Bases de seguridad para Windows 8.1, Windows Server 2012 R2 e Internet Explorer 11
Microsoft se complace en anunciar la versión final de las configuraciones básicas para Windows 8.1, Windows Server 2012 R2 e Internet Explorer 11. Algunos de los aspectos importantes de las nuevas bases de seguridad son (muchas de las cuales tratamos de darle un equivalente a las versiones anteriores de Windows e IE):
- Uso de configuraciones nuevas y existentes para ayudar a bloquear algunos vectores de ataque Pass the Hash;
- Recomendaciones para controlar el almacenamiento de frases de contraseña (passphrases) equivalentes a texto plano;
- Bloqueo del uso de navegadores Web en los controladores de dominio;
- Incorporación de Enhanced Mitigation Experience Toolkit (EMET) en las bases estándar;
- Remoción de la recomendación para habilitar el "modo FIPS" (esto se analiza con mayor detalle en este blog post: Por qué ya no recomendamos el “modo FIPS”);
- Remoción de casi todas las configuraciones de inicio de servicio, y todas las bases de los roles del servidor que contengan sólo configuraciones de inicio de servicio.
Las configuraciones se proporcionan como cuatro conjuntos básicos por separado, para: Windows 8.1, Windows Server 2012 R2 Domain Controller, Windows Server 2012 R2 Member Server e Internet Explorer 11. El archivo adjunto a este blog post incluye scripts para aplicar esos conjuntos básicos a las políticas locales de un PC y respaldos de GPO que usted puede importar en Group Policy de Active Directory.
Existen unos cuantos cambios entre estas recomendaciones y la versión beta que liberamos en abril. Analizamos esos cambios en mayor detalle en otros dos blog posts: uno sobre la mayoría de los cambios, y otro post más detallado sobre temas relacionados con las recomendaciones para el cierre de cuentas.
En lo que preparamos el contenido en el formato para su inclusión en Security Compliance Manager (SCM), proporcionamos los conjuntos básicos como un paquete de descarga adjunto a este blog post. La descarga incluye un documento en Word que describe varios aspectos de cambios desde bases para versiones anteriores de Windows e IE, una hoja de cálculo que enumera todas las configuraciones básicas, resaltando las nuevas y las actualizadas, Group Policy Objects (GPOs), scripts y utilidades para importar el complemento completo de configuraciones en las políticas de grupo locales para su evaluación y prueba, un nuevo ADMX personalizado para exponer algunas configuraciones importantes que actualmente no están expuestas por Windows como configuraciones de Group Policy, y filtros WMI para asegurarse que GPOs se apliquen a sistemas apropiados.
Descargue y extraiga el zip adjunto "Win81-WS2012R2-IE11-Baselines-FINAL.zip". Contiene las siguientes carpetas:
- Documentación: "Recommended Security Baseline Settings.docx" es un doc en Word que clasifica y describe todas las configuraciones nuevas y actualizadas (probablemente, usted debería empezar aquí); esta carpeta también contiene "SCM Windows 8.1 and 2012 R2 Settings.xlsx", una hoja de cálculo en Excel que describe el conjunto completo de configuraciones recomendadas.
- Plantilla administrativa: un archivo llamado ADMX y otro ADML (en inglés) que repasan algunas configuraciones relevantes de "pass the hash" usando el editor de Group Policy. (Nota: la carpeta Local_Script contiene scripts que instalan estos archivos en su ubicación apropiada.)
- Reportes GP: Reportes de Group Policy formateados como archivos HTML (para quienes prefieren ese formato a las hojas de cálculo en Excel).
- GPOs: Respaldos de Group Policy Object para los cuatro conjuntos básicos por separado descritos anteriormente. Éstos se pueden importar a Group Policy de Active Directory.
- Local_Script: Este directorio contiene tres archivos en lote que aplican las configuraciones apropiadas a la máquina en uso: 81_Client_Install.cmd, 2012R2_DomainController_Install.cmd y 2012R2_MemberServer_Install.cmd.
- Filtros WMI: Este directorio contiene archivos .MOF que usted puede importar en su configuración de Group Policy para asegurar que se apliquen GPOs sólo a los sistemas apropiados.
Daremos seguimiento a este blog cuando estén disponibles los archivos .cab de SCM.
Queremos agradecer y expresar nuestro aprecio al Centro para la Seguridad del Internet por su colaboración en el desarrollo de esta guía.
Fuente: TechNet
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios