10 Políticas de Grupo para mejorar la seguridad en Windows

Uno de los métodos más comunes y cómodos para configurar los diferentes equipos de una red de oficinas es sin duda mediante Políticas de Grupo. ¿Cuáles son esas 10 Políticas de Grupo que te ayudarán a mejorar la seguridad en Windows? Veámoslo.

Se trata llanamente de «ajustes» preconfigurados y lanzados al registro de Windows en cada PC, para así configurar parámetros clave. Las Políticas de Grupo pueden ser desplegadas desde Active Directory o configuradas de manera manual, localmente.

¿Por qué 10 Políticas de Grupo?

No cabe duda de que los administradores deben conocer muchos otros objetos y ajustes que no aparecen aquí, pero destaco estos 10 por algo: la mayoría de los riesgos de los clientes situados en vuestra infraestructura TI quedarán cubiertos por las políticas aquí mencionadas.

Si tienes que auditar la seguridad de una red basada en clientes y Windows Server, ver que las siguientes 10 políticas de grupo están correctamente configuradas te dará tranquilidad y hará tu trabajo más sencillo.

10 Políticas de Grupo a respetar en Windows

Estos ajustes de políticas de grupo para Windows 10 quedan dentro de la rama Configuración del Equipo\Configuración de Windows\Configuración de Seguridad.

Renombrar la Cuenta de Administrador local

Si los atacantes no conocen el nombre de tu cuenta de administrador, tendrán muchas más dificultades para hacerse con ella. Renombrar la cuenta del administrador local no es un proceso automático, debes hacerlo tú.

La cuenta de Invitado siempre deshabilitada

Una de las peores cosas que podrías hacer es habilitarla, ya que concede una gran cantidad de acceso a equipos Windows y no cuenta con contraseña. Afortunadamente, está deshabilitada por defecto.

Desactiva LM y NTLM versión 1

El LM (Lan Manager) y el NTLMv1 son protocolos de red autenticación antiguos y muy vulnerables para entornos Windows. Se debe forzar el uso de NTLMv2 siempre, junto con Kerberos.

Por defecto, la mayoría de sistemas Windows aceptarán los 4 protocolos. Sin embargo, salvo que tengas un sistema con más de 10 años, es muy muy improbable que vayas a necesitar este tipo de protocolos. Están desactivados por defecto.

Deshabilita el almacenamiento de hash para Lan Manager

Los hashes de LM son fácilmente convertibles a texto plano para sacar la contraseña equivalente. No se debe permitir a Windows que se almacenen dentro del disco, donde un atacante con una herramienta de volcado de hashes los podría encontrar.

Longitud mínima de las contraseñas

La longitud mínima de las contraseñas para usuarios corrientes debería ser de al menos 12 caracteres, siendo de 15 caracteres para usuarios con privilegios elevados. Las contraseñas de Windows no son muy seguras hasta que no cuentan con 12 caracteres de longitud.

De hecho, si lo queréis bordar desde el punto de vista de la seguridad, 15 sería la cifra mágica. Así podremos evitar las puertas traseras y estar realmente seguros de la fiabilidad del sistema.

Sin embargo, los ajustes tradicionales de las Políticas de Grupo solo aceptan un máximo de 14 caracteres en el campo «mínimo» (al menos hasta Windows Server 2012). Mediante el uso de los nuevos PSOs (Passwords Settings Objects) aunque no son tan sencillos de configurar en versiones anteriores a 2012, podremos controlar mejor las políticas de contraseñas.

Por su parte, en Windows Server 2012 y posteriores contamos con una GUI (interfaz gráfica) que nos permite hacerlo en seguida.

Vigencia máxima de la contraseña

Las contraseñas de 14 o menos caracteres de longitud no deberían utilizarse por más de 90 días. El período definido por defecto en Windows es de 42 días, así que podéis aceptarlo sin más o cambiarlo a 90.

Algunos expertos dicen que no ven problema en utilizar las mismas credenciales por 1 año si se trata de credenciales con 15 o más caracteres. Sin embargo, tened en cuenta que un período de tiempo más prolongado le daría más tiempo a alguien que se haga con la contraseña, para utilizarla en otras cuentas asociadas, por lo que lo mejor es no pasarse.

Registro de Eventos de Windows

La gran mayoría de víctimas de ciberataques habrían detectado la intrusión antes si hubieran tenido los LOGs o Registros de Eventos encendidos, revisándolos periódicamente. Mediante el uso del Security Compliance Manager de Microsoft podéis ver cuáles son las mejores prácticas y auditar estos ajustes de una forma intuitiva.

Desactivar la enumeración de SID anónimos

Los Identificadores de Seguridad de Windows (SID) son números asignados a cada usuario, grupo u otro sujeto relacionado con la seguridad en sistemas Windows o Active Directory.

En las versiones más antiguas de Windows, los usuarios sin autenticar podían solicitar estos números para identificar usuarios importantes (como Administradores) y grupos, algo que los malos explotaban con gusto. Es otro de esos ajustes que vienen últimamente inhabilitados, pero conviene cerciorarse.

No permitir que la cuenta Anónimo resida en el grupo Todos

Este ajuste y el anterior, cuando son incorrectamente configurados, podrían permitir a un atacante anónimo (o vacío) mucho más acceso al sistema del deseable. Este ajuste también viene activo por defecto (el acceso anónimo está deshabilitado, se entiende) pero conviene asegurarse.

Habilitar el Control de Cuentas de Usuario

Desde Windows Vista, el UAC de Windows ha sido la herramienta de protección que más ha ayudado a los usuarios en su navegación web.

Algunos clientes y y personas llevan años inhabilitando esta característica por los problemas de compatibilidad que hubo en alguna ocasión, aunque mucho ha cambiado desde entonces. Esta característica debería estar habilitada SIEMPRE que sea posible.

Si desactivamos el UAC, en términos de seguridad estaremos volviendo al modelo Windows NT, en lugar de mantener la seguridad que se espera de un sistema moderno. El UAC viene activado por defecto.

Conclusiones

Hemos llegado al final y seguro os habéis dado cuenta de una cosa: un 70% (7) de estos ajustes no hay ni que tocarlos desde Windows Vista / Windows Server 2008 en adelante. Mi opinión es que debemos quedarnos con la muchos de ajustes por defecto, sin tocar por tocar. La mayor parte de veces que veo problemas es porque la gente ha tocado para empeorar la seguridad.

Evidentemente hay más cosas que uno debe hacer, como planificar un sistema de copias de seguridad o prevenir que nuestros usuarios llenen su equipo con backdoors o troyanos, pero este es un buen punto de partida, para después sólo tener que configurar vuestras políticas de grupo a conveniencia.