Seguridad en Windows

Consejos y Utilidades para Fortificar Windows

Algunas buenas prácticas para fortificar Windows, obtenidas sobre todo de los fantásticos blogs y webs de seguridad hipasec.com, securitybydefault.com . Otras buenas referencias son hardenwindows8forsecurity.com y hardenwindows10forsecurity.com

Analizar Aplicaciones

Prevenir ejecución en zonas de memoria:

• DEP, XD, ND: protección Hardware mediante la BIOS
• Analizar cabeceras PE de los Programas:
  • PEstudio winitor.net
  • PStools uincr.ru/files/neox/PE_Tools.shtml

MBR

Tabla de particiones: Ocupa el primer bloque físico del HDD (sector). Desde los bytes 0 a 446 hay código que se puede ejecutar, la tabla de particiones propiamente dicha ocupa del 446 al 512 byte.

La partición NTFS de un Windows comienza en el sector 63

Para chequearla: dd if=\\PhysicalDrive0 of=tabla.txt count=1  (o count=64 para ver todo)

Usar la aplicación Boot Record Parser. Garykessler.net/software (está en perl)

Configuración Windows

Para ver aplicaciones en el inicio: autoruns de sysinternals https://technet.microsoft.com/en-us/sysinternals/default

Modificar permisos (denegar modificación y creación de sub-ramas) en las siguientes claves de registro (posibles puntos de ubicación de malware)

HKCU/Software/Microsoft/Windows/CurrentVersion/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/Run
 
HKCU/Software/Microsoft/Win NT/CurrentVersion/WinLogon
HKLM/Software/Microsoft/Win NT/CurrentVersion/WinLogon
 
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows/CurrentVersion/ Policies/Explorer/Run

HKCU/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKLM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx
HKCU/Software/Microsoft/Win NT/CurrentVersion/Windows

Una aplicación que hace esto de manera muy sencilla es WinlockLess http://unaaldia.hispasec.com/2012/04/hispasec-presenta-winlockless.html

UAC: Control de Acceso de Usuarios: poner al máximo nivel

NFTS: ACL, permisos . Quitar permisos ejecución en archivos temporales de internet y AppData (en esta también quitar permiso crear archivos y deshabilitar herencia de permisos)

Cortafuegos, IDS

Para mejorar y facilitar el control del cortafuegos de Windows:

• Windows Firewall Control binisoft.org/wfc.php
• Hispasec.com/resources/soft/fwrulezsetup.exe

Herramienta IDS (con control de conexiones de red) Patriot NG http://www.securitybydefault.com/2011/02/patriot-ng-20-is-out.html