LSP en Windows

La Política de Seguridad Local (LSP) en Windows, establece varios aspectos del sistema relacionados con la seguridad. Es muy similar al concepto de Políticas de grupo (Group Policies) que se utiliza en Active Directory, con la diferencia de que esta es únicamente local y no se aplica a través de la red. Estas políticas, no son muy diferentes a la de otros sistemas operativos como Linux, por tanto son fundamentales conocerlas y establecerlas en cualquier entorno.

Introducción

El sistema LSP en Windows ofrece estas políticas en dos categorías principales: Políticas de cuenta y locales.

• Las Políticas de cuentas nos permiten establecer directivas de contraseñas, por ejemplo, cumplir con el historial de cambio de contraseñas. Además, también podemos establecer directivas de bloque de cuenta, es decir, establecer un tiempo determinado de bloqueo de las mismas (en caso de estar bloqueadas) antes que se desbloqueen automáticamente.
• Las Políticas Locales, por el contrario, podemos establecer directivas de auditoría, de opciones de seguridad en redes, configuraciones del sistema y asignaciones de derecho de usuario.

Podremos acceder y ver estas políticas y sus directivas escribiendo “Local Security Policy” (LSP) en el buscador de la barra de Windows, o también, a través del comando secpol.msc tanto en el buscador como en la consola de Windows.

Cabe mencionar que la versión home de Windows 10 no posee el editor de políticas se seguridad local. A su vez, las políticas de grupo aplicadas por el administrador del dominio de una red, tiene prioridad sobre las políticas locales.

Políticas de cuenta

Como mencionamos anteriormente, las políticas de cuenta nos permiten establecer diferentes directivas dentro de LSP a través de otras dos subclases de Políticas en Windows. Estas son: Las políticas de contraseñas y de bloqueo de cuenta. A continuación, las veremos en detalle

Políticas de contraseñas

Directivas de Políticas de contraseñas

Las directivas dentro de la Política de contraseñas son las siguientes:

Enforce Password History

Permite forzar un historial de contraseñas para que los usuarios no puedan repetir las últimas X cantidad de contraseñas al realizar el cambio de la misma.

Maximun Password Age

Permite definir cuál es el tiempo máximo de vida de una contraseña. Transcurrido este tiempo, el usuario se verá obligado a modificar su contraseña.

Minimun Password Age

Tiempo mínimo de vida de una contraseña. Es decir, si el valor aquí es 1, lo que va a suceder es que los usuarios van a estar obligados a esperar un día entre cada cambio de contraseña.

Minimum password length

Permite definir cuál es la cantidad mínima de caracteres con los que debe contar una contraseña.

Minimum password length audit

Esta configuración de seguridad determina la longitud mínima de la contraseña para la que se emiten los eventos de advertencia de auditoría. Esta opción solo se debe habilitar y configurar cuando intentemos determinar el impacto potencial de aumentar la configuración de longitud mínima de contraseña en nuestro entorno.

Password Must Meet Complexity Requirements

Si esta opción se encuentra habilitada, obliga a que las contraseñas cumplan con los siguientes requerimientos:

1. No contener el nombre de usuario, o al menos el nombre completo.

2. Tener, como mínimo, seis caracteres de longitud.

3. Tener, al menos tipos de caracteres diferentes. Por ejemplo: Mayúsculas, números, caracteres especiales (!»#$%&@).

Store passwords using reversible encryption

Almacenar contraseñas cifradas de forma reversible significa que las contraseñas cifradas se pueden descifrar. Por lo tanto, un atacante informático que pueda romper este cifrado puede iniciar sesión en los recursos de la red utilizando la cuenta comprometida. Teniendo esto en cuenta, NUNCA debe tener esta opción habilitada.

Política de bloqueo de cuenta

Directivas de Políticas de bloqueo de cuentas

Account Lockout Threshold

Aquí después de introducir X cantidad de intentos de acceso fallidos se va a bloquear dicha cuenta de usuario.

Account Lockout Duration

Hace referencia a cuánto tiempo debe transcurrir para que una cuenta se desbloquee automáticamente.

Allow Administrator account lockout

Esta configuración de seguridad determina si la cuenta de Administrador está, o no, sujeta a la política de bloqueo de cuenta.

Reset account lockout counter after

Se refiere al tiempo que debe pasar para que Windows olvide la cantidad de intentos fallidos que hubo para acceder a una cuenta. Esto sirve para que el sistema determine si tiene que bloquear la cuenta o no. Por ejemplo, si tenemos esta opción en 10 y tengo un intento fallido, y a los 5 minutos tengo otro, y luego vuelvo a tener otro intento fallido. Habrán pasado los 10 minutos de intento de acceso y, por lo tanto, se bloqueará la cuenta como medida de seguridad. Esta función suele ser efectiva ante ataques de “fuerza bruta”  con respecto a las contraseñas de los usuarios, por parte de atacantes informáticos.

Políticas locales

A continuación, veremos las directivas que corresponden a las políticas locales dentro de LSP en Windows:

Política de Auditoría

Aquí el sistema nos permite configurar qué eventos se van a auditar. Es decir, que cambios van a quedar guardados en el registro de eventos (logs).

Haciendo uso de dichas opciones, podemos definir distintos eventos en base a las categorías que podemos, o no, dejar registrados. Debemos tener cuidado con esto porque el sistema operativo procesa muchos eventos todo el tiempo. Por lo tanto, si configuramos mal alguna opción podríamos llegar a degradar la performance o el rendimiento del sistema.

Audit account management

Por defecto, la Gestión de cuentas de auditoría se encuentra habilitada. Esta configuración de seguridad determina si se debe auditar cada evento de administración de cuentas de un equipo. Es decir, si se crea, cambia o elimina una cuenta de usuario o grupo, si se cambia el nombre, se habilita o deshabilita una cuenta de usuario, si se establece o cambia una contraseña, entre otros. Todos estos cambios quedarán guardados en el registro de eventos.

Veamos un ejemplo:

Vamos a eliminar al usuario Mike del sistema

Luego procederemos a verificar si encontramos dicho cambio en los logs o registro de eventos. Para esto nos dirigimos al gestor del equipo (Computer Management) en el apartado de Event Viewer.

Como podemos ver, no solo nos informa que hubo una eliminación de usuario, sino también QUIÉN eliminó a dicho usuario en “Subject”.

Asignación de derechos de usuarios

La asignación de derechos de usuario rige los métodos mediante los cuales un usuario puede iniciar sesión en un sistema.

Estos métodos de usuario, incluyen derechos y permisos de inicio de sesión. Los derechos de inicio de sesión controlan quién está autorizado para iniciar sesión en un equipo y cómo pueden hacerlo. Los permisos de esta directiva controlan el acceso a los recursos de la computadora y del dominio, y pueden anular los permisos que se han establecido en objetos específicos.

Directivas a tener en cuenta

Act as part of the operating system

Las cuentas de usuario listadas aquí podrán ejecutar procesos en nombre de cualquier usuario del sistema sin que se les requiera autenticación. Hay que tener cuidado con esto, ya que representa un riesgo de seguridad y no se recomienda.

Allow logon through Remote Desktop Services

Las cuentas de usuario listadas aquí podrán acceder al equipo a través del protocolo RDP (Remote Desktop Protocol). Es decir, de forma remota.

Load and unload device drivers

Los usuarios listados aquí podrán cargar y descargar controladores de dispositivos y otro tipo de códigos en el núcleo. No es recomendable modificar esta política de seguridad,y cabe mencionar, no aplica para los dispositivos Plug & Play.

Take ownership of files or other objects

Aquí, los usuarios podrán modificar quién es el dueño de archivos, directorios y otros objetos del sistema. Para no provocar inconvenientes, no es recomendable modificar esta política.

Opciones de seguridad

Ahora hablaremos sobre las opciones de política de seguridad y enlaces a información sobre cada configuración. Estas, como podemos ver, se conforman por grupos de configuraciones de privacidad que nos permitirán configurar nuestro equipo a nivel local.

Son varias las opciones aquí, incluso podemos encontrar configuraciones muy sensibles e importantes en cuanto a seguridad con respecto al sistema, a las redes tanto del lado del cliente como del servidor, los controladores de dominio, incluso podemos configurar UAC desde aquí. Veamos las descripciones de algunas de estas a continuación.

Directivas de opciones de seguridad

A continuación mostraremos algunas de la directivas más importantes en las opciones de seguridad.

Accounts: Administrator account status

Aquí podremos modificar el estado de la cuenta de administrador. Si configuramos esta política, podemos cambiar algunas cosas de modo tal, que la cuenta puede llegar a no estar habilitada dentro de la interfaz de administración de usuarios. Debemos tener en cuenta que esta política viene desactivada, y NO se recomienda modificarla. Por tanto, cuando instalamos el sistema operativo, estamos “forzados” en crear una cuenta de administrador.

Interactive Logon: Display user information when the session is locked

Define si se van a mostrar o no los datos del usuario que ha iniciado sesión cuando la misma se encuentra bloqueada. Se recomienda definir esta política en “No mostrar información del usuario”.

Network Security: Do not store LAN Manager Hash value on next password change

Hace que no se almacene el hash LM de la contraseña de los usuarios a partir del próximo cambio de la misma. Esto puede llegar a ser relativo según la información o persona que se encuentre en dicha máquina. Sin embargo, Como los hashes LM han demostrado ser muy débiles, es recomendable habilitar esta política.

Network Access: Do not allow anonymous enumeration of SAM accounts

Si se encuentra habilitada, no permite que se puedan conocer los nombres de usuario válidos a través de conexiones anónimas. Por lo tanto, es buena práctica habilitar esta política.