Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Apple MAC
(Enero 2021)
Contenido
HISTORIAL DE REVISIÓN
Consideraciones Previas
1. Toda estación de trabajo (Laptop mac de BCP) que va a ser enrolado y si tiene información en uso,
previamente deberá realizar un respaldo de la información en los repositorios oficiales del banco.
2. Toda estación de trabajo (Laptop mac de BCP) requiere el uso de conexión a internet libre, o datos, para
la instalación de la Línea Base de Seguridad y la ejecución del enrolamiento en el EMM. Adicionalmente
durante el proceso se requerirá la configuración para unir al dominio de Windows.
3. Toda estación de trabajo (Laptop mac de BCP) debe estar enrolado utilizando la herramienta Enterprise
Mobile Management (EMM).
4. Toda estación de trabajo (Laptop mac de BCP) requiere la creación y uso de credenciales (Apple ID) con
cuenta de correo BCP. No se debe utilizar una cuenta personal para el manejo de información de BCP.
5. Realizar la configuración de esta línea base de seguridad creando una cuenta de tipo Administrador
(gestionado por el proveedor de soporte de servicios) y otra cuenta tipo Estándar (usuario BCP).
6. Realizar la creación y configuración de la cuenta con perfil Administrador siguiendo el Lineamiento de
Seguridad de Gestión de Credenciales.
7. Realizar el resguardo de la credencial con perfil Administrador en un repositorio seguro o bóveda
encriptada, asegurando la confidencialidad, integridad y disponibilidad de la información.
8. Para la construcción del nombre completo de la cuenta con perfil Administrador deberá considerar lo
siguiente: Ejemplo macadmin01
a. Uso : mac (laptop mac)
b. Perfil : admin(administrador de la mac)
c. Número : 01 (identificador)
9. Para la construcción de la contraseña de la credencial con perfil Administrador deberá considerar lo
siguiente:
a. Longitud: tener 10 caracteres como longitud mínima
b. Restringir el uso de palabras incluidas en un diccionario o lista de contraseñas no seguras
((ejemplo: 1234567, qwerty, qazwsx, welcome, dragon, Password, etc).
c. Debe contener al menos los 4 tipos de caracteres siguientes:
i. Numérico
ii. Letras en mayúsculas
iii. Letras en minúsculas
iv. Símbolos (caracteres especiales)
10. Realizar la rotación de la contraseña con perfil Administrador en caso de ocurrir un incidente de
seguridad o por lo menos una vez al año o lo que ocurra primero.
11. La conexión a la red S4M4YC0RP0R4T1V0 en laptops Apple mac se realizará únicamente a través de la
red wi-fi y no a través del cable ethernet.
Para cada usuario, verificar que al menos una de las esquinas tiene un valor de “5”. El resultado
debe ser: “wvous-tr-corner” = 5;
Remediación:
1. Abrir una sesión en el terminal y poner el siguiente comando para habilitar la funcionalidad de Auto
Actualización.
2.2. Verificar que todo software provisto por Apple esté actualizado
Equipo encargado: Proveedor de soporte de servicios
Alternativamente:
softwareupdate -l
Nota: Para abrir el terminal debes ir al “Finder” ubicado en el dock, luego “selecciona Aplicaciones >
Utilidades”
Línea Base de Seguridad| v.2021.01| Enero 2021
Copyright © 2021 Banco de Crédito del Perú - Gerencia de Seguridad Informática
Datos elaborados por BCP únicamente para fines del negocio
Página|9
Apple MAC
Remediación:
1. Elegir el menú de Apple > App Store, si aparece una ventana, poner el nombre del administrador y
contraseña.
2. Seleccionar actualizaciones disponibles y parches de software de ser aplicable.
Alternativamente:
softwareupdate -l
Nota: Si no hay actualizaciones aparecerá el siguiente mensaje “Sin Actualizaciones, Todas tus apps
están actualizadas”.
Alternativamente:
Remediación:
1. Abrir una sesión en el terminal y poner el siguiente comando para habilitar la funcionalidad de Auto
Actualización.
Nota: Actualmente el EMM permite el despliegue de actualizaciones de forma grupal, pero estas se
realizan descargando las actualizaciones desde internet, y no desde un servidor centralizado, por lo que
al ejecutar esta tarea masiva ralentizaría la red interna, y no es el método adecuado.
2.5. Bluetooth
Equipo encargado: Proveedor de soporte de servicios
Remediación:
Nota: Este control aplica en caso no se gestione una conexión con el AD. Un desfase de más de 5 minutos
puede afectar funcionalidades en los logons del Directorio Activo.
Alternativamente:
2.7. Compartir
Remediación:
Nota: Si se desea volver a habilitar los Eventos Remotos de Apple, requerirá accesos con privilegios:
Remediación:
Remediación:
Alternativamente:
Alternativamente:
Remediación:
Nota: En caso se desee acceder de forma remota para realizar alguna configuración adicional, se
requerirá el usuario y clave de administrador local, custodiada por el proveedor de servicios y
del uso de un software estandarizado e instalado para la gestión de dispositivos macs.
Remediación:
Remediación:
/usr/libexec/ApplicationFirewall/socketfilterfw --getstealthmode
Remediación:
2. Verificar que los resultados incluyen lo siguiente: “Operation already in progress” o “service
already loaded”
Nota: La cuenta de correo del Apple ID será la misma del usuario BCP a quién se le va a asignar la Mac.
Las credenciales del administrador local deben ser distintas a la cuenta estándar y deben ser custodiadas
por el proveedor de soporte de servicios.
Nota: La preparación de la imagen para la restauración del Sistema Operativo, es parte de las funciones
a realizar por el proveedor del servicio, de requerirse acceso a Internet ellos deberán contemplar con
los recursos necesarios para gestionar el servicio, así como el uso de un micro sd o pendrive con
capacidad de 100Gb o más para crear la imagen.
Remediación:
expire-after:10M
/usr/libexec/ApplicationFirewall/socketfilterfw --getloggingmode
Remediación:
1. Ejecute:
/usr/libexec/ApplicationFirewall/socketfilterfw --setloggingmode on
Realizar lo siguiente:
2. Verificar que el valor retornado es “womp 0”. En caso de no retornar ningún mensaje, ejecutar el
comando de remediación.
Remediación:
Nota: Se requerirá el usuario y clave de administrador local, custodiada por el proveedor de soporte de
servicios, para proceder a ejecutar el comando.
Realizar lo siguiente:
/System/Library/CoreServices/Menu/Extras/AirPort.menu
Remediación:
Remediación:
2. Ejecute lo siguiente en el terminal para evitar que el servidor web se auto ejecute
cat /etc/exports
Remediación:
1. Asegurar que el servidor NFS no está ejecutándose y no está configurado para iniciar en el arranque
2. La respuesta que debe mostrar es: The nfsd service is already disabled
Remediación:
Nota: El usuario y clave de administrador local, es custodiado por el proveedor de soporte de servicios.
Remediación:
Nota: Solo es posible desactivar el inicio de Sesión automático si tu MacOS dispone de un único usuario
Administrador del equipo. Si tienes varios usuarios está funcionalidad estará siempre Desactivada.
2.21. Requerir una contraseña para despertar la computadora del modo suspensión o Protector
de Pantalla
Equipo encargado: Proveedor de soporte de servicios
2.22. Requerir una contraseña de administrador para acceder a las preferencias de todo el
sistema
Equipo encargado: Proveedor de soporte de servicios
/usr/bin/csrutil status
Remediación:
/usr/bin/csrutil enable
3. La salida debe ser “Successfully enabled System Integrity Protection. Please restart the machine
for the changes to take effect”.
4. Reiniciar. Si se intenta un cambio en el estado desde el Arranque del Sistema Operativo en lugar de
la partición de recuperación, se generará un error.
5. El resultado del error será “csrutil: failed to modify system integrity configuration. This tool needs
to be executed from the Recovery OS”.
Remediación:
Remediación:
1. Seleccionar Finder
2. Seleccionar Preferencias
3. Seleccionar en Avanzado
4. Check en “Mostrar extensiones de los nombres de archivo”
3. Consideraciones Adicionales
3.1. AntiMalware
Equipo encargado: Proveedor de soporte de servicios
• Enlace: Cylance
1. Ivanti
• Enlace: Ivanti
2. Agente Snow
Se debe descargar e instalar One Drive desde el App Store con el perfil administrador.
Se debe instalar el software Cisco AnyConnect provisto por el Banco y hacer uso del manual de
instalación.
2. Manual de Instalación
Línea Base de Seguridad| v.2021.01| Enero 2021
Copyright © 2021 Banco de Crédito del Perú - Gerencia de Seguridad Informática
Datos elaborados por BCP únicamente para fines del negocio
Página|31
Apple MAC
1. Software SecureConnector
2. Manual de Instalación
Gestionar las mac a través de un Organizational Group (OU) usando la siguiente ruta:
El ingreso al dominio (Active Directory) debe realizar bajo la Nomenclatura Estándar P09XX11111MAC01
donde:
Con fines de trazabilidad, el Proveedor de soporte de servicios deberá solicitar de manera interna el
registro del equipo en el AD con la nomenclatura P09XX11111MAC01.
• Enlace: Qualys