Hardening
UNIVERSIDAD MAYOR, REAL Y PONTIFICIA DE SAN FRANCISCO XAVIER DE CHUQUISACA TRABAJO DE INVESTIGACION ESTUDIANTES : Gon
Views 102 Downloads 2 File size 2MB
Recommend stories
- Author / Uploaded
- Angela Gonzales Ventura
Citation preview
UNIVERSIDAD MAYOR, REAL Y PONTIFICIA DE SAN FRANCISCO XAVIER DE CHUQUISACA
TRABAJO DE INVESTIGACION
ESTUDIANTES
: Gonzales Ventura Angela
CARRERA
: Ing. En Telecomunicaciones
MATERIA
: Seguridad en redes
DOCENTE
: Ing. Marco Antonio Arenas
1
Indice Introduccion.................................................................................................................................. 3 ¿Qué es el hardening? .................................................................................................................. 3 Haciéndole la vida difícil al atacante ........................................................................................... 3 Consejos para reforzar el servidor Linux..................................................................................... 5 Cifrar la comunicación de datos ................................................................................................ 5 Un servicio de red por sistema o VM Instancia......................................................................... 6 Mantenga núcleo de Linux y software del ordenador .............................................................. 6 Utilice las extensiones de seguridad de Linux ........................................................................... 6
SELinux .......................................................................................................................... 7
Cuentas de usuario y contraseñas fuertes ................................................................................ 7
La restricción de uso de contraseñas anteriores........................................................... 8
Desactivar raíz de sesión ........................................................................................................... 8 Seguridad servidor físico ........................................................................................................... 8 Deshabilitar servicios no deseados ........................................................................................... 8 Eliminar X Ventanas .................................................................................................................. 9 Configurar iptables y TCP Wrappers ......................................................................................... 9 Desactivar IPv6 .......................................................................................................................... 9 Un Servicio Uso de autenticación centralizada ......................................................................... 9 Kerberos .................................................................................................................................... 9 Registro y auditoría ................................................................................................................. 10 Secure Servidor OpenSSH ....................................................................................................... 10 Instalar y utilizar Sistema de Detección de Intrusos ............................................................... 10 Protección de los archivos, directorios y correo electrónico .................................................. 10
Protección de los servidores de correo electrónico .................................................... 11
Comandos de configuración para un equipo (router y switch) CISCO ..................................... 11 Definir longitud mínima de passwords y bloqueo por intentos fallidos (bloqueo de 180 segundos luego de 3 intentos fallidos en un lapso de 30 segundos) ...................................... 13 Hardening Windows ................................................................................................................... 13 Conclusión ................................................................................................................................... 20 Bibliografia .................................................................................................................................. 20
2
HARDENING Introduccion “Hardening” de Sistemas es una estrategia defensiva que protege contra los ataques Removiendo servicios vulnerables e innecesarios, cerrando “fallos” de seguridad y asegurando los controles de acceso. Este proceso incluye la evaluación de arquitectura de seguridad de una empresa y la auditoría de la configuración de sus sistemas con el fin de desarrollar e implementar procedimientos de consolidación para asegurar sus recursos críticos.
¿Qué es el hardening? El Hardening es una técnica compuesta por un conjunto de actividades llevadas a cabo por el administrador de un sistema operativo para reforzar al máximo posible la seguridad de este. Hardening (endurecimiento) es el proceso de asegurar un sistema mediante la reducción de vulnerabilidades en el mismo, esto se logra eliminando software, servicios, usuarios, etc; innecesarios en el sistema; así como cerrando puertos que tampoco estén en uso además de muchos otros métodos y técnicas.
Haciéndole la vida difícil al atacante Ese es el resumen de la razón de ser del Hardening de sistemas operativos, que se podría decir es: Un conjunto de actividades que son llevadas a cabo por el administrador de un sistema operativo para reforzar al máximo posible la seguridad de su equipo. Su propósito, entorpecer la labor del atacante y ganar tiempo para poder minimizar las consecuencias de un inminente incidente de seguridad e incluso, en algunos casos, evitar que éste se concrete en su totalidad En otras palabras, un factor más a considerar dentro del gran número de puntos a ser tomados en cuenta para defender “globalmente” un sistema. Entre las actividades propias de un proceso de hardening se pueden contar las siguientes:
Configuraciones necesarias para protegerse de posibles ataques físicos o de hardware de la máquina. Entre otras actividades, destacan el upgrade de firmware, el establecimiento de contraseñas complejas para el arranque del equipo y la configuración de la BIOS, la deshabilitación de inicio de sistema para cualquier unidad que no sea el disco duro principal, y en casos de servidores, 3
la deshabilitación de dispositivos ópticos, usb o similares, para evitar cualquier entrada de malware desde un medio de almacenamiento externo.
Instalación segura del sistema operativo. Esto implica, entre otras cosas, el considerar al menos dos particiones primarias (1 para el sistema operativo en sí y otra para carpetas y archivos de importancia), el uso de un sistema de archivos que tenga prestaciones de seguridad, y el concepto de instalación mínima, es decir, evitando la instalación de cualquier componente de sistema que no sea necesario para el funcionamiento del sistema. Activación y/o configuración adecuada de servicios de actualizaciones automáticas, para asegurar que el equipo tendrá todos los parches de seguridad que entrega el proveedor al día. En caso de que se encuentre dentro de una corporación, es adecuado instalar un servidor de actualizaciones, que deberá probar en un entorno de laboratorio el impacto de la instalación de actualizaciones antes de instalarlas en producción. Instalación, configuración y mantención de programas de seguridad tales como Antivirus, Antispyware, y un filtro Antispam según las necesidades del sistema. Configuración de la política local del sistema, considerando varios puntos relevantes: Política de contraseñas robusta, con claves caducables, almacenamiento histórico de contraseñas (para no usar contraseñas cíclicas), bloqueos de cuentas por intentos erróneos y requisitos de complejidad de contraseñas. Renombramiento y posterior deshabilitación de cuentas estándar del sistema, como administrador e invitado. Asignación correcta de derechos de usuario, de tal manera de reducir las posibilidades de elevación de privilegios, y tratando siempre de limitar al mínimo los privilegios y/o derechos de los usuarios activos. Configuración de opciones de seguridad generales, como aquellas relacionadas con rutas de acceso compartido, apagado de sistema, inicio y cierre de sesión y opciones de seguridad de red. Restricciones de software, basado en lo posible en el uso de listas blancas de software permitido más que en listas negras del mismo. Activación de auditorías de sistema, claves para tener un registro de algunos intentos de ataque característicos como la adivinación de contraseñas. Configuración de servicios de sistema. En este punto es necesario tratar siempre de deshabilitar todos aquellos servicios que no vayan a prestar una funcionalidad necesaria para el funcionamiento del sistema. Por ejemplo, si su equipo no posee tarjetas de red inalámbrica, el servicio de redes inalámbricas debería estar deshabilitado. Configuración de los protocolos de Red. En la medida de lo posible, es recomendable usar sistemas de traducción de direcciones (NAT) para direccionar los equipos internos de una organización. Deshabilitar todos aquellos protocolos de red innecesarios en el sistema y limitar el uso de los mismos al mínimo. TCP/IP es un protocolo que no nació pensando en seguridad, por lo que limitar su uso al estrictamente necesario es imperativo. Configuración adecuada de permisos de seguridad en archivos y carpetas del sistema. En la medida de lo posible, denegar explícitamente cualquier permiso de archivo a las cuentas de acceso anónimos o que no tengan contraseña. 4
Un correcto set de permisos a nivel de carpetas y archivos es clave para evitar acceso no deseado al contenido de los mismos.
Configuración de opciones de seguridad de los distintos programas, como clientes de correo electrónico, navegadores de internet y en general de cualquier tipo de programa que tenga interacción con la red. Configuración de acceso remoto. En caso de no ser estrictamente necesario, es bueno deshabilitar el acceso remoto. Sin embargo, cuando es necesario tener control remoto de la máquina, es preciso configurarlo de manera adecuada, restringiendo el acceso a un número muy limitado de usuario, restringiendo al mínimo las conexiones concurrentes, tomando cuidado en la desconexión y cierre de sesión y estableciendo un canal cifrado de comunicaciones para tales propósitos, como SSH. Configuración adecuada de cuentas de usuario, tratando de trabajar la mayor parte del tiempo con cuentas de acceso limitado y deshabilitando las cuentas de administrador. Es absolutamente recomendable usar la impersonificación de usuarios para realizar labores administrativas en vez de iniciar sesión como administradores. Cifrado de archivos o unidades según las necesidades del sistema, considerando un almacenamiento externo para las llaves de descifrado. Considerar además la opción de trabajar con sistemas de cifrado de mensajería instantánea y correo electrónico. Realizar y programar un sistema de respaldos frecuente a los archivos y al estado de sistema. En la medida de lo posible, administrar los respaldos vía red o llevar los respaldos a unidades físicas que estén alejadas del equipo que las origina.
Como se puede ver, el espectro de actividades que deben ser llevadas a cabo dentro de este proceso es bien amplio y tiene actividades de todo tipo. Sin embargo, la consigna para todas estas actividades es siempre la misma: Dejar el sistema operativo lo más restringido posible.
Consejos para reforzar el servidor Linux Cifrar la comunicación de datos Todos los datos transmitidos a través de una red está abierta a la vigilancia. Cifrar los datos transmitidos siempre que sea posible con la contraseña o el uso de llaves / certificados. 1. Usar scp, ssh , rsync, o SFTP para transferencia de archivos. También puede montar el sistema de archivos del servidor remoto o en su propio directorio personal utilizando sshfs especiales y herramientas de fusibles. 2. GnuPG permite encriptar y firmar sus datos y la comunicación, cuenta con un sistema de gerencia clave versátil, así como módulos de acceso para todo tipo de directorios de clave pública. 3. Fugu es una interfaz gráfica para la aplicación de transferencia de archivos de comandos seguro (SFTP). SFTP es similar a FTP, pero a diferencia de FTP, toda la 5
sesión está cifrada, es decir, sin las contraseñas se envían en texto claro, y es por lo tanto mucho menos vulnerables a la interceptación de terceros. Otra opción es FileZilla - un cliente multiplataforma que soporta FTP, FTP sobre SSL / TLS (FTPS), y el Protocolo de transferencia de archivos SSH (SFTP). 4. OpenVPN es una VPN SSL rentable y ligera. 5. Evitar el uso de FTP, Telnet y rlogin / Servicios Rsh En la mayoría de las configuraciones de red, nombres de usuario, contraseñas, FTP / Telnet / RSH comandos y archivos transferidos pueden ser capturados por cualquier persona en la misma red utilizando un analizador de paquetes. La solución común a este problema es utilizar OpenSSH , SFTP, FTPS o (FTP sobre SSL), que añade el cifrado SSL o TLS para FTP. Un servicio de red por sistema o VM Instancia Ejecutar diferentes servicios de red en servidores independientes o instancia de VM . Esto limita el número de otros servicios que pueden ser comprometidos. Por ejemplo, si un atacante capaz de explotar con éxito un software como el flujo de Apache, él / ella va a obtener un acceso a la totalidad del servidor, incluyendo otros servicios tales como MySQL, servidor de correo electrónico y así sucesivamente Mantenga núcleo de Linux y software del ordenador La aplicación de parches de seguridad es una parte importante del mantenimiento de servidor Linux. Linux proporciona todas las herramientas necesarias para mantener su sistema actualizado, y también permite una fácil actualización entre versiones. Toda actualización de seguridad debe ser revisada y aplicada tan pronto como sea posible. Una vez más, utilice el gestor de paquetes RPM, tales como yum y / o apt-get y / o dpkg para aplicar todas las actualizaciones de seguridad. #yum update # apt-get update && apt-get upgrade. Utilice las extensiones de seguridad de Linux Linux viene con varios parches de seguridad que se pueden utilizar para protegerse contra programas mal configurados o comprometidos. Si es posible utilizar SELinux y otras de seguridad de Linux extensiones para hacer cumplir las limitaciones de las redes y otros programas. Por ejemplo, SELinux provee una variedad de políticas de seguridad para el kernel de Linux.
6
SELinux
Recomiendo encarecidamente el uso de SELinux que proporciona un control de acceso obligatorio flexible (MAC). Bajo control estándar de Linux de acceso discrecional (DAC), una aplicación o proceso que se ejecuta como un usuario (UID o SUID) tiene los permisos del usuario a objetos tales como archivos, sockets y otros procesos. Ejecución de un núcleo MAC protege el sistema contra aplicaciones maliciosas o dañadas que pueden dañar o destruir el sistema. Ver el funcionario Redhat documentación que explica la configuración de SELinux. Cuentas de usuario y contraseñas fuertes Usar los comandos useradd / usermod para crear y mantener las cuentas de usuario. Asegúrate de que tienes una buena y fuerte política de contraseñas. Por ejemplo, una buena contraseña incluye al menos 8 caracteres de longitud y mezcla de alfabetos, números, caracteres especiales, alfabetos superiores e inferiores, etc. Lo más importante es elegir una contraseña que pueda recordar. Utilizar herramientas tales como “ John the Ripper ” para averiguar las contraseñas de los usuarios débiles en su servidor.
Contraseña Envejecimiento
El comando chage cambia el número de días entre cambios de contraseña y la fecha del último cambio de contraseña. Esta información es utilizada por el sistema para determinar cuándo un usuario debe cambiar su contraseña. El archivo de /etc/login.defs define la configuración específica de sitio para la suite contraseña incluyendo la configuración de la contraseña envejecimiento. Para desactivar la caducidad de contraseñas, entre: chage -M 99999 userName Para obtener información sobre la caducidad de contraseña, escriba: chage -l userName Por último, también se puede editar el archivo / etc / shadow en los siguientes campos:
{Usuario}: {password}: {} lastpasswdchanged: {} Minimum_days: {} Maximum_days: {} Advertir: {inactivo}: {} caducar:
Dónde, 1. Minimum_days : Se permite que el número mínimo de días requeridos entre los cambios de contraseña es decir, el número de días que quedan antes de que el usuario cambie su / su contraseña. 7
2. Maximum_days : El número máximo de días que la contraseña es válida (después de que el usuario se ve obligado a cambiar su / su contraseña). 3. Advertir : El número de días antes de expirar la contraseña es que el usuario es avisado de que su / su contraseña debe cambiarse. 4. Expira : Días desde ene 1, 1970 cuando cuenta está deshabilitada es decir, una Especificación de fecha absoluta cuando ya no se puede utilizar el inicio de sesión.
La restricción de uso de contraseñas anteriores
Puede impedir que todos los usuarios de utilizar o reutilizar mismas viejas contraseñas en Linux. El parámetro del módulo pam_unix r puede ser utilizado para configurar el número de contraseñas anteriores que no pueden ser reutilizados.
Bloqueo de cuentas de usuario tras fallos
En Linux se puede utilizar el comando faillog a mostrar faillog registros o para establecer el límite de error de inicio de sesión. faillog da formato a los contenidos del registro de fallos de / var / log / base de datos faillog / archivo de registro Desactivar raíz de sesión Nunca iniciar la sesión como usuario root. Usted debe usar sudo para ejecutar comandos de nivel raíz como y cuando sea necesario. sudo hace en gran medida aumenta la seguridad del sistema sin compartir la contraseña de root con otros usuarios y administradores sudo ofrece sencilla auditoría y seguimiento de cuenta también. Seguridad servidor físico Debe proteger los servidores Linux con acceso a la consola física. Configurar el BIOS y desactivar el arranque desde dispositivos externos tales como DVD / CD / USB pen. Ajuste del BIOS y GRUB cargador de arranque, contraseña para proteger estos valores. Todas las cajas de producción deben estar encerrados en IDC (Internet Data Center) y todas las personas tienen que pasar algún tipo de controles de seguridad antes de acceder a su servidor. Deshabilitar servicios no deseados Desactivar todos los servicios y demonios (servicios innecesarios que se ejecuta en segundo plano). Es necesario eliminar todos los servicios no deseados del sistema de puesta en marcha
8
Eliminar X Ventanas X Windows en el servidor no es necesario. No hay ninguna razón para correr X Windows en su correo dedicado y un servidor web Apache. Puede desactivar y retirar X de Windows para mejorar la seguridad del servidor y el rendimiento Configurar iptables y TCP Wrappers Iptables es un programa de aplicación de espacio de usuario que le permite configurar el servidor de seguridad (Netfilter) proporcionado por el núcleo Linux. Utilice cortafuegos para filtrar a cabo el tráfico y permitir sólo el tráfico necesario. También utilizar los TCPWrappers una basada en el host del sistema de redes de ACL para filtrar el acceso a la red de Internet. Puede prevenir muchos ataques de denegación de servicio con la ayuda de Iptables. Desactivar IPv6
Protocolo de Internet versión 6 (IPv6) ofrece una nueva capa de Internet del conjunto de protocolos TCP / IP que reemplaza Protocolo de Internet versión 4 (IPv4) y ofrece muchos beneficios. Actualmente no hay buenas herramientas por las cuales son capaces de comprobar un sistema a través de la red para los problemas de seguridad de IPv6. La mayoría de las distribuciones de Linux que permite comenzaron protocolo IPv6 de forma predeterminada
Un Servicio Uso de autenticación centralizada Sin un sistema de autenticación centralizada, los datos de autenticación de usuario se vuelve incoherente, lo que puede conducir a credenciales fuera de la fecha y cuentas olvidadas, que debería haber sido eliminados en el primer lugar. Un servicio de autenticación centralizada le permite mantener el control central sobre la cuenta y autenticación de datos Linux / UNIX. Puede mantener los datos sincronizados entre los servidores de autenticación. No utilizar el servicio de NIS para la autenticación centralizada. Usar OpenLDAP para clientes y servidores. Kerberos Kerberos realiza la autenticación como un servicio de autenticación de terceros de confianza mediante secreto compartido criptográfica bajo el supuesto de que los paquetes que viajan a lo largo de la red insegura puede ser leído, modificado, y se inserta. Kerberos se basa en la criptografía de clave simétrica y requiere un centro de distribución de claves. Puede hacer login remoto, copia remota, copia de archivos entre sistemas seguros y otras tareas de alto riesgo más seguras y más controlables mediante Kerberos. Así, cuando los usuarios se autentican a los servicios de red usando Kerberos, los usuarios no autorizados que intentan interceptar contraseñas en la red de monitoreo se frustran con eficacia. 9
Registro y auditoría Es necesario configurar el registro de auditoría y para recoger todos los intentos de pirateo informático. Se almacena los datos de registro del sistema por defecto en / var / / log. Esto también es útil para averiguar la mala configuración de software que puede abrir su sistema a diferentes ataques Secure Servidor OpenSSH El protocolo SSH se recomienda para el acceso remoto y transferencia de archivos remoto. Sin embargo, ssh está abierto a muchos ataques Instalar y utilizar Sistema de Detección de Intrusos Un sistema de detección de intrusiones de red (NIDS) es un sistema de detección de intrusos que intenta detectar actividades maliciosas tales como ataques de denegación de servicio, escaneo de puertos o incluso intenta entrar ilegalmente en ordenadores de tráfico de la red de monitoreo. Es una buena práctica para implementar cualquier software antes de la comprobación de integridad del sistema en funcionamiento en un entorno de producción. Si es posible instalar el software AIDE antes de que el sistema está conectado a ninguna red. AIDE es un sistema de detección de intrusiones basado en host (HIDS) se puede supervisar y analiza la parte interna de un sistema de computación. Snort es un software para la detección de intrusos que es capaz de realizar el registro de paquetes y análisis de tráfico en tiempo real sobre redes IP. Protección de los archivos, directorios y correo electrónico Linux ofrece excelentes protecciones contra el acceso no autorizado a datos. Archivo de permisos y MAC prevenir accesos no autorizados accedan a los datos. Sin embargo, los permisos establecidos por el Linux son irrelevantes si un atacante tiene acceso físico a un equipo y simplemente puede mover el disco duro del ordenador a otro sistema para copiar y analizar los datos sensibles. Puede proteger fácilmente archivos y partitons bajo Linux usando las siguientes herramientas:
Para cifrar y descifrar archivos con una contraseña, utilice comando gpg . Linux o UNIX contraseña protegen archivos con openssl y otras herramientas. Ver cómo encriptar directorios con ecryptfs. TrueCrypt es software libre de cifrado de disco de código abierto para Windows 7 / Vista / XP, Mac OS X y Linux. Como: Disco y el cifrado de particiones en Linux para dispositivos móviles . ¿Cómo configurar encriptada swap en Linux.
10
Protección de los servidores de correo electrónico
Puede utilizar los certificados SSL y claves GPG para asegurar la comunicación por correo electrónico en ambos equipos cliente y servidor:
Asegurando Linux Palomar IMAPS / POP3S servidor con la configuración de SSL . Linux Postfix SMTP (servidor de correo) Instalaciones de certificados SSL y configuración . Courier IMAP SSL Certificate Server Installtion y configuración . Configurar el cifrado SSL Sendmail para enviar y recibir correo electrónico . Enigmail: electrónico cifrado con Mozilla Thunderbird .
Comandos de configuración para un equipo (router y switch) CISCO
Hardening Baseline for Cisco Equipment External Connections Version 1.2 Desactivación de Servicios / Protocolos innecesarios: Protocolo CDP Configuración remota Service finger Servicio web Protocolo SNMP Protocolo BOOTP Servicios TCP Servicios UDP Router(config)#no service config Router(config)#no service finger Router(config)#no ip http server Router(config)#no snmp-server Router(config)#no ip bootp server Router(config)#no service tcp-small-servers Router(config)#no service udp-small Desactivar (si no son necesarios) los siguientes servicios en todas las interfaces: Router(config-if)#no ip proxy-arp Router(config-if)#no ip directed-broadcast Router(config-if)#no ip mask-reply
11
Forwarding de log a servidor de syslog de Seguridad Informática Router(config)#logging on Router(config)#logging trap debug Router(config)#logging [dirección ip servidor syslog] Configurar timestamps para los registros del log Router(config)#service timestamps debug datetime msec localtime showtimezone Router(config)#service timestamps log datetime msec localtime showtimezone Configurar sincronización del reloj y zona horaria Router(config)#ntp server [dirección ip servidor ntp] Router(config)#clock timezone GMT -3 Configurar control para ingreso remoto Router (config)#access-list 10 permit [host/s autorizado] Router(config)#line vty 0 4 Router(config-line)#access-class 10 in Configurar SSH si es necesario Router(config)#hostname [nombre] Router(config)#ip domain-name [nombre] Router(config)#crypto key generate rsa Router(config)#ip ssh timeout 60 Configurar acceso remoto seguro * NOTA: Debe estar configurado SSH previamente Router(config)#line vty 0 4 Router(config-line)#transport input ssh Configurar encripción de passwords Router(config)#service password encryption 12
Configurar banners de seguridad
Router(config)#banner # Router(config)#banner login #
Definir longitud mínima de passwords y bloqueo por intentos fallidos (bloqueo de 180 segundos luego de 3 intentos fallidos en un lapso de 30 segundos) Router(config)#security password min-length 6
Router(config)#login
block-for
180
attempts
3
within
30
Entregar password de enablesecret a Seguridad Informática para generar usuarios personales
Hardening Windows Para aplicar el Hardening se necesitara endurecer la seguridad de los sistemas operativos, Windows NT, 2000, XP, y 2003-2008 Server que al final son resultantes de una misma configuración, pero con diferentes parámetros de medición en contra de las amenazas. Windows ha sido por años catalogado como un sistema operativo inseguro, y si bien es cierto no ha sido lo suficientemente eficiente al momento de encarar este aspecto esencial de toda plataforma de cómputo, lo cierto también es que finalmente Microsoft ha encauzado su estrategia vertiendo importantes mejoras en su nueva línea de sistemas operativos Windows XP / Windows 2003 Server, sobre todo con la distribución de SP 2 y SP 1 respectivamente. Windows propone varias soluciones para la seguridad de su sistema, y aunque el usuario en un comienzo trate de potenciarlas al máximo haciendo uso de éstas, la mayoría de opciones se quedan olvidadas o simplemente no utilizadas y es que Windows lo propone de esta manera el afinamiento de la seguridad de su sistema; es decir “Asegurar el sistema a su voluntad”. Razón por la cual Microsoft no las muestra como opciones de configuración para el usuario, y simplemente están ahí, algunos casos configurados por defecto y en otros simpledmente inhabilitados (vulnerables).
13
Entre las actividades propias de un proceso de hardening se pueden contar las siguientes: 1. Informarse sobre su Sistemas
Información del Sistema
Inicio -> Programas -> Accesorios -> Herramientas del Sistemas -> Información del Systemas
Información de red
Inicio -> Programas -> Accesorios -> Símbolo del Sistema -> digitamos ipconfig /all
14
2. Usuarios
Eliminar usuarios innecesarios
My PC -> Click derecho -> Administrar -> Usuarios y Grupos Locales -> Usuarios -> Click derecho sobre el usuario a eliminar -> Eliminar.
Deshabilitar usuarios como el invitado o guest
My PC -> Click derecho -> Administrar -> Usuarios y Grupos Locales -> Usuarios -> Click derecho sobre el usuario a eliminar -> Propiedades -> Activar la casilla Cuenta Deshabilitada.
15
Políticas de Usuario
Inicio -> Panel de Control -> Herramientas del Administrativas -> Directivas de Seguridad Local -> Directivas de cuenta -> Directivas de Contraseña. En este punto se deben revisar lo que dicen las mejores prácticas de seguridad y configurarlas.
16
3. Configuración de acceso remoto. Mi PC -> Propiedades -> Remoto -> Activar o Desactivar Escritorio Remoto
En caso de ser necesario habilitar este servicio se puede especificar los usuarios que remotamente pueden ingresar al equipo en Seleccionar usuarios remotos 4. Directivas de Grupo
Proteger el protector de pantalla con clave
Inicio -> Ejecutar -> Gpedit.msc -> Configuración de Usuario -> Plantillas Administrativas -> Panel de Control -> Pantalla Para esto primero se debe habilitar el “Proteger el protector de pantalla mediantes contraseña”, luego definir el protector de pantalla a ejecutar en “Nombre de archivo ejecutable del protector de pantalla” y finalmente el tiempo en que se activara “Tiempo de espera del protector de pantalla” Esta configuración será aplicada para todos los usuarios y ellos no podrán cambiarla.
17
Para esto primero se debe habilitar el “Proteger el protector de pantalla mediantes contraseña”, luego definir el protector de pantalla a ejecutar en “Nombre de archivo ejecutable del protector de pantalla” y finalmente el tiempo en que se activara “Tiempo de espera del protector de pantalla” Esta configuración será aplicada para todos los usuarios y ellos no podrán cambiarla. 5. Activar Firewall Inicio -> Panel de Control -> Firewall
18
6. Actualizaciones Automáticas Inicio -> Panel de Control -> Actualizaciones Automáticas 7. Deshabilitar servicios innecesarios Inicio -> Panel de Control -> Herramientas del Administrativas -> Servicios
19
El espectro de actividades que deben ser llevadas a cabo dentro de este proceso es bien amplio y tiene actividades de todo tipo. Sin embargo, el objetivo para todas estas actividades es siempre la misma: Dejar el sistema operativo lo más restringido posible.
Conclusión El Hardening es una ayuda indispensable para ahorrarse bastantes inconvenientes a las administradores del sistema. Entre las ventajas del Hardening tenemos: la disminución de incidentes de seguridad, mejoras en el rendimiento al eliminar cargas inútil en el sistema como programas innecesarios, entre otros.
Bibliografia https://www.cyberciti.biz/tips/linux-security.html https://es.slideshare.net/NeobitsOrg/wordpress-hardening-campus-party-mexico4?qid=aa0d6c94-cfae-42f2-8cd9-a6312e451822&v=&b=&from_search=4 http://blog.smartekh.com/que-es-hardening https://www.solvetic.com/tutoriales/article/1875-hardening-seguridad-de-servidoresy-sistemas-operativos/ https://ilianaburguan.wordpress.com/2010/01/08/hardening-de-windows/
20