Extraído de http://www.nnlnews.com/windows.txt
Estimado lector:
Cuando vi los consejos de este muchacho de Symantec Argentina
http://www.lanacion.com.ar/747598 decidí escribir este pequeño tutorial
plagado de reflexiones y seteos, para que traten de no depender tanto de
software comercial de "seguridad" y dependan mas de sus habilidades como
técnicos, administrando sus herramientas de modo seguro y correcto.
Muchos lectores me habían pedido consejo sobre esto en privado y bueno,
hoy decidí descanzar al teclado y contarles un buen modo de hacerlo...
aprovecho ahora que no estoy ligado a ninguna firma, ventajas de ser
freelance. Espero que le sea útil y aguardo su feedback a:
soporte@gmail.com Trabajo, sponsors y charla interesante, son siempre
bienvenidas.
Carlos Tori
www.wedoit.com.ar
Administración basada en seguridad y performance de Windows XP Pro SP2.
Windows XP Pro es literalmente "la peor porquería de uso masivo en el
mercado a nivel seguridad", su nombre lo dice: Es una ventana al intruso.
es que, si fuera muy seguro no daría a lugar a mercados impresionantes como
lo son los antivirus, antispyware y otro tipo de software pago.
( Mercado en el que Microsoft en un futuro cercano va a ofrecer soluciones
pagas - a bajo costo para fidelizar y acaparar en un principio - )
También tiene convenios del tipo políticos para ser tan vulnerable,
pero eso ya es un tema de seguridad de estado (EEUU) y recuerdo siempre el
comentario irónico de un agente del FBI lo fácil que era para ellos
vulnerar XP, no me cuesta creerlo, si ven el servicio Remote Registry
habilitado por defecto y los extraños "bugs" DCOM/RPC descubiertos...
pero dejemos de lado la conspiranoia - yo te dejo entrar a todos los Windows
del mundo con el siguiente parche pero vos no me disolves Microsoft via
juicio por monopolio... done. - y las corporaciones, centrémonos en
una plataforma débil como esta pero teniéndola en modo seguro.
Es posible dejarla de ese modo ? si, pero requiere de minuciosa
administración cosa que un usuario común no puede ni podrá llevarla a cabo,
incluso hasta el punto de dejarla tan segura que *NO necesitaríamos depender*
de software del tipo antivirus o firewalls.
WOOW, LCDLL, COMO ES ESO ?
Veamos el génesis primero... analicemos los 5 principales "problemas" -
amenazas - de un usuario común estando conectado a Internet:
1- Los "hackers" según la prensa y las empresas que venden seguridad
en archivos instalables ( chicos jugando con un scanner para Netbios
como Languard sacando info de carpetas tipo "Mis Documentos"
compartidas en red sin clave de acceso y plantando troyanos en las
carpetas "Inicio" para al reiniciar infectar - dejar backdoor )
2- Virus y gusanos que llegan via Outlook o que escanean la red en busca
de un servicio desactualizado - puerto abierto de determinado servicio y
sistema desactualizado - y/o de password facil o nulo.
3- Spyware, dialers, gusanos y malware en Gral que se instala via Internet
Explorer u otro browser.
4- Ingenieria Social ( en todas sus formas, Pishing, Fake Site, blah bleh )
5- Empleado o socio desleal.
* Personalmente me generan mas miedo las alteraciones de tension que tiene
mi proveedor de energia electrica que todo eso junto.
CUAL ES LA SOLUCION A ESTO ? >
Administracion avanzada y logica, querido amigo.
-------- Instalacion y seteo desde cero. -------
1- Instalamos Windows XP con el Service Pack 2 inclusive desde un CD
booteandolo ( http://www.multingles.net/docs/jmt/xpsp2.htm )
No utilizar el SP3 beta que hay por ahi dando vueltas.
Utilizar el formateo del tipo NTFS normal.
2- Luego instale el mecanismo para que sea posible actualizarlo sin
restricciones
a. Instala Microsoft .NET framework
http://download.microsoft.com/download/8/f/0/8f023ff4-2dc1-4f10-9618-333f5b9f8040/dotnetfx.exe
b. Instala Trixie
http://www.bhelpuri.net/Trixie/TrixieSetup.msi
c. Descarga este file http://nnlnews.com/wgaworkaround.ie.user.js
aqui: C:\Archivos de programa\Bhelpuri\Trixie\Scripts
d. Visita http://windowsupdate.com e instala los 50 patches aprox,
y reinicia las veces que sea necesario.
3- Comenzamos a deshabilitar servicios que se cargan al principio
que hacen debil/inseguro y restan demasiada memoria RAM a nuestro sistema.
Vamos a Inicio > Ejecutar, alli escribimos services.msc y presionamos enter.
Para deshabilitar un servicio hacemos dos clicks sobre el mismo, lo
detenemos si esta ejecutandose y en la solapa desplegable lo ponemos en:
Deshabilitado. La lista de servicios que recomiendo deshabilitar en una
maquina Desktop que no comparte documentos en red ( workstation comun
ejecutiva ) es la siguiente:
Servicio de informe de errores
Registro de sucesos
Notificacion de sucesos del sistema
Ayuda y soporte tecnico
Acceso a dispositivo de interfaz humana
Ayuda de Netbios sobre TCP/IP
Configuracion inalambrica rapida
DDE de red
DSDM de DDE de red
Enrutamiento y acceso remoto
Horario de Windows
Mensajero
Portafolios
Programador de Tareas
Registro Remoto
Servicio de Alerta
Servicios de descubrimiento SSDP
Servicio de restauracion de sistema
Servidor
Servicios de Terminal Server
Reiniciamos para tomar el cambio y asi tener mas agil y mucho mas seguro
nuestro sistema.
4- Seteos de Sistema varios.
En propiedades de Sistema
( Inicio > panel de control > rendimiento y mantenimiento >
sistema > opciones avanzadas
tienes que setear cuestiones de
"Rendimiento" e "Inicio y recuperacion"
En el primero ( configuracion ) asignar mas memoria virtual
y en el segundo ( configuracion ) destildar los 3 casilleros de
la seccion "Error del sistema"
Este seteo hace mas a la performance del sistema.
* Hay configuraciones avanzadas desde Herramientas administrativas
( Directiva de seguridad local, Cuentas, Administracion de equipos )
que pasare por alto - se haran automaticamente mas abajo al cambiar
unos atributos - , dada a que mi intencion no es redactarles una
normativa de instalacion o administracion segura en modo exaustiva,
sino me quedo sin trabajo!
Igualmente no van a correr riesgo alguno implementando esto paso
a paso.
Setear las cuentas de Outlook preferentemente con cuentas pop3 de
Gmail ya que no dejaran pasar binarios y mucho otro tipo de archivo
infectado, excelente filtro antispam.
5- Software complementario.
Aun no terminamos con el seteo de Windows pero antes hay que instalar
algo de software que nos ayudara a tener todo en orden.
Firefox 1.0.7
http://mozilla.osuosl.org/pub/mozilla.org/firefox/releases/1.0.7/win32/es-AR/Firefox%20Setup%201.0.7.exe
No tan vulnerable como el Internet Explorer a la hora del spyware, luego
de instalarle los players de Flash, la java machine y demas plugins,
hay que setearle lo siguiente luego de instalado: Herramientas > Opciones
> Caracteristicas Web > destildar: Permitir que los sitios web instalen
software.
IEPrivacykeeper
http://browsertools.net/downloads/IEPrivacyKeeperSetup.exe
Una versatil utilidad gratuita que al reiniciar nos borra de modo
seguro "toda" traza de uso( historiales, cookies, temporales de todo
tipo, software ejecutado, documentos abiertos, sitios visitados, etc )
Ya sea de Firefox, IE o bien sistema.
Su configuracion es muy simple.
PGP 9.0
http://www.pgp.com/downloads/desktoptrial.html
Para encriptar todo documento o archivo que creamos importante.
6- La principal tecnica de prevencion en Windows en un solo tip.
( Lo que las empresas que comercian productos de seguridad
y todo aquel que viva de desinfectar/reparar maquinas no van a
recomendar jamás... )
Porque una maquina se infecta ? Y porque una maquina se reinfecta
al encenderla nuevamente ? La mayoría de Uds lo sabrá, la maquina
se infecta porque un programa se ejecuto y este cumplió su rutina como
agente infector dado a sus privilegios sobre el sistema, y vuelve a
dispararse ya que ha logrado infiltrar en el registro de Windows y en
la carpeta de sistema su clave y archivos para que ello sucediera
nuevamente una y otra vez.
P:> Como podemos prescindir de un antivirus ? como podemos hacer para
que lo que ejecutemos - o en el peor de los casos se autoejecute - no
pueda escribir en nuestro registro, ni sistema, ni siquiera pueda
instalarse ? R:> Dándole los mínimos privilegios posibles!
P:> Y como lo hacemos en Windows XP Pro SP2?
Suponemos que todo este seteo hasta ahora se realizo bajo el usuario
NNL ( ademas del user administrador ) y este NNL tiene privilegios de
administrador, vamos a habilitar el servicio "Servidor" nuevamente, luego
desde "Herramientas administrativas" vamos a "administración de equipos" y
alli desplegamos Usuarios locales y grupos. Elegimos Usuarios y sobre
el usuario NNL, click derecho, propiedades, miembro de, en donde dice
administradores damos un click y ponemos abajo "Quitar", y luego "Agregar"
y alli escribimos "Invitados" y enter.
Luego acto seguido reiniciamos, logueamos como administrador, paramos y
deshabilitamos el servicio Servidor y listo.
Inicio, cerrar sesión, y logueamos con el usuario NNL ( ahora con
privilegios de Invitado. )
Y ahora que ? el que quiera ver seteos avanzados de Windows no podra, el
que quiera instalar algo en el registro o en el sistema no podra, el
que quiera deshabilitar firewalls u otro tipo de software tampoco podra!
Inclusive si quiere borrar files de sistema...
Veamos, voy a tratar de infectar mi PC con el Spyagent, un poderoso
keylogger stealth ( invisible ) para grabar mis chats y un sin fin de
cosas mas ( monitorizar la pc ) ejecuto el archivo y que obtengo ?
error 75 en ejecucion... no puede escribir en mi registro ni sistema.
Si ejecuto lo que posiblemente me llegue por mail ? por mail no llegara
nada, si seguiste este tutorial y seteaste una cuenta Gmail pop3
no hay peligro
"As a security measure to prevent potential viruses, Gmail does not allow
users to receive executable files (such as files ending in .exe) that
could contain damaging executable code.
Gmail does not accept these types of files, even if they are sent in a
zipped (.zip, .tar, .tgz, .taz, .z, .gz) format. Any message of this
type sent to your Gmail account will be bounced back to the sender. "
Y si por casualidad o esas cosas de la vida te llega algo, al ejecutarlo
a proposito, obtendras el mismo error 75.
Cuales son las contras de este seteo ?
Ninguno, solo hay que cerrar sesion y loguear como administrador para
instalar ( podria usarse click derecho y ejecutar como, pero no lo
recomiendo ) software o desinstalarlo, como asi tambien para usar
determinados software de diseño o pavadas similares.
Ahora ven con otros ojos el antivirus ? y el firewall ? XP siempre tuvo
filtrado, pero a partir del SP2 se le adoso la interfaz grafica o centro
de seguridad ( panelde control ) y desde alli setearse a gusto.
Veamos como paliamos las "gravisimas amenazas" de internet:
1- Los "hackers segun la prensa"
El servicio servidor no esta corriendo, no tenemos carpetas compartidas,
ademas de estar bajo NTFS y estar con el sistema actualizado y el firewall
de Windows XP Pro SP2 activado.
Pueden escanearnos tranquilamente todo el dia. Hackers de pelicula inocuos.
2- Virus y gusanos que llegan via Outlook o que escanean la red en busca de
un servicio desactualizado y/o de password facil o nulo.
Por Outlook +Gmail pop3 no llegara mas spam ni files atachados que sean
ejecutables, incluso aun comprimidas. A esto si le sumamos a que nos
cuidamos de no usar nuestro mail en cadenas o publicarlo por ahi, nada
llegara. Aun asi si llega y lo ejecutamos a proposito, anda se instalara
o infectara. ( creanme que hay seteos mas paranoides pero no quiero
escribir una biblia del hardening Windows, cada dia odio mas esta plataforma
y mas quiero a *BSD )
3- Spyware, dialers, gusanos y malware en Gral que se instala via Internet
Explorer u otro browser
Via Firefox hoy por hoy dudo que se cole alguno ( quiza el dia de mañana )
pero no se podrá instalar, primero por el browser, 2do por el seteo del
browser en si y tercero porque no podrá escribir en nuestro registro ni
files de sistema dado a que no tiene los privilegios suficientes!
4- Ingeniería Social ( en todas sus formas, Pishing, Fake Site, blah bleh )
Si nadie sabe nuestro mail privado de Gmail... a donde van a enviarnos
links, cartitas engañosas y demás ? si algo nos llega sin haberlo solicitado
hay que borrarlo directamente.
5- Empleado o socio desleal.
Ante la duda monitorizar y avisarle de que esta siendo monitorizada la
actividad de la PC por cuestiones de auditoria, con un software instalado
como administrador corriendo en background.
Nada mas simple, nada mas efectivo.
6- Recomendación
* Realizar periódicamente backups en CD y no fiarse de los pen drives ya
que muchos son muy frágiles o directamente tienen una vida útil muy
reducida. - Por mas que les digan que tienen años de garantía -
Podría seguir pero ya me agarro sueño, buen fin de semana.
Esto es parte de la NNL 30 (9)
Si Ud. desea ver las características de seguridad de Windows Vista visite:
http://www.microsoft.com/latam/technet/productos/windows/windowsvista/secfeat.mspx
Sabado 22 de octubre de 2005 / caducidad: 60 dias
...
Evento Viernes 25 de Noviembre de 2005 en el Sheraton Hotel
Nombre del Evento:
" Security & Ethical Hacking " Conference & Exhibition
Mas info: http://www.securityc.com/eventos/esehcef.htm / 4829-7032