Hardening/blindaje con Windows 10 -> ENS

Tiempo de lectura: 7 minutos

Paso 1: Versión de Windows 10 pro y enterprise

Es necesario recordar que el sistema operativo recomendado para uso profesional es Windows 10 Pro y Enterprise. El uso de otras versiones lastran de funcionalidades y seguridad a nuestros equipos.

Vemos aquí una tabla comparativa de versiones:

Esto implica que nuestros sistemas y la información que soportan esté disponible, que esté íntegra, confidencial, amé tenga mecanismos para recuperarse de crisis o minimizarlas.

Eso supone un ciclo de vida, que requiere supervisión continua.

Paso 2: buenas prácticas de seguridad (ISO 27000)

Como he comentado en otros artículos, es necesario conocer estándares probados.

  • DISA (Defense Information Systems Agency)
  • CIS (Center for Internet Security)
  • BSI (German Federal Office for Information Security)
  • ACSC (Australian Cyber Security Center)
  • Microsoft

Cada una de las recomendaciones fueron desarrollados para ayudar a las organizaciones a mejorar sus capacidades de ciberdefensa.

No es necesario recordar que de acuerdo con varios requisitos y regulaciones legales (como el Reglamento General de Protección de Datos de la UE, RGPD), las empresas deben crear documentación y registros para registrar el estado de la seguridad de TI .

Los controles CIS se ajustan a muchas normas y marcos normativos establecidos, incluidos el NIST Cybersecurity Framework (CSF) y NIST SP 800-53, la serie de normas ISO 27000, PCI DSS, HIPAA y otros.

El Esquema Nacional de Seguridad

Si se desea profundizar, en España el organismo equivalente que implementa estas guías es el Centro Criptológico Nacional. Que es una base de buenas prácticas que implementa el Esquema Nacional de Seguridad o ENS.

El ENS establece en tres niveles (bajo, medio o alto) el nivel de cumplimiento que los sistemas informáticos deben satisfacer en función de diferentes factores como, por ejemplo, la disponibilidad de los servicios o la criticidad de la información almacenada.

Además de las herramientas, para ver como está nuestro sistema, podemos usar las guías STIC, de cumplimiento. En cuanto a las herramientas tenemos:

Y en cuanto a las guías:

CCN-STIC-599B19 Configuración segura de Windows 10 (cliente independiente)

CCN-STIC-599A19 Seguridad en Windows 10 (cliente miembro de dominio)

Acercamiento a la configuración blindada de Windows 10

Este tema es realmente profundo, y siempre se debe tener en cuenta la premisa del «compromiso» esto es no se puede prohibir todo, pues debemos ajustarnos al uso. Para no convertir la protección de un sistema en el problema.

Windows es un magnífico sistema operativo, que para adecuar su uso nos dota de herramientas propias como las «Directivas de grupo de Windows» estas opciones de configuración a nivel local o en el ámbito de Windows Server son esenciales para una correcta configuración.

gpedit.msc

En modo gráfico desde aquí.

Las premisas comunes a cualquier blindaje de un sistema informático, son:

  • Arranque seguro de Windows, valorar esta función protege el UEFI/BIOS de un usuario para protegerlo contra ransomware. Los usuarios de Windows 10 pueden configurar la función de arranque seguro para que todo el código que se ejecuta inmediatamente después de que se inicia el sistema operativo debe estar firmado por Microsoft o el fabricante del hardware.

En algunos equipos antiguos, igual esta función aparece como no compatible.

En algunos equipos antiguos, igual esta función aparece como no compatible. Para comprobarlo en >>>Microsoft<<<

En Win. 10 comprobarlo en «información del sistema» …

  • Cifrado de disco con BitLocker de Windows. Los procesos de cifrado codifican los datos de una manera que los hace inutilizables para los usuarios no autorizados que no tienen la clave de descifrado. La principal ventaja del cifrado es que convierte los datos en un formato ilegible que no se puede usar cuando se los roban. Windows ofrece una función llamada BitLocker, que le permite cifrar unidades completas y evitar cambios no autorizados en el sistema. Esto puede tener otros efectos secundarios … casi siempre en equipos antiguos.
  • Minimizar la exposición, controlando de algún modo la instalación y el uso de aplicaciones. Esto es, tener el software instalado, estrictamente necesario, junto al sistema operativo. Todo actualizado.
  • Minimizar el tipo de conexiones, por ejemplo, deshabilitando el acceso remoto y asegurando el tipo de acceso al sistema tanto de entrada y salida. Configurar el firewall, vpn, en definitiva cualquier tipo de conexión.
  • Valorar deshabilitar de la herramienta de administración PowerShell, que permite ejecutar script y, por tanto, facilitar el trabajo de los malos.
  • La configuración periódica de copias de seguridad de archivos puede ayudar a prevenir la pérdida de datos críticos durante desastres como fallas de hardware o ataques de malware. Para ayudarlo a proteger sus datos, Windows 10 ofrece varias herramientas y características, que incluyen:
    • Use el historial de archivos: esta herramienta gratuita puede ayudarlo a hacer copias de seguridad de archivos fácilmente.
    • Cree unidades de recuperación: actúe como imágenes de copia de seguridad desde las que puede restaurar un sistema.
    • O incluso con herramientas de terceros, tener copias de seguridad en la nube.
  • Usar una solución anti-malware más avanzada que Windows Defender. En las pruebas que yo he realizado, en evaluaciones pentester se muestra menos eficaz. Lo ideal sería contemplar soluciones XDR no solo basada en firmas, si no en machine learning o comportamientos…

Aquí más información >>https://illussiona.com/ciberseguridad-avanzada/

Además, es necesario valorar que Windows 10 en su versión Enterprise incorpora una serie de funcionalidades que aportan características de seguridad no incluidas en la versión Pro, en algunos casos están pero incompletas. Dichas funcionalidades nos ayuda a blindar el sistema y son las siguientes:

  • App Locker.
  • MBAM.
  • Direct Access.
  • Windows To Go.
  • Credential Guard.
  • Device Guard.

Así pues, podemos optar por usar la guía o documento que aporta el CCN Cert, que profundiza en los parámetros necesarios a modificar para hacer de Windows 10 enterprise una herramienta consecuente con la privacidad y la protección del sistema.

Es muy recomendable para cualquier profesional que se acerque al soporte en informática, leer estas guías, pues explican las diferencias entre las distintas versiones de Windows 10, así como su itinerario de soporte.

Usando Powershell para hardening Windows 10

Sirva como ejemplo, algunas de las políticas sobre las que podemos actuar para el cometido de este artículo, con powershell:

Configurar las Políticas de contraseñas actuales:

Si deseas verificar las políticas de contraseñas actuales, escribe el siguiente comando y presiona Enter:

Get-ADDefaultDomainPasswordPolicy

Evitar el uso de un pendrive usb, cambiar el valor 3 por el 4:

Set-ItemProperty -Path «HKLM:\SYSTEM\CurrentControlSet\Services\USBSTOR» -Name «Start» -Value 4

Una vez que se abra la ventana de PowerShell, escribe el siguiente comando y presiona Enter:

Set-ExecutionPolicy RemoteSigned

Este comando establece la política de ejecución necesaria para poder ejecutar scripts de PowerShell. A continuación, escribe el siguiente comando y presiona Enter:

Import-Module ActiveDirectory

Este comando importa el módulo de Active Directory necesario para cambiar las políticas de contraseñas. Una vez que hayas importado el módulo, escribe el siguiente comando y presiona Enter:

Set-ADDefaultDomainPasswordPolicy -ComplexityEnabled $true -MinimumPasswordLength 8 -MaxPasswordAge «90.00:00:00» -PasswordHistoryCount 5

Este comando cambia las políticas de contraseñas para la política de contraseñas predeterminada del dominio. En este ejemplo, se habilita la complejidad de la contraseña, se establece una longitud mínima de 8 caracteres, se establece una edad máxima de la contraseña de 90 días y se establece un historial de contraseñas de 5.

Algunos cambios más a considerar, siempre y cuando el uso lo permita, pueden ser:

  1. Configurar Actualizaciones automáticas:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "NoAutoUpdate" -Value 0
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU" -Name "AUOptions" -Value 4
  1. Deshabilitar la página Opciones avanzadas:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoControlPanel" -Value 1
  1. Discos extraíbles: denegar acceso de ejecución:
Set-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoAutorun" -Value 1
  1. Desactivar la aplicación Tienda:
Get-AppxPackage *windowsstore* | Remove-AppxPackage
  1. Desactivar la oferta para actualizar a la versión de Windows más reciente:
Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" -Name "DisableOSUpgrade" -Value 1
  1. Desactivar Reproducción automática:
Set-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers" -Name "DisableAutoplay" -Value 1
  1. Deshabilitar el cambio de configuración de conexión:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Control Panel\Network" -Name "NoProperties" -Value 1
  1. Impedir acceso a las unidades desde Mi PC:
New-ItemProperty -Path "HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoDrives" -Value "4" -PropertyType "Binary" -Force
  1. Impedir el acceso a herramientas de edición del Registro:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\System" -Name "DisableRegistryTools" -Value 1
  1. Impedir el acceso al símbolo del sistema:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\System" -Name "DisableCMD" -Value 1
  1. Impedir que los usuarios personalicen su pantalla de inicio:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Control Panel\Desktop" -Name "NoChangingStartMenu" -Value 1
  1. Impedir que los usuarios reemplacen el símbolo del sistema con Windows PowerShell:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\System" -Name "DisableChangeStartMenu" -Value 1
  1. Ocultar la página Agregar nuevos programas:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoAddRemovePrograms" -Value 1
  1. Ocultar la página Cambiar o quitar programas:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoRemovePrograms" -Value 1
  1. Ocultar la pestaña Configuración:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoSettingsPageVisibility" -Value 1
  1. Prohibir el acceso a Configuración de PC y a Panel de control:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoControlPanel" -Value 1
  1. Prohibir el acceso a propiedades de componentes de una conexión de acceso remoto:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoNetConnectDisconnect" -Value 1
  1. Prohibir la configuración TCP/IP avanzada:
Set-ItemProperty -Path "HKCU:\Software\Policies\Microsoft\Windows\Network Connections" -Name "NC_AllowAdvancedTCPIPConfig" -Value 0
  1. Quitar Agregar o quitar programas:
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Uninstall" -Name "NoAddRemovePrograms" | Set-ItemProperty -Name "NoAddRemovePrograms" -Value 1 -Type DWord -Force
  1. Quitar el menú Archivo del Explorador de Archivos:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows
  1. Para quitar el menú Ejecutar del menú Inicio en Windows 10, se puede utilizar el siguiente script de PowerShell:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoRun" -Value 1

Este script establece el valor de la clave del Registro «NoRun» en 1 en la ruta «HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer», lo que desactiva el menú Ejecutar en el menú Inicio.

  1. Para eliminar la opción de «Equipos próximos» en Ubicaciones de red, se puede utilizar el siguiente script de PowerShell:
Set-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" -Name "NoRecentDocsNetHood" -Value 1

Este script establece el valor de la clave del Registro «NoRecentDocsNetHood» en 1 en la ruta «HKCU:\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer», lo que oculta la opción de «Equipos próximos» en Ubicaciones de red.

Estos son solo algunos ejemplos de comandos de PowerShell que se pueden utilizar para realizar algunas de las configuraciones recomendadas.

Es importante mencionar que debes tener privilegios de administrador para poder ejecutar estos comandos y que es recomendable conocer los efectos de cada uno antes de aplicarlos. Además, siempre es recomendable hacer una copia de seguridad del sistema antes de realizar cualquier cambio importante en la configuración.

No ejecutes estas acciones si no dominas lo que haces.

Automatizando: programas para blindar Windows 10

El sistema operativo Windows 10, es un sistema complejo. Para poder blindarlos podemos acudir a las guías del centro criptográfico nacional, o bien acudir a las herramientas equivalentes del centro norteamericano de ciberseguridad (https://public.cyber.mil/) .

Entre las herramientas, de terceros, para automatizar algunas de las acciones comentadas son:

Además, Win 10 tiene una telemetría para la recopilación de datos que ayuda a la empresa propietaria de Windows, a mejorar sus sistemas. Que también supone un consumo de recursos para generar informes de software, de uso y para prever fallos o informar de estos.

Hay herramientas de terceros que nos ayudan a minimizar o anular esta telemetría. Si bien, esto también supone que una auditoria forense perderíamos información.

  • Privatezilla
  • Syshardener de no virus thank.
  • HardenTools, de securitywithoutborders
  • WPD.APP
  • O&O ShutUp10++
  • Software de fb-pro.com
  • fix-windows-privacy
  • Blackbird v6 …

En cualquier caso, la implementación de este software requiere conocimientos previos para no dañar el sistema. Espero que este resumen le sea de utilidad.

Contacto

Granada, España
Atención online internacional

Conectar

Comunicado

"Existen dos tipos de empresas: las que han sido hackeadas y las que aún no saben que fueron hackeadas" Jhon Chambers