Foto de stock gratuita, crédito Pexels.com El objetivo es salvaguardar la privacidad y la seguridad de mí mismo y de los datos de mis clientes, al mismo tiempo que me permite ejecutar una prueba de penetración. Habiendo llegado a la conclusión en septiembre de que , adopté Windows 10 Pro v1607 como mi plataforma ofensiva. Qubes OS era el más adecuado como laboratorio portátil Este artículo se modificó en julio de 2017 para incluir varias trampas v1703. Aplique estas técnicas de endurecimiento a su sistema Windows 10 personal, mejorando drásticamente su postura de seguridad y manteniendo la privacidad de sus asuntos. www.securitystreak.com Sobre el Autor es un profesional de seguridad de TI independiente del proveedor. Realiza auditorías profesionales, pruebas de penetración y evaluaciones de riesgos. Diseña e ingenieros de sistemas de alta seguridad en la nube. Andrew Douma redes seguras Puede conectarse con él en GoodReads , LinkedIn , Medium y Twitter . Más historias de Andrés Evaluación correcto Comprar una computadora portátil de prueba de penetración profesional para 2017 | de QubesOS como plataforma de pruebas de penetración | Encontrar el código de explotación | Antivirus en 2017: ¿Por qué? ¿Cual? ¿Cómo? | Cifrado de disco completo con VeraCrypt | ¡Hacker a Security Pro! Sobre los hombros de los gigantes de #InfoSec | Protección de un teléfono o tableta Android (LineageOS) Password (IN)SANITY: | Política de contraseñas inteligentes y mejores prácticas Desconfianza Microsoft ha avanzado mucho en la mejora (SO). Sin embargo, su y la instalación/actualización forzada de software de las capacidades de seguridad de su sistema operativo uso generalizado de la "telemetría" les ha costado la confianza de sus clientes. Otras corporaciones de hardware/software también están instalando software de telemetría que llama a casa (Intel, , ). y llegó para quedarse. Nvidia Lenovo La vigilancia corporativa es un gran negocio En principio, nunca quiero ver ninguna conexión UDP saliente persistente que no haya configurado yo mismo. Tampoco quiero que mis capturas de red se contaminen. Así que aquí estamos: no confío ni en mi sistema operativo ni en mi proveedor de hardware. Bienvenido a mi guía de refuerzo de Windows 10. Medios de instalación Una mejor práctica es formatear el disco duro e instalar software legítimo y aún compatible. Edición de aniversario de Windows 10 (v1607), para bien o para mal. Los sistemas usados con software precargado pueden contener malware. No es raro que este sea el caso de una computadora portátil recién comprada en una tienda. Solo se necesita una persona experta en tecnología en la cadena de suministro. Asegúrese de tener la última versión de Windows. Si insiste en que no tiene un USB/CD de instalación de Windows, para encontrar las . La mayoría le permitirá descargar una imagen de recuperación o solicitar una sin cargo. Si es posible, verifique criptográficamente que su imagen de instalación sea auténtica. use un motor de búsqueda opciones de recuperación que ofrece nuestro proveedor Proceda a crear un USB de arranque con una de las o proporcionadas por el sistema/proveedor (línea de comandos). muchas herramientas gráficas Piratería de software Como profesionales de la seguridad cibernética, comencemos a tratar este tema como Sex Ed: Los sitios de torrents están diseñados para ganar dinero. Su para que instalen malware; muchos alojan campañas publicitarias maliciosas que contienen kits de exploits con exploits ocultos de 0 días. UI/UX a menudo está diseñado para engañar a las personas Los sistemas operativos pirateados y el software (de seguridad) que se encuentran en torrent y otros sitios para compartir archivos contienen malware. Los ataques son cada vez más destructivos. Es un juego de niños engañar a su Antivirus. , muchos proveedores ofrecen licencias de software a precio reducido (envíelos por correo electrónico si no lo incluyen en su sitio web) y, por lo general, puede comprar Windows por casi nada en su tienda de tecnología del campus. Obtenga una licencia de Windows 10 Education o Enterprise si puede. Si es estudiante , ¡proceda con precaución! Descargue estos archivos desde una VM: ejecute cracks, parches, keygen desde , descargue versiones de prueba del sitio web del proveedor e instálelas dentro de una VM dedicada. No puedes confiar en tu software. Si insiste en ser miembro del Partido Pirata una VM desechable El malware se propagará a través de su red, carpetas compartidas y, en algunos casos, incluso saldrá de la VM y comprometerá su sistema operativo host. Mantenga siempre actualizados VMWare/VirtualBox y su sistema operativo invitado. , no puedes estar haciendo esto; usted es parte del problema de seguridad cibernética! Aprenda cómo aplicar ingeniería inversa al software usted mismo si realmente no puede pagar las tarifas de la licencia. Pronto descubrirá que ha resuelto ambos problemas. Oblíguese a . Si eres un profesional de TI adoptar rutinas seguras Cifrado de disco completo (FDE) Tiene varias opciones para proteger sus "datos en reposo" cifrándolos antes de escribirlos en el disco. Incluso es posible combinar los tres. FDE solo protege sus datos por completo cuando su sistema está completamente apagado. Crypto es tan fuerte como el eslabón más débil. Tómese el tiempo necesario para generar ese conjunto de datos aleatorios y use una frase de contraseña segura. Basado en hardware (SED) Puede habilitar su unidad de autocifrado (SED) configurando una contraseña segura al configurar su BIOS. ¡Esto no es lo mismo que ! establecer una contraseña de supervisor El cifrado de disco completo transparente en su unidad de estado sólido (SSD) casi no tiene inconvenientes en el rendimiento. No tengo suficiente para confiar únicamente en él. confianza en Lenovo Tenga en cuenta que las claves de cifrado se mantienen , que es poco probable que sobreviva a Protéjase haciendo copias de seguridad periódicas. dentro de su chip TPM un ataque destructivo de hardware. BitLocker de Microsoft solo está de Windows 10. Las claves también se guardan dentro de su chip TPM. por lo que parece necesaria cierta separación de tareas. BitLocker disponible para licenciatarios Pro, Enterprise y Education Tampoco confío en mi sistema operativo, Sin embargo, hay ventajas en el uso de BitLocker: Su compatibilidad con ayuda a garantizar que solo se ejecute código confiable al inicio. UEFI SecureBoot Su integración con Active Directory Domain Services (AD DS) ayuda a garantizar el acceso a los archivos de trabajo, incluso después de tener que despedir a alguien en el acto. Todavía puede almacenar todos los datos relacionados con el negocio en contenedores VeraCrypt para mayor seguridad. o unidades externas Para habilitar BitLocker: Explorador de archivos > Haga clic con el botón derecho en C > Activar BitLocker. VeraCrypt una plataforma cruzada gratuita y de código abierto (FOSS) que Usted también una frase de contraseña de más de 32 caracteres. Uso VeraCrypt, pasó una auditoría independiente. puede aprender a memorizar VeraCrypt admite el cifrado de particiones/unidades GPT que no pertenecen al sistema. VeryCrypt, una solución de cifrado de disco gratuita y de código abierto Para encriptar toda su unidad, necesita particionar su disco como un disco MBR (Master Boot Record) y no como el formato GPT (GUID Partition Table) predeterminado. La conversión posterior requerirá un reformateo completo o También puede optar por utilizar un contenedor de archivos cifrados VeraCrypt sobre BitLocker/SSD FDE. la compra de un software de partición comercial. La información anterior combinada con la documentación debería ser suficiente para lograr esto. Lea su modelo de seguridad para comprender de qué lo protege y de qué no lo protege. Configuración de BIOS Su es el código base que inicializa su hardware y carga los archivos que inician su sistema operativo. sistema básico de entrada y salida (BIOS) No se deje intimidar por su antigua interfaz tipo DOS y sus opciones crípticas. para investigar opciones únicas para su variante y versión. Utilice un motor de búsqueda Visite el sitio web de su proveedor y descargue su herramienta para actualizar su BIOS a la última versión . (repita este trimestre) Los profesionales de TI pueden querer echar un vistazo a NIST 147/147b. Si no planea Unix de arranque dual ni VeraCrypt para FDE: usar VMWare, Habilite si tiene la versión de Windows 10 Education o Enterprise. Device Guard Activación automática de la tecnología de virtualización Intel y VT-d, arranque seguro UEFI y valores predeterminados optimizados del sistema operativo. Device Guard, bloquea su dispositivo para que solo ejecute aplicaciones confiables que haya definido a través de sus políticas de integridad de código. Más información está cubierta por cuando está configurado, este artículo de Microsoft Technet. Deshabilite Intel AMT, a menos que su organización use esta característica de Intel vPro. Hay una tercera opción para desactivarlo para siempre, que no se puede deshacer. Habilite Intel PTT (TPM 2.0) ya que admite SHA-2 y criptografía de curva elíptica, . entre otras cosas Decida usted mismo qué hacer con Intel SGX . (1) (2) (3) (4) Algunos sospechan cada vez más de Intel. Como planeo usar VeraCrypt FDE y Windows 10 Pro de arranque dual con el futuro : Qubes OS 4 Desactivé Intel AMT, Device Guard e Intel SGX. Intel está trabajando en la compatibilidad con SGX Linux, pero me preocupa que pueda dificultarme durante mi curso de ingeniería inversa. Desactivé la actualización Flash BIOS por parte de los usuarios finales y habilité Secure RollBack Prevention. Habilité la Prevención de ejecución de datos (DEP). Habilité la tecnología de virtualización de Intel y VT-d. Deshabilité mi cámara y micrófono integrados porque no los usaré. Desactivé Computrace Absolute Persistence (un rootkit antirrobo comercial) Desactivé Intel PTT (TPM 2.0) ya que la mayoría de las funciones de seguridad de Windows funcionarán con TPM 1.2. Sin embargo, la función Anti-Evil-Maid de Qubes OS requiere Intel TXT, que es compatible con TPM 2.0. ¡Cambiar el TPM restablecerá el chip, incluidas las claves de cifrado SSD presentes! Establecí frases de contraseña de inicio, usuario y maestro de alta entropía en todas partes, lo que habilita SSD FDE. Tenga en cuenta que Lenovo no permite el uso de caracteres especiales. Desactivé SecureBoot y habilité UEFI y Legacy Boot (Qubes y VeraCrypt FDE requieren un disco MBR heredado). Aunque no puedo usar SecureBoot, puedo proteger mi sistema usando MBRFilter. Deshabilité todos los dispositivos de arranque excepto mis dispositivos SSD y USB. Tras una instalación exitosa, también los deshabilité. Network Boot está configurado en mi disco duro. Guarde y salga de la configuración para reiniciar desde su medio de instalación. v1703 — Notas de actualización de los creadores Solo recomendaría instalar v1703 nuevo, ya que el proceso de actualización incorporado resultó en un sistema operativo irregular e inconsistente. Ninguna de las opciones de recuperación de Windows o las herramientas de solución de problemas resolvieron esto; Terminé usando la funcionalidad "Restablecer esta PC". Seguí adelante y ahora estoy iniciando Windows 10 "Redstone 2" con TPM 2.0, Device Guard y Bitlocker habilitados. Copias de seguridad, copias de seguridad, copias de seguridad!! ¡Asegúrese de hacer una copia de seguridad de la clave de recuperación de BitLocker! Instalación de ventanas Como se indicó, El malware moderno es muy persistente, los y son difíciles de detectar, las actualizaciones de Microsoft siempre han tenido errores. recomiendo a todos que comiencen con una instalación nueva de Windows 10. bootkits rootkits Durante la instalación y configuración, por favor: Elimine todas las particiones existentes y formatee completamente su disco duro. No se conecte a su red inalámbrica o cableada. Omita cualquier creación de cuenta de Microsoft.com. Tampoco te conectes con una cuenta de Microsoft existente. Seleccione opciones avanzadas. Deshabilite todas las configuraciones "recomendadas". Asigne a su cuenta el nombre de su personaje SyFy o Disney favorito, no su nombre legal. y ninguna (NIST 800–63–3). Use una contraseña decente sugerencia de contraseña útil Di "no, gracias" a Windows Hello. Di "ahora no" a Meeting Cortana. No se conecte a su red inalámbrica o por cable después de iniciar sesión. No habrá mucho beneficio en crear un usuario no administrativo. Su sistema permanece fuera de línea. Actualizaciones de carga lateral Recomiendo enfáticamente descargar aplicaciones esenciales, controladores de proveedores y actualizaciones de Windows. Cuando arrancas por primera vez, Windows está lejos de ser confiable. Está lleno de agujeros e informando a sus señores supremos. Como mínimo, es vulnerable a los ataques MITM locales. Herramienta de actualización sin conexión de WSUS Formatee y prepare una memoria USB desde . una máquina virtual desechable Descargue todas las actualizaciones relevantes de Microsoft mediante . WSUS Offline Update Instalarlos llevará algún tiempo. Visite el sitio web de su proveedor y descargue su herramienta para actualizar el BIOS del sistema, así como todos los demás controladores. Si tiene un SSD, le recomiendo que también actualice su firmware. Con algunos proveedores, esto requiere una conexión a Internet, si le preocupa su privacidad, posponga por ahora. Descargue y ejecute las aplicaciones esenciales de privacidad y el software de seguridad que analizamos a continuación. Dependiendo de su modelo de amenaza, la verificación criptográfica de los ejecutables que descargue es esencial. Complete las tareas de instalación anteriores. Su sistema permanece fuera de línea. Herramientas de seguridad y privacidad Hasta que entremos en el territorio del Editor de directivas de grupo y el Firewall de Windows, recomiendo ejecutar algunas herramientas para el consumidor para iniciar el proceso: Desbloquee y modifique su sistema base con /r/tronscript. Guarde estos como HOSTS.TXT en su carpeta y aplíquelos a su sistema. hosts de WindowsSpyBlocker Blackbird Blackbird actualmente no es compatible con v1703, modifique el archivo C:\Windows\System32\Drivers\etc\hosts manualmente. Reinicie y aplique los ajustes restantes . Esta herramienta actualmente no es compatible con v1703. de Fix Windows 10 Privacy Opcionalmente; evalúe y Se recomienda a los usuarios de v1703 que Destroy Windows 10 Spying (DWS) O&O ShutUp10. evalúen WPD. Toma el control de tus puertos USB con las herramientas o . Tenga en cuenta que también puede controlar esto usando la Política de grupo (discutido más adelante). BiniSoft ElevenPaths Echa un vistazo de cerca a lo que Beamgun puede hacer para protegerte contra LAN Turtles y Rubber Duck . No compatible con v1703 en el momento de escribir este artículo. Elija su si Windows Defender no lo es. antivirus preferido Considere usar o para recibir alertas cuando haya actualizaciones disponibles para el software que ha instalado. Esta herramienta comparte cierta información con un tercero (una empresa de seguridad de TI de EE. UU.). Personal Software Inspector Heimdal FREE ¡Descargue la extremadamente útil Sysinternals Suite! A menos que se aplique manualmente mediante un objeto de política de grupo, Microsoft volverá a habilitar la telemetría, las reglas de firewall y las funciones no deseadas durante de funciones o si alguna vez ejecuta . la próxima actualización System File Checker (sfc) Sería prudente actualizar y volver a ejecutar sus herramientas de privacidad preferidas después de un lanzamiento importante de Windows 10: estos proyectos hacen un buen trabajo al estar al tanto de todo. ¡Comprueba primero su compatibilidad! Todos parecen comportarse ligeramente diferente. Utilice para aplicar ingeniería inversa a sus acciones si desea aplicarlas mediante directivas de grupo/secuencias de comandos (o en estaciones de trabajo conectadas a AD). Process Monitor Su sistema permanece fuera de línea. Mitigación de exploits Una de las mejores cosas que puede hacer para mejorar su seguridad es instalar y configurar . el kit de herramientas de experiencia de mitigación mejorada (EMET) La Universidad Carnegie Mellon para los usuarios de Windows 10 a pesar de que Microsoft anunció su . Han incorporado algunas de sus protecciones en v1703. argumentó recientemente sus beneficios continuos End of Live para el 31 de julio de 2018 Instale EMET 5.5x. Use la configuración recomendada cuando se le solicite. Aparecerá un nuevo icono en la bandeja del sistema, haga clic en él para abrir la interfaz de usuario. Seleccione la configuración de Seguridad máxima en Perfil rápido y habilite Alerta temprana. Reinicie su sistema. En el momento de escribir este artículo, tenía un pequeño problema con Chrome después de aplicar los Programas populares de EMET a través de la Política de grupo. La solución fue configurarlo a través de la GUI y desactivar 'EAF: Extended Table Access Filtering Plus' solo para Chrome. También me gusta la idea detrás de 0patch.com . Su sistema permanece fuera de línea. Desactivar las características de Windows Queremos reducir la superficie de ataque de nuestros sistemas tanto como sea posible: lo que significa eliminar funciones y capacidades obsoletas que nunca usaremos. Panel de control > Activar o desactivar las funciones de Windows Deberá repasar qué características de Windows desactivar. Habilité las herramientas de administración de Hyper-V e IIS, así como algunas funciones de bloqueo de dispositivos. Pero eliminó .NET 3.5, SMB v1 y PowerShell 2. Podría ir mucho más allá. Para la nueva versión v1703, deshabilité todas las funciones de Windows y aún no había tenido ningún problema. Su sistema permanece fuera de línea. Desactivar servicios de Windows Cuando ejecuta con privilegios administrativos, se convierte en una gran herramienta para comenzar a administrar los programas y servicios que están configurados para ejecutarse en un momento u otro. Sysinternals Autoruns Por ahora, en , deshabilité la geolocalización por privacidad y algunos servicios que son vulnerables a y : Herramientas administrativas > Servicios (o ejecutando 'services.msc') Bloodhound Responder Haga clic derecho en un servicio de Windows> Propiedades Detenga el " " (WPAD) y establezca su 'Tipo de inicio' en Deshabilitado, eliminando un método Servicio de detección automática de proxy web WinHTTP El servicio IP Helper depende de WPAD y se detendrá, desactívelo también. Deshabilite , hoy en día cualquier intercambio de archivos se . TCP/IP NetBIOS Helper realiza a través de SMB Los y Github tienen más sugerencias. proyectos debloat-windows-10 chill-out-windows-10 Desafortunadamente, con la Actualización de aniversario v1603, Microsoft eliminó nuestra capacidad de hacer cumplir esto desde la Política de grupo. Su sistema permanece fuera de línea. Desactivar capacidades de red Hay algunas modificaciones que debemos hacer en nuestra configuración de wifi y adaptadores de red. Primero, haga que sea a través de redes WiFi: más difícil rastrear su ubicación Ve a Ajustes > Wifi Active . 'Usar direcciones de hardware aleatorias' Esto causará problemas menores en entornos en los que se utilice el filtrado MAC o DHCP estático. Puede usar la línea de comandos de para lograr esto para su interfaz LAN Ethernet. Technitium MAC Address Changer Vaya a Configuración > Ethernet > Ethernet > Cambiar opciones de adaptador o Panel de control > Centro de redes y recursos compartidos > Cambiar la configuración del adaptador Haga clic con el botón derecho en cualquier adaptador de red > Propiedades y desmarque: Cliente para Redes Microsoft Uso compartido de archivos e impresoras para redes Microsoft agendador de paquetes de QoS Protocolo multiplexor del adaptador de red de Microsoft Controlador de protocolo LLDP de Microsoft Protocolo de Internet versión 6 (TCP/IPv6) Respondedor de descubrimiento de topología de capa de enlace Controlador de E/S del asignador de detección de topología de capa de enlace En esa misma ventana, seleccione y haga clic en el . Desde allí, haga clic en el , desmarque en la pestaña DNS y seleccione en la pestaña WINS. 'Protocolo de Internet versión 4 (TCP/IPv4)' botón Propiedades botón Avanzado 'Registrar las direcciones de esta conexión en DNS' 'Deshabilitar NetBIOS sobre TCP/IP' Su sistema permanece fuera de línea. Repita estos pasos para todos los adaptadores de red apropiados. Desinstalar software Ejecuto la mayoría de mis herramientas desde dentro de una máquina virtual. Tengo instalados y . Se recomienda hacer lo mismo. Oracle VirtualBox VMWare Workstation Los archivos que recibo a través de mi cliente de correo y los abro con representan el mayor riesgo. ¡Y mucho menos las muestras maliciosas que descargo con entusiasmo con mi navegador web! mi paquete ofimático favorito Tengo algunas herramientas que uso fuera de una máquina virtual: / / / / / / / / / / / / / / / / / / / / / / / / / / / Bandizip BleachBit CherryTree Divvy GPG4Win Greenshot Glary Hash Explorer herdProtect HitmanPro KeePass MacDrive Navicat Nmap paint.NET Pritunl Tmac Resilio Sync SimpleDNSCrypt Sublime Text SunsetScreen VLC VirtualBox Estación de trabajo VMWare WinSCP Wireshark Xmind XnViewMP Las aplicaciones gratuitas tienden a "ofrecer" instalar software adicional o cambiar la página de inicio de su navegador. Elija siempre personalizar su instalación. Bloqueo todas las conexiones salientes con mi Firewall de Windows y solo incluyo en la lista blanca aquellas aplicaciones que para que lo hagan automáticamente. buscan actualizaciones a través de HTTPS Para mayor seguridad, no instale aplicaciones que no estén firmadas digitalmente. 3 mil millones de dispositivos: un pensamiento aterrador. Rápidamente desinstalé lo siguiente: , , y todas las aplicaciones de la Tienda Windows. Adobe Flash Java Skype Todas las aplicaciones de Lenovo, excepto On Screen Display y Power Management Driver. Componentes Intel Management Engine e Intel Security Assist ( ). Intel ME Software Intel PROSet/Wireless* (proporcionado por Lenovo). Intel WiDi (el soporte finalizó en octubre de 2016). *Obtuve los (Lenovo siempre está atrasado). controladores más recientes para mi tarjeta de red de Intel.com Para estos controladores, elijo no instalar las Extensiones de software ni el Kit de herramientas administrativas. Es posible que sea necesario reiniciar. Mantenga su sistema fuera de línea. DNS abierto Desde que como una empresa de seguridad empresarial y finalmente implementó DNS compatible con RFC (sin redireccionamientos personalizados, sin anuncios), se han convertido en una gran alternativa sobre su ISP o Google DNS. OpenDNS se renombró Puede aumentar su velocidad de Internet y mejorar su postura de seguridad configurando los servidores DNS (en y ) en estas direcciones IP: su dispositivo enrutador 208.67.222.222 208.67.220.220 Por defecto, OpenDNS bloquea la resolución de dominios maliciosos conocidos únicamente. Si se puede proteger aún más sus dispositivos en red, lo cual es útil cuando tiene hijos o es adicto a las redes sociales. registra para obtener una cuenta gratuita, Esto no detiene un ataque Man-in-the-Middle (MiTM). ¡Sus solicitudes de traducción de "URL a dirección IP" no están encriptadas! DNSCrypt El Servicio de nombres de dominio (DNS) es la razón por la que su proveedor de servicios de Internet (ISP) sabe exactamente qué sitios web está visitando. SimpleDNSCrypt Muchos países, incluidos Alemania, el Reino Unido y los Estados Unidos, permiten que su policía federal piratee a sus ciudadanos. es una excelente manera de verificar que las respuestas se originen en el sistema de resolución de DNS elegido y que no hayan sido falsificadas. DNSCrypt No proporciona encriptación, evita "fugas de DNS" o un sistema de resolución de DNS de terceros para que no registre su actividad. El protocolo TLS de nivel superior, como se usa en HTTPS y HTTP2 (SPDY), también filtra los nombres de host de los sitios web en texto sin formato, lo que hace que DNSCrypt sea inútil como una forma de ocultar esta información. es la implementación más actualizada para Windows 10. Opté por deshabilitar IPv6 y volveré a visitar las NIC ocultas (virtuales) en otro momento. SimpleDNSCrypt Reinicie su sistema. Debería estar 'OK' para ponerlo en línea ahora. Redes Privadas Virtuales Su historial de Internet es en el Reino Unido. Otros países están accesible para al menos 48 instituciones sin orden judicial condenados a seguir. “La privacidad es una noción transitoria. Cuando la gente dejó de creer que Dios podía verlo todo, los gobiernos se dieron cuenta de que había una vacante abierta”. —Roger Needham Se recomienda encarecidamente encapsular todo el tráfico de red más allá de las fronteras de su propio país mediante una red privada virtual. En el mejor de los casos, una VPN proporciona más privacidad. No cuentes con ello por el anonimato: El problema con la mayoría de los "proveedores de VPN" es que no sabes lo que realmente sucede detrás de escena. Por lo tanto, no puedo respaldar ninguna solución VPN. Personalmente, ejecuto una con que configura una VPN IPsec personal segura para mis dispositivos móviles y para cuando me conecto a través de una red WiFi pública. instancia de Linux reforzada Algo VPN Usamos para las instancias que derribamos al final del día. Genera un archivo HTML fácil de usar con instrucciones para conectarse al servidor recién aprovisionado que ejecuta L2TP/IPsec, OpenSSH, OpenVPN, Stunnel y un puente Tor. Fácil de compartir con otros. Streisand No todos los servidores VPS : es uno de mis favoritos. son iguales Lin-ode Cromo no buscado en Google Considero que Google Chrome es uno de los navegadores más seguros (por diseño). Debido a que hay una versión de código abierto, alguien creó UnGoogled Chromium , lo que resultó en una experiencia de navegación más privada (¡y mucho más rápida!). sin la integración de Google UnGoogled Chromium tiene paquetes prediseñados disponibles. Viene con "valores predeterminados seguros", pero algunas advertencias. Los complementos/extensiones requieren instalación manual. Las llaves de seguridad FIDO U2F no funcionarán sin esta extensión. No le notifica cuando visita sitios maliciosos. ¿Se actualiza automáticamente? no puedo decir Si opta por un enfoque más tradicional y enciende su navegador Microsoft Edge para o ¡asegúrese de ignorar los intentos de disuasión de Bing y Windows! descargar Chrome Firefox, Configure su navegador para rechazar las cookies de terceros. Elimine los complementos/extensiones incluidos instalados de forma predeterminada. Deshabilite cualquier servicio de ubicación/predicción/corrector ortográfico. Establezca como su página de inicio y motor de búsqueda. StartPage El 99,9 % de los exploits web, el seguimiento y la toma de huellas dactilares comienzan con la ejecución de JavaScript malicioso alojado en dominios de malware conocidos. Recuerde que los complementos aumentan su superficie de ataque. Existen muchas , pero para mí: otras extensiones de privacidad En UnGoogled Chromium, pruebe , , , ScriptSafe Ublock Origin uMatrix HTTPS Everywhere (¡enlaces de descarga directa!) Para Chrome, , , instale ScriptSafe Ublock Origin HTTPS Everywhere. También me gusta (Chrome). Relevance, un organizador de pestañas privado Con Firefox, , , instale uMatrix Ublock Origin HTTPS Everywhere. Considere bloquear el tráfico web sin cifrar y el audio de ultrasonido. Revise las opciones de cada navegador que haya instalado, incluido Internet Explorer/Edge. ¡Tómese el tiempo para configurar cada complemento en modo 'experto'! Editor de directivas de grupo/Objetos Las actualizaciones de Windows (y las actualizaciones) tienden a "cambiar la configuración" a sus valores predeterminados inseguros. Microsoft solo parece respetar la configuración aplicada mediante objetos de directiva de grupo (GPO) centrales. Incluso si no es un profesional de TI experimentado, le encantará poder administrar la mayoría de las configuraciones para todas las cuentas de usuario desde un solo programa (' ). Una está disponible en formato Excel. gpedit.msc' referencia de configuración actualizada para Windows 10 Esta interfaz se puede descubrir ejecutando 'gpedit.msc' Puede ampliar las capacidades de su Editor de directivas de grupo implementando Plantillas administrativas (archivos .adml y .admx). Por ejemplo, para controlar EMET con un GPO: Desde C:\Program Files (x86)\EMET 5.5\Deployment\Group Policy Files\ Copie el archivo .adml en C:\Windows\PolicyDefinitions\en-US\ Copie el archivo .admx en C:\Windows\PolicyDefinitions\ Repita esto para este conjunto de (las plantillas administrativas proporcionadas por Microsoft plantillas v1703 se pueden descargar aquí) Descargue el archivo Windows10-ADMX.msi Desde C:\Archivos de programa (x86)\Política de grupo de Microsoft\Windows 10\PolicyDefinitions\ Copie el archivo .adml en C:\Windows\PolicyDefinitions\en-US\ Copie el archivo .admx en C:\Windows\PolicyDefinitions\ Las plantillas también están disponibles para Microsoft , Office 2010/2013/2016/2007 LibreOffice , Chrome y Firefox. Si obtiene un error de , primero de la carpeta : acceso denegado deberá tomar posesión PolicyDefinitions Haga clic derecho en la carpeta, vaya a , luego a la pestaña . Propiedades Seguridad Haga clic en , pestaña y cambie el propietario de su cuenta. Avanzado Propietario No olvide marcar la casilla ' '. Reemplazar todos los permisos de objetos secundarios Usaremos algunas de estas capacidades extendidas para bloquear el sistema, haciendo que sea más difícil para cualquiera deshabilitar sus protecciones. Es posible que sea necesario reiniciar para cargar estas extensiones. Líneas base de host seguro Varias organizaciones bien financiadas dan consejos sobre lo que hace que una configuración sea "segura". (DoD) Departamento de Defensa de Australia (CIS) Centro para la Seguridad en Internet Blog de orientación de seguridad de Microsoft (NCSC) Centro Nacional de Seguridad Cibernética del Reino Unido (DoD) Departamento de Defensa de los Estados Unidos (NIAP) Asociación Nacional de Garantía de la Información de EE. UU. (NIST) Instituto Nacional de Estándares y Tecnología de EE. UU. (NSA) Agencia de Seguridad Nacional de EE. UU. Establecer una línea de (SHB) es una de las de la NSA. base de host seguro 10 principales estrategias de mitigación Línea de base de host seguro del Departamento de Defensa Me gusta el proyecto en Github. Es una colección de scripts de PowerShell que son relativamente sencillos de aplicar. DoD Secure Host Baseline Presiona el atajo de teclado Windows Key + X e inicia Windows PowerShell (Administrador). Ejecute todos los comandos a continuación desde allí: Establecer política de ejecución sin restricciones como un archivo ZIP y desbloquéalo: Descarga el repositorio cd $env:PERFIL DE USUARIO\Descargas Unblock-File -Path '.\Secure-Host-Baseline-master.zip' Extraiga el archivo ZIP, elimine "-master" de ambos directorios creados. En la terminal de PowerShell, navegue hasta el directorio e importe el módulo de PowerShell de directiva de grupo: cd $env:PERFIL DE USUARIO\Descargas\Secure-Host-Baseline Módulo de importación -Nombre '.\Secure-Host-Baseline\Scripts\GroupPolicy.psm1' Deberá extraer la en una ubicación conocida. Asegúrese de hacer referencia a las rutas completas en el siguiente comando para evitar errores. utilidad Objeto de directiva de grupo local (LGPO) de Microsoft No necesito certificados criptográficos del Departamento de Defensa: Invoke-ApplySecureHostBaseline -Path 'C:\...\Secure-Host-Baseline\' -PolicyNames 'Adobe Reader','AppLocker','Chrome','EMET','Internet Explorer','Office 2013','Windows','Windows Firewall' -ToolPath 'C:\...\LGPO.exe' Notará que, por ejemplo, más de su configuración de Chrome ahora se aplica mediante la política de grupo, algunas de las cuales revertiré. Dicho esto, no es perfecto: Tuve que eliminar manualmente un para iniciar mi editor de políticas de grupo local sin errores. conjunto antiguo de archivos ADMX/ADML Chrome tiene la mayoría de sus complementos deshabilitados, el motor de búsqueda está bloqueado en una versión defectuosa de Google SSL y mi página de inicio ahora es un sitio .mil. Es necesario reiniciar para aplicar todos los cambios correctamente. Administrador de cumplimiento de seguridad de Microsoft Microsoft ha lanzado una excelente herramienta que le permite aplicar sus ” líneas de base de seguridad recomendadas de "Microsoft". Esta herramienta pronto será reemplazada por probablemente antes de que las así que téngalo en cuenta. DSC Environment Analyzer (DSCEA), líneas de base de seguridad v1703 estén listas para la producción, Instale y configure Tenga en cuenta que esta herramienta requiere .Net Framework 3.5 (incluye .Net 2.0 y 3.0) e , lo que aumenta su superficie de ataque. Security Compliance Manager 4 (SCM). instala SQL Server 2008 Express (x86) Una vez instalado, en la columna " ", puede descargar las líneas de base de Microsoft automáticamente para Windows 10 v1607, Internet Explorer 11 y Office 2007/2010/2013. Obtener conocimiento Consulte la sección para instalar SecGuide ADMX/ADML y cualquier documentación complementaria. Tiene que duplicar una línea de base antes de que se pueda personalizar. Adjuntos\Guías Microsoft SCM 4.0 Si desea aplicar cualquier línea base de SCM a su sistema, puede exportar una carpeta de copia de seguridad de GPO y usar el modificador /g de la herramienta LGPO. Analizador de políticas de Microsoft Otra herramienta para aprender es la herramienta , que muestra las diferencias entre su política/registro local y tantas copias de seguridad de GPO como agregue y seleccione. Microsoft Policy Analyzer En el Visor de políticas, la información que se muestra se puede filtrar y buscar, o exportar a formato Excel. Los conflictos se muestran en amarillo. La plantilla DoD Secure Host Baseline tiene los valores predeterminados más seguros en la mayoría de los casos, pero encontrará que un híbrido de ambos se adapta a su caso de uso particular. Personalización de la política de grupo No hay sustituto para recorrer manualmente mis opciones con el Editor de directivas de grupo (ejecutando ). 'gpedit.msc' Mejore su legibilidad ordenando la columna 'Configuración' o 'Estado'. La redacción de algunas configuraciones puede ser muy contraria a la intuición. Por suerte cada opción tiene una descripción clara. La mayoría de las configuraciones relevantes se encuentran en estas rutas de política: Configuración del equipo > Configuración de Windows > Configuración de seguridad Configuración del equipo > Plantillas administrativas > Sistema Configuración del equipo > Plantillas administrativas > Componentes de Windows Configuración de usuario > Plantillas administrativas Aplique cualquier cambio ejecutando el siguiente comando en cualquier shell de administración: gpupdate.exe /Fuerza Puede ser muy revelador repetir este paso a medida que se publican . nuevos documentos de referencia de CIS Fusión de líneas base La información que me brinda Policy Analyzer me permite combinar rápidamente lo mejor de dos líneas de base y personalizar mi configuración según lo desee. Alivié mi política de bloqueo de cuenta (duración). para hacer mi trabajo (no es un problema en v1703) Necesito compatibilidad con VMWare Deshabilité Windows Defender (y SpyNet) por motivos de privacidad. Incluí en la lista blanca mis extensiones de Chrome deseadas y relajé otras configuraciones. Inhabilité la ejecución del programa desde unidades extraíbles. A pesar de trabajar principalmente desde VMWare, algunas configuraciones destinadas a mejorar la seguridad interferían conmigo durante una Como aquellos que limitan la cantidad de adaptadores de red activos simultáneamente o me impiden crear un puente MAC de capa 2 entre ellos. prueba de penetración. Menos telemetría A medida que revisa sus opciones, no solo descubrirá que Chrome tiene un juego de huevos de Pascua de dinosaurios, sino que muchas aplicaciones tienen algún tipo de: ID de publicidad Sincronización en la nube Error al reportar Mejora de la experiencia Programa de mejora de la experiencia del cliente (CEIP) Telemetría Estadísticas de uso La línea de base del Departamento de Defensa ha hecho un buen trabajo al deshabilitar la mayoría, pero no todos. Tenga en cuenta que, a menos que tenga una licencia de Windows Enterprise o Education, no podrá desactivar la telemetría por completo. Reaplicación estricta de la política Asegúrese de hacer cumplir estrictamente la reaplicación de políticas críticas: Adm. Plantillas > Sistema > Política de grupo. Habilitar: ' Procesar incluso si los objetos de directiva de grupo no han cambiado'. Para: redirección de carpetas, seguridad de IP, registro, scripts, seguridad, preferencia de servicios, instalación de software, procesamiento de políticas por cable e inalámbrico. Denegar el acceso desde la red Nunca necesitaré iniciar sesión de forma remota en mi estación de trabajo: Adm. Plantillas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario Agregue a: 'Cuenta local y miembro del grupo Administradores' 'Denegar el acceso a este equipo desde la red' 'Denegar inicio de sesión a través de Servicios de escritorio remoto' Cliente DNS de Windows El cliente DNS de Windows 10 simplemente acepta cualquier respuesta que reciba primero, del servidor DNS deseado. no necesariamente la Adm. Plantillas > Red > Cliente DNS. ' para evitar "fugas de DNS". Desactivar la resolución inteligente de nombres multitarjeta' para desactivar LLMNR. 'Desactivar la resolución de nombres de multidifusión' por si acaso. 'Desactivar el reordenamiento de protocolo inteligente' Posteriormente, podemos aplicar esta política mediante el Firewall de Windows como control técnico. Cliente NTP de Windows Configure el cliente de protocolo de tiempo de red (NTP) de Windows para tal vez Al menos hasta que el ' de tiempo en bruto' de Google esté sincronizando nuestros relojes. usar servidores confiables que no sean de Microsoft, incluso autenticados. protocolo Estándares SSL/TLS Puede hacer cumplir el uso de todo el sistema: estándares TLS modernos en Adm. Plantillas > Red > Ajustes de configuración de SSL. Para determinar qué curvas ECC son compatibles con su sistema, use el siguiente comando: CertUtil.exe -DisplayEccCurve como SQL Server 2008 Express (el Visor de eventos de Windows es su amigo). Esto generalmente rompe aplicaciones más antiguas Por suerte para nosotros, Google Chrome es lo último en tecnología: . Adm. Plantillas > Google > Google Chrome (HTTP2), establecer y establecer en Deshabilitado. 'Deshabilitar el protocolo SPDY' 'Versión mínima de SSL habilitada' ' en TLS 1.2 'Habilitar optimización WPAD' Revise el y desmarque , marque . Deshabilite WPAD en la desmarque Panel de control > Opciones de Internet > pestaña Avanzado 'Usar HTTP2' 'Enviar solicitudes de No rastrear' pestaña Conexiones > Configuración de LAN > 'Detectar configuraciones automáticamente'. Privacidad adicional Adm. Plantillas > Componentes de Windows > Internet Explorer. Me otorgué el privilegio de eliminar mi historial de navegación de IE. Adm. Plantillas > Componentes de Windows > Ubicación y Sensores. Apagué todos los sensores. EMET de Microsoft Vuelva a configurar Microsoft EMET para obtener la máxima seguridad: Adm. Plantillas > Componentes de Windows > EMET Establezca el sistema DEP en 'siempre encendido' Habilite 'Protecciones predeterminadas para software popular' En el momento de escribir este artículo, tenía un pequeño problema con Chrome después de aplicar los Programas populares de EMET a través de la Política de grupo. La solución fue configurarlo a través de la GUI y desactivar 'EAF: Extended Table Access Filtering Plus' solo para Chrome. Protección LSA Se recomienda para derrotar herramientas como configurar protección LSA adicional MimiKatz. En: (una plantilla personalizada de SCM4) habilite Adm. Templates > MS Security Guide el 'modo de auditoría Lsass.exe'. Reinicie y verifique el Visor de eventos de Windows para los códigos de evento 3065 y 3066; esos son controladores que no cumplen con los estándares de seguridad. mostrará los controladores sin firmar en un color diferente, en puede habilitar la verificación de la firma del código y el envío a VirusTotal.com. Sysinternals Autoruns Opciones > Opciones de escaneo Regrese y habilite si todos sus controladores están correctamente firmados. 'Protección LSA' para evitar la transmisión de credenciales a través de la red como un hash MD5 débil o resumen de mensaje. La autenticación WDigest ya debería estar deshabilitada oficina de microsoft Si está instalando Microsoft Office fuera de una máquina virtual (¡no recomendado!): Personalice su instalación y no instale extensiones potencialmente vulnerables. El Departamento de Defensa y las líneas de base de Microsoft aún no tienen una política para Office 2016, copie la configuración de una versión anterior. Vuelva a verificar la para cada uno de los conjuntos de Microsoft Office en Deshabilité la telemetría y todo ActiveX y VBA. Configuración de seguridad y el Panel de telemetría Configuración de usuario > Plantillas administrativas. en para cada producto de Microsoft Office. 'Bloquear macros para que no se ejecuten en archivos de Office desde Internet' Opciones > Seguridad > Centro de confianza También debe deshabilitar para Outlook. Tenga en cuenta que un atacante aún puede incrustar código dentro de los documentos de Office. Office OLE Automation Inicie el Editor del Registro de Windows (regedit.exe) Vaya a: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Office > # > Outlook > Seguridad (# = 12.0/14.0/15.0/16.0) Cree un nuevo llamado ' y configúrelo en 'Valor DWORD (32 bits)' ShowOLEPackageObj' '0'. Los cambios en el registro requieren un reinicio. Enumeración de sesión neta Ejecute el script PowerShell para mitigar un método que usa . NetCease Bloodhound cd $env:PERFIL DE USUARIO\Descargas Unblock-File -Path '.\NetCease.zip' .\NetCease\NetCease.ps1 Reinicie el servicio del servidor (o reinicie). Protocolo de detección automática de proxy web (WPAD) Ya deshabilitamos el y desmarcamos la propiedad Opciones de Internet . servicio 'WinHTTP Web Proxy Auto-Discovery Service' 'Configuración de detección automática' Inicie el Editor del Registro de Windows (regedit.exe) Vaya a: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > Versión actual > Configuración de Internet > Wpad Cree un nuevo llamado y configúrelo en 'Valor DWORD (32 bits)' 'WpadOverride' '1' Vaya a: HKEY_LOCAL_MACHINE > SISTEMA > CurrentControlSet > Servicios > Tcpip > Parámetros Establezca el existente en 'UseDomainNameDeveloution' '0'. Los cambios en el registro requieren un reinicio. Host de secuencias de comandos de Windows (WSH) El malware a menudo abusa de la funcionalidad que permite automatizar aplicaciones y procesos; es un ejemplo clásico. Windows Script Host Podemos deshabilitar la mayoría de las capacidades de Windows Scripting: Inicie el Editor del Registro de Windows (regedit.exe) Vaya a: HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows Script Host > Configuración Cree un nuevo llamado y configúrelo en 'Valor DWORD (32 bits)' 'Habilitado' 'o' Deshabilitar WSH puede impedirle ejecutar archivos por lotes .bat. Firewall de Windows con seguridad avanzada Firewall de Windows (WFAS) es nuestro control de seguridad técnica que hace cumplir nuestras políticas previstas y las complementa cuando es necesario. Por ejemplo, no podemos usar la Política de grupo para reforzar que nuestras solicitudes de DNS solo se envían al proxy DNSCrypt local o a servidores OpenDNS específicos. Experimenté mucho con y para mi flujo de trabajo; todas tenían fallas significativas de usabilidad o seguridad. varias alternativas interfaces gráficas de Windows Firewall acelerar Puede ver todas las reglas de firewall existentes mediante la aplicación de escritorio ( ). 'Firewall de Windows con seguridad avanzada' o ejecutando 'WF.msc' La configuración y las reglas del cortafuegos se crean mejor con el ahora familiar Editor de directivas de grupo. En Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Firewall de Windows con seguridad avanzada. Primero agregue una regla que bloquee todo el tráfico saliente y entrante: Haga clic en 'Propiedades del cortafuegos de Windows'. Para cada perfil (Dominio, Privado, Público) use el menú desplegable para 'Bloquear' todas las conexiones salientes. Explore las opciones de personalización de Configuración y Registro para cada uno. ( ). Deshabilitarlos en es solo una solución temporal. Importante: de forma predeterminada, el Firewall de Windows tiene una legión de excepciones locales entrantes y salientes 'WF.msc' 'WF.msc' A menos que cree una regla de bloqueo explícita para cada una o deshabilite la combinación de reglas de firewall locales para la configuración de cada perfil mediante la directiva de grupo ( ), Microsoft las volverá a habilitar después de una actualización importante. Además, más aplicaciones a menudo crean sus propias excepciones. 'gpedit.msc' Ahora permitamos que funcione: nuestro Cliente DNS de Windows En 'Reglas de salida' Haga clic con el botón derecho > Nueva regla… Tipo de regla: 'Personalizada' Ruta del programa: '%SystemRoot%\System32\svchost.exe' Tipo de protocolo: TCP Puerto remoto: Puertos específicos / 53 Ámbito > Direcciones IP remotas > Agregar > Conjunto predefinido de equipos: servidores DNS Permitir la conexión / para todos los perfiles / darle un nombre apropiado Repita los mismos pasos para 'svchost.exe' para permitir nuestro Cliente NTP de Windows (UDP/123) y Windows Update (TCP/80,443). Algunos ejemplos de procesos que permito hacer conexiones TCP salientes: %ProgramFiles% (x86)\Google\Chrome\Application\chrome.exe %Archivos de programa% (x86)\Google\Update\GoogleUpdate.exe %Archivos de programa% (x86)\Samsung Magician\Samsung Magician.exe %Archivos de programa% (x86)\VMware\VMware Workstation\vmware.exe %Archivos de programa%\HitmanPro\HitmanPro.exe %Archivos de programa%\Windows Defender\NisSrv.exe %SystemRoot%\syswow64\vmnat.exe Mis reglas de entrada consisten únicamente en Core Networking y excepciones de aplicaciones específicas. Oblíguese a aplicar el principio de privilegio mínimo. GoogleUpdate y HitmanPro solo deben conectarse al puerto 443 a través de TCP. debe bloquearse explícitamente. 'Experiencias de usuario conectado y telemetría DiagTrack' AppLocker Una de las estrategias de defensa más poderosas es incluir en la lista blanca qué aplicaciones pueden ejecutarse con Windows AppLocker. A estas alturas, AppLocker ya se está ejecutando en el modo "Solo auditoría": todos los procesos ejecutados por los usuarios se registran en el registro de eventos, incluida la ruta completa del programa. Como primer paso, puede incluir en la lista negra su directorio de inicio y temporal, así como otras rutas a las que un usuario normal tiene acceso de escritura. A continuación, solo permita la ejecución de archivos en directorios en los que confíe (es decir, %ProgramFiles% y %WinDir%). Use AccesEnum para verificar que no haya directorios grabables por el usuario allí (¡como 'ErrorReporting' de MS-SQL!) Todas las políticas de AppLocker se crean y administran mediante la Política de grupo en: Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas de control de aplicaciones> AppLocker Su objetivo es incluir en la aquellas aplicaciones en las que confía, por ruta, pero preferiblemente por su firma digital. lista blanca solo para el paranoico A pesar de dedicar más de 6000 palabras al tema, siempre hay más que podemos hacer y cada mes se publican nuevos vectores de ataque. Bloqueador de espías de Windows Quiero volver a visitar el , ya que tiene un enfoque sólido para el problema y se actualiza continuamente. Se recomienda encarecidamente instalar un y . Probablemente incorporaré esto proyecto WindowsSpyBlocker GitHub proxy de capa de aplicación generar un archivo de hosts unificados con Blackbird. sistema Sysmon es de Windows Sysinternals. otra herramienta gratuita Es una herramienta de monitoreo en segundo plano que se registra en el registro de eventos de Windows, tiene muchas funciones y le brinda más visibilidad del estado en vivo de su punto final. Vea la presentación del autor y y "Cómo pasar de Responder a Cazar con Sysinternals Sysmon" este artículo del fundador de Graylog webcast de BHS. Filtro MBR En la lucha contra el ransomware, los bootkits y los rootkits, Talos de Cisco ha lanzado el Básicamente, esto establece su Master Boot Record en solo lectura. controlador de filtro MBR. Es relativamente . Lea la publicación original del Esta herramienta no es para sistemas UEFI/SecureBoot. fácil de instalar blog aquí. OCULTOS OSSEC Un sistema de detección de intrusos basado en host gratuito y de código abierto con un motor de análisis y correlación muy potente: Análisis de registro Comprobación de integridad de archivos Supervisión del registro de Windows Aplicación de políticas centrales Detección de rootkits Alertas en tiempo real Respuestas activas Supervisamos todos nuestros hosts Linux, OpenBSD, MacOS y Windows con él. Si desea ejecutarlo localmente, deberá configurarlo en una máquina virtual Linux solo de host, ya que el soporte de Windows se limita a un agente instalable. ¡Funciona muy bien en combinación con Graylog! Autenticación de dos factores Confiar únicamente en un nombre de usuario/contraseña o incluso en la autenticación por SMS fuera de límites usando su teléfono celular no será lo suficientemente seguro en 2017 (NIST 800–63A/B/C). contra las apropiaciones de cuentas. Las claves de seguridad U2F son su mejor esperanza Recomiendo encarecidamente comprar y El YubiKey 4 ahora es de código cerrado, pero los NEO todavía usan código de código abierto que otros pueden verificar de forma independiente. Se integra bien aprender a usar un Yubikey. con Windows 10. ¿Tienes algún consejo? ¿Correcciones o adiciones? No dude en responder. Siéntase libre de compartir sus experiencias, consejos y preguntas en privado o a través de la sección de comentarios. Haz clic en el ♡ para recomendar este artículo.
