Guía de los probadores de penetración para la privacidad y seguridad de Windows 10

Foto de stock gratuita, crédito Pexels.com

El objetivo es salvaguardar la privacidad y la seguridad de mí mismo y de los datos de mis clientes, al mismo tiempo que me permite ejecutar una prueba de penetración.

Habiendo llegado a la conclusión en septiembre de que Qubes OS era el más adecuado como laboratorio portátil , adopté Windows 10 Pro v1607 como mi plataforma ofensiva. Este artículo se modificó en julio de 2017 para incluir varias trampas v1703.

Aplique estas técnicas de endurecimiento a su sistema Windows 10 personal, mejorando drásticamente su postura de seguridad y manteniendo la privacidad de sus asuntos.

www.securitystreak.com

Sobre el Autor

Andrew Douma es un profesional de seguridad de TI independiente del proveedor. Realiza auditorías profesionales, pruebas de penetración y evaluaciones de riesgos. Diseña redes seguras e ingenieros de sistemas de alta seguridad en la nube.

Puede conectarse con él en GoodReads , LinkedIn , Medium y Twitter .

Más historias de Andrés

Comprar una computadora portátil de prueba de penetración profesional para 2017 | Evaluación de QubesOS como plataforma de pruebas de penetración | Encontrar el código de explotación correcto | Antivirus en 2017: ¿Por qué? ¿Cual? ¿Cómo? | Cifrado de disco completo con VeraCrypt | ¡Hacker a Security Pro! Sobre los hombros de los gigantes de #InfoSec | Protección de un teléfono o tableta Android (LineageOS) | Password (IN)SANITY: Política de contraseñas inteligentes y mejores prácticas

Desconfianza

Microsoft ha avanzado mucho en la mejora de las capacidades de seguridad de su sistema operativo (SO). Sin embargo, su uso generalizado de la "telemetría" y la instalación/actualización forzada de software les ha costado la confianza de sus clientes.

Otras corporaciones de hardware/software también están instalando software de telemetría que llama a casa (Intel, Nvidia , Lenovo ). La vigilancia corporativa es un gran negocio y llegó para quedarse.

En principio, nunca quiero ver ninguna conexión UDP saliente persistente que no haya configurado yo mismo. Tampoco quiero que mis capturas de red se contaminen.

Así que aquí estamos: no confío ni en mi sistema operativo ni en mi proveedor de hardware. Bienvenido a mi guía de refuerzo de Windows 10.

Medios de instalación

Una mejor práctica es formatear el disco duro e instalar software legítimo y aún compatible. Edición de aniversario de Windows 10 (v1607), para bien o para mal.

Los sistemas usados con software precargado pueden contener malware. No es raro que este sea el caso de una computadora portátil recién comprada en una tienda. Solo se necesita una persona experta en tecnología en la cadena de suministro.

• Asegúrese de tener la última versión de Windows.

Si insiste en que no tiene un USB/CD de instalación de Windows, use un motor de búsqueda para encontrar las opciones de recuperación que ofrece nuestro proveedor . La mayoría le permitirá descargar una imagen de recuperación o solicitar una sin cargo. Si es posible, verifique criptográficamente que su imagen de instalación sea auténtica.

• Proceda a crear un USB de arranque con una de las muchas herramientas gráficas o proporcionadas por el sistema/proveedor (línea de comandos).

Piratería de software

Como profesionales de la seguridad cibernética, comencemos a tratar este tema como Sex Ed:

Los sitios de torrents están diseñados para ganar dinero. Su UI/UX a menudo está diseñado para engañar a las personas para que instalen malware; muchos alojan campañas publicitarias maliciosas que contienen kits de exploits con exploits ocultos de 0 días.

Los sistemas operativos pirateados y el software (de seguridad) que se encuentran en torrent y otros sitios para compartir archivos contienen malware. Es un juego de niños engañar a su Antivirus. Los ataques son cada vez más destructivos.

Si es estudiante , muchos proveedores ofrecen licencias de software a precio reducido (envíelos por correo electrónico si no lo incluyen en su sitio web) y, por lo general, puede comprar Windows por casi nada en su tienda de tecnología del campus. Obtenga una licencia de Windows 10 Education o Enterprise si puede.

Si insiste en ser miembro del Partido Pirata , ¡proceda con precaución! Descargue estos archivos desde una VM: ejecute cracks, parches, keygen desde una VM desechable , descargue versiones de prueba del sitio web del proveedor e instálelas dentro de una VM dedicada. No puedes confiar en tu software.

El malware se propagará a través de su red, carpetas compartidas y, en algunos casos, incluso saldrá de la VM y comprometerá su sistema operativo host. Mantenga siempre actualizados VMWare/VirtualBox y su sistema operativo invitado.

Si eres un profesional de TI , no puedes estar haciendo esto; usted es parte del problema de seguridad cibernética! Aprenda cómo aplicar ingeniería inversa al software usted mismo si realmente no puede pagar las tarifas de la licencia. Pronto descubrirá que ha resuelto ambos problemas. Oblíguese a adoptar rutinas seguras .

Cifrado de disco completo (FDE)

Tiene varias opciones para proteger sus "datos en reposo" cifrándolos antes de escribirlos en el disco. Incluso es posible combinar los tres.

• FDE solo protege sus datos por completo cuando su sistema está completamente apagado.
• Crypto es tan fuerte como el eslabón más débil. Tómese el tiempo necesario para generar ese conjunto de datos aleatorios y use una frase de contraseña segura.

Basado en hardware (SED)

Puede habilitar su unidad de autocifrado (SED) configurando una contraseña segura al configurar su BIOS. ¡Esto no es lo mismo que establecer una contraseña de supervisor !

El cifrado de disco completo transparente en su unidad de estado sólido (SSD) casi no tiene inconvenientes en el rendimiento. No tengo suficiente confianza en Lenovo para confiar únicamente en él.

Tenga en cuenta que las claves de cifrado se mantienen dentro de su chip TPM , que es poco probable que sobreviva a un ataque destructivo de hardware. Protéjase haciendo copias de seguridad periódicas.

BitLocker de Microsoft

BitLocker solo está disponible para licenciatarios Pro, Enterprise y Education de Windows 10. Las claves también se guardan dentro de su chip TPM. Tampoco confío en mi sistema operativo, por lo que parece necesaria cierta separación de tareas.

Sin embargo, hay ventajas en el uso de BitLocker:

• Su compatibilidad con UEFI SecureBoot ayuda a garantizar que solo se ejecute código confiable al inicio.
• Su integración con Active Directory Domain Services (AD DS) ayuda a garantizar el acceso a los archivos de trabajo, incluso después de tener que despedir a alguien en el acto.
• Todavía puede almacenar todos los datos relacionados con el negocio en contenedores VeraCrypt o unidades externas para mayor seguridad.

Para habilitar BitLocker: Explorador de archivos > Haga clic con el botón derecho en C > Activar BitLocker.

VeraCrypt

Uso VeraCrypt, una plataforma cruzada gratuita y de código abierto (FOSS) que pasó una auditoría independiente. Usted también puede aprender a memorizar una frase de contraseña de más de 32 caracteres.

VeraCrypt admite el cifrado de particiones/unidades GPT que no pertenecen al sistema.

VeryCrypt, una solución de cifrado de disco gratuita y de código abierto

Para encriptar toda su unidad, necesita particionar su disco como un disco MBR (Master Boot Record) y no como el formato GPT (GUID Partition Table) predeterminado.

La conversión posterior requerirá un reformateo completo o la compra de un software de partición comercial. También puede optar por utilizar un contenedor de archivos cifrados VeraCrypt sobre BitLocker/SSD FDE.

La información anterior combinada con la documentación debería ser suficiente para lograr esto. Lea su modelo de seguridad para comprender de qué lo protege y de qué no lo protege.

Configuración de BIOS

Su sistema básico de entrada y salida (BIOS) es el código base que inicializa su hardware y carga los archivos que inician su sistema operativo.

• No se deje intimidar por su antigua interfaz tipo DOS y sus opciones crípticas. Utilice un motor de búsqueda para investigar opciones únicas para su variante y versión.
• Visite el sitio web de su proveedor y descargue su herramienta para actualizar su BIOS a la última versión (repita este trimestre) .
• Los profesionales de TI pueden querer echar un vistazo a NIST 147/147b.

Si no planea usar VMWare, Unix de arranque dual ni VeraCrypt para FDE:

• Habilite Device Guard si tiene la versión de Windows 10 Education o Enterprise. Activación automática de la tecnología de virtualización Intel y VT-d, arranque seguro UEFI y valores predeterminados optimizados del sistema operativo.

Device Guard, cuando está configurado, bloquea su dispositivo para que solo ejecute aplicaciones confiables que haya definido a través de sus políticas de integridad de código. Más información está cubierta por este artículo de Microsoft Technet.

• Deshabilite Intel AMT, a menos que su organización use esta característica de Intel vPro. Hay una tercera opción para desactivarlo para siempre, que no se puede deshacer.
• Habilite Intel PTT (TPM 2.0) ya que admite SHA-2 y criptografía de curva elíptica, entre otras cosas .
• Decida usted mismo qué hacer con Intel SGX (1) (2) (3) (4) . Algunos sospechan cada vez más de Intel.

Como planeo usar VeraCrypt FDE y Windows 10 Pro de arranque dual con el futuro Qubes OS 4 :

• Desactivé Intel AMT, Device Guard e Intel SGX. Intel está trabajando en la compatibilidad con SGX Linux, pero me preocupa que pueda dificultarme durante mi curso de ingeniería inversa.
• Desactivé la actualización Flash BIOS por parte de los usuarios finales y habilité Secure RollBack Prevention.
• Habilité la Prevención de ejecución de datos (DEP).
• Habilité la tecnología de virtualización de Intel y VT-d.
• Deshabilité mi cámara y micrófono integrados porque no los usaré.
• Desactivé Computrace Absolute Persistence (un rootkit antirrobo comercial)
• Desactivé Intel PTT (TPM 2.0) ya que la mayoría de las funciones de seguridad de Windows funcionarán con TPM 1.2. Sin embargo, la función Anti-Evil-Maid de Qubes OS requiere Intel TXT, que es compatible con TPM 2.0. ¡Cambiar el TPM restablecerá el chip, incluidas las claves de cifrado SSD presentes!
• Establecí frases de contraseña de inicio, usuario y maestro de alta entropía en todas partes, lo que habilita SSD FDE. Tenga en cuenta que Lenovo no permite el uso de caracteres especiales.
• Desactivé SecureBoot y habilité UEFI y Legacy Boot (Qubes y VeraCrypt FDE requieren un disco MBR heredado). Aunque no puedo usar SecureBoot, puedo proteger mi sistema usando MBRFilter.
• Deshabilité todos los dispositivos de arranque excepto mis dispositivos SSD y USB. Tras una instalación exitosa, también los deshabilité. Network Boot está configurado en mi disco duro.

Guarde y salga de la configuración para reiniciar desde su medio de instalación.

v1703 — Notas de actualización de los creadores

Solo recomendaría instalar v1703 nuevo, ya que el proceso de actualización incorporado resultó en un sistema operativo irregular e inconsistente.

Ninguna de las opciones de recuperación de Windows o las herramientas de solución de problemas resolvieron esto; Terminé usando la funcionalidad "Restablecer esta PC".

Seguí adelante y ahora estoy iniciando Windows 10 "Redstone 2" con TPM 2.0, Device Guard y Bitlocker habilitados.

• Copias de seguridad, copias de seguridad, copias de seguridad!!
• ¡Asegúrese de hacer una copia de seguridad de la clave de recuperación de BitLocker!

Instalación de ventanas

Como se indicó, recomiendo a todos que comiencen con una instalación nueva de Windows 10. El malware moderno es muy persistente, los bootkits y rootkits son difíciles de detectar, las actualizaciones de Microsoft siempre han tenido errores.

Durante la instalación y configuración, por favor:

• Elimine todas las particiones existentes y formatee completamente su disco duro.
• No se conecte a su red inalámbrica o cableada.
• Omita cualquier creación de cuenta de Microsoft.com.
• Tampoco te conectes con una cuenta de Microsoft existente.
• Seleccione opciones avanzadas.
• Deshabilite todas las configuraciones "recomendadas".
• Asigne a su cuenta el nombre de su personaje SyFy o Disney favorito, no su nombre legal.
• Use una contraseña decente y ninguna sugerencia de contraseña útil (NIST 800–63–3).
• Di "no, gracias" a Windows Hello.
• Di "ahora no" a Meeting Cortana.
• No se conecte a su red inalámbrica o por cable después de iniciar sesión.
• No habrá mucho beneficio en crear un usuario no administrativo.

Su sistema permanece fuera de línea.

Actualizaciones de carga lateral

Recomiendo enfáticamente descargar aplicaciones esenciales, controladores de proveedores y actualizaciones de Windows.

Cuando arrancas por primera vez, Windows está lejos de ser confiable. Está lleno de agujeros e informando a sus señores supremos. Como mínimo, es vulnerable a los ataques MITM locales.

Herramienta de actualización sin conexión de WSUS

• Formatee y prepare una memoria USB desde una máquina virtual desechable .
• Descargue todas las actualizaciones relevantes de Microsoft mediante WSUS Offline Update . Instalarlos llevará algún tiempo.
• Visite el sitio web de su proveedor y descargue su herramienta para actualizar el BIOS del sistema, así como todos los demás controladores.
• Si tiene un SSD, le recomiendo que también actualice su firmware. Con algunos proveedores, esto requiere una conexión a Internet, si le preocupa su privacidad, posponga por ahora.
• Descargue y ejecute las aplicaciones esenciales de privacidad y el software de seguridad que analizamos a continuación.
• Dependiendo de su modelo de amenaza, la verificación criptográfica de los ejecutables que descargue es esencial.

Complete las tareas de instalación anteriores. Su sistema permanece fuera de línea.

Herramientas de seguridad y privacidad

Hasta que entremos en el territorio del Editor de directivas de grupo y el Firewall de Windows, recomiendo ejecutar algunas herramientas para el consumidor para iniciar el proceso:

• Desbloquee y modifique su sistema base con /r/tronscript.
• Guarde estos hosts de WindowsSpyBlocker como HOSTS.TXT en su carpeta Blackbird y aplíquelos a su sistema.
• Blackbird actualmente no es compatible con v1703, modifique el archivo C:\Windows\System32\Drivers\etc\hosts manualmente.
• Reinicie y aplique los ajustes restantes de Fix Windows 10 Privacy . Esta herramienta actualmente no es compatible con v1703.
• Opcionalmente; evalúe Destroy Windows 10 Spying (DWS) y O&O ShutUp10. Se recomienda a los usuarios de v1703 que evalúen WPD.
• Toma el control de tus puertos USB con las herramientas BiniSoft o ElevenPaths . Tenga en cuenta que también puede controlar esto usando la Política de grupo (discutido más adelante).
• Echa un vistazo de cerca a lo que Beamgun puede hacer para protegerte contra LAN Turtles y Rubber Duck . No compatible con v1703 en el momento de escribir este artículo.
• Elija su antivirus preferido si Windows Defender no lo es.
• Considere usar Personal Software Inspector o Heimdal FREE para recibir alertas cuando haya actualizaciones disponibles para el software que ha instalado. Esta herramienta comparte cierta información con un tercero (una empresa de seguridad de TI de EE. UU.).
• ¡Descargue la extremadamente útil Sysinternals Suite!

A menos que se aplique manualmente mediante un objeto de política de grupo, Microsoft volverá a habilitar la telemetría, las reglas de firewall y las funciones no deseadas durante la próxima actualización de funciones o si alguna vez ejecuta System File Checker (sfc) .

Sería prudente actualizar y volver a ejecutar sus herramientas de privacidad preferidas después de un lanzamiento importante de Windows 10: estos proyectos hacen un buen trabajo al estar al tanto de todo. ¡Comprueba primero su compatibilidad!

Todos parecen comportarse ligeramente diferente. Utilice Process Monitor para aplicar ingeniería inversa a sus acciones si desea aplicarlas mediante directivas de grupo/secuencias de comandos (o en estaciones de trabajo conectadas a AD).

Su sistema permanece fuera de línea.

Mitigación de exploits

Una de las mejores cosas que puede hacer para mejorar su seguridad es instalar y configurar el kit de herramientas de experiencia de mitigación mejorada (EMET) .

La Universidad Carnegie Mellon argumentó recientemente sus beneficios continuos para los usuarios de Windows 10 a pesar de que Microsoft anunció su End of Live para el 31 de julio de 2018 . Han incorporado algunas de sus protecciones en v1703.

• Instale EMET 5.5x.
• Use la configuración recomendada cuando se le solicite.
• Aparecerá un nuevo icono en la bandeja del sistema, haga clic en él para abrir la interfaz de usuario.
• Seleccione la configuración de Seguridad máxima en Perfil rápido y habilite Alerta temprana.
• Reinicie su sistema.

En el momento de escribir este artículo, tenía un pequeño problema con Chrome después de aplicar los Programas populares de EMET a través de la Política de grupo. La solución fue configurarlo a través de la GUI y desactivar 'EAF: Extended Table Access Filtering Plus' solo para Chrome.

También me gusta la idea detrás de 0patch.com .

Su sistema permanece fuera de línea.

Desactivar las características de Windows

Queremos reducir la superficie de ataque de nuestros sistemas tanto como sea posible: lo que significa eliminar funciones y capacidades obsoletas que nunca usaremos.

Panel de control > Activar o desactivar las funciones de Windows

Deberá repasar qué características de Windows desactivar.

Habilité las herramientas de administración de Hyper-V e IIS, así como algunas funciones de bloqueo de dispositivos.

Pero eliminó .NET 3.5, SMB v1 y PowerShell 2. Podría ir mucho más allá.

Para la nueva versión v1703, deshabilité todas las funciones de Windows y aún no había tenido ningún problema.

Su sistema permanece fuera de línea.

Desactivar servicios de Windows

Cuando ejecuta Sysinternals Autoruns con privilegios administrativos, se convierte en una gran herramienta para comenzar a administrar los programas y servicios que están configurados para ejecutarse en un momento u otro.

Por ahora, en Herramientas administrativas > Servicios (o ejecutando 'services.msc') , deshabilité la geolocalización por privacidad y algunos servicios que son vulnerables a Bloodhound y Responder :

• Haga clic derecho en un servicio de Windows> Propiedades
• Detenga el " Servicio de detección automática de proxy web WinHTTP " (WPAD) y establezca su 'Tipo de inicio' en Deshabilitado, eliminando un método
• El servicio IP Helper depende de WPAD y se detendrá, desactívelo también.
• Deshabilite TCP/IP NetBIOS Helper , hoy en día cualquier intercambio de archivos se realiza a través de SMB .
• Los proyectos debloat-windows-10 y chill-out-windows-10 Github tienen más sugerencias.

Desafortunadamente, con la Actualización de aniversario v1603, Microsoft eliminó nuestra capacidad de hacer cumplir esto desde la Política de grupo.

Su sistema permanece fuera de línea.

Desactivar capacidades de red

Hay algunas modificaciones que debemos hacer en nuestra configuración de wifi y adaptadores de red.

Primero, haga que sea más difícil rastrear su ubicación a través de redes WiFi:

• Ve a Ajustes > Wifi
• Active 'Usar direcciones de hardware aleatorias' .
• Esto causará problemas menores en entornos en los que se utilice el filtrado MAC o DHCP estático.

Puede usar la línea de comandos de Technitium MAC Address Changer para lograr esto para su interfaz LAN Ethernet.

• Vaya a Configuración > Ethernet > Ethernet > Cambiar opciones de adaptador
• o Panel de control > Centro de redes y recursos compartidos > Cambiar la configuración del adaptador

Haga clic con el botón derecho en cualquier adaptador de red > Propiedades y desmarque:

• Cliente para Redes Microsoft
• Uso compartido de archivos e impresoras para redes Microsoft
• agendador de paquetes de QoS
• Protocolo multiplexor del adaptador de red de Microsoft
• Controlador de protocolo LLDP de Microsoft
• Protocolo de Internet versión 6 (TCP/IPv6)
• Respondedor de descubrimiento de topología de capa de enlace
• Controlador de E/S del asignador de detección de topología de capa de enlace

En esa misma ventana, seleccione 'Protocolo de Internet versión 4 (TCP/IPv4)' y haga clic en el botón Propiedades . Desde allí, haga clic en el botón Avanzado , desmarque 'Registrar las direcciones de esta conexión en DNS' en la pestaña DNS y seleccione 'Deshabilitar NetBIOS sobre TCP/IP' en la pestaña WINS.

Repita estos pasos para todos los adaptadores de red apropiados. Su sistema permanece fuera de línea.

Desinstalar software

Ejecuto la mayoría de mis herramientas desde dentro de una máquina virtual. Tengo instalados Oracle VirtualBox y VMWare Workstation . Se recomienda hacer lo mismo.

Los archivos que recibo a través de mi cliente de correo y los abro con mi paquete ofimático favorito representan el mayor riesgo. ¡Y mucho menos las muestras maliciosas que descargo con entusiasmo con mi navegador web!

Tengo algunas herramientas que uso fuera de una máquina virtual:

• Bandizip / BleachBit / CherryTree / Divvy / GPG4Win / Greenshot / Glary / Hash Explorer / herdProtect / HitmanPro / KeePass / MacDrive / Navicat / Nmap / paint.NET / Pritunl / Tmac / Resilio Sync / SimpleDNSCrypt / Sublime Text / SunsetScreen / VLC / VirtualBox / Estación de trabajo VMWare / WinSCP / Wireshark / Xmind / XnViewMP
• Elija siempre personalizar su instalación. Las aplicaciones gratuitas tienden a "ofrecer" instalar software adicional o cambiar la página de inicio de su navegador.
• Bloqueo todas las conexiones salientes con mi Firewall de Windows y solo incluyo en la lista blanca aquellas aplicaciones que buscan actualizaciones a través de HTTPS para que lo hagan automáticamente.
• Para mayor seguridad, no instale aplicaciones que no estén firmadas digitalmente.

3 mil millones de dispositivos: un pensamiento aterrador.

Rápidamente desinstalé lo siguiente:

• Adobe Flash , Java , Skype y todas las aplicaciones de la Tienda Windows.
• Todas las aplicaciones de Lenovo, excepto On Screen Display y Power Management Driver.
• Componentes Intel Management Engine e Intel Security Assist ( Intel ME ).
• Software Intel PROSet/Wireless* (proporcionado por Lenovo).
• Intel WiDi (el soporte finalizó en octubre de 2016).

*Obtuve los controladores más recientes para mi tarjeta de red de Intel.com (Lenovo siempre está atrasado). Para estos controladores, elijo no instalar las Extensiones de software ni el Kit de herramientas administrativas.

Es posible que sea necesario reiniciar. Mantenga su sistema fuera de línea.

DNS abierto

Desde que OpenDNS se renombró como una empresa de seguridad empresarial y finalmente implementó DNS compatible con RFC (sin redireccionamientos personalizados, sin anuncios), se han convertido en una gran alternativa sobre su ISP o Google DNS.

Puede aumentar su velocidad de Internet y mejorar su postura de seguridad configurando los servidores DNS (en su dispositivo y enrutador ) en estas direcciones IP:

208.67.222.222

208.67.220.220

Por defecto, OpenDNS bloquea la resolución de dominios maliciosos conocidos únicamente.

Si se registra para obtener una cuenta gratuita, puede proteger aún más sus dispositivos en red, lo cual es útil cuando tiene hijos o es adicto a las redes sociales.

Esto no detiene un ataque Man-in-the-Middle (MiTM). ¡Sus solicitudes de traducción de "URL a dirección IP" no están encriptadas!

DNSCrypt

El Servicio de nombres de dominio (DNS) es la razón por la que su proveedor de servicios de Internet (ISP) sabe exactamente qué sitios web está visitando.

SimpleDNSCrypt

Muchos países, incluidos Alemania, el Reino Unido y los Estados Unidos, permiten que su policía federal piratee a sus ciudadanos.

DNSCrypt es una excelente manera de verificar que las respuestas se originen en el sistema de resolución de DNS elegido y que no hayan sido falsificadas.

No proporciona encriptación, evita "fugas de DNS" o un sistema de resolución de DNS de terceros para que no registre su actividad.

El protocolo TLS de nivel superior, como se usa en HTTPS y HTTP2 (SPDY), también filtra los nombres de host de los sitios web en texto sin formato, lo que hace que DNSCrypt sea inútil como una forma de ocultar esta información.

SimpleDNSCrypt es la implementación más actualizada para Windows 10. Opté por deshabilitar IPv6 y volveré a visitar las NIC ocultas (virtuales) en otro momento.

Reinicie su sistema. Debería estar 'OK' para ponerlo en línea ahora.

Redes Privadas Virtuales

Su historial de Internet es accesible para al menos 48 instituciones sin orden judicial en el Reino Unido. Otros países están condenados a seguir.

“La privacidad es una noción transitoria. Cuando la gente dejó de creer que Dios podía verlo todo, los gobiernos se dieron cuenta de que había una vacante abierta”. —Roger Needham

Se recomienda encarecidamente encapsular todo el tráfico de red más allá de las fronteras de su propio país mediante una red privada virtual.

En el mejor de los casos, una VPN proporciona más privacidad. No cuentes con ello por el anonimato:

• El problema con la mayoría de los "proveedores de VPN" es que no sabes lo que realmente sucede detrás de escena.
• Por lo tanto, no puedo respaldar ninguna solución VPN.

Personalmente, ejecuto una instancia de Linux reforzada con Algo VPN que configura una VPN IPsec personal segura para mis dispositivos móviles y para cuando me conecto a través de una red WiFi pública.

Usamos Streisand para las instancias que derribamos al final del día. Genera un archivo HTML fácil de usar con instrucciones para conectarse al servidor recién aprovisionado que ejecuta L2TP/IPsec, OpenSSH, OpenVPN, Stunnel y un puente Tor. Fácil de compartir con otros.

No todos los servidores VPS son iguales : Lin-ode es uno de mis favoritos.

Cromo no buscado en Google

Considero que Google Chrome es uno de los navegadores más seguros (por diseño).

Debido a que hay una versión de código abierto, alguien creó UnGoogled Chromium sin la integración de Google , lo que resultó en una experiencia de navegación más privada (¡y mucho más rápida!).

• UnGoogled Chromium tiene paquetes prediseñados disponibles.
• Viene con "valores predeterminados seguros", pero algunas advertencias.
• Los complementos/extensiones requieren instalación manual.
• Las llaves de seguridad FIDO U2F no funcionarán sin esta extensión.
• No le notifica cuando visita sitios maliciosos.
• ¿Se actualiza automáticamente? no puedo decir

Si opta por un enfoque más tradicional y enciende su navegador Microsoft Edge para descargar Chrome o Firefox, ¡asegúrese de ignorar los intentos de disuasión de Bing y Windows!

• Configure su navegador para rechazar las cookies de terceros.
• Elimine los complementos/extensiones incluidos instalados de forma predeterminada.
• Deshabilite cualquier servicio de ubicación/predicción/corrector ortográfico.
• Establezca StartPage como su página de inicio y motor de búsqueda.

El 99,9 % de los exploits web, el seguimiento y la toma de huellas dactilares comienzan con la ejecución de JavaScript malicioso alojado en dominios de malware conocidos.

• Recuerde que los complementos aumentan su superficie de ataque. Existen muchas otras extensiones de privacidad , pero para mí:
• En UnGoogled Chromium, pruebe ScriptSafe , Ublock Origin , uMatrix , HTTPS Everywhere (¡enlaces de descarga directa!)
• Para Chrome, instale ScriptSafe , Ublock Origin , HTTPS Everywhere.
• También me gusta Relevance, un organizador de pestañas privado (Chrome).
• Con Firefox, instale uMatrix , Ublock Origin , HTTPS Everywhere.
• Considere bloquear el tráfico web sin cifrar y el audio de ultrasonido.

Revise las opciones de cada navegador que haya instalado, incluido Internet Explorer/Edge. ¡Tómese el tiempo para configurar cada complemento en modo 'experto'!

Editor de directivas de grupo/Objetos

Las actualizaciones de Windows (y las actualizaciones) tienden a "cambiar la configuración" a sus valores predeterminados inseguros. Microsoft solo parece respetar la configuración aplicada mediante objetos de directiva de grupo (GPO) centrales.

Incluso si no es un profesional de TI experimentado, le encantará poder administrar la mayoría de las configuraciones para todas las cuentas de usuario desde un solo programa (' gpedit.msc' ). Una referencia de configuración actualizada para Windows 10 está disponible en formato Excel.

Esta interfaz se puede descubrir ejecutando 'gpedit.msc'

Puede ampliar las capacidades de su Editor de directivas de grupo implementando Plantillas administrativas (archivos .adml y .admx).

Por ejemplo, para controlar EMET con un GPO:

• Desde C:\Program Files (x86)\EMET 5.5\Deployment\Group Policy Files\
• Copie el archivo .adml en C:\Windows\PolicyDefinitions\en-US\
• Copie el archivo .admx en C:\Windows\PolicyDefinitions\

Repita esto para este conjunto de plantillas administrativas proporcionadas por Microsoft (las plantillas v1703 se pueden descargar aquí)

• Descargue el archivo Windows10-ADMX.msi
• Desde C:\Archivos de programa (x86)\Política de grupo de Microsoft\Windows 10\PolicyDefinitions\
• Copie el archivo .adml en C:\Windows\PolicyDefinitions\en-US\
• Copie el archivo .admx en C:\Windows\PolicyDefinitions\

Las plantillas también están disponibles para Microsoft Office 2010/2013/2016/2007 , LibreOffice , Chrome y Firefox.

Si obtiene un error de acceso denegado , primero deberá tomar posesión de la carpeta PolicyDefinitions :

• Haga clic derecho en la carpeta, vaya a Propiedades , luego a la pestaña Seguridad .
• Haga clic en Avanzado , pestaña Propietario y cambie el propietario de su cuenta.
• No olvide marcar la casilla ' Reemplazar todos los permisos de objetos secundarios '.

Usaremos algunas de estas capacidades extendidas para bloquear el sistema, haciendo que sea más difícil para cualquiera deshabilitar sus protecciones.

Es posible que sea necesario reiniciar para cargar estas extensiones.

Líneas base de host seguro

Varias organizaciones bien financiadas dan consejos sobre lo que hace que una configuración sea "segura".

• Departamento de Defensa de Australia (DoD)
• Centro para la Seguridad en Internet (CIS)
• Blog de orientación de seguridad de Microsoft
• Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC)
• Departamento de Defensa de los Estados Unidos (DoD)
• Asociación Nacional de Garantía de la Información de EE. UU. (NIAP)
• Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST)
• Agencia de Seguridad Nacional de EE. UU. (NSA)

Establecer una línea de base de host seguro (SHB) es una de las 10 principales estrategias de mitigación de la NSA.

Línea de base de host seguro del Departamento de Defensa

Me gusta el proyecto DoD Secure Host Baseline en Github. Es una colección de scripts de PowerShell que son relativamente sencillos de aplicar.

Presiona el atajo de teclado Windows Key + X e inicia Windows PowerShell (Administrador). Ejecute todos los comandos a continuación desde allí:

Establecer política de ejecución sin restricciones

Descarga el repositorio como un archivo ZIP y desbloquéalo:

cd $env:PERFIL DE USUARIO\Descargas

 Unblock-File -Path '.\Secure-Host-Baseline-master.zip'

Extraiga el archivo ZIP, elimine "-master" de ambos directorios creados.

En la terminal de PowerShell, navegue hasta el directorio e importe el módulo de PowerShell de directiva de grupo:

cd $env:PERFIL DE USUARIO\Descargas\Secure-Host-Baseline

Módulo de importación -Nombre '.\Secure-Host-Baseline\Scripts\GroupPolicy.psm1'

Deberá extraer la utilidad Objeto de directiva de grupo local (LGPO) de Microsoft en una ubicación conocida. Asegúrese de hacer referencia a las rutas completas en el siguiente comando para evitar errores.

No necesito certificados criptográficos del Departamento de Defensa:

 Invoke-ApplySecureHostBaseline -Path 'C:\...\Secure-Host-Baseline\' -PolicyNames 'Adobe Reader','AppLocker','Chrome','EMET','Internet Explorer','Office 2013','Windows','Windows Firewall' -ToolPath 'C:\...\LGPO.exe'

Notará que, por ejemplo, más de su configuración de Chrome ahora se aplica mediante la política de grupo, algunas de las cuales revertiré.

Dicho esto, no es perfecto:

• Tuve que eliminar manualmente un conjunto antiguo de archivos ADMX/ADML para iniciar mi editor de políticas de grupo local sin errores.
• Chrome tiene la mayoría de sus complementos deshabilitados, el motor de búsqueda está bloqueado en una versión defectuosa de Google SSL y mi página de inicio ahora es un sitio .mil.

Es necesario reiniciar para aplicar todos los cambios correctamente.

Administrador de cumplimiento de seguridad de Microsoft

Microsoft ha lanzado una excelente herramienta que le permite aplicar sus líneas de base de seguridad recomendadas de "Microsoft". ”

Esta herramienta pronto será reemplazada por DSC Environment Analyzer (DSCEA), probablemente antes de que las líneas de base de seguridad v1703 estén listas para la producción, así que téngalo en cuenta.

Instale y configure Security Compliance Manager 4 (SCM). Tenga en cuenta que esta herramienta requiere .Net Framework 3.5 (incluye .Net 2.0 y 3.0) e instala SQL Server 2008 Express (x86) , lo que aumenta su superficie de ataque.

Una vez instalado, en la columna " Obtener conocimiento ", puede descargar las líneas de base de Microsoft automáticamente para Windows 10 v1607, Internet Explorer 11 y Office 2007/2010/2013.

Consulte la sección Adjuntos\Guías para instalar SecGuide ADMX/ADML y cualquier documentación complementaria. Tiene que duplicar una línea de base antes de que se pueda personalizar.

Microsoft SCM 4.0

Si desea aplicar cualquier línea base de SCM a su sistema, puede exportar una carpeta de copia de seguridad de GPO y usar el modificador /g de la herramienta LGPO.

Analizador de políticas de Microsoft

Otra herramienta para aprender es la herramienta Microsoft Policy Analyzer , que muestra las diferencias entre su política/registro local y tantas copias de seguridad de GPO como agregue y seleccione.

En el Visor de políticas, la información que se muestra se puede filtrar y buscar, o exportar a formato Excel. Los conflictos se muestran en amarillo.

La plantilla DoD Secure Host Baseline tiene los valores predeterminados más seguros en la mayoría de los casos, pero encontrará que un híbrido de ambos se adapta a su caso de uso particular.

Personalización de la política de grupo

No hay sustituto para recorrer manualmente mis opciones con el Editor de directivas de grupo (ejecutando 'gpedit.msc' ). Mejore su legibilidad ordenando la columna 'Configuración' o 'Estado'.

La redacción de algunas configuraciones puede ser muy contraria a la intuición. Por suerte cada opción tiene una descripción clara.

La mayoría de las configuraciones relevantes se encuentran en estas rutas de política:

• Configuración del equipo > Configuración de Windows > Configuración de seguridad
• Configuración del equipo > Plantillas administrativas > Sistema
• Configuración del equipo > Plantillas administrativas > Componentes de Windows
• Configuración de usuario > Plantillas administrativas

Aplique cualquier cambio ejecutando el siguiente comando en cualquier shell de administración:

gpupdate.exe /Fuerza

Puede ser muy revelador repetir este paso a medida que se publican nuevos documentos de referencia de CIS .

Fusión de líneas base

La información que me brinda Policy Analyzer me permite combinar rápidamente lo mejor de dos líneas de base y personalizar mi configuración según lo desee.

• Alivié mi política de bloqueo de cuenta (duración).
• Necesito compatibilidad con VMWare para hacer mi trabajo (no es un problema en v1703)
• Deshabilité Windows Defender (y SpyNet) por motivos de privacidad.
• Incluí en la lista blanca mis extensiones de Chrome deseadas y relajé otras configuraciones.
• Inhabilité la ejecución del programa desde unidades extraíbles.

A pesar de trabajar principalmente desde VMWare, algunas configuraciones destinadas a mejorar la seguridad interferían conmigo durante una prueba de penetración. Como aquellos que limitan la cantidad de adaptadores de red activos simultáneamente o me impiden crear un puente MAC de capa 2 entre ellos.

Menos telemetría

A medida que revisa sus opciones, no solo descubrirá que Chrome tiene un juego de huevos de Pascua de dinosaurios, sino que muchas aplicaciones tienen algún tipo de:

• ID de publicidad
• Sincronización en la nube
• Error al reportar
• Mejora de la experiencia
• Programa de mejora de la experiencia del cliente (CEIP)
• Telemetría
• Estadísticas de uso

La línea de base del Departamento de Defensa ha hecho un buen trabajo al deshabilitar la mayoría, pero no todos. Tenga en cuenta que, a menos que tenga una licencia de Windows Enterprise o Education, no podrá desactivar la telemetría por completo.

Reaplicación estricta de la política

Asegúrese de hacer cumplir estrictamente la reaplicación de políticas críticas:

• Adm. Plantillas > Sistema > Política de grupo.
• Habilitar: ' Procesar incluso si los objetos de directiva de grupo no han cambiado'.
• Para: redirección de carpetas, seguridad de IP, registro, scripts, seguridad, preferencia de servicios, instalación de software, procesamiento de políticas por cable e inalámbrico.

Denegar el acceso desde la red

Nunca necesitaré iniciar sesión de forma remota en mi estación de trabajo:

• Adm. Plantillas > Configuración de Windows > Configuración de seguridad > Políticas locales > Asignación de derechos de usuario
• Agregue 'Cuenta local y miembro del grupo Administradores' a:
• 'Denegar el acceso a este equipo desde la red'
• 'Denegar inicio de sesión a través de Servicios de escritorio remoto'

Cliente DNS de Windows

El cliente DNS de Windows 10 simplemente acepta cualquier respuesta que reciba primero, no necesariamente la del servidor DNS deseado.

• Adm. Plantillas > Red > Cliente DNS.
• ' Desactivar la resolución inteligente de nombres multitarjeta' para evitar "fugas de DNS".
• 'Desactivar la resolución de nombres de multidifusión' para desactivar LLMNR.
• 'Desactivar el reordenamiento de protocolo inteligente' por si acaso.

Posteriormente, podemos aplicar esta política mediante el Firewall de Windows como control técnico.

Cliente NTP de Windows

Configure el cliente de protocolo de tiempo de red (NTP) de Windows para usar servidores confiables que no sean de Microsoft, tal vez incluso autenticados. Al menos hasta que el ' protocolo de tiempo en bruto' de Google esté sincronizando nuestros relojes.

Estándares SSL/TLS

Puede hacer cumplir el uso de estándares TLS modernos en todo el sistema:

• Adm. Plantillas > Red > Ajustes de configuración de SSL.

Para determinar qué curvas ECC son compatibles con su sistema, use el siguiente comando:

CertUtil.exe -DisplayEccCurve

Esto generalmente rompe aplicaciones más antiguas como SQL Server 2008 Express (el Visor de eventos de Windows es su amigo).

Por suerte para nosotros, Google Chrome es lo último en tecnología:

• Adm. Plantillas > Google > Google Chrome .
• 'Deshabilitar el protocolo SPDY' (HTTP2), establecer 'Versión mínima de SSL habilitada' ' en TLS 1.2 y establecer 'Habilitar optimización WPAD' en Deshabilitado.

Revise el Panel de control > Opciones de Internet > pestaña Avanzado y desmarque 'Usar HTTP2' , marque 'Enviar solicitudes de No rastrear' . Deshabilite WPAD en la pestaña Conexiones > Configuración de LAN > desmarque 'Detectar configuraciones automáticamente'.

Privacidad adicional

• Adm. Plantillas > Componentes de Windows > Internet Explorer.
• Me otorgué el privilegio de eliminar mi historial de navegación de IE.
• Adm. Plantillas > Componentes de Windows > Ubicación y Sensores.
• Apagué todos los sensores.

EMET de Microsoft

Vuelva a configurar Microsoft EMET para obtener la máxima seguridad:

• Adm. Plantillas > Componentes de Windows > EMET
• Establezca el sistema DEP en 'siempre encendido'
• Habilite 'Protecciones predeterminadas para software popular'

En el momento de escribir este artículo, tenía un pequeño problema con Chrome después de aplicar los Programas populares de EMET a través de la Política de grupo. La solución fue configurarlo a través de la GUI y desactivar 'EAF: Extended Table Access Filtering Plus' solo para Chrome.

Protección LSA

Se recomienda configurar protección LSA adicional para derrotar herramientas como MimiKatz.

• En: Adm. Templates > MS Security Guide (una plantilla personalizada de SCM4) habilite el 'modo de auditoría Lsass.exe'.
• Reinicie y verifique el Visor de eventos de Windows para los códigos de evento 3065 y 3066; esos son controladores que no cumplen con los estándares de seguridad.
• Sysinternals Autoruns mostrará los controladores sin firmar en un color diferente, en Opciones > Opciones de escaneo puede habilitar la verificación de la firma del código y el envío a VirusTotal.com.

Regrese y habilite 'Protección LSA' si todos sus controladores están correctamente firmados.

La autenticación WDigest ya debería estar deshabilitada para evitar la transmisión de credenciales a través de la red como un hash MD5 débil o resumen de mensaje.

oficina de microsoft

Si está instalando Microsoft Office fuera de una máquina virtual (¡no recomendado!):

• Personalice su instalación y no instale extensiones potencialmente vulnerables.
• El Departamento de Defensa y las líneas de base de Microsoft aún no tienen una política para Office 2016, copie la configuración de una versión anterior.
• Vuelva a verificar la Configuración de seguridad y el Panel de telemetría para cada uno de los conjuntos de Microsoft Office en Configuración de usuario > Plantillas administrativas. Deshabilité la telemetría y todo ActiveX y VBA.
• 'Bloquear macros para que no se ejecuten en archivos de Office desde Internet' en Opciones > Seguridad > Centro de confianza para cada producto de Microsoft Office.

También debe deshabilitar Office OLE Automation para Outlook. Tenga en cuenta que un atacante aún puede incrustar código dentro de los documentos de Office.

• Inicie el Editor del Registro de Windows (regedit.exe)
• Vaya a: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Office > # > Outlook > Seguridad (# = 12.0/14.0/15.0/16.0)
• Cree un nuevo 'Valor DWORD (32 bits)' llamado ' ShowOLEPackageObj' y configúrelo en '0'.

Los cambios en el registro requieren un reinicio.

Enumeración de sesión neta

Ejecute el script NetCease PowerShell para mitigar un método que usa Bloodhound .

cd $env:PERFIL DE USUARIO\Descargas

 Unblock-File -Path '.\NetCease.zip'

.\NetCease\NetCease.ps1

Reinicie el servicio del servidor (o reinicie).

Protocolo de detección automática de proxy web (WPAD)

Ya deshabilitamos el servicio 'WinHTTP Web Proxy Auto-Discovery Service' y desmarcamos la propiedad Opciones de Internet 'Configuración de detección automática' .

• Inicie el Editor del Registro de Windows (regedit.exe)
• Vaya a: HKEY_CURRENT_USER > SOFTWARE > Microsoft > Windows > Versión actual > Configuración de Internet > Wpad
• Cree un nuevo 'Valor DWORD (32 bits)' llamado 'WpadOverride' y configúrelo en '1'
• Vaya a: HKEY_LOCAL_MACHINE > SISTEMA > CurrentControlSet > Servicios > Tcpip > Parámetros
• Establezca el 'UseDomainNameDeveloution' existente en '0'.

Los cambios en el registro requieren un reinicio.

Host de secuencias de comandos de Windows (WSH)

El malware a menudo abusa de la funcionalidad que permite automatizar aplicaciones y procesos; Windows Script Host es un ejemplo clásico.

Podemos deshabilitar la mayoría de las capacidades de Windows Scripting:

• Inicie el Editor del Registro de Windows (regedit.exe)
• Vaya a: HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows Script Host > Configuración
• Cree un nuevo 'Valor DWORD (32 bits)' llamado 'Habilitado' y configúrelo en 'o'

Deshabilitar WSH puede impedirle ejecutar archivos por lotes .bat.

Firewall de Windows con seguridad avanzada

Firewall de Windows (WFAS) es nuestro control de seguridad técnica que hace cumplir nuestras políticas previstas y las complementa cuando es necesario.

Por ejemplo, no podemos usar la Política de grupo para reforzar que nuestras solicitudes de DNS solo se envían al proxy DNSCrypt local o a servidores OpenDNS específicos.

Experimenté mucho con varias alternativas y interfaces gráficas de Windows Firewall para acelerar mi flujo de trabajo; todas tenían fallas significativas de usabilidad o seguridad.

Puede ver todas las reglas de firewall existentes mediante la aplicación de escritorio 'Firewall de Windows con seguridad avanzada' ( o ejecutando 'WF.msc' ).

La configuración y las reglas del cortafuegos se crean mejor con el ahora familiar Editor de directivas de grupo. En Configuración de la computadora > Configuración de Windows > Configuración de seguridad > Firewall de Windows con seguridad avanzada.

Primero agregue una regla que bloquee todo el tráfico saliente y entrante:

• Haga clic en 'Propiedades del cortafuegos de Windows'.
• Para cada perfil (Dominio, Privado, Público) use el menú desplegable para 'Bloquear' todas las conexiones salientes.
• Explore las opciones de personalización de Configuración y Registro para cada uno.

Importante: de forma predeterminada, el Firewall de Windows tiene una legión de excepciones locales entrantes y salientes ( 'WF.msc' ). Deshabilitarlos en 'WF.msc' es solo una solución temporal.

A menos que cree una regla de bloqueo explícita para cada una o deshabilite la combinación de reglas de firewall locales para la configuración de cada perfil mediante la directiva de grupo ( 'gpedit.msc' ), Microsoft las volverá a habilitar después de una actualización importante. Además, más aplicaciones a menudo crean sus propias excepciones.

Ahora permitamos que nuestro Cliente DNS de Windows funcione:

• En 'Reglas de salida'
• Haga clic con el botón derecho > Nueva regla…
• Tipo de regla: 'Personalizada'
• Ruta del programa: '%SystemRoot%\System32\svchost.exe'
• Tipo de protocolo: TCP
• Puerto remoto: Puertos específicos / 53
• Ámbito > Direcciones IP remotas > Agregar > Conjunto predefinido de equipos: servidores DNS
• Permitir la conexión / para todos los perfiles / darle un nombre apropiado

Repita los mismos pasos para 'svchost.exe' para permitir nuestro Cliente NTP de Windows (UDP/123) y Windows Update (TCP/80,443).

Algunos ejemplos de procesos que permito hacer conexiones TCP salientes:

• %ProgramFiles% (x86)\Google\Chrome\Application\chrome.exe
• %Archivos de programa% (x86)\Google\Update\GoogleUpdate.exe
• %Archivos de programa% (x86)\Samsung Magician\Samsung Magician.exe
• %Archivos de programa% (x86)\VMware\VMware Workstation\vmware.exe
• %Archivos de programa%\HitmanPro\HitmanPro.exe
• %Archivos de programa%\Windows Defender\NisSrv.exe
• %SystemRoot%\syswow64\vmnat.exe

Mis reglas de entrada consisten únicamente en Core Networking y excepciones de aplicaciones específicas.

Oblíguese a aplicar el principio de privilegio mínimo. GoogleUpdate y HitmanPro solo deben conectarse al puerto 443 a través de TCP. 'Experiencias de usuario conectado y telemetría DiagTrack' debe bloquearse explícitamente.

AppLocker

Una de las estrategias de defensa más poderosas es incluir en la lista blanca qué aplicaciones pueden ejecutarse con Windows AppLocker.

A estas alturas, AppLocker ya se está ejecutando en el modo "Solo auditoría": todos los procesos ejecutados por los usuarios se registran en el registro de eventos, incluida la ruta completa del programa.

• Como primer paso, puede incluir en la lista negra su directorio de inicio y temporal, así como otras rutas a las que un usuario normal tiene acceso de escritura.
• A continuación, solo permita la ejecución de archivos en directorios en los que confíe (es decir, %ProgramFiles% y %WinDir%). Use AccesEnum para verificar que no haya directorios grabables por el usuario allí (¡como 'ErrorReporting' de MS-SQL!)

Todas las políticas de AppLocker se crean y administran mediante la Política de grupo en:

• Configuración de la computadora> Configuración de Windows> Configuración de seguridad> Políticas de control de aplicaciones> AppLocker

Su objetivo es incluir en la lista blanca solo aquellas aplicaciones en las que confía, por ruta, pero preferiblemente por su firma digital.

para el paranoico

A pesar de dedicar más de 6000 palabras al tema, siempre hay más que podemos hacer y cada mes se publican nuevos vectores de ataque.

Bloqueador de espías de Windows

Quiero volver a visitar el proyecto WindowsSpyBlocker GitHub , ya que tiene un enfoque sólido para el problema y se actualiza continuamente. Se recomienda encarecidamente instalar un proxy de capa de aplicación y generar un archivo de hosts unificados . Probablemente incorporaré esto con Blackbird.

sistema

Sysmon es otra herramienta gratuita de Windows Sysinternals.

Es una herramienta de monitoreo en segundo plano que se registra en el registro de eventos de Windows, tiene muchas funciones y le brinda más visibilidad del estado en vivo de su punto final.

Vea la presentación del autor "Cómo pasar de Responder a Cazar con Sysinternals Sysmon" y este artículo del fundador de Graylog y webcast de BHS.

Filtro MBR

En la lucha contra el ransomware, los bootkits y los rootkits, Talos de Cisco ha lanzado el controlador de filtro MBR. Básicamente, esto establece su Master Boot Record en solo lectura.

Es relativamente fácil de instalar . Lea la publicación original del blog aquí. Esta herramienta no es para sistemas UEFI/SecureBoot.

OCULTOS OSSEC

Un sistema de detección de intrusos basado en host gratuito y de código abierto con un motor de análisis y correlación muy potente:

• Análisis de registro
• Comprobación de integridad de archivos
• Supervisión del registro de Windows
• Aplicación de políticas centrales
• Detección de rootkits
• Alertas en tiempo real
• Respuestas activas

Supervisamos todos nuestros hosts Linux, OpenBSD, MacOS y Windows con él. Si desea ejecutarlo localmente, deberá configurarlo en una máquina virtual Linux solo de host, ya que el soporte de Windows se limita a un agente instalable. ¡Funciona muy bien en combinación con Graylog!

Autenticación de dos factores

Confiar únicamente en un nombre de usuario/contraseña o incluso en la autenticación por SMS fuera de límites usando su teléfono celular no será lo suficientemente seguro en 2017 (NIST 800–63A/B/C). Las claves de seguridad U2F son su mejor esperanza contra las apropiaciones de cuentas.

Recomiendo encarecidamente comprar y aprender a usar un Yubikey. El YubiKey 4 ahora es de código cerrado, pero los NEO todavía usan código de código abierto que otros pueden verificar de forma independiente. Se integra bien con Windows 10.

¿Tienes algún consejo? ¿Correcciones o adiciones?

No dude en responder. Siéntase libre de compartir sus experiencias, consejos y preguntas en privado o a través de la sección de comentarios.

Haz clic en el ♡ para recomendar este artículo.