Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 26 de diciembre de 2007

CÓMO HACER PARA QUE WINDOWS SEA UN POCO MÁS SEGURO

A medida que generaciones de computadoras y usuarios se acumulan, cada vez más hogares tienen más de una PC que comparten la conexión de banda ancha con Internet, por medio de una red local. Está muy lindo compartir, pero la seguridad se complica. Definitivamente, ya no alcanza con el antivirus y el firewall. Aquí van algunas pistas. Seguirán más en futuras notas.

  • Olvídese de FAT32 y use el sistema de archivos NTFS. A menos que tenga un Windows 98 en la misma computadora y que necesite desesperadamente leer los discos de Windows XP desde Windows 98, entonces no hay motivo para seguir usando FAT32. ¿Por qué utilizar NTFS? Porque ofrece permisos de archivo y encriptación transparente de carpetas y archivos.
  • Ya que compartimos la conexión de banda ancha, también lo hacemos con archivos, carpetas e impresoras. Muy cómodo. Y muy inseguro, si no modificamos algunas cosas. Primero, desactive el Uso compartido simple de archivos. Esto se hace desde Panel de control>Opciones de carpeta>Ver ; allí hay que quitarle tilde a Utilizar uso compartido de archivos . No importa que Microsoft diga que es lo recomendable. Sí, claro, es más simple, pero no más seguro. Una vez desactivada esta función, una nueva pestaña aparece en las Propiedades de carpetas y ficheros, llamada Compartir. Allí se debe hacer sintonía fina, como sigue.
  • Una vez que decida compartir una carpeta, en el cuadro de diálogo que acabo de mencionar, apriete el botón Permisos . Aparece otro cuadro con dos cajas. La de arriba lista los usuarios a los que se han asignado permisos. La mala noticia es que por default Windows añade a Todos (y eso significa todo el mundo, dentro y fuera de la máquina). La caja de abajo dice qué permisos tienen Todos ; Leer está con tilde. Traducido, cualquiera que quiera entrar y leer lo que hay en esa carpeta podrá hacerlo. Ups. Para arreglar eso, apriete el botón Agregar . Luego escriba usuarios autenticados y dele OK . Finalmente, elimine Todos o quítele todos los permisos. A partir de ahora, para acceder a esa carpeta desde fuera de esa máquina habrá que poner nombre de usuarios y contraseña. ¿Cuáles? Obviamente, los de la cuenta que esté compartiendo dicha carpeta.
  • Lo que nos lleva a las contraseñas. Primero, todas las cuentas deben tener una, y debe ser robusta. Si no quiere lidiar con claves complicadas de 8 o más caracteres que combinen mayúsculas, minúsculas, números y símbolos, use frases. “¡Prefiero no usar ninguna contraseña en mis computadoras!” es una buena contraseña; al menos, mucho mejor que los nombres de su equipo de fútbol, del perro o su fecha de cumpleaños. Y fácil de recordar. Intente, eso sí, que no sea fácil de adivinar; evite frases de cabecera y otras que puedan identificarse con usted.
  • Windows viene con una cuenta predeterminada llamada Administrador . Así que el pirata ya tiene la mitad de la batalla ganada para tomar control de su PC: conoce el nombre de un usuario, y uno muy importante. Hay que cambiar el nombre de esa cuenta por algo que no se pueda adivinar. Evite también usar la palabra root. Para editar el nombre de la cuenta administrador, vaya a Panel de control>Herramientas administrativas>Directivas de seguridad local>Opciones de seguridad>Cuentas: cambiar el nombre de la cuenta administrador . Un experto podrá averiguar por otros medios cuál es la cuenta de administrador, se llame como se llame, pero en general los expertos no se ocupan de nuestras máquinas, que suelen caer víctimas de novatos que quieren sentirse hackers.
  • Tampoco está demás crear otra cuenta llamada Administrador , pero sin permisos y con una contraseña robusta. Si tiene ganas de saber cuántos pichones de hacker hay por ahí, puede auditarla ( Directivas de seguridad local>Directiva de auditoría ).
  • Hay servicios de Windows que es altísimamente improbable que usted necesite y que sin embargo le vienen muy bien al pirata. A menos que sepa exactamente lo que está haciendo, desactive Telnet y Remote Registry . Si no tiene una red, desactive el servicio Servidor ( Server ). Esto se hace desde Panel de control>Herramientas administrativas>Servicios . Dele doble clic y en Modo de inicio elija Deshabilitado . Si está ejecutándose, apriete el botón Detener .
  • Hay varias formas de desactivar el Escritorio Remoto, cuyo nombre no necesita mayor explicación. Excepto que necesite que alguien use su equipo a distancia (por razones de mantenimiento o soporte técnico), hay que quitarlo del medio. Vamos a la manera fácil; los que estén interesados en otras técnicas, pueden consultar los links que agrego al final. Haga clic con el botón secundario del mouse en Mi PC, abra Propiedades y elija Remoto . Allí quite el tilde a las dos casillas y apriete Aceptar .

Los usuarios avanzados que quieran profundizar en estos asuntos pueden consultar el sitio oficial de Microsoft (aunque no recomiendo usar el firewall de XP, sino uno de terceros): www.microsoft.com/technet/archive/security/chklist/xpcl.mspx?mfr=true

0 comentarios:

Publicar un comentario en la entrada