Microsoft ha anunciado la versión final de las configuraciones básicas
para Windows 8.1, Windows Server 2012 R2 e Internet Explorer 11. Algunos
de los aspectos importantes de las nuevas bases de seguridad son
(muchas de las cuales tratamos de darle un equivalente a las versiones
anteriores de
Windows e IE):
Uso de configuraciones nuevas y existentes para ayudar a bloquear algunos vectores de ataque Pass the Hash;
- Recomendaciones para controlar el almacenamiento de frases de contraseña (passphrases) equivalentes a texto plano;
- Bloqueo del uso de navegadores Web en los controladores de dominio;
- Incorporación de Enhanced Mitigation Experience Toolkit (EMET) en las bases estándar;
- Remoción de la recomendación para habilitar el "modo FIPS" (esto se analiza con mayor detalle en este blog post: Por qué ya no recomendamos el “modo FIPS”);
- Remoción de casi todas las configuraciones de inicio de servicio, y
todas las bases de los roles del servidor que contengan sólo
configuraciones de inicio de servicio.
Las configuraciones se proporcionan como cuatro conjuntos básicos por
separado, para: Windows 8.1, Windows Server 2012 R2 Domain Controller,
Windows Server 2012 R2 Member Server e Internet
Explorer 11. El archivo
adjunto a este blog post incluye scripts para aplicar esos conjuntos
básicos a las políticas locales de un PC y respaldos de GPO que usted
puede importar en Group Policy de Active Directory.
Existen unos cuantos cambios entre estas recomendaciones y la versión
beta que liberamos en abril. Analizamos esos cambios en mayor detalle en
otros dos blog posts: uno sobre la
mayoría de los cambios, y otro post más detallado sobre
temas relacionados con las recomendaciones para el cierre de cuentas.
En lo que preparamos el contenido en el formato para su inclusión en
Security Compliance Manager (SCM), proporcionamos los conjuntos básicos
como un
paquete de descarga adjunto a este blog post.
La descarga incluye un documento en Word que describe varios aspectos
de cambios desde bases para versiones anteriores de Windows e IE, una
hoja de cálculo que enumera todas las configuraciones básicas,
resaltando las nuevas y las actualizadas, Group Policy Objects (GPOs),
scripts y utilidades para importar el complemento completo de
configuraciones en las políticas de grupo locales para su evaluación y
prueba, un nuevo ADMX personalizado para exponer algunas configuraciones
importantes que actualmente no están expuestas por
Windows como
configuraciones de Group Policy, y filtros WMI para asegurarse que GPOs
se apliquen a sistemas apropiados.
Descargue y extraiga el zip adjunto "
Win81-WS2012R2-IE11-Baselines-FINAL.zip":
- Documentación: "Recommended Security Baseline Settings.docx" es un
doc en Word que clasifica y describe todas las configuraciones nuevas y
actualizadas (probablemente, usted debería empezar aquí); esta carpeta
también contiene "SCM Windows 8.1 and 2012 R2 Settings.xlsx", una hoja
de cálculo en Excel que describe el conjunto completo de configuraciones
recomendadas.
- Plantilla administrativa: un archivo llamado ADMX y otro ADML (en
inglés) que repasan algunas configuraciones relevantes de "pass the
hash" usando el editor de Group Policy. (Nota: la carpeta Local_Script
contiene scripts que instalan estos archivos en su ubicación apropiada.)
- Reportes GP: Reportes de Group Policy formateados como archivos HTML
(para quienes prefieren ese formato a las hojas de cálculo en Excel).
- GPOs: Respaldos de Group Policy Object para los cuatro conjuntos
básicos por separado descritos anteriormente. Éstos se pueden importar a
Group Policy de Active Directory.
- Local_Script: Este directorio contiene tres archivos en lote que
aplican las configuraciones apropiadas a la máquina en uso:
81_Client_Install.cmd, 2012R2_DomainController_Install.cmd y
2012R2_MemberServer_Install.cmd.
- Filtros WMI: Este directorio contiene archivos .MOF que usted puede
importar en su configuración de Group Policy para asegurar que se
apliquen GPOs sólo a los sistemas apropiados.
Original:
http://blogs.technet.com/b/secguide/archive/2014/08/13/security-baselines-for-windows-8-1-windows-server-2012-r2-and-internet-explorer-11-final.aspx
Fuente:
Technet