Professional Documents
Culture Documents
CGI-P30-Revisión-Vulnerabilidades
Instalación de aplicaciones
Esta aplicación permite realizar un diagnóstico de la situación actual de cada uno de los
equipos con Windows XP y Windows 2000.
Una vez que la aplicación ha concluido con el proceso muestra el siguiente mensaje,
indicando que la instalación concluyó satisfactoriamente.
SERVIDORES
Esta aplicación permite realizar un diagnóstico de la situación actual de cada uno de los
servidores con Windows 2000 Server.
Para iniciar el proceso de revisión se debe verificar el Service Pack con que cuenta el
Sistema Operativo en cuyo caso debería de contar con el Service Pack 4.
Las cuentas creadas por defecto deben ser configuradas adecuadamente. (Política a
nivel central)
Debe existir una política para el tiempo de vigencia de cuentas no utilizadas, así como un
procedimiento de revisión del estado de las mismas. (Política a nivel central)
Todos los usuarios deben tener deshabilitada la opción de que su contraseña no expire.
(Política a nivel central)
Las contraseñas deben ser regidas por ciertas políticas para asegurar su calidad.
(Política a nivel central)
Las políticas de bloqueo de cuentas deben estar configuradas en todos los servidores.
(Política a nivel central)
Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Security opcions / LAN Manager Authentication level /, debe ser definida a
nivel central.
Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Audit Policy / Audit Account logon events (debe quedar de acuerdo a la
recomendación o como se presenta en la pantalla siguiente).
Marcar o
desmarcar para
auditar cada
política local
del server
-SNMP Service
-Telnet
15. Componentes de Windows innecesarios (Manual página 60)
-World Wide Web
Revisar en cada servidor Windows 2000 si los componentes que se detallan a
continuación están instalados y de ser el caso verificar que su propósito está directamente
vinculado con el funcionamiento primordial del servidor, de no ser así deben ser
desinstalados.
Indexing Service
Internet Information Services
Management and Monitoring Tools
Message Queuing Services
Remote Installations Services
Remote Storage
Script Debugger
Windows Media Services
Los protocolos de red que no son requeridos para la funcionalidad del servidor deben ser
eliminados.
17. El servidor no está oculto en la red (Manual página 64)
Los servidores no deben estar visibles en My Network Place, a menos que sean de
archivos o de impresión.
El acceso al servidor por usuarios estándar debe ser restringido y así asegurarlo de
ataques basados en red.
Doble clic en la opción “Access this computer from the network” y dejar sólo
administrators, como se muestra en la siguiente pantalla:
19. Ingreso local sin restricción (Manual página 68)
Los usuarios con opción de registrarse localmente en un servidor deben ser restringidos.
En el menú Start / Programs / Administrative Tools / Local Security Policy / Local Policies /
Security Options / Allow system to be shut down without having to log on / Disable /
Aplicar / Aceptar
En Start / Settings / Control Panel / Administrative Tools / Local Security Policy / Local
policies / Security Options / Do not display last user name in logon screen / Enable Aplicar
y Aceptar.
22. Sesiones en caché habilitadas (Manual página 79)
Juegos
Outlook Express
Msn Explorer
Servicio de fax
Servicio SNTP
WWW
Windows Messenger
25. Finalización.
Windows-KB890830-V1.22
Es importante guardar un detalle de todos los equipos que se revisarán en cada una de
las unidades.
MICROCOMPUTADORAS
1. Desactualización de Service Pack y Hotfix (Manual página 89)
Para iniciar el proceso de revisión se debe verificar el Service Pack con que cuenta el
sistema operativo en cuyo caso debería de contar con el Service Pack III en Windows XP.
Clic derecho sobre la cuenta invitado / cambiar nombre / utilizar el estándar / clic derecho
sobre propiedades / quitar la descripción de la cuenta / quitar el check de la contraseña
nunca caduca / aplicar / clic derecho sobre la cuenta / establecer contraseña.
Las cuentas creadas por defecto deben ser configuradas adecuadamente. (No aplica)
Todos los usuarios deben tener deshabilitada la opción de que su contraseña no expire y
tener un tiempo definido para su cambio. (Política a nivel central)
Cada directiva se
cambia al darle doble
clic a cada una,
aparece esta pantalla
donde se le pone un
check a lo que
corresponde, luego
aplicar y aceptar.
Deshabilitar lo
que no sea
necesario y
esté marcado
12. Despliegue del último usuario registrado
Esta opción
debe quedar
habilitada
como se
muestra en la
pantalla
Esta opción se
debe dejar en cero
como se muestra
en la pantalla
Verificar Mediante el Microsoft Baseline que todas las particiones sean de tipo NTFS.
En el apartado vulnerabilidades / File System / Result Details
Presionar clic en el icono
Justificar en los equipos donde se encuentre instalado y sea necesario, en los clientes
solo debería estar las herramientas de red, para el caso del programa de pensiones
instalar MSQL en modo estándar con la opción del “Client Connectivity”.
Juegos
Outlook Express
Msn Explorer
Servicio de fax
Servicio SNTP
WWW
Windows Messenger