Windows XP Pro SP2: Administración basada en seguridad y performance

24 Dic 2006

Excelente guia para dejar nuestro Windows XP Pro SP2 limpio y seguro, por NNL.

windows xp sp2 inseguroWindows XP Pro (instalado por defecto) es literalmente “la peor porquería de uso masivo en el mercado a nivel seguridad”, su nombre lo dice: Es una ventana al intruso.
Es que, si fuera muy seguro no daría a lugar a mercados impresionantes como lo son los antivirus, antispyware y otro tipo de software pago.
( Mercado en el que Microsoft en un futuro cercano va a ofrecer soluciones pagas – a bajo costo para fidelizar y acaparar en un principio – ) También tiene convenios del tipo políticos para ser tan vulnerable, pero eso ya es un tema de seguridad de estado (EEUU) y recuerdo siempre el comentario ironico de un agente del FBI lo fácil que era para ellos vulnerar XP, no me cuesta creerlo, si ven el servicio Remote Registry habilitado por defecto y los extraños “bugs” DCOM/RPC descubiertos…
pero dejemos de lado la conspiranoia – yo te dejo entrar a todos los Windows del mundo con el siguiente parche pero vos no me disolves Microsoft vía juicio por monopolio… done. – y las corporaciones, centremonos en una plataforma débil como esta pero teniéndola en modo seguro.
Es posible dejarla de ese modo ? si, pero requiere de minuciosa administración cosa que un usuario común no puede ni podrá llevarla a cabo, incluso hasta el punto de dejarla tan segura que NO necesitaríamos depender de software del tipo antivirus o firewalls.

WOOW, LCDLL, COMO ES ESO ?

Veamos el génesis primero… analicemos los 5 principales “problemas” – amenazas – de un usuario comun estando conectado a internet:

  1. Los “hackers” segun la prensa y las empresas que venden seguridad en archivos instalables ( chicos jugando con un scanner para Netbios como Languard sacando info de carpetas tipo “Mis Documentos” compartidas en red sin clave de acceso y plantando troyanos en las carpetas “Inicio” para al reiniciar infectar – dejar backdoor )
  2. Virus y gusanos que llegan via Outlook o que escanean la red en busca de un servicio desactualizado – puerto abierto de determinado servicio y sistema desactualizado – y/o de password facil o nulo.
  3. Spyware, dialers, gusanos y malware en Gral que se instala via Internet Explorer u otro browser.
  4. Ingenieria Social ( en todas sus formas, Pishing, Fake Site, blah bleh )
  5. Empleado o socio desleal.

* Personalmente me generan mas miedo las alteraciones de tension que tiene mi proveedor de energia electrica que todo eso junto.

CUAL ES LA SOLUCIÓN A ESTO? Administración avanzada y lógica, querido amigo.

Instalación y seteo desde cero.

  1. Instalamos Windows XP con el Service Pack 2 inclusive desde un CD booteandolo (http://www.multingles.net/docs/jmt/xpsp2.htm)
    No utilizar el SP3 beta que hay por ahi dando vueltas.
    Utilizar el formateo del tipo NTFS normal.
  2. Luego instale el mecanismo para que sea posible actualizarlo sin restricciones
    1. Instala Microsoft .NET framework
      http://download.microsoft.com/downloa……040/dotnetfx.exe
    2. Instala Trixie
      http://www.bhelpuri.net/Trixie/TrixieSetup.msi
    3. Descarga este file http://nnlnews.com/wgaworkaround.ie.user.js
      aqui: C:\Archivos de programa\Bhelpuri\Trixie\Scripts
    4. Visita http://windowsupdate.com e instala los 50 patches aprox, y reinicia las veces que sea necesario.
  3. Comenzamos a deshabilitar servicios que se cargan al principio que hacen debil/inseguro y restan demasiada memoria RAM a nuestro sistema.Vamos a Inicio > Ejecutar, alli escribimos services.msc y presionamos enter.
    Para deshabilitar un servicio hacemos dos clicks sobre el mismo, lo
    detenemos si esta ejecutándose y en la solapa desplegable lo ponemos en:
    Deshabilitado. La lista de servicios que recomiendo deshabilitar en una
    maquina Desktop que no comparte documentos en red ( workstation común
    ejecutiva ) es la siguiente:

    • Servicio de informe de errores
    • Registro de sucesos
    • Notificación de sucesos del sistema
    • Ayuda y soporte técnico
    • Acceso a dispositivo de interfaz humana
    • Ayuda de Netbios sobre TCP/IP
    • Configuración inalámbrica rápida
    • DDE de red
    • DSDM de DDE de red
    • Enrutamiento y acceso remoto
    • Horario de Windows
    • Mensajero
    • Portafolios
    • Programador de Tareas
    • Registro Remoto
    • Servicio de Alerta
    • Servicios de descubrimiento SSDP
    • Servicio de restauracion de sistema
    • Servidor
    • Servicios de Terminal Server

    Reiniciamos para tomar el cambio y asi tener mas agil y mucho mas seguro nuestro sistema.

  4. Seteos de Sistema varios.En propiedades de Sistema
    (Inicio > panel de control > rendimiento y mantenimiento > sistema > opciones avanzadas)

    tienes que setear cuestiones de “Rendimiento” e “Inicio y recuperación” En el primero ( configuración ) asignar mas memoria virtual y en el segundo ( configuración ) destildar los 3 casilleros de la sección “Error del sistema”
    Este seteo hace mas a la performance del sistema.* Hay configuraciones avanzadas desde Herramientas administrativas ( Directiva de seguridad local, Cuentas, Administracion de equipos ) que pasare por alto – se haran automaticamente mas abajo al cambiar unos atributos – , dada a que mi intencion no es redactarles una normativa de instalacion o administracion segura en modo exaustiva, sino me quedo sin trabajo!
    Igualmente no van a correr riesgo alguno implementando esto paso a paso.Setear las cuentas de Outlook preferentemente con cuentas pop3 de Gmail ya que no dejaran pasar binarios y mucho otro tipo de archivo infectado, excelente filtro antispam.
  5. Software complementario.Aun no terminamos con el seteo de Windows pero antes hay que instalar algo de software que nos ayudara a tener todo en orden.Firefox 1.0.7
    http://mozilla.osuosl.org/pub/mozil..32/es-AR/Firefox%20Setup%201.0.7.exeNo tan vulnerable como el Internet Explorer a la hora del spyware, luego de instalarle los players de Flash, la java machine y demas plugins, hay que setearle lo siguiente luego de instalado: Herramientas > Opciones > Caracteristicas Web > destildar: Permitir que los sitios web instalen software.IEPrivacykeeper
    http://browsertools.net/downloads/IEPrivacyKeeperSetup.exeUna versatil utilidad gratuita que al reiniciar nos borra de modo seguro “toda” traza de uso( historiales, cookies, temporales de todo tipo, software ejecutado, documentos abiertos, sitios visitados, etc )Ya sea de Firefox, IE o bien sistema.
    Su configuracion es muy simple.

    PGP 9.0
    http://www.pgp.com/downloads/desktoptrial.html

    Para encriptar todo documento o archivo que creamos importante.

  6. La principal tecnica de prevencion en Windows en un solo tip.( Lo que las empresas que comercian productos de seguridad
    y todo aquel que viva de desinfectar/reparar maquinas no van a
    recomendar jamas… )Porque una maquina se infecta ? Y porque una maquina se reinfecta al encenderla nuevamente ? La mayoria de Uds lo sabra, la maquina se infecta porque un programa se ejecuto y este cumplio su rutina como agente infector dado a sus privilegios sobre el sistema, y vuelve a dispararse ya que ha logrado infiltrar en el registro de Windows y en la carpeta de sistema su clave y archivos para que ello sucediera nuevamente una y otra vez.


    P:> Como podemos prescindir de un antivirus ? como podemos hacer para que lo que ejecutemos – o en el peor de los casos se autoejecute – no pueda escribir en nuestro registro, ni sistema, ni siquiera pueda instalarse ?


    R:> Dandole los minimos privilegios posibles!


    P:> Y como lo hacemos en Windows XP Pro SP2?


    R:>Suponemos que todo este seteo hasta ahora se realizo bajo el usuario NNL ( ademas del user administrador ) y este NNL tiene privilegios de administrador, vamos a habilitar el servicio “Servidor” nuevamente, luego desde “Herramientas administrativas” vamos a “administracion de equipos” y alli desplegamos Usuarios locales y grupos. Elegimos Usuarios y sobre el usuario NNL, click derecho, propiedades, miembro de, en donde dice administradores damos un click y ponemos abajo “Quitar”, y luego “Agregar” y alli escribimos “Invitados” y enter.
    Luego acto seguido reiniciamos, logueamos como administrador, paramos y deshabilitamos el servicio Servidor y listo.
    Inicio, cerrar sesion, y logueamos con el usuario NNL ( ahora con privilegios de Invitado. )Y ahora que ? el que quiera ver seteos avanzados de Windows no podra, el que quiera instalar algo en el registro o en el sistema no podra, el que quiera deshabilitar firewalls u otro tipo de software tampoco podra! Inclusive si quiere borrar files de sistema…
    Veamos, voy a tratar de infectar mi PC con el Spyagent, un poderoso keylogger stealth ( invisible ) para grabar mis chats y un sin fin de cosas mas ( monitorizar la pc ) ejecuto el archivo y que obtengo ? error 75 en ejecucion… no puede escribir en mi registro ni sistema.
    Si ejecuto lo que posiblemente me llegue por mail ? por mail no llegara nada, si seguiste este tutorial y seteaste una cuenta Gmail pop3 no hay peligro.

    “As a security measure to prevent potential viruses, Gmail does not allow users to receive executable files (such as files ending in .exe) that could contain damaging executable code.
    Gmail does not accept these types of files, even if they are sent in a zipped (.zip, .tar, .tgz, .taz, .z, .gz) format. Any message of this type sent to your Gmail account will be bounced back to the sender. “

    Y si por casualidad o esas cosas de la vida te llega algo, al ejecutarlo a proposito, obtendras el mismo error 75.

    Cuales son las contras de este seteo ? Ninguno, solo hay que cerrar sesion y loguear como administrador para instalar ( podria usarse click derecho y ejecutar como, pero no lo recomiendo ) software o desinstalarlo, como asi tambien para usar determinados software de diseño o pavadas similares.

    Ahora ven con otros ojos el antivirus ? y el firewall ? XP siempre tuvo filtrado, pero a partir del SP2 se le adoso la interfaz grafica o centro de seguridad ( panelde control ) y desde alli setearse a gusto.

    Veamos como paliamos las “gravisimas amenazas” de internet:

    1. Los “hackers segun la prensa”El servicio servidor no esta corriendo, no tenemos carpetas compartidas,
      ademas de estar bajo NTFS y estar con el sistema actualizado y el firewall
      de Windows XP Pro SP2 activado.
      Pueden escanearnos tranquilamente todo el dia. Hackers de pelicula inocuos.
    2. Virus y gusanos que llegan via Outlook o que escanean la red en busca de un servicio desactualizado y/o de password facil o nulo.Por Outlook +Gmail pop3 no llegara mas spam ni files atachados que sean ejecutables, incluso aun comprimidas. A esto si le sumamos a que nos cuidamos de no usar nuestro mail en cadenas o publicarlo por ahi, nada llegara. Aun asi si llega y lo ejecutamos a proposito, anda se instalara o infectara. ( creanme que hay seteos mas paranoides pero no quiero escribir una biblia del hardening Windows, cada dia odio mas esta plataforma y mas quiero a *BSD )
    3. Spyware, dialers, gusanos y malware en Gral que se instala via Internet Explorer u otro browserVia Firefox hoy por hoy dudo que se cole alguno ( quiza el dia de mañana ) pero no se podra instalar, primero por el browser, 2do por el seteo del browser en si y tercero porque no podra escribir en nuestro registro ni files de sistema dado a que no tiene los privilegios suficientes!
    4. Ingenieria Social ( en todas sus formas, Pishing, Fake Site, blah bleh )
    5. Si nadie sabe nuestro mail privado de Gmail… a donde van a enviarnos links, cartitas engañosas y demas ? si algo nos llega sin haberlo solicitado hay que borrarlo directamente.
  7. Empleado o socio desleal.Ante la duda monitorizar y avisarle de que esta siendo monitorizada la actividad de la PC por cuestiones de auditoria, con un software instalado como administrador corriendo en background.
    Nada mas simple, nada mas efectivo.