Muchos sistemas en red no serán compatibles con Windows 11 y sus funciones de seguridad avanzadas. A continuación, se explica cómo evitar que los dispositivos con Windows 10 sean un eslabón débil.
Las especificaciones de hardware revisadas de Microsoft para la próxima versión de Windows 11 el 5 de octubre no cambian el hecho de que estoy atascado en Windows 10 para la mayoría de las máquinas de mi red. Microsoft ha ampliado su aplicación de prueba para incluir algunos procesadores más compatibles con Windows 11 (Intel Core X-series, Xeon W-series y algunos Intel Core 7820HQ), pero el resultado final es el mismo: tendremos una red mixta de Máquinas con Windows 10 y Windows 11 en el futuro.
Estoy acostumbrado a rastrear no más de dos conjuntos de parches: Windows 10 para la mayor parte de la red y algunas actualizaciones aisladas de seguridad extendida de Windows 7 para máquinas más antiguas que se guardan para fines específicos. Tendré que acostumbrarme a parchear y mantener más sistemas operativos.
Es posible que se requieran años de actualizaciones de infraestructura antes de que podamos aprovechar las muchas características de seguridad de Windows 11, pero la idea de que nos estamos perdiendo es un poco presuntuosa. Las protecciones de Windows 11, como la seguridad basada en la virtualización, la integridad del código protegido por el hipervisor y el Arranque seguro habilitado de forma predeterminada, pueden necesitar hardware nuevo y licencias específicas para implementarse por completo. También pueden necesitar una infraestructura de Active Directory o Azure Active Directory para la que su red no está preparada.
Actualizar su camino a las últimas funciones de seguridad nunca fue una buena idea. Es mejor tener un plan de ataque y un plan de actualización. Las actualizaciones se pueden realizar a lo largo del tiempo con un proceso basado en el riesgo, no simplemente envejeciendo el hardware como lo hicimos en el pasado. Considere tomar estos pasos ahora para proteger su red de ataques
Revise las dependencias predeterminadas del navegador y la aplicación web
Si aún confía en Java Script o no puede realizar actualizaciones que eliminen Adobe Flash de sus navegadores debido a aplicaciones de presentación de video que dependen de él, evalúe por qué confía en tecnologías de navegador más antiguas que ponen en riesgo sus estaciones de trabajo. Revise las aplicaciones internas y su dependencia de tecnologías de navegador más antiguas y concentre sus recursos en eliminar las dependencias de tecnologías de navegador más antiguas.
Si sus aplicaciones web internas aún dependen de Internet Explorer, es hora de revisarlas y posiblemente rediseñarlas. En lugar de gastar dinero en actualizaciones de hardware de Windows 11, considere primero las actualizaciones de aplicaciones web internas.
Revise cómo implementa Windows 10
Revise las recomendaciones de referencia de seguridad de Microsoft o las opciones de puntuación segura de Microsoft 365. Pruebe si puede implementar estaciones de trabajo que bloqueen la resolución de nombres de multidifusión local de enlace (LLMNR), NetBIOS, el descubrimiento automático de proxy web (WPAD) y LM Hash de forma predeterminada. Las aplicaciones heredadas pueden necesitar estos estándares de resolución de nombres obsoletos. Pruebe para ver si puede deshabilitar estos métodos más antiguos y menos seguros. Si no puede desactivarlos ahora, establezca como objetivo hacerlo pronto. Los atacantes pueden usar estas búsquedas heredadas para recolectar credenciales de autenticación forzando a las máquinas a enviar hashes de contraseña NTLMv2. Además, si no tiene habilitada la firma SMB, los atacantes pueden retransmitir conexiones SMB.
Deshabilite LLMNR mediante la directiva de grupo o Intune en implementaciones más modernas. Abra gpedit.msc y luego vaya a "Configuración del equipo", luego a "Plantillas administrativas", luego a "Red" y luego a "Cliente DNS". Establezca "Desactivar resolución de nombre de multidifusión" en "Activado".
NetBIOS no se puede deshabilitar directamente a través de la política de grupo, pero puede usar un script de PowerShell para desactivarlo.
El protocolo WPAD es un método utilizado por los clientes para localizar la URL de un archivo de configuración mediante el método de descubrimiento DHCP o DNS. Para deshabilitar WPAD, desactive la opción de configuración automática de proxy en Internet Explorer. En la Política de grupo, expanda "Configuración de usuario", luego vaya a "Plantillas administrativas", luego a "Componentes de Windows", luego a "Internet Explorer" y luego a "Desactivar el cambio de configuración automática". Alternativamente, puede configurar WPAD, ya que esto imposibilitará el envenenamiento de la entrada.
Revisar el nivel de bosque de Active Directory
Asegúrese de que se haya elevado a Server 2008 o superior. Si se encuentra en un nivel de bosque inferior, es posible que aún tenga valores de LM Hash almacenados en su red. Una vez más en la Política de grupo, expanda "Configuración de la computadora", luego vaya a "Configuración de Windows", luego a "Configuración de seguridad", luego a "Políticas locales", luego a "Opciones de seguridad" y luego a "Seguridad de red: no almacene el valor hash de LAN Manager en próximo cambio de contraseña ”.
Revise la longitud de su política de contraseñas y aumente la política de contraseñas a al menos 12 y preferiblemente 16 caracteres o más. Inste a los usuarios a utilizar un programa de administración de contraseñas en su proceso de administración de contraseñas personales, así como ofrezca una herramienta para toda la empresa para sus procesos internos. Con demasiada frecuencia reutilizamos las mismas contraseñas en muchos sitios web y los atacantes pueden descifrar una contraseña en una base de datos y luego reutilizar el valor hash en otra base de datos
Gracias por visitar este sitio, espero que te haya gustado y vuelvas proximamente, compartela en las redes sociales, gracias
Fecha actualizacion el 2021-09-10. Fecha publicacion el 2021-09-10. Categoria: windows 11 Autor: Oscar olg Mapa del sitio Fuente: csoonline