Seguridad sistema operativo

Seguridad sistema operativo 134

Instalación de fuentes mediante GPO

▪ Configurar una GPO




HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

137

Contraseñas

Seguridad sistema operativo

Se aplica algoritmo

ntds.dit

ED-90-3F-AF-02-FD-23-EE-51-1A-02-B6-

CA-CB-6D-18

SAM SAM: Security Account Manager

LM NTHash NTLMv1 NTLMv2

138

Contraseñas


LM NTHash NTLMv1 NTLMv2

▪ El sistema más antiguo.

▪ Se deja de utilizar a

partir de Vista/Server

2008.

▪ Fácilmente descifrable.

▪ El sistema que

sustituyó a LM.

▪ El algoritmo es del tipo

MD4(UTF-16-LE)

▪ Hace uso de LM y

NTHash para realizar

un intercambio entre

servidor y cliente en

modo reto/respuesta.

▪ Mejora el cifrado de

NTLMv2.

139

Contraseñas


▪ Syskey (System Key)

o Se trata de una capa adicional de seguridad, un doble factor de autenticación.

o Cifra con otra contraseña los hashes almacenados en la SAM.

o Requiere una contraseña adicional en el inicio del sistema.

140

Contraseñas



141

Contraseñas



142

Contraseñas



143

Directiva de contraseñas


Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión/Desactivar

inicio de sesión con contraseña de imagen

Recomendación: Habilitada

Implica: No poder configurar una contraseña de imagen ni iniciar sesión con ella.

144



Configuración del equipo/Plantillas administrativas/Sistema/Inicio de sesión/Activar

inicio de sesión con PIN cómodo

Recomendación: Deshabilitada

Implica: No dejemos caer en la tentación de usar 1-2-3-4.

145



Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas de

cuenta/Directiva de contraseñas/Exigir historial de contraseñas

Recomendación: 8

Implica: Se almacenarán las contraseñas antiguas para no poder volver a ser usadas.

146




cuenta/Directiva de contraseñas/Vigencia máxima de la contraseña

Recomendación: 42 días

Implica: Pasados estos días se solicita cambiar la contraseña.

147




cuenta/Directiva de contraseñas/Vigencia mínima de la contraseña

Recomendación: 2 días

Implica: Una contraseña no puede cambiarse antes de pasar este tiempo.

148




cuenta/Directiva de contraseñas/Longitud mínima de la contraseña

Recomendación: 12 caracteres

Implica: Qué menos.

149




cuenta/Directiva de contraseñas/La contraseña debe cumplir los requisitos de complejidad


Implica: No contener el nombre usuario, o partes del mismo. Mínimo 6 caracteres. Que incluya trescategorías de: mayúsculas, minúsculas, dígitos y caracteres no alfanuméricos.

150




cuenta/Directiva de contraseñas/Almacenar contraseñas con cifrado reversible


Implica: Usar solo si existen aplicaciones que usan protocolos que requieren la contraseña delusuario para la autenticación.

151



Configuración del equipo/Configuración de Windows/Configuración de seguridad/Directivas

locales/Opciones de seguridad/Cuentas: limitar el uso de cuentas locales con contraseña en

blanco solo para iniciar sesión en la consola


Implica: Que las cuentas locales no puedan usarse para iniciar sesión desde ubicaciones distintas dela consola física del equipo.

152

¿Y por qué no hacer uso de la autenticación multifactor?


153



La autenticación multifactor puede combinar distintos factores:

▪ Algo que sabes: PIN, contraseña, respuesta…

▪ Algo que tienes: Tarjeta, certificado, token…

▪ Algo que eres: Huella dactilar, iris…

154



Que se dividen en diferentes métodos:

▪ Universal 2nd Factor (U2F)

▪ Physical one-time PIN (OTP)

▪ Biométrica

▪ Tarjetas

▪ Aplicaciones móviles

▪ SMS, e-mails o llamadas de voz

▪ Certificados software

155



Autenticación multifactor vs. Autenticación de múltiples pasos

Autenticación de múltiples pasos en una arquitectura de múltiples pasos

156



Autenticación multifactor vs. Autenticación de múltiples pasos

Autenticación multifactor en una arquitectura de múltiples pasos

157

Gestor de contraseñas


Ge

sto

r

Bóveda

Bóveda

Bóveda

Bóveda

Contraseña maestra

Puntos a favor

▪ Se almacenan todas la claves bajo una

contraseña maestra

158



Ges

tor

Bóveda

Bóveda

Bóveda

Bóveda

Puntos a favor


contraseña maestra

▪ Se sincroniza entre equipos y dispositivos

159



Ges

tor

Bóveda

Bóveda

Bóveda

Bóveda

Puntos a favor


contraseña maestra

▪ Se sincroniza entre equipos y dispositivos

▪ Permite autocompletar

160



Algunos de los más conocidos:

▪ 1Password

▪ LastPass

▪ Dashlane

▪ KeePass

▪ Enpass

▪ Keeper

▪ Bitwarden

▪ PasswordSafe

https://www.1password.com/

https://www.lastpass.com/es

https://www.dashlane.com/es

https://keepass.info/

https://www.enpass.io/

https://keepersecurity.com/es_ES/

https://bitwarden.com/

https://pwsafe.org/

161Seguridad sistema operativo

162

Device Guard


Protege el código ejecutado en el sistema operativo. Protege los procesos y

controladores en modo kernel:

▪ Comprueba que los controladores estén firmados y se encuentren dentro de una

lista de controladores seguros (Entidad WHQL).

▪ Evita la carga de código dinámico.

▪ Bloquea intentos de modificación de código en memoria.

▪ Bloquea cualquier controlador que no esté en la lista de programas seguros

163

Device Guard


¿Cómo funciona?

▪ Se apoya en VSM (Virtual Secure Mode):

Aprovechar las capacidades de virtualización de la CPU para proporcionar seguridad

de la información en memoria – Virtualization Based Security (VBS)

Virtualización + Microsoft = Hyper-V

164

Device Guard


¿Cómo funciona?

165

Device Guard


¿Cómo funciona?

El modo VSM cuenta con tres Trustlets:

▪ Local Security Authority (LSA)

▪ Kernel Mode Code Integrity (KMCI)

▪ Hypervisor Code Integrity (HVCI)

166

Device Guard


¿Qué necesitamos?

▪ Sistema 64bit

▪ Virtualización CPU:

o VT-x

o AMD-V

▪ UEFI

167

Device Guard


¿Qué necesitamos?

Configuración del equipo/Plantillas administrativas/Sistema/Device Guard/Activar la

seguridad basada en virtualización


168

Device Guard


Componentes:

▪ Configurable Code Integrity (CCI): Exige que el código

esté firmado y sea de confianza para ejecutarse.

169

Device Guard


Componentes:

▪ Configurable Code Integrity (CCI)

▪ VSM Protected Code Integrity: KMCI maneja los

aspectos de control de la aplicación de integridad del

código en modo kernel

170

Device Guard


Componentes:

▪ Configurable Code Integrity (CCI)

▪ VSM Protected Code Integrity

▪ Platform & UEFI Secure Boot

171

Device Guard


Proceso PowerShell:

$CIPolicyPath=$env:userprofile+"\Desktop\"

$InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"

$CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"

New-CIPolicy -Level PcaCertificate -FilePath $InitialCIPolicy –UserPEs 3> CIPolicyLog.txt

ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

DeviceGuardPolicy.bin

C:\Windows\System32\CodeIntegrity\

172

Credential Guard


Credential Guard aisla mediante virtualización las

credenciales.

Normalmente, LSA (Local Security Authority) almacena

las credenciales en memoria.

Mediante Credential Guard, LSAIso permanece aislado

del resto del sistema mediante virtualización

protegiendo las credenciales.

173

Credential Guard


Microsoft cuenta con una herramienta en PowerShell para verificar el hardware y

activar Device Guard o Credential Guard

https://www.microsoft.com/en-us/download/details.aspx?id=53337

https://www.microsoft.com/en-us/download/details.aspx?id=53337

174

Credential Guard


Comandos disponibles:

▪ Activar HVCI: DG_Readiness.ps1 -Enable -HVCI

▪ Activar CG: DG_Readiness.ps1 -Enable -CG

▪ Verificar si DG/CG están activados: DG_Readiness.ps1 -Ready

▪ Desactivar DG/CG: DG_Readiness.ps1 -Disable

▪ Verificar que el dispositivo es compatible con DG/CG: DG_Readiness.ps1 -Capable

▪ Verificar que el dispositivo es compatible con HVCI: DG_Readiness.ps1 -Capable -HVCI

175

Desactivar teclas especiales (StickyKeys)


176Seguridad sistema operativo

177

Usuarios en Windows


▪ Administrador: Control absoluto, no puede

ser borrada. Recomendable modificar su

nombre.

178

Usuarios en Windows


▪ Administrador

▪ Invitado: Deshabilitada.

179

Usuarios en Windows


▪ Administrador

▪ Invitado

▪ Initial User: El que se crea durante la

instalación. Dentro del grupo de

administradores y usuarios.

180

Usuarios en Windows


▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM): El administrador “oculto”.

Posee todos los privilegios sobre el sistema. Más

poder que el administrador.

181

Usuarios en Windows


▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM)

▪ LocalService: Algún privilegio más que un usuario

normal. Tiene permiso de presentación en el

sistema.

182

Usuarios en Windows


▪ Administrador

▪ Invitado

▪ Initial User

▪ LocalSystem (SYSTEM)

▪ LocalService

▪ NetworkService: Actúa como el sistema en la red.

183

Grupos en Windows


▪ Administradores: Sólo debería de

pertenecer el administrador y un usuario.

184

Grupos en Windows


▪ Administradores

▪ Operadores de copia: Sólo pueden hacer

copias de seguridad y restaurarlas. Está

destinado a programas o tareas.

185

Grupos en Windows


▪ Administradores

▪ Operadores de copia

▪ Invitados: Acceso limitado al sistema.

Tratar de obviarse.

186

Grupos en Windows


▪ Administradores


▪ Invitados

▪ Operadores de configuración de red:

Ciertos privilegios para manejar

configuración TCP/IP.

187

Grupos en Windows


▪ Administradores


▪ Invitados

▪ Operadores de configuración de red

▪ Usuarios avanzados: Nivel intermedio

entre administradores y usuarios. No debe

usarse.

188

Grupos en Windows


▪ Administradores


▪ Invitados

▪ Operadores de configuración de red

▪ Usuarios avanzados

▪ Usuarios: Acceso limitado.

189

ACL (Access Control Lists)


▪ Definen los permisos que usuarios, grupos

o programas tienen en sistemas NTFS.

▪ Cada una está compuesta por una o más

Access Control Entries (ACE)

190



▪ Existen tres tipos de listas:

o DACL: Están definidas por el administrador.

o MACL (Mandatory): Predefinidas por el sistema y no están bajo el control de

los administradores.

o SACL: Son las del sistema. Misma estructura que las DACL, pero orientadas a

auditar un objeto: quién ha accedido y si ha tenido éxito la operación.

191



▪ ¿Cómo funcionan?

Sistema ¿∃ DACL?

Acceder

Se recorre DACL

FAT

No

Sí¿∃ ACE?

Comprobar SID de usuario y

grupo

Sí

Negar acceso

No

192



¡Cuidado con la modificación de las ACL!

▪ Las ACL son propiedades del objeto, del sistema.

▪ Si se pierde el acceso al objeto, no es posible modificarlo y por lo tanto a volver a

modificar sus ACL.

▪ Si como usuario no se tiene acceso a él, se puede acceder como administrador, pero

si también está bloqueado sólo se podrá acceder como SYSTEM.

▪ Existe la posibilidad de que SYSTEM tampoco tenga acceso y se puede provocar que

Windows no arranque.

193



¡Cuidado con la modificación de las ACL!

En caso de desastre, la configuración NTFS y

permisos de servicios originales están guardados

c:\Windows\inf\Defltbase.inf

194

Permisos – Recomendaciones básicas


▪ Tratemos de aplicar los permisos y privilegios a

grupos, evitando concederlo a usuarios.

▪ Es más fácil administrar grupos que usuarios.

▪ Es posible negar explícitamente permisos a un

usuario.

▪ Es más fácil aplicar permisos sobre carpetas.

195

Omitir la comprobación de recorrido


Los permisos de los ficheros se

anteponen a las carpetas.

C:\Users\nombreusuario\Documents\Conf

idencial\acceso_libre.txt

196

Auditando permisos


¿Por qué?

▪ Porque los permisos permanecen en el objeto aunque se mueva entre carpetas.

▪ Porque los permisos son acumulativos.

https://docs.microsoft.com/es-es/sysinternals/downloads/accessenum

https://docs.microsoft.com/es-es/sysinternals/downloads/accessenum

197

Alternate Data Stream (ADS)


El flujo alterno de datos se introdujo en NTFS para ser compatible con el sistema de

Mac Hierarchical File System (HFS).

https://docs.microsoft.com/es-es/sysinternals/downloads/streams

echo asdasdasdas > uno.txt:dos.txt

notepad uno.txt

notepad uno.txt:dos.txt

dir /a

dir /r

https://docs.microsoft.com/es-es/sysinternals/downloads/streams

198

Security Descriptor Definition Language (SDDL)


Se trata de un lenguaje que permite la definición de permisos para un archivo o

servicio del sistema.

C:\Users\Nombre> sc sdshow w32time

D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU

)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPLOCRRC;;;LS)(A;;CCSWWPLORC;;;LS)

Más información

SDDLparse

https://support.microsoft.com/es-es/help/914392/best-practices-and-guidance-for-writers-of-service-discretionary-acces

blogs.microsoft.co.il/files/folders/guyt/entry70399.aspx

199

Dynamic Access Control


Es la evolución en la asignación de permisos tradicionales. Permite gran variedad de

atributos: dispositivo, país, etc.

https://blogs.technet.microsoft.com/canitpro/2013/05/06/step-by-step-protecting-

your-information-with-dynamic-access-control/

https://blogs.technet.microsoft.com/canitpro/2013/05/06/step-by-step-protecting-your-information-with-dynamic-access-control/

200

Permisos en ficheros especiales


Se recomienda negar a los usuarios su ejecución y permitirlo sólo a administradores y

SYSTEM

regedit.exe, arp.exe, at.exe, attrib.exe, cacls.exe, deug.exe, edlin.exe,

eventcreate.exe, eventtriggers.exe, ftp.exe, icacls.exe, nbtstat.exe, net.exe,

net1.exe, netsh.exe, netstat.exe, nslookup.exe, ntbackup.exe, rcp.exe, reg.exe,

regedt32.exe, regini.exe, regsvr32.exe, rexec.exe, route.exe, rsh.exe, sc.exe,

schtasks.exe, secedit.exe, subst.exe, systeminfo.exe, telnet.exe, tftp.exe,

tlntsvr.exe

201

Permisos en carpetas especiales


Archivo temporal

de navegador

Mis documentos AppData

202

Eliminar el permiso de ejecución del archivo temporal del navegador


Evitar la ejecución directa de ficheros descargados de Internet. Pero…

Dependiendo la versión puede localizarse en:

▪ C:\Users\Diego\AppData\Local\Microsoft\Windows\Temporary Internet Files

▪ C:\Users\Diego\AppData\Local\Microsoft\Windows\INetCache

203

Eliminar el permiso de ejecución del archivo temporal del navegador


Dos posibles soluciones:

Double Commander

204

Eliminar permiso de ejecución de “Mis documentos” y subcarpetas


El directorio de usuario en “Users” o “Documents and settings”, permite el control total

por parte del usuario:

▪ Ejecución programas

▪ Excluir a SYSTEM y Administradores de la ACL

No se puede realizar un

control sobre ficheros

almacenados en el perfil

Será necesario quitarle permisos:

▪ Recorrer carpeta/ejecutar archivo▪ Control total ▪ Cambiar permisos▪ Tomar posesión

205

Eliminar permisos de ejecución en AppData


¿Por qué?

▪ Porque es un favorito para los virus.

▪ Porque no es habitual crear ficheros o ejecutarlos desde aquí.

Antes de aplicar esta política tener claro las

aplicaciones a las que podría afectar

206

Eliminar permisos de ejecución en AppData


No olvidar deshabilitar también la herencia

207

Eliminar permisos de crear archivos en AppData


208

Aplicación de permisos a objetos y contenedores


Si está desactivada…

Aplica permisos a la carpeta

Aplica permisos a las subcarpetas

Aplica permisos a los archivos

Aplicas permisos a todas las subcarpetas

Aplica permisos a los archivos de todas las

subcarpetas subsiguientes

Sólo esta carpeta X

Esta carpeta, subcarpetas y archivos

X X x x X

Esta carpeta y sus subcarpetas

X X X

Esta carpeta y sus archivos

x x X

Sólo subcarpetas y archivos

X x x X

Sólo subcarpetas x X

Sólo archivos x X

209

Aplicación de permisos a objetos y contenedores


Si está activada…

Aplica permisos a la carpeta

Aplica permisos a las subcarpetas

Aplica permisos a los archivos

Aplicas permisos a todas las subcarpetas

Aplica permisos a los archivos de todas las

subcarpetas subsiguientes

Sólo esta carpeta X

Esta carpeta, subcarpetas y archivos

X X x

Esta carpeta y sus subcarpetas

X X

Esta carpeta y sus archivos

x x

Sólo subcarpetas y archivos

X x

Sólo subcarpetas x

Sólo archivos x

210

Opciones extras de seguridad


Auditoría: apagar el sistema de inmediato si no se pueden registrar las auditorías de

seguridad


Implica: Si no se almacena información de auditoría no será posible saber qué ha pasado.

211



Acceso a redes: no permitir enumeraciones anónimas de cuentas y recursos compartidos SAM


Implica: Windows permite a los usuarios anónimos realizar ciertas actividades, como enumerar losnombres de cuentas de dominio y recursos compartidos de red.

212



Acceso a redes: no permitir enumeraciones anónimas de cuentas SAM


Implica: Esta opción de seguridad permite que se apliquen restricciones adicionales en lasconexiones anónimas. No permite la enumeración de cuentas SAM. Esta opción reemplaza Todoscon Usuarios autenticados en los permisos de seguridad para recursos.

213



Acceso a redes: permitir traducción SID/nombre anónima


Implica: Un usuario anónimo con conocimiento del SID de un administrador podría ponerse encontacto con un equipo que tenga esta directiva habilitada y usarlo para obtener el nombre deladministrador.

214



Acceso a redes: restringir acceso anónimo a canalizaciones con nombre y recursos

compartidos.


Implica: Cuando está habilitada, esta configuración de seguridad restringe el acceso anónimo arecursos compartidos y canalizaciones a la configuración.

215



Acceso a redes: no permitir el almacenamiento de contraseñas y credenciales para la

autenticación de la red.


Implica: Cada vez que se desee a un recurso remoto será necesario autenticarse. Se trata de evitarla obtención por parte de un atacante de las contraseñas para acceder o incluso el acceso directo.

216



Criptografía del sistema: forzar la protección con claves seguras para las claves de

usuario almacenadas en el equipo.

Recomendación: El usuario debe escribir una contraseña cada vez que se use una clave

Implica: Será necesario escribir una contraseña para hacer uso de los certificados o claves públicasinstalados.

217



Dispositivos: impedir que los usuarios instalen controladores de impresora cuando se

conecten a impresoras compartidas.


Implica: No se instalarán los controladores de manera automatizada en usuarios sin privilegios. Lainstalación de impresoras sólo las debería de realizar el administrador.

218



Inicio de sesión interactivo: Mostrar información del usuario cuando se bloquee la sesión.


Implica: No dar pistas ni de usuarios ni de dominios.

219



Inicio de sesión interactivo: no mostrar el último nombre de usuario.


Implica: Si un atacante ya conoce el nombre de usuario podría realizar un ataque de fuerza bruta.

220



Inicio de sesión interactivo: no requerir Ctrl+Alt+Supr.


Implica: Obliga a utilizar Ctrl+Alt+Supr para iniciar la sesión.

221



HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer\DisableMedia

Recomendación: 1

Implica: No se permite la instalación de aplicaciones desde dispositivos extraíbles: CD, DVD o USB.

222

Asignación extras de derechos de usuario


Permitir inicio de sesión a través de Servicios de Escritorio

Recomendación: Administradores

Implica: Si no se hace uso de Terminal Services se recomienda que el permiso no lo posea nadie.

223



Denegar el inicio de sesión como servicio

Recomendación: Invitado

Implica: Impedirá registrar un servicio. Lo mejor es denegar el permiso a usuarios concretos.

224



Tomar posesión de archivos y otros objetos


Implica: En principio nadie debería de tener permiso para tomar posesión de archivos u objetos.

225



Cargar y descargar controladores de dispositivo


Implica: Los rootkits muchas veces utilizan la instalación de controladores para acceder al sistema.

226

Firewall de Windows


Permite crear 3 perfiles, o conjunto de reglas, por cada interfaz de red:

▪ Dominio: Almacena la configuración que se desea tener dentro de una red interna

(trabajo).

▪ Privado: Configuración dentro de un entorno privado (casa). Puede ser menos

restrictivo.

▪ Público: Destinado a una red en entorno público o una red desconocida. Será lo más

restrictivo posible.

227

Firewall de Windows


228

Firewall de Windows


Es posible configurar tanto las conexiones entrantes como las conexiones salientes.

Para eso se crean reglas que permiten definir:

▪ Programas que pueden hacer uso

▪ Protocolos y puertos

▪ Redes y subredes

▪ Usuarios y equipos

▪ …

229

Firewall de Windows


230

Firewall de Windows


Supervisión > Firewall

231

Firewall de Windows


Reglas de entrada

232

Firewall de Windows


Reglas de salida

233

Firewall de Windows


Crear una regla:

▪ Programa

234

Firewall de Windows


Crear una regla:

▪ Programa

235

Firewall de Windows


Crear una regla:

▪ Programa

236

Firewall de Windows


Crear una regla:

▪ Programa

237

Firewall de Windows


Crear una regla:

▪ Programa

238

Firewall de Windows


Crear una regla:

▪ Puerto

239

Firewall de Windows


Crear una regla:

▪ Puerto

240

Firewall de Windows


Crear una regla:

▪ Puerto

241

Firewall de Windows


Crear una regla:

▪ Predefinidas

242

Firewall de Windows


Crear una regla:

▪ Personalizadas

243

Firewall de Windows


Log de firewall:

244

Firewall de Windows


Log de firewall:

245

Firewall de Windows


Log de firewall:

246

Firewall de Windows


Log de firewall:

Seguridad sistema operativo

Documents

Transcript of Seguridad sistema operativo