Criterios basicos para hacer de Windows mas seguro.
Constantemente al navegar por la web vemos noticias que cuentan como un grupo de cibercriminales han tomado control de equipos y servidores alrededor del mundo, o al mismo tiempo sabemos de una empresa cuyos datos han sido cifrados por malware y piden sumas de dinero muy altas por ellos. Las amenazas informáticas están allí afuera y como cualquier otro peligro, no estamos exentos de ser victima de ellos. Ahora bien, imaginando que estamos en un escenario donde no tenemos mas herramientas para mantener mas seguros nuestros datos sino las que nos ofrece el mismo sistema operativo, ¿que podemos hacer para conseguirlo?
Existen varias formas de hacer que nuestro sistema operativo sea mas seguro ajustando parámetros que de otra forma podrían permitir a los cibercriminales tener acceso a nuestro equipo valiéndose de alguna vulnerabilidad conocida.
Hay ciertos criterios que seguir para mejorar la seguridad de nuestros sistemas. Para cada sistema operativo existen diferentes criterios, en el caso de Windows se deben tener en cuenta los siguientes aspectos:
- Actualizaciones
La mejor defensa es la prevención, Microsoft suele lanzar actualizaciones de seguridad de forma semanal, es importante tener en cuenta que un sistema actualizado tiene menos probabilidades de éxito si es atacado, ya que si alguna vulnerabilidad ha sido descubierta recientemente, lo mas probable es que ya se encuentre parcheada en en la siguiente actualización. Validar si las actualizaciones automáticas están instaladas, de no ser así activar y descargar las mas recientes.
- Cuentas de usuario en Windows
En ediciones anteriores de Windows, como por ejemplo Windows XP existía un fallo de seguridad que permitía a usuarios anónimos tener permisos de administrador ya que en el grupo de usuarios “Todos” también estaban incluidos los usuarios anónimos. Esto afortunadamente ha cambiado en las versiones siguientes, sin embargo, es buena practica revisar la configuración de usuarios en Windows, siempre tener en cuenta que el alcance en los permisos de los grupos y sus usuarios tienen un papel fundamental en la seguridad.
El principio de mínimo privilegio es un criterio básico que se aplica al momento de crear usuarios. Como su nombre lo indica, asignar solo los privilegios estrictamente necesarios para que el usuario pueda cumplir sus funciones. Si la maquina va a formar parte de un dominio, las credenciales estarán almacenadas en el servidor de forma mucho mas segura. Como linea general de seguridad, no se recomienda trabajar con la cuenta de administradores locales o de dominio y se recomienda:
-
Deshabilitar la cuenta de administrador local.
-
Crear un usuario en el grupo de administradores y utilizar esta cuenta solo para labores administrativas del sistema.
- Crear un usuario que solo pertenezca al grupo de usuarios y usar esta cuenta para labores del día a día.
Podremos validar si la configuración esta correcta por que al crear los usuarios, solo estos podrán acceder al directorio “Users” o “Documents and Settings” (para versiones anteriores) y veremos los directorios de los usuarios creados en el sistema, solo podremos acceder al directorio del usuario en el que estamos trabajando.
Para agregar un poco mas de seguridad, si al disco duro se le ha hecho correctamente el particionado, se pueden cambiar estos directorios de partición de manera de separarlos de la partición del sistema operativo, esto nos ayudaría a proteger los datos en caso de un evento de seguridad que afecte a la sección del disco del sistema operativo.
- Firewall
La tecnología de firewall tiene muchos años, y no ha cambiado mucho desde entonces, consiste en interceptar una conexión antes de que llegue a su destino, y evaluar su origen, destino y protocolo. De acuerdo a esto se determina la acción a tomar, si es aceptada o rechazada. Actualmente muchas amenazas avanzadas son capaces de saltarse la seguridad de algunas soluciones de perímetro o de usuario final. Windows en sus mas recientes versiones han hecho cambios en su solución de firewall interna.
Debemos entender como funcionan los ataques y como podemos mitigar su impacto con las herramientas que tenemos a la mano. Si bien intentar configurar el firewall de windows puede ser un poco agobiante al principio, es primordial entender como se compone. Son 2 grandes grupos de políticas, las políticas de conexiones entrantes y salientes.
Las conexiones entrantes son todas aquellas que se generan desde fuera hacia nuestro equipo.
Las conexiones salientes son todas aquellas que se generan desde nuestro equipo hacia afuera.
Por defecto, el firewall de windows viene pre configurado con una cantidad de reglas que facilitan su administración. Sin embargo pueden haber situaciones donde necesitamos agregar o modificar reglas a nuestro set de políticas. Una de las grandes ventajas es que podemos agregar el campo de “Aplicación” a nuestro set, lo que nos permite hacer una regla mas especifica que no pueda entorpecer el funcionamiento de una aplicación legítima que sea usada por el usuario.
Generalmente se asume que debe configurarse de manera mas restrictiva el set de políticas de conexiones entrantes, y es cierto, sin embargo una de las formas en las que los atacantes pueden saltarse esta protección es precisamente haciendo una conexión reversa, es decir, no desde fuera hacia dentro sino al revés. Un equipo comprometido puede comunicarse con su servidor a la espera de instrucciones a través del puerto 80 o 443 y para el firewall sería una conexión aceptada ya que de lo contrario al bloquear estos puertos de forma saliente, el equipo no seria capaz de navegar a internet . Es aquí donde el campo “Aplicación” es conveniente, ya que podemos autorizar solo a algunos programas como navegadores o algún otro que necesite establecer conexiones salientes legitimas y evitar que aplicaciones desconocidas puedan salir a internet.