Consejos y Utilidades para Fortificar Windows
Algunas buenas prácticas para fortificar Windows, obtenidas sobre todo de los fantásticos blogs y webs de seguridad hipasec.com, securitybydefault.com . Otras buenas referencias son hardenwindows8forsecurity.com y hardenwindows10forsecurity.com
Analizar Aplicaciones
Prevenir ejecución en zonas de memoria:
- DEP, XD, ND: protección Hardware mediante la BIOS
- Analizar cabeceras PE de los Programas:
- PEstudio winitor.net
- PStools uincr.ru/files/neox/PE_Tools.shtml
MBR
Tabla de particiones: Ocupa el primer bloque físico del HDD (sector). Desde los bytes 0 a 446 hay código que se puede ejecutar, la tabla de particiones propiamente dicha ocupa del 446 al 512 byte.
La partición NTFS de un Windows comienza en el sector 63
Para chequearla: dd if=\\PhysicalDrive0 of=tabla.txt count=1 (o count=64 para ver todo)
Usar la aplicación Boot Record Parser. Garykessler.net/software (está en perl)
Configuración Windows
Para ver aplicaciones en el inicio: autoruns de sysinternals https://technet.microsoft.com/en-us/sysinternals/default
Modificar permisos (denegar modificación y creación de sub-ramas) en las siguientes claves de registro (posibles puntos de ubicación de malware)
HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
HKCU/Software/Microsoft/Win NT/CurrentVersion/WinLogon
HKLM/Software/Microsoft/Win NT/CurrentVersion/WinLogon
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/ Policies/Explorer/Run
HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKCU/Software/Microsoft/Win NT/CurrentVersion/Windows
Una aplicación que hace esto de manera muy sencilla es WinlockLess http://unaaldia.hispasec.com/2012/04/hispasec-presenta-winlockless.html
UAC: Control de Acceso de Usuarios: poner al máximo nivel
NFTS: ACL, permisos . Quitar permisos ejecución en archivos temporales de internet y AppData (en esta también quitar permiso crear archivos y deshabilitar herencia de permisos)
Cortafuegos, IDS
Para mejorar y facilitar el control del cortafuegos de Windows:
- Windows Firewall Control binisoft.org/wfc.php
- Hispasec.com/resources/soft/fwrulezsetup.exe
Herramienta IDS (con control de conexiones de red) Patriot NG http://www.securitybydefault.com/2011/02/patriot-ng-20-is-out.html