Endurecimiento en LINUX Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta medida (el te
Views 243 Downloads 11 File size 926KB
Endurecimiento en LINUX Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta medida (el tema es discutible). Sin embargo, Linux tiene un modelo de seguridad incorporado por defecto. Pero también tiene la necesidad de ajustar y personalizarla según sus necesidades que te pueden ayudar a hacer que el sistema sea más seguro. Haciendo Linux más difícil de manejar, y ofrece más flexibilidad y opciones de configuración. Asegurar un sistema en producción de las manos de hackers y crackers es una tarea difícil para un administrador del sistema. Este es nuestro primer artículo relacionado a “Cómo proteger el sistema Linux" o "endurecimiento de un Linux". En este post vamos a explicar 25 consejos y trucos útiles para proteger el sistema Linux. Espero, que los consejos y trucos le ayudarán a ampliar y a proteger sus datos personales.
1. Sistema de Seguridad Física Configure la BIOS para deshabilitar el arranque desde CD / DVD, dispositivos externos, unidad de disquete en la BIOS. A continuación, habilite la contraseña del BIOS y también proteja GRUB con contraseña para restringir el acceso físico de su sistema. 1. Establecer contraseña GRUB para proteger los servidores de Linux
2. La creación de particiones Es importante tener diferentes particiones para obtener mayor seguridad de los datos en caso de que si ocurre cualquier desastre. Mediante la creación de diferentes particiones, los datos pueden ser separados y agrupados. Cuando se produce un accidente inesperado, sólo los datos de la partición se dañarán, mientras que los datos en otras particiones sobrevivirán. Asegúrese de que dispone de las siguientes particiones separadas y asegurarse de que las aplicaciones de terceros se deben instalarse en los sistemas de archivos independientes en /opt. / /boot /usr /var /home /tmp /opt
3. Minimizar Paquetes para minimizar la vulnerabilidad ¿De verdad quieres todo tipo de servicios instalado? Se recomienda evitar la instalación de paquetes inútiles para evitar vulnerabilidades en los paquetes ya instalados. Esto puede minimizar el riesgo que comprometa un servicio y que puede llevar a comprometer otros servicios. Encontrar y eliminar o deshabilitar los servicios no deseados del servidor para minimizar la vulnerabilidad. Utilice el comando "chkconfig" para averiguar los servicios que se ejecutan en el nivel de ejecución 3.
# /sbin/chkconfig --list |grep '3:on' Una vez que hayas averiguado cualquier servicio no deseado que se está ejecutando, desactivarlos mediante el siguiente comando. # chkconfig serviceName off Utilice el gestor de paquetes RPM, como herramientas "yum" o "apt-get" para listar todos los paquetes instalados en un sistema y eliminarlos mediante el siguiente comando. # yum -y remove package-name # sudo apt-get remove package-name
Equivalencias entre DEB y RPM, y también APT y YUM para Linux
4. Compruebe Puertos de escucha de red Con la ayuda de comandos de redes 'netstat' se pueden ver todos los puertos abiertos y los programas asociados. Como he dicho anteriormente utilizar el comando"chkconfig 'para desactivar todos los servicios de red no deseados del sistema. # netstat -tulpn 1. 20 Comandos Netstat para la administración de red en Linux
5. Use Secure Shell (SSH) Telnet y rlogin utiliza protocolos de texto plano, sin formato cifrado, de por si, esto ya es un fallo de seguridad. SSH es un protocolo seguro que usa de la tecnología de cifrado durante la comunicación con el servidor. Nunca entre directamente como root a menos que sea necesario. Utilice "sudo" para ejecutar comandos. sudo se especifican en /etc/sudoers también puede ser editado con la utilidad "visudo", que se abre en el editor VI. También es recomendable cambiar el número de puerto 22 por defecto SSH por otro número de puerto más alto. Abra el archivo principal de configuración de SSH y edite algunos parámetros siguientes para evitar que los usuarios tengan acceso. # vi /etc/ssh/sshd_config
Deshabilitar root Login PermitRootLogin no Permitir sólo usuarios específicos AllowUsers username Usar SSH Protocolo 2 Version Protocol 2 1. 5 mejores prácticas para asegurar y proteger servidor SSH
6. Mantenga actualizados del sistema
Siempre mantenga el sistema actualizado con los últimos parches de versiones, revisiones de seguridad y del núcleo cuando esté disponible. # yum updates # yum check-update
7. Cronjobs Lockdown Cron tiene su propia función incorporada, donde permite especificar quién puede y quién no lo desea, ejecutar los trabajos. Esto se controla mediante el uso de archivos llamado /etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario utilizando cron, sólo tiene que añadir los nombres de usuario en cron.deny y permitir a un usuario ejecutar cron, complemento en el archivo cron.allow. Si desea desactivar todos los usuarios el uso de cron, agregue la línea "ALL" en el archivo cron.deny. # echo ALL >>/etc/cron.deny 1. 11 Cron Programación de ejemplos en Linux
8. Desactivar detectar la memoria USB Muchas veces sucede que queremos restringir a otros usuarios el uso de memoria USB en los sistemas para proteger y asegurar los datos de ser robados. Cree un archivo/etc/modprobe.d /no-usb 'y añadiendo a continuación la línea no detectará el almacenamiento USB. install usb-storage /bin/true
9. Active SELinux Security-Enhanced Linux (SELinux) es un mecanismo de seguridad de control de acceso obligatorio previsto en el kernel. Deshabilitando SELinux significa la eliminación de mecanismo de seguridad del sistema. Piense dos veces antes de desactivarlo, si su sistema está conectado a Internet y se accede por el público, luego considere y piense un poco más en él. SELinux proporciona tres modos básicos de operación y son. 1. Cumplimiento: Este es el modo por defecto que permitan y hacer cumplir la política de seguridad de SELinux en la máquina. 2. Tolerante: En este modo, SELinux no hará cumplir la política de seguridad en el sistema, sólo advertir y registrar las acciones. Este modo es muy útil en términos de resolución de problemas relacionados con SELinux. 3. Desactivado: SELinux está apagado. Puede ver el estado actual del modo de SELinux desde la línea de comandos con "system-config-selinux 'comandos' sestatus' o 'getenforce '. # sestatus Si está deshabilitada, habilite SELinux con el siguiente comando. # setenforce enforcing
También se puede gestionar desde archivo '/etc/selinux/config /', donde se puede activar o desactivar.
10. Elimine el escritorio del servidor, sea... KDE / GNOME Desktops No hay necesidad de ejecutar escritorios X Window como KDE o GNOME en su servidor dedicado. Puede quitarlo o deshabilitar para aumentar la seguridad de su servidor y rendimiento. Para desactivarlo, es sencillo abrir el archivo '/etc/inittab' y establezca el nivel de ejecución 3. Si desea eliminar por completo del sistema, utilice el comando siguiente. # yum groupremove "X Window System"
11. Desactivar IPv6 Si usted no está utilizando un protocolo IPv6, debe desactivarlo porque la mayoría de las aplicaciones o políticas no son necesarios para el protocolo IPv6 actualmente. Ir al archivo de configuración de red y agregar líneas siguientes pasos para desactivarlo. # vi /etc/sysconfig/network NETWORKING_IPV6=no IPV6INIT=no
12. Restringir usuarios de utilizar contraseñas antiguas Esto es muy útil si desea no permitir que los usuarios utilicen las mismas contraseñas. El archivo de contraseñas se encuentra en /etc/security/ opasswd. Esto se puede lograr mediante el uso de módulo PAM. Abrir el archivo '/etc/pam.d/system-auth' bajo RHEL / CentOS / Fedora. # vi /etc/pam.d/system-auth Archivo en Ubuntu / Debian / Linux Mint Abrir "/etc/pam.d/common-password" # vi /etc/pam.d/common-password Agregue la línea siguiente a la sección 'auth'. auth
sufficient
pam_unix.so likeauth nullok
Agregue la línea siguiente a la sección 'password' para no permitir que un usuario vuelva a utilizar una vieja contraseña. password
sufficient
pam_unix.so nullok use_authtok md5 shadow remember=5
Sólo las últimos 5 contraseñas se recuerdan por el servidor. Si se trató de utilizar cualquiera de las últimos 5 contraseñas antiguas, obtendrá un error similar. Contraseña ya ha sido utilizada. Elija otra. o Password has been already used. Choose another.
13. Cómo comprobar la caducidad de la contraseña de usuario
En Linux, las contraseñas de usuario se almacenan en el archivo '/etc/shadow' en formato cifrado. Para comprobar la caducidad de la contraseña de usuario, es necesario utilizar el comando 'chage'. Muestra información de contraseñas, detalles de vencimiento junto con la última fecha de modificación contraseña. Estos datos son utilizados por el sistema para decidir cuando un usuario debe cambiar su contraseña. Para ver la información de antigüedad de cualquier usuario existente como la fecha y hora de vencimiento, utilice el comando siguiente. #chage -l username Para cambiar el envejecimiento de cualquier usuario/contraseña, utilice el siguiente comando. #chage -M 60 username #chage -M 60 -m 7 -W 7 userName
Parámetros 1. -M Númeo el número máximo de días 2. -m número mínimo de días 3. -W Ajuste el número de días de aviso
14. Bloquear y desbloquear cuenta manualmente El bloqueo y desbloqueo de las funciones son muy útiles, en lugar de eliminar una cuenta del sistema, se puede bloquear durante una semana o un mes. Para bloquear a un usuario específico, puede utilizar el comando siguiente. # passwd -l accountName Nota: El usuario bloqueado está disponible sólo para el usuario root. El bloqueo se lleva a cabo mediante la sustitución de contraseña cifrada con una cadena (!). Si alguien trata de acceder al sistema utilizando esta cuenta, recibirá un error similar al siguiente. # su - accountName This account is currently not available. Para desbloquear o permitir el acceso a una cuenta bloqueada, utilice el comando igualmente. Esto eliminará (!) Cadena con contraseña cifrada. # passwd -u accountName
15. La aplicación de contraseñas más seguras Varios de los usuarios utilizan contraseñas blandas o débiles y su contraseña puede ser hackeado con un diccionario base o ataques de fuerza bruta. El módulo 'pam_cracklib'si está disponible en PAM (Pluggable Authentication Modules) obligará al usuario establecer contraseñas seguras. Abra el siguiente archivo con un editor. Lea también: # vi /etc/pam.d/system-auth
Y agregue la línea con los parámetros de crédito, (lcredit, ucredit, dcredi t y/o ocredit respectivamente minúsculas, mayúsculas, dígitos y otros) /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1
16. Habilitar Iptables (Firewall) Es altamente recomendable activar el firewall de Linux para garantizar el acceso no autorizado de sus servidores. Aplicar las reglas de iptables a los filtros de entrada,paquetes salientes y reenvío. Podemos especificar la dirección de origen y de destino para permitir y denegar en concreto el número de puerto udp / tcp. 1. IPTables Guía y Consejos básicos
17. Desactivar Ctrl + Alt + Delete en Inittab En la mayoría de las distribuciones de Linux, al pulsar 'CTRL-ALT-DELETE' se lleva el sistema para reiniciar el proceso. Por lo tanto, no es una buena idea tener esta opción activada, al menos en los servidores de producción. Esto se define en el archivo '/etc/inittab', si te fijas bien en ese archivo, verá una línea similar a la siguiente. Por línea por defecto no está comentada. Tenemos que comentar a cabo. Este particular secuencia de teclas de señalización será apagado el sistema. # Trap CTRL-ALT-DELETE #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
18. Cuentas para contraseñas vacías Cualquier cuenta con una contraseña vacía significa deja una puerta abierta para el acceso no autorizado a cualquier persona en la web y es una parte de la seguridad en un servidor Linux. Por lo tanto, debe asegurarse de que todas las cuentas engan contraseñas seguras y nadie tenga acceso no autorizado. Las cuentas con contraseñas vacías son los riesgos de seguridad y pueden ser fácilmente crackeadas. Para comprobar si había cuentas con contraseña vacía, utilice el comando siguiente. # cat /etc/shadow | awk -F: '($2==""){print $1}'
19. Mostrar SSH Banner Antes Login Siempre es una buena idea mostrar un aviso legal o banners de seguridad con algunas advertencias de seguridad antes de la autenticación en SSH. Para ajustar estos banners leer el siguiente artículo. 1. Mostrar SSH mensaje de advertencia a los usuarios
20. Supervisar las actividades de los usuarios Si se trata de un montón de usuarios, entonces es importante recopilar la información de cada uno de las actividades del usuario y procesos consumidos por ellos y analizarlos en un momento posterior o en caso de cualquier tipo de rendimiento, problemas de seguridad. Pero, ¿cómo podemos controlar y recopilar información de las actividades del usuario.
Hay dos herramientas útiles llamados 'psacct' y 'ACCT' se utilizan para el seguimiento de las actividades y procesos de usuario en un sistema. Estas herramientas se ejecuta en un fondo del sistema y hacen un seguimiento continuo de cada actividad del usuario en un sistema y los recursos consumidos por los servicios como Apache, MySQL, SSH, FTP, etc Para obtener más información sobre la instalación, configuración y uso, visite el siguiente URL. 1. Supervisar la actividad del usuario con psacct o ACCT comandos
21. Revisar los registros con regularidad Compruebe los registros de log del servidor dedicado, esto evita que los intrusos puedan modificar fácilmente los registros locales. Estos son los nombres más común en Linux por defecto para los archivos de registro y su uso: 1. /var/log/message - Donde están disponibles los registros del sistema entero o registros de actividad actuales. 2. /var/log/auth.log - Registros de autenticación. 3. /var/log/kern.log - logs del kernel. 4. /var/log/cron.log - logs crond (cron). 5. /var/log/maillog - los registros del servidor de correo. 6. /var/log/boot.log - registro de arranque del sistema. 7. /var/log/mysqld.log - archivo de registro del servidor de bases de datos MySQL. 8. /var/log/secure - registro de autenticación. 9. /var/log/utmp o /var/log/wtmp: Login archivo de registros. 10. /var/log/yum.lo g: archivos de registro de Yum.
22. Copia de seguridad de archivos importantes En un sistema de producción, es necesario tener copias de seguridad de archivos importantes y mantenerlos en condiciones de seguridad bóveda, sitios remotos o fuera de las instalaciones para recuperación de desastres.
23. NIC Bonding Hay dos tipos de modo de unión NIC, deben mencionar en la interfaz de unión. 1. mode = 0 - Round Robin 2. mode = 1 - Activa y Backup NIC Bonding nos ayuda a evitar puntos de fallo. En unión NIC, que es unir dos o más tarjetas de red Ethernet juntos y hacemos una interfaz virtual único donde se puede asignar una dirección IP a hablar con otros servidores. Nuestra red estará disponible en el caso de una tarjeta NIC esté inactivo o no esté disponible por cualquier motivo.
24. Mantener / arrancar en modo de sólo lectura Linux kernel y los archivos relacionados se encuentran en el directorio /boot, que es por defecto como de lectura y escritura. Cambiar a sólo lectura reduce el riesgo de modificación no autorizada de archivos de arranque críticos. Para ello, abra el archivo "/etc/fstab". # vi /etc/fstab Agregue la siguiente línea en la parte inferior, guardar y cerrar. LABEL=/boot
/boot
ext2
defaults,ro
1 2
Tenga en cuenta que usted necesita reiniciar para restablecer el cambio de lectura y escritura si necesita actualizar el kernel en el futuro.
25. No haga caso de petición ICMP o Broadcast Agregue la línea siguiente en el archivo "/etc/sysctl.conf" para hacer caso omiso de petición ping o broadcast. Ignore ICMP request: net.ipv4.icmp_echo_ignore_all = 1 Ignore Broadcast request: net.ipv4.icmp_echo_ignore_broadcasts = 1 Cargar nuevos ajustes o cambios, mediante la ejecución comando siguiente #sysctl -p Nikto Web Scanner es una otra buena herramienta para el arsenal de cualquier administrador de Linux. Es un escáner de código abierto distribuido bajo la licencia GPL, que se utiliza para llevar a cabo pruebas exhaustivas en los servidores Web por varios elementos, entre ellos más de 6.500 potencialmente peligrosos archivos / CGIs. Está escrito por Chris Solo y David Lodge para la evaluación de vulnerabilidades, comprueba versiones no actualizadas sobre 1250 servidores web y más de 250 problemas específicos de versión. También escanea e informa sobre software y plugins del servidor web obsoletas.
Características de Nikto Web Scanner
Soporta SSL
Soporta proxy http completo
Soporta texto, HTML, XML y CSV para guardar los informes.
Analiza en busca de varios puertos
Se puede escanear en varios servidores mediante la adopción de las entradas de los archivos como salida de nmap
Soporte LibWhisker IDS
Es lo suficientemente capaz de identificar el software instalado con encabezados, archivos y favicons
Registros para Metasploits
Informes sobre encabezados "inusuales".
Apache y enumeración de usuario cgiwrap
Autenticar anfitriones con Basic y NTLM
Los análisis pueden ser auto detenerse porl tiempo especificado.
Requisitos Nikto El sistema básico es: Perl, Perl Modules, OpenSSL, la instalación debe permitir a Nikto funcionar. Se ha probado a fondo en Windows , Mac OSX y varios Unix / Linux, en distribuciones como Red Hat , Debian , Ubuntu , BackTrack , etc
Escriba primero: chkconfig --list # chkconfig --list | grep :on
O simplemente utilizar el siguiente comando para ver los servicios que se activan sólo para el nivel de ejecución 3. # chkconfig --list | grep 3:on
A continuación, podría utilizar un comando como este para eliminar el servicio de puesta en marcha. # chkconfig --del 'service-name'
Consejo # 13 - Desinstale X Windows Considere la posibilidad de la eliminación total de X Windows en su sistema, y utilice sólo la línea de comandos para la gestión. No hay nada que usted pueda hacer en la interfaz gráfica que no se puede hacer desde la línea de comandos y la eliminación no sólo va a mejorar la seguridad, sino también el rendimiento porque no se desperdician los recursos del sistema cuando se muestra la interfaz gráfica de usuario. Consejo # 14 - Secure Kernel Linux Usted puede asegurar su Kernel Linux modificando el archivo / etc / sysctl.conf, este archivo es leído por el núcleo durante el arranque y puede ser editado con los siguientes valores para añadir seguridad adicional. # Turn on execshield kernel.exec-shield =1 kernel.randomize_va_space =1 # Don't reply to broadcasts. Prevents joining a smurf attack net.ipv4.icmp_echo_ignore_broadcasts =1 # Enable protection for bad icmp error messages net.ipv4.icmp_ignore_bogus_error_responses =1 # Enable syncookies for SYN flood attack protection net.ipv4.tcp_syncookies =1 # Enable IP spoofing protection net.ipv4.conf.all.rp_filter =1 net.ipv4.conf.default.rp_filter =1 # Log spoofed, source routed, and redirect packets net.ipv4.conf.all.log_martians =1 net.ipv4.conf.default.log_martians =1 # Don't allow source routed packets net.ipv4.conf.all.accept_source_route =0 net.ipv4.conf.default.accept_source_route =0 # Don't allow outsiders to alter the routing tables net.ipv4.conf.all.accept_redirects =0
net.ipv4.conf.default.accept_redirects =0 net.ipv4.conf.all.secure_redirects =0 net.ipv4.conf.default.secure_redirects =0 # Don't pass traffic between networks or act as a router net.ipv4.ip_forward =0 net.ipv4.conf.all.send_redirects =0 net.ipv4.conf.default.send_redirects =0 Consejo # 15 - Instalar los parches del kernel Linux Debe tener una política de seguridad para el manejo de los parches del kernel Linux, la cual debe incluir los parches de seguridad de Linux para recibir las actualizaciones y probarlos para asegurar que los problemas no se plantean y que los parches se han instalado en el sistema. Asegúrese siempre de que los servidores en producción se actualizan con regularidad para evitar cualquier posible vulnerabilidad conocida de la explotación en el sistema. Consejo # 16 - particiones separadas Debe crear particiones separadas para los directorios, modificables sólo por usuarios permitidos y bloquear el acceso de escritura y ejecución a las particiones que no sean necesarios. Usted debe considerar la colocación de los siguientes sistemas de archivos en particiones diferentes. /usr /home /var y /var/tmp /tmp A continuación, puede editar el archivo /etc/fstab para impedir la ejecución de archivos binarios, desactivar los dispositivos de bloques en la partición y evitar que poner SUID / SGID en los archivos. He aquí una entrada fstab común para limitar el acceso del usuario al directorio ftpdata. /dev/sda5 /ftpdata ext3 defaults,noexec,nodev,nosuid 1 2
Consejo # 17 - Use las extensiones de seguridad de Linux Hacer uso de software como SELinux, AppArmor o GRSecurity para proporcionar endurecimiento adicional a su Kernel Linux. Estos productos proporcionan las políticas adicionales para restringir los procesos y servicios basados en listas de control de acceso. Consejo # 18 - servidores separados para distintos servicios Considerar la creación de diferentes servidores físicos o virtuales para diferentes funciones, es decir, separar su servidor de correo y el servidor web, o el servidor de base de datos y el servidor de aplicaciones. Esto garantiza que si un determinado servicio se ve comprometido, está contenido en un solo servidor. Consejo # 19 - Seguridad física de los servidores Usted puede proteger su servidor lo más posible de los ataques a distancia, pero si no hacen nada para proteger el hardware físico no tiene sentido. Si alguien tiene acceso a su servidor físico, puede eliminar el disco duro y acceder a los datos confidenciales o arrancar desde un CD y acceder a sus datos. Considerar la creación de una contraseña de BIOS y deshabilitar el arranque desde CD o USB. También se debe proteger con contraseña el
gestor de arranque (GRUB o LILO, etc) para evitar que los usuarios accedan a modo de usuario único o entornos de recuperación, donde no se requieren contraseñas. Consejo # 20 - Configuración de NTP Contar con un sistema de reloj preciso es importante para la revisión de los archivos de registro y determinar cuándo se produjo un evento. A menudo, los relojes del sistema, pueden producirse problemas de sincronización o de ser puesto a una fecha más antigua y esto puede causar estragos en el seguimiento de los errores. Considere la posibilidad de crear una tarea programada en lugar de ejecutar ntpd (ver el consejo # 12) para actualizar la hora del día o por hora con una fuente común para todos los servidores. Consejo # 21 - Monitor de todos los registros Configuración de registro y software de auditoría de seguimiento de errores y cambios en sus servidores, tales como auditd y Logwatch / Logcheck. Considere la posibilidad de configurar un servidor de registro remoto que se actualiza regularmente para protegerse de un intruso poner en peligro los archivos de registro sin su conocimiento. Consejo # 22 - Desactivar IPv6 IPv6 muy rara vez se necesita en esta etapa ya que la mayoría sólo utiliza el tráfico IPv4 e IPv6 es permitido sólo una red que necesita controlar y proteger. Deshabilitar IPv6 es la opción más fácil, pero si por alguna razón que lo requiere, entonces debería configurar un firewall IPv6. Consejo # 23 - Elimina SUID y SGID de archivos Después de haber instalado y configurado el sistema y el software que deben ejecutar los siguientes comandos para buscar todos los archivos y carpetas con el conjunto de SUID, SGID: Puede escribir estos comandos. Para encontrar todos los archivos SUID: # find / -xdev -type f -perm +u=s -print
Para encontrar todos los archivos SGID: # find / -xdev -type f -perm +g=s -print
Para encontrar riesgos globales:
# find / -xdev -perm +o=w ! ( -type d -perm +o=t ) ! -type l -print Para buscar ficheros (y directorios) que el grupo puede escribir: # find . -perm /g+w Para buscar idem, que "otros" puede escribir # find . -perm /o+w
# Para buscar directorios en los que "otros" puede escribir: find . -type d -perm /o+w # Para evitar justo lo anterior, quitando los permisos a aquellos directorios en los que "otros" puede escribir: chmod o-x `find . -type d -perm /o+w`
A continuación, debe inspeccionar cada archivo y carpeta para determinar si tienen la configuración correcta y si no se utiliza el comando chmod para realizar cambios en ellos. Consejo # 24 - Cifrar los datos confidenciales Sus datos se suelen almacenar en un disco duro en un formato no cifrado por lo que cualquier usuario que tenga acceso al servidor puede quitar el disco duro e instalarlo en otro sistema y leer todos sus datos. Usted debe considerar la configuración del disco Linux o cifrar la carpeta ya sea su HOME o directorios / carpetas sensibles (es decir, archivos de bases de datos, correos electrónicos, etc.) Si bien se puede cifrar todo el disco se trata de una gran cantidad de trabajo y no suele valer la pena. Consejo # 25 - Seguridad del software Es bueno tener un servidor Linux de alta seguridad, pero el sistema sólo es seguro, como el software que se ejecutan en él. Siempre se debe instalar las últimas versiones de software y asegurese de que está al día. También la mayoría de los programas tienen la manera de hacerlos más seguros mediante la edición de sus archivos de configuración y desactivar las partes innecesarias del software. El siguiente es un ejemplo para el endurecimiento de la configuración del servidor OpenSSH, sólo tiene que añadir lo siguiente a su fichero de configuración de OpenSSH. # Use only SSH Protocol Ver 2 Protocol 2 # Only allow the following users SSH Access AllowUsers User1 User2 etc # Deny access to the following users DenyUsers admin etc # Set the timeout period for idle sessions (in seconds) ClientAliveInterval 300 ClientAliveCountMax 0 # Disable .rhosts files IgnoreRhosts yes # Disable Host-Based Authentication HostbasedAuthentication no # Remove ability to login as Root PermitRootLogin no # Change the default SSH Port (Not essential but can help uncomment if you want) #Port 22 #ListenAddress 192.168.1.1 # Consider CHRooting users to their own directories. # Subsystem sftp internal-sftp #Match group sftponly # ChrootDirectory /home/%u # X11Forwarding no # AllowTcpForwarding no
# ForceCommand internal-sftp # Disable empty passwords from login PermitEmptyPasswords no # Set your required Log Level (Either INFO or DEBUG) LogLevel INFO # Turn on privilege separation UsePrivilegeSeparation yes # Prevent the use of insecure home directory and key file permissions StrictModes yes # Turn on reverse name checking VerifyReverseMapping yes # Do you need port forwarding? AllowTcpForwarding no X11Forwarding no # Specifies whether password authentication is allowed. The default is yes. PasswordAuthentication no
Instalación de Nikto Web Escáner en Linux La mayoría de los sistemas Linux de hoy viene con los paquetes pre-instalados, Módulos de Perl y OpenSSL. Si no se incluye, se puede instalar con la utilidad del administrador de paquetes del sistema por defecto llamada Yum o apt-get.
En Red Hat / CentOS / Fedora [root@linuxparty ]# yum install perl perl-Net-SSLeay openssl
En Debian / Ubuntu / Linux Mint [root@linuxparty ]# apt-get install perl openssl libnet-ssleay-perl A continuación, descargue la última versión estable de Nikto en tarball, desde la página oficial del proyecto o puede utilizar siguiente comando wget para descargarlo directamente. # wget http://www.cirt.net/nikto/nikto-2.1.5.tar.gz Desembale con una utilidad de gestor de archivos o utilizar el comando tar siguiente. [root@linuxparty ]# tar -xvf nikto-2.1.5.tar.gz Ahora, ejecute el Nikto script utilizando el comando perl como se muestra a continuación. [root@linuxparty ]# cd nikto-2.1.5 [root@linuxparty nikto-2.1.5]# perl nikto.pl Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ ERROR: No host specified -config+ -Display+ -dbcheck
Use this config file Turn on/off display outputs check database and other key files for syntax
errors -Format+ -Help -host+ -id+ id:pass:realm -list-plugins -output+ -nossl -no404 -Plugins+ -port+ -root+ /directory -ssl -Tuning+ -timeout+ -update -Version -vhost+ + requires
save file (-o) format Extended help information target host Host authentication to use, format is id:pass or List all available plugins Write output to this file Disables using SSL Disables 404 checks List of plugins to run (default: ALL) Port to use (default 80) Prepend root value to all requests, format is Force ssl mode on port Scan tuning Timeout for requests (default 10 seconds) Update databases and plugins from CIRT.net Print plugin and database versions Virtual host (for Host header) a value
Note: This is the short help output. Use -H for full help text. El "ERROR: Host no especificado" está diciendo claramente que no hemos incluido los parámetros necesarios al hacer una prueba. Por lo tanto, tenemos que añadir unos parámetros básicos necesarios para hacer una prueba.
Pruebas básicas
La exploración básica requiere un host que desea orientar su campaña, por defecto escanea el puerto 80, si no se especifica nada. El host puede ser un nombre de host o una dirección IP de un sistema. Se puede especificar un host mediante "la opción -h ". Por ejemplo, quiero hacer una exploración en una IP 172.16.27.56 en el puerto TCP 80 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 80 + Start Time: 2014-01-10 00:48:12 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Retrieved x-powered-by header: PHP/5.3.3 + The anti-clickjacking X-Frame-Options header is not present. + Server leaks inodes via ETags, header found with file /robots.txt, inode: 5956160, size: 24, mtime: 0x4d4865a054e32 + File/dir '/' in robots.txt returned a non-forbidden or redirect HTTP code (200) + "robots.txt" contains 1 entry which should be manually viewed. + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current. + Multiple index files found: index.php, index.htm, index.html + DEBUG HTTP verb may show server debugging information. See http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details. + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-3233: /phpinfo.php: Contains PHP configuration information + OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings. + OSVDB-3092: /test.html: This might be interesting... + OSVDB-3268: /icons/: Directory indexing found. + OSVDB-3233: /icons/README: Apache default file found. + /connect.php?path=http://cirt.net/rfiinc.txt?: Potential PHP MySQL database connection string found. + OSVDB-3092: /test.php: This might be interesting... + 6544 items checked: 0 error(s) and 16 item(s) reported on remote host + End Time: 2014-01-10 00:48:23 (GMT5.5) (11 seconds) --------------------------------------------------------------------------+ 1 host(s) tested
Si desea escanear en un número de puerto diferente, a continuación, añada la opción "-p" [ puertos ]. Por ejemplo, quiero hacer una exploración sobre IP 172.16.27.56 en el puerto TCP 443 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 443 Ejemplo de salida - Nikto v2.1.5
--------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 443 --------------------------------------------------------------------------+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control Validated/CN=*.mid-day.com Ciphers: DHE-RSA-AES256-GCM-SHA384 Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 + Start Time: 2014-01-10 01:08:26 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Server leaks inodes via ETags, header found with file /, inode: 2817021, size: 5, mtime: 0x4d5123482b2e9 + The anti-clickjacking X-Frame-Options header is not present. + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current. + Server is using a wildcard certificate: '*.mid-day.com' + Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE + OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST + OSVDB-3268: /icons/: Directory indexing found. + OSVDB-3233: /icons/README: Apache default file found. + 6544 items checked: 0 error(s) and 8 item(s) reported on remote host + End Time: 2014-01-10 01:11:20 (GMT5.5) (174 seconds) --------------------------------------------------------------------------+ 1 host(s) tested También puede especificar los hosts, puertos y protocolos utilizando una dirección URL completa, y será escaneada. [root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://172.16.27.56:80 También puede escanear cualquier sitio web. Por ejemplo, aquí hice una exploración en google.com . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://www.google.com Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 173.194.38.177 + Target Hostname: www.google.com + Target Port: 80 + Start Time: 2014-01-10 01:13:36 (GMT5.5) --------------------------------------------------------------------------+ Server: gws + Cookie PREF created without the httponly flag + Cookie NID created without the httponly flag + Uncommon header 'x-frame-options' found, with contents: SAMEORIGIN + Uncommon header 'x-xss-protection' found, with contents: 1; mode=block + Uncommon header 'alternate-protocol' found, with contents: 80:quic + Root page / redirects to: http://www.google.co.in/?gws_rd=cr&ei=xIrOUomsCoXBrAee34DwCQ
+ Server banner has changed from 'gws' to 'sffe' which may suggest a WAF, load balancer or proxy is in place + Uncommon header 'x-content-type-options' found, with contents: nosniff + No CGI Directories found (use '-C all' to force check all possible dirs) + File/dir '/groups/' in robots.txt returned a non-forbidden or redirect HTTP code (302) …. El comando anterior llevará a cabo un montón de peticiones http (es decir, más de 2.000 pruebas) en el servidor web.
Testar Múltiples Puertos También puede realizar múltiples puertos de exploración en la misma sesión. Para escanear múltiples puertos en el mismo host, añada " -p "[ -port opción] y especifique la lista de puertos. Los puertos pueden ser definidos como un intervalo (es decir, 80 a 443 ), o como una coma separada (es decir, 80,443 ). Por ejemplo, quiero explorar un puertos 80 y 443 en el host 172.16.27.56 . [root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 80,443
Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ No web server found on cmsstage.mid-day.com:88 --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 80 + Start Time: 2014-01-10 20:38:26 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + Retrieved x-powered-by header: PHP/5.3.3 + The anti-clickjacking X-Frame-Options header is not present. --------------------------------------------------------------------------+ Target IP: 172.16.27.56 + Target Hostname: example.com + Target Port: 443 --------------------------------------------------------------------------+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control Validated/CN=*.mid-day.com Ciphers: DHE-RSA-AES256-GCM-SHA384 Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield Technologies, Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure Certification Authority/serialNumber=10688435 + Start Time: 2014-01-10 20:38:36 (GMT5.5) --------------------------------------------------------------------------+ Server: Apache/2.2.15 (CentOS) + All CGI directories 'found', use '-C none' to test none + Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22). Apache 1.3.42 (final release) and 2.0.64 are also current.
.....
Utilizar un proxy Digamos que un sistema en el que se está ejecutando Nikto sólo tiene acceso al host de destino a través de un proxy HTTP , la prueba todavía se puede realizar utilizando dos maneras diferentes. Uno está utilizando nikto.conf archivo y otra forma es ejecutar directamente desde la línea de comandos . Usando archivo Nikto.conf Abra nikto.conf archivo utilizando cualquier editor de línea de comandos. [root@localhost nikto-2.1.5]# vi nikto.conf Búsqueda de la "variable proxy "y elimine el comentario ' # 'desde el principio de las líneas como se muestra. A continuación, agregue el host proxy , puerto , usuario de proxy y la contraseña . Guarde y cierre el archivo. # Proxy settings -- still must be enabled by -useproxy PROXYHOST=172.16.16.37 PROXYPORT=8080 PROXYUSER=pg PROXYPASS=pg Ahora, ejecute el Nikto usando " -useproxy opción ". Por favor, tenga en cuenta que todas las conexiones serán retransmitidos a través del proxy HTTP . root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -p 80 -useproxy
Ejemplo de salida - Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2014-01-10 21:28:29 (GMT5.5) --------------------------------------------------------------------------+ Server: squid/2.6.STABLE6 + Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6) + The anti-clickjacking X-Frame-Options header is not present. + Uncommon header 'x-squid-error' found, with contents: ERR_CACHE_ACCESS_DENIED 0 + Uncommon header 'x-cache-lookup' found, with contents: NONE from netserv:8080 Usando la línea de comandos Para ejecutar el Nikto directamente desde la línea de comandos con el " -useproxy opción "configurando el proxy como argumento. root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -useproxy http://172.16.16.37:8080/ Ejemplo de salida
- Nikto v2.1.5 --------------------------------------------------------------------------+ Target IP: 127.0.0.1 + Target Hostname: localhost + Target Port: 80 + Start Time: 2014-01-10 21:34:51 (GMT5.5) --------------------------------------------------------------------------+ Server: squid/2.6.STABLE6 + Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6) + The anti-clickjacking X-Frame-Options header is not present. + Uncommon header 'x-squid-error' found, with contents: ERR_CACHE_ACCESS_DENIED 0 + Uncommon header 'x-cache-lookup' found, with contents: NONE from netserv:8080
Actualización de Nikto Puede actualizar Nikto a los últimos plugins y bases de datos de forma automática, simplemente ejecute la " actualización del sistema ". [root@localhost nikto-2.1.5]# perl nikto.pl -update Si hay nuevas actualizaciones disponibles, aparecerá una lista de las nuevas actualizaciones descargado. + Retrieving 'nikto_report_csv.plugin' + Retrieving 'nikto_headers.plugin' + Retrieving 'nikto_cookies.plugin' + Retrieving 'db_tests' + Retrieving 'db_parked_strings' + Retrieving 'CHANGES.txt' + CIRT.net message: Please submit Nikto bugs to http://trac2.assembla.com/Nikto_2/report/2 Maligno es una herramienta de pruebas de penetración de código abierto que sirve cargas útiles Metasploit. Genera código shell con msfvenom y la transmite a través de HTTP o HTTPS. El código shell se cifra con AES y se codifica con Base64 antes de la transmisión. Esta es una colección de herramientas que pueden ser útiles para usted, si usted es un pentester o consultor de seguridad. Todo el código fuente publicado en este sitio web está licenciado bajo la licencia FreeBSD. Utilice el software a su propio riesgo. Es la responsabilidad del usuario obedecer todas las leyes aplicables. El desarrollador o el sitio web Encripto AS no asumen ninguna responsabilidad y no son responsables de cualquier mal uso o daño causado por el software. No descargar ni utilice el software, si usted no está de acuerdo con los términos y condiciones de la licencia. Características. Soporte multi-host Metasploit, soporte de servidor socks4a (Metasploit), último recurso para la redirección de las solicitudes no válidas y hosts fuera de alcance, ofuscación del código de cliente automático, ejecución de carga del cliente retrasada, generación de archivos metasploit automática de recursos.
Sitio web de descarga. http://www.encripto.no/tools/ COMMAND LIST ============ maligno maligno-certgen maligno-client maligno-server maligno-conf-edit maligno-conf-helper maligno-helper
| | | | | |
this helper SSL/TLS certificates generator client/backdoor creator server/listener edit configuration file how to edit the configuration file
Key Logging es el proceso de almacenar las pulsaciones del teclado con/sin el conocimiento del usuario. Keylogging puede ser vía hardware, así como el software. Como claramente indica su nombre, un keylogger de hardware no depende de ningún software y el registro de pulsaciones de teclas se realiza a sí mismo a nivel de hardware. Mientras que un keylogger basado en software depende de un software especial para keylogging. Hay una serie de aplicaciones de software keylogger para casi todas las plataformas ya sea Windows, Mac, Linux. Aquí estamos echaremos un vistazo a un un paquete de aplicaciones llamado Logkeys.
¿Qué es Logkeys? Logkeys es un keylogger Linux. Está más actualizada que cualquier otro keylogger disponible, Además logkeys no bloquea el servidor X, y parece que funciona en todas las situaciones. Logkeys crea un registro de todos los caracteres y las teclas de función. Además logkeys captura la pulsación de Alt y Shift y trabaja bien con las de serie, así como teclados USB. Hay un montón de keyloggers para Windows, pero este no es el caso de Linux. Logkeys no es mejor que cualquier otra aplicación keylogger para Linux, pero sin duda es la que más actualizada se encuentra.
Características
Solucionados problemas con las CPU X86_64
Corrección de errores
Eliminada dependencia pgrep
ID de proceso (PID) en /var/ run
Solucionadas vulnerabilidades
Solucionados problemas de seguridad
Uploading registro remoto en HTTP
Reconoce teclado USB Instalación de Logkeys en Linux Si alguna vez has instalado paquetes tarball de códigos fuentes en Linux, entonces puede instalar fácilmente paquetes logkeys. Si usted no ha instalado un paquete en Linux tarball,
entonces usted tendrá que instalar algunos paquetes que faltan, como el compilador C++ y librerías gcc antes de proceder a la instalación de la fuente. Vamos a proceder a la instalación, primero ir y descargar la última versión logkeys (es decir, la versión logkeys 0.1.1a) paquete de código fuente original en: https://code.google.com/p/logkeys/downloads/list También puede utilizar el comando wget para descargar la última fuente e instalarlo como se muestra a continuación. $ sudo apt-get install build-essential
[en sistemas basados en Debian]
# yum install gcc make gcc-c++
[en sistemas basados en RedHat]
$ $ $ $ $ $
wget https://logkeys.googlecode.com/files/logkeys-0.1.1a.tar.gz tar xvzf logkeys-0.1.1a.tar.gz cd logkeys-0.1.1a ./configure make sudo make install Ahora ejecuta el locale-gen.
$ sudo locale-gen Ejemplo de salida Generating locales... aa_DJ.UTF-8... done aa_ER.UTF-8@saaho... done aa_ER.UTF-8... done aa_ET.UTF-8... done af_ZA.UTF-8... done am_ET.UTF-8... done an_ES.UTF-8... done ar_AE.UTF-8... done ar_BH.UTF-8... done ar_DZ.UTF-8... done ar_EG.UTF-8... done ar_IN.UTF-8... done ar_IQ.UTF-8... done ar_JO.UTF-8... done ar_KW.UTF-8... done ar_LB.UTF-8... done ar_LY.UTF-8... done ar_MA.UTF-8... done ar_OM.UTF-8... done ar_QA.UTF-8... done ar_SA.UTF-8... done ar_SD.UTF-8... done ....... Generation complete. Usos de logkeys logkeys s: iniciar el registro de pulsación de tecla. logkeys k: Matar proceso logkeys.
Para información detallada de logkeys opción Usos, siempre se puede referir. # logkeys –help o # man logkeys Inicio de la aplicación de logkeys mediante el siguiente comando. $ sudo logkeys -s Ejecutar muchos comandos. # # # #
ls pwd ss ifconfig Termine los procesos logkeys .
# logkeys -k Compruebe el archivo de registro que por defecto es '/ var / log / logkeys.log'. # nano /var/log/logkeys.log
Rastreo de las pulsaciones tecleadas. Planificación de Desarrollos futuros:
Añadir soporte para el envío de registros por correo electrónico
Añadir soporte para el contenido del portapapeles de registro
Añadir soporte para el ratón rastrear evento clic del ratón
Endurecimiento Windows 2012 r2
Recomienda la configuración de seguridad de línea de base Windows 8.1, Windows Server 2012 R2 y Internet Explorer 11
Fondo y Resumen Este documento describe opciones de configuración de seguridad recomendada de Windows 8.1, Windows Server 2012 R2 y Internet Explorer 11, usando las instantáneas publicadas anteriormente para Windows 8, Windows Server 2012 y Internet Explorer 10 como punto de partida. Estas directrices están diseñadas para empresas bien administradas. Algunos de los cambios más interesantes de las líneas de base de Windows 8/2012/IE10:
Uso de ajustes nuevos y existentes para ayudar a bloquear algunos pasar los vectores de ataque de Hash Bloquear el uso de los navegadores web en controladores de dominio Incorporación de la mayor mitigación experiencia Toolkit (EMET) en las líneas de base estándar Eliminación de ajustes de inicio de servicio casi todos y todas servidor rol las instantáneas que contienen sólo servicio de ajustes de arranque Retiro de la recomendación para activar el "Modo FIPS"
Contenido Fondo y Resumen Configuración de nuevo en Windows 8.1 y Windows Server 2012 R2 Configuración de nuevo a Internet Explorer 11 Cambios a la configuración heredada de las instantáneas existentes Cambios en todas las instantáneas de producto de Windows Server Pasar el Hash Bloquear el uso de los navegadores Web en controladores de dominio EMET Dirección actualizada Avanzadas de auditoría Recomendaciones de Windows eliminados Quitar Internet Explorer recomendaciones Errores
Configuración de nuevo en Windows 8.1 y Windows Server 2012 R2 Los valores siguientes son nuevos en Windows 8.1 y Windows Server 2012 R2 y se han identificado para la inclusión en el Windows 8.1 y Server 2012 R2 instantáneas de seguridad. Para Windows Server 2012 R2, recomendamos la creación de líneas de base sólo para el "Cumplimiento de seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y "Conformidad de seguridad de servidores miembro". Este más futuro discutimos en la sección "Cambios a ambos nuevos y existentes líneas de base" en "Cambios en todas las instantáneas de producto de Windows Server".
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Equipo Configuración de usuario\Plantillas administrativas\Panel Panel\Personalization
Evitar habilitar cámara de la pantalla de bloqueo
N/A
Habilitado
Usuario no autenticado puede crear contenido en la carpeta de fotos de usuario (manipulación, rechazo, denegación de servicio)
Equipo Configuración de usuario\Plantillas administrativas\Panel Panel\Personalization
Evitar que permite bloquear pantalla de diapositivas
N/A
Habilitado
Información potencialmente confidenc de registra en la carpeta de imágenes d usuario aparece en escritorio bloquead (divulgación de información)
Equipo Configuración del equipo\Plantillas Templates\System\Audit proceso creación
Incluye línea de comandos en los eventos de creación de proceso
N/A
No se configura
Activar únicamente cuando sea necesario; lo contrario es un atacante c derechos de administrador un montón datos, potencialmente incluyendo contraseñas (por ejemplo, de una línea comandos de uso de red).
Equipo Configuración del equipo\Plantillas administrativas\System\Logon
No mostrar la selección de red interfaz de usuario
N/A
Habilitado
Usuario no autenticado no debe ser cap de cambiar las redes. (Manipulación
Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\App tiempo de ejecución
Permite cuentas de Microsoft a ser opcional
N/A
Habilitado
Las empresas tienen que ser capaces d permitir el uso de la aplicación sin atar un MSA o cargar automáticamente dat en SkyDrive.
Opciones de inicio de sesión de equipo Configuración del equipo\Plantillas administrativas\Componentes Components\Windows
Inicio de sesión usuario interactivo pasado automáticamente después de reiniciar el sistema iniciado por el sistema
N/A
Con discapacidad
Requiere Windows retener las credenciales de texto sin formatoequivalente durante el período de sesiones
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Equipo equipo\Configuración Settings\ Asignación de derechos de local locales\Asignación
Negar el acceso a este equipo desde la red
Huéspedes
Huéspedes, cuenta Local
Equipo equipo\Configuración Settings\ Asignación de derechos de local locales\Asignación
Denegar el registro en mediante servicios de escritorio remoto
Huéspedes
Razón de ser
Win8.1/2012R2 introduce dos nuevo grupos de pseudo que puede obtener inicio de sesión local cuenta en su ficha que ha sido portado a Windows 7/2008 y posteriores con2871997 KB. Clientes (para el servidor cuentas locales deben denegará el inic miembro: de sesión de red en sistemas Unidos a invitados, dominio. (Servidor miembro, sustituy cuenta Local y "Cuenta Local" con la "cuenta Local y miembro del miembro del grupo administradores" p grupo evitar romper el failover administradores) clustering.) También, administradores empresa y administradores de domin deben también denegará el acceso a todos los clientes y servidores excepto controladores de dominio y estaciones trabajo de administración dedicada.(No que EA y DA son específicos de domini no se puede especificar en líneas genéricos como los de SCM). Huéspedes, cuenta Local
Win8.1/2012R2 presenta un pseudo nuevo grupo llamado "Cuenta Local" q cualquier inicio de sesión de cuenta loc se pone en su ficha y que ha sido porta a Windows 7/2008R2 y posteriores con 2871997 KB. Los huéspedes y cuen Local deben ser negado sesión de escritorio remoto en sistemas Unidos a dominio. También, administradores d empresa y administradores de domin deben también denegará el acceso a todos los clientes y servidores excepto controladores de dominio y estaciones
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
trabajo de administración dedicada.(No que EA y DA son específicos de domini no se puede especificar en líneas genéricos como los de SCM). Plantillas de equipo Configuración del equipo\Plantillas\SCM: pasar las mitigaciones de Hash
Modo de auditoría de LSASS.exe (HKLMSoftwareMicrosoftWindows NTCurrentVersionImage archivo ejecución Options\LSASS.exe! AuditLevel
Plantillas de equipo Configuración del equipo\Plantillas\SCM: pasar las mitigaciones de Hash
Habilitar la protección de la LSA (HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL)
Taskbar\Notifications y menú de usuario configuración del equipo\Plantillas Templates\Start
Desactivar notificaciones de tostadas en la pantalla de bloqueo
N/A
No se configura
Para obtener más información, consultehttp://technet.microsoft.com/ us/library/dn408187.aspx
Una costumbre plantilla administrativa proporciona para que este ajuste pued configurarse con el editor de directiva grupo. N/A
No se configura
Para obtener más información, consultehttp://technet.microsoft.com/ us/library/dn408187.aspx
Una costumbre plantilla administrativa proporciona para que este ajuste pued configurarse con el editor de directiva grupo. Tenga en cuenta que en máquin UEFI-capaz, una vez que se habilita e valor no se puede desactivar mediant Directiva de grupo solo. N/A
Habilitado
Configuración de nuevo a Internet Explorer 11 Se han identificado las siguientes programaciones para su inclusión en la base de seguridad de Internet Explorer 11.
Divulgación de información
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Equipo Configuración de usuario\Plantillas administrativas\Componentes Windows\Internet Explorer\Panel Control Panel\Advanced página
Activar procesos ficha de 64 bits cuando se ejecuta en modo protegido mejorado en versiones de 64 bits de Windows
N/A
Habilitado
Mayor protección; se romperán algunos sitios, pero se aplica sólo cuando se aplique la planificación
Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Internet zona
N/A
Habilitado: desactivar
Aplicar el valor por defecto
Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Intranet zona
N/A
Habilitado: desactivar
(más fuerte que por defecto, alinea con DoD STIG)
Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Control Panel\Security Page\Local zona de la máquina
N/A
Habilitado: desactivar
(más fuerte que por defecto, alinea con DoD STIG)
Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes
N/A
Habilitado: desactivar
Aplicar el valor por defecto
Camino de la política
Nombre de la Directiva
Windows\Internet Explorer\Panel Panel\Security Page\Restricted sitios zona de Control
programas antimalware
Equipo Configuración de No ejecutar usuario\Plantillas controles ActiveX administrativas\Componentes programas Windows\Internet antimalware Explorer\Panel Panel\Security Page\Trusted sitios zona de Control
Valor anterior
Nuevo valor
Razón de ser
N/A
Habilitado: desactivar
(más fuerte que por defecto, alinea con DoD STIG)
Cambios a la configuración heredada de las instantáneas existentes Esta sección describe los cambios a los ajustes que fueron heredadas de antiguas líneas de base. Estos cambios también será portado a ésos líneas de fondo: Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012. La columna de línea de base describe que las líneas de base se ven afectadas.
Cambios en todas las instantáneas de producto de Windows Server Uno de los cambios que recomendamos para todas las instantáneas de Windows Server es crear y mantener las líneas de base sólo para el "Cumplimiento de seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y "Conformidad de seguridad de servidores miembro". Recomendamos no crear (y eliminar cuando ya existan) instantáneas de rol de servidor para servicios de certificados de AD, DHCP, DNS, File Server, Hyper-V, la política de red y acceso, servidor de impresión, servicios de acceso remoto, servicios de escritorio remoto o servidor Web. La razón de este cambio es porque las instantáneas contienen sólo la configuración de inicio del servicio y simplemente tratan de aplicar los valores predeterminados de sus respectivas funciones. Los problemas con estas líneas de base son que 1) son desperdiciadores de tiempo definir y mantener, ya que valores predeterminados de inicio de servicio pueden cambiar entre versiones del sistema operativo; 2) como uno puede asumir con seguridad que el administrador de servidores incorporado u otras herramientas de configuración hacen su trabajo correctamente, las líneas de base no proporcionan casi ningún beneficio de seguridad; y 3) que pueden crear problemas serios cuando ellos equivocan.Por ejemplo, en algunos casos, Windows configura temporalmente el servicio de Windows Installer (que es normalmente un servicio de Inicio Manual) para ser automáticamente iniciar servicio para que pueda realizar acciones inmediatamente después de un reinicio. La línea base de seguridad que obliga a arranque Manual así causa actualizaciones de no instalarse correctamente. Por ello, también hemos decidido quitar todos los ajustes de inicio de servicio de las líneas de base de servidor que incluyen (por ejemplo, Windows Server 2012 dominio regulador seguridad cumplimiento"). La única excepción es el valor de configuración de inicio de servicio para el servicio de identidad de la aplicación en
controladores de dominio, que se necesitan para apoyar el uso de AppLocker (descrito en la siguiente sección, "Bloquear el uso de los navegadores Web en controladores de dominio").
Pasar el Hash Los siguientes ajustes de cambios se recomiendan para ayudar a mitigar contra paso el Hash y el robo de credenciales similares ataques. Línea de base
Camino de la política
Nombre de la Directiva
Valor anterio r
Nuevo valor
Razón de ser
Todo sistem a operati vo cliente y servido res miemb ro
Plantillas de equipo Configuración del equipo\Plantilla s\SCM: pasar las mitigaciones de Hash
Aplicar restricciones de UAC a las cuentas locales en los inicios de sesión de red
N/A
Permiten (REG_DWO RD 0)
Recomienda "Los ataques de Mitigating Pass-the-Hash (PtH) y otras técnicas de robo de la credencial":http://www.micr osoft.com/enus/download/details.aspx?id =36036
Todos los sistem as operati vos
Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación
(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syste m!LocalAccountTokenFilterPolicy)
Una costumbre plantilla administrativa se proporciona para que este ajuste puede configurarse con el editor de directiva de grupo. Negar el acceso a este equipo desde la red
Huéspe des
Huéspedes, Win8.1/2012R2 introduce dos cuenta nuevos grupos de pseudo que Local puede obtener un inicio de sesión local cuenta en su ficha y que ha sido portado a Windows 7/2008R2 y (para el posteriores con 2871997 servidor KB.Clientes y cuentas locales miembro: deben denegará el inicio de invitados, sesión de red en sistemas cuenta Unidos a un Local y dominio. (Servidor miembro, miembro sustituya "Cuenta Local" con del grupo la "cuenta Local y miembro
Línea de base
Todos OS
Camino de la política
Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación
Nombre de la Directiva
Denegar el registro en mediante servicios de escritorio remoto
Valor anterio r
Huéspe des
Nuevo valor
Razón de ser
administra dores)
del grupo administradores" para evitar romper el failover clustering.)También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).
Huéspedes, cuenta Local
Win8.1/2012R2 presenta un pseudo nuevo grupo llamado "Cuenta Local" que cualquier inicio de sesión de cuenta local se pone en su ficha y que ha sido portado a Windows 7/2008R2 y posteriores con2871997 KB. Los huéspedes y cuenta Local deben ser negado sesión de escritorio remoto en sistemas Unidos a un dominio.También, administradores de empresa y administradores de dominio deben también denegará el
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterio r
Nuevo valor
Razón de ser
acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM). Todos los sistem as operati vos
Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación
Denegar el registro en como un trabajo por lotes
Huéspe des
Huéspedes
También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).
Todos los sistem as operati vos
Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci
Denegar el registro en como un servicio
Huéspe des
Huéspedes
También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterio r
Nuevo valor
ón derechos asignación
Razón de ser
son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).
Todos los sistem as operati vos
Equipo Configuración Windows\Config uración seguridad\Direc tivas locales\Asignaci ón derechos asignación
Denegar el registro en localmente
Huéspe des
Huéspedes
También, administradores de empresa y administradores de dominio deben también denegará el acceso a todos los clientes y servidores excepto los controladores de dominio y estaciones de trabajo de administración dedicada. (Nota que EA y DA son específicos de dominio y no se puede especificar en líneas genéricos como los de SCM).
Todos los sistem as operati vos
Plantillas de equipo Configuración del equipo\Plantilla s\SCM: pasar las mitigaciones de Hash
WDigest autenticación (desactivación puede requerir KB2871997)
N/A
Con discapacida d
WDigest deja contraseñas de texto sin formato-equivalente de los usuarios en la memoria de Lsass.exe. Recomendado en "mitigación paso el Hash y otros credenciales robo, versión 2",http://www.microsoft.com /pth
Bloquear el uso de los navegadores Web en controladores de dominio Está bien establecido dentro de la comunidad de seguridad que es altamente peligroso e innecesario navegar por la web un sistema de alto valor como un controlador de dominio. El propósito de las nuevas recomendaciones de referencia en esta sección es ayudar a prevenir este tipo de comportamiento mediante
el uso de AppLocker para bloquear el uso de navegadores web populares. Porque es imposible impedir que un administrador evitando estas o cualquier otras normas, el verdadero propósito de estas normas es evitar el uso accidental y para dejar claro navegador uso en un DC es desaconsejable. Mientras que estas reglas cubren muchos casos, no debe considerar a ser completa. No sólo hay otros navegadores que no son cubiertos por este conjunto de reglas, hay muchos otros comportamientos que son igualmente peligrosos cuando se realiza en un controlador de dominio y que explícitamente no están bloqueados. En estos casos, estas normas pueden considerarse ilustrativas de un enfoque que puede ser extendido para ser más comprensivo. Estas reglas pueden aplicarse también a otros sistemas de alto valor, tales como servidores de base de datos y dedicados, único propósito administrativos estaciones de trabajo que se utilizan solamente para administrar Active Directory.
Línea de base
Camino de la política
Nombre de la Directiva
Nuevo valor
Razón de ser
Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración local\Datos Control Policies\AppLocker
Permiten la aplicación de normas de ejecutable
Permiten
Bloquear los navegadores web en los DCs
Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control
Bloque de IE
FilePublisherRule: Negar todos
Bloquear los navegadores web en los DCs
PublisherName = "O = MICROSOFT CORPORATION, L = REDMOND, S = WASHINGTON, C = US" ProductName = "WINDOWS® INTERNET EXPLORER" BinaryName = "IEXPLORE. "EXE"
Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control
Bloque de Chrome.exe
FilePublisherRule: Negar todos PublisherName = "O = GOOGLE INC, L = MOUNTAIN VIEW, S = CALIFORNIA, C = US" ProductName = "GOOGLE CHROME"
Bloquear los navegadores web en los DCs
Línea de base
Camino de la política
Nombre de la Directiva
Nuevo valor
Razón de ser
BinaryName = "CHROME. "EXE" Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control
Bloquear Firefox
FilePublisherRule: Negar todos
Bloquear los navegadores web en los DCs
PublisherName = "O = MOZILLA CORPORATION, L = MOUNTAIN VIEW, S = CA, C = US" ProductName = "FIREFOX" BinaryName = "FIREFOX. "EXE"
Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración local\Datos Policies\AppLocker\Executable las normas de Control
Reglas predeterminadas
Permiten que los no administradores ejecutar archivos ejecutables en archivos de programa
Bloquear los navegadores web en los DCs
Permiten que los no administradores ejecutar archivos ejecutables en Windir Permiten que los administradores ejecutar archivos ejecutables en cualquier lugar
Todos los servidores Windows las instantáneas de "Controlador de dominio"
Equipo equipo\Configuración Windows\Configuración Settings\System servicios
Identidad de la aplicación (AppIDSvc)
Modo de inicio de servicio = automático
AppLocker requiere AppIDSvc a la ejecución para hacer cumplir las normas
EMET Se recomienda instalar EMET en todas las estaciones de trabajo y servidores, junto con esta configuración de directiva de Grupo: Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Protecciones de predeterminada para Internet Explorer
N/A
Habilitado
Protecciones de EMET
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Protecciones de predeterminado para el Software Popular
N/A
Habilitado
Protecciones de EMET
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Por defecto las protecciones de Software recomendado
N/A
Habilitado
Protecciones de EMET
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Sistema de ASLR
N/A
Habilitado: Aplicación Opt-In
Protecciones de EMET
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Sistema DEP
N/A
Habilitado: Aplicación Opt-Out
Protecciones de EMET
Equipo Configuración del equipo\Plantillas Templates\Windows Components\EMET
Sistema SEHOP
N/A
Habilitado: Aplicación Opt-Out
Protecciones de EMET
OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Dirección actualizada Esta sección define los valores en todas las instantáneas cubiertas por este informe que debe agregar o cambiar para que sea coherente con otras líneas de base.
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos los sistemas operativos cliente
Equipo Configuración Components\Event registro Service\Application
Especificar el tamaño máximo del registro del archivo (KB)
20480
32768
Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.
Todos los sistemas operativos cliente
Equipo Configuración Components\Event registro Service\Security
Especificar el tamaño máximo del registro del archivo (KB)
20480
196608
Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.
Todos los sistemas operativos cliente
Equipo Configuración Components\Event registro Service\System
Especificar el tamaño máximo del registro del archivo (KB)
20480
32768
Que sea coherente con las recomendaciones del sistema operativo de servidor y aumentar la capacidad diagnóstica y forense.
Todos
Equipo Configuración del equipo\Plantillas Templates\Windows Components\Search
Permite la indización de archivos cifrados
No se configura
Con discapacidad
Divulgación de información;contenido cifrado potencialmente entra sin cifrar índice
Equipo Configuration\ Directiva de bloqueo de cuenta de Windows Windows\Configuración seguridad\Directivas políticas\
Umbral de bloqueo de cuenta
50 intentos de inicio de sesión no válido
10 intentos de inicio de sesión no válido
da de 50 atacantes demasiados tiros; las 50 contraseñas más utilizadas dará los atacantes demasiadas cuentas. Un umbral demasiado bajo provoca bloqueo accidental de contraseñas en caché la aplicación. (Entrada en el blog independiente describe cuestiones con más detalle.)
OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
MSS: (ScreenSaverGracePeriod) el tiempo en segundos antes del período de gracia de protector de pantalla expira (0 recomendado)
0 segundos
5 segundos
Ningún beneficio de seguridad real establecer en 0; Alinee con DoD STIG.
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Seguridad de red: fuerza cierre de sesión cuando expire la hora de inicio de sesión
No se configura
Habilitado
Hacer sesión de horas de trabajo en la red también.
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Control de cuentas de usuario: Comportamiento del indicador de elevación para los administradores en modo aprobación de administrador
Pedir consentimiento para binarios de Windows no
Pedir consentimiento en el escritorio seguro
Hacer consistente (tenga en cuenta que el valor real para Server 2008 tiene que ser "Solicitar autorización", como "escritorio seguro" se especifica en otra opción en Server 2008).
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Control de cuentas de usuario: Comportamiento del indicador de elevación para los usuarios estándar
Solicitud de credenciales
Denegar automáticamente solicitudes de elevación
Elevación del mismo escritorio UAC no es un límite de seguridad; hay maneras más seguras para administrar un sistema.
Todos los servidores miembro
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Seguridad de red: permitir sistema Local con identidad de equipo para NTLM
No definido
Habilitado
Agregado a base de servidor miembro para ser constante con el cliente y líneas base de controlador de dominio
Todos los servidores miembro
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Seguridad de red: permitir sesiones nulas de LocalSystem suplencia
No definido
Con discapacidad
Agregado a base de servidor miembro para ser constante con el cliente y líneas base de controlador de dominio
OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos los sistemas operativos cliente
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación
Tener acceso a este equipo desde la red
Usuarios, los administradores
Usuarios autenticados, los administradores
Que sea coherente con la dirección del servidor
Avanzadas de auditoría La guía de Windows 8 y Windows Server 2012 recomienda "No auditoría" para muchos entornos donde la intención era especificar "No definido" y permitir que las decisiones del cliente. En algunos casos, "No auditoría" hizo caso omiso de una cesación de pagos más seguro. Hemos intentado solucionar todos los casos aquí. Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión
Servicio de autenticación de Kerberos de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión
Auditoría de las operaciones de Ticket de servicio Kerberos
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account inicio de sesión
Auditoría de otros eventos de inicio de sesión de cuenta
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account
Grupo de aplicación de auditoría de gestión
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos los clientes
Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account
Gestión de cuentas de equipo de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Administración de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Account
Auditoría de administración de grupo distribuido
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Detailed seguimiento
Auditoría de actividad DPAPI
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría Policy\Configuration\Audit Policies\Detailed seguimiento
Proceso de terminación de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Detailed seguimiento
Eventos de auditoría de RPC
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso
Replicación de servicio de directorio detallado de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso
Auditoría de acceso de servicio de directorio
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos los clientes
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso
Auditoría cambios de servicio de directorio
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\DS acceso
Replicación de servicio de directorio de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Bloqueo de cuenta de auditoría
Sin auditoría
Éxito
"Ninguna auditoría" era probablemente una entrada equivocada aquí.
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Auditoría IPSec modo extendido
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Modo principal de IPSec auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Modo rápido de IPSec de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Servidor de directivas de red de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS Todos los clientes OS Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Logon y cierre de sesión
Otros eventos inicio/cierre de sesión de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Aplicación de auditoría generado
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría política prueba de acceso Central
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría de servicios de certificación
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Recurso compartido de archivos detallado de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Recurso compartido de archivos de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Sistema de archivos de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría de filtrado de conexión de la plataforma
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría de filtrado plataforma paquete gota
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría manija de manipulación
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría objeto del núcleo
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Otros eventos de acceso del objeto de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Registro de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría de medios de almacenamiento extraíbles
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Object acceso
Auditoría SAM
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy
Cambio de política de autorización de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy
Auditoría de cambio de directiva de plataforma de filtrado
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy
Auditoría de cambio de directiva regla MPSSVC
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Cambio de equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Policy
Otros eventos de cambio de la política de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Privilege uso
Auditoría de uso de privilegio no sensibles
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\Privilege uso
Otros eventos de uso de privilegio de auditoría
Sin auditoría
No definido
Ningún valor de seguridad; mejor que permiten a los clientes a decidir
OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Settings\Advanced auditoría política Configuration\Audit Policies\System
Otros eventos del sistema de auditoría
Sin auditoría
Éxito y el fracaso
"Ninguna auditoría" era probablemente una entrada equivocada aquí.
OS
Recomendaciones de Windows eliminados Esta sección enumera valores que consideramos que debe eliminarse de las recomendaciones de Windows. En muchos casos, proporcionan poco o ningún valor de seguridad. En otros casos, los ajustes ya no son aplicables. Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, hash y firma
Habilitado
No definido
Valor de seguridad limitada; rompe muchos casos de uso legítimo; SSL 3.0 y versiones anterior puede desactivarse a través de otros medios. Discutidos en más detalle aquí: http://blogs.technet.com/b/secguide/archive/2014/04/07/whywe-re-not-recommending-fips-mode-anymore.aspx
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Inicio de sesión interactivo: requerir la autenticación del controlador de dominio para desbloquear la estación de trabajo
Habilitado
No definido
Ningún valor de seguridad
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Control de cuentas de usuario: Elevar sólo archivos ejecutables
Con discapacidad
No definido
Ningún valor de seguridad
OS
Todos OS
Todos OS
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
firmados y validados Todos los sistemas operativos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación
Omitir comprobación de recorrido
Administradores, usuarios, servicio Local, servicio de red
No definido
Ningún valor de seguridad
Todos los sistemas operativos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación
Incrementar un sistema de trabajo del proceso
Administradores, servicio Local
No definido
Ningún valor de seguridad
Todos los sistemas operativos
Instalación de equipo Configuración del equipo\Plantillas Templates\System\Device
Especificar el servidor de búsqueda de actualizaciones de controladores de dispositivo
Habilitado: Buscar servidor administrado
No se configura
Configuración es específica del cliente
Todos
Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación
Desactivar actualizaciones de archivo de contenido de búsqueda compañero
Habilitado
No definido
No aplicable
Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet
Desactivar la tarea de "Publicar en Web" para
Habilitado
No definido
No aplicable
OS
Todos OS
Línea de base
Todos OS
Todos OS
Todos OS
Todos OS
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
de System\Internet comunicación
archivos y carpetas
Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación
Apagar el programa de mejora de experiencia de Windows Messenger cliente
Habilitado
No definido
No aplicable
Equipo Configuración del equipo\Plantillas Templates\ Configuración de Management\Internet de System\Internet comunicación
Apague el controlador de dispositivo de Windows Update en busca
Habilitado
No definido
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\Application
Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo
Con discapacidad
No definido
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\Security
Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo
Con discapacidad
No definido
Ningún valor de seguridad
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Equipo Configuración del equipo\Plantillas Templates\ Windows Components\Event registro Service\System
Controlar el comportamiento de registro de eventos cuando el archivo de registro alcanza su tamaño máximo
Con discapacidad
No definido
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas Templates\ Shell remoto de Windows Components\Windows
Permitir el acceso Shell remoto
Habilitado
No definido
Ningún valor de seguridad (enfrente!)
DC todos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Opciones opciones
Inicio de sesión interactivo: número de inicios de sesión anterior a la caché (en caso de controlador de dominio no está disponible)
inicios de 4 sesión
No definido
No es aplicable ya que el papel es un controlador de dominio.
DC todos
Equipo Configuración Windows\Configuración seguridad\Directivas locales\Asignación derechos asignación
Inicie sesión como un trabajo por lotes
Administradores de
No definido
Dirección anterior evita que algunos escenarios de menor privilegio.
OS
Todos OS
Quitar Internet Explorer recomendaciones Esta sección enumera valores que consideramos que debe eliminarse de las recomendaciones de Internet Explorer. En muchos casos, proporcionan poco o ningún valor de seguridad. En otros casos, los ajustes ya no son aplicables.
Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Todos
Usuario configuración del equipo\Plantillas administrativas\Componentes Components\ Menús de Internet Explorer\Browser
Deshabilitar guardar este programa en la opción de disco
Habilitado
No se configura
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\ Internet Explorer\panel de Control
Deshabilitar la página avanzada
Habilitado
No se configura
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas administrativas\Componentes Components\ Internet Explorer\panel de Control
Deshabilitar la página seguridad
Habilitado
No se configura
Ningún valor de seguridad
Equipo Configuración del equipo\Plantillas Templates\ Zona de Page\Internet de Panel\Security de Windows Windows\Internet Explorer\Panel Control
Permisos de canal de software
Alta seguridad
No se configura
No aplicable
Equipo Configuración del equipo\Plantillas Templates\Windows Windows\Internet Explorer\Panel Control Panel\Security Page\Restricted zona de sitios de
Permisos de canal de software
Alta seguridad
No se configura
No aplicable
IE
Todos IE
Todos IE
Todos IE
Todos IE
Errores Esta sección enumera los defectos de la orientación existente que necesita ser reparado. Línea de base
Camino de la política
Nombre de la Directiva
Valor anterior
Nuevo valor
Razón de ser
Controlador Equipo Configuración de dominio Windows\Configuración seguridad\Directivas locales\Opciones opciones
Servidor de red Microsoft: firmar digitalmente las comunicaciones (siempre)
Con discapacidad
Habilitado
Cambiar el valor de columna "Por defecto" basado en el ajuste incorrecto porhttp://technet.microsoft.com/enus/library/jj852239.aspx
Controlador Equipo Configuración de dominio Windows\Configuración seguridad\Directivas locales\Opciones opciones
Servidor de red Microsoft: firmar digitalmente las comunicaciones (si el cliente está de acuerdo)
Con discapacidad
Habilitado
Cambiar el valor de columna "Por defecto" basado en el ajuste incorrecto porhttp://technet.microsoft.com/enus/library/jj852242.aspx