• Author / Uploaded
• Jorge Alberto Campos Rosa

Citation preview

Endurecimiento en LINUX Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta medida (el tema es discutible). Sin embargo, Linux tiene un modelo de seguridad incorporado por defecto. Pero también tiene la necesidad de ajustar y personalizarla según sus necesidades que te pueden ayudar a hacer que el sistema sea más seguro. Haciendo Linux más difícil de manejar, y ofrece más flexibilidad y opciones de configuración. Asegurar un sistema en producción de las manos de hackers y crackers es una tarea difícil para un administrador del sistema. Este es nuestro primer artículo relacionado a “Cómo proteger el sistema Linux" o "endurecimiento de un Linux". En este post vamos a explicar 25 consejos y trucos útiles para proteger el sistema Linux. Espero, que los consejos y trucos le ayudarán a ampliar y a proteger sus datos personales.

1. Sistema de Seguridad Física Configure la BIOS para deshabilitar el arranque desde CD / DVD, dispositivos externos, unidad de disquete en la BIOS. A continuación, habilite la contraseña del BIOS y también proteja GRUB con contraseña para restringir el acceso físico de su sistema. 1. Establecer contraseña GRUB para proteger los servidores de Linux

2. La creación de particiones Es importante tener diferentes particiones para obtener mayor seguridad de los datos en caso de que si ocurre cualquier desastre. Mediante la creación de diferentes particiones, los datos pueden ser separados y agrupados. Cuando se produce un accidente inesperado, sólo los datos de la partición se dañarán, mientras que los datos en otras particiones sobrevivirán. Asegúrese de que dispone de las siguientes particiones separadas y asegurarse de que las aplicaciones de terceros se deben instalarse en los sistemas de archivos independientes en /opt. / /boot /usr /var /home /tmp /opt

3. Minimizar Paquetes para minimizar la vulnerabilidad ¿De verdad quieres todo tipo de servicios instalado? Se recomienda evitar la instalación de paquetes inútiles para evitar vulnerabilidades en los paquetes ya instalados. Esto puede minimizar el riesgo que comprometa un servicio y que puede llevar a comprometer otros servicios. Encontrar y eliminar o deshabilitar los servicios no deseados del servidor para minimizar la vulnerabilidad. Utilice el comando "chkconfig" para averiguar los servicios que se ejecutan en el nivel de ejecución 3.

# /sbin/chkconfig --list |grep '3:on' Una vez que hayas averiguado cualquier servicio no deseado que se está ejecutando, desactivarlos mediante el siguiente comando. # chkconfig serviceName off Utilice el gestor de paquetes RPM, como herramientas "yum" o "apt-get" para listar todos los paquetes instalados en un sistema y eliminarlos mediante el siguiente comando. # yum -y remove package-name # sudo apt-get remove package-name 

Equivalencias entre DEB y RPM, y también APT y YUM para Linux

4. Compruebe Puertos de escucha de red Con la ayuda de comandos de redes 'netstat' se pueden ver todos los puertos abiertos y los programas asociados. Como he dicho anteriormente utilizar el comando"chkconfig 'para desactivar todos los servicios de red no deseados del sistema. # netstat -tulpn 1. 20 Comandos Netstat para la administración de red en Linux

5. Use Secure Shell (SSH) Telnet y rlogin utiliza protocolos de texto plano, sin formato cifrado, de por si, esto ya es un fallo de seguridad. SSH es un protocolo seguro que usa de la tecnología de cifrado durante la comunicación con el servidor. Nunca entre directamente como root a menos que sea necesario. Utilice "sudo" para ejecutar comandos. sudo se especifican en /etc/sudoers también puede ser editado con la utilidad "visudo", que se abre en el editor VI. También es recomendable cambiar el número de puerto 22 por defecto SSH por otro número de puerto más alto. Abra el archivo principal de configuración de SSH y edite algunos parámetros siguientes para evitar que los usuarios tengan acceso. # vi /etc/ssh/sshd_config

Deshabilitar root Login PermitRootLogin no Permitir sólo usuarios específicos AllowUsers username Usar SSH Protocolo 2 Version Protocol 2 1. 5 mejores prácticas para asegurar y proteger servidor SSH

6. Mantenga actualizados del sistema

Siempre mantenga el sistema actualizado con los últimos parches de versiones, revisiones de seguridad y del núcleo cuando esté disponible. # yum updates # yum check-update

7. Cronjobs Lockdown Cron tiene su propia función incorporada, donde permite especificar quién puede y quién no lo desea, ejecutar los trabajos. Esto se controla mediante el uso de archivos llamado /etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario utilizando cron, sólo tiene que añadir los nombres de usuario en cron.deny y permitir a un usuario ejecutar cron, complemento en el archivo cron.allow. Si desea desactivar todos los usuarios el uso de cron, agregue la línea "ALL" en el archivo cron.deny. # echo ALL >>/etc/cron.deny 1. 11 Cron Programación de ejemplos en Linux

8. Desactivar detectar la memoria USB Muchas veces sucede que queremos restringir a otros usuarios el uso de memoria USB en los sistemas para proteger y asegurar los datos de ser robados. Cree un archivo/etc/modprobe.d /no-usb 'y añadiendo a continuación la línea no detectará el almacenamiento USB. install usb-storage /bin/true

9. Active SELinux Security-Enhanced Linux (SELinux) es un mecanismo de seguridad de control de acceso obligatorio previsto en el kernel. Deshabilitando SELinux significa la eliminación de mecanismo de seguridad del sistema. Piense dos veces antes de desactivarlo, si su sistema está conectado a Internet y se accede por el público, luego considere y piense un poco más en él. SELinux proporciona tres modos básicos de operación y son. 1. Cumplimiento: Este es el modo por defecto que permitan y hacer cumplir la política de seguridad de SELinux en la máquina. 2. Tolerante: En este modo, SELinux no hará cumplir la política de seguridad en el sistema, sólo advertir y registrar las acciones. Este modo es muy útil en términos de resolución de problemas relacionados con SELinux. 3. Desactivado: SELinux está apagado. Puede ver el estado actual del modo de SELinux desde la línea de comandos con "system-config-selinux 'comandos' sestatus' o 'getenforce '. # sestatus Si está deshabilitada, habilite SELinux con el siguiente comando. # setenforce enforcing

También se puede gestionar desde archivo '/etc/selinux/config /', donde se puede activar o desactivar.

10. Elimine el escritorio del servidor, sea... KDE / GNOME Desktops No hay necesidad de ejecutar escritorios X Window como KDE o GNOME en su servidor dedicado. Puede quitarlo o deshabilitar para aumentar la seguridad de su servidor y rendimiento. Para desactivarlo, es sencillo abrir el archivo '/etc/inittab' y establezca el nivel de ejecución 3. Si desea eliminar por completo del sistema, utilice el comando siguiente. # yum groupremove "X Window System"

11. Desactivar IPv6 Si usted no está utilizando un protocolo IPv6, debe desactivarlo porque la mayoría de las aplicaciones o políticas no son necesarios para el protocolo IPv6 actualmente. Ir al archivo de configuración de red y agregar líneas siguientes pasos para desactivarlo. # vi /etc/sysconfig/network NETWORKING_IPV6=no IPV6INIT=no

12. Restringir usuarios de utilizar contraseñas antiguas Esto es muy útil si desea no permitir que los usuarios utilicen las mismas contraseñas. El archivo de contraseñas se encuentra en /etc/security/ opasswd. Esto se puede lograr mediante el uso de módulo PAM. Abrir el archivo '/etc/pam.d/system-auth' bajo RHEL / CentOS / Fedora. # vi /etc/pam.d/system-auth Archivo en Ubuntu / Debian / Linux Mint Abrir "/etc/pam.d/common-password" # vi /etc/pam.d/common-password Agregue la línea siguiente a la sección 'auth'. auth

sufficient

pam_unix.so likeauth nullok

Agregue la línea siguiente a la sección 'password' para no permitir que un usuario vuelva a utilizar una vieja contraseña. password

sufficient

pam_unix.so nullok use_authtok md5 shadow remember=5

Sólo las últimos 5 contraseñas se recuerdan por el servidor. Si se trató de utilizar cualquiera de las últimos 5 contraseñas antiguas, obtendrá un error similar. Contraseña ya ha sido utilizada. Elija otra. o Password has been already used. Choose another.

13. Cómo comprobar la caducidad de la contraseña de usuario

En Linux, las contraseñas de usuario se almacenan en el archivo '/etc/shadow' en formato cifrado. Para comprobar la caducidad de la contraseña de usuario, es necesario utilizar el comando 'chage'. Muestra información de contraseñas, detalles de vencimiento junto con la última fecha de modificación contraseña. Estos datos son utilizados por el sistema para decidir cuando un usuario debe cambiar su contraseña. Para ver la información de antigüedad de cualquier usuario existente como la fecha y hora de vencimiento, utilice el comando siguiente. #chage -l username Para cambiar el envejecimiento de cualquier usuario/contraseña, utilice el siguiente comando. #chage -M 60 username #chage -M 60 -m 7 -W 7 userName

Parámetros 1. -M Númeo el número máximo de días 2. -m número mínimo de días 3. -W Ajuste el número de días de aviso

14. Bloquear y desbloquear cuenta manualmente El bloqueo y desbloqueo de las funciones son muy útiles, en lugar de eliminar una cuenta del sistema, se puede bloquear durante una semana o un mes. Para bloquear a un usuario específico, puede utilizar el comando siguiente. # passwd -l accountName Nota: El usuario bloqueado está disponible sólo para el usuario root. El bloqueo se lleva a cabo mediante la sustitución de contraseña cifrada con una cadena (!). Si alguien trata de acceder al sistema utilizando esta cuenta, recibirá un error similar al siguiente. # su - accountName This account is currently not available. Para desbloquear o permitir el acceso a una cuenta bloqueada, utilice el comando igualmente. Esto eliminará (!) Cadena con contraseña cifrada. # passwd -u accountName

15. La aplicación de contraseñas más seguras Varios de los usuarios utilizan contraseñas blandas o débiles y su contraseña puede ser hackeado con un diccionario base o ataques de fuerza bruta. El módulo 'pam_cracklib'si está disponible en PAM (Pluggable Authentication Modules) obligará al usuario establecer contraseñas seguras. Abra el siguiente archivo con un editor. Lea también: # vi /etc/pam.d/system-auth

Y agregue la línea con los parámetros de crédito, (lcredit, ucredit, dcredi t y/o ocredit respectivamente minúsculas, mayúsculas, dígitos y otros) /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

16. Habilitar Iptables (Firewall) Es altamente recomendable activar el firewall de Linux para garantizar el acceso no autorizado de sus servidores. Aplicar las reglas de iptables a los filtros de entrada,paquetes salientes y reenvío. Podemos especificar la dirección de origen y de destino para permitir y denegar en concreto el número de puerto udp / tcp. 1. IPTables Guía y Consejos básicos

17. Desactivar Ctrl + Alt + Delete en Inittab En la mayoría de las distribuciones de Linux, al pulsar 'CTRL-ALT-DELETE' se lleva el sistema para reiniciar el proceso. Por lo tanto, no es una buena idea tener esta opción activada, al menos en los servidores de producción. Esto se define en el archivo '/etc/inittab', si te fijas bien en ese archivo, verá una línea similar a la siguiente. Por línea por defecto no está comentada. Tenemos que comentar a cabo. Este particular secuencia de teclas de señalización será apagado el sistema. # Trap CTRL-ALT-DELETE #ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. Cuentas para contraseñas vacías Cualquier cuenta con una contraseña vacía significa deja una puerta abierta para el acceso no autorizado a cualquier persona en la web y es una parte de la seguridad en un servidor Linux. Por lo tanto, debe asegurarse de que todas las cuentas engan contraseñas seguras y nadie tenga acceso no autorizado. Las cuentas con contraseñas vacías son los riesgos de seguridad y pueden ser fácilmente crackeadas. Para comprobar si había cuentas con contraseña vacía, utilice el comando siguiente. # cat /etc/shadow | awk -F: '($2==""){print $1}'

19. Mostrar SSH Banner Antes Login Siempre es una buena idea mostrar un aviso legal o banners de seguridad con algunas advertencias de seguridad antes de la autenticación en SSH. Para ajustar estos banners leer el siguiente artículo. 1. Mostrar SSH mensaje de advertencia a los usuarios

20. Supervisar las actividades de los usuarios Si se trata de un montón de usuarios, entonces es importante recopilar la información de cada uno de las actividades del usuario y procesos consumidos por ellos y analizarlos en un momento posterior o en caso de cualquier tipo de rendimiento, problemas de seguridad. Pero, ¿cómo podemos controlar y recopilar información de las actividades del usuario.

Hay dos herramientas útiles llamados 'psacct' y 'ACCT' se utilizan para el seguimiento de las actividades y procesos de usuario en un sistema. Estas herramientas se ejecuta en un fondo del sistema y hacen un seguimiento continuo de cada actividad del usuario en un sistema y los recursos consumidos por los servicios como Apache, MySQL, SSH, FTP, etc Para obtener más información sobre la instalación, configuración y uso, visite el siguiente URL. 1. Supervisar la actividad del usuario con psacct o ACCT comandos

21. Revisar los registros con regularidad Compruebe los registros de log del servidor dedicado, esto evita que los intrusos puedan modificar fácilmente los registros locales. Estos son los nombres más común en Linux por defecto para los archivos de registro y su uso: 1. /var/log/message - Donde están disponibles los registros del sistema entero o registros de actividad actuales. 2. /var/log/auth.log - Registros de autenticación. 3. /var/log/kern.log - logs del kernel. 4. /var/log/cron.log - logs crond (cron). 5. /var/log/maillog - los registros del servidor de correo. 6. /var/log/boot.log - registro de arranque del sistema. 7. /var/log/mysqld.log - archivo de registro del servidor de bases de datos MySQL. 8. /var/log/secure - registro de autenticación. 9. /var/log/utmp o /var/log/wtmp: Login archivo de registros. 10. /var/log/yum.lo g: archivos de registro de Yum.

22. Copia de seguridad de archivos importantes En un sistema de producción, es necesario tener copias de seguridad de archivos importantes y mantenerlos en condiciones de seguridad bóveda, sitios remotos o fuera de las instalaciones para recuperación de desastres.

23. NIC Bonding Hay dos tipos de modo de unión NIC, deben mencionar en la interfaz de unión. 1. mode = 0 - Round Robin 2. mode = 1 - Activa y Backup NIC Bonding nos ayuda a evitar puntos de fallo. En unión NIC, que es unir dos o más tarjetas de red Ethernet juntos y hacemos una interfaz virtual único donde se puede asignar una dirección IP a hablar con otros servidores. Nuestra red estará disponible en el caso de una tarjeta NIC esté inactivo o no esté disponible por cualquier motivo.

24. Mantener / arrancar en modo de sólo lectura Linux kernel y los archivos relacionados se encuentran en el directorio /boot, que es por defecto como de lectura y escritura. Cambiar a sólo lectura reduce el riesgo de modificación no autorizada de archivos de arranque críticos. Para ello, abra el archivo "/etc/fstab". # vi /etc/fstab Agregue la siguiente línea en la parte inferior, guardar y cerrar. LABEL=/boot

/boot

ext2

defaults,ro

1 2

Tenga en cuenta que usted necesita reiniciar para restablecer el cambio de lectura y escritura si necesita actualizar el kernel en el futuro.

25. No haga caso de petición ICMP o Broadcast Agregue la línea siguiente en el archivo "/etc/sysctl.conf" para hacer caso omiso de petición ping o broadcast. Ignore ICMP request: net.ipv4.icmp_echo_ignore_all = 1 Ignore Broadcast request: net.ipv4.icmp_echo_ignore_broadcasts = 1 Cargar nuevos ajustes o cambios, mediante la ejecución comando siguiente #sysctl -p Nikto Web Scanner es una otra buena herramienta para el arsenal de cualquier administrador de Linux. Es un escáner de código abierto distribuido bajo la licencia GPL, que se utiliza para llevar a cabo pruebas exhaustivas en los servidores Web por varios elementos, entre ellos más de 6.500 potencialmente peligrosos archivos / CGIs. Está escrito por Chris Solo y David Lodge para la evaluación de vulnerabilidades, comprueba versiones no actualizadas sobre 1250 servidores web y más de 250 problemas específicos de versión. También escanea e informa sobre software y plugins del servidor web obsoletas.

Características de Nikto Web Scanner 

Soporta SSL



Soporta proxy http completo



Soporta texto, HTML, XML y CSV para guardar los informes.



Analiza en busca de varios puertos



Se puede escanear en varios servidores mediante la adopción de las entradas de los archivos como salida de nmap



Soporte LibWhisker IDS



Es lo suficientemente capaz de identificar el software instalado con encabezados, archivos y favicons



Registros para Metasploits



Informes sobre encabezados "inusuales".



Apache y enumeración de usuario cgiwrap



Autenticar anfitriones con Basic y NTLM



Los análisis pueden ser auto detenerse porl tiempo especificado.

Requisitos Nikto El sistema básico es: Perl, Perl Modules, OpenSSL, la instalación debe permitir a Nikto funcionar. Se ha probado a fondo en Windows , Mac OSX y varios Unix / Linux, en distribuciones como Red Hat , Debian , Ubuntu , BackTrack , etc

Escriba primero: chkconfig --list # chkconfig --list | grep :on

O simplemente utilizar el siguiente comando para ver los servicios que se activan sólo para el nivel de ejecución 3. # chkconfig --list | grep 3:on

A continuación, podría utilizar un comando como este para eliminar el servicio de puesta en marcha. # chkconfig --del 'service-name'

Consejo # 13 - Desinstale X Windows Considere la posibilidad de la eliminación total de X Windows en su sistema, y utilice sólo la línea de comandos para la gestión. No hay nada que usted pueda hacer en la interfaz gráfica que no se puede hacer desde la línea de comandos y la eliminación no sólo va a mejorar la seguridad, sino también el rendimiento porque no se desperdician los recursos del sistema cuando se muestra la interfaz gráfica de usuario. Consejo # 14 - Secure Kernel Linux Usted puede asegurar su Kernel Linux modificando el archivo / etc / sysctl.conf, este archivo es leído por el núcleo durante el arranque y puede ser editado con los siguientes valores para añadir seguridad adicional. # Turn on execshield kernel.exec-shield =1 kernel.randomize_va_space =1 # Don't reply to broadcasts. Prevents joining a smurf attack net.ipv4.icmp_echo_ignore_broadcasts =1 # Enable protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses =1 # Enable syncookies for SYN flood attack protection net.ipv4.tcp_syncookies =1 # Enable IP spoofing protection net.ipv4.conf.all.rp_filter =1 net.ipv4.conf.default.rp_filter =1 # Log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians =1 net.ipv4.conf.default.log_martians =1 # Don't allow source routed packets net.ipv4.conf.all.accept_source_route =0 net.ipv4.conf.default.accept_source_route =0 # Don't allow outsiders to alter the routing tables net.ipv4.conf.all.accept_redirects =0

net.ipv4.conf.default.accept_redirects =0 net.ipv4.conf.all.secure_redirects =0 net.ipv4.conf.default.secure_redirects =0 # Don't pass traffic between networks or act as a router net.ipv4.ip_forward =0 net.ipv4.conf.all.send_redirects =0 net.ipv4.conf.default.send_redirects =0 Consejo # 15 - Instalar los parches del kernel Linux Debe tener una política de seguridad para el manejo de los parches del kernel Linux, la cual debe incluir los parches de seguridad de Linux para recibir las actualizaciones y probarlos para asegurar que los problemas no se plantean y que los parches se han instalado en el sistema. Asegúrese siempre de que los servidores en producción se actualizan con regularidad para evitar cualquier posible vulnerabilidad conocida de la explotación en el sistema. Consejo # 16 - particiones separadas Debe crear particiones separadas para los directorios, modificables sólo por usuarios permitidos y bloquear el acceso de escritura y ejecución a las particiones que no sean necesarios. Usted debe considerar la colocación de los siguientes sistemas de archivos en particiones diferentes. /usr /home /var y /var/tmp /tmp A continuación, puede editar el archivo /etc/fstab para impedir la ejecución de archivos binarios, desactivar los dispositivos de bloques en la partición y evitar que poner SUID / SGID en los archivos. He aquí una entrada fstab común para limitar el acceso del usuario al directorio ftpdata. /dev/sda5 /ftpdata ext3 defaults,noexec,nodev,nosuid 1 2

Consejo # 17 - Use las extensiones de seguridad de Linux Hacer uso de software como SELinux, AppArmor o GRSecurity para proporcionar endurecimiento adicional a su Kernel Linux. Estos productos proporcionan las políticas adicionales para restringir los procesos y servicios basados en listas de control de acceso. Consejo # 18 - servidores separados para distintos servicios Considerar la creación de diferentes servidores físicos o virtuales para diferentes funciones, es decir, separar su servidor de correo y el servidor web, o el servidor de base de datos y el servidor de aplicaciones. Esto garantiza que si un determinado servicio se ve comprometido, está contenido en un solo servidor. Consejo # 19 - Seguridad física de los servidores Usted puede proteger su servidor lo más posible de los ataques a distancia, pero si no hacen nada para proteger el hardware físico no tiene sentido. Si alguien tiene acceso a su servidor físico, puede eliminar el disco duro y acceder a los datos confidenciales o arrancar desde un CD y acceder a sus datos. Considerar la creación de una contraseña de BIOS y deshabilitar el arranque desde CD o USB. También se debe proteger con contraseña el

gestor de arranque (GRUB o LILO, etc) para evitar que los usuarios accedan a modo de usuario único o entornos de recuperación, donde no se requieren contraseñas. Consejo # 20 - Configuración de NTP Contar con un sistema de reloj preciso es importante para la revisión de los archivos de registro y determinar cuándo se produjo un evento. A menudo, los relojes del sistema, pueden producirse problemas de sincronización o de ser puesto a una fecha más antigua y esto puede causar estragos en el seguimiento de los errores. Considere la posibilidad de crear una tarea programada en lugar de ejecutar ntpd (ver el consejo # 12) para actualizar la hora del día o por hora con una fuente común para todos los servidores. Consejo # 21 - Monitor de todos los registros Configuración de registro y software de auditoría de seguimiento de errores y cambios en sus servidores, tales como auditd y Logwatch / Logcheck. Considere la posibilidad de configurar un servidor de registro remoto que se actualiza regularmente para protegerse de un intruso poner en peligro los archivos de registro sin su conocimiento. Consejo # 22 - Desactivar IPv6 IPv6 muy rara vez se necesita en esta etapa ya que la mayoría sólo utiliza el tráfico IPv4 e IPv6 es permitido sólo una red que necesita controlar y proteger. Deshabilitar IPv6 es la opción más fácil, pero si por alguna razón que lo requiere, entonces debería configurar un firewall IPv6. Consejo # 23 - Elimina SUID y SGID de archivos Después de haber instalado y configurado el sistema y el software que deben ejecutar los siguientes comandos para buscar todos los archivos y carpetas con el conjunto de SUID, SGID: Puede escribir estos comandos. Para encontrar todos los archivos SUID: # find / -xdev -type f -perm +u=s -print

Para encontrar todos los archivos SGID: # find / -xdev -type f -perm +g=s -print

Para encontrar riesgos globales:

# find / -xdev -perm +o=w ! ( -type d -perm +o=t ) ! -type l -print Para buscar ficheros (y directorios) que el grupo puede escribir: # find . -perm /g+w Para buscar idem, que "otros" puede escribir # find . -perm /o+w

# Para buscar directorios en los que "otros" puede escribir: find . -type d -perm /o+w # Para evitar justo lo anterior, quitando los permisos a aquellos directorios en los que "otros" puede escribir: chmod o-x `find . -type d -perm /o+w`

A continuación, debe inspeccionar cada archivo y carpeta para determinar si tienen la configuración correcta y si no se utiliza el comando chmod para realizar cambios en ellos. Consejo # 24 - Cifrar los datos confidenciales Sus datos se suelen almacenar en un disco duro en un formato no cifrado por lo que cualquier usuario que tenga acceso al servidor puede quitar el disco duro e instalarlo en otro sistema y leer todos sus datos. Usted debe considerar la configuración del disco Linux o cifrar la carpeta ya sea su HOME o directorios / carpetas sensibles (es decir, archivos de bases de datos, correos electrónicos, etc.) Si bien se puede cifrar todo el disco se trata de una gran cantidad de trabajo y no suele valer la pena. Consejo # 25 - Seguridad del software Es bueno tener un servidor Linux de alta seguridad, pero el sistema sólo es seguro, como el software que se ejecutan en él. Siempre se debe instalar las últimas versiones de software y asegurese de que está al día. También la mayoría de los programas tienen la manera de hacerlos más seguros mediante la edición de sus archivos de configuración y desactivar las partes innecesarias del software. El siguiente es un ejemplo para el endurecimiento de la configuración del servidor OpenSSH, sólo tiene que añadir lo siguiente a su fichero de configuración de OpenSSH. # Use only SSH Protocol Ver 2 Protocol 2 # Only allow the following users SSH Access AllowUsers User1 User2 etc # Deny access to the following users DenyUsers admin etc # Set the timeout period for idle sessions (in seconds) ClientAliveInterval 300 ClientAliveCountMax 0 # Disable .rhosts files IgnoreRhosts yes # Disable Host-Based Authentication HostbasedAuthentication no # Remove ability to login as Root PermitRootLogin no # Change the default SSH Port (Not essential but can help uncomment if you want) #Port 22 #ListenAddress 192.168.1.1 # Consider CHRooting users to their own directories. # Subsystem sftp internal-sftp #Match group sftponly # ChrootDirectory /home/%u # X11Forwarding no # AllowTcpForwarding no

# ForceCommand internal-sftp # Disable empty passwords from login PermitEmptyPasswords no # Set your required Log Level (Either INFO or DEBUG) LogLevel INFO # Turn on privilege separation UsePrivilegeSeparation yes # Prevent the use of insecure home directory and key file permissions StrictModes yes # Turn on reverse name checking VerifyReverseMapping yes # Do you need port forwarding? AllowTcpForwarding no X11Forwarding no # Specifies whether password authentication is allowed. The default is yes. PasswordAuthentication no

Instalación de Nikto Web Escáner en Linux La mayoría de los sistemas Linux de hoy viene con los paquetes pre-instalados, Módulos de Perl y OpenSSL. Si no se incluye, se puede instalar con la utilidad del administrador de paquetes del sistema por defecto llamada Yum o apt-get.

En Red Hat / CentOS / Fedora [root@linuxparty ]# yum install perl perl-Net-SSLeay openssl

En Debian / Ubuntu / Linux Mint [root@linuxparty ]# apt-get install perl openssl libnet-ssleay-perl A continuación, descargue la última versión estable de Nikto en tarball, desde la página oficial del proyecto o puede utilizar siguiente comando wget para descargarlo directamente. # wget http://www.cirt.net/nikto/nikto-2.1.5.tar.gz Desembale con una utilidad de gestor de archivos o utilizar el comando tar siguiente. [root@linuxparty ]# tar -xvf nikto-2.1.5.tar.gz Ahora, ejecute el Nikto script utilizando el comando perl como se muestra a continuación. [root@linuxparty ]# cd nikto-2.1.5 [root@linuxparty nikto-2.1.5]# perl nikto.pl Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ ERROR: No host specified -config+ -Display+ -dbcheck

Use this config file Turn on/off display outputs check database and other key files for syntax

errors -Format+ -Help -host+ -id+ id:pass:realm -list-plugins -output+ -nossl -no404 -Plugins+ -port+ -root+ /directory -ssl -Tuning+ -timeout+ -update -Version -vhost+ + requires

save file (-o) format Extended help information target host Host authentication to use, format is id:pass or List all available plugins Write output to this file Disables using SSL Disables 404 checks List of plugins to run (default: ALL) Port to use (default 80) Prepend root value to all requests, format is Force ssl mode on port Scan tuning Timeout for requests (default 10 seconds) Update databases and plugins from CIRT.net Print plugin and database versions Virtual host (for Host header) a value

Note: This is the short help output. Use -H for full help text. El "ERROR: Host no especificado" está diciendo claramente que no hemos incluido los parámetros necesarios al hacer una prueba. Por lo tanto, tenemos que añadir unos parámetros básicos necesarios para hacer una prueba.

Pruebas básicas

La exploración básica requiere un host que desea orientar su campaña, por defecto escanea el puerto 80, si no se especifica nada. El host puede ser un nombre de host o una dirección IP de un sistema. Se puede especificar un host mediante "la opción -h ". Por ejemplo, quiero hacer una exploración en una IP 172.16.27.56 en el puerto TCP 80 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 80 + Start Time: 2014-01-10 00:48:12 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Retrieved x-powered-by header: PHP/5.3.3 + The anti-clickjacking X-Frame-Options header is not present. + Server leaks inodes via ETags, header found with file /robots.txt, inode: 5956160, size: 24, mtime: 0x4d4865a054e32 + File/dir '/' in robots.txt returned a non-forbidden or redirect HTTP code (200) + "robots.txt" contains 1 entry which should be manually viewed. + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current. + Multiple index files found: index.php, index.htm, index.html + DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details. + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-3233: /phpinfo.php: Contains PHP configuration information + OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings. + OSVDB-3092: /test.html: This might be interesting... + OSVDB-3268: /icons/: Directory indexing found. + OSVDB-3233: /icons/README: Apache default file found. + /connect.php?path=http://cirt.net/rfiinc.txt?: Potential PHP MySQL database connection string found. + OSVDB-3092: /test.php: This might be interesting... + 6544 items checked: 0 error(s) and 16 item(s) reported on remote host + End Time: 2014-01-10 00:48:23 (GMT5.5) (11 seconds) --------------------------------------------------------------------------+ 1 host(s) tested

Si desea escanear en un número de puerto diferente, a continuación, añada la opción "-p" [ puertos ]. Por ejemplo, quiero hacer una exploración sobre IP 172.16.27.56 en el puerto TCP 443 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 443 Ejemplo de salida - Nikto v2.1.5

--------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 443 --------------------------------------------------------------------------+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control Validated/CN=*.mid-day.com Ciphers: DHE-RSA-AES256-GCM-SHA384 Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 + Start Time: 2014-01-10 01:08:26 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Server leaks inodes via ETags, header found with file /, inode: 2817021, size: 5, mtime: 0x4d5123482b2e9 + The anti-clickjacking X-Frame-Options header is not present. + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current. + Server is using a wildcard certificate: '*.mid-day.com' + Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-3268: /icons/: Directory indexing found. + OSVDB-3233: /icons/README: Apache default file found. + 6544 items checked: 0 error(s) and 8 item(s) reported on remote host + End Time: 2014-01-10 01:11:20 (GMT5.5) (174 seconds) --------------------------------------------------------------------------+ 1 host(s) tested También puede especificar los hosts, puertos y protocolos utilizando una dirección URL completa, y será escaneada. [root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://172.16.27.56:80 También puede escanear cualquier sitio web. Por ejemplo, aquí hice una exploración en google.com . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://www.google.com Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 173.194.38.177 + Target Hostname: www.google.com + Target Port: 80 + Start Time: 2014-01-10 01:13:36 (GMT5.5) --------------------------------------------------------------------------+ Server: gws + Cookie PREF created without the httponly flag + Cookie NID created without the httponly flag + Uncommon header 'x-frame-options' found, with contents: SAMEORIGIN + Uncommon header 'x-xss-protection' found, with contents: 1; mode=block + Uncommon header 'alternate-protocol' found, with contents: 80:quic + Root page / redirects to: http://www.google.co.in/?gws_rd=cr&ei=xIrOUomsCoXBrAee34DwCQ

+ Server banner has changed from 'gws' to 'sffe' which may suggest a WAF, load balancer or proxy is in place + Uncommon header 'x-content-type-options' found, with contents: nosniff + No CGI Directories found (use '-C all' to force check all possible dirs) + File/dir '/groups/' in robots.txt returned a non-forbidden or redirect HTTP code (302) …. El comando anterior llevará a cabo un montón de peticiones http (es decir, más de 2.000 pruebas) en el servidor web.

Testar Múltiples Puertos También puede realizar múltiples puertos de exploración en la misma sesión. Para escanear múltiples puertos en el mismo host, añada " -p "[ -port opción] y especifique la lista de puertos. Los puertos pueden ser definidos como un intervalo (es decir, 80 a 443 ), o como una coma separada (es decir, 80,443 ). Por ejemplo, quiero explorar un puertos 80 y 443 en el host 172.16.27.56 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 80,443

Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ No web server found on cmsstage.mid-day.com:88 --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 80 + Start Time: 2014-01-10 20:38:26 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Retrieved x-powered-by header: PHP/5.3.3 + The anti-clickjacking X-Frame-Options header is not present. --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 443 --------------------------------------------------------------------------+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control Validated/CN=*.mid-day.com Ciphers: DHE-RSA-AES256-GCM-SHA384 Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 + Start Time: 2014-01-10 20:38:36 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + All CGI directories 'found', use '-C none' to test none + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current.

.....

Utilizar un proxy Digamos que un sistema en el que se está ejecutando Nikto sólo tiene acceso al host de destino a través de un proxy HTTP , la prueba todavía se puede realizar utilizando dos maneras diferentes. Uno está utilizando nikto.conf archivo y otra forma es ejecutar directamente desde la línea de comandos . Usando archivo Nikto.conf Abra nikto.conf archivo utilizando cualquier editor de línea de comandos. [root@localhost nikto-2.1.5]# vi nikto.conf Búsqueda de la "variable proxy "y elimine el comentario ' # 'desde el principio de las líneas como se muestra. A continuación, agregue el host proxy , puerto , usuario de proxy y la contraseña . Guarde y cierre el archivo. # Proxy settings -- still must be enabled by -useproxy PROXYHOST=172.16.16.37 PROXYPORT=8080 PROXYUSER=pg PROXYPASS=pg Ahora, ejecute el Nikto usando " -useproxy opción ". Por favor, tenga en cuenta que todas las conexiones serán retransmitidos a través del proxy HTTP . root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -p 80 -useproxy

Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2014-01-10 21:28:29 (GMT5.5) --------------------------------------------------------------------------+ Server: squid/2.6.STABLE6 + Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6) + The anti-clickjacking X-Frame-Options header is not present. + Uncommon header 'x-squid-error' found, with contents: ERR_CACHE_ACCESS_DENIED 0 + Uncommon header 'x-cache-lookup' found, with contents: NONE from netserv:8080 Usando la línea de comandos Para ejecutar el Nikto directamente desde la línea de comandos con el " -useproxy opción "configurando el proxy como argumento. root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -useproxy http://172.16.16.37:8080/ Ejemplo de salida

- Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2014-01-10 21:34:51 (GMT5.5) --------------------------------------------------------------------------+ Server: squid/2.6.STABLE6 + Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6) + The anti-clickjacking X-Frame-Options header is not present. + Uncommon header 'x-squid-error' found, with contents: ERR_CACHE_ACCESS_DENIED 0 + Uncommon header 'x-cache-lookup' found, with contents: NONE from netserv:8080

Actualización de Nikto Puede actualizar Nikto a los últimos plugins y bases de datos de forma automática, simplemente ejecute la " actualización del sistema ". [root@localhost nikto-2.1.5]# perl nikto.pl -update Si hay nuevas actualizaciones disponibles, aparecerá una lista de las nuevas actualizaciones descargado. + Retrieving 'nikto_report_csv.plugin' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_tests' + Retrieving 'db_parked_strings' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to http://trac2.assembla.com/Nikto_2/report/2 Maligno es una herramienta de pruebas de penetración de código abierto que sirve cargas útiles Metasploit. Genera código shell con msfvenom y la transmite a través de HTTP o HTTPS. El código shell se cifra con AES y se codifica con Base64 antes de la transmisión. Esta es una colección de herramientas que pueden ser útiles para usted, si usted es un pentester o consultor de seguridad. Todo el código fuente publicado en este sitio web está licenciado bajo la licencia FreeBSD. Utilice el software a su propio riesgo. Es la responsabilidad del usuario obedecer todas las leyes aplicables. El desarrollador o el sitio web Encripto AS no asumen ninguna responsabilidad y no son responsables de cualquier mal uso o daño causado por el software. No descargar ni utilice el software, si usted no está de acuerdo con los términos y condiciones de la licencia. Características. Soporte multi-host Metasploit, soporte de servidor socks4a (Metasploit), último recurso para la redirección de las solicitudes no válidas y hosts fuera de alcance, ofuscación del código de cliente automático, ejecución de carga del cliente retrasada, generación de archivos metasploit automática de recursos.

Sitio web de descarga. http://www.encripto.no/tools/ COMMAND LIST ============ maligno maligno-certgen maligno-client maligno-server maligno-conf-edit maligno-conf-helper maligno-helper

| | | | | |

this helper SSL/TLS certificates generator client/backdoor creator server/listener edit configuration file how to edit the configuration file

Key Logging es el proceso de almacenar las pulsaciones del teclado con/sin el conocimiento del usuario. Keylogging puede ser vía hardware, así como el software. Como claramente indica su nombre, un keylogger de hardware no depende de ningún software y el registro de pulsaciones de teclas se realiza a sí mismo a nivel de hardware. Mientras que un keylogger basado en software depende de un software especial para keylogging. Hay una serie de aplicaciones de software keylogger para casi todas las plataformas ya sea Windows, Mac, Linux. Aquí estamos echaremos un vistazo a un un paquete de aplicaciones llamado Logkeys.

¿Qué es Logkeys? Logkeys es un keylogger Linux. Está más actualizada que cualquier otro keylogger disponible, Además logkeys no bloquea el servidor X, y parece que funciona en todas las situaciones. Logkeys crea un registro de todos los caracteres y las teclas de función. Además logkeys captura la pulsación de Alt y Shift y trabaja bien con las de serie, así como teclados USB. Hay un montón de keyloggers para Windows, pero este no es el caso de Linux. Logkeys no es mejor que cualquier otra aplicación keylogger para Linux, pero sin duda es la que más actualizada se encuentra.

Características 

Solucionados problemas con las CPU X86_64



Corrección de errores



Eliminada dependencia pgrep



ID de proceso (PID) en /var/ run



Solucionadas vulnerabilidades



Solucionados problemas de seguridad



Uploading registro remoto en HTTP



Reconoce teclado USB Instalación de Logkeys en Linux Si alguna vez has instalado paquetes tarball de códigos fuentes en Linux, entonces puede instalar fácilmente paquetes logkeys. Si usted no ha instalado un paquete en Linux tarball,

entonces usted tendrá que instalar algunos paquetes que faltan, como el compilador C++ y librerías gcc antes de proceder a la instalación de la fuente. Vamos a proceder a la instalación, primero ir y descargar la última versión logkeys (es decir, la versión logkeys 0.1.1a) paquete de código fuente original en: https://code.google.com/p/logkeys/downloads/list También puede utilizar el comando wget para descargar la última fuente e instalarlo como se muestra a continuación. $ sudo apt-get install build-essential

[en sistemas basados en Debian]

# yum install gcc make gcc-c++

[en sistemas basados en RedHat]

$ $ $ $ $ $

wget https://logkeys.googlecode.com/files/logkeys-0.1.1a.tar.gz tar xvzf logkeys-0.1.1a.tar.gz cd logkeys-0.1.1a ./configure make sudo make install Ahora ejecuta el locale-gen.

$ sudo locale-gen Ejemplo de salida Generating locales... aa_DJ.UTF-8... done aa_ER.UTF-8@saaho... done aa_ER.UTF-8... done aa_ET.UTF-8... done af_ZA.UTF-8... done am_ET.UTF-8... done an_ES.UTF-8... done ar_AE.UTF-8... done ar_BH.UTF-8... done ar_DZ.UTF-8... done ar_EG.UTF-8... done ar_IN.UTF-8... done ar_IQ.UTF-8... done ar_JO.UTF-8... done ar_KW.UTF-8... done ar_LB.UTF-8... done ar_LY.UTF-8... done ar_MA.UTF-8... done ar_OM.UTF-8... done ar_QA.UTF-8... done ar_SA.UTF-8... done ar_SD.UTF-8... done ....... Generation complete. Usos de logkeys logkeys s: iniciar el registro de pulsación de tecla. logkeys k: Matar proceso logkeys.

Para información detallada de logkeys opción Usos, siempre se puede referir. # logkeys –help o # man logkeys Inicio de la aplicación de logkeys mediante el siguiente comando. $ sudo logkeys -s Ejecutar muchos comandos. # # # #

ls pwd ss ifconfig Termine los procesos logkeys .

# logkeys -k Compruebe el archivo de registro que por defecto es '/ var / log / logkeys.log'. # nano /var/log/logkeys.log

Rastreo de las pulsaciones tecleadas. Planificación de Desarrollos futuros: 

Añadir soporte para el envío de registros por correo electrónico



Añadir soporte para el contenido del portapapeles de registro



Añadir soporte para el ratón rastrear evento clic del ratón

Endurecimiento Windows 2012 r2

Recomienda la configuración de seguridad de línea de base Windows 8.1, Windows Server 2012 R2 y Internet Explorer 11

Fondo y Resumen Este documento describe opciones de configuración de seguridad recomendada de Windows 8.1, Windows Server 2012 R2 y Internet Explorer 11, usando las instantáneas publicadas anteriormente para Windows 8, Windows Server 2012 y Internet Explorer 10 como punto de partida. Estas directrices están diseñadas para empresas bien administradas. Algunos de los cambios más interesantes de las líneas de base de Windows 8/2012/IE10:

    

Uso de ajustes nuevos y existentes para ayudar a bloquear algunos pasar los vectores de ataque de Hash Bloquear el uso de los navegadores web en controladores de dominio Incorporación de la mayor mitigación experiencia Toolkit (EMET) en las líneas de base estándar Eliminación de ajustes de inicio de servicio casi todos y todas servidor rol las instantáneas que contienen sólo servicio de ajustes de arranque Retiro de la recomendación para activar el "Modo FIPS"

Contenido Fondo y Resumen Configuración de nuevo en Windows 8.1 y Windows Server 2012 R2 Configuración de nuevo a Internet Explorer 11 Cambios a la configuración heredada de las instantáneas existentes Cambios en todas las instantáneas de producto de Windows Server Pasar el Hash Bloquear el uso de los navegadores Web en controladores de dominio EMET Dirección actualizada Avanzadas de auditoría Recomendaciones de Windows eliminados Quitar Internet Explorer recomendaciones Errores

Configuración de nuevo en Windows 8.1 y Windows Server 2012 R2 Los valores siguientes son nuevos en Windows 8.1 y Windows Server 2012 R2 y se han identificado para la inclusión en el Windows 8.1 y Server 2012 R2 instantáneas de seguridad. Para Windows Server 2012 R2, recomendamos la creación de líneas de base sólo para el "Cumplimiento de seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y "Conformidad de seguridad de servidores miembro". Este más futuro discutimos en la sección "Cambios a ambos nuevos y existentes líneas de base" en "Cambios en todas las instantáneas de producto de Windows Server".

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Equipo Configuración de usuario\Plantillas administrativas\Panel Panel\Personalization

Evitar habilitar cámara de la pantalla de bloqueo

N/A

Habilitado

Usuario no autenticado puede crear contenido en la carpeta de fotos de usuario (manipulación, rechazo, denegación de servicio)

Equipo Configuración de usuario\Plantillas administrativas\Panel Panel\Personalization

Evitar que permite bloquear pantalla de diapositivas

N/A

Habilitado

Información potencialmente confidenc de registra en la carpeta de imágenes d usuario aparece en escritorio bloquead (divulgación de información)

Equipo Configuración del equipo\Plantillas Templates\System\Audit proceso creación

Incluye línea de comandos en los eventos de creación de proceso

N/A

No se configura

Activar únicamente cuando sea necesario; lo contrario es un atacante c derechos de administrador un montón datos, potencialmente incluyendo contraseñas (por ejemplo, de una línea comandos de uso de red).

Equipo Configuración del equipo\Plantillas administrativas\System\Logon

No mostrar la selección de red interfaz de usuario

N/A

Habilitado

Usuario no autenticado no debe ser cap de cambiar las redes. (Manipulación

Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\App tiempo de ejecución

Permite cuentas de Microsoft a ser opcional

N/A

Habilitado

Las empresas tienen que ser capaces d permitir el uso de la aplicación sin atar un MSA o cargar automáticamente dat en SkyDrive.

Opciones de inicio de sesión de equipo Configuración del equipo\Plantillas administrativas\Componentes Components\Windows

Inicio de sesión usuario interactivo pasado automáticamente después de reiniciar el sistema iniciado por el sistema

N/A

Con discapacidad

Requiere Windows retener las credenciales de texto sin formatoequivalente durante el período de sesiones

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Equipo equipo\Configuración Settings\ Asignación de derechos de local locales\Asignación

Negar el acceso a este equipo desde la red

Huéspedes

Huéspedes, cuenta Local

Equipo equipo\Configuración Settings\ Asignación de derechos de local locales\Asignación

Denegar el registro en mediante servicios de escritorio remoto

Huéspedes

Razón de ser

Win8.1/2012R2 introduce dos nuevo grupos de pseudo que puede obtener inicio de sesión local cuenta en su ficha que ha sido portado a Windows 7/2008 y posteriores con2871997 KB. Clientes (para el servidor cuentas locales deben denegará el inic miembro: de sesión de red en sistemas Unidos a invitados, dominio. (Servidor miembro, sustituy cuenta Local y "Cuenta Local" con la "cuenta Local y miembro del miembro del grupo administradores" p grupo evitar romper el failover administradores) clustering.) También, administradores empresa y administradores de domin deben también denegará el acceso a todos los clientes y servidores excepto controladores de dominio y estaciones trabajo de administración dedicada.(No que EA y DA son específicos de domini no se puede especificar en líneas genéricos como los de SCM). Huéspedes, cuenta Local

Win8.1/2012R2 presenta un pseudo nuevo grupo llamado "Cuenta Local" q cualquier inicio de sesión de cuenta loc se pone en su ficha y que ha sido porta a Windows 7/2008R2 y posteriores con 2871997 KB. Los huéspedes y cuen Local deben ser negado sesión de escritorio remoto en sistemas Unidos a dominio. También, administradores d empresa y administradores de domin deben también denegará el acceso a todos los clientes y servidores excepto controladores de dominio y estaciones

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

trabajo de administración dedicada.(No que EA y DA son específicos de domini no se puede especificar en líneas genéricos como los de SCM). Plantillas de equipo Configuración del equipo\Plantillas\SCM: pasar las mitigaciones de Hash

Modo de auditoría de LSASS.exe (HKLMSoftwareMicrosoftWindows NTCurrentVersionImage archivo ejecución Options\LSASS.exe! AuditLevel

Plantillas de equipo Configuración del equipo\Plantillas\SCM: pasar las mitigaciones de Hash

Habilitar la protección de la LSA (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL)

Taskbar\Notifications y menú de usuario configuración del equipo\Plantillas Templates\Start

Desactivar notificaciones de tostadas en la pantalla de bloqueo

N/A

No se configura

Para obtener más información, consultehttp://technet.microsoft.com/ us/library/dn408187.aspx

Una costumbre plantilla administrativa proporciona para que este ajuste pued configurarse con el editor de directiva grupo. N/A

No se configura

Para obtener más información, consultehttp://technet.microsoft.com/ us/library/dn408187.aspx

Una costumbre plantilla administrativa proporciona para que este ajuste pued configurarse con el editor de directiva grupo. Tenga en cuenta que en máquin UEFI-capaz, una vez que se habilita e valor no se puede desactivar mediant Directiva de grupo solo. N/A

Habilitado

Configuración de nuevo a Internet Explorer 11 Se han identificado las siguientes programaciones para su inclusión en la base de seguridad de Internet Explorer 11.

Divulgación de información

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Equipo Configuración de usuario\Plantillas administrativas\Componentes Windows\Internet Explorer\Panel Control Panel\Advanced página

Activar procesos ficha de 64 bits cuando se ejecuta en modo protegido mejorado en versiones de 64 bits de Windows

N/A

Habilitado

Mayor protección; se romperán algunos sitios, pero se aplica sólo cuando se aplique la planificación

Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Internet zona

N/A

Habilitado: desactivar

Aplicar el valor por defecto

Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Intranet zona

N/A

Habilitado: desactivar

(más fuerte que por defecto, alinea con DoD STIG)

Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Local zona de la máquina

N/A

Habilitado: desactivar

(más fuerte que por defecto, alinea con DoD STIG)

Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes

N/A

Habilitado: desactivar

Aplicar el valor por defecto

Camino de la política

Nombre de la Directiva

Windows\Internet Explorer\Panel Panel\Security Page\Restricted sitios zona de Control

programas antimalware

Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Panel\Security Page\Trusted sitios zona de Control

Valor anterior

Nuevo valor

Razón de ser

N/A

Habilitado: desactivar

(más fuerte que por defecto, alinea con DoD STIG)

Cambios a la configuración heredada de las instantáneas existentes Esta sección describe los cambios a los ajustes que fueron heredadas de antiguas líneas de base. Estos cambios también será portado a ésos líneas de fondo: Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012. La columna de línea de base describe que las líneas de base se ven afectadas.

Cambios en todas las instantáneas de producto de Windows Server Uno de los cambios que recomendamos para todas las instantáneas de Windows Server es crear y mantener las líneas de base sólo para el "Cumplimiento de seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y "Conformidad de seguridad de servidores miembro". Recomendamos no crear (y eliminar cuando ya existan) instantáneas de rol de servidor para servicios de certificados de AD, DHCP, DNS, File Server, Hyper-V, la política de red y acceso, servidor de impresión, servicios de acceso remoto, servicios de escritorio remoto o servidor Web. La razón de este cambio es porque las instantáneas contienen sólo la configuración de inicio del servicio y simplemente tratan de aplicar los valores predeterminados de sus respectivas funciones. Los problemas con estas líneas de base son que 1) son desperdiciadores de tiempo definir y mantener, ya que valores predeterminados de inicio de servicio pueden cambiar entre versiones del sistema operativo; 2) como uno puede asumir con seguridad que el administrador de servidores incorporado u otras herramientas de configuración hacen su trabajo correctamente, las líneas de base no proporcionan casi ningún beneficio de seguridad; y 3) que pueden crear problemas serios cuando ellos equivocan.Por ejemplo, en algunos casos, Windows configura temporalmente el servicio de Windows Installer (que es normalmente un servicio de Inicio Manual) para ser automáticamente iniciar servicio para que pueda realizar acciones inmediatamente después de un reinicio. La línea base de seguridad que obliga a arranque Manual así causa actualizaciones de no instalarse correctamente. Por ello, también hemos decidido quitar todos los ajustes de inicio de servicio de las líneas de base de servidor que incluyen (por ejemplo, Windows Server 2012 dominio regulador seguridad cumplimiento"). La única excepción es el valor de configuración de inicio de servicio para el servicio de identidad de la aplicación en

controladores de dominio, que se necesitan para apoyar el uso de AppLocker (descrito en la siguiente sección, "Bloquear el uso de los navegadores Web en controladores de dominio").

Pasar el Hash Los siguientes ajustes de cambios se recomiendan para ayudar a mitigar contra paso el Hash y el robo de credenciales similares ataques. Línea de base

Camino de la política

Nombre de la Directiva

Valor anterio r

Nuevo valor

Razón de ser

Todo sistem a operati vo cliente y servido res miemb ro

Plantillas de equipo Configuración del equipo\Plantilla s\SCM: pasar las mitigaciones de Hash

Aplicar restricciones de UAC a las cuentas locales en los inicios de sesión de red

N/A

Permiten (REG_DWO RD 0)

Recomienda "Los ataques de Mitigating Pass-the-Hash (PtH) y otras técnicas de robo de la credencial":http://www.micr osoft.com/enus/download/details.aspx?id =36036

Todos los sistem as operati vos

Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación

(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syste m!LocalAccountTokenFilterPolicy)

Una costumbre plantilla administrativa se proporciona para que este ajuste puede configurarse con el editor de directiva de grupo. Negar el acceso a este equipo desde la red

Huéspe des

Huéspedes, Win8.1/2012R2 introduce dos cuenta nuevos grupos de pseudo que Local puede obtener un inicio de sesión local cuenta en su ficha y que ha sido portado a Windows 7/2008R2 y (para el posteriores con 2871997 servidor KB.Clientes y cuentas locales miembro: deben denegará el inicio de invitados, sesión de red en sistemas cuenta Unidos a un Local y dominio. (Servidor miembro, miembro sustituya "Cuenta Local" con del grupo la "cuenta Local y miembro

Línea de base

Todos OS

Camino de la política

Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación

Nombre de la Directiva

Denegar el registro en mediante servicios de escritorio remoto

Valor anterio r

Huéspe des

Nuevo valor

Razón de ser

administra dores)

del grupo administradores" para evitar romper el failover clustering.)También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).

Huéspedes, cuenta Local

Win8.1/2012R2 presenta un pseudo nuevo grupo llamado "Cuenta Local" que cualquier inicio de sesión de cuenta local se pone en su ficha y que ha sido portado a Windows 7/2008R2 y posteriores con2871997 KB. Los huéspedes y cuenta Local deben ser negado sesión de escritorio remoto en sistemas Unidos a un dominio.También, administradores de empresa y administradores de dominio deben también denegará el

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterio r

Nuevo valor

Razón de ser

acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM). Todos los sistem as operati vos

Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación

Denegar el registro en como un trabajo por lotes

Huéspe des

Huéspedes

También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).

Todos los sistem as operati vos

Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci

Denegar el registro en como un servicio

Huéspe des

Huéspedes

También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterio r

Nuevo valor

ón derechos asignación

Razón de ser

son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).

Todos los sistem as operati vos

Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación

Denegar el registro en localmente

Huéspe des

Huéspedes

También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).

Todos los sistem as operati vos

Plantillas de equipo Configuración del equipo\Plantilla s\SCM: pasar las mitigaciones de Hash

WDigest autenticación (desactivación puede requerir KB2871997)

N/A

Con discapacida d

WDigest deja contraseñas de texto sin formato-equivalente de los usuarios en la memoria de Lsass.exe. Recomendado en "mitigación paso el Hash y otros credenciales robo, versión 2",http://www.microsoft.com /pth

Bloquear el uso de los navegadores Web en controladores de dominio Está bien establecido dentro de la comunidad de seguridad que es altamente peligroso e innecesario navegar por la web un sistema de alto valor como un controlador de dominio. El propósito de las nuevas recomendaciones de referencia en esta sección es ayudar a prevenir este tipo de comportamiento mediante

el uso de AppLocker para bloquear el uso de navegadores web populares. Porque es imposible impedir que un administrador evitando estas o cualquier otras normas, el verdadero propósito de estas normas es evitar el uso accidental y para dejar claro navegador uso en un DC es desaconsejable. Mientras que estas reglas cubren muchos casos, no debe considerar a ser completa. No sólo hay otros navegadores que no son cubiertos por este conjunto de reglas, hay muchos otros comportamientos que son igualmente peligrosos cuando se realiza en un controlador de dominio y que explícitamente no están bloqueados. En estos casos, estas normas pueden considerarse ilustrativas de un enfoque que puede ser extendido para ser más comprensivo. Estas reglas pueden aplicarse también a otros sistemas de alto valor, tales como servidores de base de datos y dedicados, único propósito administrativos estaciones de trabajo que se utilizan solamente para administrar Active Directory.

Línea de base

Camino de la política

Nombre de la Directiva

Nuevo valor

Razón de ser

Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración local\Datos Control Policies\AppLocker

Permiten la aplicación de normas de ejecutable

Permiten

Bloquear los navegadores web en los DCs

Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control

Bloque de IE

FilePublisherRule: Negar todos

Bloquear los navegadores web en los DCs

PublisherName = "O = MICROSOFT CORPORATION, L = REDMOND, S = WASHINGTON, C = US" ProductName = "WINDOWS® INTERNET EXPLORER" BinaryName = "IEXPLORE. "EXE"

Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control

Bloque de Chrome.exe

FilePublisherRule: Negar todos PublisherName = "O = GOOGLE INC, L = MOUNTAIN VIEW, S = CALIFORNIA, C = US" ProductName = "GOOGLE CHROME"

Bloquear los navegadores web en los DCs

Línea de base

Camino de la política

Nombre de la Directiva

Nuevo valor

Razón de ser

BinaryName = "CHROME. "EXE" Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control

Bloquear Firefox

FilePublisherRule: Negar todos

Bloquear los navegadores web en los DCs

PublisherName = "O = MOZILLA CORPORATION, L = MOUNTAIN VIEW, S = CA, C = US" ProductName = "FIREFOX" BinaryName = "FIREFOX. "EXE"

Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control

Reglas predeterminadas

Permiten que los no administradores ejecutar archivos ejecutables en archivos de programa

Bloquear los navegadores web en los DCs

Permiten que los no administradores ejecutar archivos ejecutables en Windir Permiten que los administradores ejecutar archivos ejecutables en cualquier lugar

Todos los servidores Windows las instantáneas de "Controlador de dominio"

Equipo equipo\Configuración Windows\Configuración Settings\System servicios

Identidad de la aplicación (AppIDSvc)

Modo de inicio de servicio = automático

AppLocker requiere AppIDSvc a la ejecución para hacer cumplir las normas

EMET Se recomienda instalar EMET en todas las estaciones de trabajo y servidores, junto con esta configuración de directiva de Grupo: Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Protecciones de predeterminada para Internet Explorer

N/A

Habilitado

Protecciones de EMET

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Protecciones de predeterminado para el Software Popular

N/A

Habilitado

Protecciones de EMET

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Por defecto las protecciones de Software recomendado

N/A

Habilitado

Protecciones de EMET

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Sistema de ASLR

N/A

Habilitado: Aplicación Opt-In

Protecciones de EMET

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Sistema DEP

N/A

Habilitado: Aplicación Opt-Out

Protecciones de EMET

Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET

Sistema SEHOP

N/A

Habilitado: Aplicación Opt-Out

Protecciones de EMET

OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Dirección actualizada Esta sección define los valores en todas las instantáneas cubiertas por este informe que debe agregar o cambiar para que sea coherente con otras líneas de base.

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos los sistemas operativos cliente

Equipo Configuración Components\Event registro Service\Application

Especificar el tamaño máximo del registro del archivo (KB)

20480

32768

Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.

Todos los sistemas operativos cliente

Equipo Configuración Components\Event registro Service\Security

Especificar el tamaño máximo del registro del archivo (KB)

20480

196608

Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.

Todos los sistemas operativos cliente

Equipo Configuración Components\Event registro Service\System

Especificar el tamaño máximo del registro del archivo (KB)

20480

32768

Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.

Todos

Equipo Configuración del equipo\Plantillas Templates\Windows Components\Search

Permite la indización de archivos cifrados

No se configura

Con discapacidad

Divulgación de información;contenido cifrado potencialmente entra sin cifrar índice

Equipo Configuration\ Directiva de bloqueo de cuenta de Windows Windows\Configuración seguridad\Directivas políticas\

Umbral de bloqueo de cuenta

50 intentos de inicio de sesión no válido

10 intentos de inicio de sesión no válido

da de 50 atacantes demasiados tiros; las 50 contraseñas más utilizadas dará los atacantes demasiadas cuentas. Un umbral demasiado bajo provoca bloqueo accidental de contraseñas en caché la aplicación. (Entrada en el blog independiente describe cuestiones con más detalle.)

OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

MSS: (ScreenSaverGracePeriod) el tiempo en segundos antes del período de gracia de protector de pantalla expira (0 recomendado)

0 segundos

5 segundos

Ningún beneficio de seguridad real establecer en 0; Alinee con DoD STIG.

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Seguridad de red: fuerza cierre de sesión cuando expire la hora de inicio de sesión

No se configura

Habilitado

Hacer sesión de horas de trabajo en la red también.

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en modo aprobación de administrador

Pedir consentimiento para binarios de Windows no

Pedir consentimiento en el escritorio seguro

Hacer consistente (tenga en cuenta que el valor real para Server 2008 tiene que ser "Solicitar autorización", como "escritorio seguro" se especifica en otra opción en Server 2008).

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Control de cuentas de usuario: Comportamiento del indicador de elevación para los usuarios estándar

Solicitud de credenciales

Denegar automáticamente solicitudes de elevación

Elevación del mismo escritorio UAC no es un límite de seguridad; hay maneras más seguras para administrar un sistema.

Todos los servidores miembro

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Seguridad de red: permitir sistema Local con identidad de equipo para NTLM

No definido

Habilitado

Agregado a base de servidor miembro para ser constante con el cliente y líneas base de controlador de dominio

Todos los servidores miembro

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Seguridad de red: permitir sesiones nulas de LocalSystem suplencia

No definido

Con discapacidad

Agregado a base de servidor miembro para ser constante con el cliente y líneas base de controlador de dominio

OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos los sistemas operativos cliente

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación

Tener acceso a este equipo desde la red

Usuarios, los administradores

Usuarios autenticados, los administradores

Que sea coherente con la dirección del servidor

Avanzadas de auditoría La guía de Windows 8 y Windows Server 2012 recomienda "No auditoría" para muchos entornos donde la intención era especificar "No definido" y permitir que las decisiones del cliente. En algunos casos, "No auditoría" hizo caso omiso de una cesación de pagos más seguro. Hemos intentado solucionar todos los casos aquí. Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión

Servicio de autenticación de Kerberos de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión

Auditoría de las operaciones de Ticket de servicio Kerberos

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión

Auditoría de otros eventos de inicio de sesión de cuenta

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account

Grupo de aplicación de auditoría de gestión

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos los clientes

Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account

Gestión de cuentas de equipo de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account

Auditoría de administración de grupo distribuido

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Detailed seguimiento

Auditoría de actividad DPAPI

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría Policy\Configuration\Audit Policies\Detailed seguimiento

Proceso de terminación de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Detailed seguimiento

Eventos de auditoría de RPC

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso

Replicación de servicio de directorio detallado de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso

Auditoría de acceso de servicio de directorio

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos los clientes

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso

Auditoría cambios de servicio de directorio

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso

Replicación de servicio de directorio de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Bloqueo de cuenta de auditoría

Sin auditoría

Éxito

"Ninguna auditoría" era probablemente una entrada equivocada aquí.

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Auditoría IPSec modo extendido

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Modo principal de IPSec auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Modo rápido de IPSec de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Servidor de directivas de red de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS Todos los clientes OS Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión

Otros eventos inicio/cierre de sesión de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Aplicación de auditoría generado

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría política prueba de acceso Central

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría de servicios de certificación

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Recurso compartido de archivos detallado de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Recurso compartido de archivos de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Sistema de archivos de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría de filtrado de conexión de la plataforma

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría de filtrado plataforma paquete gota

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría manija de manipulación

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría objeto del núcleo

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Otros eventos de acceso del objeto de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Registro de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría de medios de almacenamiento extraíbles

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso

Auditoría SAM

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy

Cambio de política de autorización de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy

Auditoría de cambio de directiva de plataforma de filtrado

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy

Auditoría de cambio de directiva regla MPSSVC

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy

Otros eventos de cambio de la política de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Privilege uso

Auditoría de uso de privilegio no sensibles

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Privilege uso

Otros eventos de uso de privilegio de auditoría

Sin auditoría

No definido

Ningún valor de seguridad; mejor que permiten a los clientes a decidir

OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\System

Otros eventos del sistema de auditoría

Sin auditoría

Éxito y el fracaso

"Ninguna auditoría" era probablemente una entrada equivocada aquí.

OS

Recomendaciones de Windows eliminados Esta sección enumera valores que consideramos que debe eliminarse de las recomendaciones de Windows. En muchos casos, proporcionan poco o ningún valor de seguridad. En otros casos, los ajustes ya no son aplicables. Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, hash y firma

Habilitado

No definido

Valor de seguridad limitada; rompe muchos casos de uso legítimo; SSL 3.0 y versiones anterior puede desactivarse a través de otros medios. Discutidos en más detalle aquí: http://blogs.technet.com/b/secguide/archive/2014/04/07/whywe-re-not-recommending-fips-mode-anymore.aspx

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo

Habilitado

No definido

Ningún valor de seguridad

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Control de cuentas de usuario: Elevar sólo archivos ejecutables

Con discapacidad

No definido

Ningún valor de seguridad

OS

Todos OS

Todos OS

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

firmados y validados Todos los sistemas operativos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación

Omitir comprobación de recorrido

Administradores, usuarios, servicio Local, servicio de red

No definido

Ningún valor de seguridad

Todos los sistemas operativos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación

Incrementar un sistema de trabajo del proceso

Administradores, servicio Local

No definido

Ningún valor de seguridad

Todos los sistemas operativos

Instalación de equipo Configuración del equipo\Plantillas Templates\System\Device

Especificar el servidor de búsqueda de actualizaciones de controladores de dispositivo

Habilitado: Buscar servidor administrado

No se configura

Configuración es específica del cliente

Todos

Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación

Desactivar actualizaciones de archivo de contenido de búsqueda compañero

Habilitado

No definido

No aplicable

Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet

Desactivar la tarea de "Publicar en Web" para

Habilitado

No definido

No aplicable

OS

Todos OS

Línea de base

Todos OS

Todos OS

Todos OS

Todos OS

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

de System\Internet comunicación

archivos y carpetas

Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación

Apagar el programa de mejora de experiencia de Windows Messenger cliente

Habilitado

No definido

No aplicable

Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación

Apague el controlador de dispositivo de Windows Update en busca

Habilitado

No definido

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\Application

Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo

Con discapacidad

No definido

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\Security

Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo

Con discapacidad

No definido

Ningún valor de seguridad

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\System

Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo

Con discapacidad

No definido

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas Templates\ Shell remoto de Windows Components\Windows

Permitir el acceso Shell remoto

Habilitado

No definido

Ningún valor de seguridad (enfrente!)

DC todos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones

Inicio de sesión interactivo: número de inicios de sesión anterior a la caché (en caso de controlador de dominio no está disponible)

inicios de 4 sesión

No definido

No es aplicable ya que el papel es un controlador de dominio.

DC todos

Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación

Inicie sesión como un trabajo por lotes

Administradores de

No definido

Dirección anterior evita que algunos escenarios de menor privilegio.

OS

Todos OS

Quitar Internet Explorer recomendaciones Esta sección enumera valores que consideramos que debe eliminarse de las recomendaciones de Internet Explorer. En muchos casos, proporcionan poco o ningún valor de seguridad. En otros casos, los ajustes ya no son aplicables.

Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Todos

Usuario configuración del equipo\Plantillas administrativas\Componentes Components\ Menús de Internet Explorer\Browser

Deshabilitar guardar este programa en la opción de disco

Habilitado

No se configura

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\ Internet Explorer\panel de Control

Deshabilitar la página avanzada

Habilitado

No se configura

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\ Internet Explorer\panel de Control

Deshabilitar la página seguridad

Habilitado

No se configura

Ningún valor de seguridad

Equipo Configuración del equipo\Plantillas Templates\ Zona de Page\Internet de Panel\Security de Windows Windows\Internet Explorer\Panel Control

Permisos de canal de software

Alta seguridad

No se configura

No aplicable

Equipo Configuración del equipo\Plantillas Templates\Windows Windows\Internet Explorer\Panel Control Panel\Security Page\Restricted zona de sitios de

Permisos de canal de software

Alta seguridad

No se configura

No aplicable

IE

Todos IE

Todos IE

Todos IE

Todos IE

Errores Esta sección enumera los defectos de la orientación existente que necesita ser reparado. Línea de base

Camino de la política

Nombre de la Directiva

Valor anterior

Nuevo valor

Razón de ser

Controlador Equipo Configuración de dominio Windows\Configuración seguridad\Directivas locales\Opciones opciones

Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)

Con discapacidad

Habilitado

Cambiar el valor de columna "Por defecto" basado en el ajuste incorrecto porhttp://technet.microsoft.com/enus/library/jj852239.aspx

Controlador Equipo Configuración de dominio Windows\Configuración seguridad\Directivas locales\Opciones opciones

Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)

Con discapacidad

Habilitado

Cambiar el valor de columna "Por defecto" basado en el ajuste incorrecto porhttp://technet.microsoft.com/enus/library/jj852242.aspx