Skip to content
Posted by deweloper8 comentarios en 3 apps para realizar hardening en Windows seguridad

3 apps para realizar hardening en Windows

Realizar hardening en Windows es muy sencillo con estas 3 apps

Windows es un sistema operativo versátil y muy compatible, en parte esto es así por las configuraciones que ofrece por defecto y que garantizan que funcionará con una amplia variedad de protocolos, herramientas y situaciones. En otras palabras, Windows viene  de serie con las puertas y hasta las ventanas abiertas de los hackers. Por eso es conveniente realizar hardening en Windows y cerrar algunas de esas puertas.

Porque cada puerta que dejamos abierta (cada función, digamos) si no la utilizamos siempre podrá haber alguien que la utilice por nosotros y esto podría ayudar a un ciberdelincuente a cometer delitos con más facilidad, hacerse administrador o moverse por nuestra red.

Para ser justos esta situación no solo afecta a Windows sino a cualquier sistema operativo moderno. Todos vienen con más funcionalidades de las exclusivamente necesarias de serie, por conveniencia.

3 aplicaciones para realizar bastionado en Windows

Por ejemplo, si tenemos Powershell habilitado y alguien realiza un escalado de privilegios local o remoto le sería posible utilizar el intérprete para realizar casi cualquier cosa imaginable a través del intérprete de comandos de Powershell. Si no lo piensas utiliza, ¿por qué no desactivarlo? Lo mismo ocurriría con la cuenta de administrador y similares ajustes.

El hardening de Windows, también conocido bastionado, consiste pues en retirar características y protocolos de un sistema operativo -en este caso Windows- para cerrar vías de entrada al sistema, protocolos que a su vez pueden llegar a presentar vulnerabilidades (ya sean conocidas o Día Cero) y funciones que por descuido del usuario / administrador podrían originar problemas de seguridad.

Aprende más – realiza hardening en Linux con la auditoría de Lynis

Veamos cuáles son tres de las mejores  aplicaciones gratuitas que podéis utilizar para mejorar la seguridad de Windows y configurar los servicios.

Aplicaciones de hardening gratuitas

Como no quiero enrollarme más pasemos a la lista de aplicaciones pero antes de continuar un aviso: crea un punto de restauración de Windows siempre que vayas a usar una de las siguientes herramientas. ¡Estás avisado!

NovirusThanks Syshardener

La primera de las aplicaciones propuestas para reducir la superficie de exposición de nuestro sistema operativo es Syshardener. Actualmente en versión 1.0, esta pequeña suite cuenta con un montón de ajustes que podemos tocar referentes a servicios, firewall de Windows, programas de terceros, etcétera.

El pase de diapositivas requiere JavaScript.

Ajustes disponibles

El programa nos ofrece una serie de puntos básicos ya marcados cuando lo abrimos -considerados no demasiado intrusivos para el funcionamiento del equipo- y podemos marcar o desmarcar mediante las casillas de selección. Finalmente aplicaremos con un botón único.

  • Control de cuentas de usuario: podemos configurar el control de cuentas de usuario de Windows de diferentes formas. Es interesante la opción de permitir exclusivamente ejecutables con firmas válidas para ser lanzados con privilegios elevados.
  • Asociaciones de archivo: podemos retirar asociaciones de programas predeterminados para archivos que puedan ser perjudiciales o no utilicemos a menudo.
  • Ajustes de seguridad de Windows: aquí tenemos una buena lista de tweaks a nuestro alcance, por ejemplo deshabilitar el motor de scripting de Windows (Script host), habilitar DEP (Data Execution Prevention) o mostrar archivos y extensiones ocultas.
  • Ajustes de software vulnerable: podemos aplicar más o menos restricciones a aquellos programas o protocolos con mayor índice de ataque, como puede ser Flash, secuencias JavaScript, macros, etc.
  • Servicios de Windows: podemos desactivar servicios de Windows innecesarios, como puede ser el spooler (impresión), Bluetooth
  • Firewall de Windows: una excelente lista de ajustes para fortalecer aún más nuestro cortafuegos de Windows.

descargar Syshardener

 

Información

  • Libre de virus
  • Gratis
  • 32 y 64 bits
  • Instalable y portable

Hardentools

Con el nombre de Hardentools tenemos otra herramienta para realizar un bastionado ligero de Windows, en este caso como digo más acotado a una serie de características específicas que podéis consultar a continuación.

El pase de diapositivas requiere JavaScript.

Desactivar catacterísticas de Windows

  • Windows Script host
  • Powershell / ISE (mediante explorador de Windows)
  • Cmd.exe (mediante explorador de Windows)

Desactivar características de Office

  • Macros
  • Ejecución de objetos OLE
  • Ejecución de ActiveX

Desactivar otros protocolos y características

  • Ejecución de objetos anidados en documentos PDF
  • JavaScript en documentos PDF

Se trata de un programa bastante más sencillo que el anterior pero tiene un punto positivo a favor: tras aplicar los cambios y volver a abrir la app se nos dará la opción de revertir los últimos ajustes guardados.

Hardentools 3

Información

  • Libre de virus
  • Gratis
  • 32 y 64 bits
  • Portable

descargar Hardentools

Hard Configurator beta 3.1

Otra aplicación que tenemos a nuestra disposición para retirar funciones a Windows es Hard_Configurator, disponible de forma gratuita en GitHub. Algo más confuso a la hora de usar que los anteriores, pero merece la pena considerarlo.

Hard Configurator beta 3.1

Dicho lo anterior, este es un programa que ha ido evolucionando y ofrece algunas opciones bastante útiles -por ejemplo la de utilizar el filtro smartscreen en archivos locales. Por supuesto se agradece mucho que se encargue de realizar puntos de restauración de forma automática, esto ahorrará más de un problema.

3h

¿Qué podemos modificar con Hard Configurator?

  • Activar o desactivar Windows Script Host
  • Activar o desactivar scripts de Windows Powershell
  • Crear listas blancas según rutas o hashes
  • Cambiar las políticas de restricción de software (SRP)
  • Mostrar u ocultar la opción «ejecutar como administrador)
  • Forzar smartscreen para que verifique también los archivos no procedentes de internet
  • Desactivar fuentes no confiables de Windows 10
  • Desactivar ejecución de discos DVD/USB externos en Windows
  • Activar la detección de PUA de Windows (PUA = Aplicación potencialmente no deseada)
  • Activar o desactivar asistencia remota en Windows, Consola remota o Registro Remoto
  • Proteger frente a escritura las subcarpetas dentro de C:\WIndows

Descargar Hard Configurator

Información

  • Libre de virus
  • Gratis
  • 32 y 64 bits
  • Instalable

Conclusiones

Estos tres programas gratuitos te permitirán hacer un bastionado de tus equipos domésticos o de oficina de forma rápida y con pocos clics. Este artículo se centra en equipos cliente y domésticos, para servidores espero realizar un artículo más elaborado próximamente.

Categories

seguridad, Seguridad informática, Software, Windows

Tags

, , ,

deweloper View All

Trabajo como consultor de ciberseguridad y me gusta lo que hago. Aficionado a la informática / tecnología en general, me gusta compartir con la gente lo poco que sé. También soy aficionado al deporte y los videojuegos.

8 thoughts on “3 apps para realizar hardening en Windows Leave a comment

  2. Hola Alejandro,
    muchas gracias por estas herramientas que harán que mi Windows sea mas seguro.
    Perdón por la falta de ortografías se me escapo en el anterior comentario, un saludo a todos.

    Reply

  3. Buen dia, muchisimas gracias por el estos tips, una pregunta una vez aplicado estas politicas hay forma de validar que si se aplicaron por ejemplo algun script?

    Saludos.

    Reply

    • Hola Rubén,
      Hacerlo de forma completa es imposible si no es utilizando los propios checks que traiga alguna de estas herramientas. Por supuesto, se pueden revisar configuraciones individualmente, aunque eso conllevará chequear entradas de registro, configuraciones de sistema, etcétera.
      Una forma de hacer un match de algún modo es pasar un analizador de vulnerabilidades como OpenVAS o Retina Network Community para listar las que el sistema detecta antes y después.
      Finalmente, puedes de alguna forma, además, hacer un match con la herramienta MBSA de Microsoft, pero solo funciona para tecnologías de Microsoft y está descatalogada: https://www.microsoft.com/security/blog/2012/10/22/microsoft-free-security-tools-microsoft-baseline-security-analyzer/
      Saludos!

      Reply

  4. De verdad que estan muy buenas estas herramientas sobre todo el Hard Configurator me sirvieron de mucho para aumentar la seguridad en mi pc. Y me gustaria saber si existe alguna herramienta que me permita realizar algo parecido a lo que hacen estos programas para una subred, devido a que soy administrador de red de un area en mi trabajo y necesito mejorar la seguridad informatica. Muchas Gracias.

    Reply

Deja un comentario