Seguridad sistema operativo

Seguridad sistema operativo 134

Instalación de fuentes mediante GPO

▪ Configurar una GPO

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

Contraseñas

Seguridad sistema operativo

Se aplica algoritmo

ntds.dit

ED-90-3F-AF-02-FD-23-EE-51-1A-02-B6-

CA-CB-6D-18

SAM SAM: Security Account Manager

LM NTHash NTLMv1 NTLMv2

Contraseñas

LM NTHash NTLMv1 NTLMv2

▪ El sistema más antiguo.

▪ Se deja de utilizar a

partir de Vista/Server

▪ Fácilmente descifrable.

▪ El sistema que

sustituyó a LM.

▪ El algoritmo es del tipo

MD4(UTF-16-LE)

▪ Hace uso de LM y

NTHash para realizar

un intercambio entre

servidor y cliente en

modo reto/respuesta.

▪ Mejora el cifrado de

NTLMv2.

Contraseñas

▪ Syskey (System Key)

o Se trata de una capa adicional de seguridad, un doble factor de autenticación.

o Cifra con otra contraseña los hashes almacenados en la SAM.

o Requiere una contraseña adicional en el inicio del sistema.

Contraseñas

Directiva de contraseñas

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión/Desactivar

inicio de sesión con contraseña de imagen

Recomendación: Habilitada

Implica: No poder configurar una contraseña de imagen ni iniciar sesión con ella.

Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión/Activar

inicio de sesión con PIN cómodo

Recomendación: Deshabilitada

Implica: No dejemos caer en la tentación de usar 1-2-3-4.

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas de

cuenta/Directiva de contraseñas/Exigir historial de contraseñas

Recomendación: 8

Implica: Se almacenarán las contraseñas antiguas para no poder volver a ser usadas.

cuenta/Directiva de contraseñas/Vigencia máxima de la contraseña

Recomendación: 42 días

Implica: Pasados estos días se solicita cambiar la contraseña.

cuenta/Directiva de contraseñas/Vigencia mínima de la contraseña

Recomendación: 2 días

Implica: Una contraseña no puede cambiarse antes de pasar este tiempo.

cuenta/Directiva de contraseñas/Longitud mínima de la contraseña

Recomendación: 12 caracteres

Implica: Qué menos.

cuenta/Directiva de contraseñas/La contraseña debe cumplir los requisitos de complejidad

Implica: No contener el nombre usuario, o partes del mismo. Mínimo 6 caracteres. Que incluya trescategorías de: mayúsculas, minúsculas, dígitos y caracteres no alfanuméricos.

cuenta/Directiva de contraseñas/Almacenar contraseñas con cifrado reversible

Implica: Usar solo si existen aplicaciones que usan protocolos que requieren la contraseña delusuario para la autenticación.

Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas

locales/Opciones de seguridad/Cuentas: limitar el uso de cuentas locales con contraseña en

blanco solo para iniciar sesión en la consola

Implica: Que las cuentas locales no puedan usarse para iniciar sesión desde ubicaciones distintas dela consola física del equipo.

¿Y por qué no hacer uso de la autenticación multifactor?

La autenticación multifactor puede combinar distintos factores:

▪ Algo que sabes: PIN, contraseña, respuesta…

▪ Algo que tienes: Tarjeta, certificado, token…

▪ Algo que eres: Huella dactilar, iris…

Que se dividen en diferentes métodos:

▪ Universal 2nd Factor (U2F)

▪ Physical one-time PIN (OTP)

▪ Biométrica

▪ Tarjetas

▪ Aplicaciones móviles

▪ SMS, e-mails o llamadas de voz

▪ Certificados software

Autenticación multifactor vs. Autenticación de múltiples pasos

Autenticación de múltiples pasos en una arquitectura de múltiples pasos

Autenticación multifactor vs. Autenticación de múltiples pasos

Autenticación multifactor en una arquitectura de múltiples pasos

Gestor de contraseñas

Bóveda

Contraseña maestra

Puntos a favor

▪ Se almacenan todas la claves bajo una

contraseña maestra

Bóveda

Puntos a favor

contraseña maestra

▪ Se sincroniza entre equipos y dispositivos

Bóveda

Puntos a favor

contraseña maestra

▪ Se sincroniza entre equipos y dispositivos

▪ Permite autocompletar

Algunos de los más conocidos:

▪ 1Password

▪ LastPass

▪ Dashlane

▪ KeePass

▪ Enpass

▪ Keeper

▪ Bitwarden

▪ PasswordSafe

161Seguridad sistema operativo

Device Guard

Protege el código ejecutado en el sistema operativo. Protege los procesos y

controladores en modo kernel:

▪ Comprueba que los controladores estén firmados y se encuentren dentro de una

lista de controladores seguros (Entidad WHQL).

▪ Evita la carga de código dinámico.

▪ Bloquea intentos de modificación de código en memoria.

▪ Bloquea cualquier controlador que no esté en la lista de programas seguros

Device Guard

¿Cómo funciona?

▪ Se apoya en VSM (Virtual Secure Mode):

Aprovechar las capacidades de virtualización de la CPU para proporcionar seguridad

de la información en memoria – Virtualization Based Security (VBS)

Virtualización + Microsoft = Hyper-V

Device Guard

¿Cómo funciona?

Device Guard

¿Cómo funciona?

El modo VSM cuenta con tres Trustlets:

▪ Local Security Authority (LSA)

▪ Kernel Mode Code Integrity (KMCI)

▪ Hypervisor Code Integrity (HVCI)

Device Guard

¿Qué necesitamos?

▪ Sistema 64bit

▪ Virtualización CPU:

o VT-x

o AMD-V

▪ UEFI

Device Guard

¿Qué necesitamos?

Configuración del equipo/Plantillas administrativas/Sistema/Device Guard/Activar la

seguridad basada en virtualización

Device Guard

Componentes:

▪ Configurable Code Integrity (CCI): Exige que el código

esté firmado y sea de confianza para ejecutarse.

Device Guard

Componentes:

▪ Configurable Code Integrity (CCI)

▪ VSM Protected Code Integrity: KMCI maneja los

aspectos de control de la aplicación de integridad del

código en modo kernel

Device Guard

Componentes:

▪ Configurable Code Integrity (CCI)

▪ VSM Protected Code Integrity

▪ Platform & UEFI Secure Boot

Device Guard

Proceso PowerShell:

$CIPolicyPath=$env:userprofile+"\Desktop\"

$InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"

$CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"

New-CIPolicy -Level PcaCertificate -FilePath $InitialCIPolicy –UserPEs 3> CIPolicyLog.txt

ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

DeviceGuardPolicy.bin

C:\Windows\System32\CodeIntegrity\

Credential Guard

Credential Guard aisla mediante virtualización las

credenciales.

Normalmente, LSA (Local Security Authority) almacena

las credenciales en memoria.

Mediante Credential Guard, LSAIso permanece aislado

del resto del sistema mediante virtualización

protegiendo las credenciales.

Credential Guard

Microsoft cuenta con una herramienta en PowerShell para verificar el hardware y

activar Device Guard o Credential Guard

https://www.microsoft.com/en-us/download/details.aspx?id=53337

Credential Guard

Comandos disponibles:

▪ Activar HVCI: DG_Readiness.ps1 -Enable -HVCI

▪ Activar CG: DG_Readiness.ps1 -Enable -CG

▪ Verificar si DG/CG están activados: DG_Readiness.ps1 -Ready

▪ Desactivar DG/CG: DG_Readiness.ps1 -Disable

▪ Verificar que el dispositivo es compatible con DG/CG: DG_Readiness.ps1 -Capable

▪ Verificar que el dispositivo es compatible con HVCI: DG_Readiness.ps1 -Capable -HVCI

Desactivar teclas especiales (StickyKeys)

176Seguridad sistema operativo

Usuarios en Windows

▪ Administrador: Control absoluto, no puede

ser borrada. Recomendable modificar su

nombre.

Usuarios en Windows

▪ Administrador

▪ Invitado: Deshabilitada.

Usuarios en Windows

▪ Administrador

▪ Invitado

▪ Initial User: El que se crea durante la

instalación. Dentro del grupo de

administradores y usuarios.

Usuarios en Windows

▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM): El administrador “oculto”.

Posee todos los privilegios sobre el sistema. Más

poder que el administrador.

Usuarios en Windows

▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM)

▪ LocalService: Algún privilegio más que un usuario

normal. Tiene permiso de presentación en el

sistema.

Usuarios en Windows

▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM)

▪ LocalService

▪ NetworkService: Actúa como el sistema en la red.

Grupos en Windows

▪ Administradores: Sólo debería de

pertenecer el administrador y un usuario.

Grupos en Windows

▪ Administradores

▪ Operadores de copia: Sólo pueden hacer

copias de seguridad y restaurarlas. Está

destinado a programas o tareas.

Grupos en Windows

▪ Administradores

▪ Operadores de copia

▪ Invitados: Acceso limitado al sistema.

Tratar de obviarse.

Grupos en Windows

▪ Administradores

▪ Invitados

▪ Operadores de configuración de red:

Ciertos privilegios para manejar

configuración TCP/IP.

Grupos en Windows

▪ Administradores

▪ Invitados

▪ Operadores de configuración de red

▪ Usuarios avanzados: Nivel intermedio

entre administradores y usuarios. No debe

usarse.

Grupos en Windows

▪ Administradores

▪ Invitados

▪ Operadores de configuración de red

▪ Usuarios avanzados

▪ Usuarios: Acceso limitado.

ACL (Access Control Lists)

▪ Definen los permisos que usuarios, grupos

o programas tienen en sistemas NTFS.

▪ Cada una está compuesta por una o más

Access Control Entries (ACE)

▪ Existen tres tipos de listas:

o DACL: Están definidas por el administrador.

o MACL (Mandatory): Predefinidas por el sistema y no están bajo el control de

los administradores.

o SACL: Son las del sistema. Misma estructura que las DACL, pero orientadas a

auditar un objeto: quién ha accedido y si ha tenido éxito la operación.

▪ ¿Cómo funcionan?

Sistema ¿∃ DACL?

Acceder

Se recorre DACL

Sí¿∃ ACE?

Comprobar SID de usuario y

Negar acceso

¡Cuidado con la modificación de las ACL!

▪ Las ACL son propiedades del objeto, del sistema.

▪ Si se pierde el acceso al objeto, no es posible modificarlo y por lo tanto a volver a

modificar sus ACL.

▪ Si como usuario no se tiene acceso a él, se puede acceder como administrador, pero

si también está bloqueado sólo se podrá acceder como SYSTEM.

▪ Existe la posibilidad de que SYSTEM tampoco tenga acceso y se puede provocar que

Windows no arranque.

¡Cuidado con la modificación de las ACL!

En caso de desastre, la configuración NTFS y

permisos de servicios originales están guardados

c:\Windows\inf\Defltbase.inf

Permisos – Recomendaciones básicas

▪ Tratemos de aplicar los permisos y privilegios a

grupos, evitando concederlo a usuarios.

▪ Es más fácil administrar grupos que usuarios.

▪ Es posible negar explícitamente permisos a un

usuario.

▪ Es más fácil aplicar permisos sobre carpetas.

Omitir la comprobación de recorrido

Los permisos de los ficheros se

anteponen a las carpetas.

C:\Users\nombreusuario\Documents\Conf

idencial\acceso_libre.txt

Auditando permisos

¿Por qué?

▪ Porque los permisos permanecen en el objeto aunque se mueva entre carpetas.

▪ Porque los permisos son acumulativos.

https://docs.microsoft.com/es-es/sysinternals/downloads/accessenum

Alternate Data Stream (ADS)

El flujo alterno de datos se introdujo en NTFS para ser compatible con el sistema de

Mac Hierarchical File System (HFS).

https://docs.microsoft.com/es-es/sysinternals/downloads/streams

echo asdasdasdas > uno.txt:dos.txt

notepad uno.txt

notepad uno.txt:dos.txt

dir /a

dir /r

Security Descriptor Definition Language (SDDL)

Se trata de un lenguaje que permite la definición de permisos para un archivo o

servicio del sistema.

C:\Users\Nombre> sc sdshow w32time

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU

)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPLOCRRC;;;LS)(A;;CCSWWPLORC;;;LS)

Más información

SDDLparse

Dynamic Access Control

Es la evolución en la asignación de permisos tradicionales. Permite gran variedad de

atributos: dispositivo, país, etc.

https://blogs.technet.microsoft.com/canitpro/2013/05/06/step-by-step-protecting-

your-information-with-dynamic-access-control/

Permisos en ficheros especiales

Se recomienda negar a los usuarios su ejecución y permitirlo sólo a administradores y

SYSTEM

regedit.exe, arp.exe, at.exe, attrib.exe, cacls.exe, deug.exe, edlin.exe,

eventcreate.exe, eventtriggers.exe, ftp.exe, icacls.exe, nbtstat.exe, net.exe,

net1.exe, netsh.exe, netstat.exe, nslookup.exe, ntbackup.exe, rcp.exe, reg.exe,

regedt32.exe, regini.exe, regsvr32.exe, rexec.exe, route.exe, rsh.exe, sc.exe,

schtasks.exe, secedit.exe, subst.exe, systeminfo.exe, telnet.exe, tftp.exe,

tlntsvr.exe

Permisos en carpetas especiales

Archivo temporal

de navegador

Mis documentos AppData

Eliminar el permiso de ejecución del archivo temporal del navegador

Evitar la ejecución directa de ficheros descargados de Internet. Pero…

Dependiendo la versión puede localizarse en:

▪ C:\Users\Diego\AppData\Local\Microsoft\Windows\Temporary Internet Files

▪ C:\Users\Diego\AppData\Local\Microsoft\Windows\INetCache

Eliminar el permiso de ejecución del archivo temporal del navegador

Dos posibles soluciones:

Double Commander

Eliminar permiso de ejecución de “Mis documentos” y subcarpetas

El directorio de usuario en “Users” o “Documents and settings”, permite el control total

por parte del usuario:

▪ Ejecución programas

▪ Excluir a SYSTEM y Administradores de la ACL

No se puede realizar un

control sobre ficheros

almacenados en el perfil

Será necesario quitarle permisos:

▪ Recorrer carpeta/ejecutar archivo▪ Control total ▪ Cambiar permisos▪ Tomar posesión

Eliminar permisos de ejecución en AppData

¿Por qué?

▪ Porque es un favorito para los virus.

▪ Porque no es habitual crear ficheros o ejecutarlos desde aquí.

Antes de aplicar esta política tener claro las

aplicaciones a las que podría afectar

Eliminar permisos de ejecución en AppData

No olvidar deshabilitar también la herencia

Eliminar permisos de crear archivos en AppData

Aplicación de permisos a objetos y contenedores

Si está desactivada…

Aplica permisos a la carpeta

Aplica permisos a las subcarpetas

Aplica permisos a los archivos

Aplicas permisos a todas las subcarpetas

Aplica permisos a los archivos de todas las

subcarpetas subsiguientes

Sólo esta carpeta X

Esta carpeta, subcarpetas y archivos

X X x x X

Esta carpeta y sus subcarpetas

Esta carpeta y sus archivos

Sólo subcarpetas y archivos

X x x X

Sólo subcarpetas x X

Sólo archivos x X

Aplicación de permisos a objetos y contenedores

Si está activada…

Aplica permisos a la carpeta

Aplica permisos a las subcarpetas

Aplica permisos a los archivos

Aplicas permisos a todas las subcarpetas

Aplica permisos a los archivos de todas las

subcarpetas subsiguientes

Sólo esta carpeta X

Esta carpeta, subcarpetas y archivos

Esta carpeta y sus subcarpetas

Esta carpeta y sus archivos

Sólo subcarpetas y archivos

Sólo subcarpetas x

Sólo archivos x

Opciones extras de seguridad

Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de

seguridad

Implica: Si no se almacena información de auditoría no será posible saber qué ha pasado.

Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM

Implica: Windows permite a los usuarios anónimos realizar ciertas actividades, como enumerar losnombres de cuentas de dominio y recursos compartidos de red.

Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM

Implica: Esta opción de seguridad permite que se apliquen restricciones adicionales en lasconexiones anónimas. No permite la enumeración de cuentas SAM. Esta opción reemplaza Todoscon Usuarios autenticados en los permisos de seguridad para recursos.

Acceso a redes: permitir traducción SID/nombre anónima

Implica: Un usuario anónimo con conocimiento del SID de un administrador podría ponerse encontacto con un equipo que tenga esta directiva habilitada y usarlo para obtener el nombre deladministrador.

Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos

compartidos.

Implica: Cuando está habilitada, esta configuración de seguridad restringe el acceso anónimo arecursos compartidos y canalizaciones a la configuración.

Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para la

autenticación de la red.

Implica: Cada vez que se desee a un recurso remoto será necesario autenticarse. Se trata de evitarla obtención por parte de un atacante de las contraseñas para acceder o incluso el acceso directo.

Criptografía del sistema: forzar la protección con claves seguras para las claves de

usuario almacenadas en el equipo.

Recomendación: El usuario debe escribir una contraseña cada vez que se use una clave

Implica: Será necesario escribir una contraseña para hacer uso de los certificados o claves públicasinstalados.

Dispositivos: impedir que los usuarios instalen controladores de impresora cuando se

conecten a impresoras compartidas.

Implica: No se instalarán los controladores de manera automatizada en usuarios sin privilegios. Lainstalación de impresoras sólo las debería de realizar el administrador.

Inicio de sesión interactivo: Mostrar información del usuario cuando se bloquee la sesión.

Implica: No dar pistas ni de usuarios ni de dominios.

Inicio de sesión interactivo: no mostrar el último nombre de usuario.

Implica: Si un atacante ya conoce el nombre de usuario podría realizar un ataque de fuerza bruta.

Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr.

Implica: Obliga a utilizar Ctrl+Alt+Supr para iniciar la sesión.

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer\DisableMedia

Recomendación: 1

Implica: No se permite la instalación de aplicaciones desde dispositivos extraíbles: CD, DVD o USB.

Asignación extras de derechos de usuario

Permitir inicio de sesión a través de Servicios de Escritorio

Recomendación: Administradores

Implica: Si no se hace uso de Terminal Services se recomienda que el permiso no lo posea nadie.

Denegar el inicio de sesión como servicio

Recomendación: Invitado

Implica: Impedirá registrar un servicio. Lo mejor es denegar el permiso a usuarios concretos.

Tomar posesión de archivos y otros objetos

Implica: En principio nadie debería de tener permiso para tomar posesión de archivos u objetos.

Cargar y descargar controladores de dispositivo

Implica: Los rootkits muchas veces utilizan la instalación de controladores para acceder al sistema.

Firewall de Windows

Permite crear 3 perfiles, o conjunto de reglas, por cada interfaz de red:

▪ Dominio: Almacena la configuración que se desea tener dentro de una red interna

(trabajo).

▪ Privado: Configuración dentro de un entorno privado (casa). Puede ser menos

restrictivo.

▪ Público: Destinado a una red en entorno público o una red desconocida. Será lo más

restrictivo posible.

Firewall de Windows

Es posible configurar tanto las conexiones entrantes como las conexiones salientes.

Para eso se crean reglas que permiten definir:

▪ Programas que pueden hacer uso

▪ Protocolos y puertos

▪ Redes y subredes

▪ Usuarios y equipos

▪ …

Firewall de Windows

Supervisión > Firewall

Firewall de Windows

Reglas de entrada

Firewall de Windows

Reglas de salida

Firewall de Windows

Crear una regla:

▪ Programa

Firewall de Windows

Crear una regla:

▪ Programa

Firewall de Windows

Crear una regla:

▪ Programa

Firewall de Windows

Crear una regla:

▪ Programa

Firewall de Windows

Crear una regla:

▪ Programa

Firewall de Windows

Crear una regla:

▪ Puerto

Firewall de Windows

Crear una regla:

▪ Puerto

Firewall de Windows

Crear una regla:

▪ Puerto

Firewall de Windows

Crear una regla:

▪ Predefinidas

Firewall de Windows

Crear una regla:

▪ Personalizadas

Firewall de Windows

Log de firewall:

Firewall de Windows

Log de firewall:

Firewall de Windows

Log de firewall:

Firewall de Windows

Log de firewall:

Seguridad sistema operativo

Documents

Transcript of Seguridad sistema operativo

Bloque I (Funciones Básicas del Sistema Operativo y la Seguridad de la Información)

7103092 Seguridad a Tecnicas de Defensa Comunes Bajo Variantes Del Sistema Operativo Unix

Copia de seguridad en un sistema operativo

Gestion de Seguridad. Sistema operativo Un sistema operativo es un conjunto de programas que controla los recursos del ordenador y sirve para la ejecución.

Seguridad Informática: Técnicas de defensa comunes bajo variantes del sistema operativo Unix

Sistema operativo

Unidad Seguridad activa: sistema operativo y aplicacionesbiblioteca.esucomex.cl/RCA/Seguridad activa_sistema operativo y aplicaciones.pdf5 Seguridad activa: sistema operativo y aplicaciones

PLAN DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACION No. …csc.gov.co/wp-content/uploads/2019/01/PLAN-DE-SEGURIDAD... · 2019-01-31 · Sistema Operativo Linux: Es un sistema operativo,

Sistema Operativo.

Tipos de sistema operativo y funcionamiento del Sistema Operativo