Endurecimiento en LINUX

Todo el mundo dice que Linux es seguro de forma predeterminada y convino en cierta
medida (el tema es discutible). Sin embargo, Linux tiene un modelo de seguridad
incorporado por defecto. Pero tambin tiene la necesidad de ajustar y personalizarla segn
sus necesidades que te pueden ayudar a hacer que el sistema sea ms seguro. Haciendo
Linux ms difcil de manejar, y ofrece ms flexibilidad y opciones de configuracin.

Asegurar un sistema en produccin de las manos de hackers y crackers es una tarea

difcil para un administrador del sistema. Este es nuestro primer artculo relacionado a
Cmo proteger el sistema Linux" o "endurecimiento de un Linux". En este post
vamos a explicar 25 consejos y trucos tiles para proteger el sistema Linux. Espero,
que los consejos y trucos le ayudarn a ampliar y a proteger sus datos personales.

1. Sistema de Seguridad Fsica

Configure la BIOS para deshabilitar el arranque desde CD / DVD, dispositivos
externos, unidad de disquete en la BIOS. A continuacin, habilite la contrasea del
BIOS y tambin proteja GRUB con contrasea para restringir el acceso fsico de su
sistema.

1. Establecer contrasea GRUB para proteger los servidores de Linux

2. La creacin de particiones
Es importante tener diferentes particiones para obtener mayor seguridad de los datos en
caso de que si ocurre cualquier desastre. Mediante la creacin de diferentes particiones,
los datos pueden ser separados y agrupados.

Cuando se produce un accidente inesperado, slo los datos de la particin se daarn,

mientras que los datos en otras particiones sobrevivirn. Asegrese de que dispone de las
siguientes particiones separadas y asegurarse de que las aplicaciones de terceros se deben
instalarse en los sistemas de archivos independientes en /opt.
/
/boot
/usr
/var
/home
/tmp
/opt

3. Minimizar Paquetes para minimizar la vulnerabilidad

De verdad quieres todo tipo de servicios instalado? Se recomienda evitar la instalacin de
paquetes intiles para evitar vulnerabilidades en los paquetes ya instalados. Esto puede
minimizar el riesgo que comprometa un servicio y que puede llevar a comprometer otros
servicios. Encontrar y eliminar o deshabilitar los servicios no deseados del servidor para
minimizar la vulnerabilidad. Utilice el comando "chkconfig" para averiguar los servicios
que se ejecutan en el nivel de ejecucin 3.
 # /sbin/chkconfig --list |grep '3:on'

Una vez que hayas averiguado cualquier servicio no deseado que se est ejecutando,
desactivarlos mediante el siguiente comando.
# chkconfig serviceName off

Utilice el gestor de paquetes RPM, como herramientas "yum" o "apt-get" para listar
todos los paquetes instalados en un sistema y eliminarlos mediante el siguiente comando.
# yum -y remove package-name
# sudo apt-get remove package-name

Equivalencias entre DEB y RPM, y tambin APT y YUM para Linux

4. Compruebe Puertos de escucha de red

Con la ayuda de comandos de redes 'netstat' se pueden ver todos los puertos abiertos y
los programas asociados. Como he dicho anteriormente utilizar el
comando"chkconfig 'para desactivar todos los servicios de red no deseados del sistema.
# netstat -tulpn

1. 20 Comandos Netstat para la administracin de red en Linux

5. Use Secure Shell (SSH)

Telnet y rlogin utiliza protocolos de texto plano, sin formato cifrado, de por si, esto ya es
un fallo de seguridad. SSH es un protocolo seguro que usa de la tecnologa de cifrado
durante la comunicacin con el servidor.

Nunca entre directamente como root a menos que sea necesario. Utilice "sudo" para
ejecutar comandos. sudo se especifican en /etc/sudoers tambin puede ser editado con
la utilidad "visudo", que se abre en el editor VI.

Tambin es recomendable cambiar el nmero de puerto 22 por defecto SSH por otro
nmero de puerto ms alto. Abra el archivo principal de configuracin de SSH y edite
algunos parmetros siguientes para evitar que los usuarios tengan acceso.
# vi /etc/ssh/sshd_config

Deshabilitar root Login

PermitRootLogin no

Permitir slo usuarios especficos

AllowUsers username

Usar SSH Protocolo 2 Version

Protocol 2

1. 5 mejores prcticas para asegurar y proteger servidor SSH

6. Mantenga actualizados del sistema

 Siempre mantenga el sistema actualizado con los ltimos parches de versiones, revisiones
de seguridad y del ncleo cuando est disponible.
# yum updates
# yum check-update

7. Cronjobs Lockdown
Cron tiene su propia funcin incorporada, donde permite especificar quin puede y quin
no lo desea, ejecutar los trabajos. Esto se controla mediante el uso de archivos
llamado /etc/cron.allow y /etc/cron.deny. Para bloquear a un usuario utilizando cron,
slo tiene que aadir los nombres de usuario en cron.deny y permitir a un usuario
ejecutar cron, complemento en el archivo cron.allow. Si desea desactivar todos los
usuarios el uso de cron, agregue la lnea "ALL" en el archivo cron.deny.
# echo ALL >>/etc/cron.deny

1. 11 Cron Programacin de ejemplos en Linux

8. Desactivar detectar la memoria USB

Muchas veces sucede que queremos restringir a otros usuarios el uso de memoria USB en
los sistemas para proteger y asegurar los datos de ser robados. Cree un
archivo/etc/modprobe.d /no-usb 'y aadiendo a continuacin la lnea no detectar el
almacenamiento USB.
install usb-storage /bin/true

9. Active SELinux
Security-Enhanced Linux (SELinux) es un mecanismo de seguridad de control de
acceso obligatorio previsto en el kernel. Deshabilitando SELinux significa la eliminacin de
mecanismo de seguridad del sistema. Piense dos veces antes de desactivarlo, si su
sistema est conectado a Internet y se accede por el pblico, luego considere y piense un
poco ms en l.

SELinux proporciona tres modos bsicos de operacin y son.

1. Cumplimiento: Este es el modo por defecto que permitan y hacer cumplir la poltica de
seguridad de SELinux en la mquina.
2. Tolerante: En este modo, SELinux no har cumplir la poltica de seguridad en el sistema, slo
advertir y registrar las acciones. Este modo es muy til en trminos de resolucin de
problemas relacionados con SELinux.
3. Desactivado: SELinux est apagado.

Puede ver el estado actual del modo de SELinux desde la lnea de comandos
con "system-config-selinux 'comandos' sestatus' o 'getenforce '.
# sestatus

Si est deshabilitada, habilite SELinux con el siguiente comando.

# setenforce enforcing
 Tambin se puede gestionar desde archivo '/etc/selinux/config /', donde se puede
activar o desactivar.

10. Elimine el escritorio del servidor, sea... KDE / GNOME Desktops

No hay necesidad de ejecutar escritorios X Window como KDE o GNOME en su servidor
dedicado. Puede quitarlo o deshabilitar para aumentar la seguridad de su servidor y
rendimiento. Para desactivarlo, es sencillo abrir el archivo '/etc/inittab' y establezca el
nivel de ejecucin 3. Si desea eliminar por completo del sistema, utilice el comando
siguiente.
# yum groupremove "X Window System"

11. Desactivar IPv6

Si usted no est utilizando un protocolo IPv6, debe desactivarlo porque la mayora de las
aplicaciones o polticas no son necesarios para el protocolo IPv6 actualmente. Ir al archivo
de configuracin de red y agregar lneas siguientes pasos para desactivarlo.
# vi /etc/sysconfig/network
NETWORKING_IPV6=no
IPV6INIT=no

12. Restringir usuarios de utilizar contraseas antiguas

Esto es muy til si desea no permitir que los usuarios utilicen las mismas contraseas. El
archivo de contraseas se encuentra en /etc/security/ opasswd. Esto se puede lograr
mediante el uso de mdulo PAM.

Abrir el archivo '/etc/pam.d/system-auth' bajo RHEL / CentOS / Fedora.

# vi /etc/pam.d/system-auth

Archivo en Ubuntu / Debian / Linux Mint Abrir "/etc/pam.d/common-password"

# vi /etc/pam.d/common-password

Agregue la lnea siguiente a la seccin 'auth'.

auth sufficient pam_unix.so likeauth nullok

Agregue la lnea siguiente a la seccin 'password' para no permitir que un usuario vuelva
a utilizar una vieja contrasea.
password sufficient pam_unix.so nullok use_authtok md5 shadow remember=5

Slo las ltimos 5 contraseas se recuerdan por el servidor. Si se trat de utilizar

cualquiera de las ltimos 5 contraseas antiguas, obtendr un error similar.
Contrasea ya ha sido utilizada. Elija otra.
o
Password has been already used. Choose another.

13. Cmo comprobar la caducidad de la contrasea de usuario

 En Linux, las contraseas de usuario se almacenan en el archivo '/etc/shadow' en
formato cifrado. Para comprobar la caducidad de la contrasea de usuario, es necesario
utilizar el comando 'chage'. Muestra informacin de contraseas, detalles de vencimiento
junto con la ltima fecha de modificacin contrasea. Estos datos son utilizados por el
sistema para decidir cuando un usuario debe cambiar su contrasea.

Para ver la informacin de antigedad de cualquier usuario existente como

la fecha y hora de vencimiento, utilice el comando siguiente.
#chage -l username

Para cambiar el envejecimiento de cualquier usuario/contrasea, utilice el siguiente

comando.
#chage -M 60 username
#chage -M 60 -m 7 -W 7 userName

Parmetros
1. -M Nmeo el nmero mximo de das
2. -m nmero mnimo de das
3. -W Ajuste el nmero de das de aviso

14. Bloquear y desbloquear cuenta manualmente

El bloqueo y desbloqueo de las funciones son muy tiles, en lugar de eliminar una cuenta
del sistema, se puede bloquear durante una semana o un mes. Para bloquear a un usuario
especfico, puede utilizar el comando siguiente.
# passwd -l accountName

Nota: El usuario bloqueado est disponible slo para el usuario root. El bloqueo se lleva a
cabo mediante la sustitucin de contrasea cifrada con una cadena (!). Si alguien trata de
acceder al sistema utilizando esta cuenta, recibir un error similar al siguiente.
# su - accountName
This account is currently not available.

Para desbloquear o permitir el acceso a una cuenta bloqueada, utilice el comando

igualmente. Esto eliminar (!) Cadena con contrasea cifrada.
# passwd -u accountName

15. La aplicacin de contraseas ms seguras

Varios de los usuarios utilizan contraseas blandas o dbiles y su contrasea puede ser
hackeado con un diccionario base o ataques de fuerza bruta. El
mdulo 'pam_cracklib'si est disponible en PAM (Pluggable Authentication
Modules) obligar al usuario establecer contraseas seguras. Abra el siguiente archivo
con un editor.

Lea tambin:
# vi /etc/pam.d/system-auth
 Y agregue la lnea con los parmetros de crdito, (lcredit, ucredit, dcredi t
y/o ocredit respectivamente minsculas, maysculas, dgitos y otros)
/lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2
dcredit=-2 ocredit=-1

16. Habilitar Iptables (Firewall)

Es altamente recomendable activar el firewall de Linux para garantizar el acceso no
autorizado de sus servidores. Aplicar las reglas de iptables a los filtros de
entrada,paquetes salientes y reenvo. Podemos especificar la direccin de origen y de
destino para permitir y denegar en concreto el nmero de puerto udp / tcp.

1. IPTables Gua y Consejos bsicos

17. Desactivar Ctrl + Alt + Delete en Inittab

En la mayora de las distribuciones de Linux, al pulsar 'CTRL-ALT-DELETE' se lleva el
sistema para reiniciar el proceso. Por lo tanto, no es una buena idea tener esta opcin
activada, al menos en los servidores de produccin.

Esto se define en el archivo '/etc/inittab', si te fijas bien en ese archivo, ver una lnea
similar a la siguiente. Por lnea por defecto no est comentada. Tenemos que comentar a
cabo. Este particular secuencia de teclas de sealizacin ser apagado el sistema.
# Trap CTRL-ALT-DELETE
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

18. Cuentas para contraseas vacas

Cualquier cuenta con una contrasea vaca significa deja una puerta abierta para el acceso
no autorizado a cualquier persona en la web y es una parte de la seguridad en un servidor
Linux. Por lo tanto, debe asegurarse de que todas las cuentas engan contraseas seguras
y nadie tenga acceso no autorizado. Las cuentas con contraseas vacas son los riesgos de
seguridad y pueden ser fcilmente crackeadas. Para comprobar si haba cuentas con
contrasea vaca, utilice el comando siguiente.
# cat /etc/shadow | awk -F: '($2==""){print $1}'

19. Mostrar SSH Banner Antes Login

Siempre es una buena idea mostrar un aviso legal o banners de seguridad con algunas
advertencias de seguridad antes de la autenticacin en SSH. Para ajustar estos banners
leer el siguiente artculo.

1. Mostrar SSH mensaje de advertencia a los usuarios

20. Supervisar las actividades de los usuarios

Si se trata de un montn de usuarios, entonces es importante recopilar la informacin de
cada uno de las actividades del usuario y procesos consumidos por ellos y analizarlos en
un momento posterior o en caso de cualquier tipo de rendimiento, problemas de
seguridad. Pero, cmo podemos controlar y recopilar informacin de las actividades del
usuario.
 Hay dos herramientas tiles llamados 'psacct' y 'ACCT' se utilizan para el seguimiento de
las actividades y procesos de usuario en un sistema. Estas herramientas se ejecuta en un
fondo del sistema y hacen un seguimiento continuo de cada actividad del usuario en un
sistema y los recursos consumidos por los servicios como Apache, MySQL, SSH, FTP, etc
Para obtener ms informacin sobre la instalacin, configuracin y uso, visite el siguiente
URL.

1. Supervisar la actividad del usuario con psacct o ACCT comandos

21. Revisar los registros con regularidad

Compruebe los registros de log del servidor dedicado, esto evita que los intrusos puedan
modificar fcilmente los registros locales. Estos son los nombres ms comn en Linux por
defecto para los archivos de registro y su uso:

1. /var/log/message - Donde estn disponibles los registros del sistema entero o registros de
actividad actuales.
2. /var/log/auth.log - Registros de autenticacin.
3. /var/log/kern.log - logs del kernel.
4. /var/log/cron.log - logs crond (cron).
5. /var/log/maillog - los registros del servidor de correo.
6. /var/log/boot.log - registro de arranque del sistema.
7. /var/log/mysqld.log - archivo de registro del servidor de bases de datos MySQL.
8. /var/log/secure - registro de autenticacin.
9. /var/log/utmp o /var/log/wtmp: Login archivo de registros.
10. /var/log/yum.lo g: archivos de registro de Yum.

22. Copia de seguridad de archivos importantes

En un sistema de produccin, es necesario tener copias de seguridad de archivos
importantes y mantenerlos en condiciones de seguridad bveda, sitios remotos o fuera de
las instalaciones para recuperacin de desastres.

23. NIC Bonding

Hay dos tipos de modo de unin NIC, deben mencionar en la interfaz de unin.

1. mode = 0 - Round Robin

2. mode = 1 - Activa y Backup

NIC Bonding nos ayuda a evitar puntos de fallo. En unin NIC, que es unir dos o
ms tarjetas de red Ethernet juntos y hacemos una interfaz virtual nico donde se
puede asignar una direccin IP a hablar con otros servidores. Nuestra red estar
disponible en el caso de una tarjeta NIC est inactivo o no est disponible por cualquier
motivo.
24. Mantener / arrancar en modo de slo lectura
Linux kernel y los archivos relacionados se encuentran en el directorio /boot, que es por
defecto como de lectura y escritura. Cambiar a slo lectura reduce el riesgo de
modificacin no autorizada de archivos de arranque crticos. Para ello, abra el archivo
"/etc/fstab".
# vi /etc/fstab

Agregue la siguiente lnea en la parte inferior, guardar y cerrar.

LABEL=/boot /boot ext2 defaults,ro 1 2

Tenga en cuenta que usted necesita reiniciar para restablecer el cambio de lectura y
escritura si necesita actualizar el kernel en el futuro.

25. No haga caso de peticin ICMP o Broadcast

Agregue la lnea siguiente en el archivo "/etc/sysctl.conf" para hacer caso omiso de
peticin ping o broadcast.
Ignore ICMP request:
net.ipv4.icmp_echo_ignore_all = 1

Ignore Broadcast request:

net.ipv4.icmp_echo_ignore_broadcasts = 1

Cargar nuevos ajustes o cambios, mediante la ejecucin comando siguiente

#sysctl -p

Nikto Web Scanner es una otra buena herramienta para el arsenal de cualquier
administrador de Linux. Es un escner de cdigo abierto distribuido bajo la licencia GPL,
que se utiliza para llevar a cabo pruebas exhaustivas en los servidores Web por varios
elementos, entre ellos ms de 6.500 potencialmente peligrosos archivos / CGIs.

Est escrito por Chris Solo y David Lodge para la evaluacin de vulnerabilidades,
comprueba versiones no actualizadas sobre 1250 servidores web y ms de 250 problemas
especficos de versin. Tambin escanea e informa sobre software y plugins del servidor
web obsoletas.
 Caractersticas de Nikto Web Scanner
Soporta SSL
Soporta proxy http completo
Soporta texto, HTML, XML y CSV para guardar los informes.
Analiza en busca de varios puertos
Se puede escanear en varios servidores mediante la adopcin de las entradas de los archivos
como salida de nmap
Soporte LibWhisker IDS
Es lo suficientemente capaz de identificar el software instalado con encabezados, archivos y
favicons
Registros para Metasploits
Informes sobre encabezados "inusuales".
Apache y enumeracin de usuario cgiwrap
Autenticar anfitriones con Basic y NTLM
Los anlisis pueden ser auto detenerse porl tiempo especificado.

Requisitos Nikto
El sistema bsico es: Perl, Perl Modules, OpenSSL, la instalacin debe permitir a Nikto
funcionar. Se ha probado a fondo en Windows , Mac OSX y varios Unix / Linux, en
distribuciones como Red Hat , Debian , Ubuntu , BackTrack , etc
 Escriba primero:
chkconfig --list

# chkconfig --list | grep :on

O simplemente utilizar el siguiente comando para ver los servicios que se activan slo para
el nivel de ejecucin 3.

# chkconfig --list | grep 3:on

A continuacin, podra utilizar un comando como este para eliminar el servicio de puesta
en marcha.

# chkconfig --del 'service-name'

Consejo # 13 - Desinstale X Windows

Considere la posibilidad de la eliminacin total de X Windows en su sistema, y utilice slo
la lnea de comandos para la gestin. No hay nada que usted pueda hacer en la interfaz
grfica que no se puede hacer desde la lnea de comandos y la eliminacin no slo va a
mejorar la seguridad, sino tambin el rendimiento porque no se desperdician los recursos
del sistema cuando se muestra la interfaz grfica de usuario.

Consejo # 14 - Secure Kernel Linux

Usted puede asegurar su Kernel Linux modificando el archivo / etc / sysctl.conf, este
archivo es ledo por el ncleo durante el arranque y puede ser editado con los siguientes
valores para aadir seguridad adicional.
# Turn on execshield
kernel.exec-shield =1
kernel.randomize_va_space =1
# Don't reply to broadcasts. Prevents joining a smurf attack
net.ipv4.icmp_echo_ignore_broadcasts =1
# Enable protection for bad icmp error messages
net.ipv4.icmp_ignore_bogus_error_responses =1
# Enable syncookies for SYN flood attack protection
net.ipv4.tcp_syncookies =1
# Enable IP spoofing protection
net.ipv4.conf.all.rp_filter =1
net.ipv4.conf.default.rp_filter =1
# Log spoofed, source routed, and redirect packets
net.ipv4.conf.all.log_martians =1
net.ipv4.conf.default.log_martians =1
# Don't allow source routed packets
net.ipv4.conf.all.accept_source_route =0
net.ipv4.conf.default.accept_source_route =0
# Don't allow outsiders to alter the routing tables
net.ipv4.conf.all.accept_redirects =0
 net.ipv4.conf.default.accept_redirects =0
net.ipv4.conf.all.secure_redirects =0
net.ipv4.conf.default.secure_redirects =0
# Don't pass traffic between networks or act as a router
net.ipv4.ip_forward =0
net.ipv4.conf.all.send_redirects =0
net.ipv4.conf.default.send_redirects =0

Consejo # 15 - Instalar los parches del kernel Linux

Debe tener una poltica de seguridad para el manejo de los parches del kernel Linux, la
cual debe incluir los parches de seguridad de Linux para recibir las actualizaciones y
probarlos para asegurar que los problemas no se plantean y que los parches se han
instalado en el sistema. Asegrese siempre de que los servidores en produccin se
actualizan con regularidad para evitar cualquier posible vulnerabilidad conocida de la
explotacin en el sistema.

Consejo # 16 - particiones separadas

Debe crear particiones separadas para los directorios, modificables slo por usuarios
permitidos y bloquear el acceso de escritura y ejecucin a las particiones que no sean
necesarios. Usted debe considerar la colocacin de los siguientes sistemas de archivos en
particiones diferentes.
/usr
/home
/var y /var/tmp
/tmp

A continuacin, puede editar el archivo /etc/fstab para impedir la ejecucin de archivos

binarios, desactivar los dispositivos de bloques en la particin y evitar que poner SUID /
SGID en los archivos. He aqu una entrada fstab comn para limitar el acceso del usuario
al directorio ftpdata.

/dev/sda5 /ftpdata ext3 defaults,noexec,nodev,nosuid 1 2

Consejo # 17 - Use las extensiones de seguridad de Linux

Hacer uso de software como SELinux, AppArmor o GRSecurity para proporcionar
endurecimiento adicional a su Kernel Linux. Estos productos proporcionan las polticas
adicionales para restringir los procesos y servicios basados en listas de control de acceso.

Consejo # 18 - servidores separados para distintos servicios

Considerar la creacin de diferentes servidores fsicos o virtuales para diferentes
funciones, es decir, separar su servidor de correo y el servidor web, o el servidor de base
de datos y el servidor de aplicaciones. Esto garantiza que si un determinado servicio se ve
comprometido, est contenido en un solo servidor.

Consejo # 19 - Seguridad fsica de los servidores

Usted puede proteger su servidor lo ms posible de los ataques a distancia, pero si no
hacen nada para proteger el hardware fsico no tiene sentido. Si alguien tiene acceso a su
servidor fsico, puede eliminar el disco duro y acceder a los datos confidenciales o arrancar
desde un CD y acceder a sus datos. Considerar la creacin de una contrasea de BIOS y
deshabilitar el arranque desde CD o USB. Tambin se debe proteger con contrasea el
 gestor de arranque (GRUB o LILO, etc) para evitar que los usuarios accedan a modo de
usuario nico o entornos de recuperacin, donde no se requieren contraseas.

Consejo # 20 - Configuracin de NTP

Contar con un sistema de reloj preciso es importante para la revisin de los archivos de
registro y determinar cundo se produjo un evento. A menudo, los relojes del sistema,
pueden producirse problemas de sincronizacin o de ser puesto a una fecha ms antigua y
esto puede causar estragos en el seguimiento de los errores. Considere la posibilidad de
crear una tarea programada en lugar de ejecutar ntpd (ver el consejo # 12) para
actualizar la hora del da o por hora con una fuente comn para todos los servidores.

Consejo # 21 - Monitor de todos los registros

Configuracin de registro y software de auditora de seguimiento de errores y cambios en
sus servidores, tales como auditd y Logwatch / Logcheck. Considere la posibilidad de
configurar un servidor de registro remoto que se actualiza regularmente para protegerse
de un intruso poner en peligro los archivos de registro sin su conocimiento.

Consejo # 22 - Desactivar IPv6

IPv6 muy rara vez se necesita en esta etapa ya que la mayora slo utiliza el trfico IPv4 e
IPv6 es permitido slo una red que necesita controlar y proteger.

Deshabilitar IPv6 es la opcin ms fcil, pero si por alguna razn que lo requiere, entonces
debera configurar un firewall IPv6.

Consejo # 23 - Elimina SUID y SGID de archivos

Despus de haber instalado y configurado el sistema y el software que deben ejecutar los
siguientes comandos para buscar todos los archivos y carpetas con el conjunto de SUID,
SGID:

Puede escribir estos comandos.

Para encontrar todos los archivos SUID:

# find / -xdev -type f -perm +u=s -print

Para encontrar todos los archivos SGID:

# find / -xdev -type f -perm +g=s -print

Para encontrar riesgos globales:

# find / -xdev -perm +o=w ! ( -type d -perm +o=t ) ! -type l -print

Para buscar ficheros (y directorios) que el grupo puede escribir:

# find . -perm /g+w

Para buscar idem, que "otros" puede escribir

# find . -perm /o+w
 # Para buscar directorios en los que "otros" puede escribir:
find . -type d -perm /o+w

# Para evitar justo lo anterior, quitando los permisos a aquellos directorios en los que
"otros" puede escribir:
chmod o-x `find . -type d -perm /o+w`

A continuacin, debe inspeccionar cada archivo y carpeta para determinar si tienen la

configuracin correcta y si no se utiliza el comando chmod para realizar cambios en ellos.

Consejo # 24 - Cifrar los datos confidenciales

Sus datos se suelen almacenar en un disco duro en un formato no cifrado por lo que
cualquier usuario que tenga acceso al servidor puede quitar el disco duro e instalarlo en
otro sistema y leer todos sus datos. Usted debe considerar la configuracin del disco Linux
o cifrar la carpeta ya sea su HOME o directorios / carpetas sensibles (es decir, archivos de
bases de datos, correos electrnicos, etc.) Si bien se puede cifrar todo el disco se trata de
una gran cantidad de trabajo y no suele valer la pena.

Consejo # 25 - Seguridad del software

Es bueno tener un servidor Linux de alta seguridad, pero el sistema slo es seguro, como
el software que se ejecutan en l. Siempre se debe instalar las ltimas versiones de
software y asegurese de que est al da. Tambin la mayora de los programas tienen la
manera de hacerlos ms seguros mediante la edicin de sus archivos de configuracin y
desactivar las partes innecesarias del software. El siguiente es un ejemplo para el
endurecimiento de la configuracin del servidor OpenSSH, slo tiene que aadir lo
siguiente a su fichero de configuracin de OpenSSH.

# Use only SSH Protocol Ver 2

Protocol 2
# Only allow the following users SSH Access
AllowUsers User1 User2 etc
# Deny access to the following users
DenyUsers admin etc
# Set the timeout period for idle sessions (in seconds)
ClientAliveInterval 300
ClientAliveCountMax 0
# Disable .rhosts files
IgnoreRhosts yes
# Disable Host-Based Authentication
HostbasedAuthentication no
# Remove ability to login as Root
PermitRootLogin no
# Change the default SSH Port (Not essential but can help uncomment if you
want)
#Port 22
#ListenAddress 192.168.1.1
# Consider CHRooting users to their own directories.
# Subsystem sftp internal-sftp
#Match group sftponly
# ChrootDirectory /home/%u
# X11Forwarding no
# AllowTcpForwarding no
# ForceCommand internal-sftp
# Disable empty passwords from login
PermitEmptyPasswords no
# Set your required Log Level (Either INFO or DEBUG)
LogLevel INFO
# Turn on privilege separation
UsePrivilegeSeparation yes
# Prevent the use of insecure home directory and key file permissions
StrictModes yes
# Turn on reverse name checking
VerifyReverseMapping yes
# Do you need port forwarding?
AllowTcpForwarding no
X11Forwarding no
# Specifies whether password authentication is allowed. The default is yes.
PasswordAuthentication no

Instalacin de Nikto Web Escner en Linux

La mayora de los sistemas Linux de hoy viene con los paquetes pre-instalados, Mdulos
de Perl y OpenSSL. Si no se incluye, se puede instalar con la utilidad del administrador de
paquetes del sistema por defecto llamada Yum o apt-get.

En Red Hat / CentOS / Fedora

[root@linuxparty ]# yum install perl perl-Net-SSLeay openssl
 En Debian / Ubuntu / Linux Mint
[root@linuxparty ]# apt-get install perl openssl libnet-ssleay-perl

A continuacin, descargue la ltima versin estable de Nikto en tarball, desde la pgina

oficial del proyecto o puede utilizar siguiente comando wget para descargarlo
directamente.
# wget http://www.cirt.net/nikto/nikto-2.1.5.tar.gz

Desembale con una utilidad de gestor de archivos o utilizar el comando tar siguiente.
[root@linuxparty ]# tar -xvf nikto-2.1.5.tar.gz

Ahora, ejecute el Nikto script utilizando el comando perl como se muestra a continuacin.
[root@linuxparty ]# cd nikto-2.1.5
[root@linuxparty nikto-2.1.5]# perl nikto.pl

Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ ERROR: No host specified

-config+ Use this config file

-Display+ Turn on/off display outputs
-dbcheck check database and other key files for syntax
errors
-Format+ save file (-o) format
-Help Extended help information
-host+ target host
-id+ Host authentication to use, format is id:pass or
id:pass:realm
-list-plugins List all available plugins
-output+ Write output to this file
-nossl Disables using SSL
-no404 Disables 404 checks
-Plugins+ List of plugins to run (default: ALL)
-port+ Port to use (default 80)
-root+ Prepend root value to all requests, format is
/directory
-ssl Force ssl mode on port
-Tuning+ Scan tuning
-timeout+ Timeout for requests (default 10 seconds)
-update Update databases and plugins from CIRT.net
-Version Print plugin and database versions
-vhost+ Virtual host (for Host header)
+ requires a value

Note: This is the short help output. Use -H for full help text.

El "ERROR: Host no especificado" est diciendo claramente que no hemos incluido los
parmetros necesarios al hacer una prueba. Por lo tanto, tenemos que aadir unos
parmetros bsicos necesarios para hacer una prueba.

Pruebas bsicas
 La exploracin bsica requiere un host que desea orientar su campaa, por defecto
escanea el puerto 80, si no se especifica nada. El host puede ser un nombre de host o una
direccin IP de un sistema. Se puede especificar un host mediante "la opcin -h ". Por
ejemplo, quiero hacer una exploracin en una IP 172.16.27.56 en el puerto TCP 80 .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56

Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 80
+ Start Time: 2014-01-10 00:48:12 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Retrieved x-powered-by header: PHP/5.3.3
+ The anti-clickjacking X-Frame-Options header is not present.
+ Server leaks inodes via ETags, header found with file /robots.txt, inode:
5956160, size: 24, mtime: 0x4d4865a054e32
+ File/dir '/' in robots.txt returned a non-forbidden or redirect HTTP code
(200)
+ "robots.txt" contains 1 entry which should be manually viewed.
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Multiple index files found: index.php, index.htm, index.html
+ DEBUG HTTP verb may show server debugging information. See
http://msdn.microsoft.com/en-us/library/e8z01xdh%28VS.80%29.aspx for details.
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable
to XST
+ OSVDB-3233: /phpinfo.php: Contains PHP configuration information
+ OSVDB-12184: /index.php?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP
reveals potentially sensitive information via certain HTTP requests that
contain specific QUERY strings.
+ OSVDB-3092: /test.html: This might be interesting...
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ /connect.php?path=http://cirt.net/rfiinc.txt?: Potential PHP MySQL database
connection string found.
+ OSVDB-3092: /test.php: This might be interesting...
+ 6544 items checked: 0 error(s) and 16 item(s) reported on remote host
+ End Time: 2014-01-10 00:48:23 (GMT5.5) (11 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Si desea escanear en un nmero de puerto diferente, a continuacin, aada la opcin "-p"

[ puertos ]. Por ejemplo, quiero hacer una exploracin sobre IP 172.16.27.56 en el puerto
TCP 443 .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 443

Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 443
---------------------------------------------------------------------------
+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control
Validated/CN=*.mid-day.com
Ciphers: DHE-RSA-AES256-GCM-SHA384
Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield
Technologies,
Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure
Certification Authority/serialNumber=10688435
+ Start Time: 2014-01-10 01:08:26 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Server leaks inodes via ETags, header found with file /, inode: 2817021,
size: 5, mtime: 0x4d5123482b2e9
+ The anti-clickjacking X-Frame-Options header is not present.
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
+ Server is using a wildcard certificate: '*.mid-day.com'
+ Allowed HTTP Methods: GET, HEAD, POST, OPTIONS, TRACE
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable
to XST
+ OSVDB-3268: /icons/: Directory indexing found.
+ OSVDB-3233: /icons/README: Apache default file found.
+ 6544 items checked: 0 error(s) and 8 item(s) reported on remote host
+ End Time: 2014-01-10 01:11:20 (GMT5.5) (174 seconds)
---------------------------------------------------------------------------
+ 1 host(s) tested

Tambin puede especificar los hosts, puertos y protocolos utilizando una direccin URL
completa, y ser escaneada.
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://172.16.27.56:80

Tambin puede escanear cualquier sitio web. Por ejemplo, aqu hice una exploracin en
google.com .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h http://www.google.com

Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 173.194.38.177
+ Target Hostname: www.google.com
+ Target Port: 80
+ Start Time: 2014-01-10 01:13:36 (GMT5.5)
---------------------------------------------------------------------------
+ Server: gws
+ Cookie PREF created without the httponly flag
+ Cookie NID created without the httponly flag
+ Uncommon header 'x-frame-options' found, with contents: SAMEORIGIN
+ Uncommon header 'x-xss-protection' found, with contents: 1; mode=block
+ Uncommon header 'alternate-protocol' found, with contents: 80:quic
+ Root page / redirects to:
http://www.google.co.in/?gws_rd=cr&ei=xIrOUomsCoXBrAee34DwCQ
+ Server banner has changed from 'gws' to 'sffe' which may suggest a WAF,
load balancer or proxy is in place
+ Uncommon header 'x-content-type-options' found, with contents: nosniff
+ No CGI Directories found (use '-C all' to force check all possible dirs)
+ File/dir '/groups/' in robots.txt returned a non-forbidden or redirect HTTP
code (302)
.

El comando anterior llevar a cabo un montn de peticiones http (es decir, ms de 2.000
pruebas) en el servidor web.

Testar Mltiples Puertos

Tambin puede realizar mltiples puertos de exploracin en la misma sesin. Para
escanear mltiples puertos en el mismo host, aada " -p "[ -port opcin] y especifique la
lista de puertos. Los puertos pueden ser definidos como un intervalo (es decir, 80 a 443 ),
o como una coma separada (es decir, 80,443 ). Por ejemplo, quiero explorar un puertos
80 y 443 en el host 172.16.27.56 .
[root@linuxparty nikto-2.1.5]# perl nikto.pl -h 172.16.27.56 -p 80,443

Ejemplo de salida

- Nikto v2.1.5
---------------------------------------------------------------------------
+ No web server found on cmsstage.mid-day.com:88
---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 80
+ Start Time: 2014-01-10 20:38:26 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ Retrieved x-powered-by header: PHP/5.3.3
+ The anti-clickjacking X-Frame-Options header is not present.

---------------------------------------------------------------------------
+ Target IP: 172.16.27.56
+ Target Hostname: example.com
+ Target Port: 443
---------------------------------------------------------------------------
+ SSL Info: Subject: /O=*.mid-day.com/OU=Domain Control
Validated/CN=*.mid-day.com
Ciphers: DHE-RSA-AES256-GCM-SHA384
Issuer: /C=US/ST=Arizona/L=Scottsdale/O=Starfield
Technologies,
Inc./OU=http://certificates.starfieldtech.com/repository/CN=Starfield Secure
Certification Authority/serialNumber=10688435
+ Start Time: 2014-01-10 20:38:36 (GMT5.5)
---------------------------------------------------------------------------
+ Server: Apache/2.2.15 (CentOS)
+ All CGI directories 'found', use '-C none' to test none
+ Apache/2.2.15 appears to be outdated (current is at least Apache/2.2.22).
Apache 1.3.42 (final release) and 2.0.64 are also current.
.....

Utilizar un proxy
Digamos que un sistema en el que se est ejecutando Nikto slo tiene acceso al host de
destino a travs de un proxy HTTP , la prueba todava se puede realizar utilizando dos
maneras diferentes. Uno est utilizando nikto.conf archivo y otra forma es ejecutar
directamente desde la lnea de comandos .

Usando archivo Nikto.conf

Abra nikto.conf archivo utilizando cualquier editor de lnea de comandos.

[root@localhost nikto-2.1.5]# vi nikto.conf

Bsqueda de la "variable proxy "y elimine el comentario ' # 'desde el principio de las lneas
como se muestra. A continuacin, agregue el host proxy , puerto , usuario de proxy y la
contrasea . Guarde y cierre el archivo.
# Proxy settings -- still must be enabled by -useproxy
PROXYHOST=172.16.16.37
PROXYPORT=8080
PROXYUSER=pg
PROXYPASS=pg

Ahora, ejecute el Nikto usando " -useproxy opcin ". Por favor, tenga en cuenta que todas
las conexiones sern retransmitidos a travs del proxy HTTP .
root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -p 80 -useproxy

Ejemplo de salida

- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 127.0.0.1
+ Target Hostname: localhost
+ Target Port: 80
+ Start Time: 2014-01-10 21:28:29 (GMT5.5)
---------------------------------------------------------------------------
+ Server: squid/2.6.STABLE6
+ Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6)
+ The anti-clickjacking X-Frame-Options header is not present.
+ Uncommon header 'x-squid-error' found, with contents:
ERR_CACHE_ACCESS_DENIED 0
+ Uncommon header 'x-cache-lookup' found, with contents: NONE from
netserv:8080
Usando la lnea de comandos
Para ejecutar el Nikto directamente desde la lnea de comandos con el " -useproxy
opcin "configurando el proxy como argumento.
root@localhost nikto-2.1.5]# perl nikto.pl -h localhost -useproxy
http://172.16.16.37:8080/

Ejemplo de salida
- Nikto v2.1.5
---------------------------------------------------------------------------
+ Target IP: 127.0.0.1
+ Target Hostname: localhost
+ Target Port: 80
+ Start Time: 2014-01-10 21:34:51 (GMT5.5)
---------------------------------------------------------------------------
+ Server: squid/2.6.STABLE6
+ Retrieved via header: 1.0 netserv:8080 (squid/2.6.STABLE6)
+ The anti-clickjacking X-Frame-Options header is not present.
+ Uncommon header 'x-squid-error' found, with contents:
ERR_CACHE_ACCESS_DENIED 0
+ Uncommon header 'x-cache-lookup' found, with contents: NONE from
netserv:8080

Actualizacin de Nikto
Puede actualizar Nikto a los ltimos plugins y bases de datos de forma automtica,
simplemente ejecute la " actualizacin del sistema ".
[root@localhost nikto-2.1.5]# perl nikto.pl -update

Si hay nuevas actualizaciones disponibles, aparecer una lista de las nuevas

actualizaciones descargado.
+ Retrieving 'nikto_report_csv.plugin'
+ Retrieving 'nikto_headers.plugin'
+ Retrieving 'nikto_cookies.plugin'
+ Retrieving 'db_tests'
+ Retrieving 'db_parked_strings'
+ Retrieving 'CHANGES.txt'
+ CIRT.net message: Please submit Nikto bugs to
http://trac2.assembla.com/Nikto_2/report/2

Maligno es una herramienta de pruebas de penetracin de cdigo abierto que sirve cargas
tiles Metasploit. Genera cdigo shell con msfvenom y la transmite a travs de HTTP o
HTTPS. El cdigo shell se cifra con AES y se codifica con Base64 antes de la transmisin.

Esta es una coleccin de herramientas que pueden ser tiles para usted, si usted es un
pentester o consultor de seguridad. Todo el cdigo fuente publicado en este sitio web est
licenciado bajo la licencia FreeBSD.

Utilice el software a su propio riesgo.

Es la responsabilidad del usuario obedecer todas las leyes aplicables. El desarrollador o el

sitio web Encripto AS no asumen ninguna responsabilidad y no son responsables de
cualquier mal uso o dao causado por el software.

No descargar ni utilice el software, si usted no est de acuerdo con los trminos y

condiciones de la licencia.

Caractersticas. Soporte multi-host Metasploit, soporte de servidor socks4a (Metasploit),

ltimo recurso para la redireccin de las solicitudes no vlidas y hosts fuera de alcance,
ofuscacin del cdigo de cliente automtico, ejecucin de carga del cliente retrasada,
generacin de archivos metasploit automtica de recursos.
 Sitio web de descarga.

http://www.encripto.no/tools/
COMMAND LIST
============

maligno | this helper

maligno-certgen | SSL/TLS certificates generator
maligno-client | client/backdoor creator
maligno-server | server/listener
maligno-conf-edit | edit configuration file
maligno-conf-helper | how to edit the configuration file
maligno-helper

Key Logging es el proceso de almacenar las pulsaciones del teclado con/sin el

conocimiento del usuario. Keylogging puede ser va hardware, as como el software. Como
claramente indica su nombre, un keylogger de hardware no depende de ningn software y
el registro de pulsaciones de teclas se realiza a s mismo a nivel de hardware. Mientras
que un keylogger basado en software depende de un software especial para keylogging.

Hay una serie de aplicaciones de software keylogger para casi todas las plataformas ya
sea Windows, Mac, Linux. Aqu estamos echaremos un vistazo a un un paquete de
aplicaciones llamado Logkeys.

Qu es Logkeys?
Logkeys es un keylogger Linux. Est ms actualizada que cualquier otro keylogger
disponible, Adems logkeys no bloquea el servidor X, y parece que funciona en todas las
situaciones. Logkeys crea un registro de todos los caracteres y las teclas de funcin.
Adems logkeys captura la pulsacin de Alt y Shift y trabaja bien con las de serie, as
como teclados USB.

Hay un montn de keyloggers para Windows, pero este no es el caso de Linux. Logkeys no
es mejor que cualquier otra aplicacin keylogger para Linux, pero sin duda es la que ms
actualizada se encuentra.

Caractersticas
Solucionados problemas con las CPU X86_64
Correccin de errores
Eliminada dependencia pgrep
ID de proceso (PID) en /var/ run
Solucionadas vulnerabilidades
Solucionados problemas de seguridad
Uploading registro remoto en HTTP
Reconoce teclado USB

Instalacin de Logkeys en Linux

Si alguna vez has instalado paquetes tarball de cdigos fuentes en Linux, entonces puede
instalar fcilmente paquetes logkeys. Si usted no ha instalado un paquete en Linux tarball,
 entonces usted tendr que instalar algunos paquetes que faltan, como el compilador C++
y libreras gcc antes de proceder a la instalacin de la fuente.

Vamos a proceder a la instalacin, primero ir y descargar la ltima versin logkeys (es

decir, la versin logkeys 0.1.1a) paquete de cdigo fuente original en:

https://code.google.com/p/logkeys/downloads/list

Tambin puede utilizar el comando wget para descargar la ltima fuente e instalarlo como
se muestra a continuacin.
$ sudo apt-get install build-essential [en sistemas basados en Debian]
# yum install gcc make gcc-c++ [en sistemas basados en RedHat]
$ wget https://logkeys.googlecode.com/files/logkeys-0.1.1a.tar.gz
$ tar xvzf logkeys-0.1.1a.tar.gz
$ cd logkeys-0.1.1a
$ ./configure
$ make
$ sudo make install

Ahora ejecuta el locale-gen.

$ sudo locale-gen

Ejemplo de salida
Generating locales...
aa_DJ.UTF-8... done
aa_ER.UTF-8@saaho... done
aa_ER.UTF-8... done
aa_ET.UTF-8... done
af_ZA.UTF-8... done
am_ET.UTF-8... done
an_ES.UTF-8... done
ar_AE.UTF-8... done
ar_BH.UTF-8... done
ar_DZ.UTF-8... done
ar_EG.UTF-8... done
ar_IN.UTF-8... done
ar_IQ.UTF-8... done
ar_JO.UTF-8... done
ar_KW.UTF-8... done
ar_LB.UTF-8... done
ar_LY.UTF-8... done
ar_MA.UTF-8... done
ar_OM.UTF-8... done
ar_QA.UTF-8... done
ar_SA.UTF-8... done
ar_SD.UTF-8... done
.......
Generation complete.

Usos de logkeys
logkeys s: iniciar el registro de pulsacin de tecla.
logkeys k: Matar proceso logkeys.
 Para informacin detallada de logkeys opcin Usos, siempre se puede referir.
# logkeys help

o
# man logkeys

Inicio de la aplicacin de logkeys mediante el siguiente comando.

$ sudo logkeys -s

Ejecutar muchos comandos.

# ls
# pwd
# ss
# ifconfig

Termine los procesos logkeys .

# logkeys -k

Compruebe el archivo de registro que por defecto es '/ var / log / logkeys.log'.
# nano /var/log/logkeys.log

Rastreo de las pulsaciones tecleadas.

Planificacin de Desarrollos futuros:

Aadir soporte para el envo de registros por correo electrnico

Aadir soporte para el contenido del portapapeles de registro
Aadir soporte para el ratn rastrear evento clic del ratn

Endurecimiento Windows 2012 r2

Recomienda la configuracin de seguridad

de lnea de base
Windows 8.1, Windows Server 2012 R2 y Internet Explorer 11

Fondo y Resumen
Este documento describe opciones de configuracin de seguridad recomendada de Windows 8.1,
Windows Server 2012 R2 y Internet Explorer 11, usando las instantneas publicadas anteriormente para
Windows 8, Windows Server 2012 y Internet Explorer 10 como punto de partida. Estas directrices estn
diseadas para empresas bien administradas.
Algunos de los cambios ms interesantes de las lneas de base de Windows 8/2012/IE10:
 Uso de ajustes nuevos y existentes para ayudar a bloquear algunos pasar los vectores de ataque
de Hash
Bloquear el uso de los navegadores web en controladores de dominio
Incorporacin de la mayor mitigacin experiencia Toolkit (EMET) en las lneas de base estndar
Eliminacin de ajustes de inicio de servicio casi todos y todas servidor rol las instantneas que
contienen slo servicio de ajustes de arranque
Retiro de la recomendacin para activar el "Modo FIPS"

Contenido
Fondo y Resumen
Configuracin de nuevo en Windows 8.1 y Windows Server 2012 R2
Configuracin de nuevo a Internet Explorer 11
Cambios a la configuracin heredada de las instantneas existentes
Cambios en todas las instantneas de producto de Windows Server
Pasar el Hash
Bloquear el uso de los navegadores Web en controladores de dominio
EMET
Direccin actualizada
Avanzadas de auditora
Recomendaciones de Windows eliminados
Quitar Internet Explorer recomendaciones
Errores

Configuracin de nuevo en Windows 8.1 y Windows Server 2012 R2

Los valores siguientes son nuevos en Windows 8.1 y Windows Server 2012 R2 y se han identificado para
la inclusin en el Windows 8.1 y Server 2012 R2 instantneas de seguridad.
Para Windows Server 2012 R2, recomendamos la creacin de lneas de base slo para el "Cumplimiento
de seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y
"Conformidad de seguridad de servidores miembro". Este ms futuro discutimos en la seccin "Cambios
a ambos nuevos y existentes lneas de base" en "Cambios en todas las instantneas de producto de
Windows Server".
 Camino de la poltica
Equipo Configuracin de
usuario\Plantillas
administrativas\Panel
Panel\Personalization
Equipo Configuracin de
usuario\Plantillas
administrativas\Panel
Panel\Personalization
Equipo Configuracin del Incluye lnea de comandos en los eventos de creacin de
equipo\Plantillas
Templates\System\Audit
proceso creacin
Equipo Configuracin del
equipo\Plantillas
administrativas\System\Logon
Equipo Configuracin del
equipo\Plantillas
administrativas\Componentes
Components\App tiempo de
ejecucin
Opciones de inicio de sesin
de equipo Configuracin del automticamente despus de reiniciar el sistema iniciado
equipo\Plantillas
administrativas\Componentes
Components\Windows
Nombre de la Directiva Valor Nuevo valor Razn de ser
anterior
Evitar habilitar cmara de la pantalla de bloqueo N/A Habilitado Usuario no autenticado puede crear
contenido en la carpeta de fotos de
usuario (manipulacin, rechazo,
denegacin de servicio)
Evitar que permite bloquear pantalla de diapositivas N/A Habilitado Informacin potencialmente confidenc
de registra en la carpeta de imgenes d
usuario aparece en escritorio bloquead
(divulgacin de informacin)
N/A No se configura Activar nicamente cuando sea
proceso necesario; lo contrario es un atacante c
derechos de administrador un montn
datos, potencialmente incluyendo
contraseas (por ejemplo, de una lnea
comandos de uso de red).
No mostrar la seleccin de red interfaz de usuario N/A Habilitado Usuario no autenticado no debe ser cap
de cambiar las redes. (Manipulacin
Permite cuentas de Microsoft a ser opcional N/A Habilitado Las empresas tienen que ser capaces d
permitir el uso de la aplicacin sin atar
un MSA o cargar automticamente dat
en SkyDrive.
Inicio de sesin usuario interactivo pasado N/A Con Requiere Windows retener las
discapacidad credenciales de texto sin formato-
por el sistema equivalente durante el perodo de
sesiones
 Camino de la poltica
Equipo equipo\Configuracin
Settings\ Asignacin de
derechos de local
locales\Asignacin
Equipo equipo\Configuracin Denegar el registro en mediante servicios de escritorio
Settings\ Asignacin de
derechos de local
locales\Asignacin
Nombre de la Directiva
Negar el acceso a este equipo desde la red
remoto
Valor Nuevo valor Razn de ser
anterior
Huspedes Huspedes, Win8.1/2012R2 introduce dos nuevo
cuenta Local grupos de pseudo que puede obtener
inicio de sesin local cuenta en su ficha
que ha sido portado a Windows 7/2008
(para el servidor y posteriores con2871997 KB. Clientes
miembro: cuentas locales deben denegar el inic
invitados, de sesin de red en sistemas Unidos a
cuenta Local y dominio. (Servidor miembro, sustituy
miembro del "Cuenta Local" con la "cuenta Local y
grupo miembro del grupo administradores" p
administradores) evitar romper el failover
clustering.) Tambin, administradores
empresa y administradores de domin
deben tambin denegar el acceso a
todos los clientes y servidores excepto
controladores de dominio y estaciones
trabajo de administracin dedicada.(No
que EA y DA son especficos de domini
no se puede especificar en lneas
genricos como los de SCM).
Huspedes Huspedes, Win8.1/2012R2 presenta un pseudo
cuenta Local nuevo grupo llamado "Cuenta Local" q
cualquier inicio de sesin de cuenta loc
se pone en su ficha y que ha sido porta
a Windows 7/2008R2 y posteriores
con 2871997 KB. Los huspedes y cuen
Local deben ser negado sesin de
escritorio remoto en sistemas Unidos a
dominio. Tambin, administradores d
empresa y administradores de domin
deben tambin denegar el acceso a
todos los clientes y servidores excepto
controladores de dominio y estaciones
 Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
anterior

trabajo de administracin dedicada.(No

que EA y DA son especficos de domini
no se puede especificar en lneas
genricos como los de SCM).

Plantillas de equipo Modo de auditora de LSASS.exe N/A No se configura Para obtener ms informacin,
Configuracin del (HKLMSoftwareMicrosoftWindows NTCurrentVersionImage consultehttp://technet.microsoft.com/
equipo\Plantillas\SCM: pasar archivo ejecucin Options\LSASS.exe! AuditLevel us/library/dn408187.aspx
las mitigaciones de Hash
Una costumbre plantilla administrativa
proporciona para que este ajuste pued
configurarse con el editor de directiva
grupo.

Plantillas de equipo
Configuracin del
equipo\Plantillas\SCM: pasar
las mitigaciones de Hash
Habilitar la proteccin de la LSA
(HKLM\SYSTEM\CurrentControlSet\Control\Lsa\RunAsPPL)
N/A No se configura Para obtener ms informacin,
consultehttp://technet.microsoft.com/
us/library/dn408187.aspx
Una costumbre plantilla administrativa
proporciona para que este ajuste pued
configurarse con el editor de directiva
grupo. Tenga en cuenta que en mquin
UEFI-capaz, una vez que se habilita e
valor no se puede desactivar mediant
Directiva de grupo solo.

Taskbar\Notifications y men Desactivar notificaciones de tostadas en la pantalla de N/A Habilitado Divulgacin de informacin
de usuario configuracin del bloqueo
equipo\Plantillas
Templates\Start

Configuracin de nuevo a Internet Explorer 11

Se han identificado las siguientes programaciones para su inclusin en la base de seguridad de Internet Explorer 11.
 Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
Directiva

Equipo Configuracin de Activar procesos N/A Habilitado Mayor proteccin; se rompern algunos sitios, pero se aplica
usuario\Plantillas ficha de 64 bits slo cuando se aplique la planificacin
administrativas\Componentes cuando se
Windows\Internet ejecuta en modo
Explorer\Panel Control protegido
Panel\Advanced pgina mejorado en
versiones de 64
bits de Windows

Equipo Configuracin de No ejecutar N/A Habilitado: Aplicar el valor por defecto

usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Control
Panel\Security Page\Internet
zona

Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Control
Panel\Security Page\Intranet
zona

Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Control
Panel\Security Page\Local
zona de la mquina

Equipo Configuracin de No ejecutar N/A Habilitado: Aplicar el valor por defecto

usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes
 Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
Directiva

Windows\Internet programas
Explorer\Panel Panel\Security antimalware
Page\Restricted sitios zona de
Control

Equipo Configuracin de No ejecutar N/A Habilitado: (ms fuerte que por defecto, alinea con DoD STIG)
usuario\Plantillas controles ActiveX desactivar
administrativas\Componentes programas
Windows\Internet antimalware
Explorer\Panel Panel\Security
Page\Trusted sitios zona de
Control

Cambios a la configuracin heredada de las instantneas existentes

Esta seccin describe los cambios a los ajustes que fueron heredadas de antiguas lneas de base. Estos cambios tambin ser portado a sos lneas de fondo:
Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012. La columna de lnea de base describe que las lneas de base se
ven afectadas.

Cambios en todas las instantneas de producto de Windows Server

Uno de los cambios que recomendamos para todas las instantneas de Windows Server es crear y mantener las lneas de base slo para el "Cumplimiento de
seguridad de controlador de dominio", "Cumplimiento de normas de seguridad de dominio" y "Conformidad de seguridad de servidores
miembro". Recomendamos no crear (y eliminar cuando ya existan) instantneas de rol de servidor para servicios de certificados de AD, DHCP, DNS, File Server,
Hyper-V, la poltica de red y acceso, servidor de impresin, servicios de acceso remoto, servicios de escritorio remoto o servidor Web.
La razn de este cambio es porque las instantneas contienen slo la configuracin de inicio del servicio y simplemente tratan de aplicar los valores
predeterminados de sus respectivas funciones. Los problemas con estas lneas de base son que 1) son desperdiciadores de tiempo definir y mantener, ya que
valores predeterminados de inicio de servicio pueden cambiar entre versiones del sistema operativo; 2) como uno puede asumir con seguridad que el
administrador de servidores incorporado u otras herramientas de configuracin hacen su trabajo correctamente, las lneas de base no proporcionan casi ningn
beneficio de seguridad; y 3) que pueden crear problemas serios cuando ellos equivocan.Por ejemplo, en algunos casos, Windows configura temporalmente el
servicio de Windows Installer (que es normalmente un servicio de Inicio Manual) para ser automticamente iniciar servicio para que pueda realizar acciones
inmediatamente despus de un reinicio. La lnea base de seguridad que obliga a arranque Manual as causa actualizaciones de no instalarse correctamente.
Por ello, tambin hemos decidido quitar todos los ajustes de inicio de servicio de las lneas de base de servidor que incluyen (por ejemplo, Windows Server 2012
dominio regulador seguridad cumplimiento"). La nica excepcin es el valor de configuracin de inicio de servicio para el servicio de identidad de la aplicacin en
controladores de dominio, que se necesitan para apoyar el uso de AppLocker (descrito en la siguiente seccin, "Bloquear el uso de los navegadores Web en
controladores de dominio").

Pasar el Hash
Los siguientes ajustes de cambios se recomiendan para ayudar a mitigar contra paso el Hash y el robo de credenciales similares ataques.

Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser

de poltica anterio valor
base r

Todo Plantillas de Aplicar restricciones de UAC a las cuentas locales en los inicios de sesin N/A Permiten Recomienda "Los ataques de
sistem equipo de red (REG_DWO Mitigating Pass-the-Hash
a Configuracin RD 0) (PtH) y otras tcnicas de robo
(HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Syste
operati del de la
m!LocalAccountTokenFilterPolicy)
vo equipo\Plantilla credencial":http://www.micr
cliente s\SCM: pasar las osoft.com/en-
y mitigaciones de us/download/details.aspx?id
servido Hash =36036
res
Una costumbre plantilla
miemb
administrativa se proporciona
ro
para que este ajuste puede
configurarse con el editor de
directiva de grupo.

Todos Equipo Negar el acceso a este equipo desde la red Huspe Huspedes, Win8.1/2012R2 introduce dos
los Configuracin des cuenta nuevos grupos de pseudo que
sistem Windows\Config Local puede obtener un inicio de
as uracin sesin local cuenta en su
operati seguridad\Direc ficha y que ha sido portado a
vos tivas (para el Windows 7/2008R2 y
locales\Asignaci servidor posteriores con 2871997
n derechos miembro: KB.Clientes y cuentas locales
asignacin invitados, deben denegar el inicio de
cuenta sesin de red en sistemas
Local y Unidos a un
miembro dominio. (Servidor miembro,
del grupo sustituya "Cuenta Local" con
la "cuenta Local y miembro
Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r

administra del grupo administradores"

dores) para evitar romper el failover
clustering.)Tambin,
administradores de empresa
y administradores de dominio
deben tambin denegar el
acceso a todos los clientes y
servidores excepto los
controladores de dominio y
estaciones de trabajo de
administracin
dedicada. (Nota que EA y DA
son especficos de dominio y
no se puede especificar en
lneas genricos como los de
SCM).

Todos Equipo Denegar el registro en mediante servicios de escritorio remoto Huspe Huspedes, Win8.1/2012R2 presenta un
Configuracin des cuenta pseudo nuevo grupo llamado
OS
Windows\Config Local "Cuenta Local" que cualquier
uracin inicio de sesin de cuenta
seguridad\Direc local se pone en su ficha y
tivas que ha sido portado a
locales\Asignaci Windows 7/2008R2 y
n derechos posteriores con2871997
asignacin KB. Los huspedes y cuenta
Local deben ser negado
sesin de escritorio remoto
en sistemas Unidos a un
dominio.Tambin,
administradores de empresa
y administradores de dominio
deben tambin denegar el
Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r

acceso a todos los clientes y

servidores excepto los
controladores de dominio y
estaciones de trabajo de
administracin
dedicada. (Nota que EA y DA
son especficos de dominio y
no se puede especificar en
lneas genricos como los de
SCM).

Todos Equipo Denegar el registro en como un trabajo por lotes Huspe Huspedes Tambin, administradores de
los Configuracin des empresa y administradores
sistem Windows\Config de dominio deben tambin
as uracin denegar el acceso a todos
operati seguridad\Direc los clientes y servidores
vos tivas excepto los controladores de
locales\Asignaci dominio y estaciones de
n derechos trabajo de administracin
asignacin dedicada. (Nota que EA y DA
son especficos de dominio y
no se puede especificar en
lneas genricos como los de
SCM).

Todos Equipo Denegar el registro en como un servicio Huspe Huspedes Tambin, administradores de
los Configuracin des empresa y administradores
sistem Windows\Config de dominio deben tambin
as uracin denegar el acceso a todos
operati seguridad\Direc los clientes y servidores
vos tivas excepto los controladores de
locales\Asignaci dominio y estaciones de
trabajo de administracin
dedicada. (Nota que EA y DA
 Lnea Camino de la Nombre de la Directiva Valor Nuevo Razn de ser
de poltica anterio valor
base r

n derechos son especficos de dominio y

asignacin no se puede especificar en
lneas genricos como los de
SCM).

Todos Equipo Denegar el registro en localmente Huspe Huspedes Tambin, administradores de

los Configuracin des empresa y administradores
sistem Windows\Config de dominio deben tambin
as uracin denegar el acceso a todos
operati seguridad\Direc los clientes y servidores
vos tivas excepto los controladores de
locales\Asignaci dominio y estaciones de
n derechos trabajo de administracin
asignacin dedicada. (Nota que EA y DA
son especficos de dominio y
no se puede especificar en
lneas genricos como los de
SCM).

Todos Plantillas de WDigest autenticacin (desactivacin puede requerir KB2871997) N/A Con WDigest deja contraseas de
los equipo discapacida texto sin formato-equivalente
sistem Configuracin d de los usuarios en la memoria
as del de Lsass.exe. Recomendado
operati equipo\Plantilla en "mitigacin paso el Hash y
vos s\SCM: pasar las otros credenciales robo,
mitigaciones de versin
Hash 2",http://www.microsoft.com
/pth

Bloquear el uso de los navegadores Web en controladores de dominio

Est bien establecido dentro de la comunidad de seguridad que es altamente peligroso e innecesario navegar por la web un sistema de alto valor como un
controlador de dominio. El propsito de las nuevas recomendaciones de referencia en esta seccin es ayudar a prevenir este tipo de comportamiento mediante
el uso de AppLocker para bloquear el uso de navegadores web populares. Porque es imposible impedir que un administrador evitando estas o cualquier otras
normas, el verdadero propsito de estas normas es evitar el uso accidental y para dejar claro navegador uso en un DC es desaconsejable.
Mientras que estas reglas cubren muchos casos, no debe considerar a ser completa. No slo hay otros navegadores que no son cubiertos por este conjunto de
reglas, hay muchos otros comportamientos que son igualmente peligrosos cuando se realiza en un controlador de dominio y que explcitamente no estn
bloqueados. En estos casos, estas normas pueden considerarse ilustrativas de un enfoque que puede ser extendido para ser ms comprensivo.
Estas reglas pueden aplicarse tambin a otros sistemas de alto valor, tales como servidores de base de datos y dedicados, nico propsito administrativos
estaciones de trabajo que se utilizan solamente para administrar Active Directory.

Lnea de base Camino de la poltica Nombre de la Nuevo valor Razn de ser

Directiva

Todos los Equipo equipo\Configuracin Permiten la Permiten Bloquear los navegadores web en los DCs
servidores Windows\Configuracin aplicacin de
Windows las local\Datos Control normas de
instantneas de Policies\AppLocker ejecutable
"Controlador de
dominio"

Todos los Equipo equipo\Configuracin Bloque de IE FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin
PublisherName = "O =
Windows las local\Datos
MICROSOFT CORPORATION,
instantneas de Policies\AppLocker\Executable
L = REDMOND, S =
"Controlador de las normas de Control
WASHINGTON, C = US"
dominio"
ProductName = "WINDOWS
INTERNET EXPLORER"

BinaryName = "IEXPLORE. "EXE"

Todos los Equipo equipo\Configuracin Bloque de FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin Chrome.exe
PublisherName = "O = GOOGLE
Windows las local\Datos
INC, L = MOUNTAIN VIEW, S
instantneas de Policies\AppLocker\Executable
= CALIFORNIA, C = US"
"Controlador de las normas de Control
dominio" ProductName = "GOOGLE
CHROME"
 Lnea de base Camino de la poltica Nombre de la Nuevo valor Razn de ser
Directiva

BinaryName = "CHROME. "EXE"

Todos los Equipo equipo\Configuracin Bloquear Firefox FilePublisherRule: Negar todos Bloquear los navegadores web en los DCs
servidores Windows\Configuracin
PublisherName = "O = MOZILLA
Windows las local\Datos
CORPORATION, L =
instantneas de Policies\AppLocker\Executable
MOUNTAIN VIEW, S = CA, C =
"Controlador de las normas de Control
US"
dominio"
ProductName = "FIREFOX"

BinaryName = "FIREFOX. "EXE"

Todos los Equipo equipo\Configuracin Reglas Permiten que los no Bloquear los navegadores web en los DCs
servidores Windows\Configuracin predeterminadas administradores ejecutar
Windows las local\Datos archivos ejecutables en
instantneas de Policies\AppLocker\Executable archivos de programa
"Controlador de las normas de Control
Permiten que los no
dominio"
administradores ejecutar
archivos ejecutables en
Windir

Permiten que los

administradores ejecutar
archivos ejecutables en
cualquier lugar

Todos los Equipo equipo\Configuracin Identidad de la Modo de inicio de servicio = AppLocker requiere AppIDSvc a la
servidores Windows\Configuracin aplicacin automtico ejecucin para hacer cumplir las normas
Windows las Settings\System servicios (AppIDSvc)
instantneas de
"Controlador de
dominio"
EMET
Se recomienda instalar EMET en todas las estaciones de trabajo y servidores, junto con esta configuracin de directiva de Grupo:

Lnea de base Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
Directiva

Todos Equipo Configuracin del Protecciones de N/A Habilitado Protecciones de EMET

equipo\Plantillas predeterminada
OS
Templates\Windows para Internet
Components\EMET Explorer

Todos Equipo Configuracin del Protecciones de N/A Habilitado Protecciones de EMET

equipo\Plantillas predeterminado
OS
Templates\Windows para el Software
Components\EMET Popular

Todos Equipo Configuracin del Por defecto las N/A Habilitado Protecciones de EMET
equipo\Plantillas protecciones de
OS
Templates\Windows Software
Components\EMET recomendado

Todos Equipo Configuracin del Sistema de ASLR N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-In
OS
Templates\Windows
Components\EMET

Todos Equipo Configuracin del Sistema DEP N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-Out
OS
Templates\Windows
Components\EMET

Todos Equipo Configuracin del Sistema SEHOP N/A Habilitado: Protecciones de EMET
equipo\Plantillas Aplicacin Opt-Out
OS
Templates\Windows
Components\EMET

Direccin actualizada
Esta seccin define los valores en todas las instantneas cubiertas por este informe que debe agregar o cambiar para que sea coherente con otras lneas de base.
 Lnea de Camino de la poltica Nombre de la Directiva Valor anterior Nuevo valor Razn de ser
base

Todos los Equipo Configuracin Especificar el tamao mximo 20480 32768 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\Application operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.

Todos los Equipo Configuracin Especificar el tamao mximo 20480 196608 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\Security operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.

Todos los Equipo Configuracin Especificar el tamao mximo 20480 32768 Que sea coherente con las
sistemas Components\Event registro del registro del archivo (KB) recomendaciones del sistema
operativos Service\System operativo de servidor y
cliente aumentar la capacidad
diagnstica y forense.

Todos Equipo Configuracin del Permite la indizacin de No se configura Con discapacidad Divulgacin de
equipo\Plantillas archivos cifrados informacin;contenido cifrado
OS
Templates\Windows potencialmente entra sin cifrar
Components\Search ndice

Todos Equipo Umbral de bloqueo de cuenta 50 intentos de 10 intentos de da de 50 atacantes demasiados

Configuration\ Directiva de inicio de sesin inicio de sesin tiros; las 50 contraseas ms
OS
bloqueo de cuenta de no vlido no vlido utilizadas dar los atacantes
Windows demasiadas cuentas. Un umbral
Windows\Configuracin demasiado bajo provoca
seguridad\Directivas polticas\ bloqueo accidental de
contraseas en cach la
aplicacin. (Entrada en el blog
independiente describe
cuestiones con ms detalle.)
Lnea de Camino de la poltica Nombre de la Directiva Valor anterior Nuevo valor Razn de ser
base

Todos Equipo Configuracin MSS: 0 segundos 5 segundos Ningn beneficio de seguridad

Windows\Configuracin (ScreenSaverGracePeriod) el real establecer en 0; Alinee con
OS
seguridad\Directivas tiempo en segundos antes del DoD STIG.
locales\Opciones opciones perodo de gracia de protector
de pantalla expira (0
recomendado)

Todos Equipo Configuracin Seguridad de red: fuerza cierre No se configura Habilitado Hacer sesin de horas de trabajo
Windows\Configuracin de sesin cuando expire la en la red tambin.
OS
seguridad\Directivas hora de inicio de sesin
locales\Opciones opciones

Todos Equipo Configuracin Control de cuentas de usuario: Pedir Pedir Hacer consistente (tenga en
Windows\Configuracin Comportamiento del indicador consentimiento consentimiento cuenta que el valor real para
OS
seguridad\Directivas de elevacin para los para binarios de en el escritorio Server 2008 tiene que ser
locales\Opciones opciones administradores en modo Windows no seguro "Solicitar autorizacin", como
aprobacin de administrador "escritorio seguro" se especifica
en otra opcin en Server 2008).

Todos Equipo Configuracin Control de cuentas de usuario: Solicitud de Denegar Elevacin del mismo escritorio
Windows\Configuracin Comportamiento del indicador credenciales automticamente UAC no es un lmite de
OS
seguridad\Directivas de elevacin para los usuarios solicitudes de seguridad; hay maneras ms
locales\Opciones opciones estndar elevacin seguras para administrar un
sistema.

Todos los Equipo Configuracin Seguridad de red: permitir No definido Habilitado Agregado a base de servidor
servidores Windows\Configuracin sistema Local con identidad de miembro para ser constante con
miembro seguridad\Directivas equipo para NTLM el cliente y lneas base de
locales\Opciones opciones controlador de dominio

Todos los Equipo Configuracin Seguridad de red: permitir No definido Con discapacidad Agregado a base de servidor
servidores Windows\Configuracin sesiones nulas de LocalSystem miembro para ser constante con
miembro seguridad\Directivas suplencia el cliente y lneas base de
locales\Opciones opciones controlador de dominio
 Lnea de Camino de la poltica Nombre de la Directiva Valor anterior Nuevo valor Razn de ser
base

Todos los Equipo Configuracin Tener acceso a este equipo Usuarios, los Usuarios Que sea coherente con la
sistemas Windows\Configuracin desde la red administradores autenticados, los direccin del servidor
operativos seguridad\Directivas administradores
cliente locales\Asignacin derechos
asignacin

Avanzadas de auditora
La gua de Windows 8 y Windows Server 2012 recomienda "No auditora" para muchos entornos donde la intencin era especificar "No definido" y permitir que
las decisiones del cliente. En algunos casos, "No auditora" hizo caso omiso de una cesacin de pagos ms seguro. Hemos intentado solucionar todos los casos
aqu.

Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Equipo Configuracin Servicio de autenticacin de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora Kerberos de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin

Todos Equipo Configuracin Auditora de las operaciones de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora Ticket de servicio Kerberos que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin

Todos Equipo Configuracin Auditora de otros eventos de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora inicio de sesin de cuenta que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Account inicio de sesin

Todos Administracin de equipo Grupo de aplicacin de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Configuracin Settings\Advanced de gestin que permiten a los clientes a decidir
OS
auditora poltica
Configuration\Audit
Policies\Account
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Administracin de equipo Gestin de cuentas de equipo Sin auditora No definido Ningn valor de seguridad; mejor
los Configuracin Settings\Advanced de auditora que permiten a los clientes a decidir
clientes auditora poltica
Configuration\Audit
OS
Policies\Account

Todos Administracin de equipo Auditora de administracin de Sin auditora No definido Ningn valor de seguridad; mejor
Configuracin Settings\Advanced grupo distribuido que permiten a los clientes a decidir
OS
auditora poltica
Configuration\Audit
Policies\Account

Todos Equipo Configuracin Auditora de actividad DPAPI Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Detailed seguimiento

Todos Equipo Configuracin Proceso de terminacin de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
Policy\Configuration\Audit
Policies\Detailed seguimiento

Todos Equipo Configuracin Eventos de auditora de RPC Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Detailed seguimiento

Todos Equipo Configuracin Replicacin de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora directorio detallado de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\DS acceso

Todos Equipo Configuracin Auditora de acceso de servicio Sin auditora No definido Ningn valor de seguridad; mejor
los Settings\Advanced auditora de directorio que permiten a los clientes a decidir
clientes poltica Configuration\Audit
Policies\DS acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

OS

Todos Equipo Configuracin Auditora cambios de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
los Settings\Advanced auditora directorio que permiten a los clientes a decidir
clientes poltica Configuration\Audit
Policies\DS acceso
OS

Todos Equipo Configuracin Replicacin de servicio de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora directorio de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\DS acceso

Todos Equipo Configuracin
Settings\Advanced auditora
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Bloqueo de cuenta de auditora Sin auditora xito "Ninguna auditora" era
probablemente una entrada
equivocada aqu.

Todos Equipo Configuracin Auditora IPSec modo extendido Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin

Todos Equipo Configuracin Modo principal de IPSec Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin

Todos Equipo Configuracin Modo rpido de IPSec de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin

Todos Equipo Configuracin Servidor de directivas de red de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Equipo Configuracin Otros eventos inicio/cierre de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora sesin de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Logon y cierre de sesin

Todos Equipo Configuracin Aplicacin de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora generado que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora poltica prueba de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora acceso Central que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora de servicios de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora certificacin que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Recurso compartido de archivos Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora detallado de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Recurso compartido de archivos Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Sistema de archivos de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Equipo Configuracin Auditora de filtrado de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora conexin de la plataforma que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora de filtrado plataforma Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora paquete gota que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora manija de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora manipulacin que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora objeto del ncleo Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Otros eventos de acceso del Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora objeto de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Registro de auditora Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Equipo Configuracin Auditora de medios de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora almacenamiento extrables que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Equipo Configuracin Auditora SAM Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Object acceso

Todos Cambio de equipo Configuracin Cambio de poltica de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora autorizacin de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy

Todos Cambio de equipo Configuracin Auditora de cambio de directiva Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora de plataforma de filtrado que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy

Todos Cambio de equipo Configuracin Auditora de cambio de directiva Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora regla MPSSVC que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy

Todos Cambio de equipo Configuracin Otros eventos de cambio de la Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora poltica de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Policy

Todos Equipo Configuracin Auditora de uso de privilegio no Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora sensibles que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Privilege uso

Todos Equipo Configuracin Otros eventos de uso de Sin auditora No definido Ningn valor de seguridad; mejor
Settings\Advanced auditora privilegio de auditora que permiten a los clientes a decidir
OS
poltica Configuration\Audit
Policies\Privilege uso
 Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Equipo Configuracin Otros eventos del sistema de Sin auditora xito y el "Ninguna auditora" era
Settings\Advanced auditora auditora fracaso probablemente una entrada
OS
poltica Configuration\Audit equivocada aqu.
Policies\System

Recomendaciones de Windows eliminados

Esta seccin enumera valores que consideramos que debe eliminarse de las recomendaciones de Windows. En muchos casos, proporcionan poco o ningn valor
de seguridad. En otros casos, los ajustes ya no son aplicables.

Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo Razn de ser

base Directiva valor

Todos Equipo Configuracin Criptografa de Habilitado No Valor de seguridad limitada; rompe muchos casos de uso
Windows\Configuracin sistema: usar definido legtimo; SSL 3.0 y versiones anterior puede desactivarse a
OS
seguridad\Directivas FIPS algoritmos travs de otros medios. Discutidos en ms detalle aqu:
locales\Opciones compatibles con http://blogs.technet.com/b/secguide/archive/2014/04/07/why-
opciones para cifrado, we-re-not-recommending-fips-mode-anymore.aspx
hash y firma

Todos Equipo Configuracin Inicio de sesin Habilitado No Ningn valor de seguridad

Windows\Configuracin interactivo: definido
OS
seguridad\Directivas requerir la
locales\Opciones autenticacin
opciones del controlador
de dominio para
desbloquear la
estacin de
trabajo

Todos Equipo Configuracin Control de Con No Ningn valor de seguridad

Windows\Configuracin cuentas de discapacidad definido
OS
seguridad\Directivas usuario: Elevar
locales\Opciones slo archivos
opciones ejecutables
 Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo Razn de ser
base Directiva valor

firmados y
validados

Todos los Equipo Configuracin Omitir Administradores, No Ningn valor de seguridad

sistemas Windows\Configuracin comprobacin usuarios, definido
operativos seguridad\Directivas de recorrido servicio Local,
locales\Asignacin servicio de red
derechos asignacin

Todos los Equipo Configuracin Incrementar un Administradores, No Ningn valor de seguridad

sistemas Windows\Configuracin sistema de servicio Local definido
operativos seguridad\Directivas trabajo del
locales\Asignacin proceso
derechos asignacin

Todos los Instalacin de equipo Especificar el Habilitado: No se Configuracin es especfica del cliente
sistemas Configuracin del servidor de Buscar servidor configura
operativos equipo\Plantillas bsqueda de administrado
Templates\System\Device actualizaciones
de
controladores
de dispositivo

Todos Equipo Configuracin del Desactivar Habilitado No No aplicable

equipo\Plantillas actualizaciones definido
OS
Templates\ Configuracin de archivo de
de Management\Internet contenido de
de System\Internet bsqueda
comunicacin compaero

Todos Equipo Configuracin del Desactivar la Habilitado No No aplicable

equipo\Plantillas tarea de definido
OS
Templates\ Configuracin "Publicar en
de Management\Internet Web" para
Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo Razn de ser
base Directiva valor

de System\Internet archivos y
comunicacin carpetas

Todos Equipo Configuracin del Apagar el Habilitado No No aplicable

equipo\Plantillas programa de definido
OS
Templates\ Configuracin mejora de
de Management\Internet experiencia de
de System\Internet Windows
comunicacin Messenger
cliente

Todos Equipo Configuracin del Apague el Habilitado No Ningn valor de seguridad

equipo\Plantillas controlador de definido
OS
Templates\ Configuracin dispositivo de
de Management\Internet Windows
de System\Internet Update en busca
comunicacin

Todos Equipo Configuracin del Controlar el Con No Ningn valor de seguridad

equipo\Plantillas comportamiento discapacidad definido
OS
Templates\ Windows de registro de
Components\Event eventos cuando
registro el archivo de
Service\Application registro alcanza
su tamao
mximo

Todos Equipo Configuracin del Controlar el Con No Ningn valor de seguridad

equipo\Plantillas comportamiento discapacidad definido
OS
Templates\ Windows de registro de
Components\Event eventos cuando
registro Service\Security el archivo de
registro alcanza
su tamao
mximo
 Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo Razn de ser
base Directiva valor

Todos Equipo Configuracin del Controlar el Con No Ningn valor de seguridad

equipo\Plantillas comportamiento discapacidad definido
OS
Templates\ Windows de registro de
Components\Event eventos cuando
registro Service\System el archivo de
registro alcanza
su tamao
mximo

Todos Equipo Configuracin del Permitir el Habilitado No Ningn valor de seguridad (enfrente!)
equipo\Plantillas acceso Shell definido
OS
Templates\ Shell remoto remoto
de Windows
Components\Windows

DC todos Equipo Configuracin Inicio de sesin inicios de 4 No No es aplicable ya que el papel es un controlador de dominio.
Windows\Configuracin interactivo: sesin definido
seguridad\Directivas nmero de
locales\Opciones inicios de sesin
opciones anterior a la
cach (en caso
de controlador
de dominio no
est disponible)

DC todos Equipo Configuracin Inicie sesin Administradores No Direccin anterior evita que algunos escenarios de menor
Windows\Configuracin como un trabajo de definido privilegio.
seguridad\Directivas por lotes
locales\Asignacin
derechos asignacin

Quitar Internet Explorer recomendaciones

Esta seccin enumera valores que consideramos que debe eliminarse de las recomendaciones de Internet Explorer. En muchos casos, proporcionan poco o
ningn valor de seguridad. En otros casos, los ajustes ya no son aplicables.
Lnea de Camino de la poltica Nombre de la Directiva Valor Nuevo valor Razn de ser
base anterior

Todos Usuario configuracin del Deshabilitar guardar este Habilitado No se Ningn valor de seguridad
equipo\Plantillas programa en la opcin de disco configura
IE
administrativas\Componentes
Components\ Mens de Internet
Explorer\Browser

Todos Equipo Configuracin del Deshabilitar la pgina avanzada Habilitado No se Ningn valor de seguridad
equipo\Plantillas configura
IE
administrativas\Componentes
Components\ Internet
Explorer\panel de Control

Todos Equipo Configuracin del Deshabilitar la pgina seguridad Habilitado No se Ningn valor de seguridad
equipo\Plantillas configura
IE
administrativas\Componentes
Components\ Internet
Explorer\panel de Control

Todos Equipo Configuracin del Permisos de canal de software Alta No se No aplicable

equipo\Plantillas seguridad configura
IE
Templates\ Zona de
Page\Internet de Panel\Security
de Windows Windows\Internet
Explorer\Panel Control

Todos Equipo Configuracin del Permisos de canal de software Alta No se No aplicable

equipo\Plantillas seguridad configura
IE
Templates\Windows
Windows\Internet
Explorer\Panel Control
Panel\Security Page\Restricted
zona de sitios de
Errores
Esta seccin enumera los defectos de la orientacin existente que necesita ser reparado.

Lnea de Camino de la poltica Nombre de la Valor anterior Nuevo valor Razn de ser
base Directiva

Controlador Equipo Configuracin
de dominio Windows\Configuracin
seguridad\Directivas
locales\Opciones
opciones
Servidor de red Con Habilitado Cambiar el valor de columna "Por defecto"
Microsoft: firmar discapacidad basado en el ajuste incorrecto
digitalmente las porhttp://technet.microsoft.com/en-
comunicaciones us/library/jj852239.aspx
(siempre)

Controlador Equipo Configuracin
de dominio Windows\Configuracin
seguridad\Directivas
locales\Opciones
opciones
Servidor de red Con Habilitado Cambiar el valor de columna "Por defecto"
Microsoft: firmar discapacidad basado en el ajuste incorrecto
digitalmente las porhttp://technet.microsoft.com/en-
comunicaciones (si us/library/jj852242.aspx
el cliente est de
acuerdo)