5 pasos para mejorar la seguridad en equipos de red que no ejecutan Windows 11

08:28 13/09/2021 | 3 Lượt xem

Las especificaciones de hardware revisadas de Microsoft para la próxima versión de Windows 11 el 5 de octubre no cambian el hecho de que estoy atascado en Windows 10 para la mayoría de las máquinas en mi red. Microsoft ha ampliado su aplicación de prueba para incluir algunos procesadores más compatibles con Windows 11 (Intel Core X-series, Xeon W-series y algunos Intel Core 7820HQ), pero el resultado final es el mismo: tendremos una red mixta de Windows. Máquinas 10 y Windows 11 en el futuro.

Estoy acostumbrado a rastrear no más de dos conjuntos de parches: Windows 10 para la mayor parte de la red y algunas actualizaciones aisladas de seguridad extendida de Windows 7 para máquinas más antiguas que se guardan para fines específicos. Tendré que acostumbrarme a parchear y mantener más sistemas operativos.

Pueden pasar años de actualizaciones de infraestructura antes de que podamos aprovechar las muchas características de seguridad de Windows 11, pero la idea de que nos estamos perdiendo es un poco presuntuosa. Las protecciones de Windows 11, como la seguridad basada en la virtualización, la integridad del código protegido por el hipervisor y el arranque seguro habilitado de forma predeterminada, pueden requerir hardware nuevo y licencias específicas para implementarse por completo. También pueden necesitar una infraestructura de Active Directory o Azure Active Directory para la que su red no está preparada.

Actualizar a las últimas funciones de seguridad nunca fue una buena idea. Es mejor tener un plan de ataque y un plan de actualización. Las actualizaciones se pueden realizar con el tiempo con un proceso basado en el riesgo, no solo envejeciendo el hardware como lo hicimos en el pasado. Considere seguir estos pasos ahora para proteger su red de ataques.

Revise las dependencias predeterminadas del navegador y la aplicación web

Si aún depende de Java Script o no puede realizar actualizaciones que eliminen Adobe Flash de sus navegadores debido a las aplicaciones de presentación de video que dependen de él, considere por qué confía en tecnologías de navegador más antiguas que ponen en riesgo sus estaciones de trabajo. Revise las aplicaciones integradas y su dependencia de las tecnologías de navegador más antiguas y concentre sus recursos en eliminar las dependencias de las tecnologías de navegador más antiguas.

Si sus aplicaciones web integradas aún dependen de Internet Explorer, es hora de revisarlas y posiblemente modificarlas. En lugar de gastar dinero en actualizaciones de hardware de Windows 11, considere primero las actualizaciones de aplicaciones web internas.

Revise cómo implementa Windows 10

Revise las recomendaciones de referencia de seguridad de Microsoft o las opciones de Puntuación segura de Microsoft 365. Pruebe si puede implementar estaciones de trabajo que bloqueen la resolución de nombres de multidifusión local de enlace (LLMNR), NetBIOS, el descubrimiento automático de proxy web (WPAD) y LM Hash de forma predeterminada. Las aplicaciones heredadas pueden necesitar estos estándares de resolución de nombres obsoletos. Pruebe para ver si puede deshabilitar estos métodos más antiguos y menos seguros. Si no puede apagarlos ahora, establezca una meta para hacerlo pronto. Los atacantes pueden utilizar estas búsquedas heredadas para recopilar credenciales de autenticación, lo que obliga a las máquinas a enviar hashes de contraseña NTLMv2. Además, si no tiene habilitada la firma SMB, los atacantes pueden retransmitir conexiones SMB.

Deshabilite LLMNR mediante la directiva de grupo o Intune en implementaciones más modernas. Abra gpedit.msc y vaya a “Configuración del equipo”, luego a “Plantillas administrativas”, luego a “Red” y luego a “Cliente DNS”. Establezca “Desactivar resolución de nombre de multidifusión” en “Activado”.

NetBIOS no se puede deshabilitar directamente a través de la directiva de grupo, pero puede usar un script de PowerShell para deshabilitarlo.

El protocolo WPAD es un método utilizado por los clientes para localizar la URL de un archivo de configuración utilizando el método de descubrimiento DHCP o DNS. Para deshabilitar WPAD, deshabilite la opción de configuración automática de proxy en Internet Explorer. En la Política de grupo, expanda “Configuración de usuario”, vaya a “Plantillas administrativas”, luego a “Componentes de Windows”, luego a “Internet Explorer” y luego a “Desactivar el cambio de configuración automática”. Alternativamente, puede configurar el WPAD ya que esto hará imposible el envenenamiento de entrada.

Revisar el nivel de bosque de Active Directory

Asegúrese de que se haya actualizado a Server 2008 o superior. Si se encuentra en un nivel de bosque inferior, es posible que aún tenga valores de LM Hash almacenados en su red. Una vez más en la Política de grupo, expanda “Configuración del equipo” y vaya a “Configuración de Windows”, luego a “Configuración de seguridad”, luego a “Políticas locales” y luego a “Opciones de seguridad” y luego a “Red de seguridad: no almacenar LAN Valor hash del administrador en el próximo cambio de contraseña ”.

Revise la longitud de la política de contraseñas y aumente la política de contraseñas a al menos 12 y preferiblemente 16 caracteres o más. Anime a los usuarios a utilizar un programa de administración de contraseñas en sus procesos de administración de contraseñas personales, y proporcione una herramienta para toda la empresa para sus procesos internos. A menudo reutilizamos las mismas contraseñas en muchos sitios y los atacantes pueden descifrar una contraseña en una base de datos y luego reutilizar el valor hash en otra base de datos.

Revisar el uso de macros

Ajuste la configuración de macros en sus implementaciones de Office en consecuencia. Las macros plantean un gran riesgo en una red y solo los usuarios que las necesitan deben tener la capacidad habilitada. CISecurity.org recomienda usar la Política de grupo para deshabilitar las macros de Office cuando la función no es necesaria.

Revise la autenticación de dos factores para procesos internos y aplicaciones externas

Especialmente si todavía usa estaciones de trabajo y servidores locales, las soluciones de dos factores pueden agregar protección y mantener su red más segura.

En resumen, confiar y esperar a que Windows 11 proteja mejor su red pondrá su red en riesgo. Revise lo que puede hacer ahora para proteger mejor su red.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang