DÍA 2: ENDPOINT SECURITY & HOST HARDENING

SEO&CTO Certified WordPress Full Stack Security Developer (CWPFSSD)

MANUAL DE BASTIONAMIENTO PARA EQUIPOS CON WINDOWS 11
DÍA 2: ENDPOINT SECURITY & HOST HARDENING
SEO&CTO Certified WordPress Full Stack Security Developer (CWPFSSD)

---

Introducción

Antes de permitir el acceso a servidores de alta sensibilidad, es fundamental fortalecer (o “bastionar”) los equipos con Windows 11. El objetivo de este manual es guiarte paso a paso en la configuración y reforzamiento de tu sistema operativo, reduciendo al máximo los riesgos de ciberseguridad.

---

1. Configuración de Windows y Cuentas

1. Utiliza cuentas de usuario estándar
   
   • Evita usar la cuenta de Administrador (o cualquier cuenta con privilegios administrativos) para tareas diarias. Crea y usa una cuenta estándar para la mayoría de las operaciones, y solo emplea credenciales de administrador cuando sea necesario.
2. Deshabilita el acceso remoto (RDP) si no lo necesitas estrictamente
   
   • Ve a: Panel de control > Sistema > Configuración avanzada > Acceso remoto y desactiva la opción de Escritorio Remoto.
3. Habilita el inicio de sesión seguro
   
   • Obliga a que el usuario presione Ctrl + Alt + Supr antes de introducir credenciales. Así evitas pantallas falsas de inicio de sesión.
4. Cambia el puerto RDP por defecto (si necesitas RDP)
   
   • Abre el Editor de Registro:
     HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\PortNumber
   • Modifica el valor del puerto (por ejemplo, a 3389 -> 3390 o el que estimes conveniente). Reinicia el equipo para aplicar cambios.
5. Desactiva la ejecución automática de medios extraíbles
   
   • Evita que Windows ejecute automáticamente programas en USBs o discos externos. Esto reduce la exposición al malware que se propaga a través de dispositivos extraíbles.

2. Seguridad de Red y Cortafuegos

1. Habilita y configura el Firewall de Windows Defender
   
   • Bloquea todas las conexiones entrantes no autorizadas. Configura reglas personalizadas para servicios esenciales.
2. Configura reglas de firewall personalizadas
   
   • En Firewall de Windows Defender con seguridad avanzada, define reglas de entrada y salida específicas para puertos y aplicaciones que realmente necesites.
3. Deshabilita NetBIOS sobre TCP/IP
   
   • Reduce la superficie de ataque ante técnicas de sniffing y ataques MITM (Man-In-The-Middle).
   • Ve a: Panel de control > Centro de Redes > Cambiar configuración del adaptador > Propiedades de IPv4 > Opciones avanzadas > WINS y selecciona “Deshabilitar NetBIOS”.
4. Deshabilita el uso compartido de archivos e impresoras
   
   • A menos que sea estrictamente necesario. Esto previene el acceso no autorizado a recursos compartidos.
5. Usa DNS seguros
   
   • Configura servidores DNS como Cloudflare (1.1.1.1), Quad9 (9.9.9.9) o Google (8.8.8.8) para reforzar la privacidad y seguridad en las resoluciones de dominio.
6. Deshabilita SMBv1
   
   • SMBv1 es un protocolo obsoleto con vulnerabilidades graves como EternalBlue.

En PowerShell (con permisos de administrador):
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force

3. Seguridad del Sistema

1. Mantén Windows actualizado
   
   • Ten activo Windows Update y aplica los parches de seguridad tan pronto estén disponibles.
2. Usa un antivirus confiable
   
   • Windows Defender es sólido y gratuito, especialmente si habilitas su protección en la nube.
3. Activa y configura Windows Defender Application Control (WDAC)
   
   • Restringe la ejecución de código solo a aplicaciones de confianza.
4. Configura Windows Defender Exploit Guard
   
   • Protege tu equipo frente a exploits y ransomware.
5. Considera una solución EDR/XDR
   
   • Opciones como Microsoft Defender for Endpoint, CrowdStrike, SentinelOne, etc., brindan protección avanzada y monitoreo de amenazas.
6. Habilita Secure Boot y Virtualization-Based Security (VBS)
   
   • Desde la BIOS/UEFI (requiere hardware compatible). Esto dificulta la inyección de código malicioso a nivel de kernel.
7. Activa el aislamiento de núcleo
   
   • Protege el kernel mediante tecnologías de virtualización, bloqueando ataques de alto nivel.
8. Configura BitLocker
   
   • Cifra el disco duro para proteger tus datos en caso de robo o ataques físicos.
9. Bloquea macros en archivos de Office
   
   • Evita la ejecución automática de macros, que suelen ser vector de malware como Emotet o Dridex.

4. Seguridad de Credenciales y Autenticación

1. Habilita la autenticación multifactor (MFA/2FA)
   
   • Añade una capa adicional de seguridad en accesos críticos.
2. Activa Credential Guard
   
   • Protege las credenciales almacenadas en la memoria de Windows para evitar su robo por herramientas como Mimikatz.
3. Deshabilita el almacenamiento de credenciales en caché
   
   • Minimiza la posibilidad de ataques “Pass-the-Hash” o “Pass-the-Ticket”.
4. Establece políticas de contraseñas seguras (en gpedit.msc > Directivas de seguridad local)
   
   • Longitud mínima de 14 caracteres.
   • Bloqueo de cuenta tras 3 intentos fallidos.
   • Expiración de contraseña cada 90 días.
5. No guardes contraseñas en texto plano
   
   • Usa un gestor de contraseñas seguro (Bitwarden, KeePassXC, etc.).

5. Seguridad en Navegación y Correo

1. Usa navegadores seguros y actualizados
   
   • Firefox (con hardening), Brave o Microsoft Edge en modo de protección mejorada.
2. Bloquea el acceso a sitios maliciosos y phishing
   
   • Extensiones de filtrado de contenido como uBlock Origin, NoScript o configuraciones de DNS over HTTPS (ej. NextDNS).
3. Desactiva JavaScript y Flash en correos electrónicos
   
   • Reduce la ejecución de scripts maliciosos embebidos.
4. Configura el cliente de correo en modo seguro
   
   • Deshabilita la vista automática de imágenes externas, enlaces y contenido dinámico en Outlook/Thunderbird.

6. Conexión Segura a Servidores

1. Accede solo a través de VPN segura
   
   • Usa WireGuard, OpenVPN o la VPN corporativa. Esto protege el tráfico entre tu equipo y la red remota.
2. Utiliza SSH con clave privada
   
   • Protegida por frase de contraseña. Evita usar contraseñas en texto plano para el acceso SSH.
3. Desactiva la compartición de archivos al conectarte por VPN
   
   • Evita exponer recursos compartidos a la red corporativa a menos que sea indispensable.
4. Configura RDP con Network Level Authentication (NLA)
   
   • Prevendrás ataques de fuerza bruta sobre RDP y reducirás riesgos de acceso no autorizado.

7. Monitoreo y Registro de Actividades

1. Habilita la auditoría avanzada
   
   • En el Visor de eventos, configura el registro detallado de accesos, cambios y sucesos de seguridad.
2. Instala Sysmon
   
   • Registra información detallada de procesos, conexiones de red y eventos críticos de Windows.
3. Activa el registro de PowerShell con transcripción
   

En PowerShell (Administrador):
Set-ExecutionPolicy RemoteSigned -Force

• Registra la ejecución de scripts y comandos para detectar actividad anómala.

4. Configura Windows Defender SmartScreen
   
   • Bloquea o advierte sobre aplicaciones y archivos sospechosos.
5. Considera soluciones de monitoreo en tiempo real
   
   • Wazuh o Velociraptor permiten la gestión centralizada y la correlación de logs.

---

8. Seguridad Física

1. Restringe el uso de puertos USB
   
   • Evita la conexión de dispositivos desconocidos que podrían inyectar malware.
2. Deshabilita el arranque desde USB/CD-ROM en la BIOS
   
   • Previenes ataques que aprovechan dispositivos de arranque alternativos (ej. Rubber Ducky).
3. Configura el bloqueo automático de sesión
   
   • Establece un tiempo de inactividad tras el cual el sistema se bloquea. Minimiza la exposición de la sesión abierta.

9. Seguridad Adicional (Para Protección Máxima)

1. Usa virtualización para entornos de pruebas
   
   • Hyper-V, VirtualBox o VMware te permiten aislar entornos y proteger el sistema principal.
2. Implementa una solución SIEM
   
   • Splunk, Wazuh o Elastic SIEM facilitan la correlación de eventos de seguridad a gran escala.
3. Configura VPN sin Split Tunneling
   
   • Redirige todo el tráfico a través de la VPN para evitar posibles fugas de información.
4. Utiliza autenticación hardware (YubiKey u otro)
   
   • Evita ataques de phishing y robo de credenciales.
5. Activa Windows Sandbox
   
   • Ideal para abrir archivos dudosos sin poner en riesgo el sistema anfitrión.

---

Resumen Final

Adoptar estas medidas de seguridad reducirá significativamente el riesgo de que tu equipo Windows 11 sea comprometido antes de conectarse a servidores sensibles. Una gestión proactiva –con actualizaciones regulares, configuraciones sólidas y monitoreo continuo– es clave para mantener un entorno seguro.

• Prioridades inmediatas:
  
  • Activar y configurar Firewall.
  • Cifrado con BitLocker.
  • Acceder a servidores solo mediante VPN.
  • Autenticación multifactor.
  • Credenciales seguras (políticas de contraseñas y uso de gestores).
• Para la máxima seguridad:
  
  • Habilitar Sysmon, Exploit Guard, SIEM/EDR y segmentación de red.
  • Implementar registros avanzados y monitoreo en tiempo real.

Siguiendo este manual, tus endpoints Windows 11 estarán mucho más protegidos y listos para entornos productivos y seguros. ¡Éxito con la fortificación de tus equipos!