Cómo securizar un netbook con Windows
Los netbooks se están vendiendo como setas. Yo mismo después de ponerlos a parir terminé comprando uno (lo que me motiva a ponerlo aún más a parir salvo para según que tipo de cosas). La mayoría vienen con su flamante windows XP home edition preinstalado, lo cual conlleva algunos problemillas, como que no podemos contar con ciertas herramientas que sí tendríamos en XP Professional como el Security Configuration Manager o las políticas de restricciones de software.
Estos chismes en el fondo están pensados para tener una cosa manejable estés donde estés, generalmente con un acceso a Internet a través de wireless y de una forma más cómoda que con un teléfono o un portátil más grande. Esto nos hace tremendamente vulnerables, así que vamos a ver qué podemos hacer para que utilizar el netbook en el starbucks no sea comparable a esnifar una cepa de gripe A en un laboratorio.
Firewall: lo más básico y probablemente lo más importante. Lo primero que debemos hacer es instalar un cortafuegos en nuestra máquina, aunque sea el propio firewall integrado de windows a mal dadas, pero no debemos permitir ni una conexión entrante a nuestro equipo. Tenemos otras opciones de forma gratuita, por ejemplo Comodo o Zone Alarm. Yo quizá sea un poco paranoide con la seguridad y suelo configurar mis cortafuegos de forma que rechacen todo tráfico entrante, pero también todo el saliente, permitiendo el acceso únicamente a las aplicaciones que sí quiero que tengan conectividad. En este sentido firewalls como los mencionados ayudan bastante, ya que avisan al usuario de que una aplicación se intenta conectar y de una forma rapida e intuitiva, se pueden ir aceptando o denegando.
Antivirus y antimalware: imagino que no habrá ningún usuario de windows que no haya sufrido alguna vez el drama de tener un virus. Particularmente yo uso Kaspersky porque me parece que tiene una relación calidad/precio bastante buena y, aunque no he hecho ningún benchmark en plan serio, la sensación de usuario que me da, es que deja el sistema bastante más ligero que otros como Mcaffee, Panda o Norton. No suelo ser muy partidario de los cocktails. Si algún día voy a la fábrica de J&B;, pediré un whisky, no un tequila. Me aplico el mismo razonamiento para este tipo de cosas, Kaspersky se hizo famoso por su antivirus, no por hacer firewalls, así que me limito a comprar el pack de antivirus/antimalware y el firewall lo llevo por otro lado.
Actualizaciones: y aquí creo que es importante resaltar una cosa. Por actualizaciones se debe entender actualizar todo el sistema, no sólo Windows. Evidentemente debemos marcar la opción para que windows descargue e instale automáticamente las actualizaciones que vayan surgiendo, pero debemos mantener actualizadas el resto de aplicaciones. Existen programas para verificar si la versión que tenemos instalada es la última o no bastante útiles como éste, de la gente de secunia. Por otra parte, es importante comprobar si las aplicaciones que utilizamos soportan chequeo automático de actualizaciones y marcarlo si está disponible.
Software en el arranque: en mi caso y, probablemente en el de todos los que compren un netbook con windows preinstalado, el sistema cuando arranca debe pensar que está corriendo sobre un cray. Es impresionante la de mierda que arranca. Como no nos gusta tener aplicaciones corriendo que no sabemos lo que hacen y que, además, no utilizamos, debemos hacer limpieza de todas las cosas que no necesitemos. Si no queremos (o no sabemos) liarnos a golpe de regedit o msconfig, podemos utilizar esta herramienta de la gente de sys-internals/MS.
Compartiendo menos: no nos engañemos, nuestro netbook no es un club social. En la mayoría de los casos no nos vamos a conectar a otros equipos, ni vamos a permitir que otros se conecten a nosotros y probablemente ni siquiera vayamos a imprimir. Así que fuera las opciones de permitir hacer peticiones de acceso remoto y en las opciones de cada una de las conexiones de red, deshabilitar el cliente para redes Microsoft y compartir archivos e impresoras.
Por otra parte, tampoco queremos los recursos compartidos que XP monta por defecto. Para asegurarnos de que no los cree, podemos crear una nueva entrada con nombre AutoShareWks en el registro de tipo DWORD y valor cero en:
HKeyLocal MachineSYSTEMCurrentControlSetServicesLanManServerParameters
Carpetas: (o directorios para los puristas). A juzgar por mi padre, que yo creo que es el ejemplo perfecto de Usuario, con la U mayúscula, hay ciertas cosas que él ejecutaría sin pensar. Por ejemplo, un fichero holasoyunvirus.doc.exe si mantiene ocultas las extensiones de ficheros conocidos, pasaría su filtro mental sin duda y lo ejecutaría sin compasión. Por tanto… deshabilitar también esa opción en las opciones de carpeta para evitar quebraderos de cabeza.
Por otra parte, tampoco nos interesaría que, si por alguna razón, alguien consigue acceso con otro usuario a nuestro equipo, pueda ver los datos que tenemos. Estamos en windows XP home edition, así que no contamos con el cifrado de directorios de EFS que viene con XP professional, con lo que al menos, iremos al directorio de Documents and Settings y marcaremos el directorio de nuestro usuario como privado en sus propiedades.
Usuarios: simplemente dos cosas.
- Comprobar que la cuenta de invitado está deshabilitada
- Tratar de usar un usuario sin privilegios para el día a día que, por supuesto, tenga contraseña.
Este segundo punto es complicado de llevar a cabo en windows salvo que seas un maestro del run as. Pero sería lo suyo. Si por lo que sea vamos a tener que compartir un directorio, es preferible que cuando lo hagamos cambiemos en las opciones avanzadas el grupo “Todos” por el grupo “Todos los usuarios autenticados”.
Servicios: el netbook no va a ser un servidor. Desde services.msc deshabilitaremos los servicios que no nos sean útiles, como por ejemplo universal plug and play, alerter, etc.
Un par de temillas avanzados: calculo que el 99% de los usuarios de netbooks no van a necesitar tracear los core dumps para debug de aplicaciones, por lo que podría ayudar a evitar que alguien malo malísimo se haga con cierta información, deshabilitar el volcado de dumps, así como activar la protección de ejecución de código para todas las aplicaciones en las opciones avanzadas del sistema (panel de control) en inicio y recuperación y prevención de ejecución de datos en rendimiento respectivamente.
Comprobando todo: una vez hecho todo esto nos podríamos conectar en el Starbucks con algo más de seguridad, pero nunca está de más alguna comprobación adicional. La gente de Microsoft se ha currado esta herramienta que nos genera un informe con el estado en el que está la seguridad de nuestro equipo. Yo no me lo tomaría como el resumen ejecutivo después de un hacking ético de 2 meses, pero como algo aproximativo, no está mal.
Consejillos adicionales: yo trataría de utilizar un navegador que no fuera internet explorer, aunque cierto es que hoy por hoy, son todos un colador. Por otra parte, es más que recomendable tratar de cifrar nuestro tráfico si estamos en una conexión que no está bajo nuestro control, lo cual lo podemos hacer a través de VPNs. No hace mucho escribí al hilo de esto y el artículo puede servir como introducción.