
😌-"Tengo mi Win11 en casa con antivirus, Updates al día, todo el software con licencia, uso NextDNS, tengo mucho cuidado... ¿Qué más podría hacer?" 👻-"Pues me acabas de dar la idea para un hilo..." Hoy: "Hardening básico en Windows 10/11". ¡Abro hilo!👇
Formalmente, el hardening (o bastionado) es un conjunto de prácticas que son llevadas a cabo por el sysadmin para reforzar al máximo posible su seguridad. O sea, vamos a intentar poner las cosas difíciles, que vale que nada es imposible, pero al menos que se lo curren...
[DISCLAIMER] que me gusta... Me voy a centrar en un equipo de usuario que no está conectado a Active Directory, aunque muchas de las prácticas podrían desplegarse mediante GPOs y tal. Si crees que puedes aportar algo, hazlo, lo iré añadiendo al final. ¡Gracias por adelantado!
Empezaremos por características integradas del propio Windows 10/11, que son muchas y buenas. La segunda parte la dedicaré a un par de herramientas gratuitas muy interesantes y poco conocidas creo. Así que:
Windows Defender Lo siento chicos, soy fan. El antivirus integrado de Windows solo adolece de una consola de administración centralizada (hasta ahora: pero es una magnífica opción en muchas circunstancias.
Actívalo SIEMPRE y usa sus funcionalidades avanzadas (Microsoft Maps, etc). Os dejo una guía avanzada:
Deshabilitar el acceso remoto. La función Escritorio remoto de Windows en Windows permite a los usuarios conectar tu PC de forma remota, si no lo vas a usar: Desactívalo. Es más, usa otros sistemas, RDP es el mal. Desactiva también lo de "solicitud de asistencia remota".
Windows Update. La verdad es que últimamente Microsoft y sus "actualizaciones de empeoramiento" nos traen un poco locos, pero debemos actualizar.. Instala las actualizaciones de seguridad urgente inmediatamente, cuanto más rápido más tranquilo estarás... (o no!)
Gestión de aplicaciones. Es muy recomendable configurar Windows para que solo permita la instalación de aplicaciones aprobadas desde la Tienda de Apps. Esto evita instalaciones accidentales y demás. ¿Problema? Que a veces tienes que instalar cosas y quitar la protección...
En según que entornos, puede ser un buen aliado que para que el usuario no te instale la aplicación que le ha mandado alguien que no conoce, en un correo que no esperaba, con un adjunto que no debía abrir...
Backups. Esta es básica... Yo uso la regla de 3, 3 copias SIEMPRE. Una de ellas EN LA NUBE (ya sea privada, administrada o tipo Dropbox, etc) obligatoriamente. Un ejemplo, tienes cuentas de backup remoto con 2TB (DOS TERAS!!!) por menos de 7€/mes... ¡Joder que es baratísimo!
Firewall de Windows. Existe una regla no escrita entre los usuarios "avanzados" de desactivar el Firewall del sistema porque sí, porque ellos lo valen... Que sí que es un coñazo crear reglas para tal o cual cosa, pero al final es una capa más de la cebolla. ¡ACTÍVALO Y USALO!
Usuarios separados. Esto parece una tontería, PERO, si vais a usar el portátil varias personas: USA PERFILES SEPARADOS. Si usas el mismo portátil para trabajar y para jugar o hacer el canelo por la red: USA PERFILES SEPARADOS.
Aunque a ti te parezca buena idea buscar los streams piratas para ver el futbol desde el mismo perfil que consultas tu banco online, pues visto desde fuera: ¡MEK!
Windows nos da muchas más opciones para protegernos, pero ahora voy a centrarme en algunas aplicaciones externas que yo suelo usar para realizar el hardening básico en equipos de pequeñas empresas sin AD y demás... ¡Vamos con la segunda parte! 👇
Unas apps que suelo usar mucho y que me han salvado la vida varias veces son las de @novirusthanks. En su web tenéis muchas utilidades tal, pero me voy a centrar en un par de ellas.
La primera es SysHardener. Este programita os permite ejecutar muchos de esos "tweaks" que antes hacíamos a mano, de una manera fácil. Permite además crearos vuestro perfil personalizado de "cositas a toquetear" para ejecutarlo en varias máquinas.
Algunas de las cositas que suelo hacer, pues son estas: Eliminar ejecución automática de extensiones tipo: JS, JSE, VBS, VBE, WSH, WSF, PIF, SCR, BAT, JAR, PS1. Restringir funcionalidades de Word, Excel, Adobe Reader, Foxit Reader, etc. Activar UAC. Y mucho más...
¡IMPORTANTE! Crea un punto de restauración antes de la ejecución por si las moscas. Por cierto, el programita te deja volver a configuración básica si la cosa va mal... Una joyita.
Otro de los programas, este si de pago, que uso en muchos sitios es OSARMOR. Como lo explicaría, OSARMOR es una capa adicional de defensa, MUY MUY EFECTIVA. Lleva incorporados antiexploits, se actualiza a diario, y, sobre todo, NO CONSUME CASI RECURSOS.
Incluso en la versión pro, puedes generar las reglas para todas las máquinas de la red y servirlas remotamente (sin AD ni nada, solo un webserver), de manera que si modificas algo o añades algo, haces el deploy en un momento. OS ARMOR, añádelo a tu lista de programitas chulos.
Y nada, hasta aquí las cositas que se me han ido ocurriendo. Espero con ansia vuestras aportaciones que suelen ser lo más chulo de estos hilos (y acertado 😜😜😜), mientras tanto voy a seguir vigilando, que se me desmadra la peña... ¡Nos vemos pronto!👻
¡AH! Y por cierto tengo una Newsletter semanal no apta para "seres de capa 8"... ¡Y es gratis! 😜😜😜
¡Si @agomezsp lo dice, es que es cierto! ¡Usa Windows Defender!
En sus primeras versiones defendería la instalación de otro proveedor, pero en estos momentos me parece el mejor para sistemas Windows.
— Almu Gómez (@agomezsp) February 10, 2022
Hace unos meses, pude comprobar como un antivirus (conocido) no detectaba una PUA y el Defender lo marcaba como tal... y efectivamente...
Usar un gestor de contraseñas es importante, yo uso Keepass. @JCarlosLV2014 nos recomienda Bitwarden. 👇👇👇
Excelente servicio. Mi aporte sería la extensión bitwarden un gestor de contraseñas. Para las personas que guardan sus credenciales dentro del navegador.
— Dios de la Ruina (@JCarlosLV2014) February 10, 2022
Aportación de @Bezerik 👇👇👇
Mi pequeña aportación:
— Bezerik (@Bezerik) February 10, 2022
🔹(Antivirus) Bitdefender Free
🔹CCleaner
🔹 Malwarebytes Free
Haced caso a @capitanosint 👇👇👇
Y sentido común!! No visitar páginas chungas, no pinchar en todos los banners que dicen “pinche aqui” no descargar todo lo que se nos pone delante y en las instalaciones quitar todas esas opciones que nos ofrecen gratis…
— Capitan Osint (@capitanosint) February 10, 2022
¡Este no me lo sabía, pero me lo apunto! By @perfect4sec 👇👇👇
Yo en lo personal bloqueo la salida a internet de Cortana y del Search de Windows
— perfect4sec (@perfect4sec) February 10, 2022
Ummmm Para mi es muy útil, pero puede que muchos users no le den uso, cierto. 👇👇👇
Desinstala el bloatware y PowerShell (algunos usuarios no lo necesitan)
— perfect4sec (@perfect4sec) February 10, 2022
Consejo de @310hkc41b 1/3
Muy interesante. Yo aún no he dado el salto a Win11, sigo con el 10. Lo que so recomiendo es cifrar las carpetas de datos importantes. No el cifrado de todo el sistema con bitlocker (no por nada, manía personal). Los archivos cifrados de un usuario...
— b14ckh013 (@310hkc41b) February 10, 2022
2/3
... no los pueden abrir otros usuarios, aunque esten en carpetas compartidas. Y si accedes al sistema con un arranque por cd tampoco se pueden ver. Esto aumenta la seguridad en datos confidenciales.
— b14ckh013 (@310hkc41b) February 10, 2022
Pero...
3/3 ¡Muy interesante! 👏👏👏
... si necesitas abrir estos archivos desde otro equipo u otra cuenta, puedes exportar el certificado que se genera para tu usuario, con el que ae cifran los archivos, y el usuario que lo tenga podrá abrirlos.
— b14ckh013 (@310hkc41b) February 10, 2022
En ese caso yo me guardo una copia del certificado en lugar seguro.
¡Consejazos como siempre de @elhackernet! 👇👇👇
✅Desactivar "Ocultar las extensiones de archivo para tipos de archivo conocidos"
— elhacker.NET (@elhackernet) February 10, 2022
✅Desactivar PowerShell y WSH (Windows Script Host)https://t.co/fyj6AJl1qI
✅Activar Control Acceso Carpeta (Ransowmare) Windows Defender pic.twitter.com/JsBQWqQgdH
Contribución de @mianromu ADGUARD, otro imprescindible.
Mi recomendación es usar un software bloqueador de anuncios y rastreadores como AdGuard (te ahorra mucho adware sobre el que hacer clic sin querer) https://t.co/v6XhujdAjS
— Miguel Ángel (@mianromu) February 10, 2022
Si usas NextDNS esto lo tienes casi cubierto, pero si no es el caso, puedes ponerte a ello. Aportación de @adrestrod123 👇👇👇
Yo tambien añadiria el desconectar toda la telemetría posible de windows. Es algo que hago cada vez que instalo el SO en cualquier ordenador personal mio, no tanto por seguridad si no mas por privacidad personal xD
— Adrian Estevez (@adrestrod123) February 11, 2022
Buen aporte de @LocoRaphael. Mi consejo con Bitlocker es: CUIDADO. No es la primera vez que me encuentro con un usuario que ha perdido su clave de recuperación. En entornos domésticos prefiero no usarlo, pero en los portátiles de empresa, SIEMPRE.
No te olvides de la seguridad física. Activar bitlocker con Password personalizado y si esta en algún AD que sea por enrolamiento “Work or School” en Microsoft Endpoint. Esto lo aplico en mi trabajo y me va de 💯
— LocoRaphael (@LocoRaphael) February 11, 2022
Follow us on Twitter
to be informed of the latest developments and updates!
Follow @tivitikothreadYou can easily use to @tivitikothread bot for create more readable thread!