Pages

Ads 468x60px

miércoles, 17 de septiembre de 2014

Hardening de Windows [casi]-automatico




De esto que te pones a buscar algo concreto y terminas topándote con otra cosa, que no era lo que buscabas, pero que te alegras de encontrar.

Pues eso es lo que me ha pasado con Microsotf Security Compliance Manager Setup, SCMS para los amigos. La version 3.0 tiene soporte para IE 10, Windows 8 o 2012 Server y permite administrar cambios de configuración y reducir las amenazas de seguridad, según la propia Microsoft.

Lo único que necesitas para usar este producto de la gente de Redmond  es el paquete en sí, que puedes descargar de aquí,  y el .Net Framework 4.0 (ojo, el 4! el 4.5 no le gusta, que yo lo tenia instalado y no vale, tiene que ser el 4) que puedes descargar desde aquí. El luego se encarga de instalar la versión Express de SQL.

Además, y para goce del personal, el instalador es siguiente, siguiente, siguiente...

Voy a hacer algo que no acostumbro, que es poner las imágenes del instalador todas seguidas, porque como es tan sencillo...


 
 
 
 


Y en solo 8 pasos y unos 6 minutos (depende del equipo) ya tenemos instalado SCMS. Una vez que termina, abre la siguiente ventana y en unos 3 minutos más comienza a importar paquetes y configuraciones.




Lo primero es descargar todas las actualizaciones (como deberíamos hacer en cualquier software que instalemos). Pinchamos en Download Microsoft  baselines automatically y nos abre una ventana. Solo debemos dar en Download para que comiencen las descargas.




Nos va preguntado si queremos instalar el paquete.




Cuando hemos dado a Ejecutar en todos, podemos empezar.




Y ya comienza a importar todos los paquetes.




Hemos terminado la primera parte, solo le damos a Finish para acabar la instalación.




Bien, pues ahora empezamos a "tunearlo" a nuestro gusto. Vamos, por ejemplo, a la pestaña Windows7 sp1 > Win7sp1 Domain Security Compliance 1.0 y en la ventana central pinchamos sobre Account Lock > Account lockout threshold
A continuación pinchamos en Customize this setting by duplicating the baseline.




Nos abre una nueva ventana donde establece un nombre (yo lo cambiaré) y una descripción. Le damos a save y nos lo deja bajo Custom Baselines (es como trabajar con las GPOs en Windows Server).




Ahora ya podemos modificar los valores que queramos o consideremos oportunos.

Por ejemplo, nos vamos a Minimun password age y en Severity le ponemos Critical. Cambiamos también el valor de Customize setting value a 90 días.




También aprovechamos a cambiar Minimun password lenght de 12 caracteres a 8, en Acount lockout duration cambiamos el valor a 30 minutos y en Reset account lockout counter after lo ponemos a 5 minutos.



En la barra de la derecha tenemos varias opciones, y una de las interesantes es Export para poder exportar las configuraciones que vayamos creando. De manera que vamos a Export y seleccionamos GPO backup (folder). Se nos abre una ventana para que seleccionemos la carpeta. Yo crearé una llamada GPOs y lo dejaré ahí.




Como vemos en la segunda imagen, crea una carpeta y dos ficheros xml. Si navegamos hasta el final de la carpeta aparece el .inf con la información que le dimos anteriormente.




Si por algún motivo borramos o perdemos esa configuración, bastaría con ir a Import > GPO Backup (folder) seleccionar la carpeta donde lo exportamos previamente y ya estaria funcionando de nuevo.

Bueno, pues ahora os toca a vosotros curraros las configuraciones. Como veis, hay mucho que hacer y no solo a nivel de Windows 7, si no también a nivel de IE, Exchange, Office etc.


Roberto García (@1GbDeInfo)


Creative Commons Licence
1Gb De informacion by Roberto García Amoriz is licensed under a Creative Commons Attribution-NonCommercial 3.0 Unported License.
Based on a work at http://www.1gbdeinformacion.com/.
Permissions beyond the scope of this license may be available at http://www.1gbdeinformacion.com/.

Perfil profesional en Linkedin

 
Blogger Templates