Cómo tener un Windows XP seguro para toda la familia
Enviado por SolRed
Vamos a ver los pasos necesarios para configurar Windows XP de forma que tengamos un PC seguro y a prueba de niños / intrusos. NOTA: En XP Home algunas configuraciones no están disponibles o sólo son accesibles entrando en modo seguro.
Todas las particiones deben estar con sistema de archivos NTFS. FAT32 no tiene seguridad en absoluto y todos los usuarios tienen acceso a todos los ficheros del disco. Si es necesario convertir alguna unidad a NTFS, se puede hacer con el comando CONVERT (véase Q307881).
Si se instaló Windows en NTFS, las carpetas ya tendrán
los permisos adecuados, si se convirtió desde FAT32 habrá que
asignarlos de forma que cada usuario sólo pueda acceder a sus carpetas.
Las carpetas donde hay instalados programas deberían tener sólo
permisos de lectura, permitiendo la escritura sólo en algunas subcarpetas
o ficheros necesarios para su funcionamiento.
Si hay carpetas compartidas, deben de tener los permisos correspondientes
puestos. Windows XP, por defecto, usa “compartición simple de
archivos”, lo cual implica que cuando compartimos algo, cualquiera puede
acceder. Para poder poner permisos en las carpetas debemos desmarcar:
Herramientas ? Opciones de carpeta ? Ver ? Utilizar uso compartido simple
de archivos. (véase Q304040).
Poner un Firewall. Sin ésto, cualquiera desde Internet puede acceder
a todos nuestros puertos, y si tenemos carpetas compartidas, a ellas. XP ya
trae un firewall integrado que cumple muy bien su cometido, pero también
se puede poner uno de estos. Más información, aquí.
Habilitar cambio rápido de usuario. Ésto permite a un usuario
iniciar su sesión sin tener que cerrar los programas en la que está
activa en ese momento.
Panel de Control ? Cuentas de Usuario ? Cambiar la manera en que los usuarios
inician sesión ? Usar la pantalla de Bienvenida y Usar cambio rápido
de usuario. (Más información aquí)
Crear cuentas de usuario y ponerle contraseña a todas. Dejar que cualquiera
entre como administrador es un gran riesgo, y dejarlo sin contraseña
es tener el PC abierto de par en par para que entre cualquiera. Más
información aquí, aquí y aquí
Dejar sólo una cuenta como administrador y las demás en el grupo
usuarios. Cada persona que vaya a usar el ordenador debe tener un usuario,
así cada uno podrá tener el Windows a su gusto y no afecta a
la configuración ni los documentos de los demás.
Mi PC ? Botón derecho ? Administrar ? Usuarios y Grupos
Poner el protector de pantalla con contraseña y 3 minutos de tiempo
o bloquear el equipo cuando no estemos delante. De esta forma la sesión
queda protegida y si alguien quiere usar el PC se encuentra con la pantalla
de Bienvenida.
Quitar accesos directos de C:\Documents and Settings\All Users\Menú
Inicio y poner sólo los necesarios en cada cuenta. Para que tampoco
puedan crear accesos directos o iniciar los programas que no deben usar, quitar
permiso de lectura a ese usuario a la carpeta donde se encuentran instalados.
Limitar las horas de uso del PC tal como se explica aquí.
Instalar un antivirus y actualizarlo periódicamente. Ver una lista
de los mas usados aquí
Instalar service packs y las actualizaciones de seguridad más importantes
Desactivar servicios innecesarios. Si el PC no está en un dominio ni
en una red, se pueden desactivar unos cuantos que en ese caso sólo
sirven para ocupar memoria y que alguien se aproveche de alguna vulnerabilidad
para atacar el PC.
Universal Plug and Play
Device Host
IIS (no se instala por defecto)
Remote Desktop Sharing
Remote Desktop Help Session Manager
Remote Registry
Routing & Remote Access
SSDP Discovery Service
Configurar políticas de grupo y hacer que se apliquen a todos los usuarios
menos al Administrador, tal como se explica aquí.
Inicio ? Ejecutar ? gpedit.msc
La mayoría de las configuraciones son adecuadas tal como vienen por
defecto. Las que más pueden interesar cambiar son:
Directiva Equipo Local ? Configuración del equipo ? Configuracion de Windows ? Configuración de Seguridad ? Directivas de cuenta
Directiva de contraseñas
Forzar el historial de contraseñas
Las contraseñas deben cumplir los requerimientos de complejidad
Longitud mínima de la contraseña
Vigencia másxima de la contraseña
Directiva de bloqueo de cuentas
Duración del bloqueo de cuenta
Restablecer la cuenta de bloqueos después de
Umbral de bloqueos de la cuenta
Directiva Equipo Local ? Configuración del equipo ? Configuracion de
Windows ? Configuración de Seguridad ? Directivas locales
Directiva de auditoría
Auditar la administración de cuentas
Auditar sucesos de inicio de sesión (Error)
Auditar sucesos de inicio de sesión de cuenta (Error)
Asignación de derechos de Usuario
Apagar el sistema
Cambiar la hora del sistema
Inicio de sesión local
Tener acceso a este equipo desde la red
Opciones de seguridad
Cambiar el nombre de la cuenta del administrador
Cerrar automáticamente la sesión de los usuarios cuanto termine
el tiempo de sesión
Comportamiento de instalación de controlador no firmado
Consola de recuperación: permitir el inicio de sesión administrativo
automático
Consola de recuperación: permitir la copia de diskettes y el acceso
a todas las unidades y carpetas
Permite apagar el sistema sin tener que iniciar sesión
Directiva Equipo Local ? Configuración del equipo ? Configuracion de
Windows ? Plantillas administrativas ? Componentes de Windows
Internet Explorer
Zonas de seguridad: no permitir que los usuarios cambien las directivas
Zonas de seguridad: no permitir que los usuarios agreguen o eliminen sitios
Deshabilitar la instalación automática de componentes de Internet
Explorer
Programador de tareas
Deshabilitar la creación de nuevas tareas
Deshabilitar la eliminación de tareas
Windows Installer
Deshabilitar Windows Installer
Deshabilitar desinstalación
Directiva Equipo Local ? Configuración de usuario ? Configuración
de Windows ? Mantenimiento de Internet Explorer
Aquí podremos definir una configuración para el Internet Explorer,
que, si el resto de las directivas están bien, los usuarios no podrán
cambiar.
Directiva Equipo Local ? Configuración de usuario ? Plantillas administrativas
? Componentes de Windows
NetMeeting
Desactivar Conversación
Evitar el envío de archivos
Evitar la recepción de archivos
Limitar el tamaño de los archivos enviados
Internet Explorer
Deshabilitar el cambio de configuración ...
Deshabilitar Autocompletar para formularios
Deshabilitar la posibilidad de cambiar la configuración de la página
Avanzadas
No permitir Autompletar para guardar contraseñas
Panel de control de Internet
Deshabilitar la página General
Deshabilitar la página Seguridad
Deshabilitar la página Contenido
Menús del explorador
Menú Archivo: deshabilitar la opción de menú Abrir
Menú Archivo: deshabilitar la opción de menú Guardar
Como
Menú Herramientas: deshabilitar la opción de menú Opciones
de Internet
Deshabilitar el menú contextual
Deshabilitar la opción Guardar este programa en disco
Explorador de Windows
Deshabilitar el menú contextual prederterminado del Explorador de Windows
Impedir el acceso a las unidades desde Mi PC
Ocultar estas unidades especificadas en Mi PC
Quitar el menú Opciones de carpeta del menú Herramientas
Quitar el botón Búsqueda del Explorador de Windows
Quitar el menú Archivo del Explorador de Windows
Programador de tareas
Deshabilitar la creación de nuevas tareas
Deshabilitar la eliminación de tareas
Ocultar páginas de propiedades
Windows Update
Quitar el acceso a todas la características de Windows Update
Directiva Equipo Local ? Configuración de usuario ? Plantillas administrativas
? Escritorio
Deshabilitar la adición, arrastre, colocación y cierre de las
barras de herramientas de la Barra de tareas
No guardar la configuración al salir
Ocultar el icono Mis sitios de red del Escritorio
Ocultar todos los iconos del Escritorio
Prohibir al usuario cambiar la ruta de Mis documentos
Quitar el elemento Propiedades del menú contextual de Mi PC
Quitar el icono Mis Documentos del Menú Inicio
Active Desktop
Deshabilitar Active Desktop
Deshabilitar todos los elementos
No permitir cambios
Prohibir modificar elementos
Papel tapiz activo del escritorio
Directiva Equipo Local ? Configuración de usuario ? Plantillas administrativas
? Panel de control
Deshabilitar panel de control
Ocultar subprogramas especificados del Panel de control (Lista)
Mostrar sólo los subprogramas especificados del Panel de control (Lista)
Agregar o quitar programas
Deshabilitar Agregar o quitar programas
Ocultar la página Cambiar o quitar programas
Ocultar la página Agregar nuevos programas
Ocultar la página Agregar o quitar componentes de Windows
Mostrar
Deshabilitar cambios en el papel tapiz
Ocultar ficha Apariencia
Ocultar la ficha Configuración
Ocultar la ficha fondo
Ocultar la ficha Protector de pantalla
Tiempo de espera del protector de pantalla
Directiva Equipo Local ? Configuración de usuario ? Plantillas administrativas
? Sistema
Desactivar reproducción automática
Deshabilitar el símbolo del sistema
Deshabilitar herramientas de edición del Registro
Ejecutar sólo aplicaciones permitidas de Windows (Lista)
No ejecutar aplicaciones Windows especificadas (Lista)
Inicio/cierre de sesión
Deshabilitar Administrador de tareas
Deshabilitar el bloqueo de equipos
Deshabilitar la opción Cambiar contraseña
Ejecutar estos programas cuando el usuario inicie la sesión (Lista)
Limitar el tamaño del perfil
extraído de ............. http://vcespon.infochaos.com/SEG/PC_Seguro.htm
--
Saludos,
Enrique Cortés
Windows XP Pro 2600 xpsp1
ekortquita@estohotmail.com
Reglas de conducta de los grupos de noticias:
http://support.microsoft.com/default.aspx?scid=fh;ES-ES;newsreglas
------------------------------------------