CONTROL DE CAMBIOS DEL DOCUMENTO

Propiedades del documento

Propiedad Detalle

Titulo Hardening en estaciones de trabajo

Autor

Fecha de creación 26/09/2018 09:03 A.M.

Última actualización

Registro de cambios

Autor Versión Referencia de cambios Fecha

Versión 1

SIMBOLOGIA

Glosario de términos y abreviaturas

Término/Abreviatura Significado
Boot bootstrapping o booting

HKLM
HKEY_LOCAL_MACHINE
Nombre de la herramienta que permite editar el registro del sistema
REGEDIT
operativo Windows.
NTFS New Technology File System
FAT 32 tipo de sistema de archivos FAT
Herramienta de línea de comandos utilizados para diagnosticar
W32tm
problemas que ocurren con la configuración del tiempo.
 Es una directiva dirigida al administrador que funciona principalmente
gpedit.msc para restringir accesos, dar o quitar derechos a los usuarios según las
necesidades del administrador
eventvwr.msc Se puede usar para ver los registros que pueden ayudarlo a identificar
problemas del sistema cuando puede iniciar el sistema en modo seguro
o normal.
NTP
Network Time Protocol
IPv4
Internet Protocol versión 4
WSUS
Windows Server Update Services
MB
MegaByte
KB
KiloByte
DNS
Domain Name System
Tabla 1: Glosario de términos y abreviaturas
HARDENING EN ESTACIONES DE TRABAJO

Es una estrategia defensiva que protege contra los ataques removiendo servicios vulnerables e
innecesarios, cerrando “huecos” de seguridad y asegurando los controles de acceso. El hardening
entonces se expone como una excelente respuesta para el aseguramiento del sistema informático
de una organización, toda vez que robustece un sistema informático haciendo uso de barreras o
bastiones, sean en hardware o en software, que garantizan medidas efectivas frente a ataques o
daños.

PROPÓSITO
Las configuraciones de seguridad iniciales en las estaciones de trabajo es una medida importante
para implementar en las estaciones de trabajo, ya que permiten establecer distintas barreras de
protección frente a posible atacante, ya sea tanto a nivel externo así como atacantes internos los
cuales pueden ocasionar daños sin intención o por indebida manipulación de los equipos
informáticos.

ALCANCE
Todas las estaciones de trabajo que se encuentren en la red corporativa deben contar con las
configuraciones de seguridad en estaciones de trabajo.

PERIODICIDAD DE REVISIÓN
La presente Guía debe ser revisada por la Jefatura de Tecnología de la Información mínimamente
una vez al año y ser actualizada de acuerdo a los requerimientos

PROCESO MANUAL

Las instrucciones siguientes son una forma manual de proteger la estación de trabajo:
*El usuario no puede realizar estos cambios, todas las acciones deben ser realizadas solo por el
Administrador.
PROCEDIMIENTO GENERAL
Copia de respaldo de la estación de trabajo

1. Si la estación de trabajo ya se encontraba asignada se debe realizar una copia de la

información del usuario.

Identificación y Asignación de la Estación de trabajo

2. Identificar y Registrar la información del Usuario

Nombre:
Cargo:
Gerencia/Jefatura:

Configuración Base

3. Habilitar la contraseña en el boot del equipo

 Cuando iniciamos el equipo se F2 o F10 hasta ingresar al “Boot Menu”.
 Una vez de haber ingresado al Boot hacemos clic en Security.
 Admin Password.
  Asignamos una nueva contraseña o la modificamos.

4. Eliminar particiones innecesarias.

 Ingresamos a Panel de control
 Herramientas administrativas
 Administración de equipo
 Almacenamiento
 Eliminar las particiones innecesarias

5. Solo deben estar las particiones C: y D o E dependiendo la marca del equipo una
quedara para la unidad de recovery.
 Ingresamos a Panel de control
 Herramientas administrativas
 Administración de equipo
 Almacenamiento
 Se debe renombrar particiones de ser necesario
 Crear un nuevo volumen D, si no existiera, reduciendo el volumen C.
6. Deshabilitar puertos innecesarios desde el BIOS. Ej. Bluetooth, infrarrojo y otros
 Se debe ingresar al BIOS con F10
 En caso de estar habilitado se debe deshabilitar el Bluetooth e infrarrojo

Configuraciones del Sistema Operativo

7. Configurar Idioma en Español

 Este proceso se realiza en la configuración inicial del equipo, si este es nuevo.
 En caso de ser un equipo ya asignado, se debe realizar los cambios en Panel de
control – Idiomas.
8. En caso de que el equipo no se subirá al dominio se debe configurar las políticas de
Password que cumplan lo establecido en el procedimiento de administración de
contraseñas. Longitud mínima de 8 caracteres. Forzar Cambio de Contraseña cada
45 días. No reutilización de los últimos 12 passwords.
 Ejecutar
 gpedit.msc

 Configuración del equipo

 Configuración de Windows
 Configuración de seguridad
 Directivas de cuenta
  Directiva de contraseñas

 Configurar las políticas necesarias.

9. Proteger los archivos de logs de eventos para acceso solo del grupo de
administradores locales.

El usuario no puede acceder a esta carpeta ni realizar cambios.

 Panel de control
 Herramientas administrativas
 Servicios
 Registro de eventos
 Tipo de inicio “Manual , aplicar
 Panel de control
 Herramientas administrativas
 Visor de eventos
10. Verificar que la configuración del protector de pantalla se encuentre bloqueado.
Se debe ingresar a panel de control y personalizar pantalla, para seleccionar ninguno

Configuraciones de Servicios y Aplicaciones

11. Instalar y configurar el antivirus definido por el BDP SAM y que el mismo sea visible
desde la consola de administración.

El antivirus definido por el BDP SAM es Bitdefender, el cual es instalado cuando la

computadora es nueva o reasignada a otro empleado.

12. Habilitar el firewall personal del antivirus.

Procedimiento mediante rutas y comandos

Configuración Base

13. Deshabilitar el boot desde CD, USB

 F2 o F10 para ingresar a Boot Menu
 Enter setup.
 Configure boot options.
 Enable or disable boot options.
 Disable USB Device
 En el caso del BIOS, debemos ir a la pestaña “Boot”. Allí seleccionamos el medio de
arranque, pulsamos Enter y activamos la opción Disable
 En “Ejecutar” ingresamos “regedit” y hacemos clic en aceptar.

 HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ UsbStor

 En el panel derecho, haga doble click en Start.

 En el cuadro de datos haga clic en hexadecimal Valor, tipo 4 y a continuación haga
clic en Aceptar (si quieres activarlos debes poner valor 3)