Autor: Rafael A. Álvarez Rodríguez.

CGI-P30-Revisión-Vulnerabilidades
Instalación de aplicaciones

Esta aplicación permite realizar un diagnóstico de la situación actual de cada uno de los
equipos con Windows XP y Windows 2000.

Pasos para instalar Microsoft Baseline Security Analyzer 1.2.1

Para iniciar el proceso de instalación se da doble clic sobre el archivo MSSASetup-EN.

Posteriormente se desplegará la siguiente ventana y se presiona clic en el botón ejecutar.

La pantalla siguiente muestra un mensaje de bienvenida para iniciar con el proceso de

instalación, luego se presiona clic en el botón next.
En esta pantalla se marca la opción aceptando la licencia y se presiona clic en la opción
next.

En esta opción del proceso de instalación se modifica el destino donde quedará la

aplicación seleccionando para ello D:\Archivos de programa \ Microsoft Baseline
Securit…\
Luego de seleccionar la ruta de instalación se presiona clic en el botón Ok, para continuar
con el proceso.

Para iniciar con el proceso de instalación de la aplicación se presiona clic en el botón

install.
En esta pantalla se observa el porcentaje de avance del proceso.

Una vez que la aplicación ha concluido con el proceso muestra el siguiente mensaje,
indicando que la instalación concluyó satisfactoriamente.
 SERVIDORES
Esta aplicación permite realizar un diagnóstico de la situación actual de cada uno de los
servidores con Windows 2000 Server.

1. Desactualización de Service Pack y Hotfix (Manual página 25)

Para iniciar el proceso de revisión se debe verificar el Service Pack con que cuenta el
Sistema Operativo en cuyo caso debería de contar con el Service Pack 4.

Si el Sistema Operativo no cuenta con el Service Pack 4 instalado se debe instalar.

 2. Cuenta Administrator sin renombrar (Manual página 28)

La cuenta “Administrator” debe ser renombrada y configurada adecuadamente.

Se debe editar una política de grupo que se encargue de renombrar la cuenta local
“Administrator”. En los servidores que son controladores de dominio no se puede hacer
esto, ni siquiera se muestran como puede observarse en la pantalla siguiente.

3. Usuarios con privilegios de administrador (Manual página 30)

Sólo si es absolutamente necesario, un usuario debe ser miembro del grupo

“Administradores”.

4. Cuentas por defecto habilitadas (Manual página 34)

Las cuentas creadas por defecto deben ser configuradas adecuadamente. (Política a
nivel central)

5. Cuentas con más de 90 días sin registrarse (Manual página 36)

Debe existir una política para el tiempo de vigencia de cuentas no utilizadas, así como un
procedimiento de revisión del estado de las mismas. (Política a nivel central)

6. Contraseñas que no expiran (Manual página 38)

Todos los usuarios deben tener deshabilitada la opción de que su contraseña no expire.
(Política a nivel central)

7. Políticas indefinidas para las contraseñas (Manual página 40)

Las contraseñas deben ser regidas por ciertas políticas para asegurar su calidad.
(Política a nivel central)

8. Políticas indefinidas para bloqueo de cuentas (Manual página 42)

Las políticas de bloqueo de cuentas deben estar configuradas en todos los servidores.
(Política a nivel central)

9. Restricción de usuarios anónimos (Manual página 44)

Clic derecho en Mi PC / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Security opcions / Additional restrictions for anonymous connections /, debe ser
definida a nivel central.

10. Protocolo de autentificación débil (Manual página 46)

Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Security opcions / LAN Manager Authentication level /, debe ser definida a
nivel central.

11. Carpetas compartidas sin restricción (Manual página 48)

Ir al apartado de Microsoft Baseline / Additional System Information / Shares / Result details

Posteriormente verificar que el acceso a las carpetas sea solo de las personas a quienes
corresponda.
Las carpetas y archivos compartidos en la red deben ser asegurados y restringidos.

12. Auditoria de eventos indefinida (Manual página 50)

Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Audit Policy / Audit Account logon events (debe quedar de acuerdo a la
recomendación o como se presenta en la pantalla siguiente).

Cada una de estas se hace

dándole doble clic para marcar o
desmarcar las opciones, según
pantalla siguiente, ver
recomendaciones página 52.

Marcar o
desmarcar para
auditar cada
política local
del server

13. Política de protector de pantalla (Manual página 53)

El protector de pantalla debe ser habilitado con una contraseña de protección.
Clic derecho sobre el Desktop y elegir Properties, pestaña Screen Saber, elgir protector
de pantalla deseado y marcar la opción Password protected

14. Servicios innecesarios y configuración del SNMP (Manual página 55 y 58)

Revisar el estado de los

siguientes servicios:
Si un servicio
no es -Alerter
requerido debe
ser -File Transfer Protocol
deshabilitado
-Messenger

-Remote Acces Server

-Simple Mail TransferProtocol

-SNMP Service

-Telnet
15. Componentes de Windows innecesarios (Manual página 60)
-World Wide Web
Revisar en cada servidor Windows 2000 si los componentes que se detallan a
continuación están instalados y de ser el caso verificar que su propósito está directamente
vinculado con el funcionamiento primordial del servidor, de no ser así deben ser
desinstalados.

 Indexing Service
 Internet Information Services
 Management and Monitoring Tools
  Message Queuing Services
 Remote Installations Services
 Remote Storage
 Script Debugger
 Windows Media Services

En la opción del Networking Services dejar marcado el DNS, DHCP y Wins.

16. Protocolos inseguros (Manual página 62)

Los protocolos de red que no son requeridos para la funcionalidad del servidor deben ser
eliminados.
 17. El servidor no está oculto en la red (Manual página 64)

Los servidores no deben estar visibles en My Network Place, a menos que sean de
archivos o de impresión.

La política de Grupo debe correr el siguiente comando en el cmd:

“net config Server /hidden:yes”

18. Acceso desde la red sin restricción (Manual página 66)

El acceso al servidor por usuarios estándar debe ser restringido y así asegurarlo de
ataques basados en red.

En el menú Start / Programs / Administrative Tools / Local Security Policy / Security

Settings / Local Policies / User Right Assignments

Doble clic en la opción “Access this computer from the network” y dejar sólo
administrators, como se muestra en la siguiente pantalla:
 19. Ingreso local sin restricción (Manual página 68)

Los usuarios con opción de registrarse localmente en un servidor deben ser restringidos.

En el menú Start / Programs / Administrative Tools / Local Security Policy / Security

Settings / Local Policies / User Right Assignments

Doble clic en la opción “Log on Locally”, como se muestra en la siguiente pantalla:

 20. Apagar en pantalla de inicio habilitado (Manual página 76)

En todo servidor no se debe permitir la posibilidad de apagar el sistema en la pantalla de

inicio.

En el menú Start / Programs / Administrative Tools / Local Security Policy / Local Policies /
Security Options / Allow system to be shut down without having to log on / Disable /
Aplicar / Aceptar

21. Despliegue del último usuario registrado (Manual página 77)

En Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Security Options / Do not display last user name in logon screen / Enable Aplicar
y Aceptar.
 22. Sesiones en caché habilitadas (Manual página 79)

En el menú Start / Programs / Administrative Tools / Local Security Policy /

En el menú izquierdo: Security Settings / Local Policies / Security Options / Number of
previos logons to cache (in case domain controller is not available) / cero logons /

23. Sólo existe una partición (Manual página 84)

Todo servidor debe tener como mínimo dos particiones.

24. Ir al panel de control y eliminar

Juegos
Outlook Express
Msn Explorer
Servicio de fax
Servicio SNTP
WWW
Windows Messenger
 25. Finalización.

Correr las Herramienta para remover software malicioso de Microsoft

Windows-KB890830-V1.22

Es importante guardar un detalle de todos los equipos que se revisarán en cada una de
las unidades.

MICROCOMPUTADORAS
1. Desactualización de Service Pack y Hotfix (Manual página 89)

Para iniciar el proceso de revisión se debe verificar el Service Pack con que cuenta el
sistema operativo en cuyo caso debería de contar con el Service Pack III en Windows XP.

Si el Sistema Operativo no cuenta con el Service Pack 3 instalado se debe de:

1. Instalar el Service Pack 3

 2. Ejecutar el bat Actualizar (E,D,I).bat (según la unidad donde se ubique el
instalador), para este paso se debe utilizar el disco previamente preparado, y es lo
que permite la actualización de los parches hasta el 06 de Noviembre del 2006.

2. Cuenta Administrador sin renombrar (Manual página 92)

Click derecho en Mi Pc / Administrar / usuarios locales y grupos / usuarios / seleccionar la

cuenta Administrador / clic derecho / cambiar nombre / utilizar estándar / clic derecho
propiedades / eliminar la descripción / quitar el check de la contraseña nunca caduca / se
presiona clic sobre aplicar y aceptar / Clic derecho sobre la nueva cuenta / Establecer
contraseña / utilizar estándar /

Sólo dejar las cuentas de

administrador e invitado
pero renombradas
Renombrar la cuenta invitado

Clic derecho sobre la cuenta invitado / cambiar nombre / utilizar el estándar / clic derecho
sobre propiedades / quitar la descripción de la cuenta / quitar el check de la contraseña
nunca caduca / aplicar / clic derecho sobre la cuenta / establecer contraseña.

3. Usuarios con privilegios de administrador (Manual página 94)

Dejar el privilegio al propietario de la cuenta del equipo.

4. Cuentas por defecto habilitadas (Manual página 96)

Las cuentas creadas por defecto deben ser configuradas adecuadamente. (No aplica)

5. Cuentas con contraseñas débiles (Manual página 98)

Las cuentas deben contar con contraseñas fuertes.

6. Contraseñas que no expiran (Manual página 100)

Todos los usuarios deben tener deshabilitada la opción de que su contraseña no expire y
tener un tiempo definido para su cambio. (Política a nivel central)

7. Restricción de usuarios anónimos (Manual página 102)

Clic derecho en Mi PC /Panel de control / Herramientas administrativas / Directivas de
seguridad local / Directivas locales / opciones de seguridad / doble clic sobre Acceso de
red: Deja los permisos de todos para aplicarse a los usuarios anónimos / seleccionar
Deshabilitar /Aplicar /Aceptar.

Esta opción debe

quedar deshabilitada,
como se muestra en
esta pantalla

8. Protocolo de autentificación débil (Manual página 104)

Mi PC / Panel de control / herramientas administrativas / Directivas de seguridad local /

opciones de seguridad / Seguridad de redes: nivel de autentificación de LAN MANAGER
/ clic derecho propiedades / seleccionar /Enviar solo respuesta NT Lan Manager: usar la
seguridad de sesión NT Lan Manager versión 2 si se negocia / Aplicar / Aceptar.

Esta opción debe

“Enviar solo
respuesta NT
Lan Manager”
9. Carpetas compartidas sin restricción (Manual página 106)

Ir al apartado de Microsoft Baseline / Additional System Information / Shares / Result details

Posteriormente verificar que el acceso a las carpetas sea solo de las personas a quienes
corresponda.

Las carpetas y archivos compartidos en la red deben ser asegurados y restringidos.

10. Auditoria de eventos indefinida (Manual página 110)

Mi PC / Panel de control / Herramientas administrativas / Directivas de seguridad local /

Directivas de auditoría /

Cada directiva se
cambia al darle doble
clic a cada una,
aparece esta pantalla
donde se le pone un
check a lo que
corresponde, luego
aplicar y aceptar.

11. Servicios innecesarios habilitados (Manual página 112)

Inicio / Configuración / Panel de Control / Agregar o quitar programas / Agregar o quitar

componentes de Windows /

Ir al apartado de Microsoft Baseline

Seleccionar la opción Result Details

Posteriormente ir a:

Servicio Tipo de inicio Cambiar el Estado

Alerter Manual Detener

FTP Manual Detener
MESSENGER Manual Detener
Remote Registry Manual Detener
Run as Manual Detener
SMTP Manual Detener
SNMP Manual Detener
WWW Manual Detener

O también pueden efectuarse los cambios en los servicios como se muestra en la

siguiente pantalla:

Deshabilitar lo
que no sea
necesario y
esté marcado
12. Despliegue del último usuario registrado

Mi PC / Panel de control / herramientas administrativas / Directivas de seguridad local /

Opciones de seguridad / Inicio de sesión interactivo: No mostrar el último nombre de
usuario / doble clic / habilitar / Aplicar.

Esta opción
debe quedar
habilitada
como se
muestra en la
pantalla

13. Sesiones en caché disponibles

Mi PC / Panel de control / herramientas administrativas / Directivas de seguridad local /

Opciones de seguridad / Inicio de sesión interactivo: número. de inicios de sesión previos
en la caché (en caso de que el controlador de dominio no esté disponible / doble clic
cambiar el parámetro de 10 a 5 / aplicar / aceptar.

Esta opción se
debe dejar en cero
como se muestra
en la pantalla

14. Apagar el sistema en pantalla de inicio (Manual página 119)

No aplica

15. Particiones con sistemas de archivos FAT (Manual página 121)

Verificar Mediante el Microsoft Baseline que todas las particiones sean de tipo NTFS.
En el apartado vulnerabilidades / File System / Result Details
Presionar clic en el icono

Iniciar el proceso de detención de vulnerabilidades presionado el botón scan a computer

Si alguna partición estuviera en FAT se debe cambiar con la siguiente instrucción.
Convert X: /fs ntfs /v Donde “X” es la partición a ser convertida.

16. Nivel de seguridad bajo en las macros (Manual página 122)

Se deberá definir un nivel.

17. SQL instalado (Manual página 124)

Justificar en los equipos donde se encuentre instalado y sea necesario, en los clientes
solo debería estar las herramientas de red, para el caso del programa de pensiones
instalar MSQL en modo estándar con la opción del “Client Connectivity”.

18. Ir al panel de control y eliminar

Juegos
Outlook Express
Msn Explorer
Servicio de fax
Servicio SNTP
WWW
Windows Messenger