Protege tu Windows XP

Te enseñamos a configurar un sistema tan invulnerable como un castillo. Para ello, presentamos una configuración prácticamente imposible de vulnerar. Olvida los virus, el spyware y los hackers en tu equipo porque con estos pasos les cerramos las puertas

Redacción

Protege tu Windows XP

22 diciembre 2006

Paso 1

Asegura tu PC con Windows XP

Existen cuatro principios fundamentales en seguridad informática:

1. El que defiende tiene que defender todos los puntos; el atacante puede seleccionar el más débil.

2. El defensor sólo puede defenderse de ataques conocidos; el atacante puede probar nuevas formas de ataque.

3. El defensor debe estar en constante estado de vigilancia; el atacante puede golpear a voluntad.

4. El defensor debe jugar según las reglas; el atacante pude jugar sucio.

Siguiendo estas cuatro premisas nos disponemos a asegurar un PC con sistema operativo Windows XP exprimiendo las opciones de configuración que éste nos ofrece. Por cierto, siempre nos referiremos a Windows XP con Service Pack 2 debido a que, desde el pasado mes de octubre, Microsoft no da soporte a instalaciones que no dispongan de él (y en breve aparecerá el SP3).

También hay que aclarar que esta configuración sólo es válida para instalaciones que cumplan los siguientes requisitos: No formen parte de un dominio, no son administradas remotamente, no tienen instalados varios sistemas operativos, no funcionan como servidores y no comparten archivos dentro de una LAN.

Paso 2

Instalando Windows XP

Antes de proceder desconecta todas las conexiones externas (cable de red, router wireless, etc) para comenzar la instalación en un equipo completamente aislado. A pesar de ser una configuración muy restrictiva hemos procurado no perder funcionalidad dejando a tu propio juicio si quieres restringir todavía más la configuración del sistema. Como ya sabrás, para una correcta instalación inicialmente debes configurar la prioridad de la secuencia de arranque desde la BIOS.

Lo habitual es instalar el SO desde una unidad de CD o DVD por lo que deberás poner esta unidad en primer lugar en la secuencia de arranque. Así, bastará con introducir el CD o DVD autoarrancable en la unidad correspondiente y reiniciar el equipo. Tras cargar los diversos controladores de hardware, el menú de instalación te dará a elegir entre tres alternativas. Elige la primera para instalar un nuevo sistema operativo.

El programa de instalación te mostrará las particiones existentes y el espacio no particionado. Para nuestro caso elimina cualquier partición seleccionándola y pulsando la tecla D para partir de un disco totalmente limpio. A continuación, crea una partición con el tamaño máximo para aprovechar toda la capacidad del disco y elige formatearla con el sistema de archivos NTFS (no rápido).

En este momento comenzará un largo proceso de algo más de media hora tras el cual se pedirá tu intervención para varias cuestiones. Tras introducir la clave del producto habrá que dar un nombre para el equipo y una contraseña para el administrador, campo que bajo ningún concepto debes dejar en blanco (consulta el cuadro Contraseñas seguras).

Una vez concluida la instalación se pasa a la configuración del equipo donde tienes que activar las actualizaciones automáticas. Posteriormente, te pedirá el nombre de los usuarios que usarán el equipo para crear cuentas independientes; introduce al menos uno y pulsa en Siguiente para finalizar el proceso.

Paso 3

Actualizaciones de seguridad y drivers

Una vez instalado el SO debes actualizarlo pero sin conectarlo a Internet. Por cierto, recuerda que ejecutando msinfo32 (Inicio/Ejecutar…) podrás visualizar toda la información del sistema y ver todos sus recursos (a excepción del firmware del módem/router). Para actualizar el equipo debes tener preparadas las últimas versiones de los controladores y actualizaciones de todos los componentes, así como todas las actualizaciones de seguridad de Windows XP; para ello tienes que descargarlos, desde otro PC con conexión, de la web oficial del fabricante.

Una vez instaladas tendrás que reiniciar, tras lo cual podrás ver si hay algún dispositivo para el que Windows XP no dispone de controladores genéricos. Para ello sigue la ruta Inicio/Mi PC, haz clic con el botón derecho y pincha en Administrar. Se abrirá la ventana de Administración de equipos donde deberás localizar Administrador de dispositivos . Los dispositivos que presentan algún problema aparecen con símbolo de exclamación amarillo, y los que no funcionan correctamente con una interrogación.

Para solucionar estos problemas debemos instalar la última versión de los drivers que podremos encontrar en la web del fabricante de cada dispositivo. Pero si no los vas a utilizar lo ideal es deshabilitarlos sin instalar el controlador liberando así los recursos asignados al mismo. Por ejemplo, si no vas a usar la tarjeta de red inalámbrica integrada en la placa lo mejor es que la deshabilites.

Paso 4

El centro de seguridad

Windows XP incorpora en el Panel de control una interfaz para gestionar la seguridad básica del SO: Cortafuegos, Actualizaciones automáticas y Protección antivirus. Estos tres fundamentos de seguridad deben estar marcados como activados en todo momento.

Respecto al cortafuegos, desde la pestaña General se controla su estado. Además de tenerlo activado, marca la opción No permitir excepciones. Windows bloquea por defecto y pone en modo stealth todos los puertos TCP de entrada, excepto los marcados en la pestaña Excepciones donde puedes incluir los programas (nunca los puertos) que deseas sean accesibles desde Internet.

Por último, en Opciones avanzadas puedes determinar qué conexiones serán filtradas por el cortafuegos; pulsando sobre el botón Configuración... del apartado Registro de seguridad podrás almacenar un log de las conexiones correctas y de los paquetes perdidos. La parte crucial del cortafuegos es la correcta definición de aplicaciones por lo que aquí se deben definir las que abrirán sockets salientes, como por ejemplo programas P2P.

Es importante no deshabilitar el cortafuegos bajo ningún concepto, ya que esto sólo provocaría una subida temporal de la velocidad de estos programas de intercambio pero podría acarrear graves consecuencias para el sistema ralentizándolo mucho más a largo plazo. Para mayor seguridad,debes acceder a las Propiedades del sistema y asegurarte de deshabilitar la Asistencia remota para que nadie «deshabilite» o «reconfigure».

Paso 5

Actualizaciones y antivirus

Nos ocupamos ahora de los otros dos apartados del Centro de Seguridad. Mantener el SO perfectamente actualizado es una obligación más que una necesidad, ya que bastaría no aplicar una actualización crítica de seguridad para que un cracker se hiciese con el control total de nuestro PC o red domestica.

El segundo martes de cada mes, Microsoft lanza su paquete de actualizaciones. Si existiese alguna vulnerabilidad muy crítica lo hacen fuera de esa fecha por lo que es recomendable tener el servicio de actualizaciones automáticas habilitado permanentemente. Eso sí, escoge la opción Descargar actualizaciones por mí, pero permitirme elegir cuando instalarlas.

De esta forma, se descargan a medida que se publican avisándote de cuando puedes instalarlas.Por otro lado, en el capítulo de antivirus nos encontramos con una tarea complicada ya que no es fácil elegir antivirus (ninguno detecta todos los virus). Algunos parámetros a tener en cuenta serían la frecuencia de actualización, el consumo de recursos, etc. Para nuestro caso no vamos a instalar ninguno por lo que desactivaremos la alerta de la Protección antivirus pulsando sobre Cambiar la forma en que el Centro de seguridad me alerta.

Paso 6

Gestión correcta de usuarios

En primer lugar tienes que hacer aparecer en la pantalla de bienvenida la cuenta Administrador generada por Windows XP por defecto. Para ello ejecuta regedit y navega hasta HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSpecialAccountsUserList. Con el botón derecho del ratón crea un nuevo valor DWORD cuyo nombre sea Administrador y con valor decimal 1. Pulsa la tecla Windows+L para que aparezca en la pantalla de bienvenida la cuenta Administrador.

Ahora vas a limitar los privilegios de los usuarios que trabajan habitualmente con el equipo. Mediante Inicio/Ejecutar/control userpasswords2 aparecerá el formulario de cuentas de usuario. Pulsa en Propiedades y ve a la pestaña Pertenencia a grupos donde tendrás que convertir a todos los usuarios, a excepción del Administrador, al tipo Usuarios restringidos.

Accede ahora a las Opciones de carpeta del Panel de Control (en Apariencia y temas si tienes la vista por categorías). Allí deberás activar las opciones Mostrar todos los archivos y carpetas ocultos, Mostrar el contenidos de las carpetas de sistema, Mostrar la ruta completa en la barra de título y No alojar en caché las vistas en miniatura, y desactivar Ocultar archivos protegidos por el sistema operativo, Ocultar las extensiones de archivo para tipos de archivo conocidos y Utilizar el uso compartido simple de archivos.

Paso 7

Elimina programas y servicios adicionales

Lo primero que harás será desinstalar Windows Messenger, que viene integrado con XP, desde Inicio/Ejecutar. Basta con que escribas RunDll32 advpack.dll,LaunchINFSection %windir%INFmsmsgs.inf,BLC.Remove

Ejecutando %SYSTEMROOT%INF tendrás acceso al archivo sysoc.inf. Ábrelo con el bloc de notas y en la sección [Components] encontrarás algunas líneas en las que aparece la palabra hide. Esto determina que la aplicación a la que se refiera no se muestre en Agregar o quitar componentes de Windows. Como habrás adivinado, eliminando la palabra aparecerán en dicho panel por si se desean eliminar.

En cuanto a los servicios, pueden ser aplicaciones o librerías que se cargan en el arranque. Una de ellas es mediante la utilidad de configuración del sistema (ejecutando msconfig) o la de servicios (mediante services.msc) pero esta vez ejecuta dcomcnfg para gestionarlo. Navega hasta Servicios de componentes/Equipos/Mi PC y selecciona, con el botón derecho, sus propiedades. En la pestaña Propiedades predeterminadas desmarca la opción Habilitar COM distribuido en este equipo. Por último, ten en cuenta que los únicos servicios necesarios serán los que aparecen tras realizar la primera instalación. El resto, que irán apareciendo a medida que instalemos programas, pueden deshabilitarse sin interferir con el sistema operativo y manteniendo la rapidez de éste.

Paso 8

Habilita DEP para todos los programas

Microsoft estuvo trabajando junto con Intel y AMD, los principales fabricadores de microprocesadores, para intentar solucionar la gran mayoría de ataques de desbordamiento de buffer marcando segmentos de memoria con el bit NX (Non eXecute).

Esta protección se puede llevar a cabo tanto por software como hardware si nuestro micro lo soporta. Si un programa intenta acceder o ejecutar código almacenado en zonas de memoria protegidas por DEP, se finaliza la aplicación y se alerta al Administrador.

DEP se habilita por de forma predeterminada para los componentes y servicios principales desde Inicio/Panel de Control/Sistema abriendo la pestaña Opciones avanzadas. Allí ve al área de Rendimiento y pulsa sobre Configuración; se abrirá una nueva ventana con tres pestañas; ve a la denominada Prev. de ejecución de datos y marca Activar DEP para todos los programas y servicios excepto para los que seleccione: Tras aceptar tendrás que reiniciar el equipo. Si se diese el caso de que alguna aplicación externa a Microsoft diese problemas, lo ideal seria que el fabricante solucionase los problemas de compatibilidad con una actualización.

Paso 9

Directivas de grupo

Desde la ruta Panel de control/Herramientas administrativas/Directiva de seguridad local/Configuración de seguridad/Directivas locales accede a las Directivas de auditoria . Para fijar los intentos que se grabarán en el Visor de sucesos modifica, mediante, el botón derecho, sus propiedades en las siguientes directivas: Auditar el acceso a objetos, Auditar el cambio de directivas, Auditar el uso de privilegios, Auditar la administración de cuentas, Auditar sucesos de inicio de sesión y Auditar sucesos de inicio de sesión de cuenta marcando, en todos los casos, las opciones correcto y erróneo.

Para acceder posteriormente al Visor de sucesos ejecuta eventvwr y podrás modificar el tamaño de los registros y el tiempo que deseas guardarlos. Esto se debe configurar en función del uso que se dé al equipo.

Paso 10

Elimina recursos compartidos ocultos

Windows comparte por defecto una serie de recursos para el uso de algunas aplicaciones que han sido aprovechados a lo largo de la historia por usuarios malintencionados, virus y gusanos. Como, por lo general, la idea de compartir nuestra partición primaria no resulta muy atractiva, accede a Panel de control/Herramientas administrativas/Administración de equipos/Carpetas Compartidas/Recursos compartidos y haz clic con el botón derecho en Dejar de compartir respondiendo afirmativamente a la advertencia de seguridad en todos los casos. El recurso IPC$ no se puede eliminar por problemas administrativos de red, pero el resto se volverán a compartir al reiniciar el equipo; para evitarlo crearemos un valor DWORD en el registro en la ruta HKeyLocalMachineSYSTEMCurrentControlSetServicesLanManServerParameters con el nombre AutoShareWks y valor 0.

Paso 11

Derechos de usuario

Accede a Panel de control/Herramientas administrativas/Directiva de seguridad local/Configuración de seguridad/Directivas locales para editar, como en el paso anterior, la Asignación de derechos de usuario. Tienes que asignar exclusivamente los grupos de usuarios detallados a continuación modificando su opción de seguridad de acuerdo a las siguientes directivas:

Apagar el sistema: Administradores

Cambiar la hora del sistema: Administradores

Denegar el acceso desde la red a este equipo: Invitado, Usuarios

Denegar inicio de sesión a través de servicios de Terminal Server: Invitado, Usuarios

Inicio de sesión local: Administradores, Usuarios

Permitir inicio de sesión a través de servicios de Terminal Server: Administradores

Tener acceso a este equipo desde la red: Administradores

Paso 12

Directivas de restricción de software

Windows XP incorpora una herramienta muy potente que inspecciona cuatro reglas de identificación para restringir el software que se ejecuta en un sistema:

Hash: utiliza una huella digital cifrada del archivo ejecutable. Si este se modificase el hash difiere del original.

Certificado: firma digital mediante un certificado de un archivo ejecutable válido modificado.

Ruta: utiliza la UNC (Convención de Nomenclatura Universal) local o ruta del registro de la ubicación del archivo.

Zona: emplea la URL de Internet en la que se originó el archivo ejecutable (sólo si se descarga con IExplorer).

El diseño e implementación de estas reglas es bastante complejo por lo que se omitirá en este artículo pero se recomienda restringir la ejecución de archivos de sistema, creación de usuarios, transferencia de archivos y shells a usuarios restringidos (cacls, arp, ping, traceroute, ftp, tftp, telnet, wscript, cmd, command) y limitar el acceso a motores de scripting (*.vbs, *.wsh, *hta, etc...).

Paso 13

Drivers no firmados y reproducción automática

Un cracker podría obtener privilegios de sistema cargando drivers manipulados al buscar controladores de dispositivos. Por ello tienes que deshabilitar la instalación de drivers no firmados ejecutando gpedit.msc y buscando, en la nueva ventana que se arbirá, la ruta Configuración del equipo/Plantillas administrativas/Sistema/Desactivar la intervención del usuario en búsquedas de controladores de dispositivo en Windows Update. Por otro lado, debes saber que es posible infectar sistemas con sólo introducir un nuevo soporte en cualquier unidad de modo que también tienes que deshabilitar la reproducción automática.

Un cracker podría infectar cientos de sistemas de copia de CD, maquinas de revelado automático, etc en sólo unas horas. Para evitarlo, en la misma plantilla que en la directiva anterior selecciona Desactivar reproducción automática habilitando dicha directiva para todas las unidades.

Paso 14

Restricciones para el Escritorio

Si varios usuarios utilizan el mismo equipo es recomendable controlar y deshabilitar de forma individual, a través del registro, algunas características del Escritorio. Ejecuta regedit y navega hasta la clave HKEY_CURRENT_USER Software Microsoft Windows CurrentVersion Policies ActiveDesktop. Una vez allí, crea o modifica los valores DWORD detallados, cuyo contenido será 1 para activar la restricción y 0 para desactivarla, de acuerdo a lo siguiente:

NoChangingWallpaper: deshabilita el cambio del papel tapiz.

NoAddingComponents: deshabilita añadir componentes.

NoDeletingComponents: deshabilita borrar componentes.

NoEditingComponents: deshabilita la posibilidad de editar componentes.

NoHTMLWallPaper: deshabilita el uso de archivos diferentes de mapas de bits como fondo de escritorio.

Paso 15

Deshabilita la información de depuración

Cuando el controlador de excepciones detecta un acceso no autorizado a memoria aparece uno de los famosos «pantallazos azules». Cuando esto ocurre, se genera un archivo con un volcado de los datos que pueden resultar de interés para su posterior solución y que, por defecto, se almacena en C:WINDOWSMinidump. Este volcado podría ser utilizado por un cracker avanzado para obtener los toquen de acceso de la memoria del sistema (es decir, el equivalente al usuario y contraseña) o cualquier otra información delicada. Para deshabilitarlo ve a Panel de control/Sistema, entra en la pestaña Opciones Avanzadas y pulsa el botón Configuración en el apartado Inicio y Recuperación seleccionando ninguno en la lista despegable Escribir información de depuración.