DMNTR Network Solutions 👻 AS204773

DMNTR Network Solutions 👻 AS204773

10-02-2022

12:34

😌-"Tengo mi Win11 en casa con antivirus, Updates al día, todo el software con licencia, uso NextDNS, tengo mucho cuidado... ¿Qué más podría hacer?" 👻-"Pues me acabas de dar la idea para un hilo..." Hoy: "Hardening básico en Windows 10/11". ¡Abro hilo!👇

Formalmente, el hardening (o bastionado) es un conjunto de prácticas que son llevadas a cabo por el sysadmin para reforzar al máximo posible su seguridad. O sea, vamos a intentar poner las cosas difíciles, que vale que nada es imposible, pero al menos que se lo curren...

[DISCLAIMER] que me gusta... Me voy a centrar en un equipo de usuario que no está conectado a Active Directory, aunque muchas de las prácticas podrían desplegarse mediante GPOs y tal. Si crees que puedes aportar algo, hazlo, lo iré añadiendo al final. ¡Gracias por adelantado!

Empezaremos por características integradas del propio Windows 10/11, que son muchas y buenas. La segunda parte la dedicaré a un par de herramientas gratuitas muy interesantes y poco conocidas creo. Así que:

Windows Defender Lo siento chicos, soy fan. El antivirus integrado de Windows solo adolece de una consola de administración centralizada (hasta ahora: pero es una magnífica opción en muchas circunstancias.

Actívalo SIEMPRE y usa sus funcionalidades avanzadas (Microsoft Maps, etc). Os dejo una guía avanzada:

Deshabilitar el acceso remoto. La función Escritorio remoto de Windows en Windows permite a los usuarios conectar tu PC de forma remota, si no lo vas a usar: Desactívalo. Es más, usa otros sistemas, RDP es el mal. Desactiva también lo de "solicitud de asistencia remota".

Windows Update. La verdad es que últimamente Microsoft y sus "actualizaciones de empeoramiento" nos traen un poco locos, pero debemos actualizar.. Instala las actualizaciones de seguridad urgente inmediatamente, cuanto más rápido más tranquilo estarás... (o no!)

Gestión de aplicaciones. Es muy recomendable configurar Windows para que solo permita la instalación de aplicaciones aprobadas desde la Tienda de Apps. Esto evita instalaciones accidentales y demás. ¿Problema? Que a veces tienes que instalar cosas y quitar la protección...

En según que entornos, puede ser un buen aliado que para que el usuario no te instale la aplicación que le ha mandado alguien que no conoce, en un correo que no esperaba, con un adjunto que no debía abrir...

Backups. Esta es básica... Yo uso la regla de 3, 3 copias SIEMPRE. Una de ellas EN LA NUBE (ya sea privada, administrada o tipo Dropbox, etc) obligatoriamente. Un ejemplo, tienes cuentas de backup remoto con 2TB (DOS TERAS!!!) por menos de 7€/mes... ¡Joder que es baratísimo!

Firewall de Windows. Existe una regla no escrita entre los usuarios "avanzados" de desactivar el Firewall del sistema porque sí, porque ellos lo valen... Que sí que es un coñazo crear reglas para tal o cual cosa, pero al final es una capa más de la cebolla. ¡ACTÍVALO Y USALO!

Usuarios separados. Esto parece una tontería, PERO, si vais a usar el portátil varias personas: USA PERFILES SEPARADOS. Si usas el mismo portátil para trabajar y para jugar o hacer el canelo por la red: USA PERFILES SEPARADOS.

Aunque a ti te parezca buena idea buscar los streams piratas para ver el futbol desde el mismo perfil que consultas tu banco online, pues visto desde fuera: ¡MEK!

Windows nos da muchas más opciones para protegernos, pero ahora voy a centrarme en algunas aplicaciones externas que yo suelo usar para realizar el hardening básico en equipos de pequeñas empresas sin AD y demás... ¡Vamos con la segunda parte! 👇

Unas apps que suelo usar mucho y que me han salvado la vida varias veces son las de @novirusthanks. En su web tenéis muchas utilidades tal, pero me voy a centrar en un par de ellas.

La primera es SysHardener. Este programita os permite ejecutar muchos de esos "tweaks" que antes hacíamos a mano, de una manera fácil. Permite además crearos vuestro perfil personalizado de "cositas a toquetear" para ejecutarlo en varias máquinas.

Algunas de las cositas que suelo hacer, pues son estas: Eliminar ejecución automática de extensiones tipo: JS, JSE, VBS, VBE, WSH, WSF, PIF, SCR, BAT, JAR, PS1. Restringir funcionalidades de Word, Excel, Adobe Reader, Foxit Reader, etc. Activar UAC. Y mucho más...

¡IMPORTANTE! Crea un punto de restauración antes de la ejecución por si las moscas. Por cierto, el programita te deja volver a configuración básica si la cosa va mal... Una joyita.

Otro de los programas, este si de pago, que uso en muchos sitios es OSARMOR. Como lo explicaría, OSARMOR es una capa adicional de defensa, MUY MUY EFECTIVA. Lleva incorporados antiexploits, se actualiza a diario, y, sobre todo, NO CONSUME CASI RECURSOS.

Incluso en la versión pro, puedes generar las reglas para todas las máquinas de la red y servirlas remotamente (sin AD ni nada, solo un webserver), de manera que si modificas algo o añades algo, haces el deploy en un momento. OS ARMOR, añádelo a tu lista de programitas chulos.

Y nada, hasta aquí las cositas que se me han ido ocurriendo. Espero con ansia vuestras aportaciones que suelen ser lo más chulo de estos hilos (y acertado 😜😜😜), mientras tanto voy a seguir vigilando, que se me desmadra la peña... ¡Nos vemos pronto!👻

¡Si @agomezsp lo dice, es que es cierto! ¡Usa Windows Defender!

Usar un gestor de contraseñas es importante, yo uso Keepass. @JCarlosLV2014 nos recomienda Bitwarden. 👇👇👇

Aportación de @Bezerik 👇👇👇

Haced caso a @capitanosint 👇👇👇

¡Este no me lo sabía, pero me lo apunto! By @perfect4sec 👇👇👇

Ummmm Para mi es muy útil, pero puede que muchos users no le den uso, cierto. 👇👇👇

Consejo de @310hkc41b 1/3

2/3

3/3 ¡Muy interesante! 👏👏👏

¡Consejazos como siempre de @elhackernet! 👇👇👇

Contribución de @mianromu ADGUARD, otro imprescindible.

Si usas NextDNS esto lo tienes casi cubierto, pero si no es el caso, puedes ponerte a ello. Aportación de @adrestrod123 👇👇👇

Buen aporte de @LocoRaphael. Mi consejo con Bitlocker es: CUIDADO. No es la primera vez que me encuentro con un usuario que ha perdido su clave de recuperación. En entornos domésticos prefiero no usarlo, pero en los portátiles de empresa, SIEMPRE.



Follow us on Twitter

to be informed of the latest developments and updates!


You can easily use to @tivitikothread bot for create more readable thread!
Donate 💲

You can keep this app free of charge by supporting 😊

for server charges...