jueves, 18 de junio de 2009

Bastionado Perezoso de Windows Vista (I)

Si sóis de esa especie que cada vez que instaláis vuestro sistema operativo Microsoft Windows Vista os entra una pereza descontrolada que imposibilita que dediquéis tiempo a bastionarlo, esta entrada está creada a medida para nosotros. Nuestro principal argumento es que no encontramos un hueco para bastionar nuestros equipos o los equipos que instalamos a familiares, amigos, conocidos de conocidos, etc. En muchas ocasiones esto es verdad, pero en otras podríamos decir que estamos siendo un poquito perezosos :D.

El otro día mientras me maldecía por tener mi bichito (así llamo a mis pequeñines) sin haberle dedicado un poquito de tiempo, me planté y decidí que esto no podía durar más, aprovechando ese momento de motivación inicié una dura búsqueda en el universo de Google a la caza del bastionado para perezosos (no el bastionado ideal ... el casi ideal pero para perezosos).

Tras un tiempo de búsqueda, me topé con "Security Compliance Management Toolkit Series" en la página de Microsoft, al leer de qué iba, ver la documentación, empezaron caerme las lágrimas a chorro de alegría cuando veía un "siguiente > siguiente" que podría hacerme sentir mejor ante mi dolor interno de dedicarle poco tiempo a mi pequeñín.


Una vez encontrado el diamante era hora de pulirlo, para lo que deberemos ir a la página del toolkit y descargar el .zip para nuestro Windows Vista. Una vez descargado miramos la documentación (parte muy importante ;)) y observamos que explica que existen dos tipos de bastionado, el bastionado "Enterprise Client" (EC) y el bastionado "Specialized Security-- Limited funcionality" (SSLF). Como os podéis imaginar el bastionado SSLF es mucho más restrictivo sobre nuestro sistema respecto al EC, por lo que en este instante cada uno debe decidir sobre qué bastionado se ajusta más a sus necesidades. En esta primera entrada hablaremos sobre el tipo EC.

Con el fichero .zip descargado encontramos un instalador de nombre GPOAccelerator.msi, que nos ayudará a tener el bastionado en varios "siguiente > siguiente", como se muestra a continuación. Deberemos ejecutar GPOAccelerator.exe que está en la carpeta de instalación.



Una vez disponemos de nuestro sistema un poco más bastionado, podemos hacer unos pequeños retoques que se ajuste más a nuestro gusto. El primer retoque que vamos a hacer es permitirnos poder hacer escalada de privilegios con la opción "Ejecutar como Administrador" (que es un "sudo aplicación" de sistemas Linux), ya que al aplicar el tipo de bastionado EC queda restringido. Con esto estoy asumiendo que todos usamos nuestro Windows Vista con un usuario que no tiene permisos de Administrador, ¿verdad?. Para permitir la escalada de privilegios nos vamos a Panel de Control > Herramientas Administrativas > Directiva de Seguridad Local. Después nos movemos por el árbol y nos dirigimos hasta llegar a Opciones de Seguridad, donde dejaremos la opción que os muestro a continuación (Control de cuentas de usuarios: comportamiento del indicador de elevación para los usuarios estándar) así:



Otro pequeño aspecto que me gusta es activar algunas de las directivas de auditoria, para tener siempre información almancenada de qué está pasando. La configuración que suelo poner para un equipo es (recordar que esta entrada está orientada a nuestro equipo personal, quedando muy de lejos de cómo realizar un bastionado en un servidor, equipo de cliente de una organización etc.):




En futuras entradas seguiremos hablando del bastionado SSLF, la diferencias con el EC, resumen de los cambios que aplican ambos tipos sobre nuestro sistema y comentaremos una configuración más afinada del firewall de Windows Vista, sus ámbitos, nuevas reglas etc. Como véis dista bastante de un bastionado elaborado y controlado, pero es un pasito más y rápido; principal objetivo de la entrada.

3 comentarios :

Aule dijo...

Muy interesante de verdad, el bastionado es un tema interesante y el enfoque de algo "sencillo" que le has querido dar es muy acertado, pero echo en falta una cosa, una aclaracion, la herramienta de la que hablas "Security Compliance Management Toolkit Series" funciona en todas las versiones de Vista ?¿

Un saludo

José Miguel Holguín dijo...

Buenas Aule,

El requisito es según la guía es "Windows Vista SP1". De todas maneras si te sirve yo lo he testeado en: Windows Vista Business SP1 y SP2.

Gracias por el comentario ;)

Patxi dijo...

Otra buena guía util del Sr. Holguín.
Muy bien Josemi, muy interesante para usuarios de Vista descuidados...que serán muchos ;-)