuraciones en la cuenta tipo Administrador

2.1. Habilitar la actualización Automática

Realizar los siguientes pasos:

1. Abra una sesión en el terminal y entre el siguiente comando:

defaults read /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled

2. Verifique que el resultado mostrado es: 1

Si se seleccionaron actualizaciones automáticas durante la configuración del sistema, es posible que

Línea Base de Seguridad| v.2021.01| Enero 2021

sudo defaults write /Library/Preferences/com.apple.SoftwareUpdate AutomaticCheckEnabled -int 1

2. A continuación, ingresar la contraseña de tipo administrador

Realizar los siguientes pasos:

1. Elegir el menú de Apple

1. En un terminal, ejecute lo siguiente:

2. En caso de encontrar una versión de software disponible te aparecerá un mensaje de la etiqueta

3. Si el resultado es: “No hay nuevo software disponible”

defaults read /Library/Preferences/com.apple.SoftwareUpdate | egrep LastFullSuccessfulDate

Ejemplo: El resultado será: LastFullSuccessfulDate = “2020-03-03 16:42:08 +0000”;

1. En un terminal, ejecute lo siguiente:

2. En el terminal, ejecutar lo siguiente para cualquier paquete que aparecen el paso 1.

sudo softwareupdate -i packagename

3. A continuación, ingresar la contraseña del administrador y te mencionará si hay alguna actualización

2.3. Habilitar las actualizaciones de apps

Realizar los siguientes pasos:

1. Elegir el menú de Apple > App Store

Línea Base de Seguridad| v.2021.01| Enero 2021

1. En un terminal, ejecute lo siguiente:

defaults read /Library/Preferences/com.apple.commerce AutoUpdate

2. Verificar que el resultado mostrado es: 1

sudo defaults write /Library/Preferences/com.apple.commerce AutoUpdate -bool TRUE

La remediación requiere un log out y un log in para mostrar la GUI.

2.4. Habilitar instalaciones de actualización del sistema operativo macOS

Realizar los siguientes pasos:

1. Elegir el menú de Apple > Preferencias del Sistema

Línea Base de Seguridad| v.2021.01| Enero 2021