Para empezar veremos algo de hardening que constara de varias partes. Tratare de explicar parte
del proceso (sin entrar en detalles como que es una BIOS o bitLocker...) a
seguir para reducir los vectores de ataque a un sistema, en este caso de un
Windows aunque no descarto subir algo de Linux. Esto no es una guía completa,
un correcto bastionado requiere mucho conocimiento y se podrían rellenar varios
libros acerca de este tema.
Como con cualquier cosa empezaremos por el principio es
decir la seguridad física. Esta nos ayudara a reducir las posibilidades de que
alguien mal intencionado acceda a vuestros datos por muy compleja que sea
vuestra contraseña del sistema pues cualquiera con un live CD o USB podría
eludirla y acceder a vuestros datos en menos de lo que canta un gallo.
Así que lo primero que se debe hacer es poner una
contraseña a la BIOS, de esta forma impedimos que se cargue el sistema
operativo o se arranque desde un usb o live CD.
Con esto no penséis que estáis salvados, cualquiera con
acceso físico podría sacar la pila de la BIOS dejando esta tal y como salió de
fabrica y olvidando así vuestra contraseña, Aunque hoy en día la mayoría de
placas almacenan las contraseñas de la BIOS en chips EEPROM no imposibles de
re-programar pero si muy complicado.
re-programar pero si muy complicado.
Bloqueo a nivel de driver mediante contraseña: Este
método mitiga el riesgo de que un atacante que haya sustraído nuestro disco
duro pueda iniciarlo desde otro sistema como una dock station para obtener los
datos, esto es debido a que el hash de la contraseña se encuentra cifrado
físicamente en el disco. En función de la marca tendrán un nombre u otro en mi
caso DriveLock, también te obliga a introducir la contraseña antes de poder
acceder a la contraseña de la BIOS por lo que aunque retires la pila el disco seguirá
protegido y el sistema te seguirá pidiendo la contraseña antes de poder acceder
a la BIOS.
Prevención de ejecución de datos (DEP): La función de esta característica
disponible en casi cualquier BIOS actual es prevenir la inyección de código por
desbordamiento de buffer (que ya veremos otro día) por lo que es muy importante
tenerlo activado, aunque lo normal es que venga por
defecto.
Impedir arrancar desde cualquier sitio que no sea el disco
duro como USB, lector de disco, Red, SD... es también importante por lo que
desactivaremos estas opciones mientras la BIOS nos permita hacerlo. También hay
algunas BIOS que nos permiten desactivar a bajo nivel los micrófonos, webcam o
puertos y dispositivos que no sean necesarios.
Password Bypass nos permite eludir la contraseña de la BIOS
cuando el sistema entra en suspensión o hibernación, si se sustrae un ordenador
en ese estado todo lo anterior sería inútil ya que se tendría acceso completo
al escritorio o como mucho tendríamos que enfrentarnos a la clave de usuario por
lo que desactivar esa característica es muy recomendable.
TPM (Trusted Plataform Module) es un chip criptográfico que implementan muchas placas base, su seguridad está basada en hardware principalmente, cuando por ejemplo generas una clave de cifrado con bitLocker esta se almacena en ese chip de manera física, por lo que es resistente a ataques lógicos, para aprovechar al máximo las características del TPM se puede usar conjuntamente con una llave USB
