Read on Twitter
-"Tengo mi Win11 en casa con antivirus, Updates al día, todo el software con licencia, uso NextDNS, tengo mucho cuidado... ¿Qué más podría hacer?"
-"Pues me acabas de dar la idea para un hilo..."Hoy: "Hardening básico en Windows 10/11".
¡Abro hilo!
Formalmente, el hardening (o bastionado) es un conjunto de prácticas que son llevadas a cabo por el sysadmin para reforzar al máximo posible su seguridad.
O sea, vamos a intentar poner las cosas difíciles, que vale que nada es imposible, pero al menos que se lo curren...
O sea, vamos a intentar poner las cosas difíciles, que vale que nada es imposible, pero al menos que se lo curren...
[DISCLAIMER] que me gusta...
Me voy a centrar en un equipo de usuario que no está conectado a Active Directory, aunque muchas de las prácticas podrían desplegarse mediante GPOs y tal.
Si crees que puedes aportar algo, hazlo, lo iré añadiendo al final. ¡Gracias por adelantado!
Me voy a centrar en un equipo de usuario que no está conectado a Active Directory, aunque muchas de las prácticas podrían desplegarse mediante GPOs y tal.
Si crees que puedes aportar algo, hazlo, lo iré añadiendo al final. ¡Gracias por adelantado!
Empezaremos por características integradas del propio Windows 10/11, que son muchas y buenas.
La segunda parte la dedicaré a un par de herramientas gratuitas muy interesantes y poco conocidas creo.
Así que:
La segunda parte la dedicaré a un par de herramientas gratuitas muy interesantes y poco conocidas creo.
Así que:
Windows Defender
Lo siento chicos, soy fan. El antivirus integrado de Windows solo adolece de una consola de administración centralizada (hasta ahora: https://redmondmag.com/articles/2022/01/27/microsoft-defender-for-endpoint-now-supports-android-and-ios-devices.aspx), pero es una magnífica opción en muchas circunstancias.
Lo siento chicos, soy fan. El antivirus integrado de Windows solo adolece de una consola de administración centralizada (hasta ahora: https://redmondmag.com/articles/2022/01/27/microsoft-defender-for-endpoint-now-supports-android-and-ios-devices.aspx), pero es una magnífica opción en muchas circunstancias.
Actívalo SIEMPRE y usa sus funcionalidades avanzadas (Microsoft Maps, etc).
Os dejo una guía avanzada: https://www.pchardwarepro.com/proteccion-harden-windows-defender-a-los-niveles-mas-altos-en-windows-10/
Os dejo una guía avanzada: https://www.pchardwarepro.com/proteccion-harden-windows-defender-a-los-niveles-mas-altos-en-windows-10/
Deshabilitar el acceso remoto.
La función Escritorio remoto de Windows en Windows permite a los usuarios conectar tu PC de forma remota, si no lo vas a usar: Desactívalo. Es más, usa otros sistemas, RDP es el mal.
Desactiva también lo de "solicitud de asistencia remota".
La función Escritorio remoto de Windows en Windows permite a los usuarios conectar tu PC de forma remota, si no lo vas a usar: Desactívalo. Es más, usa otros sistemas, RDP es el mal.
Desactiva también lo de "solicitud de asistencia remota".
Windows Update.
La verdad es que últimamente Microsoft y sus "actualizaciones de empeoramiento" nos traen un poco locos, pero debemos actualizar..
Instala las actualizaciones de seguridad urgente inmediatamente, cuanto más rápido más tranquilo estarás... (o no!)
La verdad es que últimamente Microsoft y sus "actualizaciones de empeoramiento" nos traen un poco locos, pero debemos actualizar..
Instala las actualizaciones de seguridad urgente inmediatamente, cuanto más rápido más tranquilo estarás... (o no!)
Gestión de aplicaciones.
Es muy recomendable configurar Windows para que solo permita la instalación de aplicaciones aprobadas desde la Tienda de Apps.
Esto evita instalaciones accidentales y demás. ¿Problema? Que a veces tienes que instalar cosas y quitar la protección...
Es muy recomendable configurar Windows para que solo permita la instalación de aplicaciones aprobadas desde la Tienda de Apps.
Esto evita instalaciones accidentales y demás. ¿Problema? Que a veces tienes que instalar cosas y quitar la protección...
En según que entornos, puede ser un buen aliado que para que el usuario no te instale la aplicación que le ha mandado alguien que no conoce, en un correo que no esperaba, con un adjunto que no debía abrir...
Backups.
Esta es básica... Yo uso la regla de 3, 3 copias SIEMPRE.
Una de ellas EN LA NUBE (ya sea privada, administrada o tipo Dropbox, etc) obligatoriamente.
Un ejemplo, tienes cuentas de backup remoto con 2TB (DOS TERAS!!!) por menos de 7€/mes... ¡Joder que es baratísimo!
Esta es básica... Yo uso la regla de 3, 3 copias SIEMPRE.
Una de ellas EN LA NUBE (ya sea privada, administrada o tipo Dropbox, etc) obligatoriamente.
Un ejemplo, tienes cuentas de backup remoto con 2TB (DOS TERAS!!!) por menos de 7€/mes... ¡Joder que es baratísimo!
Firewall de Windows.
Existe una regla no escrita entre los usuarios "avanzados" de desactivar el Firewall del sistema porque sí, porque ellos lo valen...
Que sí que es un coñazo crear reglas para tal o cual cosa, pero al final es una capa más de la cebolla. ¡ACTÍVALO Y USALO!
Existe una regla no escrita entre los usuarios "avanzados" de desactivar el Firewall del sistema porque sí, porque ellos lo valen...
Que sí que es un coñazo crear reglas para tal o cual cosa, pero al final es una capa más de la cebolla. ¡ACTÍVALO Y USALO!
Usuarios separados.
Esto parece una tontería, PERO, si vais a usar el portátil varias personas: USA PERFILES SEPARADOS.
Si usas el mismo portátil para trabajar y para jugar o hacer el canelo por la red: USA PERFILES SEPARADOS.
Esto parece una tontería, PERO, si vais a usar el portátil varias personas: USA PERFILES SEPARADOS.
Si usas el mismo portátil para trabajar y para jugar o hacer el canelo por la red: USA PERFILES SEPARADOS.
Aunque a ti te parezca buena idea buscar los streams piratas para ver el futbol desde el mismo perfil que consultas tu banco online, pues visto desde fuera: ¡MEK!
Windows nos da muchas más opciones para protegernos, pero ahora voy a centrarme en algunas aplicaciones externas que yo suelo usar para realizar el hardening básico en equipos de pequeñas empresas sin AD y demás...
¡Vamos con la segunda parte!
¡Vamos con la segunda parte!
Unas apps que suelo usar mucho y que me han salvado la vida varias veces son las de @novirusthanks.
En su web tenéis muchas utilidades tal, pero me voy a centrar en un par de ellas. https://www.novirusthanks.org/
En su web tenéis muchas utilidades tal, pero me voy a centrar en un par de ellas. https://www.novirusthanks.org/
La primera es SysHardener. Este programita os permite ejecutar muchos de esos "tweaks" que antes hacíamos a mano, de una manera fácil.
Permite además crearos vuestro perfil personalizado de "cositas a toquetear" para ejecutarlo en varias máquinas. https://www.novirusthanks.org/products/syshardener/
Permite además crearos vuestro perfil personalizado de "cositas a toquetear" para ejecutarlo en varias máquinas. https://www.novirusthanks.org/products/syshardener/
Algunas de las cositas que suelo hacer, pues son estas:
Eliminar ejecución automática de extensiones tipo: JS, JSE, VBS, VBE, WSH, WSF, PIF, SCR, BAT, JAR, PS1.
Restringir funcionalidades de Word, Excel, Adobe Reader, Foxit Reader, etc.
Activar UAC.
Y mucho más...
Eliminar ejecución automática de extensiones tipo: JS, JSE, VBS, VBE, WSH, WSF, PIF, SCR, BAT, JAR, PS1.
Restringir funcionalidades de Word, Excel, Adobe Reader, Foxit Reader, etc.
Activar UAC.
Y mucho más...
¡IMPORTANTE!
Crea un punto de restauración antes de la ejecución por si las moscas.
Por cierto, el programita te deja volver a configuración básica si la cosa va mal...
Una joyita.
Crea un punto de restauración antes de la ejecución por si las moscas.
Por cierto, el programita te deja volver a configuración básica si la cosa va mal...
Una joyita.
Otro de los programas, este si de pago, que uso en muchos sitios es OSARMOR.
Como lo explicaría, OSARMOR es una capa adicional de defensa, MUY MUY EFECTIVA. Lleva incorporados antiexploits, se actualiza a diario, y, sobre todo, NO CONSUME CASI RECURSOS. https://www.osarmor.com/
Como lo explicaría, OSARMOR es una capa adicional de defensa, MUY MUY EFECTIVA. Lleva incorporados antiexploits, se actualiza a diario, y, sobre todo, NO CONSUME CASI RECURSOS. https://www.osarmor.com/
Incluso en la versión pro, puedes generar las reglas para todas las máquinas de la red y servirlas remotamente (sin AD ni nada, solo un webserver), de manera que si modificas algo o añades algo, haces el deploy en un momento.
OS ARMOR, añádelo a tu lista de programitas chulos.
OS ARMOR, añádelo a tu lista de programitas chulos.
Y nada, hasta aquí las cositas que se me han ido ocurriendo.
Espero con ansia vuestras aportaciones que suelen ser lo más chulo de estos hilos (y acertado
), mientras tanto voy a seguir vigilando, que se me desmadra la peña...
¡Nos vemos pronto!
Espero con ansia vuestras aportaciones que suelen ser lo más chulo de estos hilos (y acertado
), mientras tanto voy a seguir vigilando, que se me desmadra la peña...¡Nos vemos pronto!
¡AH! Y por cierto tengo una Newsletter semanal no apta para "seres de capa 8"... ¡Y es gratis! https://www.getrevue.co/profile/wearedementors
https://www.getrevue.co/profile/wearedementors
¡Si @agomezsp lo dice, es que es cierto!
¡Usa Windows Defender! https://twitter.com/agomezsp/status/1491763655209369608
¡Usa Windows Defender! https://twitter.com/agomezsp/status/1491763655209369608
Usar un gestor de contraseñas es importante, yo uso Keepass.
@JCarlosLV2014 nos recomienda Bitwarden. https://twitter.com/JCarlosLV2014/status/1491773509663694849?t=_iGbFv31U2XaUlC-XYKtgg&s=19
@JCarlosLV2014 nos recomienda Bitwarden.
https://twitter.com/JCarlosLV2014/status/1491773509663694849?t=_iGbFv31U2XaUlC-XYKtgg&s=19
¡Este no me lo sabía, pero me lo apunto! By @perfect4sec https://twitter.com/perfect4sec/status/1491861621467226115
https://twitter.com/perfect4sec/status/1491861621467226115
Ummmm Para mi es muy útil, pero puede que muchos users no le den uso, cierto. https://twitter.com/perfect4sec/status/1491861390793052160
https://twitter.com/perfect4sec/status/1491861390793052160
¡Consejazos como siempre de @elhackernet! https://twitter.com/elhackernet/status/1491901175058382850
https://twitter.com/elhackernet/status/1491901175058382850
Contribución de @mianromu ADGUARD, otro imprescindible. https://twitter.com/mianromu/status/1491906254364676101
Si usas NextDNS esto lo tienes casi cubierto, pero si no es el caso, puedes ponerte a ello.
Aportación de @adrestrod123 https://twitter.com/adrestrod123/status/1492017341349208065
Aportación de @adrestrod123
https://twitter.com/adrestrod123/status/1492017341349208065
Buen aporte de @LocoRaphael.
Mi consejo con Bitlocker es: CUIDADO. No es la primera vez que me encuentro con un usuario que ha perdido su clave de recuperación. En entornos domésticos prefiero no usarlo, pero en los portátiles de empresa, SIEMPRE. https://twitter.com/LocoRaphael/status/1492018714048221187
Mi consejo con Bitlocker es: CUIDADO. No es la primera vez que me encuentro con un usuario que ha perdido su clave de recuperación. En entornos domésticos prefiero no usarlo, pero en los portátiles de empresa, SIEMPRE. https://twitter.com/LocoRaphael/status/1492018714048221187
@CryptoVirusers nos da otro consejo sobre AdGuard. https://twitter.com/CryptoVirusers/status/1492074681926438913?t=54rbgDLWMjmEprFEjbFbCw&s=19
https://twitter.com/CryptoVirusers/status/1492074681926438913?t=54rbgDLWMjmEprFEjbFbCw&s=19
Este aporte es MUY BUENO, no me acordé de otra capa mantener tu seguridad: el "sandboxing" mediante virtualización. Gracias @Artaggedon https://twitter.com/Artaggedon/status/1492120061242445825
Otra contribución, en este caso de @axiomahermetico. Un script en Powershell que hace muchas cosas interesantes.
@axiomahermetico esto molaría mucho que lo subieras a github y pudiéramos forkearlo y añadirle cosas. Ahí lo dejo... https://twitter.com/axiomahermetico/status/1492148138404155393
@axiomahermetico esto molaría mucho que lo subieras a github y pudiéramos forkearlo y añadirle cosas. Ahí lo dejo... https://twitter.com/axiomahermetico/status/1492148138404155393
